Impossibile copiare su unità di rete mappata SMB guida completa per Windows Server

Dopo la migrazione a un nuovo file server, una sola unità mappata (O:\Shared) rifiuta il copia e incolla con errore, mentre la stessa destinazione raggiunta via percorso UNC funziona e i file nuovi creati localmente nella share vengono salvati. In questa guida trovi una diagnosi completa e una soluzione sicura.

Indice

Scenario e sintomi

L’unità di rete mappata su O:\Shared non accetta operazioni di copia e incolla, restituendo un generico errore di scrittura.
Gli utenti riescono però a creare nuovi file direttamente nella stessa share mappata.
Usando il percorso UNC (es. \\FileServer1\Shared\folder1) copia e incolla funzionano correttamente.
I permessi di condivisione risultano su Full Control per Everyone, e le altre share migrate nello stesso batch non presentano problemi.

Spiegazione in termini pratici

Il fatto che l’operazione fallisca solo tramite unità mappata e non via UNC fa pensare a uno scarto tra metadati della share e percorso reale, a caching offline residuo sul client, a politiche o filtri che si attivano solo per le unità mappate, o a impostazioni SMB specifiche di quella condivisione rimaste “sporche” dopo la migrazione. Creare un file nuovo è un’operazione semplice che spesso aggira restrizioni che scattano invece durante copie più complesse (attributi, eredità ACL, flussi alternativi, blocchi opportunistici, quote FSRM).

Controlli rapidi consigliati

Prima di ricreare la condivisione, esegui i seguenti controlli. La tabella riassume cosa verificare e la relativa azione.

Controllo	Perché farlo	Azione suggerita
Permessi NTFS	ACL NTFS più restrittive bloccheranno la copia nonostante il Full Control sulla share.	Confronta ACL della cartella `Shared` con share che funzionano; verifica eredità e voci esplicite.
Cache di rete e file offline	Metadati obsoleti del client possono impedire la scrittura su unità mappate.	Disabilita temporaneamente Offline Files per il percorso, svuota la cache, rimappa la lettera.
Coerenza tra mappatura e percorso effettivo	La lettera potrebbe puntare a un livello diverso rispetto al percorso UNC usato nel test.	Rimappa la lettera esattamente verso la sottocartella UNC che funziona.
Quote e filtri FSRM	Limiti di quota o screen di contenuto possono bloccare la copia di determinati file.	Controlla quote, soglie e file screening sulla cartella `Shared`.
Opzioni della share SMB	Impostazioni come cifratura o caching possono differire da altre share sane.	Confronta con `Get-SmbShare` attributi tipo EncryptData, ContinuouslyAvailable, CachingMode.

Suggerimento operativo: se dopo questi controlli l’anomalia persiste, ricreare la share ripulisce i metadati (registro e configurazione del servizio Server) senza toccare i dati su disco e risolve spesso in modo definitivo.

Procedura di diagnosi dettagliata

Verifica immediata dal lato client

Prova con riga di comando per bypassare l’interfaccia di Esplora file: copy "C:\Temp\file_test.txt" O:\Shared\ robocopy "C:\Temp" "O:\Shared" file_test.txt /R:0 /W:0 /V /NP fsutil file createnew O:\Shared\probe.tmp 0 Se fsutil e la creazione di file vanno a buon fine ma copy fallisce, è più probabile un blocco su attributi, ADS o ACL.
Rimappa forzando la stessa sottocartella che funziona via UNC: net use O: /delete /y net use O: "\\FileServer1\Shared\folder1" /persistent:yes Se così funziona, il problema potrebbe risiedere nella share root o nella sua configurazione SMB.
Disabilita temporaneamente le voci di sicurezza lato endpoint (antivirus, DLP, protezione ransomware controllata) solo per test. Alcuni prodotti applicano policy diverse su unità mappate rispetto ai percorsi UNC. Se disattivando la protezione la copia riesce, previeni con exclusion mirate per il percorso di rete.

Permessi NTFS e permessi di share

Esegui una foto accurata di permessi ed eredità. Assicurati che la share e il file system dicano la stessa cosa.

