Как обеспечить обмен данными Windows Vista и Windows Server 2008 с системами, на которых установлена старая версия Samba
Параметры Диспетчера MS-LAN (MS-LAN Manager) по умолчанию в Windows Vista и Server 2008 делают невозможным обмен данными с системами, на которых установлены старые версии Samba на базе Linux. Эту проблему можно решить за счет изменения параметров групповой политики или локальной политики безопасности.
Вне зависимости от того, перешла компания на Vista или Windows Server 2008 (WSK8) официально или нет, на предприятии может быть предусмотрено обязательное тестирование этих новых систем. Если в сети используются сетевые устройства хранения данных (NAS) или серверы Linux, на которых установлена Samba, это может привести к возникновению проблем совместимости с Vista и WS2K8. Предусмотренные в Vista и WS2K8 параметры соединения на уровне NTLMv2 и выше могут препятствовать нормальному обмену данными с серверами Linux, устройствами NAS, принт-серверами и другими устройствами. Возникновение проблем совместимости с Vista и WS2K8 наиболее вероятно для Samba 3.0.21c и более старых версий. Ситуация усугубляется тем, что серверы Linux и устройства откликаются на запросы DNS, принимают и отправляют контрольные пакеты при пинге, но доступ к файлам при этом в большинстве случаев не обеспечивают. Именно поэтому многие компании не собираются переходить на Vista и WS2K8: отказ от систем, на которых установлена Samba, зачастую оказывается невыполнимой задачей. Тем не менее, решить проблему можно, и даже двумя способами. Один вариант – создать объект групповой политики домена (GPO), связать его с доменом и забыть о проблеме. Другой – изменить параметры локальной политики безопасности для тех компьютеров, которые вынуждены обмениваться данными с системами NTLMv1 (Linux, NAS и т. д.).
Изменение параметров локальной политики безопасности
Чтобы изменить параметры локальной политики безопасности в Vista или WS2K8, нужно запустить Редактор политики безопасности (Security Policy Editor) (secpol.msc), перейти к разделу «Настройки безопасности | Локальные политики | Параметры безопасности» (Security Settings | Local Policies | Security Options) и найти пункт «Сетевая безопасность | Уровень аутентификации Диспетчера LAN» (Network security | LAN Manager authentication level). Опция «Отправлять отклики LM и NTLM» (Send LM & NTLM responses) обеспечивает максимальную совместимость с системами NTLMv1. Если изменить параметры локальной политики безопасности не удается, это указывает на существование объекта групповой политики домена, который препятствует изменению параметров на уровне отдельных систем. На рис. A показано окно параметров локальной политики безопасности, заданных объектом групповой политики домена.
Рисунок A
Создание объекта групповой политики домена
Другой способ – создать объект групповой политики домена, чтобы настроить параметры соединения для одного компьютера, нескольких систем в организационной единице или для всего домена в целом. Для этого в контроллере домена следует запустить приложение «Управление групповой политикой» (Group Policy Management) (gpmc.msc), перейти к разделу «Параметры системы | Политики | Настройки Windows | Настройки безопасности | Локальные политики | Параметры безопасности» (Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Security Options) и найти пункт «Сетевая безопасность | Уровень аутентификации Диспетчера LAN» (Network security | LAN Manager authentication level). На рис. B показано диалоговое окно создания объекта групповой политики домена, в котором выделен этот пункт.
Рисунок B
Здесь также следует выбрать опцию «Отправлять отклики LM и NTLM» (Send LM & NTLM responses). Это обеспечит максимальную совместимость и даст более новым клиентам Windows возможность обмениваться данными с системами, на которых установлена старая версия Samba. Стоит отметить, что контроллеры домена WSK8 с системами NTLMv1не взаимодействуют.
