เราเพิ่งเรียนรู้ว่าต้องทำอย่างไรกับการอัปเดต MS16-072 ที่ทำลายกลไก GPO ที่คุ้นเคย และเกิดปัญหาใหม่กับกระดานข่าวความปลอดภัยอื่นที่เผยแพร่ในเดือนมิถุนายน — MS16-077 และ KB3161949 อัปเดต. หลังจากติดตั้งโปรแกรมปรับปรุงนี้บนระบบเซิร์ฟเวอร์ ไคลเอ็นต์จากเครือข่ายย่อยอื่นๆ จะไม่สามารถเชื่อมต่อกับการแชร์โดยใช้ Netbios ผ่าน TCP/IP
ประการแรก ปัญหาเกิดขึ้นกับเครื่องสแกนเครือข่าย ซึ่งสแกนเอกสารและบันทึกสำเนาไปยังเครือข่ายแชร์ (SMB) บนเซิร์ฟเวอร์ เอกสารจะไม่ถูกบันทึกอีกต่อไป และสแกนเนอร์ส่งคืนข้อผิดพลาด:ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ . ยังพบปัญหาบางอย่างเกี่ยวกับการเชื่อมต่อไคลเอ็นต์ Samba กับตัวควบคุมโดเมน (ข้อผิดพลาด Access Denied หรือ ไม่มีเซิร์ฟเวอร์การเข้าสู่ระบบ ). สิ่งที่น่าสนใจที่สุดคือปัญหาในการเข้าถึงการแชร์ของ Windows ปรากฏเฉพาะในไคลเอนต์ที่อยู่ในเครือข่ายย่อยอื่นที่ไม่ใช่เซิร์ฟเวอร์
หลังจากลบการอัปเดต KB3165191 แล้ว จะไม่มีปัญหาในการเข้าถึง
มาดูกันว่าการอัปเดต KB3161949 ทำอะไรได้บ้าง ตามคำอธิบาย การอัปเดตจำกัดการเชื่อมต่อ NETBIOS ภายนอกซับเน็ตในเครื่อง ดังนั้น คุณลักษณะเครือข่ายขึ้นอยู่กับ NETBIOS (เช่น SMB บน NETBIOS พอร์ต 137-139) จะไม่ทำงานสำหรับไคลเอ็นต์ของเครือข่ายย่อยอื่นๆ โปรโตคอล SMB ทั่วไป (พอร์ต 445) สามารถใช้ได้ทั้งสองทิศทาง
หากต้องการเปลี่ยนพฤติกรรมนี้ คุณจะต้องทำอย่างใดอย่างหนึ่งต่อไปนี้:
- ถอนการติดตั้งการอัปเดตความปลอดภัย KB3161949 (ไม่ใช่ทางออกที่ดีที่สุด)
- สร้างพารามิเตอร์ Dword ด้วยชื่อ AllowNBToInternet และมีค่า 1 (หลังจากติดตั้งการอัปเดต จะถูกตั้งค่าเป็น 0) ใน HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters สาขาของรีจิสทรีบนเซิร์ฟเวอร์ของคุณ
นอกจากนี้ คุณยังสามารถดำเนินการนี้ผ่าน cmdreg add "HKLM\System\CurrentControlSet\Services\NetBT\Parameters" /v "AllowNBToInternet" /t REG_DWORD /d 1 /fหรือ PowerShell
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters -Name AllowNBToInternet -Type DWord -Value 1 - หลังจากสร้างพารามิเตอร์แล้ว ให้รีสตาร์ทเซิร์ฟเวอร์
ด้วยเหตุนี้ เซิร์ฟเวอร์จะพร้อมใช้งานสำหรับไคลเอ็นต์ NETBIOS จากซับเน็ตอื่นๆ