# Dal file server
Get-SmbShare -Name "Shared" | Format-List *
Get-SmbShareAccess -Name "Shared"

Percorso su disco della share

$Path = "D:\Shares\Shared"
icacls $Path
icacls $Path* /T

Confronto con una share sana

Get-SmbShare -Name "AltraShareOK" | Format-List Name,EncryptData,ContinuouslyAvailable,CachingMode,FolderEnumerationMode
icacls "D:\Shares\AltraShareOK"

Controlla differenze in EncryptData, ContinuouslyAvailable, CachingMode, FolderEnumerationMode, ShadowCopy. ACL NTFS troppo restrittive sui livelli superiori possono bloccare la copia sul root pur lasciando creare file in sottocartelle.

Quote e screening FSRM

Se utilizzi File Server Resource Manager:

Get-FsrmQuota -Path "D:\Shares\Shared" -ErrorAction SilentlyContinue
Get-FsrmFileScreen -Path "D:\Shares\Shared" -ErrorAction SilentlyContinue

Verifica soglie raggiunte e regole di screening che possano bloccare estensioni tipiche di copia (archivi, eseguibili, file PST). Ricorda che la creazione di un file vuoto spesso non sfora quota, mentre copiare file reali sì.

Cache lato client e file offline

Se l’unità era in passato disponibile offline, i metadati della cache CSC possono interferire con operazioni su drive mappati.

Apri il pannello di controllo di File Offline e disabilita temporaneamente la funzionalità per testare.
Se necessario, svuota la cache con la chiave di ripristino: reg add HKLM\System\CurrentControlSet\Services\Csc\Parameters /v FormatDatabase /t REG_DWORD /d 1 /f Nota: Imposta la chiave, quindi riavvia. La cache verrà ricreata. Esegui questa operazione solo dopo un backup e in una finestra di manutenzione.

Limiti di percorso e attributi speciali

Valuta questi aspetti, spesso sottovalutati:

Percorsi lunghi: se i file copiati portano il percorso oltre il limite Win32 classico, abilita i percorsi lunghi tramite policy Enable Win32 long paths e riprova.
Flussi di dati alternativi e Zone.Identifier: alcuni strumenti di sicurezza bloccano stream su unità mappate. Rimuovi alternativamente lo stream: powershell -Command "Get-Item 'C:\Temp\file_test.txt' -Stream * | Remove-Item"
Attributi e ReadOnly: prova una copia con robocopy usando opzioni per reimpostare attributi: robocopy "C:\Temp" "O:\Shared" file_test.txt /R:1 /W:0 /COPY:DAT /NFL /NDL /NP

Confronto delle opzioni avanzate SMB

Raccogli e confronta le configurazioni di server e share con una condivisione che funziona:

# Lato server, configurazione globale
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol, EncryptData, RejectUnencryptedAccess, EnableLeasing

Lato share

Get-SmbShare -Name Shared | Select Name, Path, EncryptData, CachingMode, ContinuouslyAvailable, FolderEnumerationMode, ShadowCopy

Se la share incriminata ha EncryptData o CachingMode diversi dalle altre, riallinea i parametri. In ambienti con cluster e ruoli di file server general purpose, l’opzione ContinuouslyAvailable può alterare il comportamento dei lock durante copie pesanti.

GPO e preferenze di mappatura

Verifica come viene assegnata la lettera O: via Group Policy Preferences o script:

Se la policy mappa O: sul root \\FileServer1\Shared ma gli utenti usano via UNC una sottocartella, riallinea la policy alla stessa sottodirectory.
Assicurati che non esistano mappature concorrenti o permanenti residue: net use net use O: /delete /y net use O: "\\FileServer1\Shared" /persistent:yes

Registro della share e metadati corrotti

Le definizioni delle share risiedono nel registro del server. Un record danneggiato può causare anomalie limitate a quella condivisione. Senza toccare i dati, puoi esportare e ripulire la definizione:

# Esporta definizioni share
reg export "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares" "C:\Temp\Shares_backup.reg"

Rimuovi e ricrea SOLO la share interessata via PowerShell

Remove-SmbShare -Name "Shared" -Force
New-SmbShare -Name "Shared" -Path "D:\Shares\Shared" -ChangeAccess "Authenticated Users" -FullAccess "Administrators"

Questa operazione rigenera i metadati della share lasciando intatti i file. Dopo la ricreazione, riprova la copia da un client.

Registri eventi e tracciamento

Abilita i log operativi per identificare errori SMB lato client e lato server.

