Только разобрались с обновлением MS16-072 , меняющим привычную схему работы GPO, как обнаружились проблемы с еще одним июньским бюллетенем безопасности — MS16-077 и обновлением KB3165191 . После установки этого обновления на серверные системы, стало невозможно подключиться по протоколу Netbios over TCP/IP к сетевым шарам с клиентов, расположенных в других ip подсетях.
Проблема в первую очередь проявилась с сетевыми сканерами, которые выполняют сканирование документов и складывают сканы в сетевую папку (SMB) на сервере. Документы перестали сохранятся, а на самом сканере появляется ошибка Cannot connect to server. Также возникли проблемы при подключении Samba клиентов к контроллерам домена (ошибки Access Denied и No Logon Server Available). Что интересно, проблемы с доступом к Windows шарам возникли только у клиентов, расположенных в отличных от сервера подсетях.
После удаления обновления KB3165191 – доступ восстанавливался.
Посмотрим, что же делает обновление KB3165191 . Согласно описанию, обновление накладывает ограничения на соединения NETBIOS из-за пределов локальной подсети. Таким образом, сетевой функционал, зависящий от NETBIOS (такой как SMB over NETBIOS, порты 137-139) не будет работать для клиентов из других подсетей. Обычный протокол SMB (445) порт при этом доступен отовсюду.
Чтобы изменить это поведение придется выполнить одно из следующих действий:
- Удалить обновление безопасности KB3165191 (не самый лучший вариант)
- В настройках клиентов, использующих NETBIOS перенастроить короткие имена серверов на FQDN (никогда не поздно)
- На сервере создать в ветке реестра HKEY _ LOCAL _ MACHINE SYSTEM CurrentControlSet Services NetBT Parameters параметр типа Dword с именем AllowNBToInternet и значением 1 (по умолчанию после обновления 0).
reg add "HKLMSystemCurrentControlSetServicesNetBTParameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /f
После создания параметра нужно перезагрузить сервер.
В результате, сервер станет доступен NETBIOS клиентам из других подсетей.