Windows Server 2012 R2 – Windows Server 2016’da SMB 1.0 desteği

Okuma süresi - 6 dk.


Windows Server 2012 R2’den itibaren SMB 3 protokolünün yeni bir sürümü olan SMB 3.02 sunuldu. Artık eski SMB 1.0 protokolünün sürücüsünü devre dışı bırakabilir ve bileşenlerinin yüklenmesini engelleyebilirsiniz. SMB 1.0 protokolünü devre dışı bırakırsanız, eski OS sürümleri (Windows XP, Server 2003) ve uyumlu istemciler, Mac OSX 10.8 Mountain Lion, Snow Leopard, Mavericks, önceki Linux sürümleri) Windows 2012 R2 / Windows 2016 dosya sunucuları üzerinde bulunan paylaşılan dosyalara erişemez.

Windows’da SMB sürümleri

SMB (Server Message Block, bazen LAN Manager olarak da adlandırılır) dosyalara, yazıcılara ve diğer ağ hizmetlerine uzaktan erişim için kullanılan bir ağ protokolüdür. Bağlantı, 445 numaralı TCP bağlantı noktasını kullanır. SMB protokolünün farklı versiyonları, aşağıdaki Windows sürümlerinde gösterilmiştir.

  • CIFS – Windows NT 4.0
  • SMB 1.0 – Windows 2000
  • SMB 2.0 – Windows Server 2008 ve Windows Vista SP1
  • SMB 2.1 – Windows Server 2008 R2 ve Windows 7
  • SMB 3.0 – Windows Server 2012 ve Windows 8 ( SMB şifrelemesi eklendi )
  • SMB 3.02 – Windows Server 2012 R2 ve Windows 8.1
  • SMB 3 .1.1 – Windows Server 2016 ve Windows 10

SMB protokolü üzerinden ağ iletişiminde, hem istemci hem de sunucu tarafından desteklenen SMB protokolünün en yüksek versiyonunu kullanır.

SMB sürüm uyumluluğunun özet tablosunu aşağıda görebilirsiniz. Bu tabloyu kullanarak, Windows’un farklı sürümleri etkileşimde bulunduğunda seçilen SMB protokolünün sürümünü belirleyebilirsiniz.

Operation SystemWindows 10, Server 2016Windows 8.1,
Server 2012 R2
Windows 8,
Server 2012
Windows 7,
Server 2008 R2
Windows Vista,
Server 2008
Windows XP, Server 2003 and earlier
Windows 10 ,
Windows Server 2016
SMB 3.1.1SMB 3.02SMB 3.0SMB 2.1SMB 2.0SMB 1.0
Windows 8.1 ,
Server 2012 R2
SMB 3.02SMB 3.02SMB 3.0SMB 2.1SMB 2.0SMB 1.0
Windows 8 ,
Server 2012
SMB 3.0SMB 3.0SMB 3.0SMB 2.1SMB 2.0SMB 1.0
Windows 7,
Server 2008 R2
SMB 2.1SMB 2.1SMB 2.1SMB 2.1SMB 2.0SMB 1.0
Windows Vista,
Server 2008
SMB 2.0SMB 2.0SMB 2.0SMB 2.0SMB 2.0SMB 1.0
Windows XP, 2003 and earlierSMB 1.0SMB 1.0SMB 1.0SMB 1.0SMB 1.0SMB 1.0

 

Örneğin, Windows 7 çalıştıran bir istemci bilgisayar Windows Server 2012 R2 olan bir dosya sunucusuna bağlanırsa, SMB 2.1 protokolü kullanılacaktır.

İpucu→ PowerShell kullanarak istemcinin sunucuya bağlandığı SMB protokolünün sürümünü kontrol edebilirsiniz.Get-SmbConnection

Dosya sunucusu tarafında, istemcilerin şu anda kullandığı SMB iletişim kurallarının bir listesini görüntüleyebilirsiniz. Komutu aşağıdaki gibidir.

Get-SmbSession | Select-Object -ExpandProperty Dialect | Sort-Object -Unique

Tabloya göre, Windows XP ve Windows Server 2003, yalnızca Windows Server’ın (2012 R2 / 2016) yeni sürümlerinde klasörlere ve dosyalara erişmek için yalnızca SMB 1.0 kullanabilir. Altyapınız Windows XP (artık desteklenmiyor), Windows Server 2003 / R2 ve Windows Server 2012 R2 / 2016 çalıştıran sunucular kullanıyorsa, eski istemcilerin dosya ve klasörlere erişemeyeceğini bilmeniz gerekir. Windows Server 2016/2012 R2 bir domain controller olarak kullanılıyorsa, Windows XP / Server 2003 istemcilerinin oturum açma komut dosyalarını (NETLOGON) yürütemeyeceği ve etki alanındaki ağ klasörlerinde saklanan bazı grup ilkelerini uygulayamayacağı anlamına gelir. (örneğin, ADMX templates için Central Store kullanırken). SMBv1 devre dışı bırakılmış bir dosya sunucusunda paylaşılan bir klasöre bağlanmayı denerseniz, istemci aşağıdaki hata ile karşılacaktır.

