Увеличение производительности файлового сервера с помощью SMB Direct
- Чтение занимает 2 мин
В этой статье
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В Windows Server 2012 R2, Windows Server 2012 и Windows Server 2016 включен новый компонент SMB Direct, который поддерживает использование сетевых адаптеров с функцией удаленного доступа к памяти (RDMA). Сетевые адаптеры с RDMA могут работать на полной скорости с очень малой задержкой, используя при этом очень малую часть ресурсов ЦП. При использовании этой функции для таких рабочих нагрузок, как Hyper-V и Microsoft SQL Server, работа с удаленным файловым сервером будет похожа на работу с локальным хранилищем. Особенности SMB Direct:
- Увеличение пропускной способности: полностью использует пропускную способность высокоскоростных сетей, в которых сетевые адаптеры координируют передачу больших объемов данных со скоростью линии.
- Низкая задержка: обеспечивает предельно быстрые отклики на сетевые запросы, в результате чего создается ощущение, что удаленное хранилище файлов — это напрямую подключенное блочное хранилище.
- Низкая загрузка ЦП: использует меньше тактов центрального процессора во время передачи по сети, благодаря чему для серверных приложений остается больше мощности.
SMB Direct автоматически настраивается операционной системой Windows Server 2012 R2 и Windows Server 2012.
SMB Multichannel и SMB Direct
SMB Multichannel — это компонент, отвечающий за обнаружение функций RDMA у сетевых адаптеров для включения SMB Direct. Без SMB Multichannel при работе с сетевыми адаптерами с функцией RDMA в SMB используется обычный TCP/IP (стек TCP/IP имеется во всех сетевых адаптерах наряду с новым стеком RDMA).
SMB при помощи SMB Multichannel определяет, обладает ли сетевой адаптер функцией RDMA, и затем создает несколько RDMA-соединений для данной сессии (по два соединения на интерфейс). Это позволяет SMB использовать высокую пропускную способность, малую задержку и низкую загрузку ЦП, присущие сетевым адаптерам с функцией RDMA. К этому также добавляется отказоустойчивость, если используется несколько интерфейсов RDMA.
Примечание
Не следует объединять несколько сетевых адаптеров, имеющих функцию RDMA, если вы планируете использовать функцию RDMA этих адаптеров. При объединении сетевые адаптеры не поддерживают RDMA. После того как создано хотя бы одно сетевое соединение RDMA, соединение TCP/IP, изначально использовавшееся для согласования протокола, больше не используется. Однако соединение TCP/IP сохраняется в случае отказа соединений RDMA.
Шифрование SMB с помощью SMB Direct
Начиная с Windows Server 2022 и Windows 11, SMB Direct теперь поддерживает шифрование. Раньше при включении шифрования SMB функция прямого размещения данных отключалась, что уменьшало производительность RDMA до уровня TCP. Теперь шифрование данных выполняется до размещения, благодаря чему происходит относительно небольшое снижение производительности при добавлении конфиденциальности пакетов, защищаемых с помощью AES-128 и AES-256. Дополнительные сведения о настройке шифрования SMB см. в разделе Улучшения системы безопасности SMB.
Кроме того, отказоустойчивые кластеры Windows Server теперь поддерживают гибкий контроль над шифрованием обмена данными внутри узлов для общих томов кластера (CSV) и уровня шины хранилища (SBL). Это означает, что при использовании локальных дисковых пространств и SMB Direct вы можете шифровать обмен данными в направлении с востока на запад в самом кластере для повышения безопасности.
Требования
Для поддержки SMB Direct необходимо соблюдать следующие требования.
- Требуются по меньшей мере два компьютера под управлением Windows Server 2012 R2 или Windows Server 2012.
- Один или несколько сетевых адаптеров с функцией RDMA.
Вопросы использования SMB Direct
- Можно использовать SMB Direct в отказоустойчивом кластере. Однако необходимо при этом убедиться, что сеть кластера, используемая для клиентского доступа, подходит для работы с SMB Direct. Отказоустойчивая кластеризация поддерживает использование нескольких сетей для клиентского доступа наряду с сетевыми адаптерами с поддержкой RSS (Receive Side Scaling) и RDMA.
- При отключении SMB Multichannel отключается также и SMB Direct. SMB Multichannel определяет возможности сетевого адаптера, в том числе поддержку функции RDMA; если SMB Multichannel отключен, SMB Direct не может использоваться клиентом.
- SMB Direct политика не поддерживается в Windows RT. SMB Direct требует поддержки сетевых адаптеров с функцией RDMA, которая доступна только в Windows Server 2012 R2 и Windows Server 2012.
- SMB Direct не поддерживается в более ранних версиях Windows Server. Она поддерживается только для Windows Server 2012 R2 и Windows Server 2012.
Включение и отключение SMB Direct
SMB Direct включается по умолчанию при установке Windows Server 2012 R2 и Windows Server 2012. Клиент SMB автоматически определяет и использует несколько сетевых соединений, если обнаруживается соответствующая конфигурация.
Отключение SMB Direct
Обычно отключение SMB Direct не требуется, но при необходимости отключить его можно, выполнив один из следующих сценариев Windows PowerShell.
Чтобы отключить RDMA для определенного интерфейса, введите:
Disable-NetAdapterRdma <name>
Чтобы отключить RDMA для всех интерфейсов, введите:
Set-NetOffloadGlobalSetting -NetworkDirect Disabled
Если RDMA отключен на клиенте или сервере, система не может использовать его. Network Direct — это внутреннее имя для базовой сетевой поддержки интерфейсов RDMA в Windows Server 2012 R2 и Windows Server 2012.
Повторное включение SMB Direct
После отключения RDMA его можно снова включить, выполнив один из следующих сценариев Windows PowerShell.
Чтобы снова включить RDMA для определенного интерфейса, введите:
Enable-NetAdapterRDMA <name>
Чтобы снова включить RDMA для всех интерфейсов, введите:
Set-NetOffloadGlobalSetting -NetworkDirect Enabled
Для того чтобы снова начать пользоваться RDMA, необходимо включить его и на клиенте, и на сервере.
Проверка производительности SMB Direct
Проверить производительность можно с помощью одной из следующих процедур.
Сравнение времени копирования файлов с использованием и без использования SMB Direct
Чтобы оценить увеличенную пропускную способность SMB Direct, выполните следующее.
- Настройте SMB Direct
- Измерьте время копирования большого файла с использованием SMB Direct.
- Отключите RDMA в сетевом адаптере (см. раздел Enabling and disabling SMB Direct).
- Измерьте время копирования большого файла без использования SMB Direct.
- Снова включите RDMA в сетевом адаптере. Сравните результаты тестов.
- Чтобы не допустить влияния кэширования, поступайте следующим образом:
- Копируйте большие объемы данных (больше, чем может разместиться в памяти).
- Производите копирование данных дважды: первый раз — для практики и второй раз — для собственно измерения времени.
- Перезапускайте сервер и клиент перед каждым тестом для того, чтобы они работали в одинаковых условиях.
Сымитируйте отказ одного из сетевых адаптеров во время копирования файлов с использованием SMB Direct
Чтобы подтвердить отказоустойчивость SMB Direct, выполните следующее.
- Убедитесь, что SMB Direct работает в конфигурации для нескольких сетевых адаптеров.
- Запустите копирование большого файла. Во время копирования сымитируйте отказ одного из сетевых трактов путем отключения одного из кабелей (или отключения одного из сетевых адаптеров).
- Убедитесь, что копирование продолжается с использованием других сетевых адаптеров и что не произошло ошибок копирования.
Примечание
Чтобы не допустить сбоев рабочей нагрузки, которая не использует SMB Direct, убедитесь, что отключенный сетевой тракт не используется другой рабочей нагрузкой.
Дополнительные сведения
Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows
- Чтение занимает 4 мин
В этой статье
применимо к: Windows Server 2022, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этой статье описывается, как включить и отключить протокол SMB версии 1 (SMBv1), SMB версии 2 (SMB) и SMB версии 3 (SMBv3) на клиентских и серверных компонентах SMB.
Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программами, SMBv1 имеет существенные уязвимости, и мы настоятельно рекомендуем не использовать ее.
Отключение SMB или SMBv3 для устранения неполадок
Мы рекомендуем включить протоколы SMB 2.0 и SMBv3, но может оказаться полезным временно отключить их для устранения неполадок. Дополнительные сведения см. в статье как определить состояние, включить и отключить протоколы SMB на сервере SMB.
в Windows 10, Windows 8.1 и Windows 8 Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012, отключение SMBv3 деактивирует следующие функциональные возможности:
- Прозрачная отработка отказа — клиенты повторно подключаются без прерывания узлов кластера во время обслуживания или отработки отказа
- Scale Out одновременный доступ к общим данным на всех узлах кластеров файлов
- Многоканальное агрегирование пропускной способности сети и отказоустойчивости при наличии нескольких путей между клиентом и сервером
- SMB Direct — добавляет поддержку сети RDMA для обеспечения высокой производительности с низкой задержкой и низким использованием ЦП.
- Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях.
- Аренда каталога — улучшает время отклика приложений в филиалах за счет кэширования
- Оптимизация производительности — оптимизация для небольшого случайного чтения и записи ввода-вывода
в Windows 7 и Windows Server 2008 R2 отключение 2.0 отключает следующие функции:
- Составной запрос — позволяет отправлять несколько запросов SMB в виде одного сетевого запроса.
- Большие операции чтения и записи — лучшее использование более быстрых сетей.
- Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов
- Устойчивые дескрипторы. разрешение на прозрачное повторное подключение к серверу при наличии временного отключения
- Улучшенная подпись сообщения — HMAC SHA-256 заменяет MD5 как алгоритм хеширования
- Улучшенная масштабируемость общего доступа к файлам — число пользователей, общих папок и открытых файлов на сервере значительно увеличилось.
- Поддержка символьных ссылок
- Модель нежесткой аренды клиента — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и повышая масштабируемость сервера SMB.
- Поддержка большого MTU — для полного использования 10 Gigabit Ethernet (GbE)
- Повышение эффективности энергопотребления — клиенты, которые имеют открытые файлы на сервере, могут перейти в спящий режим
протокол smb был впервые появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012. Дополнительные сведения о функциях SMB и SMBv3 см. в следующих статьях:
Удаление SMBv1
вот как можно удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.
Методы PowerShell
SMBv1 (клиент и сервер)
Автоматическое
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
Включен
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Включите параметр
Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчер сервера для отключения SMB
SMBv1
чтобы удалить SMBv1 с сервера Windows:
- На диспетчер сервера панели мониторинга сервера, на котором нужно удалить SMBv1, в разделе Настройка этого локального сервера выберите Добавить роли и компоненты.
- На странице перед началом работы выберите Запуск мастера удаления ролей и компонентов, а затем на следующей странице нажмите кнопку Далее.
- На странице Выбор целевого сервера в разделе пул серверов установите флажок Сервер, для которого требуется удалить компонент, и нажмите кнопку Далее.
- На странице Удаление ролей сервера нажмите кнопку Далее.
- На странице Удаление компонентов снимите флажок для поддержки общего доступа к файлам SMB 1.0/CIFS и нажмите кнопку Далее.
- На странице Подтверждение выборов для удаления убедитесь, что эта функция указана в списке, а затем нажмите кнопку Удалить.
Windows 8.1 и Windows 10: метод PowerShell
Протокол SMBv1
Автоматическое
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Включен
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Включите параметр
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Протокол SMB/v3 (отключает только сервер 2.0 и более v3)
Автоматическое
Get-SmbServerConfiguration | Select EnableSMB2Protocol
Включен
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Включите параметр
Set-SmbServerConfiguration -EnableSMB2Protocol $true
Windows 8.1 и Windows 10: метод «установка и удаление программ»
чтобы отключить SMBv1 для Windows 8.1 и Windows 10:
- Откройте Панель управления, выберите раздел Программы и компоненты.
- в разделе панель управления главная выберите Windows включить или отключить компоненты , чтобы открыть окно функции Windows .
- в поле Windows функции прокрутите вниз список, снимите флажок для поддержки общего доступа к файлам SMB 1.0/CIFS и нажмите кнопку ок.
- после Windows применения изменений на странице подтверждение выберите перезагрузить сейчас.
Как определить состояние, включить и отключить протоколы SMB на сервере SMB
для Windows 8 и Windows Server 2012
в Windows 8 и Windows Server 2012 появился новый командлет Set-смбсерверконфигуратион Windows PowerShell. Командлет позволяет включать или отключать протоколы SMBv1, SMB и SMBv3 на серверном компоненте.
Примечание
при включении или отключении протокола smb в Windows 8 или Windows Server 2012 также включается или отключается SMBv3. Это происходит из-за того, что эти протоколы используют один и тот же стек.
После запуска командлета Set-смбсерверконфигуратион перезагружать компьютер не требуется.
SMBv1 на SMB Server
Автоматическое
Get-SmbServerConfiguration | Select EnableSMB1Protocol
Включен
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Включите параметр
Set-SmbServerConfiguration -EnableSMB1Protocol $true
Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.
SMB V2/V3 на SMB-сервере
Автоматическое
Get-SmbServerConfiguration | Select EnableSMB2Protocol
Включен
Set-SmbServerConfiguration -EnableSMB2Protocol $false
Включите параметр
Set-SmbServerConfiguration -EnableSMB2Protocol $true
для Windows 7, Windows server 2008 R2, Windows Vista и Windows Server 2008
чтобы включить или отключить протоколы smb на сервере smb, работающем Windows 7, Windows server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.
Методы PowerShell
Примечание
Для этого метода требуется PowerShell 2,0 или более поздней версии PowerShell.
SMBv1 на SMB Server
Автоматическое
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Конфигурация по умолчанию — включено (раздел реестра не создается), поэтому значение SMB1 не будет возвращено.
Включен
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Включите параметр
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
Примечание . После внесения этих изменений необходимо перезагрузить компьютер. Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт.
2.0/V3 на SMB-сервере
Автоматическое
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
Включен
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force
Включите параметр
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
Примечание
После внесения этих изменений необходимо перезагрузить компьютер.
Редактор реестра
Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)
Чтобы включить или отключить протокол SMB 2.0 на сервере SMB, настройте следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Registry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled (No registry key is created)
Примечание
После внесения этих изменений необходимо перезагрузить компьютер.
