问题[netbios](server)

问题

为什么 NetBios 过滤会影响 SMB3/连接到端口 445 的能力？

语境

一些用户（包括我自己）在从其家庭连接访问托管在 Azure Files 中的文件共享时遇到问题，收到以下错误。

Windows 无法访问 \myStorageAccount.file.core.windows.net\my-share\

检查名称的拼写。否则，您的网络可能有问题。要尝试识别和解决网络问题，请单击诊断。

错误代码：0x80070035

找不到网络路径

运行在线端口测试myStorageAccount.file.core.windows.net显示端口 445 已打开。

从我的本地机器运行Test-NetConnection -ComputerName 'myStorageAccountName.file.core.windows.net' -port 445会失败；尽管我的本地设备的防火墙软件没有阻止连接。

最终我发现原因出NetBios filter在我的路由器上；启用此功能后，与 Azure 文件共享上的端口 445 的连接失败；禁用它所有工作。

我的路由器文档还提到此过滤器会影响 SMB：

启用 NetBIOS 过滤器

出于安全原因，FRITZ!Box 中的 NetBIOS 过滤器默认开启。它会阻止 NetBIOS 数据包，这些数据包通常不需要在 Internet 中进行通信。仅当您使用必须与 Internet 交换 NetBIOS 数据包的应用程序时才禁用此过滤器。例如，SMB 访问 Strato HiDrive 就是这种情况。

我不确定这是否归结为路由器过滤逻辑中的一些错误，或者是否还有更多事情发生。

如果相关，我们启用了 RBAC 过滤（例如，我的帐户Storage File Data SMB Share Elevated Contributor分配了角色），并在我们的文件共享上启用了 AD ACLS（如John Savill 视频中所述）......尽管我认为那些不应该用于简单的端口测试？

我有一个运行 2.x 版的 pfSense 设备。我想通过 DHCP 服务器禁用 TCP/IP 上的 NetBios，这样它就不会在 Windows 客户端上激活。可以使用 Windows 服务器来执行此操作，但我找不到在 pfSense 上正确执行此操作的方法。阅读本教程，我认为不配置 WINS 服务器就足够了，但似乎不是。我唯一找到选项的地方是 OpenVPN 部分。

关于如何通过 pfSense 上的 DHCP 服务器禁用 NetBios 的任何提示？

谢谢你。弗洛朗

我已连接到我的办公室 VPN，并且可以使用完全限定名称 PC00001.myofficevpn.plc 成功地 RDP 进入我的计算机。

当我尝试仅使用主机名 PC00001 进行连接时，我无法访问，有没有办法解决这个问题？

我有一个测试设置，其中包含：

• 3 个 AD 域控制器（设置为在它们之间复制），均在 Univention Corporate Server 4.1 上运行 Samba 4.3
• 1 个 Windows 7 SP1 客户端加入域
• 1 台运行 napp-it 16.02f 的 OmniOS r151018 文件服务器加入域，并为某些域测试用户设置了 SMB/CIFS 共享

域按我的预期工作，Windows 登录工作，文件服务器访问工作，DNS 以及直接 IP 连接工作，甚至在关闭一个 DC 时故障转移工作。

唯一不起作用的是我在 Windows 7 机器上的网络浏览器/网络邻居中看不到 OmniOS 机器。搜索所有计算机时，我可以在“搜索 Active Directory”中找到它，也可以使用\\hostname（或 IP）连接到它而不会出现问题或延迟。它似乎并没有正确地宣传自己。其他 3 台服务器和 Windows 机器本身正如人们所期望的那样，只有在机器关闭时才会消失。

在搜索解决方案时，我发现了设置属性的建议，但它似乎没有做任何事情，即使在重新启动后也是如此。smbsystem_comment

另外，我还注意到，与 r151012 相比，随着 OmniOS r151016 和 r151018 的更新，通常在工作组模式下的直接发现不再起作用（只能通过 IP 访问）。这可能与我的问题有关，也可能与我的问题无关，除了合并到这些 OmniOS 版本中的 illumos 版本的“SMB 支持中的多项更改”之外，我找不到任何更详细的信息。

