Kami baru saja menemukan pembaruan MS16-072, yang mengubah skema kerja GPO biasa, bagaimana Anda menemukan masalah dengan buletin keamanan Juni lainnya - MS16-077 dan perbarui KB3165191. Setelah menginstal pembaruan ini pada sistem server, menjadi tidak mungkin untuk terhubung melalui Netbios melalui TCP / IP ke bola jaringan dari klien yang berada di subnet ip lainnya.
Masalahnya terutama diwujudkan dengan pemindai jaringan, yang memindai dokumen dan menempatkan pindaian di folder jaringan (SMB) di server. Dokumen tidak lagi disimpan, dan kesalahan Tidak dapat terhubung ke server muncul pada pemindai itu sendiri. Ada juga masalah yang menghubungkan klien Samba ke pengontrol domain (Access Denied dan No Logon Server Available error). Menariknya, masalah dengan akses ke bola Windows terjadi hanya untuk klien yang berada di subnet selain dari server.
Setelah menghapus pembaruan KB3165191 - akses dipulihkan.
Mari kita lihat apa yang dilakukan pembaruan KB3165191. Menurut uraian, pembaruan memaksakan pembatasan pada koneksi NETBIOS dari luar subnet lokal. Dengan demikian, fungsionalitas jaringan yang bergantung pada NetBIOS (seperti SMB melalui NETBIOS, port 137-139) tidak akan berfungsi untuk klien dari subnet lain. Port protokol SMB (445) yang biasa dapat diakses dari mana saja.
Untuk mengubah perilaku ini, Anda harus melakukan salah satu dari yang berikut:
- Hapus pembaruan keamanan KB3165191 (bukan opsi terbaik)
- Dalam pengaturan klien menggunakan NETBIOS, mengkonfigurasi ulang nama pendek server ke FQDN (tidak pernah terlambat)
- Di server, buat di cabang registri Hkey_LOKAL_MESIN\SISTEM\Pengaturan saat ini\Layanan\Netbt\Parameter parameter jenis kata yang bernama AllowNBToInternet dan nilai 1 (default setelah pembaruan 0).
reg tambahkan "HKLM \ System \ CurrentControlSet \ Services \ NetBT \ Parameters" / v "AllowNBToInternet" / t REG_DWORD / d 1 / f
Setelah membuat parameter, Anda harus me-restart server.
Akibatnya, server akan tersedia untuk klien NETBIOS dari subnet lainnya..