Как определить состояние, включить и отключить протоколы SMB на клиенте SMB
для Windows Vista, Windows server 2008, Windows 7, Windows server 2008 R2, Windows 8 и Windows Server 2012
Примечание
при включении или отключении протокола smb в Windows 8 или в Windows Server 2012 также включается или отключается SMBv3. Это происходит из-за того, что эти протоколы используют один и тот же стек.
SMBv1 на клиенте SMB
Определение
sc.exe qc lanmanworkstation
Включен
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi sc.exe config mrxsmb10 start= disabled
Включите параметр
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb10 start= auto
Дополнительные сведения см. в статье хранилище сервера в корпорации Майкрософт .
SMB/V3 на клиенте SMB
Автоматическое
sc.exe qc lanmanworkstation
Включен
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi sc.exe config mrxsmb20 start= disabled
Включите параметр
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi sc.exe config mrxsmb20 start= auto
Примечание
- Эти команды необходимо выполнить в командной строке с повышенными привилегиями.
- После внесения этих изменений необходимо перезагрузить компьютер.
Отключение сервера SMBv1 с групповая политика
Эта процедура настраивает следующий новый элемент в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
- Запись реестра: SMB1
- REG_DWORD: 0 = отключено
Чтобы использовать групповая политика для настройки, выполните следующие действия.
Откройте Консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент настройки, а затем щелкните Изменить.
в дереве консоли в разделе конфигурация компьютера разверните папку предпочтения , а затем разверните папку Windows Параметры .
Щелкните правой кнопкой мыши узел реестра , наведите указатель на пункт создать и выберите пункт Реестр.
В диалоговом окне « Свойства нового реестра » выберите следующие параметры.
- Действие: создать
- Hive: HKEY_LOCAL_MACHINE
- Путь к ключу: систем\куррентконтролсет\сервицес\ланмансервер\параметерс
- Имя значения: SMB1
- Тип значения: REG_DWORD
- Данные значения: 0
Эта процедура отключает серверные компоненты SMBv1. Этот групповая политика должен применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.
Примечание
фильтры WMI также можно настроить таким образом, чтобы исключить неподдерживаемые операционные системы или выбранные исключения, например Windows XP.
Важно!
будьте внимательны при внесении этих изменений на контроллерах домена, на которых устаревшие Windows XP или более ранних версий Linux и сторонних системах (не поддерживающих smb или SMBv3) не нуждаются в доступе к SYSVOL или другим общим папкам, в которых отключен SMB v1.
Отключение клиента SMBv1 с групповая политика
Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра Services, чтобы отключить запуск MRxSMB10 , а затем зависимость от MRxSMB10 должна быть удалена из записи для LanmanWorkstation , чтобы ее можно было запустить нормально, не требуя запуска MRxSMB10 .
Это руководство обновляет и заменяет значения по умолчанию в следующих двух элементах реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
Запись реестра: Start REG_DWORD: 4= отключено
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Запись реестра: депендонсервице REG_MULTI_SZ: «Бовсер», «MRxSmb20», «NSI»
Примечание
Включенная по умолчанию MRxSMB10, которая теперь удалена как зависимость.
Чтобы настроить это с помощью групповая политика, выполните следующие действия.
Откройте Консоль управления групповыми политиками. Щелкните правой кнопкой мыши объект групповой политики, который должен содержать новый элемент предпочтения, и выберите команду изменить.
в дереве консоли в разделе конфигурация компьютера разверните папку предпочтения , а затем разверните папку Windows Параметры .
Щелкните правой кнопкой мыши узел реестра , наведите указатель на пункт создать и выберите пункт Реестр.
В диалоговом окне « Свойства нового реестра » выберите следующие параметры.
- Действие: обновление
- Hive: HKEY_LOCAL_MACHINE
- Путь к ключу: SYSTEM\CurrentControlSet\services\mrxsmb10
- Имя значения: начало
- Тип значения: REG_DWORD
- Данные значения: 4
Затем удалите зависимость от отключенной MRxSMB10 .
В диалоговом окне « Свойства нового реестра » выберите следующие параметры.
- Действие: Replace
- Hive: HKEY_LOCAL_MACHINE
- Путь к ключу: систем\куррентконтролсет\сервицес\ланманворкстатион
- Имя значения: депендонсервице
- Тип значения: REG_MULTI_SZ
- Данные значения:
- бовсер
- MRxSmb20
- NSI
Примечание
Эти три строки не будут содержать маркеры (см. следующий снимок экрана).
значение по умолчанию включает в себя MRxSMB10 во многих версиях Windows, поэтому, заменяя их строкой с несколькими значениями, она действует путем удаления MRxSMB10 в качестве зависимости для LanmanServer и перехода от четырех значений по умолчанию к этим трем приведенным выше значениям.
Примечание
При использовании консоль управления групповыми политиками не нужно использовать кавычки или запятые. Просто введите каждую запись в отдельные строки.
Перезапустите целевые системы, чтобы завершить отключение SMB v1.
Аудит использования SMBv1
чтобы определить, какие клиенты пытаются подключиться к серверу SMB с помощью SMBv1, можно включить аудит на Windows Server 2016, Windows 10 и Windows server 2019. вы также можете выполнить аудит на Windows 7 и Windows Server 2008 r2, если установлено ежемесячное обновление май 2018, а также на Windows 8.1 и Windows Server 2012 R2, если установлено ежемесячное обновление за июль 2017.
Включите параметр
Set-SmbServerConfiguration -AuditSmb1Access $true
Включен
Set-SmbServerConfiguration -AuditSmb1Access $false
Автоматическое
Get-SmbServerConfiguration | Select AuditSmb1Access
если включен аудит SMBv1, в журнале событий Microsoft-Windows-смбсервер\аудит появляется событие 3000, определяющее каждого клиента, который пытается подключиться с помощью SMBv1.
Итоги
Если все параметры находятся в одном объекте групповой политики, групповая политика управления отображает следующие параметры.
Тестирование и проверка
После завершения действий по настройке, описанных в этой статье, можно разрешить репликацию и обновление политики. При необходимости выполните команду gpupdate/Force из командной строки, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Убедитесь, что протоколы SMB и SMBv3 работают для всех остальных систем в среде.
Примечание
Не забудьте перезапустить целевые системы.
SMB Direct — Статьи TechNet — Россия (Pусский)
SMB Direct, он же SMB over RDMA, по сути описывает процесс передачи данных протокла SMB через высокоскоростные сетевые адаптеры, поддерживающие стандарт RDMA. RDMA (Remote Direct Memory Access) — стандарт передачи данных между приложениями. Приложения передают данные напрямую из памяти в обход процессора, что позволяет снижать на него нагрузку, и сильно увеличивает скорость передачи данных и производительность приложений.На текущий момент существует три реализации этого стандарта:
- InfiniBand
- Internet Wide Area RDMA Protocol (iWARP)
- RDMA over Converged Ethernet (RoCE)
Так как стандарт не предусматривает отказоустойчивости, то обычно SMB Direct рассматривают в связке с SMB Multichannel. Это позволяет строить хранилища на базе Windows Server 2012 по скоростям и производительности не уступающие сетям передачи данных (SAN).
Требования
- Как минимум два сервера с Windows Server 2012
- Как минимум один поддерживающий RDMA сетевой адаптер на каждом сервере
Что следует помнить:
- SMB Direct может использоваться в отказоустойчивом кластере. При этом, нужно удостовериться, что скорости сети для доступа клиентов будет достаточно для работы с SMB Direct. Отказоустойчивый кластер может использовать несколько сетей для клиентского доступа через сетевые адаптеры, поддерживающие RSS и RDMA.
- Можно использовать SMB Direct на хосте Hyper-V для поддержки Hyper-V over SMB, а так же для того, чтобы предоставить доступ к хранилищу виртуальной машине, которая использует стек хранения Hyper-V. При этом клиент не сможет напрямую работать с RDMA сетевым адаптером. Если подключить такой сетевой адаптер в виртуальный свитч, то виртуальный сетевой адаптер этого свитча не будет поддерживать RDMA.
- Если отключить SMB Multichannel, то будет отключен и SMB Direct. Связано это с тем, что SMB Multichannel отвечает за определение свойств сетевого адаптера и определяет поддерживает ли он RDMA.
- SMB Direct не работает на Windows 8. SMB Direct требует поддержки RDMA сетевых адаптеров, которая реализована только в Windows Server 2012.
- В предыдущих версиях Windows Server нет поддержки RDMA сетевых адаптеров, а следовательно нет поддержки SMB Direct.
SMB Direct по умолчанию включен. SMB клиент автоматически определяет и использует несколько сетевых подключений, если находит соответствующую конфигурацию оборудования.
RDMA для определённого сетевого адаптера отключается следующим образом:
|
Отключение для всех адаптеров на сервере происходит следующим образом:
|
Для того чтобы клиент и сервер перестали использовать RDMA, достаточно отключить его либо на клиенте, либо на сервере.
Включение RDMA для сетевого адаптера происходит следующим образом:
|
Включение для всех адаптеров на сервере происходит следующим образом:
|
Необходимо включать RDMA и со стороны клиента и со стороны сервера.
Конкретные сценарии и пошаговые настройки можно посмотреть по ссылкам: раз, два и три.
Исходные документы:
SMB2 Remote Direct Memory Access (RDMA) Transport Protocol Specification
Preliminary
performance results with Windows Server 2012 Beta and SMB Direct (SMB over RDMA)
Demo
at Interop shows SMB Direct at 5.8 Gbytes/sec over Mellanox ConnectX-3 network adapters
Improve Performance of a File Server with SMB Direct
Снижение производительности после включения шифрования SMB или подписи SMB — Windows Server
- Чтение занимает 3 мин
В этой статье
В этой статье предоставляется решение проблемы, из-за которой производительность сетей снижается после того, как вы включаете шифрование блока сообщений сервера (SMB) или подписание SMB в Windows Server 2016 и Windows Server 2019. Windows Сервер 2022 повышает производительность сети для этого сценария.
Применяется к: Windows Server 2016, Windows Server 2019, Windows Server 2022
Исходный номер КБ: 4458042
Симптомы
Используется сетевой адаптер с удаленным прямым доступом к памяти (RDMA). После того как вы включаете SMB Signing или SMB Encryption, производительность сети SMB Direct вместе с сетевым адаптером значительно снижается.
Кроме того, один или несколько следующих ID событий могут быть зарегистрированы:
Log Name: Microsoft-Windows-SMBClient/Operational
Source: Microsoft-Windows-SMBClient
Event ID: 30909
Level: Informational
Description:
The client supports SMB Direct (RDMA) and SMB Signing is in use.
Share name:ShareName
Guidance:
For optimal SMB Direct performance, you can disable SMB Signing. This configuration is less secure and you should only consider this configuration on trustworthy private networks with strict access control.
Log Name: Microsoft-Windows-SMBClient/Operational
Source: Microsoft-Windows-SMBClient
Event ID: 30910
Level: Informational
Description:
The client supports SMB Direct (RDMA) and SMB Encryption is in use.
Share name: <Share name>
Guidance:
For optimal SMB Direct performance, you can disable SMB Encryption on the server for shares accessed by this client. This configuration is less secure and you should only consider this configuration on trustworthy private networks with strict access control.
Log Name: Microsoft-Windows-SmbClient/Security
Source: Microsoft-Windows-SMBClient
Event ID: 31016
Level: Warning
Description:
The SMB Signing registry value is not configured with default settings.
Default Registry Value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\\Parameters]
"EnableSecuritySignature"=dword:1
Configured Registry Value:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\\Parameters]
"EnableSecuritySignature"=dword:0
Guidance:
Even though you can disable, enable, or require SMB Signing, the negotiation rules changed starting with SMB2 and not all combinations operate like SMB1.
The effective behavior for SMB2/SMB3 is:
Client Required and Server Required = Signed
Client Not Required and Server Required = Signed
Server Required and Client Not Required = Signed
Server Not Required and Client Not Required = Not Signed
When requiring SMB Encryption, SMB Signing is not used, regardless of settings. SMB Encryption implicitly provides the same integrity guarantees as SMB Signing.
Причина
Некоторые функции, такие как дисковые пространства Direct (S2D) или Cluster Shared Volumes (CSV), используют SMB в качестве протокола транспорта для внутрикластерной связи. Таким образом, на производительность S2D может существенно повлиять включение SMB Signing или SMB Encryption, использующий сетевой адаптер RDMA.
При включении SMB Signing или SMB Encryption SMB перестает использовать прямое размещение данных RDMA (также известное как RDMA read/write). Это политика отката, и это поведение по проектированию для самого высокого уровня безопасности. Поэтому SMB возвращается к использованию подключения RDMA в режиме чистой отправки и получения. Потоки данных не оптимальным образом, так как максимальное ограничение MTU — 1394 bytes. Это приводит к фрагментации и повторной разборки сообщений и общему снижению производительности.
Эта проблема может возникнуть после того, как вы выполните базовый уровень безопасности для Windows 10 v1607 («Юбилейное обновление») и Windows Server 2016, чтобы включить подписание SMB.
Или, если вы используете следующие параметры групповой политики, чтобы включить подписание SMB:
- Сетевой сервер Microsoft — цифровые подписывные сообщения (всегда) — ENABLED
- Сетевой клиент Microsoft — цифровое подписание сообщений (всегда) — ВКЛЮЧЕНО
Решение
Подписание SMB и шифрование SMB имеют некоторые компромиссы в производительности. Если производительность сети важна для сценариев развертывания (например, дисковые пространства Direct), рекомендуется не развертывать SMB Signing и SMB Encryption.
Windows Сервер 2022 SMB Direct теперь поддерживает шифрование. Данные шифруются перед размещением, что приводит к относительно незначительному снижению производительности. Кроме того, Windows Сервер 2022 теперь поддерживает гранулированный контроль шифрования внутриобъездных сообщений хранения для кластерных общих томов (CSV) и уровня шин хранения (SBL). Это означает, что при использовании дисковые пространства Direct и SMB Direct можно зашифровать связь между Востоком и Западом в самом кластере для повышения или снижения безопасности на основе экземпляра SMB.
Если развертывание в высокобезопасной среде с Windows Server 2016 и Windows Server 2019, рекомендуется применить следующие конфигурации:
Не развертывать с помощью сетевых адаптеров с поддержкой RDMA или отключить RDMA с помощью
Disable-NetAdapterRdma
cmdlet.На основе клиентской версии SMB и SMB-сервера оцените наиболее подходящее решение для оптимизации производительности. Следует помнить, что SMB Signing обеспечивает целостность сообщений, а шифрование SMB обеспечивает целостность сообщений, а также конфиденциальность для обеспечения наивысшего уровня безопасности.
