xcabur
Goto Top

Keine Zugriff auf Freigaben, wenn SMB2 und SMB1 deaktiviert sind

Hallo zusammen

Ich habe hier ein Problem, welches ich mir nicht erklären kann und hoffe, dass mir jemand einen Tipp hat:

Ich wollte auf einem Windows 20012 R2 Fileserver SMB2 und SMB1 deaktivieren, um SMB3 zu forcieren. Danach ist allerdings der Zugriff auf die Freigabe generell nicht mehr möglich.

Verhalten reproduzieren:
  • Von Server1 (Windows 2012 R2) auf \\Server2\c$ (Windows 2012 R2) zugreifen --> Zugriff erfolgreich
  • Auf Server1 sicherstellen, dass die aktive Verbindung SMB3 verwendet ("Get-SmbConnection Server2 | select -Property ShareName, Dialect, Encrypted" --> Dialect = 3.02)
  • Auf Server2 SMB2 und SMB1 deaktivieren (Set-SmbServerConfiguration -EnableSMB2Protocol $false -EnableSMB1Protocol $false -Force)
  • Auf Server2 den SMB Service neustarten (Restart-Service server -force)
  • Von Server1 (Windows 2012 R2) erneut auf \\Server2\c$ (Windows 2012 R2) zugreifen --> Zugriff NICHT erfolgreich

Kann dies irgend jemand nachvollziehen und/oder erklären?

Schon mal danke!

Content-Key: 362375

Url: https://administrator.de/contentid/362375

Printed on: May 23, 2024 at 16:05 o'clock

Member: colinardo
Solution colinardo Jan 25, 2018 updated at 11:34:36 (UTC)
Goto Top
Servus,
Kann dies irgend jemand nachvollziehen und/oder erklären?
SMB2 und 3 teilen sich den selben Protocol-Stack, ein Deaktivieren von SMB2 deaktiviert automatisch auch die SMB3 Funktionalität da sie von SMB2 abhängig sind.
https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-an ...

Grüße Uwe
Member: xcabur
xcabur Jan 25, 2018 at 12:01:06 (UTC)
Goto Top
Ah, alles klar. Dies habe ich überlesen. Gruss und Danke!
Member: DerWoWusste
DerWoWusste Jan 25, 2018, updated at Apr 27, 2018 at 07:02:03 (UTC)
Goto Top
Nur als Randnotiz:

Wenn es dir darum geht, Verschlüsselung zu nutzen, dann ist es mit smb v3 alleine nicht getan.
Kommando 1:
Set-SmbServerConfiguration –EncryptData $true
danach Neustart. Nun wird verschlüsselt und es können ausschließlich Geräte zugreifen, die SMBv3 beherrschen.
Bei Bedarf noch Kommando 2:
Set-SmbServerConfiguration –RejectUnencryptedAccess 0
ebenso ein Neustart nötig
Nun können auch Geräte zugreifen, die SMBv3 nicht können, aber zu solchen, die es können, werden die Daten verschlüsselt übertragen.
Siehe auch https://blogs.msdn.microsoft.com/openspecification/2012/06/08/encryption ...
Probe: (zunächst von eurem PC zu einem Share im explorer verbinden bzw. dir \\server\share auf der Shell)
Get-SmbConnection Servername | select -Property ShareName, Dialect, Encrypted
Wenn verschlüsselt, enthält der Output die Zeilen
ShareName        Dialect   Encrypted
---------        -------   ---------
sharename        3.1.1        True

Edit: siehe auch https://www.rootusers.com/enable-smb-encryption-on-smb-shares/