# Lato client
wevtutil sl Microsoft-Windows-SMBClient/Operational /e:true
Lato server
wevtutil sl Microsoft-Windows-SMBServer/Operational /e:true

Riproduci l’errore e cerca eventi con ID relativi a accessi negati, lock o errori di scrittura. Se serve, cattura una traccia temporanea:

netsh trace start scenario=FileSharing capture=yes report=yes
riproduci l'errore
netsh trace stop

Conflitti con provider di rete o componenti legacy

Alcuni ambienti caricano provider di rete aggiuntivi (es. WebClient per WebDAV) che possono interferire con la risoluzione dei percorsi mappati. Verifica l’ordine dei provider di rete e la presenza di componenti obsoleti o inutili. Se possibile, disabilita temporaneamente WebClient e riavvia il test.

Test incrociato con share di prova

Crea rapidamente una share di laboratorio sullo stesso volume e con ACL clonate. Se la copia su quella share funziona, il problema è circoscritto ai metadati della share originale.

New-SmbShare -Name "Shared_Test" -Path "D:\Shares\Shared" -ChangeAccess "Authenticated Users" -FullAccess "Administrators"
Get-SmbShareAccess -Name "Shared_Test"

Strategia di risoluzione veloce

Se le verifiche precedenti non evidenziano un chiaro colpevole, la via più rapida e sicura è ricreare la condivisione. Si tratta di un’operazione a rischio minimo che spesso ripristina coerenza tra registro, ACL e opzioni SMB.

Documenta percorso e permessi: Get-SmbShare -Name Shared | Format-List * Get-SmbShareAccess -Name Shared icacls "D:\Shares\Shared" /save "C:\Temp\Shared_acl.txt"
Rimuovi la share senza toccare i dati: Remove-SmbShare -Name "Shared" -Force
Ricrea la share con impostazioni pulite: New-SmbShare -Name "Shared" -Path "D:\Shares\Shared" ` -ChangeAccess "Authenticated Users" ` -FullAccess "Domain Admins","Backup Operators" ` -FolderEnumerationMode AccessBased ` -CachingMode Documents Aggiungi eventuali gruppi specifici della tua organizzazione al ChangeAccess o FullAccess. Evita Everyone Full Control in produzione.
Rimappa i client per pulire connessioni e credenziali memorizzate: net use O: /delete /y klist purge net use O: "\\FileServer1\Shared" /persistent:yes
Verifica con robocopy e con Esplora file. Se la copia ora funziona sia via lettera sia via UNC, l’origine del problema era nella definizione della share.

Checklist ridotta per ambienti di produzione

Conferma allineamento ACL NTFS e permessi di share.
Confronta opzioni SMB con share sane e normalizza parametri anomali.
Disattiva e ripulisci Offline Files sui client coinvolti.
Escludi interferenze di antivirus e DLP su unità mappate.
Valuta effetti di quota e file screening FSRM.
Se nulla emerge, ricrea la share e rimappa i client.

Domande frequenti

Perché creo un file ma non riesco a incollare

La creazione semplice richiede meno operazioni: non deve preservare attributi estesi, stream alternativi o ACL di origine. La copia invece può attivare controlli aggiuntivi su quota, screening, eredità permessi o policy di sicurezza specifiche per unità mappate.

Perché via UNC funziona e via lettera no

Il percorso UNC aggira potenziali residui di caching di unità mappate, interferenze di provider e policy che si applicano solo ai drive letter. Inoltre, la lettera potrebbe puntare a un livello diverso del percorso rispetto al test UNC che esegui.

Ricreare la share mette a rischio i dati

No, la rimozione della share elimina solo l’oggetto di condivisione e i suoi metadati dal server. Le cartelle e i file sul volume restano intatti. Assicurati però di documentare i permessi e di ricreare l’oggetto con impostazioni equivalenti o migliorative.

Che ruolo ha la cifratura SMB

La cifratura per share aumenta la sicurezza ma può introdurre overhead o incompatibilità con vecchi client. Mantieni coerenza tra share e linee guida aziendali, ed evita differenze inspiegate tra share similari.

È utile un test con una share di prova

Sì. Creare rapidamente una share “gemella” sullo stesso percorso è un modo efficace per distinguere un problema di metadati della share da un problema di dati o ACL.