- SMB 3.0 (Windows Server 2012/Windows 8.1) — подписание SMB обеспечивает лучшую производительность, чем шифрование SMB.
- SMB 3.1 (Windows Server 2016/Windows 10) — шифрование SMB обеспечивает лучшую производительность, чем подписка на SMB, и имеет дополнительное преимущество повышенной безопасности вместе с конфиденциальностью сообщений в дополнение к гарантиям целостности сообщений.
Как проверить версию SMB в Windows 10/8/7
SMB или Протоколы блокировки сообщений сервера используются для подключения компьютера к внешнему серверу. Windows 10 поставляется с поддержкой этих протоколов, но они отключены в OOBE. В настоящее время Windows 10 также поддерживает SMBv1, SMBv2 и SMBv3. Разные серверы в зависимости от их конфигурации требуют разных версий SMB для подключения к компьютеру. Но в случае, если вы используете Windows 8.1 или Windows 7, вы можете проверить, включена ли она тоже. Это то, что мы собираемся сделать сегодня.
Как проверить версию SMB в Windows
Прежде всего, если у вас Windows 7 , вам не следует отключать SMB v2. Это связано со следующими причинами:
- Составление запроса – позволяет отправлять несколько запросов SMB 2 как один сетевой запрос
- Больше чтения и записи – лучшее использование более быстрых сетей
- Кэширование свойств папок и файлов – клиенты хранят локальные копии папок и файлов
- Долговечные ручки – позволяют подключению прозрачно переподключаться к серверу при временном отключении
- Улучшена подпись сообщений – HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
- Улучшенная масштабируемость для обмена файлами – значительно увеличилось количество пользователей, общих ресурсов и открытых файлов на сервер
- Поддержка символических ссылок
- Модель аренды клиентских блокировок – ограничивает объем данных, передаваемых между клиентом и сервером, повышает производительность в сетях с высокой задержкой и повышает масштабируемость SMB-серверов.
- Поддержка большого MTU – для полноценного использования 10-гигабайтного (ГБ) Ethernet
- Повышенная энергоэффективность – клиенты, которые имеют открытые файлы на сервере, могут спать.
Даже если вы работаете в Windows 8.1 или Windows 10 , вам не следует отключать SMB v3 или SMB v2, поскольку, помимо указанных выше проблем, вы можете столкнуться со следующими проблемами тоже, которые идут с отключением SMB v3:
- Прозрачное аварийное переключение – клиенты повторно подключаются без перерыва к узлам кластера во время обслуживания или аварийного переключения
- Scale Out – одновременный доступ к общим данным на всех узлах файлового кластера
- Многоканальный – агрегирование пропускной способности сети и отказоустойчивости, если доступно несколько путей между клиентом и сервером.
- SMB Direct – добавляет поддержку сети RDMA для очень высокой производительности, с низкой задержкой и низкой загрузкой процессора
- Шифрование – обеспечивает сквозное шифрование и защищает от прослушивания в ненадежных сетях.
- Лизинг каталогов – улучшает время отклика приложений в филиалах за счет кэширования
- Оптимизация производительности – оптимизация для небольших случайных операций чтения/записи.
Способы проверки, какая версия SMB установлена на Сервере.
Мы будем использовать следующие методы, чтобы проверить, какая версия SMB установлена на вашем компьютере:
- Метод PowerShell.
- Метод редактора реестра.
1] Метод PowerShell
Если вы хотите проверить, какую версию SMB вы используете, вы можете просто ввести следующую команду в PowerShell:
SMB v1 Windows 10 и Windows 8.1
Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol
SMB v2 для Windows 10 и Windows 8.1
Get-SmbServerConfiguration | Выберите EnableSMB2Protocol
SMB v1 для Windows 7
Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}
SMB v2 для Windows 7
Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}
Если он возвращает значение как True , он включен, иначе отключен.
2] Метод редактора реестра
Введите regedit в поле Начать поиск и нажмите Enter. После открытия редактора реестра перейдите к следующему
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Параметры
Теперь, если у вас есть DWORD с именами SMB1 или SMB2 , проверьте их значения.
Если для него установлено значение 0, оно отключено.
И в любом другом случае он включен.
Способы проверить, какая версия SMB установлена на клиентах.
Мы будем использовать следующие методы, чтобы проверить, какая версия SMB установлена на вашем компьютере:
- Метод PowerShell.
- Метод редактора групповой политики.
1] Метод PowerShell
Итак, если вы хотите проверить, какая версия SMB вы используете, вы можете просто ввести следующее в командной строке с привилегиями уровня администратора,
SMB v1 Windows 10 и Windows 8.1
sc.exe qc lanmanworkstation
SMB v2 для Windows 10 и Windows 8.1
sc.exe qc lanmanworkstation
2] Метод редактора групповой политики
Стоит отметить, что этот метод не будет работать в Windows 10 Home или аналогичной редакции Windows 8 или Windows 7.
Откройте окно «Выполнить», введите gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики. Перейдите по следующему пути:
Конфигурация компьютера> Настройки Windows
В разделе Реестр найдите элемент реестра со следующими свойствами:
Действие: обновление
Улей: HKEY_LOCAL_MACHINE
Путь к ключу: SYSTEM \ CurrentControl \ services \ mrxsmb10
Название значения. Начало
Тип значения: REG_DWORD
Данные о стоимости. 4
Если значение данных установлено в 4, SMB отключен.
Для детального чтения посетите microsoft.com.
Связанное чтение . Почему и как отключить SMB1 в Windows 10/8/7.
Почему и как необходимо отключить SMB1 в Windows 10/8/7
SMB или Server Message Block это протокол обмена по сети, предназначенный для совместного использования файлов, принтеров и других различных устройств. Существует три версии SMB – SMBv1, SMBv2 и SMBv3. Из соображений безопасности Microsoft рекомендует отключить SMB версии 1, так как он устарел и использует технологию, которой почти 30 лет. Чтобы избежать заражения вирусами-вымогателями типа WannaCrypt нужно отключить SMB1 и установить обновления для операционной системы. Этот протокол используется Windows 2000, Windows XP, Windows Server 2003 и Windows Server 2003 R2 – поэтому сетевой файловый доступ к данным версиям ОС будет не доступен. Тоже самое относится к некоторым сетевым хранилищам, сканерам и т.п.
Отключение SMB1 из Панели управления
Пуск -> Панель управления -> Программы и компоненты -> Включение и отключение компонентов Windows
Отключаем ‘Поддержка общего доступа к файлам SMB 1.0/CIFS’
Отключение SMB1 через Powershell
Откройте консоль Powershell с правами администратора и введите следующую команду:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 –Force
Отключить SMB1 с помощью реестра Windows
Также можно отключить SMBv1 запустив regedit.exe и перейдя к следующему разделу:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Создайте в этом разделе DWORD SMB1 со значением 0.
Значения для включения и отключения SMB1:
- 0 = Выключено
- 1 = Включено
После этого необходимо установить обновление MS17-010. Обновление вышло подо все версии Windows, включая не поддерживаемые больше Windows XP и Windows Server 2003.
И в заключении хочется сказать, что, не смотря на установленный антивирус и регулярные обновления операционной системы, если Вам дороги ваши данные, необходимо в первую очередь думать о резервном копировании.
Боремся с вирусами и инфраструктурой, или отключение SMB v1 / Блог компании Сервер Молл / Хабр
В связи с недавной эпидемией шифровальщика WannaCry, эксплуатирующим уязвимость SMB v1, в сети снова появились советы по отключению этого протокола. Более того, Microsoft настоятельно рекомендовала отключить первую версию SMB еще в сентябре 2016 года. Но такое отключение может привести к неожиданным последствиям, вплоть до курьезов: лично сталкивался с компанией, где после борьбы с SMB перестали играть беспроводные колонки Sonos.
Специально для минимизации вероятности «выстрела в ногу» я хочу напомнить об особенностях SMB и подробно рассмотреть, чем грозит непродуманное отключение его старых версий.
SMB (Server Message Block) – сетевой протокол для удаленного доступа к файлам и принтерам. Именно он используется при подключении ресурсов через \servername\sharename. Протокол изначально работал поверх NetBIOS, используя порты UDP 137, 138 и TCP 137, 139. С выходом Windows 2000 стал работать напрямую, используя порт TCP 445. SMB используется также для входа в домен Active Directory и работы в нем.
Помимо удаленного доступа к ресурсам протокол используется еще и для межпроцессорного взаимодействия через «именованные потоки» – named pipes. Обращение к процессу производится по пути \.\pipe\name.
Первая версия протокола, также известная как CIFS (Common Internet File System), была создана еще в 1980-х годах, а вот вторая версия появилась только с Windows Vista, в 2006. Третья версия протокола вышла с Windows 8. Параллельно с Microsoft протокол создавался и обновлялся в его открытой имплементации Samba.
В каждой новой версии протокола добавлялись разного рода улучшения, направленные на увеличение быстродействия, безопасности и поддержки новых функций. Но при этом оставалась поддержка старых протоколов для совместимости. Разумеется, в старых версиях было и есть достаточно уязвимостей, одной из которых и пользуется WannaCry.
Под спойлером вы найдете сводную таблицу изменений в версиях SMB.
Версия | Операционная система | Добавлено, по сравнению с предыдущей версией |
SMB 2.0 | Windows Vista/2008 | Изменилось количество команд протокола со 100+ до 19 |
Возможность «конвейерной» работы – отправки дополнительных запросов до получения ответа на предыдущий | ||
Поддержка символьных ссылок | ||
Подпись сообщений HMAC SHA256 вместо MD5 | ||
Увеличение кэша и блоков записи\чтения | ||
SMB 2.1 | Windows 7/2008R2 | Улучшение производительности |
Поддержка большего значения MTU | ||
Поддержка службы BranchCache – механизм, кэширующий запросы в глобальную сеть в локальной сети | ||
SMB 3.0 | Windows 8/2012 | Возможность построения прозрачного отказоустойчивого кластера с распределением нагрузки |
Поддержка прямого доступа к памяти (RDMA) | ||
Управление посредством командлетов Powershell | ||
Поддержка VSS | ||
Подпись AES–CMAC | ||
Шифрование AES–CCM | ||
Возможность использовать сетевые папки для хранения виртуальных машин HyperV | ||
Возможность использовать сетевые папки для хранения баз Microsoft SQL | ||
SMB 3.02 | Windows 8.1/2012R2 | Улучшения безопасности и быстродействия |
Автоматическая балансировка в кластере | ||
SMB 3.1.1 | Windows 10/2016 | Поддержка шифрования AES–GCM |
Проверка целостности до аутентификации с использованием хеша SHA512 | ||
Обязательные безопасные «переговоры» при работе с клиентами SMB 2.x и выше |
Посмотреть используемую в текущий момент версию протокола довольно просто, используем для этого командлет Get–SmbConnection:
Вывод командлета при открытых сетевых ресурсах на серверах с разной версией Windows.
Из вывода видно, что клиент, поддерживающий все версии протокола, использует для подключения максимально возможную версию из поддерживаемых сервером. Разумеется, если клиент поддерживает только старую версию протокола, а на сервере она будет отключена – соединение установлено не будет. Включить или выключить поддержку старых версий в современных системах Windows можно при помощи командлета Set–SmbServerConfiguration, а посмотреть состояние так:
Get–SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol
Выключаем SMBv1 на сервере с Windows 2012 R2.
Результат при подключении с Windows 2003.
Таким образом, при отключении старого, уязвимого протокола можно лишиться работоспособности сети со старыми клиентами. При этом помимо Windows XP и 2003 SMB v1 используется и в ряде программных и аппаратных решений (например NAS на GNU\Linux, использующий старую версию samba).
Под спойлером приведу список производителей и продуктов, которые полностью или частично перестанут работать при отключении SMB v1.
Производитель | Продукт | Комментарий |
Barracuda | SSL VPN | |
Web Security Gateway backups | ||
Canon | Сканирование на сетевой ресурс | |
Cisco | WSA/WSAv | |
WAAS | Версии 5.0 и старше | |
F5 | RDP client gateway | |
Microsoft Exchange Proxy | ||
Forcepoint (Raytheon) | «Некоторые продукты» | |
HPE | ArcSight Legacy Unified Connector | Старые версии |
IBM | NetServer | Версия V7R2 и старше |
QRadar Vulnerability Manager | Версии 7.2.x и старше | |
Lexmark | МФУ, сканирование на сетевой ресурс | Прошивки Firmware eSF 2.x и eSF 3.x |
Linux Kernel | Клиент CIFS | С 2.5.42 до 3.5.x |
McAfee | Web Gateway | |
Microsoft | Windows | XP/2003 и старше |
MYOB | Accountants | |
NetApp | ONTAP | Версии до 9.1 |
NetGear | ReadyNAS | |
Oracle | Solaris | 11.3 и старше |
Pulse Secure | PCS | 8.1R9/8.2R4 и старше |
PPS | 5.1R9/5.3R4 и старше | |
QNAP | Все устройства хранения | Прошивка старше 4.1 |
RedHat | RHEL | Версии до 7.2 |
Ricoh | МФУ, сканирование на сетевой ресурс | Кроме ряда моделей |
RSA | Authentication Manager Server | |
Samba | Samba | Старше 3.5 |
Sonos | Беспроводные колонки | |
Sophos | Sophos UTM | |
Sophos XG firewall | ||
Sophos Web Appliance | ||
SUSE | SLES | 11 и старше |
Synology | Diskstation Manager | Только управление |
Thomson Reuters | CS Professional Suite | |
Tintri | Tintri OS, Tintri Global Center | |
VMware | Vcenter | |
ESXi | Старше 6.0 | |
Worldox | GX3 DMS | |
Xerox | МФУ, сканирование на сетевой ресурс | Прошивки без ConnectKey Firmware |
Список взят с сайта Microsoft, где он регулярно пополняется.
Перечень продуктов, использующих старую версию протокола, достаточно велик – перед отключением SMB v1 обязательно нужно подумать о последствиях.
Если программ и устройств, использующих SMB v1 в сети нет, то, конечно, старый протокол лучше отключить. При этом если выключение на SMB сервере Windows 8/2012 производится при помощи командлета Powershell, то для Windows 7/2008 понадобится правка реестра. Это можно сделать тоже при помощи Powershell:
Set–ItemProperty –Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 –Type DWORD –Value 0 –Force
Или любым другим удобным способом. При этом для применения изменений понадобится перезагрузка.
