SMB1 deaktivieren - SMB2/3 Problem

[Markus1991 0]

Hallo,

wir haben auf unseren Server2012R2 Smb 1 laut Microsoft Anleitung deaktiviert. Soweit so gut SMB2 Aktivierung war auch erfolgreich. 

 

Nun passiert etwas kurioses: ich kann nicht nachvollziehen warum aber nach ein paar Stunden deaktiviert irgendwas SMB2/3. das kann ich per PowerShell Abfrage sehen. Auch in der Ereignisanzeige steht das Smb 2 deaktiviert wurde. Aber warum steht da nicht. Somit hat der Server keine Smb Version mehr aktiviert. Könnt ihr mir paar Tips geben?

[NorbertFe 2.089]

Smb2 muss man nicht aktivieren. Das ist seit Vista immer per default aktiv. Dann schau nach ob du per policy die Deaktivierung vornimmst. Oder per task. Welche Anleitung habt ihr genutzt? Hier noch eine:

https://www.gruppenrichtlinien.de/artikel/smbv1-netzwerkweit-deaktivieren/

bearbeitet 12. Dezember 2018 von NorbertFe

[Markus1991 0]

Ich habe diese Anleitung benutzt:

https://support.microsoft.com/de-de/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and

 

Policy hab ich mit gpupdate getestet. Danach war SMB 2 aktiv und 1 inaktiv. Wie vorher. Einen passenden Task habe ich leider auch nicht gefunden. 

[NorbertFe 2.089]

Tja und wann passiert das? Wirst du wohl erstmal mehr Infos sammeln müssen. ;)

[Markus1991 0]

Das ist schwieriger als gedacht. Ich habe deine Vorwchlag angewendet mit den GPO

 

letzter Ausfall war 19:04,

heute morgen dann 07:06. ich finde keinen Task oder keine GPO die darauf passt. Ich finde auch kein Ereignis in den Logs. Es wird jedenfalls die LanmanServer Parameters verändert. Dort wird für SMB2 der Wert 0 gesetzt

 

kann man diesen Zugriff sperren?

[NorbertFe 2.089]

Kann man bestimmt, aber gegen wen? ;) wie groß ist denn dein Netz?

bearbeitet 13. Dezember 2018 von NorbertFe

[Markus1991 0]

Toll, pünktlich - diesmal 19:08 wurde der Regitrykey wieder verändert. Kann man tracken durch was die Änderung ausgelöst wird?

Das Netz umfasst 10 Client PCs und Drucker etc.

 

SMB2 und SMB3 wurden auf diesem Server deaktiviert. Dies bedeutet eine Beeinträchtigung der Funktionalität und Leistung.

Registrierungsschlüssel: HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters
Registrierungswert: Smb2
Standardwert: 1 (oder nicht vorhanden)
Aktueller Wert: 0

Erläuterung:

Dieses Ereignis kann auftreten, wenn Sie SMB2/SMB3 deaktivieren. Microsoft rät davon ab, SMB2/SMB3 zu deaktivieren. Die Deaktivierung von SMB3 verhindert die Verwendung von Features wie etwa SMB Transparent Failover, SMB Scale Out, SMB Multichannel, SMB Direct (RDMA), SMB Encryption, VSS for SMB File Shares sowie SMB Directory Leasing. SMB bietet in den meisten Fällen eine Möglichkeit der Problembehandlung als Alternative zur Deaktivierung von SMB2/SMB3. Verwenden Sie das Windows PowerShell-Cmdlet Set-SmbServerConfiguration zum Aktivieren von SMB2/SMB3.

[NorbertFe 2.089]

Wer hat auf dem Server alles adminrechte?

[Weingeist 159]

Also wenn das so regemässig ist, gleiche Zeit etc. ist, dann liegt der verdacht schon nahe, dass irgendwo eine GPO, Local Policy oder ein Script aktiviert muss.

 

- Lokale Aufgabenplanung durchackern auf Scripts

- alle Scripts die irgendwo in GPO definiert sind

- Alle GPO's mit SMB Einstellungen

- Alle Reghives die in GPO's unter unter dem Hauptpunkt Einstellungen definiert sind

- Autostart (Systemkonfig)

- Autostart Starmenü von allen Benutzern und dem allgemeinen Profil

 

Dann könntest noch erweitertes Firewall Login einschalten, dann kannst schauen ob zu dieser Zeit Remote-Zugriffe getätigt wurden. Das hilft eigentlich bei sehr vielen Problemen um die Sache einzugrenzen.

--> auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable