PowerScale：如何在 SMB2/SMB3 版本中禁用/启用 SMB 加密以及其他信息

我们可以从一个节点运行以下命令，它会显示客户端使用的 SMB 协议版本。这是当它们连接到该节点时。

# isi smb sessions list --verbose --format=table

如何在群集中启用 SMB3 加密：

默认情况下，SMB3 加密处于禁用状态。要启用 SMB3 加密并允许加密和未加密客户端访问服务器，请执行以下操作：

1.转至协议Windows > 共享 （SMB） >服务器设置。
2.在加密部分中，在支持加密的 SMB 客户端上启用加密下，选择 使用自定义。
3.选中 Enable encryption on encryption-capable SMB clients。

允许访问加密和未加密的客户端。

PowerScale OneFS 中没有设置仅允许 SMB3 客户端并拒绝 SMB2 客户端连接。但是，使用“拒绝未加密访问”时，SMB2 不会连接，如下所述。
如下例所示，默认情况下，“拒绝未加密的访问”处于启用状态。这意味着，如果看到任何未加密的流量（仅当启用 SMB3 加密时），它将同时拒绝 SMB2 和 SMB1 流量。

全局检查 SMB 设置的命令：

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

由于默认情况下禁用 SMB3 加密，因此选项拒绝未加密的访问：Yes ' 无效。启用 SMB3 加密后，即会生效。
有关加密的详细说明，请参阅随附的“适用于 SMB 的 PowerScale 设计和注意事项”文档。

如果管理员想要避免在启用 SMB3 加密时拒绝 SMB2 连接，他们可以将属性“Reject Unencrypted Access”修改为“no”（禁用）。这允许 SMB2 连接，而 SMB3 连接将根据设置进行加密。此设置还可以全局设置、在特定区域级别或针对特定共享设置。

如果我们通过将两个设置（全局或在访问分区上）两个设置都设置为“Yes”来“需要”加密，如下所示：

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

共享设置“Smb3 Encryption Enabled ”隐式设置为“Yes”，即在所有共享上启用加密，而不考虑该共享级别设置。简而言之，“如果我们需要加密，我们也会隐式启用它。

建议先在指定的测试共享上进行测试，然后再全局实施或在特定区域级别实施。

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdf请参阅第 36 页。

PowerScale：OneFS 升级信息中心

来自 Microsoft：
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/ 的其他信息