Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей | Windows для системных администраторов

Проблемы с доступом к шарам по SMB over NETBIOS из других подсетей

Только разобрались с обновлением MS16-072, меняющим привычную схему работы GPO, как обнаружились проблемы с еще одним июньским бюллетенем безопасности — MS16-077 и обновлением KB3165191. После установки этого обновления на серверные системы, стало невозможно подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях.

Проблема в первую очередь проявилась с сетевыми сканерами, которые выполняют сканирование документов и складывают сканы в сетевую папку (SMB) на сервере. Документы перестали сохранятся, а на самом сканере появляется ошибка Cannot connect to server. Также возникли проблемы при подключении Samba клиентов к контроллерам домена (ошибки Access Denied  и No Logon Server Available). Что интересно, проблемы с доступом к Windows шарам возникли только у клиентов, расположенных в отличных от сервера подсетях.

После удаления обновления KB3165191 – доступ восстанавливался.

Посмотрим, что же делает обновление KB3165191. Согласно описанию, обновление накладывает ограничения на соединения NETBIOS из-за пределов локальной подсети. Таким образом, сетевой функционал, зависящий от NETBIOS (такой как SMB over NETBIOS, порты 137-139) не будет работать для клиентов из других подсетей. Обычный протокол SMB (445) порт при этом доступен отовсюду.

Чтобы изменить это поведение придется выполнить одно из следующих действий:

  • Удалить обновление безопасности KB3165191 (не самый лучший вариант)
  • В настройках клиентов, использующих NETBIOS перенастроить короткие имена серверов на FQDN (никогда не поздно)
  • На сервере создать в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters параметр типа Dword с именем  AllowNBToInternet и значением 1 (по умолчанию после обновления 0). AllowNBToInternet
    reg add "HKLM\System\CurrentControlSet\Services\NetBT\Parameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /f

    После создания параметра нужно перезагрузить сервер.

В результате, сервер станет доступен NETBIOS клиентам из других подсетей.

Еще записи по теме: Microsoft Patch Day
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Есть 1 комментарий

Оставить комментарий
  1. Sergey | 09.07.2016

    Спасибо….как раз кстати

    Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.24MB/0.00125 sec