Právě jsme přišli na aktualizaci MS16-072, která mění obvyklý pracovní model GPO, jak byly objeveny problémy s dalším červnovým bulletinem zabezpečení - MS16-077 a aktualizovat KB3165191. Po instalaci této aktualizace na serverové systémy bylo nemožné připojit se přes Netbios přes TCP / IP k síťovým míčkům od klientů umístěných v jiných podsítích ip.
Problém se projevil především u síťových skenerů, které skenují dokumenty a skenují do síťové složky (SMB) na serveru. Dokumenty se již neuloží a na skeneru se zobrazí chyba Nelze se připojit k serveru. Došlo také k problémům s připojením klientů Samba k řadičům domény (chyby odepření přístupu a bez přihlášení k serveru). Je zajímavé, že k problémům s přístupem k míčkům Windows došlo pouze u klientů umístěných na jiných podsítích než na serveru.
Po odstranění aktualizace KB3165191 byl přístup obnoven.
Uvidíme, co aktualizace KB3165191 provádí. Podle popisu aktualizace ukládá omezení pro připojení NETBIOS mimo místní podsíť. Síťové funkce závislé na NETBIOS (jako SMB přes NETBIOS, porty 137-139) tedy nebudou fungovat pro klienty z jiných podsítí. Obvyklý port protokolu SMB (445) je přístupný odkudkoli.
Chcete-li toto chování změnit, musíte provést jednu z následujících akcí:
- Odstranit aktualizaci zabezpečení KB3165191 (není nejlepší volba)
- V nastavení klientů používajících NETBIOS překonfigurujte krátké názvy serverů na FQDN (nikdy není pozdě)
- Na serveru vytvořte ve větvi registru Hkey_MÍSTNÍ_STROJ\SYSTÉM\Currentcontrolset\Služby\Netbt\Parametry parametr typu dword s názvem AllowNBToInternet a hodnotu 1 (výchozí po aktualizaci 0).
reg add "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters" / v "AllowNBToInternet" / t REG_DWORD / d 1 / f
Po vytvoření parametru je třeba restartovat server.
Výsledkem bude, že server bude k dispozici klientům NETBIOS z jiných podsítí..