Upravo smo shvatili ažuriranje MS16-072, koje mijenja uobičajeni radni plan GPO-a, kako ste pronašli probleme s drugim junskim sigurnosnim biltenom. - MS16-077 i ažurirati KB3165191. Nakon instaliranja ovog ažuriranja na poslužiteljske sustave, bilo je nemoguće povezati se putem Netbiosa preko TCP / IP-a na mrežne kugle klijenata smještenih na drugim ip podmrežama.
Problem se ponajprije očitovao s mrežnim skenerima, koji skeniraju dokumente i stavljaju skeniranja u mrežnu mapu (SMB) na poslužitelju. Dokumenti se više ne spremaju i pogreška Cannot connect to server se pojavljuje na samom skeneru. Bilo je i problema s povezivanjem Samba klijenata s kontrolerima domene (pristup odbijen i pogreške na poslužitelju prijavljivanja nije bilo). Zanimljivo je da su se problemi s pristupom Windows kuglicama pojavili samo za klijente koji se nalaze na podmrežama osim poslužitelja.
Nakon uklanjanja ažuriranja KB3165191 - pristup je vraćen.
Pogledajmo što radi ažuriranje KB3165191. Prema opisu, ažuriranje nameće ograničenja za NETBIOS veze izvan lokalne podmreže. Dakle, mrežne funkcionalnosti ovisne o NETBIOS-u (poput SMB-a preko NETBIOS-a, portovi 137-139) neće raditi za klijente iz drugih podmreža. Uobičajeni port protokola SMB (445) dostupan je s bilo kojeg mjesta.
Da biste promijenili ovo ponašanje, morat ćete učiniti jedno od sljedećeg:
- Brisanje sigurnosnog ažuriranja KB3165191 (nije najbolja opcija)
- U postavkama klijenata koji koriste NETBIOS, konfigurirajte kratka imena poslužitelja u FQDN (nikad nije kasno)
- Na poslužitelju stvorite u podružnici registra HKEY_LOKALNI_STROJ\SUSTAV\CurrentControlSet\usluge\NetBT\parametri parametar ime dword ime AllowNBToInternet i vrijednost 1 (zadano nakon ažuriranja 0).
reg dodajte "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters" / v "DozvoliNBToInternet" / t REG_DWORD / d 1 / fNakon stvaranja parametra, morate ponovno pokrenuti poslužitelj.
Kao rezultat toga, poslužitelj će postati dostupan NETBIOS klijentima iz drugih podmreža..