Для отключения поддержки SMB v1 на клиенте достаточно остановить отвечающую за его работу службу и поправить зависимости службы lanmanworkstation. Это можно сделать следующими командами:
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
Для удобства отключения протокола по всей сети удобно использовать групповые политики, в частности Group Policy Preferences. С помощью них можно удобно работать с реестром.
Создание элемента реестра через групповые политики.
Чтобы отключить протокол на сервере, достаточно создать следующий параметр:
Создание параметра реестра для отключения SMB v1 на сервере через групповые политики.
Для отключения поддержки SMB v1 на клиентах понадобится изменить значение двух параметров.
Сначала отключим службу протокола SMB v1:
Обновляем один из параметров.
Потом поправим зависимость службы LanmanWorkstation, чтоб она не зависела от SMB v1:
И заменяем другой.
После применения групповой политики необходимо перезагрузить компьютеры организации. После перезагрузки SMB v1 перестанет использоваться.
Как ни странно, эта старая заповедь не всегда полезна – в редко обновляемой инфраструктуре могут завестись шифровальщики и трояны. Тем не менее, неаккуратное отключение и обновление служб могут парализовать работу организации не хуже вирусов.
Расскажите, а вы уже отключили у себя SMB первой версии? Много было жертв?
Повышение производительности файлового сервера с помощью SMB Direct
- 5 минут на чтение
В этой статье
Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Windows Server 2012 R2, Windows Server 2012 и Windows Server 2016 включают функцию SMB Direct, которая поддерживает использование сетевых адаптеров с возможностью удаленного прямого доступа к памяти (RDMA).Сетевые адаптеры с RDMA могут работать на полной скорости с очень малой задержкой при очень небольшом использовании ЦП. Для таких рабочих нагрузок, как Hyper-V или Microsoft SQL Server, это позволяет удаленному файловому серверу напоминать локальное хранилище. SMB Direct включает:
- Повышенная пропускная способность: использует полную пропускную способность высокоскоростных сетей, в которых сетевые адаптеры координируют передачу больших объемов данных на линейной скорости.
- Низкая задержка: обеспечивает чрезвычайно быстрые ответы на сетевые запросы и, как следствие, создает впечатление, что удаленное хранилище файлов является напрямую подключенным блочным хранилищем.
- Низкая загрузка ЦП: использует меньше циклов ЦП при передаче данных по сети, что оставляет больше энергии для серверных приложений.
SMB Direct автоматически настраивается Windows Server 2012 R2 и Windows Server 2012.
Многоканальный SMB и прямой SMB
SMB Multichannel — это функция, отвечающая за определение возможностей RDMA сетевых адаптеров для включения SMB Direct. Без многоканального SMB SMB использует обычный TCP / IP с сетевыми адаптерами с поддержкой RDMA (все сетевые адаптеры предоставляют стек TCP / IP вместе с новым стеком RDMA).
При использовании многоканального SMB SMB определяет, имеет ли сетевой адаптер возможность RDMA, а затем создает несколько соединений RDMA для этого единственного сеанса (по два на интерфейс). Это позволяет SMB использовать высокую пропускную способность, низкую задержку и низкую загрузку ЦП, предлагаемые сетевыми адаптерами с поддержкой RDMA. Он также обеспечивает отказоустойчивость, если вы используете несколько интерфейсов RDMA.
Примечание
Не следует объединять сетевые адаптеры с поддержкой RDMA, если вы собираетесь использовать возможности сетевых адаптеров RDMA.При объединении сетевые адаптеры не будут поддерживать RDMA. После создания хотя бы одного сетевого подключения RDMA соединение TCP / IP, используемое для согласования исходного протокола, больше не используется. Однако соединение TCP / IP сохраняется в случае сбоя сетевых подключений RDMA.
Шифрование SMB с SMB Direct
Начиная с Windows Server 2022 и Windows 11, SMB Direct теперь поддерживает шифрование. Ранее включение шифрования SMB отключало прямое размещение данных, в результате чего производительность RDMA была такой же медленной, как у TCP.Теперь данные шифруются перед размещением, что приводит к относительно незначительному снижению производительности при добавлении защищенной конфиденциальности пакетов AES-128 и AES-256. Для получения дополнительных сведений о настройке шифрования SMB ознакомьтесь с улучшениями безопасности SMB.
Кроме того, отказоустойчивые кластеры Windows Server теперь поддерживают детальное управление шифрованием внутриузловой связи хранилища для общих томов кластера (CSV) и уровня шины хранилища (SBL). Это означает, что при использовании Storage Spaces Direct и SMB Direct вы можете решить зашифровать обмен данными между востоком и западом внутри самого кластера для повышения безопасности.
Требования
ДляSMB Direct требуется следующее:
- Минимум два компьютера под управлением Windows Server 2012 R2 или Windows Server 2012
- Один или несколько сетевых адаптеров с возможностью RDMA.
Рекомендации при использовании SMB Direct
- Вы можете использовать SMB Direct в отказоустойчивом кластере; однако необходимо убедиться, что сети кластера, используемые для доступа клиентов, подходят для SMB Direct. Отказоустойчивая кластеризация поддерживает использование нескольких сетей для клиентского доступа, а также сетевых адаптеров, поддерживающих RSS (масштабирование на стороне приема) и RDMA.
- Вы можете использовать SMB Direct в операционной системе управления Hyper-V для поддержки использования Hyper-V через SMB и для предоставления хранилища виртуальной машине, которая использует стек хранилища Hyper-V. Однако сетевые адаптеры с поддержкой RDMA не доступны напрямую клиенту Hyper-V. Если вы подключите сетевой адаптер с поддержкой RDMA к виртуальному коммутатору, виртуальные сетевые адаптеры коммутатора не будут поддерживать RDMA.
- Если вы отключите многоканальный SMB, SMB Direct также будет отключен. Поскольку многоканальный протокол SMB определяет возможности сетевого адаптера и определяет, поддерживает ли сетевой адаптер RDMA, клиент не может использовать протокол SMB Direct, если многоканальный протокол SMB отключен.
- SMB Direct не поддерживается в Windows RT. SMB Direct требует поддержки сетевых адаптеров с поддержкой RDMA, которая доступна только в Windows Server 2012 R2 и Windows Server 2012.
- SMB Direct не поддерживается в более ранних версиях Windows Server. Поддерживается только в Windows Server 2012 R2 и Windows Server 2012.
Включение и отключение SMB Direct
SMB Direct включен по умолчанию при установке Windows Server 2012 R2 или Windows Server 2012.Клиент SMB автоматически обнаруживает и использует несколько сетевых подключений, если определена соответствующая конфигурация.
Отключить SMB Direct
Обычно отключать SMB Direct не требуется, однако его можно отключить, запустив один из следующих сценариев Windows PowerShell.
Чтобы отключить RDMA для определенного интерфейса, введите:
Disable-NetAdapterRdma <имя>
Чтобы отключить RDMA для всех интерфейсов, введите:
Set-NetOffloadGlobalSetting -NetworkDirect отключено
Когда вы отключаете RDMA на клиенте или сервере, системы не могут его использовать. Network Direct — это внутреннее имя для базовой сетевой поддержки Windows Server 2012 R2 и Windows Server 2012 для интерфейсов RDMA.
Повторно включить SMB Direct
После отключения RDMA вы можете снова включить его, запустив один из следующих сценариев Windows PowerShell.
Чтобы повторно включить RDMA для определенного интерфейса, введите:
Enable-NetAdapterRDMA <имя>
Чтобы повторно включить RDMA для всех интерфейсов, введите:
Set-NetOffloadGlobalSetting -NetworkDirect включен
Вам необходимо включить RDMA как на клиенте, так и на сервере, чтобы снова начать его использовать.
Производительность теста SMB Direct
Вы можете проверить, как работает производительность, используя одну из следующих процедур.
Сравните копию файла с использованием SMB Direct и без него
Вот как можно измерить увеличенную пропускную способность SMB Direct:
- Настроить SMB Direct
- Измерьте количество времени для запуска большой копии файла с помощью SMB Direct.
- Отключите RDMA на сетевом адаптере, см. Включение и отключение SMB Direct.
- Измерьте время, необходимое для запуска большой копии файла без использования SMB Direct.
- Повторно включите RDMA на сетевом адаптере, а затем сравните два результата.
- Чтобы избежать влияния кеширования, необходимо сделать следующее:
- Скопируйте большой объем данных (больше данных, чем память может обработать).
- Скопируйте данные дважды, используя первую копию в качестве практики, а затем синхронизируя вторую копию.
- Перезапускайте сервер и клиент перед каждым тестом, чтобы убедиться, что они работают в одинаковых условиях.
Сбой одного из нескольких сетевых адаптеров во время копирования файла с помощью SMB Direct
Вот как проверить возможность аварийного переключения SMB Direct:
- Убедитесь, что SMB Direct работает в конфигурации с несколькими сетевыми адаптерами.
- Запустите большую копию файла. Во время копирования смоделируйте отказ одного из сетевых путей, отсоединив один из кабелей (или отключив один из сетевых адаптеров).
- Убедитесь, что копирование файлов продолжается с использованием одного из оставшихся сетевых адаптеров и что ошибок копирования файлов нет.
Примечание
Чтобы избежать сбоев рабочей нагрузки, не использующей SMB Direct, убедитесь, что нет других рабочих нагрузок, использующих отключенный сетевой путь.
Дополнительная информация
Как обнаружить, включить и отключить SMBv1, SMBv2 и SMBv3 в Windows
- На чтение 9 минут
В этой статье
Применимо к: Windows Server 2022, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этой статье описывается, как включить и отключить серверный блок сообщений (SMB) версии 1 (SMBv1), SMB версии 2 (SMBv2) и SMB версии 3 (SMBv3) в клиентских и серверных компонентах SMB.
Хотя отключение или удаление SMBv1 может вызвать некоторые проблемы совместимости со старыми компьютерами или программным обеспечением, SMBv1 имеет значительные уязвимости безопасности, и мы настоятельно рекомендуем вам не использовать его.
Отключение SMBv2 или SMBv3 для устранения неполадок
Мы рекомендуем оставить SMBv2 и SMBv3 включенными, но может оказаться полезным временно отключить их для устранения неполадок. Дополнительные сведения см. В разделе «Как определять состояние, включать и отключать протоколы SMB на сервере SMB».
В Windows 10, Windows 8.1 и Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 отключает следующие функции:
- Transparent Failover — клиенты без прерывания подключаются к узлам кластера во время обслуживания или переключения при отказе
- Scale Out — одновременный доступ к общим данным на всех узлах файлового кластера
- Многоканальный — агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей
- SMB Direct — добавляет поддержку сети RDMA для обеспечения высокой производительности с низкой задержкой и низким использованием ЦП
- Шифрование — обеспечивает сквозное шифрование и защищает от прослушивания в ненадежных сетях
- Directory Leasing — сокращает время отклика приложений в филиалах за счет кэширования
- Оптимизация производительности — оптимизация для небольших операций ввода-вывода произвольного чтения / записи
В Windows 7 и Windows Server 2008 R2 отключение SMBv2 отключает следующие функции:
- Составление запросов — позволяет отправлять несколько запросов SMBv2 как один сетевой запрос
- Больше операций чтения и записи — лучшее использование более быстрых сетей
- Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов
- Надежные ручки — позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
- Улучшенная подпись сообщений — HMAC SHA-256 заменяет MD5 в качестве алгоритма хеширования
- Улучшенная масштабируемость для совместного использования файлов — количество пользователей, общих ресурсов и открытых файлов на сервере значительно увеличилось
- Поддержка символических ссылок
- Модель аренды клиентской оппортунистической блокировки — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
- Поддержка большого MTU — для полноценного использования 10 Gigabit Ethernet (GbE)
- Повышенная энергоэффективность — клиенты, у которых есть открытые файлы на сервере, могут спать
Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008, а протокол SMBv3 был представлен в Windows 8 и Windows Server 2012.Дополнительные сведения о возможностях SMBv2 и SMBv3 см. В следующих статьях:
Как удалить SMBv1
Вот как удалить SMBv1 в Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016 и Windows 2012 R2.
Методы PowerShell
SMBv1 (клиент и сервер)
Обнаружить:
Get-WindowsOptionalFeature -Online -FeatureName smb1protocol
Отключить:
Отключить-WindowsOptionalFeature -Online -FeatureName smb1protocol
Включить:
Включить-WindowsOptionalFeature -Online -FeatureName smb1protocol
Windows Server 2012 R2, Windows Server 2016, Windows Server 2019: метод диспетчера сервера для отключения SMB
SMBv1
Чтобы удалить SMBv1 из Windows Server:
- На панели мониторинга диспетчера серверов сервера, на котором вы хотите удалить SMBv1, в разделе Настроить этот локальный сервер выберите Добавить роли и функции .
- На Перед тем как начать страницу , выберите Запустить мастер удаления ролей и компонентов , а затем на следующей странице выберите Далее .
- На странице Select destination server в разделе Server Pool убедитесь, что выбран сервер, с которого вы хотите удалить функцию, а затем выберите Next .
- На странице Удалить роли сервера выберите Далее .
- На странице Удаление компонентов снимите флажок для SMB 1.0 / CIFS File Sharing Support и выберите Next .
- На странице Подтвердить выбор удаления убедитесь, что функция присутствует в списке, а затем выберите Удалить .
Windows 8.1 и Windows 10: метод PowerShell
Протокол SMBv1
Обнаружить:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Отключить:
Отключить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Включить:
Включить-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Протокол SMBv2 / v3 (отключает только сервер SMBv2 / v3)
Обнаружить:
Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.
Отключить:
Set-SmbServerConfiguration -EnableSMB2Protocol $ false
Включить:
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
Windows 8.1 и Windows 10: метод установки и удаления программ
Чтобы отключить SMBv1 в Windows 8.1 и Windows 10:
- В панели управления выберите Программы и компоненты .
- В разделе Панель управления Домашняя страница выберите Включение или отключение компонентов Windows , чтобы открыть окно Функции Windows .
- В поле Windows Features прокрутите список вниз, снимите флажок для SMB 1.0 / CIFS File Sharing Support и выберите OK .
- После того, как Windows применит изменение, на странице подтверждения выберите Перезагрузить сейчас .
