Windows文件共享原理

关于Windows文件共享服务的一些问题以及 网上邻居共享的工作原理:

[问题引出]：我刚安装windows2003时，Computer Browser、Server和Workstation这三项服务都有，但过了一段时间它们就看不见了，在管理工具的服务列表里找不到了，请问怎么会这样？应该如何解决？

[问题解决]：并不是有了“Microsoft 网络的文件和打印机共享”就Computer Browser、Server和Workstation这三项服务都会有，而只会有Server服务。

最准确的说法应该是：网络连接里本地连接属性的“Microsoft 网络的文件和打印机共享”，对应于“Server”服务。

网络连接里本地连接属性的“Microsoft 网络客户端”，对应于“Workstation”服务及“Computer Browser”服务。

关 于这些，自己试一下就都知道了。卸载掉“Microsoft 网络的文件和打印机共享”，则“Server”服务必消失；

相反，装上“Microsoft 网络的文件和打印机共享”，则“Server”服务会显现。卸载掉“Microsoft 网络客户端”，则“Workstation”服务及“Computer Browser”服务必消失；

相反，装上“Microsoft 网络客户端”，则“Workstation”服务及“Computer Browser”服务会显现。 网上邻居共享的工作原理:

网上邻居的工作模式是一个典型的客户端/服务器工作模型，现在，回想一下访问网络邻居的过程，首先，点击网络邻居图标，打开网上邻居列表，其次，点击打开目标服务器图标，列出目标服务器上的共享资源，接下来，点击需要的共享资源图标，进行需要的操作(这些

操作包括列出内容，增加，修改或删除内容等。 1 取得网络资源列表

我们是如何获得当前网络上可以访问的服务器列表的呢?在一个有域的windows网络环境下，我们也可以通过活动目录服务来取得这个列表。而在工作组环境中这主要依靠windows的浏览服务。浏览服务为各客户机提供的资源列表并不是实时的，也不一定是全局一致的，它依靠每12分钟一次的轮询来刷新和同步这个列表，因此，这个列表经常与实际情况不一致。

2 网上邻居的名称解析

当我们点击网络邻居列表里的一台机器时，这时首先会发生一个名称解析过程。 谈起名称解析，我们常会想到DNS，事实上，网上邻居的名称解析也是可以使用DNS系统的。不过前提是你需要架设局域网DNS服务器对局域网的各机器名进行解析。 如果你没有安装局域网DNS，你也可以使用NETBIOS的名字服务还对机器名进行解析，NETBT（TCP/IP上的NETBIOS）协议也可以将一台NETBIOS机器名解析为IP地址，可以用nbtstat -c命令查看本机缓存的NETBIOS名称和IP地址的映射表。也可以使用nbtstat –r 命令来利用NETNBT广播来将指定NETBIOS名称解析为IP地址。由于广播方式是无法跨子网的，所以当NETBIOS要求解析跨子网的名称时，必需要正确设置WINS服务器来进行跨网络的NETBIOS名称解析。 除以上方式外，网上邻居还允许通过Lmhost文件来进行名字解析。 除了基于TCP/IP的NETBT和DNS，由于网上邻居也允许运行NETBEUI和IPX/SPX等其它协议上，因此对机器名的解析不一定非局限为解析成IP地址，比如NETBEUI协议数据包仅包含二层链跑层地址，因此不可路由也无法跨越子网，但在小型网络中使用NETBEUI协议不但可以提高效率，而且它的工作不受防火墙设置的影响，免去了设置防火墙的麻烦。

3 访问服务器

在对服务器进行了正确的名称解析后，我们开始了实质性的阶段，登录共享服务器 访问服务器的流程

一台客户机

要访问服务器，在找到目标服务器后，它首先要确定目标服务器上的协议，端口，组件能是否齐备，服务是否启动，在一切都合乎要求后，开始用户的身分验证过程，如果顺利通过身份验证，服务器会检查本地的安全策略与援权，看本次访问是否允许，如果允许，会进一步检查用户希望访问的共享资源的权限设置是否允许用户进行想要的操作，在通过这一系列检查后，客户机才能最终访问到目标资源。

网络共享服务的协议和端口

作为网上邻居基础的微软文件和打印服务可以基于多种不同的协议，它们使用不同的端口。

在较早的WIN98/95系统下面，主要使用NETBT(TCP/IP上的NETBIOS)协议来完成相关，使用137，138和139端口，同时完成包括列表维护，名称解析和文件传输等多种功能，而2000后，网络共享服务也可以通过TCP/IP上的SMB直接承载实现，使用445端口。 名称解析也可以通过DNS系统来实现。这样一方面可以省略NETBIOS层，提高工作效率，