The specified network name is no longer available

SMBv1 Protokolü’nün riskleri

Bugün SMB 1.0 protokolü çok sayıda kritik zafiyete sahiptir. (SMBv1 protokolündeki güvenlik açığından yararlanan WannaCry ve NotPetya). Microsoft ve diğer BT şirketleri, ağınızda SMBv1 kullanmayı bırakmanızı kesinlikle önermektedirler.

Ağınızda Windows XP ve Windows Server 2003 / R2 çalıştıran istemciler varsa, işletim sistemlerinin daha yeni sürümlere migrate edilmeleri veya dikkatli bir şekilde izole edilmeleri gerekir.

Windows Server 2012 R2’de SMB 1.0

Windows Server 2012 R2 bileşenlerinin listesini açarsanız, yüklü olmayan SMB 1.0 / CIFS File Sharing Support adıyla bir özellik görebilirsiniz. Ancak SMB 1.0 sürücüsünün kendisi çalışıyor durumdadır. Bu özelliği yüklerseniz, Computer Browser hizmeti sistemde görünür. Bu, SMB 1.0 istemcisi olup, bu sunucudan smbv1 protokolünü destekleyen diğer bilgisayarlara bağlanmak mümkün olmayacaktır.

İpucu→ Windows XP veya Windows Server 2003 çalıştıran bilgisayarlar için SMB 1.0’ı desteklemeniz gerekmiyorsa, sistem yükünü azaltmak ve güvenliği aşağıda gösterildiği gibi geliştirmek için bu özelliği devre dışı bırakabilirsiniz.

Remove-WindowsFeature FS-SMB1

Daha sonra sunucu tarafında SMB 1.0’ı aşağıdaki komutu kullanarak tamamen devre dışı bırakmanız gerekir.

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Varsayılan olarak, SMB 1 ve SMB 2 sürücülerinin her ikisi de Windows Server 2012’de yüklenebilir. Bunu onaylamak için, bir system service server (LanmanServer) özelliklerini açıp ve Dependencies sekmesinde Server SMB 1.xxx Driver ve SMB 2.xxx Driver görebilirsiniz.

Windows 2012 R2’de LanmanServer servisinin özelliklerini açarsanız, SMB 1.0’ı destekleyen sürücünün bağımlılıklar dışında olduğunu görebilirsiniz.

Ancak, bu SMB 1.0 sürücüsünün çalışmadığı anlamına gelmez. SMB 1.0’ın sunucu tarafında etkin olup olmadığını kontrol etmek için şu komutu kullanabilirsiniz.

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Gördüğünüz gibi, Windows Server 2012 R2’deki SMB1 protokolü, SMB 1.0 / CIFS File Sharing Support özelliğinin olmamasına ve LanmanServer servisi için sürücü bağımlılıklarına rağmen etkinleştirilmiştir.

XP / 2003 (ve diğer eski) istemcilerinden SMB üzerinden Windows Server 2012 R2’deki dosya sunucularına / etki alanı denetleyicilerine erişimi geri yüklemek için, SMB 1 desteğini aşağıdaki gibi etkinleştirebilirsiniz. İlk önce, sunucu ayarlarında protokolü etkinleştirin.

Set-SmbServerConfiguration -EnableSMB1Protocol $true

Ardından Windows Server 2012 R2’de SMB 1.0’ın dependencies özelliklerini kayıt defterinden etkileştiremelisiniz. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer’a gidin ve DependOnService parametresinin değerini SamSS Srv2’den SamSS Srv’ye  değiştirin.

Bundan sonra sistemi yeniden başlatmanız ve SMB 1.0 sürücüsünün tekrar çalıştığını kontrol edebilirsiniz.

Bu adımlar, istemcilerin eski sürümlerinin bağlandığı tüm dosya sunucularında ve etki alanı denetleyicilerinde gerçekleştirilmelidir.

Windows Server 2016’da SMB 1.0

Windows Server 2016’da, istemci tarafında SMB 1.0 desteği de Add/Remove Features Wizard’ında bulunan ayrı bir özellik olarak etkinleştirilmiştir. Bu bileşen aynı zamanda SMB 1.0 / CIFS File Sharing Support olarak da adlandırılmaktadır.

SMB v1’i devre dışı bırakabilir ve component’i komutlarla tamamen kaldırabilirsiniz.

Remove-WindowsFeature FS-SMB1
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

Windows Server 2016 1709 sürümünden başlayarak, SMBv1 component’i (hem istemci hem de sunucu) varsayılan olarak devre dışıdır (SMBv2 aracılığıyla erişim de devre dışıdır). Eski sistemlere protokolün eski bir sürümünü kullanarak erişmek için ayrı olarak kurulmalıdır. SMB 1.0 / CIFS File Sharing Support özelliğini yüklemeniz ve SMB 1.0’ı komutlarla etkinleştirmeniz gerekir.

Add-WindowsFeature FS-SMB1
Set-SmbServerConfiguration -EnableSMB1Protocol $true