Как определить состояние, включить и отключить протоколы SMB на сервере SMB
для Windows 8 и Windows Server 2012
Windows 8 и Windows Server 2012 представили новый командлет Set-SMBServerConfiguration Windows PowerShell. Командлет позволяет включать или отключать протоколы SMBv1, SMBv2 и SMBv3 в серверном компоненте.
Примечание
Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается.Это происходит потому, что эти протоколы используют один и тот же стек.
Нет необходимости перезагружать компьютер после выполнения командлета Set-SMBServerConfiguration .
SMBv1 на сервере SMB
Обнаружить:
Get-SmbServerConfiguration | Выберите EnableSMB1Protocol.
Отключить:
Set-SmbServerConfiguration -EnableSMB1Protocol $ false
Включить:
Set-SmbServerConfiguration -EnableSMB1Protocol $ true
Для получения дополнительной информации см. Хранилище сервера в Microsoft.
SMB v2 / v3 на сервере SMB
Обнаружить:
Get-SmbServerConfiguration | Выберите EnableSMB2Protocol.
Отключить:
Set-SmbServerConfiguration -EnableSMB2Protocol $ false
Включить:
Set-SmbServerConfiguration -EnableSMB2Protocol $ true
для Windows 7, Windows Server 2008 R2, Windows Vista и Windows Server 2008
Чтобы включить или отключить протоколы SMB на сервере SMB под управлением Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008, используйте Windows PowerShell или редактор реестра.
Методы PowerShell
Примечание
Для этого метода требуется PowerShell 2.0 или более поздняя версия PowerShell.
SMBv1 на сервере SMB
Обнаружить:
Get-Item HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}
Конфигурация по умолчанию = Включено (раздел реестра не создается), поэтому значение SMB1 не возвращается
Отключить:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 0 -Force
Включить:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB1 -Type DWORD -Value 1 -Force
Примечание После внесения этих изменений необходимо перезагрузить компьютер.Для получения дополнительной информации см. Серверное хранилище в Microsoft.
SMBv2 / v3 на сервере SMB
Обнаружить:
Get-ItemProperty HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters | ForEach-Object {Get-ItemProperty $ _. Pspath}
Отключить:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 0 -Force
Включить:
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters" SMB2 -Type DWORD -Value 1 -Force
Примечание
После внесения этих изменений необходимо перезагрузить компьютер.
Редактор реестра
Важно
Внимательно выполните действия, описанные в этом разделе. При неправильном изменении реестра могут возникнуть серьезные проблемы. Прежде чем изменять его, сделайте резервную копию реестра для восстановления в случае возникновения проблем.
Чтобы включить или отключить SMBv1 на сервере SMB, настройте следующий раздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
Запись в реестре: SMB1
REG_DWORD: 0 = отключено
REG_DWORD: 1 = Включено
По умолчанию: 1 = Включено (раздел реестра не создается)
Чтобы включить или отключить SMBv2 на сервере SMB, настройте следующий раздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
Запись в реестре: SMB2
REG_DWORD: 0 = отключено
REG_DWORD: 1 = Включено
По умолчанию: 1 = Включено (раздел реестра не создается)
Примечание
После внесения этих изменений необходимо перезагрузить компьютер.
Как определять статус, включать и отключать протоколы SMB на SMB-клиенте
для Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 и Windows Server 2012
Примечание
Когда вы включаете или отключаете SMBv2 в Windows 8 или Windows Server 2012, SMBv3 также включается или отключается. Это происходит потому, что эти протоколы используют один и тот же стек.
SMBv1 на клиенте SMB
Обнаружить
сбн.exe qc lanmanworkstation
Отключить:
sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb20 / nsi sc.exe config mrxsmb10 start = отключено
Включить:
sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb10 start = auto
Для получения дополнительной информации см. Серверное хранилище в Microsoft
.SMBv2 / v3 на клиенте SMB
Обнаружить:
сбн.exe qc lanmanworkstation
Отключить:
sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / nsi sc.exe config mrxsmb20 start = отключено
Включить:
sc.exe конфигурация lanmanworkstation зависимость = bowser / mrxsmb10 / mrxsmb20 / nsi sc.exe config mrxsmb20 start = auto
Примечание
- Эти команды необходимо запускать из командной строки с повышенными привилегиями.
- После внесения этих изменений необходимо перезагрузить компьютер.
Отключить сервер SMBv1 с помощью групповой политики
Эта процедура настраивает следующий новый элемент в реестре:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
- Запись в реестре: SMB1
- REG_DWORD: 0 = Отключено
Чтобы использовать групповую политику для настройки, выполните следующие действия:
Откройте консоль управления групповой политикой .Щелкните правой кнопкой мыши объект групповой политики (GPO), который должен содержать новый элемент предпочтений, а затем щелкните Изменить .
В дереве консоли в разделе Конфигурация компьютера разверните папку Preferences , а затем разверните папку Windows Settings .
Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .
В диалоговом окне New Registry Properties выберите следующее:
- Действие : Создать
- Улей : HKEY_LOCAL_MACHINE
- Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters
- Имя значения : SMB1
- Тип значения : REG_DWORD
- Значение данных : 0
Эта процедура отключает компоненты сервера SMBv1.Эта групповая политика должна применяться ко всем необходимым рабочим станциям, серверам и контроллерам домена в домене.
Примечание
Фильтры WMIтакже можно настроить для исключения неподдерживаемых операционных систем или выбранных исключений, таких как Windows XP.
Важно
Будьте осторожны при внесении этих изменений на контроллеры домена, на которых устаревшая Windows XP или более старые Linux и сторонние системы (которые не поддерживают SMBv2 или SMBv3) требуют доступа к SYSVOL или другим общим файловым ресурсам, где SMB v1 отключен.
Отключить клиент SMBv1 с помощью групповой политики
Чтобы отключить клиент SMBv1, необходимо обновить раздел реестра служб, чтобы отключить запуск MRxSMB10 , а затем необходимо удалить зависимость от MRxSMB10 из записи для LanmanWorkstation , чтобы он мог нормально запускаться без необходимости MRxSMB10 до первого запуска.
Это руководство обновляет и заменяет значения по умолчанию в следующих двух элементах реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ mrxsmb10
Запись реестра: Начало REG_DWORD: 4 = Отключено
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
Запись реестра: DependOnService REG_MULTI_SZ: «Bowser», «MRxSmb20 ″,« NSI »
Примечание
По умолчанию включен MRxSMB10, который теперь удален как зависимость.
Чтобы настроить это с помощью групповой политики, выполните следующие действия:
Откройте консоль управления групповой политикой . Щелкните правой кнопкой мыши объект групповой политики, который должен содержать новый элемент предпочтений, а затем щелкните Изменить .
В дереве консоли в разделе Конфигурация компьютера разверните папку Preferences , а затем разверните папку Windows Settings .
Щелкните правой кнопкой мыши узел реестра , укажите на Новый и выберите элемент реестра .
В диалоговом окне New Registry Properties выберите следующее:
- Действие : обновление
- Улей : HKEY_LOCAL_MACHINE
- Путь к ключу : SYSTEM \ CurrentControlSet \ services \ mrxsmb10
- Имя значения : Начало
- Тип значения : REG_DWORD
- Значение данных : 4
Затем удалите зависимость от MRxSMB10 , которая была отключена.
В диалоговом окне New Registry Properties выберите следующее:
- Действие : заменить
- Улей : HKEY_LOCAL_MACHINE
- Путь к ключу : SYSTEM \ CurrentControlSet \ Services \ LanmanWorkstation
- Имя значения : DependOnService
- Тип значения : REG_MULTI_SZ
- Значение данных :
Примечание
Эти три строки не будут иметь пуль (см. Следующий снимок экрана).
Значение по умолчанию включает MRxSMB10 во многих версиях Windows, поэтому, заменяя их этой многозначной строкой, он фактически удаляет MRxSMB10 как зависимость для LanmanServer и снижает четыре значения по умолчанию до этих три значения выше.
Примечание
При использовании консоли управления групповой политикой не нужно использовать кавычки или запятые. Просто введите каждую запись в отдельной строке.
Перезапустите целевые системы, чтобы завершить отключение SMB v1.
Аудит использования SMBv1
Чтобы определить, какие клиенты пытаются подключиться к SMB-серверу с SMBv1, вы можете включить аудит в Windows Server 2016, Windows 10 и Windows Server 2019. Вы также можете проводить аудит в Windows 7 и Windows Server 2008 R2, если ежемесячно установлено обновление, а также в Windows 8.1 и Windows Server 2012 R2, если установлено ежемесячное обновление за июль 2017 г.
Включить:
Set-SmbServerConfiguration -AuditSmb1Access $ true
Отключить:
Set-SmbServerConfiguration -AuditSmb1Access $ false
Обнаружить:
Get-SmbServerConfiguration | Выберите AuditSmb1Access.
Когда включен аудит SMBv1, в журнале событий «Microsoft-Windows-SMBServer \ Audit» появляется событие 3000, идентифицирующее каждого клиента, который пытается подключиться к SMBv1.
Сводка
Если все параметры находятся в одном объекте групповой политики, Управление групповой политикой отображает следующие параметры.
Тестирование и валидация
После выполнения шагов настройки, описанных в этой статье, разрешите репликацию и обновление политики. При необходимости для тестирования запустите gpupdate / force в командной строке, а затем просмотрите целевые компьютеры, чтобы убедиться, что параметры реестра применены правильно. Убедитесь, что SMBv2 и SMBv3 работают для всех других систем в среде.
Примечание
Не забудьте перезапустить целевые системы.
Обзор совместного использования файлов с использованием протокола SMB 3 в Windows Server
- 11 минут на чтение
В этой статье
Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе описывается функция SMB 3 в Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 — практическое использование этой функции, наиболее важные новые или обновленные функции в этой версии по сравнению с предыдущими версиями, а также требования к оборудованию.SMB также является протоколом фабрики, используемым решениями программно-определяемых центров обработки данных (SDDC), такими как Storage Spaces Direct, Storage Replica и другие. SMB версии 3.0 был представлен в Windows Server 2012 и в последующих выпусках был постепенно улучшен.
Описание функции
Протокол Server Message Block (SMB) — это сетевой протокол обмена файлами, который позволяет приложениям на компьютере читать и записывать файлы и запрашивать службы у серверных программ в компьютерной сети.Протокол SMB может использоваться поверх своего протокола TCP / IP или других сетевых протоколов. Используя протокол SMB, приложение (или пользователь приложения) может получать доступ к файлам или другим ресурсам на удаленном сервере. Это позволяет приложениям читать, создавать и обновлять файлы на удаленном сервере. SMB также может взаимодействовать с любой серверной программой, настроенной для получения клиентского запроса SMB. SMB — это протокол фабрики, который используется вычислительными технологиями программно-определяемого центра обработки данных (SDDC), такими как Storage Spaces Direct, Storage Replica.Дополнительные сведения см. В разделе Программно-определяемый центр обработки данных Windows Server.
Практическое применение
В этом разделе обсуждаются некоторые новые практические способы использования нового протокола SMB 3.0.
- Файловое хранилище для виртуализации (Hyper-V ™ через SMB) . Hyper-V может хранить файлы виртуальных машин, такие как файлы конфигурации, файлы виртуального жесткого диска (VHD) и моментальные снимки, в общих файловых ресурсах по протоколу SMB 3.0. Это можно использовать как для автономных файловых серверов, так и для кластерных файловых серверов, которые используют Hyper-V вместе с общим хранилищем файлов для кластера.
- Microsoft SQL Server через SMB . SQL Server может хранить файлы базы данных пользователей в общих файловых ресурсах SMB. В настоящее время это поддерживается SQL Server 2008 R2 для автономных серверов SQL. В следующих версиях SQL Server будет добавлена поддержка кластерных серверов SQL и системных баз данных.
- Традиционное хранилище данных конечных пользователей . Протокол SMB 3.0 обеспечивает улучшения рабочих нагрузок информационных работников (или клиентов). Эти улучшения включают сокращение задержек приложений, с которыми сталкиваются пользователи филиалов при доступе к данным через глобальные сети (WAN), и защиту данных от атак с перехватом.
Примечание
Если вам необходимо сэкономить место в хранилище файлового ресурса SMB, рассмотрите возможность использования службы «Синхронизация файлов Azure» с включенным многоуровневым облачным хранилищем. Это позволяет кэшировать наиболее часто используемые файлы локально и размещать наименее часто используемые файлы по уровням в облаке, экономя место на локальном хранилище при сохранении производительности. Дополнительные сведения см. В разделе Планирование развертывания службы «Синхронизация файлов Azure».
Новый и измененный функционал
В следующих разделах описываются функции, добавленные в SMB 3 и последующих обновлениях.
