Práve sme prišli na aktualizáciu MS16-072, ktorá mení zvyčajnú pracovnú schému GPO, ako ste našli problémy s ďalším júnovým bezpečnostným bulletinom - MS16-077 a aktualizovať KB3165191. Po inštalácii tejto aktualizácie na serverové systémy sa stalo nemožným pripojiť sa cez Netbios cez TCP / IP k sieťovým guľkám od klientov umiestnených v iných ip podsieťach..
Tento problém sa prejavil predovšetkým v sieťových skeneroch, ktoré skenujú dokumenty a skenujú v sieťovom priečinku (SMB) na serveri. Dokumenty sa už neukladajú a na skeneri sa zobrazí chyba Nedá sa pripojiť na server. Problémy sa vyskytli aj pri pripájaní klientov Samby k radičom domén (chyby odmietnuté pre prístup a žiadny dostupný prihlasovací server). Je zaujímavé, že problémy s prístupom k guľometom Windows sa vyskytli iba u klientov umiestnených na iných podsieťach ako server.
Po odstránení aktualizácie KB3165191 - bol prístup obnovený.
Uvidíme, čo aktualizácia KB3165191 robí. Podľa opisu aktualizácia ukladá obmedzenia pre pripojenia NETBIOS mimo miestnej podsiete. Sieťové funkcionality závislé od NETBIOS (ako SMB cez NETBIOS, porty 137-139) nebudú pre klientov z iných podsietí fungovať. Obvyklý port protokolu SMB (445) je prístupný odkiaľkoľvek.
Ak chcete zmeniť toto správanie, musíte urobiť jeden z nasledujúcich krokov:
- Odstránenie aktualizácie zabezpečenia KB3165191 (nie najlepšia možnosť)
- V nastaveniach klientov používajúcich NETBIOS prekonfigurujte krátke názvy serverov na FQDN (nikdy nie je neskoro)
- Na serveri vytvorte vetvu registra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\služby\NetBT\parametre parameter typu dword s názvom AllowNBToInternet a hodnota 1 (predvolené po aktualizácii 0).
reg add "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters" / v "AllowNBToInternet" / t REG_DWORD / d 1 / fPo vytvorení parametra musíte reštartovať server.
Výsledkom bude, že server bude k dispozícii klientom NETBIOS z iných podsietí..
