OneFS：SMB 安全签名（如何在 Isilon 群集和 MS 客户端上启用签名）

故障 排除：
下面是数据包捕获的结果，显示 Windows 7 客户端尝试连接到所需节点并协商使用 SMB 协议。

由于客户端需要使用安全签名，因此客户端无法连接到群集。  
群集未使用或不需要安全签名，因此客户端会重置与群集的连接，并生成类似于“指定的网络名称不再可用”

的错误下面是客户端与群集的连接，用于协商连接中使用的协议。
3355 2015-03-03 11：26：35.580514 10.2.2.2 10.1.1.1 SMB 191 Negotiate Protocol Request
...........0 ....= Security Signatures Required：不需要安全签名
............0..= Security Signatures：不支持
安全签名 签名：00000000000000000
 
群集将响应客户端请求：
3360 2015-03-03 11：26：35.585245 10.1.1.1 10.2.2.2 SMB 239 协商协议响应
...........0 ....= Security Signatures Required：不需要安全签名
............0..= Security Signatures：不支持
安全签名 签名：00000000000000000

客户端执行会话设置请求，但这次它要求使用安全签名并提供安全签名：
3361 2015-03-03 11：26：35.586937 10.2.2.2 10.1.1.1 SMB 196 Session Setup AndX Request， NTLMSSP_NEGOTIATE
...........1 ....= Security Signatures Required：安全签名是必需
的............1..= Security Signatures：支持
安全签名 签名：4253525350594c20

群集响应客户端请求，并报告不需要或不支持安全签名。
3362 2015-03-03 11：26：35.587200 10.1.1.1 10.2.2.2 SMB 350 会话设置 AndX 响应，NTLMSSP_CHALLENGE，错误：STATUS_MORE_PROCESSING_REQUIRED
...........0 ....= Security Signatures Required：不需要安全签名
............0..= Security Signatures：不支持
安全签名 签名：00000000000000000
 
客户端再次请求：
3363 2015-03-03 11：26：35.588242 10.2.2.2 10.1.1.1 SMB 538 会话设置 AndX 请求，NTLMSSP_AUTH，用户：Domain_NameUsername
...........1 ....= Security Signatures Required：安全签名是必需
的............1..= Security Signatures：支持
安全签名 签名：4253525350594c20

群集响应（仍然不需要或不支持安全签名）
3376 2015-03-03 11：26：35.637850 10.1.1.1 10.2.2.2 SMB 200 Session Setup AndX Response
...........0 ....= Security Signatures Required：不需要安全签名
............0..= Security Signatures：不支持
安全签名 签名：00000000000000000

客户端尝试树连接：
3377 2015-03-03 11：26：35.638664 10.2.2.2 10.1.1.1 SMB 150 树连接和 X 请求，路径：\10.1.1.1IPC$
...........1 ....= Security Signatures Required：安全签名是必需
的............1..= Security Signatures：支持
安全签名 签名：202ddf1caac4847f

群集使用不需要或不受支持的安全签名以及以下签名进行响应：00000000000000000
3381 2015-03-03 11：26：35.640432 10.1.1.1 10.2.2.2 SMB 114 树连接和 X 响应
...........0 ....= Security Signatures Required：不需要安全签名
............0..= Security Signatures：不支持
安全签名 签名：00000000000000000

然后，客户端将 RESET 返回给群集，从而断开连接，因为它需要群集未提供的安全签名。
3382 2015-03-03 11：26：35.640929 10.2.2.2 10.1.1.1 TCP 60 1777 445 [RST， ACK] seq=860 ack=688 win = 0 len = 0
专家信息（警告/序列）：连接重置 （RST）
连接重置 （RST）

 

SMB 签名是一项功能，通过该功能，可以在数据包级别对使用 SMB 的通信进行数字签名。  对数据包进行数字签名使数据包的接收者能够确认其来源点及其真实性。SMB 协议中的这种安全机制有助于避免诸如篡改数据包和中间人攻击等问题。