Функции, добавленные в Windows Server 2019 и Windows 10, версия 1809
Особенности / функции | Новые или обновленные | Сводка |
---|---|---|
Возможность требовать сквозной записи на диск в общих файловых ресурсах, которые не доступны постоянно | Новое | Чтобы обеспечить некоторую дополнительную уверенность в том, что запись в общий файловый ресурс проходит через программный и аппаратный стек на физический диск до того, как операция записи будет возвращена как завершенная, вы можете включить сквозную запись в общий файловый ресурс, используя либо NET USE / WRITETHROUGH или New-SMBMapping -UseWriteThrough PowerShell.Использование сквозной записи снижает производительность; см. сообщение в блоге Контроль поведения сквозной записи в SMB для дальнейшего обсуждения. |
Функции, добавленные в Windows Server версии 1709 и Windows 10 версии 1709
Особенности / функции | Новые или обновленные | Сводка |
---|---|---|
Гостевой доступ к общим файловым ресурсам отключен | Новое | Клиент SMB больше не разрешает следующие действия: доступ гостевой учетной записи к удаленному серверу; Возврат к гостевой учетной записи после предоставления неверных учетных данных.Дополнительные сведения см. В разделе Гостевой доступ в SMB2 отключен по умолчанию в Windows. |
Глобальное сопоставление SMB | Новое | Сопоставляет удаленный общий ресурс SMB с буквой диска, доступной для всех пользователей на локальном хосте, включая контейнеры. Это необходимо, чтобы разрешить контейнерный ввод-вывод на томе данных для прохождения удаленной точки монтирования. Имейте в виду, что при использовании глобального сопоставления SMB для контейнеров все пользователи на узле контейнера могут получить доступ к удаленному общему ресурсу. Любое приложение, работающее на узле контейнера, также имеет доступ к подключенному удаленному общему ресурсу.Дополнительные сведения см. В разделах «Поддержка хранилища контейнеров с общими томами кластера (CSV)», «Локальные дисковые пространства», «Глобальное сопоставление SMB». |
Управление диалектом SMB | Новое | Теперь вы можете установить значения реестра для управления минимальной версией SMB (диалект) и максимальной используемой версией SMB. Дополнительные сведения см. В разделе «Управление диалектами SMB». |
Функции, добавленные в SMB 3.11 с Windows Server 2016 и Windows 10, версия 1607
Особенности / функции | Новые или обновленные | Сводка |
---|---|---|
Шифрование SMB | Обновлено | SMB 3.1.1 шифрование с использованием Advanced Encryption Standard-Galois / Counter Mode (AES-GCM) быстрее, чем SMB Signing или предыдущее шифрование SMB с использованием AES-CCM. |
Кэширование каталогов | Новое | SMB 3.1.1 включает улучшения кэширования каталогов. Клиенты Windows теперь могут кэшировать гораздо большие каталоги, примерно 500 КБ записей. Клиенты Windows будут пытаться выполнять запросы к каталогу с буфером 1 МБ, чтобы уменьшить количество циклов обработки и повысить производительность. |
Целостность до аутентификации | Новое | В SMB 3.1.1, целостность предварительной аутентификации обеспечивает улучшенную защиту от злоумышленника, злоумышленника, пытающегося вмешаться в сообщения об установлении соединения и аутентификации SMB. Дополнительные сведения см. В разделе SMB 3.1.1 Целостность предварительной проверки подлинности в Windows 10. |
Улучшения шифрования SMB | Новое | SMB 3.1.1 предлагает механизм согласования алгоритма шифрования для каждого соединения с опциями для AES-128-CCM и AES-128-GCM. AES-128-GCM используется по умолчанию для новых версий Windows, в то время как более старые версии будут по-прежнему использовать AES-128-CCM. |
Поддержка обновления непрерывного кластера | Новое | Включает последовательное обновление кластера, позволяя SMB поддерживать различные максимальные версии SMB для кластеров в процессе обновления. Дополнительные сведения о том, как разрешить SMB общаться с использованием различных версий (диалектов) протокола, см. В сообщении в блоге «Управление диалектами SMB». |
SMB Прямая поддержка клиентов в Windows 10 | Новое | Windows 10 Enterprise, Windows 10 Education и Windows 10 Pro для рабочих станций теперь включают поддержку клиентов SMB Direct. |
Встроенная поддержка вызовов API FileNormalizedNameInformation | Новое | Добавляет встроенную поддержку для запроса нормализованного имени файла. Дополнительные сведения см. В разделе FileNormalizedNameInformation. |
Дополнительные сведения см. В сообщении в блоге «Что нового в SMB 3.1.1 в технической предварительной версии 2 Windows Server 2016».
Функции, добавленные в SMB 3.02 с Windows Server 2012 R2 и Windows 8.1
Особенности / функции | Новые или обновленные | Сводка |
---|---|---|
Автоматическая перебалансировка клиентов горизонтально масштабируемого файлового сервера | Новое | Повышает масштабируемость и управляемость масштабируемых файловых серверов.Подключения клиентов SMB отслеживаются для общего файлового ресурса (а не для каждого сервера), а затем клиенты перенаправляются на узел кластера с наилучшим доступом к тому, который используется файловым ресурсом. Это повышает эффективность за счет уменьшения трафика перенаправления между узлами файлового сервера. Клиенты перенаправляются после первоначального подключения и при перенастройке хранилища кластера. |
Производительность по WAN | Обновлено | Windows 8.1 и Windows 10 предоставляют улучшенную поддержку CopyFile SRV_COPYCHUNK через SMB, когда вы используете проводник для удаленных копий из одного места на удаленном компьютере в другую копию на том же сервере.Вы скопируете только небольшой объем метаданных по сети (передается 1/2 КБ на 16 МБ данных файла). Это приводит к значительному повышению производительности. Это различие между уровнем ОС и уровнем проводника для SMB. |
SMB Прямой | Обновлено | Повышает производительность для небольших рабочих нагрузок ввода-вывода за счет повышения эффективности при размещении рабочих нагрузок с небольшими операциями ввода-вывода (например, база данных оперативной обработки транзакций (OLTP) на виртуальной машине). Эти улучшения очевидны при использовании высокоскоростных сетевых интерфейсов, таких как 40 Гбит / с Ethernet и 56 Гбит / с InfiniBand. |
Ограничения пропускной способности SMB | Новое | Теперь вы можете использовать Set-SmbBandwidthLimit для установки ограничений полосы пропускания в трех категориях: VirtualMachine (Hyper-V через трафик SMB), LiveMigration (трафик динамической миграции Hyper-V через SMB) или Default (все другие типы трафика SMB). |
Дополнительные сведения о новых и измененных функциях SMB в Windows Server 2012 R2 см. В разделе Что нового в SMB в Windows Server.
Функции, добавленные в SMB 3.0 с Windows Server 2012 и Windows 8
Особенности / функции | Новые или обновленные | Сводка |
---|---|---|
SMB Прозрачное аварийное переключение | Новое | Позволяет администраторам выполнять обслуживание оборудования или программного обеспечения узлов кластерного файлового сервера, не прерывая серверные приложения, хранящие данные в этих общих файловых ресурсах. Кроме того, если на узле кластера происходит сбой оборудования или программного обеспечения, клиенты SMB прозрачно повторно подключаются к другому узлу кластера, не прерывая серверные приложения, которые хранят данные в этих общих файловых ресурсах. |
Масштабирование SMB | Новое | Поддержка нескольких экземпляров SMB на масштабируемом файловом сервере. Используя Cluster Shared Volumes (CSV) версии 2, администраторы могут создавать общие файловые ресурсы, которые обеспечивают одновременный доступ к файлам данных с прямым вводом-выводом через все узлы в кластере файловых серверов. Это обеспечивает лучшее использование пропускной способности сети и балансировку нагрузки клиентов файлового сервера, а также оптимизирует производительность серверных приложений. |
Многоканальный SMB | Новое | Обеспечивает агрегирование пропускной способности сети и отказоустойчивости сети, если между клиентом SMB и сервером доступно несколько путей.Это позволяет серверным приложениям в полной мере использовать всю доступную пропускную способность сети и быть устойчивыми к сбоям сети. SMB Многоканальность в SMB 3 способствует значительному увеличению производительности по сравнению с предыдущими версиями SMB. |
SMB Прямой | Новое | Поддерживает использование сетевых адаптеров с поддержкой RDMA и может работать на полной скорости с очень низкой задержкой при очень небольшом использовании ЦП. Для таких рабочих нагрузок, как Hyper-V или Microsoft SQL Server, это позволяет удаленному файловому серверу напоминать локальное хранилище. SMB Direct в SMB 3 способствует значительному увеличению производительности по сравнению с предыдущими версиями SMB. |
Счетчики производительности для серверных приложений | Новое | Новые счетчики производительности SMB предоставляют подробную информацию о пропускной способности, задержке и количестве операций ввода-вывода в секунду (IOPS) для каждого общего ресурса, что позволяет администраторам анализировать производительность общих файловых ресурсов SMB, в которых хранятся их данные. Эти счетчики специально разработаны для серверных приложений, таких как Hyper-V и SQL Server, которые хранят файлы в удаленных общих файловых ресурсах. |
Оптимизация производительности | Обновлено | И клиент SMB, и сервер оптимизированы для небольших операций ввода-вывода произвольного чтения / записи, которые часто встречаются в серверных приложениях, таких как SQL Server OLTP. Кроме того, по умолчанию включена большая максимальная единица передачи (MTU), что значительно повышает производительность при больших последовательных передачах, таких как хранилище данных SQL Server, резервное копирование или восстановление базы данных, развертывание или копирование виртуальных жестких дисков. |
Командлеты Windows PowerShell для SMB | Новое | С помощью командлетов Windows PowerShell для SMB администратор может управлять общими папками на файловом сервере из конца в конец из командной строки. |
Шифрование SMB | Новое | Обеспечивает сквозное шифрование данных SMB и защищает данные от перехвата в ненадежных сетях. Не требует новых затрат на развертывание, а также не требует защиты протокола IP (IPsec), специального оборудования или ускорителей WAN. Его можно настроить для каждого общего ресурса или для всего файлового сервера, а также можно включить для различных сценариев, когда данные проходят через ненадежные сети. |
Аренда каталога SMB | Новое | Уменьшает время отклика приложений в филиалах.Использование аренды каталогов сокращает количество обращений от клиента к серверу, поскольку метаданные извлекаются из более длительного живого кеша каталога. Согласованность кэша поддерживается, поскольку клиенты уведомляются об изменении информации каталога на сервере. Аренда каталогов работает со сценариями для HomeFolder (чтение / запись без совместного использования) и Publication (только для чтения с общим доступом). |
Производительность по WAN | Новое | В SMB 3 были введены оппортунистические блокировки (oplocks) и аренда oplock.0. Для типичных рабочих нагрузок офиса / клиента показано, что oplocks / lease сокращают круговые обходы сети примерно на 15%. В SMB 3 реализация SMB в Windows была усовершенствована, чтобы улучшить поведение кэширования на клиенте, а также повысить пропускную способность. SMB 3 включает улучшения API CopyFile (), а также связанных инструментов, таких как Robocopy, для передачи значительно большего объема данных по сети. |
Согласование безопасного диалекта | Новое | Помогает защитить от попытки посредника перейти на более раннюю версию согласования диалектов.Идея состоит в том, чтобы предотвратить снижение злоумышленником первоначально согласованного диалекта и возможностей между клиентом и сервером. Дополнительные сведения см. В разделе «Согласование безопасного диалекта SMB3». Обратите внимание, что это было заменено функцией целостности предварительной проверки подлинности SMB 3.1.1 в Windows 10 в SMB 3.1.1. |
Требования к оборудованию
SMB Transparent Failover имеет следующие требования:
- Отказоустойчивый кластер под управлением Windows Server 2012 или Windows Server 2016 с как минимум двумя настроенными узлами.Кластер должен пройти тесты проверки кластера, включенные в мастер проверки.
- Общие файловые ресурсы должны создаваться со свойством непрерывной доступности (CA), которое используется по умолчанию.
- Общие файловые ресурсы должны быть созданы на путях томов CSV для достижения горизонтального масштабирования SMB.
- Клиентские компьютеры должны работать под управлением Windows® 8 или Windows Server 2012, оба из которых включают обновленный клиент SMB, поддерживающий постоянную доступность.
Примечание
Клиенты нижнего уровня могут подключаться к общим файловым ресурсам, имеющим свойство CA, но прозрачное переключение при отказе не будет поддерживаться для этих клиентов.
SMB Multichannel имеет следующие требования:
- Требуется как минимум два компьютера под управлением Windows Server 2012. Никаких дополнительных функций устанавливать не нужно — технология включена по умолчанию.
- Для получения информации о рекомендуемых сетевых конфигурациях см. Раздел «См. Также» в конце этого обзорного раздела.
SMB Direct имеет следующие требования:
- Требуется как минимум два компьютера под управлением Windows Server 2012.Никаких дополнительных функций устанавливать не нужно — технология включена по умолчанию.
- Требуются сетевые адаптеры с поддержкой RDMA. В настоящее время доступны эти адаптеры трех различных типов: iWARP, Infiniband или RoCE (RDMA через конвергентный Ethernet).
Дополнительная информация
В следующем списке представлены дополнительные ресурсы в Интернете о SMB и связанных технологиях в Windows Server 2012 R2, Windows Server 2012 и Windows Server 2016.
SMBv1 не устанавливается по умолчанию в Windows 10 версии 1709, Windows Server версии 1709 и более поздних версиях
- 7 минут на чтение
В этой статье
Сводка
В Windows 10 Fall Creators Update и Windows Server версии 1709 (RS3) и более поздних версиях сетевой протокол Server Message Block версии 1 (SMBv1) больше не устанавливается по умолчанию.В 2007 году он был заменен протоколами SMBv2 и более поздними версиями. В 2014 году корпорация Майкрософт публично отказалась от протокола SMBv1.
SMBv1 имеет следующее поведение в Windows 10 и Windows Server, начиная с версии 1709 (RS3):
- SMBv1 теперь имеет как клиентские, так и серверные дополнительные функции, которые можно удалить отдельно.
- Windows 10 Enterprise, Windows 10 Education и Windows 10 Pro для рабочих станций больше не содержат клиент или сервер SMBv1 по умолчанию после чистой установки.
- Windows Server 2019 больше не содержит клиента или сервера SMBv1 по умолчанию после чистой установки.
- Windows 10 Домашняя и Windows 10 Pro больше не содержат сервер SMBv1 по умолчанию после чистой установки.
- Windows 10 Домашняя и Windows 10 Pro по-прежнему содержат клиент SMBv1 по умолчанию после чистой установки. Если клиент SMBv1 не используется в течение 15 дней (не считая выключенного компьютера), он автоматически удаляется.
- Обновления на месте и инсайдерские версии Windows 10 Home и Windows 10 Pro изначально не удаляют SMBv1 автоматически.Если клиент или сервер SMBv1 не используется в течение 15 дней (не считая времени, в течение которого компьютер выключен), каждый из них автоматически удаляется.
- Обновления на месте и инсайдерские версии выпусков Windows 10 Корпоративная, Windows 10 для образовательных учреждений и Windows 10 Pro для рабочих станций не удаляют SMBv1 автоматически. Администратор должен решить удалить SMBv1 в этих управляемых средах.
- Автоматическое удаление SMBv1 через 15 дней — это разовая операция.Если администратор переустанавливает SMBv1, дальнейшие попытки удалить его не будут.
- Функции SMB версии 2.02, 2.1, 3.0, 3.02 и 3.1.1 по-прежнему полностью поддерживаются и включены по умолчанию как часть двоичных файлов SMBv2.
- Поскольку служба обозревателя компьютеров использует протокол SMBv1, эта служба удаляется при удалении клиента или сервера SMBv1. Это означает, что Explorer Network больше не может отображать компьютеры Windows с помощью устаревшего метода просмотра датаграмм NetBIOS.
- SMBv1 по-прежнему можно переустановить во всех выпусках Windows 10 и Windows Server 2016.
