SMB-Signing
Daniel
ich verstehe da bei den Grundeinstellungen vom 2003 Server etwas nicht.
Standardmäßig ist in den Gruppenrichtlinien nichts weiter definiert somit
greifen die Einstellungen in den Lokalen bzw Sicherheitsrichtlinien des DC.
So in den Sicherheitsrichtlinien steht bei den Clients:
MS Netzwerk(Cl) Komm. digital signieren (immer) nicht definiert
MS Netzwerk(Cl) Komm. digital signieren (wenn Server zustimmt) nicht definiert
MS Netzwerk(Serv) Komm. digital signieren (immer) Aktiviert
MS Netzwerk(Serv) Komm. digital signieren (wenn Client zustimmt ) Aktiviert
Ich verstehe dies Einstellung nicht. Denn wenn der Client dem Signing nicht
zustimmt gibts immer noch die die Einstellung, dass der Server IMMER
Signieren will.
Was ist der Sinn?
Dann schlägt die Verbindung auf jeden Fall fehl, wenn der Client dem Signing
nicht zustimmt oder es deaktiert hat.
Reicht dann nicht die Einstellung am Server immer Signieren?
Bin gespannt auf Eure Erklärungen
Daniel Gloc
Jörg Vosse
schau mal hier:
http://www.gruppenrichtlinien.de/HowTo/SMB_Signing.htm
da wird alles sehr gut erklärt.
Gruß
Jörg
Mark Heitbrink [MVP]
Daniel schrieb:
> [...]
> MS Netzwerk(Serv) Komm. digital signieren (immer) Aktiviert
> MS Netzwerk(Serv) Komm. digital signieren (wenn Client zustimmt ) Aktiviert
> Ich verstehe dies Einstellung nicht. Denn wenn der Client dem Signing nicht
> zustimmt gibts immer noch die die Einstellung, dass der Server IMMER
> Signieren will. Was ist der Sinn?
Sicherheit?
> Dann schlägt die Verbindung auf jeden Fall fehl, wenn der Client dem Signing
> nicht zustimmt oder es deaktiert hat.
Stimmt.
> Reicht dann nicht die Einstellung am Server immer Signieren?
Du meinst die "andere", das er nur siginiert, wenn der Server zustimmt.
Zur Zeit ist jeder aktuelle Client (W2K ab SP3?) so konfiguriert, daß
"Netzwerk Client: ... wenn Server zustimmt = aktiviert" ist.
Wenn es nicht so ist, dann hast du, wie du richtig erkannt hast,
ein Problem. Deswegen sollte man die SMB Signing Einstellungen
im AD vorgeben, sowohl für die DCs/MemberServer als auch für die
Clients.
http://www.gruppenrichtlinien.de/HowTo/SMB_Signing.htm
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server
Homepage: www.gruppenrichtlinien.de
W2K FAQ : http://w2k-faq.ebend.de
PM: Vorname@Homepage, Versende-Adresse wird nicht abgerufen.
Daniel
Ich habe mal vor einiger Zeit gefragt, woran es denn liegt, dass die
netzwerkverbindung zwischen frischaufgesetzten XP SP2 Rechnern mit einem
SBS2003 (auch frisch installiert) recht langsam läuft.
Da bekam ich als Antwort, dass ich mir mal das SMB Siging angucken sollte.
Wenn die Einstellungen nicht übereinstimmen, warum findet trotzdem eine
Kommunikation statt, zwar langsamer, aber es werden Dateien übertragen.
In dem speziellen Fall habe ich übers Netzwerk Outlook auf die Workstations
installiert und das war sehr langsam, auch wenn man berücksichtigt, dass
nicht nur daten geschaufelt werden sondern gleichzeit auch installiert wird.
Gruß Daniel
"Mark Heitbrink [MVP]" schrieb:
Daniel Melanchthon [MSFT]
> Wenn die Einstellungen nicht übereinstimmen, warum findet trotzdem eine
> Kommunikation statt, zwar langsamer, aber es werden Dateien übertragen.
Weil die Kommunikation signiert und damit serialisiert abläuft. Das geht zu
Lasten der Performace. "Probleme mit SMB-Signing" (was in der Regel
Performanceprobleme auf Fileservern sind, die gleichzeitig DC sind) werden
oft durch Abschalten von SMB Signing behoben.
Lies dazu mal:
How to Shoot Yourself in the Foot with Security, Part 1
http://www.microsoft.com/technet/community/columns/secmgmt/sm0905.mspx
Exceptions to the rule - When you may WANT to turn off SMB message signing
http://blogs.technet.com/jesper_johansson/archive/2005/11/22/414976.aspx
--
.:Daniel Melanchthon:.
Technologieberater - Exchange Server
http://blogs.technet.com/dmelanchthon
This posting is provided "AS IS" with no warranties, and confers no rights.
Mark Heitbrink [MVP]
Daniel schrieb:
> Ich habe mal vor einiger Zeit gefragt, woran es denn liegt, dass die
> netzwerkverbindung zwischen frischaufgesetzten XP SP2 Rechnern mit einem
> SBS2003 (auch frisch installiert) recht langsam läuft.
