KB3161949は、ローカルサブネット外のNETBIOSアクセスを介してSMBを中断します
おなじみのGPOメカニズムを破るMS16-072アップデートの処理方法を学習したばかりで、6月にリリースされた別のセキュリティ情報に新しい問題が発生しました— MS16-077 およびKB3161949 アップデート。この更新プログラムがサーバーシステムにインストールされた後、他のサブネットのクライアントは、TCP/IPを介してNetbiosを使用して共有に接続できなくなります。
まず、問題は、ドキュメントをスキャンしてコピーをサーバー上のネットワーク共有(SMB)に保存するネットワークスキャナーで発生しました。ドキュメントは保存されなくなり、スキャナーは次のエラーを返します:サーバーに接続できません 。また、Sambaクライアントのドメインコントローラーへの接続にいくつかの問題が発生しました(エラーアクセスが拒否されました または利用可能なログオンサーバーがありません )。最も興味深いのは、Windows共有へのアクセスの問題が、サーバー以外のサブネットにあるクライアントでのみ発生したことです。
KB3165191の更新が削除された後、アクセスの問題は発生していません。
KB3161949アップデートの機能を見てみましょう。その説明によると、この更新により、ローカルサブネット外のNETBIOS接続が制限されます。したがって、NETBIOSに依存するネットワーク機能(SMB over NETBIOS、ポート137〜139など)は、他のサブネットのクライアントでは機能しません。共通のSMBプロトコル(ポート445)は双方向で利用できます。
この動作を変更するには、次のいずれかを実行する必要があります。
- セキュリティアップデートKB3161949をアンインストールします(最善の方法ではありません)
- AllowNBToInternetという名前のDwordパラメータを作成します 値1 (アップデートのインストール後、0に設定されます)in HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters サーバー上のレジストリのブランチ
また、cmd reg add "HKLM\System\CurrentControlSet\Services\NetBT\Parameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /fまたはPowerShell
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters -Name AllowNBToInternet -Type DWord -Value 1 - パラメータが作成されたら、サーバーを再起動します。
その結果、サーバーは他のサブネットのNETBIOSクライアントで利用できるようになります。
-
Windows11/10のリモートアクセスを使用したAlwaysOnVPNの展開
DirectAccessは、Windowsユーザーがリモートで接続できるようにする機能としてWindows8.1およびWindowsServer2012オペレーティングシステムに導入されました。ただし、 Windows 11/10のリリース後 、このインフラストラクチャの展開は減少しています。 Microsoftは、DirectAccessソリューションを検討している組織に対して、代わりにWindows10でクライアントベースのVPNを実装することを積極的に奨励してきました。このAlways On VPN 接続は、IKEv2、SSTP、L2TP/IPsecなどの従来のリモートアクセスVPNプ
-
Synology NAS ドライブをローカル ネットワーク外 (インターネット経由) にマップする方法。
このガイドには、NAS 共有ドライブをローカル ネットワーク外のネットワーク ドライブとしてマップ (マウント) できるようにするために、Synology NAS DiskStation を WebDav でセットアップする方法の詳細な手順が含まれています。 (Windows 10、7、8 または 7 OS)。数日前、クライアントの 1 つに NAS ドライブ (具体的には Synology NAS DiskStation DS418) をインストールしました。インストール中に、私のクライアントは、Synology の Web インターフェース (基本的なタスクを実行するのに優れている) を使