Esempi di playbook passo passo

Playbook veloce per amministratori

Esegui Get-SmbShare e Get-SmbShareAccess sulla share problematica e su una share sana; confronta EncryptData, CachingMode, ContinuouslyAvailable.
Controlla ACL NTFS con icacls su root e sottocartelle; valida eredità.
Testa copia con robocopy e fsutil via O: e via UNC.
Rimappa O: sulla sottocartella che funziona via UNC.
Disabilita temporaneamente antivirus e DLP per capire se il blocco è applicativo.
Verifica quota e screening FSRM.
Se persiste, rimuovi e ricrea la share; poi rimappa i client e ritesta.

Playbook approfondito con raccolta evidenze

Snapshot configurazioni Get-SmbServerConfiguration | Out-File C:\Temp\smb_server.txt Get-SmbShare -Name Shared | Format-List * | Out-File C:\Temp\smbshareshared.txt Get-SmbShare -Name AltraShareOK | Format-List * | Out-File C:\Temp\smbshareok.txt icacls D:\Shares\Shared /save C:\Temp\acl_shared.txt
Abilita log e riproduci il problema: wevtutil sl Microsoft-Windows-SMBClient/Operational /e:true wevtutil sl Microsoft-Windows-SMBServer/Operational /e:true
Confronta eventi correlati a Access Denied, Write Failure, OpLock.
Test bypass con net use, robocopy, sottocartelle e file di varie estensioni.
Ricreazione della share e verifica finale.

Modello di comunicazione per gli utenti

Se devi informare rapidamente il team o gli utenti coinvolti, puoi usare questo testo:

Stiamo risolvendo un’anomalia che impedisce il copia e incolla su una specifica unità di rete mappata. La creazione di nuovi file funziona e i dati sono al sicuro. Come soluzione rapida ricreeremo la condivisione sul server senza interventi sui file. Potrebbero essere richiesti il logout e la rimappatura dell’unità.

Buone pratiche per evitare recidive

Standardizza le opzioni delle share SMB e documenta le deviazioni.
Versiona le ACL NTFS con esportazione periodica tramite script.
Automatizza la creazione di share con template PowerShell per evitare errori manuali.
Controlla regolarmente quota e file screening FSRM, incluse soglie di avviso.
Allinea GPO e mappature per puntare esattamente agli stessi percorsi usati via UNC.
Prevedi esenzioni mirate su antivirus e DLP per share ad alto volume di copia.

Risoluzione in un’unica azione

Se il tempo è critico e vuoi massimizzare le probabilità di successo con un intervento minimo, esegui direttamente la ricreazione della share:

Remove-SmbShare -Name "Shared" -Force
New-SmbShare -Name "Shared" -Path "D:\Shares\Shared" `
  -ChangeAccess "Authenticated Users" `
  -FullAccess "Domain Admins","Backup Operators" `
  -FolderEnumerationMode AccessBased

Rimappatura lato client

net use O: /delete /y
net use O: "\FileServer1\Shared" /persistent:yes

Questa sequenza ripristina metadati e spesso elimina il comportamento incoerente osservato dopo la migrazione.

Appendice di comandi utili

# Elenco connessioni SMB attive
Get-SmbSession | Select ClientComputerName, NumOpens, Dialect

Informazioni su condivisioni

Get-SmbShare | Select Name, Path, EncryptData, CachingMode, ContinuouslyAvailable

Permessi di share

Get-SmbShareAccess -Name Shared

ACL NTFS di dettaglio

icacls D:\Shares\Shared /T

Copia diagnostica con log verboso

robocopy "C:\Temp" "O:\Shared" file_test.txt /R:1 /W:0 /V /TEE /LOG:C:\Temp\robolog.txt

Test creazione file zero-byte

fsutil file createnew O:\Sharedprobe.tmp 0

Conclusione

Quando una sola unità mappata non consente la copia ma accetta la creazione di file e la stessa destinazione via UNC funziona, la diagnosi punta quasi sempre a metadati di share incoerenti, a cache client o a policy applicate solo ai drive letter. I controlli sopra, uniti alla ricreazione della share, offrono una soluzione rapida e sicura senza toccare i dati.

Riepilogo operativo

Confronta ACL NTFS e permessi di share.
Allinea impostazioni SMB e verifica FSRM.
Escludi interferenze di sicurezza su unità mappate.
Ripulisci cache e rimappa la lettera.
Se necessario, elimina e ricrea la share.

Nota per i lettori: le istruzioni sono progettate per ambienti Windows Server con client Windows moderni. Adatta i comandi al tuo contesto e applica le modifiche in una finestra di manutenzione con backup aggiornati.