> Da bekam ich als Antwort, dass ich mir mal das SMB Siging angucken sollte.
> Wenn die Einstellungen nicht übereinstimmen, warum findet trotzdem eine
> Kommunikation statt, zwar langsamer, aber es werden Dateien übertragen.
Die Frage ist ja: Laufen die Einstellungen komplett gegensätzlich,
dann wäre überhaupt keine Kommunikation möglich ...
Stehen aber sowohl Ziel als auch Start auf " ... wenn der andere
zustimmt", dann wird die Kommunikation digital signiert und das
erzeugt gerade bei vielen kleinen Dateien den Overhead, der dir
am Ende die Performance kostet.
> In dem speziellen Fall habe ich übers Netzwerk Outlook auf die Workstations
> installiert und das war sehr langsam, auch wenn man berücksichtigt, dass
> nicht nur daten geschaufelt werden sondern gleichzeit auch installiert wird.
Da es sich um einen copy Vorgang handelt könnte es damit zusammenhängen.
Allerdings habe ich hier im Netz und in den meisten anderen meinen
"Bestpractise-smb" integriert und habe kein gravierendes Performance
Problem.
Evtl. kommen bei dir noch Probleme im Bereich Netzwerkkarten,
Treiber, Switch und deren konfiguration in die Quere.
Daniel
Konfiguration meiner nächsten Server mit einfliessen lassen.
Was das spezielle Problem angeht (Bin grade beim Kunden)
Der Server hat ein Intel Board mit integrierter 1000Mbit Karte.
Da ich in der Vergangenheit mitbekommen habe, dass es Probleme mit den
1000er Karten gegeben hat, habe ich von vornherein auf 100Mbit und
Vollduplex umgeschaltet.
Diese Einstellung habe ich soeben wieder auf Automatische Aushandlung
zurückgestellt..... und siehe da es fluppt wieder.
Nur verstehe ich diesen Zusammenhang leider nicht.
Da hier nur 100Mbit Komponenten verbaut sind kann doch die
Netzwerkperformance nicht sinken wenn ich der 1000er Karte sage schalte auf
100 und ungekehrt rast die Verbindung wenn ich auf Automatik zurückschalte???
Gruß
Daniel Gloc
"Mark Heitbrink [MVP]" schrieb:
Daniel Melanchthon [MSFT]
> Da ich in der Vergangenheit mitbekommen habe, dass es Probleme mit den
> 1000er Karten gegeben hat, habe ich von vornherein auf 100Mbit und
> Vollduplex umgeschaltet.
Das eine hat mit dem anderen überhaupt nichts zu tun. Wenn Du eine
Netzwerkkarte von Autosensing auf eine manuelle Konfiguration fest stellst,
dann solltest Du sicher sein, daß auch der Switch sowie alle weiteren, am
Netz beteiligten, Rechner über genau die gleiche manuelle Einstellung
verfügen.
Also entweder alles auf Auto oder alles manuell konfigurieren. Die Probleme
kriegst Du bei einer teilweise manuellen, teilweise Auto-Konfiguration.
Bei Gigabit ist das unnötig.
Mark Heitbrink [MVP]
> Da ich in der Vergangenheit mitbekommen habe, dass es Probleme mit den
> 1000er Karten gegeben hat, habe ich von vornherein auf 100Mbit und
> Vollduplex umgeschaltet. [...]
Ich klaue mal bei Mario => http://www.scyld.com/NWay.html
Bei deiner Konfiguration (einige Geräteeinstellungen fest
definiert, andere stehen auf automatisch) kommt es ähnlich
dem Verhalten des SMB Signings zu Konflikten, da das eine
Gerät ein bestimmtes Verhalten des Gegenübers erwartet.
Widersprechen sich auch hier wieder die Konfigurationen der
Netzwerkkarten und Switche kommt es zur dem Problem.
Entweder müssen alle Geräte konfiguriert werden, die beteiligt sind,
oder man einigt sich auf "automatisch" als einfachste Einstellungen,
denn dann handeln die Partner ihre Kommunikation selber aus.
Robert Pieroth [MVP]
> Bei deiner Konfiguration (einige Geräteeinstellungen fest
> definiert, andere stehen auf automatisch) kommt es ähnlich
> dem Verhalten des SMB Signings zu Konflikten, da das eine
> Gerät ein bestimmtes Verhalten des Gegenübers erwartet.
>
> Widersprechen sich auch hier wieder die Konfigurationen der
> Netzwerkkarten und Switche kommt es zur dem Problem.
>
> Entweder müssen alle Geräte konfiguriert werden, die beteiligt sind,
> oder man einigt sich auf "automatisch" als einfachste Einstellungen,
> denn dann handeln die Partner ihre Kommunikation selber aus.
Na ja, alles (Switches und Computer) auf "Auto" kann schnell ins
Auge gehen. Manchmal verstehen sich Komponenten verschiedener
Hersteller nicht so besonders gut und verhandeln ewig.