另一方面免除了NETBIOS名称解析引起的广播，减小了网络负荷。但是如果网络中存在一些老版本的windows系统或者没有局域网DNS服务器，为了名字解析的顺利进行不得不启用NETBT，否则就只能通过IP地址访问网上邻居。 下图列出了文件共享服务支持的各种网络协议。

为了提供文件共享服务，服务器上必须安装以下网络协议和服务，它们之间存在着对应关系如下图:

身份验证

如果服务器上禁用了简单文件共享，或者服务器的本地安全策略——安全选项中的“网络访问:本地账户的共享和安全模式”设为经典，本地账户模式，当客户机连接服务器时，首先以客户机的登录名和密码在服务器上进行验证，如果恰好服务器上存在同名且同密

码的账户而且该帐户没有被禁用，客户机将以此用户的身份进入下一本地安全策略的验证阶段，如果服务器上不存在此同名同密码的账户，而服务器上的guest账户未被禁用，客户机将以guest账户的身分直接进入下一阶段的安全策略验证阶段。如果服务器上禁用了guest账户，会弹出要求输入用户名和密码的对话框如下，这时如果提供了服务器上存在的用户名和密码，则会以此用户的身份进入下一阶段安全策略检查过程。

身份验证

这里存在一个很常见的误解，在判断guest账户是否启用时，很多用户是查看控制面板里的用户账户（如下图A），在那里看guest账户是否为启用状态。如果显示来宾账户没有启用就认为guest被禁用，而实际判断guest是否被禁用应该是观察计算机管理中的本地用户和组里guest用户的状态，如下图B。而在控制面板中的用户账户中启用guest账户的含义是允许guest从本地登录(出现在登录的欢迎屏幕上)。在用户帐户中禁用guest不会禁用本地用户guest帐户。

查看guest 启用状态的最简单方法是用命令net user guest查看，看输出中“帐户启用”一栏的信息。

查看guest 启用状态的最简单方法是用命令net user guest

本地安全策略审核

当用户通过了认证，就进入了本地安全策略审核阶段。在本地安全策略中，与网上邻居相关的最重要的三条策略是以下三个:

一是本地策略——安全选项中“账户:使用空白密码的本地账户只允许进行控制台登录”。

二是本地策略——用户权利指派中的“拒绝从网络访问这台计算机” 三是本地策略——用户权利指派中的“从网络访问这台计算机”。

当用户是以guest账号进入本地安全策略审核中，主要检查第二条与第三条策略(因为guest本身就是无密码的)，检查过程如下图:

检查过程

当用户以非guest用户身份进入安全策略审核时，三条策略都将检查到，检查过程如下:

检查过程

发生在策略审核过程中的登录问题常会产生以下这类错误提示:

除以上提到的三个最重要影响网络邻居访问的安全策略外，还有以下一些安全策略对网上邻居的访问过程产生影响。

本地策略——安全选项中的“网络访问:本地账户的共享和安全模式”，这等效于是否启用简单文件共享。

本地策略——安全选项中的“网络访问:不允许SAN账户和共享的匿名枚举”。如果启

用它其实际就是取消了IPC$隐藏共享，这使客户机访问时无法取得服务器上的共享资源列表，这时，要想访问服务器上共享资源除非预先知道想访问的共享资源名称，手动输入资源的完整路径向这种\\server\\sharename。

本地策略——安全选项中的“:LAN Manager身份验证级别“。Windows 2000以上系统可以使用更高的安全级别，但2000以下系统会无法识别发送的安全凭证。出现如下所示的出错提示。

权限检查

在通过了本地安全策略检查后，服务器还要检查用户想访问的共享文件夹的共享权限与NTFS权限是否允许当前登录账户访问。检查过程如下图:

这二者分别在文件夹属性的共享和安全标签页中设置。当权限检查顺利通过后，用户才能正常访问目标共享资源。如果在网上邻居访问中可以列出对方机器上的共享目录列表，但进入目录时遇到拒绝访问提示，一般都是在权限检查这一步骡遇到了问题。

