xcabur
Goto Top

Keine Zugriff auf Freigaben, wenn SMB2 und SMB1 deaktiviert sind

Hallo zusammen

Ich habe hier ein Problem, welches ich mir nicht erklären kann und hoffe, dass mir jemand einen Tipp hat:

Ich wollte auf einem Windows 20012 R2 Fileserver SMB2 und SMB1 deaktivieren, um SMB3 zu forcieren. Danach ist allerdings der Zugriff auf die Freigabe generell nicht mehr möglich.

Verhalten reproduzieren:
  • Von Server1 (Windows 2012 R2) auf \\Server2\c$ (Windows 2012 R2) zugreifen --> Zugriff erfolgreich
  • Auf Server1 sicherstellen, dass die aktive Verbindung SMB3 verwendet ("Get-SmbConnection Server2 | select -Property ShareName, Dialect, Encrypted" --> Dialect = 3.02)
  • Auf Server2 SMB2 und SMB1 deaktivieren (Set-SmbServerConfiguration -EnableSMB2Protocol $false -EnableSMB1Protocol $false -Force)
  • Auf Server2 den SMB Service neustarten (Restart-Service server -force)
  • Von Server1 (Windows 2012 R2) erneut auf \\Server2\c$ (Windows 2012 R2) zugreifen --> Zugriff NICHT erfolgreich

Kann dies irgend jemand nachvollziehen und/oder erklären?

Schon mal danke!

Content-ID: 362375

Url: https://administrator.de/contentid/362375

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

colinardo
Lösung colinardo 25.01.2018 aktualisiert um 12:34:36 Uhr
Goto Top
Servus,
Kann dies irgend jemand nachvollziehen und/oder erklären?
SMB2 und 3 teilen sich den selben Protocol-Stack, ein Deaktivieren von SMB2 deaktiviert automatisch auch die SMB3 Funktionalität da sie von SMB2 abhängig sind.
https://support.microsoft.com/en-us/help/2696547/how-to-detect-enable-an ...

Grüße Uwe
xcabur
xcabur 25.01.2018 um 13:01:06 Uhr
Goto Top
Ah, alles klar. Dies habe ich überlesen. Gruss und Danke!
DerWoWusste
DerWoWusste 25.01.2018, aktualisiert am 27.04.2018 um 09:02:03 Uhr
Goto Top
Nur als Randnotiz:

Wenn es dir darum geht, Verschlüsselung zu nutzen, dann ist es mit smb v3 alleine nicht getan.
Kommando 1:
Set-SmbServerConfiguration –EncryptData $true
danach Neustart. Nun wird verschlüsselt und es können ausschließlich Geräte zugreifen, die SMBv3 beherrschen.
Bei Bedarf noch Kommando 2:
Set-SmbServerConfiguration –RejectUnencryptedAccess 0
ebenso ein Neustart nötig
Nun können auch Geräte zugreifen, die SMBv3 nicht können, aber zu solchen, die es können, werden die Daten verschlüsselt übertragen.
Siehe auch https://blogs.msdn.microsoft.com/openspecification/2012/06/08/encryption ...
Probe: (zunächst von eurem PC zu einem Share im explorer verbinden bzw. dir \\server\share auf der Shell)
Get-SmbConnection Servername | select -Property ShareName, Dialect, Encrypted
Wenn verschlüsselt, enthält der Output die Zeilen
ShareName        Dialect   Encrypted
---------        -------   ---------
sharename        3.1.1        True

Edit: siehe auch https://www.rootusers.com/enable-smb-encryption-on-smb-shares/