Und viel zu oft liest man da die Empfehlung, die NIC der Computer
auf eine bestimmte Einstellung festzuklemmen.
Für eine zentralisierte und einfache Konfiguration ist aber genau
das Gegenteil sinnvoll: Die Switches auf eine bestimmte Einstellung
festlegen und die Computer alle auf automatisch.
Das hat den geringsten administrativen Aufwand.
Stellt man an den Switches Full-Duplex ein, kann man sogar noch
verhindern, daß sich jemand mit einem Hub heimlich ans Netz klemmt.
Da Hubs durch die Bank nur Halb-Duplex können, kommt da keine
Verbindung zustande.
--
Viele Grüße
Robert Pieroth
http://www.faq-o-matic.net
https://mvp.support.microsoft.com/profile=014FC01B-D493-4B7E-8FD1-A0A5B32BFF0A
Mark Heitbrink [MVP]
Robert Pieroth [MVP] schrieb:
> Na ja, alles (Switches und Computer) auf "Auto" kann schnell ins
> Auge gehen. [...]
Aha. O.k. Ich werde dann versuchen, nicht mehr in fremden
Terretorien zu räubern :-)
Tschhö
Robert Pieroth [MVP]
>> Na ja, alles (Switches und Computer) auf "Auto" kann schnell ins
>> Auge gehen. [...]
>
> Terretorien zu räubern :-)
Hi Mark,
na komm...
Für Dich ist das doch kein fremdes Territorium... ;-)
Mario Arndt
> Na ja, alles (Switches und Computer) auf "Auto" kann schnell ins
> Auge gehen. Manchmal verstehen sich Komponenten verschiedener
> Hersteller nicht so besonders gut und verhandeln ewig.
Dann sollte man die fehlerhafte Komponente in die Tonne treten.
> Und viel zu oft liest man da die Empfehlung, die NIC der Computer
> auf eine bestimmte Einstellung festzuklemmen.
Man liest viel (und leider auch oft Unsinn) im weltweiten Internet...
> Für eine zentralisierte und einfache Konfiguration ist aber genau
> das Gegenteil sinnvoll: Die Switches auf eine bestimmte Einstellung
> festlegen und die Computer alle auf automatisch.
Dir ist offenbar nicht bewusst, was Du damit anrichtest. Wenn Du z.B. den Switch
fest auf Fullduplex stellst und den Client auf automatisch, wird der Client sich
zwingend auf halbduplex konfigurieren. Vielleicht solltest Du doch besser den
angegebenen Link genau durchlesen.
> Stellt man an den Switches Full-Duplex ein, kann man sogar noch
> verhindern, daß sich jemand mit einem Hub heimlich ans Netz klemmt.
Welch ein hervorragender Vorschlag zum Thema Netzwerksicherheit. ;)
Mario
Robert Pieroth [MVP]
> Robert Pieroth [MVP] schrieb:
>> Für eine zentralisierte und einfache Konfiguration ist aber genau
>> das Gegenteil sinnvoll: Die Switches auf eine bestimmte Einstellung
>> festlegen und die Computer alle auf automatisch.
>
> Dir ist offenbar nicht bewusst, was Du damit anrichtest. Wenn Du z.B. den Switch
> fest auf Fullduplex stellst und den Client auf automatisch, wird der Client sich
> zwingend auf halbduplex konfigurieren. Vielleicht solltest Du doch besser den
> angegebenen Link genau durchlesen.
Hab ich. Davon steht im Link http://www.scyld.com/NWay.html
nicht ein Wort.
Und tschüss
--
Daniel Melanchthon [MSFT]
>>Dir ist offenbar nicht bewusst, was Du damit anrichtest. Wenn Du z.B. den Switch
>>fest auf Fullduplex stellst und den Client auf automatisch, wird der Client sich
>>zwingend auf halbduplex konfigurieren. Vielleicht solltest Du doch besser den
>>angegebenen Link genau durchlesen.
>
> Hab ich. Davon steht im Link http://www.scyld.com/NWay.html
> nicht ein Wort.
Mario meint vermutlich soetwas hier:
"When you manually set the Catalyst 2948G to 10 Full, 10 Half, 100 Full, or
100 Half, you automatically disable NWAY autodetection of duplex mode. When
the network adapter is set to Auto speed/Auto Duplex, the network adapter
cannot detect the duplex mode of the switch, and therefore defaults to 10
Half duplex."
Poor Performance with Catalyst 2948G LAN Switch
http://support.microsoft.com/kb/247609/en-us
Siehe dazu vielleicht auch folgenden Thread:
http://groups.google.com/group/microsoft.public.de.german.windows.server.networking/browse_frm/thread/7a34bb829e4ca847/73161439cff85238#73161439cff85238
Mario Arndt
> Hab ich. Davon steht im Link http://www.scyld.com/NWay.html
> nicht ein Wort.
Das Stichwort ist 'Parallel Detection'.
> Und tschüss
Ist Dir Dir die Kälte nicht bekommen?
Mario