共享难倒运维老司机

故障现象

笔者单位一领导需要在自己的台式机上设立一个共享文件夹，以便扫描仪的扫描文件直接通过网络共享传输到台式机上，但是在扫描仪上怎么测试都通不过。呼叫公司运维人员前去查看原因，运维人员通过其他电脑访问用户台式机共享，直接跳出“无法访问XXX网络资源”。

故障排查

首先，确保网络正常，即与其他计算机Ping通。

其次，确保该用户终端的共享文件夹设置操作正确，且权限赋予正常。

第三，查看系统与共享有关的服务，Server服务与Workstation服务开启。

最后，在用户台式机上自己访问自己的共享实验了一次，可以正常访问，可是别人的计算机就是无法访问。

图1 本地连接属性

事件陷入僵局，该故障经过简单方法已经无法解决。

在很久之前的学生时代，老师告诉我们，通过组策略可以把计算机设置成其他计算机无法访问我们的电脑，以阻止黑客的入侵，算是网络安全课程的内容之一。根据课程内容，查看本地安全策略设置是否禁用了Guest账号：点击控制面板→管理工具→本地安全策略→用户权利指派，查看“拒绝从网络访问这台计算机”项的属性，看里面是否有Guest账户，如果有，就把它删除掉；果然，里面有Guest账户，运维人员很兴奋地将该账户删除，然而并没有解决问题。

在网上查找资料，有人说是否是Guest账户被禁用了。查看台式机本地用户和组中，Guest账户确实是禁用的，根据网上的说法，启用账户或许可以解决，但问题依旧。

又有高手指点，是不是与共享有关的协议被点掉了，据说有人碰到过这种情况，这一招确实少见。赶紧根据提示，找到“本地连接属性”查看与共享相关的协议是否存在（如图1），协议没有任何问题。

此时，运维人员已经快疯了，一个小小的共享问题竟然试了这么多次没有弄好，只好使出了万能故障解决大招“重启电脑”，然而重启大招也没有解决问题。运维人员向网络运维部其他同事求救，有同事提醒：是否是防火墙阻止的缘故。运维人员虽然觉得谁会没事去专门开个防火墙阻止共享呢，但还是老老实实地去看了防火墙，看到“允许程序或功能通过Windows防火墙”里面的“文件和打印机共享”选项是打钩的（如图2）。甚至他还将防火墙直接关闭了，依旧没有解决问题。关闭防火墙如图3所示。

笔者正好在办公室听到该运维同事谈论此问题，就想一起去见识下这个奇怪的问题。在终端台式机前根据常规操作，检测连通性、检测共享设置、再检测防火墙。突然，笔者在防火墙高级设置里面，发现一条阻止135、139、445的策略（如图4）。

笔者恍然大悟，记得在前一段时间，勒索病毒猖獗的情况下，公司紧急将所有的领导电脑和服务器都添加了阻止 135、139、445 端口的策略，在多数情况下，哪有领导要共享文件夹的？这个问题随着时间的流逝，都被大家忘记了。

图2 防火墙允许的程序

图3 关闭防火墙

图4 防火墙入站规则

图5 防火墙目录

反思总结

1.一个再小的问题都有很多种诱因导致，从这个案例就可以看出，一个小小的文件夹共享不成功到底有多少种原因。笔者能很快地解决该问题，不是笔者比另一个运维同事水平高，而是他已经帮我排除掉很多种导致共享不成功的情况。

2.紧急变更要恢复，本次事件的主要原因就是之前的紧急变更没有记录，事后更是没有及时恢复。

3.操作系统技术上面我们通过该案例可以知道“防火墙高级设置”（入站出站设置）不受“防火墙-自定义设置”影响，关闭防火墙不会导致高级设置失效。从界面上看也是并列的目录（如图5）。

4.处理该事件的运维人员是一个从事桌面运维长达5年之久的老员工，仍然有部分细节问题没有想到，可想而知，运维工作是一个多么繁琐而杂乱的工作。但是不管怎样，不放弃问题，按照运维的正常思路多试几次，总会找到出路。事后，领导也是对我们的工作表示了认可，在外人看来，我们是攻克了一个技术难题，我们是计算机专家。