Właśnie wymyśliliśmy aktualizację MS16-072, która zmienia zwykły schemat działania GPO, w jaki sposób znalazłeś problemy z innym czerwcowym biuletynem zabezpieczeń - MS16-077 i aktualizacja KB3165191. Po zainstalowaniu tej aktualizacji w systemach serwerowych niemożliwe stało się połączenie przez Netbios przez TCP / IP z kulkami sieciowymi od klientów znajdujących się w innych podsieciach IP.
Problem pojawił się przede wszystkim w skanerach sieciowych, które skanują dokumenty i umieszczają skany w folderze sieciowym (SMB) na serwerze. Dokumenty nie są już zapisywane, a błąd Nie można połączyć się z serwerem pojawia się na samym skanerze. Wystąpiły również problemy z połączeniem klientów Samby z kontrolerami domeny (błędy odmowy dostępu i braku serwera logowania). Co ciekawe, problemy z dostępem do kulek systemu Windows występowały tylko w przypadku klientów znajdujących się w podsieciach innych niż serwer.
Po usunięciu aktualizacji KB3165191 - dostęp został przywrócony.
Zobaczmy, co robi aktualizacja KB3165191. Zgodnie z opisem aktualizacja nakłada ograniczenia na połączenia NETBIOS spoza lokalnej podsieci. Dlatego funkcje sieciowe zależne od NETBIOS (takie jak SMB przez NETBIOS, porty 137-139) nie będą działać dla klientów z innych podsieci. Zwykły port protokołu SMB (445) jest dostępny z dowolnego miejsca.
Aby zmienić to zachowanie, musisz wykonać jedną z następujących czynności:
- Usuń aktualizację zabezpieczeń KB3165191 (nie najlepsza opcja)
- W ustawieniach klientów korzystających z NETBIOS zmień konfigurację krótkich nazw serwerów na FQDN (nigdy nie jest za późno)
- Na serwerze utwórz w gałęzi rejestru Klucz_LOKALNIE_MASZYNA\SYSTEM\Currentcontrolset\Usługi\Netbt\Parametry parametr typu dword o nazwie AllowNBToInternet i wartość 1 (domyślnie po aktualizacji 0).
reg dodaj „HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters” / v „AllowNBToInternet” / t REG_DWORD / d 1 / fPo utworzeniu parametru musisz zrestartować serwer.
W rezultacie serwer stanie się dostępny dla klientów NETBIOS z innych podsieci..