本文档将介绍在群集和 MS 客户端上启用签名的步骤，并在数据包捕获中查看连接及其协商。


允许 Windows 服务器或客户端使用安全签名连接到 Isilon OneFS 群集的功能是在 OneFS 版本 6.5（引入 SMB2 支持时）中引入的，并且在较新版本中也可用。

请注意，Microsoft 报告：  使用 SMB 数据包签名可能会使文件服务事务的性能降低多达 15%。 

无

要在群集上配置安全签名，您有两个选项：
启用安全签名：这将允许您的群集连接到请求使用安全签名的客户端/服务器。  此选项不会要求所有客户端/服务器都使用安全签名需要
安全签名：此选项将要求所有使用 SMB 的客户端/服务器使用安全签名连接到群集要

查看群集当前的 SMB 安全签名配置，请执行以下作：

• 在 OneFS 7.x 中，使用 isi smb settingsglobal view | grep Security

     cluster720-1# isi smb settings全局视图 |grep security
enable security signatures：不需要
安全签名：否
 

• 在 OneFS 6.5.x 中，使用 isi smb config global list | grep signatures

     cluster65-1# isi smb config global list | grep signatures
enable-security-signatures = false
require-security-signatures = false

要在群集上启用安全签名和/或需要安全签名，请执行以下作：

• 在 OneFS 7.x 中

     # isi smb settings global modify --enable-security-signatures=yes
# isi smb settings global modify --require-security-signatures=yes
cluster7-1#isi smb settings global view | grep Security
Enable security signatures：
是，需要安全签名：是的

• 在 OneFS 6.5.x 中

     # isi smb config global modify --enable-security-signatures=true
# isi smb config global modify --require-security-signatures=true
cluster65-1# isi smb config global list | grep signatures
enable-security-signatures = true
require-security-signatures =true

要在 Windows 客户端上启用或禁用 SMB2 安全签名，您可以使用两个选项。

1.    修改组策略设置，该设置位于：计算机配置Windows 设置安全设置本地策略安全选项
客户端：
---Microsoft网络客户端：对通信进行数字签名（始终）[已禁用]
---Microsoft 网络客户端：对通信进行数字签名（如果服务器同意） [已禁用]
服务器：
---Microsoft 网络服务器：对通信进行数字签名（始终） [已禁用]
---Microsoft 网络服务器：对通信进行数字签名（如果服务器同意）[已禁用]
 
2. 修改客户端/服务器注册表项（由于组策略，重新启动后可能会更改回原始值）。
客户端注册表项存储在以下位置：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanWorkStationParameters。
---requiresecuritysignature （Enabled=1， Disabled=0）
---enablesecuritysignature （Enabled=1， Disabled=0）

Server 注册表项存储在以下位置：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanmanServerParameters。
---requiresecuritysignature （enabled=1， disabled=0）
---enablesecuritysignature （enabled=1， disabled=0）
 

可在此处找到更多信息：

SMB 签名的基础知识（涵盖 SMB1 和 SMB2）
http://blogs.technet.com/b/josebda/archive/2010/12/01/the-basics-of-smb-signing-covering-both-smb1-and-smb2.aspx

需要 SMB 安全签名：
https://technet.microsoft.com/en-us/library/cc731957.aspx

Microsoft网络服务器：对通信进行数字签名（始终）：
https://technet.microsoft.com/en-us/library/c9dfa127-8e28-46de-81d0-6d0742c28420
 
相关知识库文章
88751 - OneFS：Windows Server 2012 或 Windows 8 客户端无法连接到 Isilon SMB 共享
88925 - 由于各种原因
，出现“指定的网络名称不再可用”消息89287 - SMB 客户端在连接到 Isilon 群集
时收到连接或授权错误92688 - OneFS 6.5 及更高版本：启用强制数据包签名时，SMB 性能会下降