这个问题/不便的原因可能是什么，我该如何解决？作为一种解决方法，网络驱动器的直接映射会起作用，但如果共享数量增加，这可能会出现问题。

当我尝试使用地址\\REPO （REPO 的 NETBIOS 名称）连接到我的CentOS 6.2 x86_64服务器的 samba 共享时，它超时并显示错误；如果我直接通过 IP 这样做，它工作正常。此外，尽管我的 samba 设置正确，但我的服务器无法作为 WINS 服务器正常工作（详情请参见下文）。

如果我停止 iptables 服务，一切正常。

我使用此页面作为使用哪些端口的参考：http: //www.samba.org/samba/docs/server_security.html

具体来说：

UDP/137    - used by nmbd
UDP/138    - used by nmbd
TCP/139    - used by smbd
TCP/445    - used by smbd

我真的真的真的很想保留下面的安全 iptables 设计，但只是解决这个特定问题。

SMB配置文件

[global]
netbios name = REPO
workgroup = AWESOME

security = user
encrypt passwords = yes

# Use the native linux password database
#passdb backend = tdbsam

# Be a WINS server
wins support = yes

# Make this server a master browser
local master = yes
preferred master = yes
os level = 65

# Disable print support
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes

# Restrict who can access the shares
hosts allow = 127.0.0. 10.1.1.




[public]
path = /mnt/repo/public
create mode = 0640
directory mode = 0750
writable = yes
valid users = mangs repoman

IPTables 配置脚本

# Remove all existing rules
iptables -F


# Set default chain policies
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP


# Allow incoming SSH
iptables -A INPUT -i eth0 -p tcp --dport 22222 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22222 -m state --state ESTABLISHED -j ACCEPT


# Allow incoming HTTP
#iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT


# Allow incoming Samba
iptables -A INPUT -i eth0 -p udp --dport 137 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 137 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 138 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 138 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 139 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 139 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 445 -m state --state ESTABLISHED -j ACCEPT


# Make these rules permanent
service iptables save
service iptables restart**strong text**

我正在尝试解决 Server 2008 AD 林中的 WINS 浏览问题。我在一个域中，问题出在同级域中。我可以使用什么命令在与我不同的域中按名称转储或查看特定 AD 服务器上的 WINS 数据库？我认为其中一个子命令net会为此提供选项，但我找不到它。我也尝试过browstat.exe getblist，但它给了我一条错误消息“此工作组的服务器列表当前不可用”。

我不是域管理员，除了普通用户外，我对这两个域都没有任何权限。

任何人都知道如何做到这一点？

当您命名您的 Windows 计算机并从 Windows 2000 到 Win7 时，您是否保持在 15 个字符的工作站的 Netbios 名称限制内？我感兴趣的是，无论用户登录到域还是本地工作站，这个限制是否仍然与公司网络相关。

我想知道这里是否有人有过运行“无 NetBIOS”网络的企业经验。我想到了一个基于 Windows 的中大型网络。

我在这里、这里和这里找到了一些好帖子。

我想知道是否有人真的在完全禁用 NetBIOS 的公司工作（或工作）？这个场景是无痛实现的吗？

促使我提出这个问题的原因是，当我运行某些工具来识别网络中的安全问题时，其中大部分都与 NetBIOS 有关。当然我可以尝试进行强化，但既然 NetBIOS 似乎已被弃用，为什么不完全关闭它呢？

我想定期扫描我的网络并获取 Ip、mac、操作系统和 netbios 名称。

到目前为止，我使用运行 nmap 的 bashscript 完成了所有工作，但 netbiosname 仍然是个问题。

场景如下：3 台 Windows Server 2008 机器，每台都连接到 2 个网络：一个对 Internet 开放的公共网络和一个专用 LAN

netbios/
comp name  local IP
-------- ----------------
server1  192.168.112.10
server2  192.168.112.11
server3  192.168.112.12

来自 server2 或 3 的“ping server1”将解析为 server1 的本地 IP 192.168.112.10。

同样地

来自 server1 或 3 的“ping server2”将解析为 server2 的本地 IP 192.168.112.11。

我遇到的问题是，当我“ping server3”时，我从 server1 和 2 获得了公共 IP 地址。我将 server3 解析为本地 IP 192.168.112.12 以便通过安全的本地网络连接服务，而不是在公共防火墙上戳洞！

请多多包涵，因为我更像是 DBA 而不是服务器管理员。

干杯，本