Cenário: Usuário e, principalmente, Administradores tem relatados problemas com o desempenho de rede em algumas implementações do Windows Server 2012 e sua nova versão R2. A atividade de cópia de arquivos começa na velocidade esperada, mas diminui e aumenta com um comportamento de rajadas. Frequentemente até mesmo falhas nas transferências são relatadas.
O Recursos de Segurança do Windows no Servidor pode estar comprometendo o desempenho dos compartilhamentos da rede SMB em seu WorkGroup ou Domínio.
Na internet há relatos da correção deste problema específico simplesmente alterando a marca do adaptador de rede (substituição). Mas também é possível não utilizar a assinatura digital do protocolo SMB que assina automaticamente os pacotes SMB. Essa configuração de segurança determina se a assinatura de pacotes SMB deve ser negociada antes de a comunicação com um servidor SMB ser permitida.
Essa assinatura digital ajuda a proteger contra a falsificação, mas pode adicionar sobrecarga no fluxo de tráfego. Você pode se livrar dessa sobrecarga e melhorar o desempenho desativando o recurso de assinatura de pacotes SMB.
De acordo com a TechNet Library "O uso de assinatura de pacotes SMB pode causar uma queda no desempenho de até 15% em transações de serviços de arquivos." logo, este artigo é recomendado para porcentagens maiores, transferências não lineares e falhas na conclusão e confiabilidade.
Não é uma boa prática, também não é o recomendado pela Microsoft, mas se estiver tendo problemas de desempenho ou confiabilidade em seu ambiente teste a desativação da assinatura de pacotes SMB. Apesar de reduzir o nível de segurança do seu ambiente o comportamento do protocolo SMB permanece o mesmo. Será esperado maior cautela dos administradores na camada de perímetro (DMZ, IDS, Firewall, Routers) para compensar a possível clonagem e alterações em pacotes SMB.
Acompanhe como implementar a desativação da assinatura digitalmente de comunicação que é exigida pelo componente do servidor SMB e é automaticamente ativada em Controladores de Domínio.
Desabilitando Recurso de Segurança - Assinatura Digital do Protocolo SMB
1) No Gerenciador do Servidor clique em Ferramentas e selecione Gerenciamento de Política de Grupo. Pode ser localizado no Executar do Windows ou no Iniciar pelo nome GPMC.MSC.
2) Expanda o nó de seu domínio e clique com o botão direito na GPO Default Domain Policy e selecione Editar.
3) Nesta nova console expanda as seguintes pastas: "Configuração do Computador/Políticas/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança". Dê um duplo clique em Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre).
4) Marque a opção Definir esta configuração de política e selecione Desabilitada. Clique em OK.
5) De volta a console ainda com as seguintes pastas expandidas: "Configuração do Computador/Políticas/Configurações do Windows/Configurações de Segurança/Políticas Locais/Opções de Segurança". Dê um duplo clique em Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre).
6) Marque a opção Definir esta configuração de política e selecione Desabilitada. Clique em OK. Feche o Editor de Gerenciamento de Política de Grupo. Feche o Gerenciamento de Política de Grupo.
Conclusão: É esperado que existam outras políticas de grupo adicionais que precisarão ser modificadas. Comece pelas políticas a nível de domínio e não esqueça quaisquer outras políticas de segurança que você estiver usando.
Como estou reproduzindo no Hyper-V um serviço realizado no cliente, não poderei colocar as capturas de tela de antes e depois desta configuração ser realizada em uma cópia de arquivo pela rede.
Uma imagem (ISO) de 10 GB antes dessa configuração: 20 Minutos.
Uma imagem (ISO) de 10 GB depois dessa configuração: 2 Minutos.
Tenha em mente o tempo de replicação das definições de política de grupo. Execute o comando GPUpdate /force nas estações de trabalho para aplicar imediatamente as alterações nas GPOs.
Não desabilite a assinatura SMB a menos que seja necessário. Mesmo que necessário, ambientes críticos ou que estejam constantemente sobre ataques jamais devem desativar a assinatura SMB.
Esse artigo foi submetido por
Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br
Nenhum comentário:
Postar um comentário