PowerScale：如何在 SMB2/SMB3 版本中停用/啟用 SMB 加密及其他資訊

我們可以從節點執行以下命令，它會顯示用戶端使用的 SMB 通訊協定版本。這是當它們連接到該節點時。

# isi smb sessions list --verbose --format=table

如何在叢集中啟用 SMB3 加密：

SMB3 加密預設為停用。若要啟用 SMB3 加密，並允許加密和未加密的用戶端存取伺服器：

1.前往通訊協定 > Windows 共用 （SMB） >伺服器設定。
2.在“加密”部分的“在支援加密的SMB用戶端上啟用加密”下，選擇 “使用自定義”。
3.勾選在支援加密的 SMB 用戶端 上啟用加密 。

允許加密和未加密的用戶端訪問。

PowerScale OneFS 中沒有任何設定可僅允許 SMB3 用戶端並拒絕 SMB2 用戶端連線。但是，使用「拒絕未加密訪問」時，SMB2 無法連接，如下所述。
正如我們所看到的，默認情況下，“拒絕未加密訪問”處於啟用狀態。這表示如果出現任何未加密的流量 （僅在啟用 SMB3 加密時），系統會同時拒絕 SMB2 和 SMB1 流量。

全域檢查 SMB 設定的命令：

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

由於 SMB3 加密預設為停用，因此選項「拒絕未加密存取：是的『無效。SMB3 加密啟用後，即生效。
如需加密的詳細說明，請參閱隨附的「PowerScale 設計與中小企業考量」文件。

如果管理員希望避免在啟用SMB3加密時拒絕SMB2連接，他們可以將屬性“拒絕未加密訪問”修改為“否”（已禁用）。這允許 SMB2 連線，同時 SMB3 連線會依照設定加密。還可以全域設置此設置，也可以在特定區域級別或為特定共用設置此設置。

如果我們通過將兩個設置（全域或在訪問區域上）設置為「是」來「要求」加密，如下所示：

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

共用設置“Smb3加密已啟用 ”隱式設置為“是”，即在所有共用上啟用加密，無論該共用級別設置如何。簡而言之，「如果我們需要加密，我們也會隱式啟用它。

建議您先在指定的測試共用上進行測試，然後再在全球或特定區域層級實作。

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdf見第36頁。

PowerScale：OneFS 升級資訊中心

來自 Microsoft：
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/ 的其他資訊