Форум системных администраторов
IT => Windows => Тема начата: goro от 05 февраля 2018, 21:14:55
-
Доброго времени суток.
Возникла необходимость шифровать пеердачу данных по SMB.
На файловом сервере(WS2016) включаю опцию
(http://joxi.ru/ZrJJkXWH174V8r.png)
Проверяю, вроде все работает.
НО на терминальном сервере(WS2008R2) получаю картину
(http://joxi.ru/krDJROeH0nDPR2.png)
Т.е. нет доступа...
SMBv2/v3
включал
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto
Как заставит рботать WS2008R2 c шифрованной шарой?
-
Конечно может помочь команда
Set-SmbServerConfiguration –RejectUnencryptedAccess $false
которая разрешит незашифрованный доступ для клиентов, не поддерживающих SMB 3.0....НО хотелось бы найти возможность всегда использовать SMB3.0, дже на WS2008R2.
Есть такая возможность?
-
2008r2 это только 2.1, на технете обсуждалось неоднократно.
Updated: 05 February 2018, 22:13:45
https://blogs.technet.microsoft.com/josebda/2012/06/06/windows-server-2012-which-version-of-the-smb-protocol-smb-1-0-smb-2-0-smb-2-1-or-smb-3-0-are-you-using-on-your-file-server/
-
Коллеги, а можно ли на контроллере домена на такие шары как NETLOGON, SYSVOL, включить шифрование и разрешить использование SMB2.1(Set-SmbServerConfiguration –RejectUnencryptedAccess $false), но запретить SMB1 ?
-
на такие шары как NETLOGON, SYSVOL, включить шифрование
а с какой целью?
если уж очень необходима безопасность - настройке ipsec внутри домена, 802.1х и т.д.
https://msdn.microsoft.com/en-us/library/cc237121.aspx
Updated: 08 February 2018, 09:32:49
Ибо нетлогон собственно и выступает провайдером создающим защищенный канал передачи данных между контроллерами домена, и рабочими станциями.
NetLogon Service is very important for Domain Controllers. This service is started and configured to start Automatic when you promote a server to Domain Controller. If this service is not running then there are a few things which fail. This article explains the functionality of NetLogon service on Domain Controllers as mentioned below:
This service is responsible for creating Secure Channel between Domain Controllers and client computers. Secure Channel is created to pass the authentication packets.
-
ipsec внутри домена...
Кто использовал? Какие моменты, "подводные камни" нужно учесть?