在winxp系统中，如果使用的是简单文件共享，在目录属性页中是没有用于设置NTFS权限的“安全”标签页的。NTFS权限都采用默认设置。而如果禁用了简单文件共享，在文件夹的属性页中会多出“安全”标签，在此可以对目录的NTFS权限进行(如下图)。 Winxp下的一个常见问题是用户一段时间禁用了简单文件共享并对共享目录的NTFS权限进行了设置，然后又恢复了简单文件共享。这时虽然再也看不到安全标签并设置NTFS权限，但已经设置的NTFS权限是依然存在的。如果此时共享目录的NTFS权限设置禁止guest访问，即使其它设置完全正确，目标文件夹也无法访问，而且由于在简单文件共享模式下看不到共享目录的NTFS权限状态，常让一些初级用户对故障原因莫名所以。 网上邻居共享的故障排查案例

理解了网上邻居访问过程的工作原理，如果在使用网上邻居时出现故障，就可以分析问题原因找到解决办法。下面我们来看几个案例. 故障现象:

两台winxp机器，用户只建立了administrator用户，都没有设置密码，以\\IP地址形式访问时不提示用户名和密码就显示拒绝登录.两台机都未使用简单文件共享. 故障分析:

不提示用户名和密码，说明已经通过了用户认证阶段.因为未使用简单文件共享.登录时是以客户机的登录帐户进行认证的，也就是以administrator的身份登录，但由于服务器的administrator无密码，根据默认安全策略无密码帐户只允许进行控制台登录，因此收到拒绝登录的提示. 故障解决:

启用guest帐户，为两机启用简单文件共享，然后无需密码即可访问.(注意，在启用简单文件共享前先要检查需要共享的目录的NTFS权限是否允许guest访问.

故障现象:

服务器采用简单文件共享，当以\\ipadress\\C$形式访问服务器上的C盘时，不要求输入用户名和密码就直接提示权限不够. 故障分析:

服务器上启用了简单文件共享，所有访问用户都被映射为guest，而guest对C$这个共享是无共享访问权的，因此提示权限不足. 故障解决:

在服务器上禁用简单文件共享，使用net use 命令的/user选项指定访问时使用的有权限的登录用户和密码(例如administrator).

从以上两例中可以看出解决网上邻居访问故障时的一些思路.在实际故障排查过程中，网络故障的提示信息是我们判断问题所在阶段的一个重要提示，前面图例中的一些错误提示框分别会产生在网络访问过程的不同阶段，根据这些提示我们就可以大致确定问题的范围并做出针对性的调整来解决问题.

link:http://www.blogjava.net/tanzek/archive/2007/04/02/108078.html

link:http://www.xker.com/page/e2007/0103/282.html 路由跟踪命令 trancert www.sohu.com

从图中

可以看出，网上邻居服务(Computer Browser服务)需要依存两个服务——Workstation(工作站)服务与Server(服务器)服务，Workstation服务主要用于访问其它服务器上的共享资源，它对应网络组件中的windows网络客户端，而Server服务主要提供共享本机资源的功能，对应微软文件和打印机共享组件。

这些协议和组件的正常安装与设置是网上邻居正常工作的基础。

关于网上邻居功能有一个需要说明问题就是隐藏共享IPC$的问题。我们访问网上邻居能够看到该服务器上的共享资源列表是因为在安装了微软文件和打印机共享组件后，会创建一个名为IPC$的隐藏共享，连接的计算机通过查看这个隐含共享来取得服务器上的共享资源列表。如果删除了这个共享浏览者就无法取得服务器上的共享资源列表，当然也无法正常访问共享资源了。 用户身份认证

当客户机发现服务器上的服务与协议都安装正确以后，就开始了用户身份认证过程。也就是确定客户机以什么身份在服务器上进行操作。 关于网上邻居访问过程的身份认证有以下两个原则:

首先是客户机优先以当前登录账户的信息来提交认证信息，例如客户机当前的登录用户为test，密码为test，如果这时它访问网上邻居，它用以此为用户名和密码来提交验证信息。

其次，由服务器决定是否将客户机用户身份映射为guest。

如果服务器的本地安全策略——安全选项中“网络访问:本地账户的共享和安全模式”设为仅来宾或者服务器启用了简单文件共享，网络访问的本地用户将以来宾身份验证，这时如果guest账户未被禁用，则直接进入下一步本地安全策略验证阶段，如果服务器启用了简单文件共享却没有启用guest账户，就会弹出如下对话框，用户名为灰色无法更改，密码无论输入什么都无效

本文来源：https://www.bwwdw.com/article/x5ar.html