PowerScale: OneFS: Aktivieren oder Deaktivieren von SMB1 auf einem Cluster

Aufgrund von Sicherheitsbedenken empfiehlt Dell Technologies nicht, den SMBv1-Protokolldialekt in OneFS zu aktivieren. Um eine langfristige Kompatibilität zu gewährleisten, sollten Sie eine Abkehr von diesem Protokoll in Betracht ziehen.

Hinweis: SMBv1 wird von Microsoft nicht mehr unterstützt. Microsoft empfiehlt, dass Workflows, die den SMBv1-Dialekt verwenden, zu SMBv2 oder höher migriert werden. Neuere unterstützte Versionen des SMB-Dialekts sind für bessere Sicherheit und Leistung konzipiert. Unter diesem Link finden Sie weitere Informationen dazu, warum Sie den SMBv1-Dialekt in Workflows verwenden sollten. Es wird nicht empfohlen, SMBv1 in Situationen zu verwenden, in denen höhere Versionen des Dialekts zur Verfügung stehen.

Um zu überprüfen, ob die Unterstützung für das SMB1-Protokoll aktiviert oder deaktiviert ist, stellen Sie eine SSH-Verbindung zu einem Node her und führen Sie dann den folgenden Befehl aus:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1

Wenn der gemeldete Wert eine Null ist, wird er deaktiviert. Wenn der gemeldete Wert eins ist, ist er aktiviert.
 

So deaktivieren Sie die Unterstützung für SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=0

So aktivieren Sie die Unterstützung für SMBv1:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Eine Aktualisierung (oder ein Neustart) des SRV-Service auf dem Cluster ist erforderlich, um Änderungen für die SMBv1-Unterstützbarkeit zu implementieren.

Das Deaktivieren der Unterstützung für das SMB1-Protokoll verhindert, dass neue SMB1-Verbindungen hergestellt werden. Vorhandene SMB1-Verbindungen werden auch nach der Deaktivierung der Funktion nicht getrennt.

Warnung:
Der Neustart des SRV-Service auf einem Node kann dazu führen, dass alle SMB-Verbindungen zu dem Node getrennt werden. Wenn für die SMB-Clientverbindungen kein Failover auf einen anderen Node durchgeführt wird, müssen die Clients erneut eine Verbindung zum Cluster herstellen. Wenn LWIO neu gestartet wird, werden alle SMB-Verbindungen beendet und der Client muss Verbindungen wiederherstellen.

Eine erzwungene Aktualisierung von SRV kann auf einem einzelnen Node durchgeführt werden, indem eine Verbindung über SSH hergestellt wird und die folgenden Schritte durchgeführt werden:

/usr/likewise/bin/lwsm refresh srv

In seltenen Fällen ist ein Neustart des SRV-Dienstes erforderlich. Gehen Sie folgendermaßen vor:

/usr/likewise/bin/lwsm restart srv

Administratoren können "isi_for_array -sX" vor den Befehlen zum Aktualisieren oder Neustarten von SRV im gesamten Cluster verwenden. Stellen Sie sicher, dass der verschachtelte Befehl in Anführungszeichen steht. Die SRV-Aktualisierung hat zwar keine Auswirkungen, ein Neustart jedoch schon. Planen Sie diese Aktionen in einem Wartungsfenster, um Unterbrechungen für Clients zu minimieren. Wenn Administratoren Probleme mit diesen Aktionen bemerken, wird empfohlen, dass sie sich an den Support wenden, um weitere Unterstützung zu erhalten.

Ab OneFS 9.6 ist das SMBv1-Protokoll standardmäßig deaktiviert. Microsoft hat den Support für das Protokoll eingestellt, und es gibt zahlreiche Sicherheitsbedenken, die in neueren Dialekten behoben wurden. Bei einem Cluster, der SMBv1 verwendet, kommt es nach dem Upgrade zu einer Unterbrechung des Workflows. Administratoren können dies vermeiden, indem sie SMBv1 manuell aktivieren, anstatt sich strikt auf die ältere Standardkonfiguration zu verlassen. Wenn Sie SMBv1 auf aktiviert setzen, wird die Einstellung als "nicht von Standardeinstellungen übernommen" markiert, um sicherzustellen, dass nach dem Upgrade keine Änderungen an diesem Teil der Konfiguration vorgenommen werden.

Um sicherzustellen, dass der Wert in OneFS 9.5 und früher manuell aktiviert wird, befolgen Sie die vorherigen Schritte zum manuellen Aktivieren von SMBv1 über gconfig. Administratoren sollten dies in einem Wartungsfenster tun, um Unterbrechungen für SMBv1-Clients zu minimieren. Der Befehl zum Aktivieren von SMBv1 mit gconfig in OneFS 9.5 und früheren Versionen lautet unten:

isi_gconfig registry.Services.lwio.Parameters.Drivers.srv.SupportSmb1=1

Denken Sie daran, zu überprüfen, ob der Wert den Wert 1 zurückmeldet. Administratoren können die Unterstützung für SMBv1 deaktivieren und dann aktivieren, um zu bestätigen, dass die Wertänderungen wirksam werden. Wenn geplant ist, SMBv1 vor dem Upgrade zu verwenden, nachdem es aktiviert wurde, ist eine SRV-Aktualisierung oder ein SRV-Neustart auf allen Nodes erforderlich. Dies wirkt sich auf Clients aus, die das SMB-Protokoll verwenden, unabhängig davon, welcher Dialekt verwendet wird.

Wenn AdministratorInnen vergessen, SMBv1 vor dem Upgrade explizit in der Clusterkonfiguration zu aktivieren, stellt das Upgrade sicher, dass es auf "Deaktiviert" gesetzt wird. Verwenden Sie nach dem Upgrade den folgenden Befehl, um die Unterstützung von SMBv1 erneut zu aktivieren.

isi smb settings global modify --support-smb1=true

Dies kann eine erzwungene Aktualisierung/einen erzwungenen Neustart von Services erfordern, damit diese Änderungen wirksam werden. Wir empfehlen, alle wichtigen Änderungen an der Clusterkonfiguration während eines Wartungsfensters vorzunehmen, um die Auswirkungen zu minimieren. Administratoren sollten damit beginnen, die vollständige Stilllegung von SMBv1 in ihrer Umgebung zu planen, falls sie dies nicht bereits getan haben.