Току-що разбрахме актуализацията MS16-072, която променя обичайната работна схема на GPO, как открихте проблеми с друг бюлетин за сигурност в юни - MS16-077 и актуализиране KB3165191. След инсталирането на тази актуализация на сървърни системи стана невъзможно да се свържете чрез Netbios през TCP / IP към мрежови топки от клиенти, разположени в други ip подмрежи.
Проблемът се проявява предимно с мрежови скенери, които сканират документи и поставят сканиране в мрежова папка (SMB) на сървъра. Документите вече не се запазват и на самия скенер се появява Cannot connect to server error. Имаше проблеми и при свързването на клиентите на Samba към контролерите на домейни (отказан достъп и грешки без наличен сървър за вход). Интересното е, че проблеми с достъпа до Windows Ball възникнаха само за клиенти, разположени в подмрежи, различни от сървъра.
След премахване на актуализация KB3165191 - достъпът беше възстановен.
Нека да видим какво прави актуализацията KB3165191. Според описанието актуализацията налага ограничения за NETBIOS връзки извън локалната подмрежа. По този начин зависимата от NETBIOS мрежова функционалност (като SMB през NETBIOS, портове 137-139) няма да работи за клиенти от други подмрежи. Обичайният порт за протокол SMB (445) е достъпен отвсякъде.
За да промените това поведение, трябва да направите едно от следните неща:
- Изтриване на актуализацията на защитата KB3165191 (не най-добрата опция)
- В настройките на клиенти, използващи NETBIOS, преконфигурирайте кратки имена на сървъри към FQDN (никога не е късно)
- На сървъра създайте в клона на системния регистър HKEY_МЕСТЕН_мАШИНА\СИСТЕМА\CurrentControlSet\Услуги\NetBT\Параметри параметър на името dword с име AllowNBToInternet и стойност 1 (по подразбиране след актуализация 0).
reg добавете "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Параметри" / v "РазрешаванеNBToInternet" / t REG_DWORD / d 1 / fСлед като създадете параметъра, трябва да рестартирате сървъра.
В резултат сървърът ще стане достъпен за клиенти на NETBIOS от други подмрежи..
