Éppen kitaláltuk az MS16-072 frissítést, amely megváltoztatja a GPO szokásos működési mintáját, hogy miként fedezték fel a problémákat egy másik júniusi biztonsági közlemény - MS16-077 és frissítse KB3165191. A frissítés szerverrendszereken történő telepítése után lehetetlenné vált a TCP / IP-n keresztüli Netbioson keresztül kapcsolódni a többi ip alhálózaton található ügyfelek hálózati golyóival..
A probléma elsősorban a hálózati szkennerekkel jelentkezett, amelyek dokumentumokat szkennelnek, és a szkennelést a kiszolgáló hálózati mappájába (SMB) teszik. A dokumentumok már nem kerülnek mentésre, és a Nem sikerült a szerverhez kapcsolódás hiba jelenik meg a szkennerben. Problémák merültek fel a Samba ügyfeleknek a tartományvezérlőkkel való összekapcsolásakor is (hozzáférés megtagadva és nincs bejelentkezési kiszolgáló elérhető hiba). Érdekes módon a Windows-golyókhoz való hozzáféréssel kapcsolatos problémák csak a kiszolgálótól eltérő alhálózatokban található ügyfeleknél merültek fel.
A KB3165191 frissítés eltávolítása után - a hozzáférés helyreállt.
Lássuk, mi a KB3165191 frissítés. A leírás szerint a frissítés korlátozásokat vezet be a helyi alhálózaton kívüli NETBIOS kapcsolatokra. Így a NETBIOS-függő hálózati funkciók (például SMB over NETBIOS, a 137-139-es portok) nem fognak működni más alhálózatok ügyfelei számára. A szokásos SMB protokoll (445) port bárhonnan elérhető.
Ennek a viselkedésnek a megváltoztatásához a következők egyikét kell tennie:
- Törölje a KB3165191 biztonsági frissítést (nem a legjobb megoldás)
- A NETBIOS-t használó ügyfelek beállításaiban konfigurálja újra a kiszolgáló rövid neveit az FQDN-re (soha nem késő)
- A kiszolgálón hozzon létre egy regisztrációs ágot HKEY_HELYI_MACHINE\SYSTEM\CurrentControlSet\Szolgáltatások\NetBT\paraméterek a név típusának a paramétere AllowNBToInternet és érték 1 (alapértelmezett frissítés 0 után).
reg hozzá "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters" / v "AllowNBToInternet" / t REG_DWORD / d 1 / fA paraméter létrehozása után újra kell indítania a szervert.
Ennek eredményeként a szerver a többi alhálózatból származó NETBIOS ügyfelek számára elérhetővé válik..