SMBv1 имеет следующие дополнительные функции в Windows 10, начиная с версии 1809 (RS5). Все остальные варианты поведения из версии 1709 остаются в силе:
Windows 10 Pro больше не содержит клиента SMBv1 по умолчанию после чистой установки.
В Windows 10 Enterprise, Windows 10 Education и Windows 10 Pro для рабочих станций администратор может активировать автоматическое удаление SMBv1, включив параметр «SMB 1.0 / CIFS «Автоматическое удаление».
Примечание
Windows 10 версии 1803 (RS4) Pro обрабатывает SMBv1 так же, как Windows 10 версии 1703 (RS2) и Windows 10 версии 1607 (RS1). Эта проблема была исправлена в Windows 10 версии 1809 (RS5). Вы все еще можете удалить SMBv1 вручную. Однако Windows не будет автоматически удалять SMBv1 через 15 дней в следующих случаях:
Вы выполняете чистую установку Windows 10 версии 1803.
Вы обновляете Windows 10 версии 1607 или Windows 10 версии 1703 до Windows 10 версии 1803 напрямую, без предварительного обновления до Windows 10 версии 1709.
Если вы попытаетесь подключиться к устройствам, которые поддерживают только SMBv1, или если эти устройства попытаются подключиться к вам, вы можете получить одно из следующих сообщений об ошибке:
Вы не можете подключиться к общему файловому ресурсу, потому что это небезопасно. Для этого общего ресурса требуется устаревший протокол SMB1, который небезопасен и может подвергнуть вашу систему атаке.
Ваша система требует SMB2 или выше. Дополнительные сведения об устранении этой проблемы см. На странице https://go.microsoft.com/fwlink/?linkid=852747.
Указанное сетевое имя больше не доступно.
Неопределенная ошибка 0x80004005
Системная ошибка 64
Указанный сервер не может выполнить запрошенную операцию.
Ошибка 58
Следующие события появляются, когда удаленному серверу требуется соединение SMBv1 от этого клиента, но SMBv1 удален или отключен на клиенте.
Имя журнала: Microsoft-Windows-SmbClient / Security
Источник: Microsoft-Windows-SMBClient
Дата: Дата / время
Идентификатор события: 32002
Категория задачи: нет
Уровень: Информация
Ключевые слова: (128)
Пользователь: СЕТЕВОЙ СЕРВИС
Компьютер: мусор.contoso.com
Описание:
Локальный компьютер получил ответ согласования SMB1.
Диалект:
Безопасный режим
Название сервера:
Руководство:
SMB1 устарел и не должен ни устанавливаться, ни включаться. Для получения дополнительной информации см. Https://go.microsoft.com/fwlink/?linkid=852747.
Имя журнала: Microsoft-Windows-SmbClient / Security
Источник: Microsoft-Windows-SMBClient
Дата: Дата / время
ID события: 32000
Категория задачи: нет
Уровень: Информация
Ключевые слова: (128)
Пользователь: СЕТЕВОЙ СЕРВИС
Компьютер: мусор.contoso.com
Описание:
Ответ согласования SMB1 получен от удаленного устройства, когда локальный компьютер не может согласовать SMB1.
Диалект:
Название сервера:
Руководство:
У клиента отключен или удален SMB1. Для получения дополнительной информации: https://go.microsoft.com/fwlink/?linkid=852747.
Эти устройства, скорее всего, не работают под управлением Windows. Они, скорее всего, используют более старые версии Linux, Samba или другие типы стороннего программного обеспечения для предоставления услуг SMB. Часто сами эти версии Linux и Samba больше не поддерживаются.
Примечание
Windows 10 версии 1709 также известна как «Fall Creators Update».
Дополнительная информация
Чтобы обойти эту проблему, обратитесь к производителю продукта, который поддерживает только SMBv1, и запросите обновление программного обеспечения или микропрограмм, поддерживающих SMBv2.02 или более позднюю версию. Текущий список известных поставщиков и их требования к SMBv1 см. В следующей статье блога группы разработчиков систем хранения Windows и Windows Server:
Информационная служба продуктов SMBv1
Лизинговый режим
Если SMBv1 требуется для обеспечения совместимости приложений с устаревшим программным обеспечением, например, для отключения оппозиционных блокировок, Windows предоставляет новый флаг общего доступа SMB, известный как режим аренды.Этот флаг указывает, отключает ли общий ресурс современную семантику SMB, такую как аренда и нестандартные блокировки.
Вы можете указать общий ресурс без использования oplocks или аренды, чтобы разрешить устаревшему приложению работать с SMBv2 или более поздней версией. Для этого используйте командлеты PowerShell New-SmbShare или Set-SmbShare вместе с параметром -LeasingMode None .
Примечание
Эту опцию следует использовать только для общих ресурсов, которые требуются стороннему приложению для поддержки устаревших версий, если поставщик заявляет, что это необходимо.Не указывайте режим аренды для общих ресурсов пользовательских данных или общих ресурсов CA, которые используются масштабируемыми файловыми серверами. Это связано с тем, что удаление оппортунистических блокировок и аренды вызывает нестабильность и повреждение данных в большинстве приложений. Режим аренды работает только в режиме Share. Его можно использовать в любой клиентской операционной системе.
Проводник Просмотр сети
Служба обозревателя компьютеров использует протокол SMBv1 для заполнения сетевого узла проводника Windows (также известного как «Сетевое окружение»). Этот устаревший протокол давно устарел, не выполняет маршрутизацию и имеет ограниченную безопасность.Поскольку служба не может работать без SMBv1, она одновременно удаляется.
Однако, если вам по-прежнему необходимо использовать сеть Explorer в домашних условиях и в среде рабочих групп малого бизнеса для поиска компьютеров под управлением Windows, вы можете выполнить следующие действия на своих компьютерах под управлением Windows, которые больше не используют SMBv1:
Запустите службы «Хост поставщика обнаружения функций» и «Публикация ресурсов обнаружения функций», а затем установите для них значение Автоматический (отложенный запуск) .
Когда вы открываете Explorer Network, включите обнаружение сети, когда вам будет предложено.
Все устройства Windows в этой подсети, которые имеют эти настройки, теперь будут отображаться в сети для просмотра. Здесь используется протокол WS-DISCOVERY. Свяжитесь с другими поставщиками и производителями, если их устройства по-прежнему не отображаются в этом списке просмотра после появления устройств Windows. Возможно, у них отключен этот протокол или что они поддерживают только SMBv1.
Примечание
Мы рекомендуем вам сопоставить диски и принтеры вместо включения этой функции, которая по-прежнему требует поиска и просмотра их устройств.Сопоставленные ресурсы легче найти, они требуют меньше обучения и безопаснее в использовании. Это особенно верно, если эти ресурсы предоставляются автоматически через групповую политику. Администратор может настроить принтеры для определения местоположения с помощью методов, отличных от устаревшей службы обозревателя компьютеров, используя IP-адреса, доменные службы Active Directory (AD DS), Bonjour, mDNS, uPnP и т. Д.
Если вы не можете использовать какие-либо из этих обходных решений или если производитель приложения не может предоставить поддерживаемые версии SMB, вы можете повторно включить SMBv1 вручную, выполнив действия, описанные в разделе Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows.
Важно
Мы настоятельно рекомендуем не переустанавливать SMBv1. Это связано с тем, что этот старый протокол имеет известные проблемы с безопасностью, связанные с программами-вымогателями и другими вредоносными программами.
Анализатор передовых практик Windows Server для обмена сообщениями
Серверные операционные системыWindows Server 2012 и более поздних версий содержат анализатор рекомендаций (BPA) для файловых серверов. Если вы следовали правильному онлайн-руководству по удалению SMB1, запуск этого анализатора соответствия рекомендациям вернет противоречивое предупреждающее сообщение:
Название: SMB 1.0 должен быть включен протокол обмена файлами
Степень серьезности: предупреждение
Дата: 25.03.2020 12:38:47
Категория: Конфигурация
Проблема: протокол обмена файлами Server Message Block 1.0 (SMB 1.0) отключен на этом файловом сервере.
Воздействие: SMB не в конфигурации по умолчанию, что может привести к неоптимальному поведению.
Решение: используйте редактор реестра, чтобы включить протокол SMB 1.0.
Вам следует игнорировать это конкретное руководство правила BPA, оно устарело. Повторяем: не включайте SMB 1.0.
Дополнительные ссылки
Прекратите использовать SMB1 — Microsoft Tech Community
Впервые опубликовано на TECHNET 16 сентября 2016 г.
Привет, ребята, Нед снова, и сегодняшняя тема короткая и приятная:
Прекратить использование SMB1. Прекратить использование SMB1 . ОСТАНОВИТЕ ИСПОЛЬЗОВАНИЕ SMB1!
В сентябре 2016 г. — обновление безопасности MS16-114, предотвращающее отказ в обслуживании и удаленное выполнение кода. Если вам нужен этот патч безопасности, у вас уже есть гораздо более серьезная проблема: вы все еще используете SMB1.
Исходному протоколу SMB1 почти 30 лет, и, как и большая часть программного обеспечения 80-х годов, он был разработан для мира, которого больше не существует. Мир без злоумышленников, без огромных наборов важных данных, без почти универсального использования компьютеров.Откровенно говоря, его наивность поражает современными глазами. Я виню хиппи Западного побережья :).
Если вас не волнует, почему, и вы просто хотите понять, как, я рекомендую вам просмотреть:
В противном случае позвольте мне объяснить, почему этот протокол должен попасть на свалку.
SMB1 небезопасно
При использовании SMB1 теряется защита ключей, предлагаемая более поздними версиями протокола SMB:
Противно то, что независимо от того, как вы защищаете все эти вещи, если ваши клиенты используют SMB1, то посредник может сказать вашему клиенту игнорировать все вышеупомянутые .Все, что им нужно сделать, это заблокировать SMB2 + на себе и ответить на имя или IP-адрес вашего сервера. Ваш клиент с радостью откроет SMB1 и поделится всеми своими самыми темными секретами, если вам не потребуется шифрование на этом общем ресурсе, чтобы предотвратить SMB1. Это не теоретически — мы это видели. Мы так твердо в это верим, что когда мы представили Scaleout File Server, мы явно запретили доступ SMB1 к этим общим папкам!
Как владелец SMB в MS, я не могу достаточно подчеркнуть, насколько я хочу, чтобы все прекратили использовать SMB1 https: // t.co / kHPqvyxTKC
— Нед Пайл (@NerdPyle) 12 апреля 2016 г.
US-CERT согласен со мной, кстати: https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices
SMB1 не современно и неэффективно
При использовании SMB1 вы теряете ключевые показатели производительности и оптимизации производительности для конечных пользователей.
- Больше операций чтения и записи (2.02 +) — более эффективное использование более быстрых сетей или глобальных сетей с большей задержкой. Поддержка большого MTU.
- Одноранговое кэширование свойств папок и файлов (2.02+) — клиенты хранят локальные копии папок и файлов через BranchCache
- Durable handle (2.02, 2.1) — позволяют прозрачному подключению повторно подключаться к серверу в случае временного отключения
- Модель аренды клиентской оппортунистической блокировки (2.02+) — ограничивает данные, передаваемые между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB
- Многоканальный и SMB Direct (3.0+) — агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей, плюс использование современных сверхвысоких каналов во всей инфраструктуре RDMA
- Directory Leasing (3.0+) — сокращает время отклика приложений в филиалах за счет кэширования
Запуск SMB1 похож на то, чтобы взять бабушку на выпускной бал: у нее все в порядке, но она больше не может двигаться. Кроме того, это жутко и мерзко
— Нед Пайл (@NerdPyle) 16 сентября 2016 г.
SMB1 обычно не требуется
Это настоящий убийца: на современных предприятиях осталось гораздо меньше случаев, когда SMB1 — это вариант только .Некоторые законные причины:
- Вы все еще используете XP или WS2003 в соответствии с индивидуальным соглашением о поддержке.
- У вас есть старое программное обеспечение для управления, которое требует от администраторов просмотра через так называемый главный список браузеров «сеть» или «сетевое окружение».
- Вы используете старые многофункциональные принтеры со старой прошивкой, чтобы «сканировать для совместного использования».
Это повлияет на обычного бизнеса или пользователя, только если вы им позволите. Производители переходят к обновлению поддержки SMB2 — см. Здесь: https: // aka.ms / stillneedssmb1 Для тех, кто этого не делает, их конкуренты. Здесь у вас есть рычаги воздействия. Кошелек у тебя.
Мы тщательно работаем с партнерами в области хранения данных, принтеров и приложений по всему миру, чтобы гарантировать, что они обеспечивают поддержку как минимум SMB2, и делаем это с помощью ежегодных конференций и plugfests в течение шести лет. Samba поддерживает SMB 2 и 3. OSX и MacOS тоже. То же самое делают EMC, NetApp и их конкуренты. То же самое и с нашими лицензированными поставщиками SMB, такими как Visuality и Tuxera, которые также помогают производителям принтеров присоединиться к современному миру.
Однако настоящий ИТ-профессионал всегда из Миссури. Мы обеспечиваем аудит использования SMB1 в Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2008 R2 (последние два были получены с помощью функции backported в ежемесячных обновлениях несколько лет назад) плюс их клиентские эквиваленты, просто для уверенности. Таким образом вы можете настроить свои серверы Windows, чтобы увидеть, не сломает ли кого-нибудь отключение SMB1:
Set-SmbServerConfiguration –AuditSmb1Access $ true
В Windows Server 2008 R2 и Windows 7 вы должны редактировать реестр непосредственно для этого значения DWORD, SMB PowerShell отсутствует:
Set-ItemProperty -Path «HKLM: \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters» AuditSmb1Access -Type DWORD -Value 1 –Force
Затем просто проверьте журнал событий SMBServer \ Audit в системах.Если у вас более старые серверы, чем WS2012 R2, сейчас самое время поговорить об обновлении. Хорошо, это немного вымогатель — теперь самое время поговорить с вашими синими командами, сетевыми командами и другими специалистами по безопасности о том, видят ли они использование SMB1 в сети и где именно. Если они понятия не имеют, им нужно его получить. Если вы все еще не знаете, потому что это небольшой магазин, запустите собственные сетевые захваты на выборке ваших серверов и клиентов и посмотрите, появится ли SMB1.
День 700 без установленного SMB1: ничего не произошло.&% # network— Нед Пайл (@NerdPyle) 13 сентября 2016 г.
