Тільки розібралися з оновленням MS16-072, що змінює звичну схему роботи GPO, як виявилися проблеми з ще одним червневим бюлетенем безпеки - MS16-077 і оновленням KB3165191. Після установки цього оновлення на серверні системи, стало неможливо підключитися по протоколу Netbios over TCP / IP до мережевих кулях з клієнтів, розташованих в інших ip подсетях.
Проблема в першу чергу проявилася з мережевими сканерами, які виконують сканування документів і складають скани в мережеву папку (SMB) на сервері. Документи перестали збережуться, а на самому сканері з'являється помилка Can not connect to server. Також виникли проблеми при підключенні Samba клієнтів до контролерів домену (помилки Access Denied і No Logon Server Available). Що цікаво, проблеми з доступом до Windows кулях виникли тільки у клієнтів, розташованих в відмінних від сервера подсетях.
Після видалення оновлення KB3165191 - доступ відновлювався.
Подивимося, що ж робить оновлення KB3165191. Відповідно до опису, оновлення накладає обмеження на з'єднання NETBIOS з-за меж локальної підмережі. Таким чином, мережевий функціонал, що залежить від NETBIOS (такий як SMB over NETBIOS, порти 137-139) не працюватиме для клієнтів з інших підмереж. Звичайний протокол SMB (445) порт при цьому доступний звідусіль.
Щоб змінити цю поведінку доведеться виконати одну з наступних дій:
- Видалити оновлення безпеки KB3165191 (не найкращий варіант)
- В налаштуваннях клієнтів, які використовують NETBIOS переналаштувати короткі імена серверів на FQDN (ніколи не пізно)
- На сервері створити в гілці реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters параметр типу Dword з ім'ям AllowNBToInternet і значенням 1 (За замовчуванням після поновлення 0).
reg add "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters" / v "AllowNBToInternet" / t REG_DWORD / d 1 / fПісля створення параметра потрібно перезавантажити сервер.
В результаті, сервер стане доступний NETBIOS клієнтам з інших підмереж.
