Frage zur SMB Signierungs-GPO

[Assassin 13]

Servus, wie sollte man optimalerweise in einem Domänen-Netzwerk die SMB Signierung einstellen?

Es gibt ja insgesamt 4 Regeln:

1. Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)

2. Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt)

3. Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)

4. Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt)

 

sollte man Regel 1 und 3 auf aktiviert setzen und Regel 2 und 4 auf deaktiviert setzen, oder wird Regel 2 und 4 durch Regel 1 und 3 ohnehin ausgehebelt?

So richtig schlau werde ich aus der MS Beschreibung nicht: https://go.microsoft.com/fwlink/?LinkID=787136

für SMB1 und SMB2 gilt wenn SMB Signierung erforderlich ist, ist die Regel 1 und 3 zu aktivieren. Regel 2 und 4 würde nur für SMB1 greifen, aber wenn bereits Regel 1 und 3 aktiviert ist - gilt das dann auch zwingend für SMB1?

Ist es dann egal ob Regel 2 und 4 zusätzlich aktiv ist? Oder wäre eine unsignierte Kommunikation über SMB1 dann dennoch möglich (auch wenn Regel 1 und 3 aktiv sind)

 

 

und: Es soll ja einen Leistungseinbruch geben bei aktivierter Signierung, was beim 10G Netzwerk wohl noch höher ausfallen soll. Was mach ich aber bei einem HyperV Failover-Cluster der die VMs per Livemigration via SMB auf ein anderen Knoten schiebt - das würde ja dann auch langsamer gehen, oder?

bearbeitet 8. März 2022 von Assassin

[cj_berlin 1.323]

Moin,

 

"Wenn Server zustimmt" greift nur bei SMB1, was bei Dir hoffentlich deaktiviert ist. Bei SMB2 und 3 wird die Signierung ausgehandelt, sobald mindestens einer der Partner sie fordert. Das heißt, theoretisch kannst Du sogar nur 1 oder 3 aktivieren.

 

Ist bei Dir SMB1 noch in Verwendung, hast Du größere Probleme. Dort funktionieren die Einstellungen aber so wie intuitiv erwartet. Referenz: https://techcommunity.microsoft.com/t5/storage-at-microsoft/configure-smb-signing-with-confidence/ba-p/2418102

 

Mit der Performance ist es so eine Sache. Wenn Du von Deiner 10G-Leitung derzeit nur die Hälfte auslastest, würde Dir ein Verlust von 20% nicht wirklich weh tun. Mehr als das sollte es nicht werden. Signierung und RDMA zusammen kann zu Problemen führen. Auf Hyper-V-Clustern würde ich eher nach Wegen suchen, SMB-Signierung innerhalb des Clusters nicht zu erzwingen. Du kannst ja SMB Inboud per Firewall nur auf die Clusterknoten begrenzen und Outbound wird dann signiert, weil die Server außerhalb des Clusters das fordern.

[Assassin 13]

Serverseitig haben wir natürlich überall SMB1 deaktiviert gelassen, es gibt aber einen Windows 10 Client, welcher leider SMB1 aktiviert haben muss (da aber auch nur SMB1 Client - NICHT Server) weil dieser PC mit ein paar Spezial-Druckern kommunizieren muss. die Drucker sind zwar als Drucker unter Windows10 installiert, allerdings als File-Pipe, das Druckobjekt wird als zip vom Treiber verpackt und per SMB1 an die Drucker geschickt...Fragt nicht - es gibt vom Hersteller leider nix "moderneres" 

Mir ist halt nur aufgefallen, dass gerade bei den Clients standardmäßig eine der "wenn gegenseite zustimmt" Option aktiv ist - ich hab aber nur die GPO ausgerollt das Client und Server immer signieren sollen und alles andere auf unkonfiguriert gelassen in der GPO.

 

die HyperV knoten haben keine RDMA NICs drin, daher arbeite ich da mit SMB Komprimieren für die Livemigration. Schade nur, dass immer nur eine der zwei möglichen 10G Netzwerkkarten genutzt wird obwohl ich 4 VMs gleichzeitig migrieren lasse -.-

bearbeitet 8. März 2022 von Assassin

[testperson 1.687]

Hi,

 

vor 34 Minuten schrieb Assassin:

die HyperV knoten haben keine RDMA NICs drin, daher arbeite ich da mit SMB Komprimieren für die Livemigration. Schade nur, dass immer nur eine der zwei möglichen 10G Netzwerkkarten genutzt wird obwohl ich 4 VMs gleichzeitig migrieren lasse -.-

 

wie oft migrierst du denn die VMs tagtäglich hin und her, dass das "so ins Gewicht" fällt? Alternativ lässt sich das sicherlich ändern, ob das aber dann am Ende des Tages sinnvoll ist, steht auf einem anderem Blatt.

 

Gruß

Jan

[Assassin 13]

natürlich nicht so häufig

Aber ich finde es halt schade dass man was Konstruiert hat aber nicht voll ausgereizt wird...gut klar, redundanz war da eigentlich eher das Ziel Aber wenns schon mal da ist, will man das doch gern mit nutzen finde ich.

1-2x im Monat schubse ich die VMs umher zwecks Windows-Updates auf den Hosts. Und das dauert dann natürlich ein paar Minuten bei 25 VMs mit insgesamt 320GB Ram verbrauch. Und wenn ich sehe dass Windows - warum auch immer - alles nur über eine 10G Leitung schiebt statt die zweite mit zu nutzen, bringt das immer leichte selbstzweifel auf warum es das so macht.

 

 

Aber um nochmal auf das eigentliche Thema zurück zu kommen - es ist egal ob ich jetzt noch zusätzlich die Regel 2 und 4 deaktiviere oder aktiviert lasse, da regel 1&3 aktiv ist und damit über den anderen (default) Einstellungen steht?

bearbeitet 8. März 2022 von Assassin

[NilsK 2.940]

Moin,

 

vor 58 Minuten schrieb Assassin:

nd wenn ich sehe dass Windows - warum auch immer - alles nur über eine 10G Leitung schiebt statt die zweite mit zu nutzen, bringt das immer leichte selbstzweifel auf warum es das so macht.

unterschätze nicht den CPU-Bedarf solcher Aktionen. Es ist ja nicht nur das Netzwerk. Die VMs sollen während der Zeit ja auch noch arbeiten. Eine Live Migration ist kein zeitkritischer Vorgang. Falls doch, ist das eher ein Hinweis, dass das Betriebskonzept an anderer Stelle nicht passt.

 

Zu der eigentlichen Frage: Sieh es doch mal logisch. Wenn du "immer" aktivierst, ist es dann noch von Belang, "bei Zustimmung" zu aktivieren - insbesondere wenn du weißt, dass diese Einstellung nur ein Protokoll betrifft, das du gar nicht einsetzt?

 

Gruß, Nils