Обновление 7 апреля 2017 г .: Отличная статья об использовании DSC для отслеживания машин с установленным или включенным SMB1: https://blogs.technet.microsoft.com/ralphkyttle/2017/04/07/discover-smb1 -in-your-environment-with-d …
Обновление 19 июня 2017 г. — Групповая политика для отключения SMB1: https://blogs.technet.microsoft.com/secguide/2017/06/15 / dis disable-smbv1-through-group-policy /
Обновление от 30 июня 2017 г. — Вы, наверное, видели, как я объявлял об этом в твиттере и других публичных местах: Windows 10 RS3 (Fall Creators Update) и Windows Server В 2016 RS3 SMB1 по умолчанию удален в большинстве случаев: https: // aka.мс / smb1rs3. Полное удаление началось. Убедитесь, что вы проверили https://aka.ms/stillneedssmb1, чтобы узнать о продуктах, которые могут потребовать обновления или замены для использования без необходимости использования SMB1.
Обновление от 7 июля 2017 г .: , если ваш поставщик требует отключения SMB2 для принудительного включения SMB1, они также часто требуют отключения дополнительных блокировок. Отключение Oplocks не рекомендуется Microsoft, но требуется некоторым более старым программным обеспечением, часто из-за использования устаревшей технологии баз данных.Windows 10 RS3 и Windows Server 2016 RS3 теперь позволяют использовать специальный обходной путь для отмены блокировки для этих сценариев — см. Https://twitter.com/NerdPyle/status/87688031. Это всего лишь обходной путь — так же, как отключение дополнительной блокировки SMB1 — это всего лишь обходной путь — и ваш поставщик должен обновить, чтобы не требовать этого. Многие к настоящему времени (я говорил с некоторыми, по крайней мере), и их клиенты, возможно, все еще используют устаревшую версию — позвоните своим поставщикам.
Удалить SMB1 несложно
Запуск в Windows 8.1 и Windows Server 2012 R2, мы сделали удаление функции SMB1 возможным и тривиально простым.
На сервере подход диспетчера сервера:
На сервере подход PowerShell (Remove-WindowsFeature FS-SMB1):
На клиенте добавление и удаление программ подход (appwiz.cpl):
На клиенте подход PowerShell (Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol)
В устаревших операционных системах:75
операционные системы старше Windows 8.1 и Windows Server 2012 R2, вы не можете удалить SMB1, но вы можете отключить его: KB 2696547 — Как включить и отключить SMBv1, SMBv2 и SMBv3 в Windows Vista, Windows Server 2008 …
Ключевой момент: Когда вы начинаете проект по удалению, начните с меньшего масштаба и постепенно увеличивайте его. Никто не говорит, что вы должны закончить это за день.
Проводник Просмотр сети
Служба обозревателя компьютеров использует протокол SMB1 для заполнения сети проводника Windows (также известной как «Сетевое окружение»).Этот устаревший протокол давно устарел, не выполняет маршрутизацию и имеет ограниченную безопасность. Поскольку он не может работать без SMB1, он одновременно удаляется.
Однако некоторые клиенты по-прежнему используют сеть Explorer в домашних условиях и в среде рабочих групп малого бизнеса для поиска компьютеров Windows. Чтобы продолжить использование сети Explorer, вы можете выполнить следующие действия на компьютерах с Windows, которые больше не используют SMB1:
1. Запустите службы «Хост поставщика обнаружения функций» и «Публикация ресурсов обнаружения функций» и установите для них отложенный запуск.
2. Когда пользователь откроет сеть, ему будет предложено включить обнаружение сети. Сделай так.
3. Теперь все устройства Windows в этой подсети, для которых заданы эти настройки, появятся в сети для просмотра. Здесь используется протокол WS-DISCOVERY. Уточните у других поставщиков и производителей, не отображаются ли их устройства в этом списке просмотра после появления устройств Windows; вероятно, у них отключен этот протокол или поддерживается только SMB1.
Примечание: мы настоятельно рекомендуем вам сопоставить диски и принтеры для ваших пользователей вместо того, чтобы включать эту функцию, которая по-прежнему требует поиска и просмотра их устройств. Им легче найти сопоставленные ресурсы, они требуют меньше обучения и безопаснее в использовании, особенно если они предоставляются автоматически через групповую политику.
SMB1 не в порядке
Прекратить использование SMB1. Для ваших детей. Для детей ваших детей.Пожалуйста. Мы вас умоляем. И если этого недостаточно: SMB1 удаляется (полностью или частично, в зависимости от SKU) по умолчанию в выпуске RS3 для Windows и Windows Server. Это здесь, ребята: https://aka.ms/smb1rs3
— Нед «и остальная часть команды SMB в Microsoft» Пайл
Как включить SMB Direct в Windows 10?
Что такое Windows 10 SMB Direct?
SMB Direct — это расширение технологии Microsoft Server Message Block, используемой для операций с файлами.Часть Direct подразумевает использование различных методов высокоскоростного удаленного доступа к памяти данных (RDMA) для передачи больших объемов данных с минимальным вмешательством ЦП.
Как включить протокол SMB в Windows 10?
[Общий ресурс в сетевом окружении (Samba)] Как получить доступ к файлам на сетевых устройствах с помощью SMBv1 в Windows 10?
- Откройте панель управления на своем ПК / ноутбуке.
- Щелкните «Программы».
- Щелкните ссылку «Включить или отключить функции Windows».
- Разверните SMB 1.0 / Поддержка общего доступа к файлам CIFS.
- Отметьте опцию клиента SMB 1.0 / CIFS.
- Нажмите кнопку ОК.
25 янв. 2021 г.
Что такое SMB Direct?
SMB Direct и RDMA — Что такое SMB Direct? SMB Direct и Remote Direct Memory Access (RDMA) обеспечивают более быструю и эффективную кластерную среду хранения. RDMA обеспечивает быструю передачу данных из памяти в память. Все, что требуется, — это связать серверы с помощью сетевого оборудования, такого как InfiniBand, iWARP или RoCE.
Что требуется для использования SMB Direct?
SMB Direct предъявляет следующие требования: Требуются как минимум два компьютера под управлением Windows Server 2012. Никаких дополнительных функций устанавливать не нужно — технология включена по умолчанию. Требуются сетевые адаптеры с возможностью RDMA.
Использует ли Windows 10 SMB?
В настоящее время Windows 10 также поддерживает SMBv1, SMBv2 и SMBv3. Разным серверам в зависимости от их конфигурации требуется другая версия SMB для подключения к компьютеру.Но если вы используете Windows 8.1 или Windows 7, вы можете проверить, включена ли она у вас.
Включен ли SMB по умолчанию в Windows 10?
SMB 3.1 поддерживается клиентами Windows, начиная с Windows 10 и Windows Server 2016, по умолчанию он включен. Для получения информации о том, как включить или отключить SMB2. 0 / 2.1 / 3.0, обратитесь к документации соответствующей версии ONTAP или обратитесь в службу поддержки NetApp.
Как включить порт 445 в Windows 10?
Перейдите в Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Брандмауэр Windows в режиме повышенной безопасности> Брандмауэр Windows в режиме повышенной безопасности — LDAP> Правила для входящих подключений.Щелкните правой кнопкой мыши и выберите «Новое правило». Выберите Порт и нажмите Далее. Выберите TCP и на определенных локальных портах введите 135, 445, затем нажмите Далее.
Как получить доступ к SMB?
Протокол SMB существует уже довольно давно и может быть отличным способом получать или получать файлы в вашей локальной сети.
…
Вот как это сделать:
- Откройте Google Play Store на своем устройстве Android.
- Найдите файловый менеджер X-plore.
- Найдите и коснитесь записи Lonely Cat Games.
- Нажмите «Установить».
- Подождите, пока установка завершится.
27 февр. 2018 г.
Почему SMB1 плохой?
Вы не можете подключиться к общему файловому ресурсу, потому что это небезопасно. Для этого требуется устаревший протокол SMB1, который небезопасен и может подвергнуть вашу систему атаке. Ваша система требует SMB2 или выше. … Я имею в виду, что мы потенциально оставляем большую уязвимость сети открытой, потому что мы ежедневно используем протокол SMB1.
Безопасен ли SMB?
В статье поддержки SMB определяется как «протокол сетевого обмена файлами и фабрики данных», который используется различными операционными системами, «включая Windows, MacOS, iOS, Linux и Android.Однако этот SMB-трафик можно защитить на уровне межсетевого экрана.
FTP быстрее, чем SMB?
FTP может быть чрезвычайно быстрым для передачи больших документов (хотя он менее эффективен для небольших файлов). FTP быстрее SMB, но у него меньше функциональных возможностей.
Какая польза от SMB?
Протокол блока сообщений сервера (протокол SMB) — это протокол связи клиент-сервер, используемый для совместного доступа к файлам, принтерам, последовательным портам и другим ресурсам в сети.Он также может передавать протоколы транзакций для межпроцессного взаимодействия.
Какой порт использует SMB?
SMB всегда был протоколом обмена файлами по сети. Таким образом, SMB требует сетевых портов на компьютере или сервере для обеспечения связи с другими системами. SMB использует IP-порт 139 или 445. Порт 139: SMB изначально работал поверх NetBIOS с использованием порта 139.
Что такое SMB Multichannel?
Многоканальный протокол SMB является частью протокола Server Message Block (SMB) 3.0, который увеличивает производительность сети и доступность файловых серверов.SMB Multichannel позволяет файловым серверам использовать несколько сетевых подключений одновременно.
Использует ли SMB TCP или UDP?
Прямой размещенный трафик SMB без NetBIOS использует порт 445 (TCP и UDP). В этой ситуации четырехбайтовый заголовок предшествует трафику SMB.
Советы по работе с SMB Direct для Windows Server
Начиная с выпуска 2012 года, Microsoft начала включать функцию SMB Direct в Windows Server .SMB Direct может повысить эффективность доступа Windows к хранилищу SMB, что обычно приводит к повышению общей производительности.
SMB Direct основан на использовании RDMA (удаленный прямой доступ к памяти) . RDMA позволяет передавать сетевые данные непосредственно в память приложения или напрямую из памяти приложения в сеть без необходимости задействовать ЦП . Чтобы использовать RDMA (или SMB Direct, если на то пошло), ваши серверы Windows должны быть оснащены сетевыми адаптерами, совместимыми с RDMA.
Самое лучшее в SMB Direct может заключаться в том, что для его использования не нужно делать ничего особенного. Фактически, SMB Direct включен по умолчанию в операционных системах Windows Server 2012 и более поздних версий. Сервер будет автоматически использовать SMB Direct, если определит, что необходимое оборудование доступно.
В большинстве случаев лучше оставить SMB Direct включенным. Однако, если вы обнаружите, что SMB Direct вызывает проблемы, вы можете отключить его. Вы можете использовать PowerShell , чтобы определить, какие из ваших сетевых адаптеров поддерживают RDMA, с помощью этого командлета:
Get-NetAdapterRDMA
Когда командлет возвращает список сетевых адаптеров с поддержкой RDMA, запишите имя адаптера, для которого вы хотите отключить RDMA.Затем вы можете отключить поддержку RDMA адаптера с помощью этой команды:
Disable-NetAdapterRDMA <имя>
Вы также можете отключить поддержку RDMA для всех ваших сетевых адаптеров с помощью этой команды:
Set-NetOffloadGlobalSetting -NetworkDirect отключено
Хотя использование SMB Direct лучше всего можно охарактеризовать как легкое, есть несколько важных вещей, которые вам необходимо знать об этом. Начнем с того, что RDMA — не единственная технология, поддерживаемая Windows Server с целью повышения производительности сети.Еще одна такая технология — NIC Teaming .
NIC Teaming работает путем связывания нескольких физических сетевых адаптеров в одну команду. Идея заключается в том, что Windows может автоматически распределять потоки сетевого трафика между адаптерами внутри группы, потенциально обеспечивая гораздо более высокую пропускную способность, чем могла бы достичь отдельный сетевой адаптер.
Тем, кто настраивает сеть Windows Server, следует рассматривать RDMA (и SMB Direct) и объединение сетевых адаптеров как варианты / или варианты.Хотя вы можете создать группу сетевых адаптеров, совместимых с RDMA, это приведет к тому, что эти адаптеры будут рассматриваться как обычные сетевые адаптеры, а не как адаптеры, совместимые с RDMA.
Имея выбор между использованием объединения сетевых адаптеров и SMB Direct, важно помнить, что SMB Direct специально разработан для использования с хранилищем SMB, а объединение сетевых адаптеров — нет.
Это поднимает еще один важный момент. Один из наиболее популярных вариантов использования SMB Direct — разрешить серверу Hyper-V доступ к удаленному хранилищу SMB.Часто, особенно в небольших организациях, компоненты виртуальных машин, такие как контрольные точки и файлы виртуальных жестких дисков, хранятся в удаленном хранилище SMB, а не в хранилище с прямым подключением на сервере Hyper-V. SMB Direct может помочь Hyper-V получить более эффективный доступ к этому хранилищу.
Несмотря на то, что Hyper-V поддерживает SMB Direct для удаленного доступа к хранилищу, SMB Direct обычно не поддерживается виртуальными машинами Hyper-V.
Виртуальные машины, которым требуется доступ к физической сети, подключаются к виртуальному коммутатору, который привязан к физическому сетевому адаптеру.Hyper-V позволит вам связать виртуальный коммутатор с физическим сетевым адаптером, совместимым с RDMA. Однако виртуальные машины, подключающиеся к этому виртуальному коммутатору, не распознают, что базовое оборудование является RDMA-совместимым. Вместо этого виртуальный сетевой адаптер виртуальных машин будет рассматриваться как адаптер, не совместимый с RDMA. Это означает, что SMB Direct поддерживается операционной системой хоста, но не виртуальными машинами.
Наконец, стоит отметить, что SMB Direct зависит от другой функции Windows Server, которая называется SMB Multichannel .SMB Multichannel — это компонент, который позволяет Windows Server определять, совместим ли сетевой адаптер с RDMA. Многоканальный протокол SMB также может обеспечить отказоустойчивость, если сервер оборудован несколькими адаптерами, совместимыми с RDMA. В любом случае SMB Direct зависит от многоканального SMB.
В большинстве случаев вам не нужно делать ничего особенного, чтобы использовать SMB Direct. Просто по умолчанию работает. Однако важно избегать случайной настройки Windows Server таким образом, чтобы игнорировать поддержку RDMA.
.