«

»

Отключить разрешение имен через NetBIOS на Forefront TMG 2010 (ISA)

По умолчанию TMG блокирует широковещательный трафик. В следствии блокируется и  разрешение имен через NetBIOS  broadcasts. Сам механизм разрешения NetBIOS работает но ответа не получает, что вызывает большие задержки. Так же  эти данные логируются  на сервере. Все это создает не нужную нагрузку на сервер.  Поэтому рекомендуется его отключать (Best Practices). Для того что-бы отключить разрешение имен через широковещание NetBIOS нужно изменить ключ в реестре. Значение = 2.

Path: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

Name: NodeType

Type: REG_DWORD

Value: 2

Значения - 1 (Microsoft-enhanced B-node), 2 (P-node), 4 (M-node), 8 (H-node). По умолчанию используется B-node, если не сконфигурирован WINS сервер. Если WINS сконфигурирован используется H-node.

Node type

B-node
(broadcast)
Использует только широковещательные сообщения для регистрации и разрешения имен. Имеет две основные проблемы:

  1. Широковещательные сообщения сильно загружают сеть
  2. Большинство маршрутизаторов не передают широковещательные сообщения
P-node
(peer-peer)
Используют только сервер имен NetBIOS для регистрации и разрешения имен. Широковещательные сообщения не используются, следовательно сеть не перегружается. Так как запрос адресуется непосредственно серверу имен, то он проходит через маршрутизатор. Основной проблемой является невозможность связи даже в локальной сети при выключенном сервере имен.
M-node
(mixed)
Комбинация B и P узлов. Сначала используется широковещательное сообщение, в случае неудачи - обращение к серверу имен.
H-node
(hybrid)
Комбинация B и P узлов. Сначала идет обращение к WINS серверу, в случае неудачи используется широковещательное сообщение.
Microsoft
enhansed
B-node
Перед использованием широковещательного сообщения проверяется наличие имени в кэше NetBIOS.

Так же можно отключить Link Local Multicast Name Resolution. Которые по умолчанию так же блокируются.

  • Установить политику Computer Configuration\Administrative Templates\Network\DNS Client\Turn off Multicast Name Resolution

(Enabled = Don't use LLMNR, Disabled = Use LLMNR)

 

Permanent link to this article: http://www.blogss.ru/prevent-netbios-broadcast-traffic-llmnr-forefront-tmg-2010-isa

1 комментарий

  1. Alex Сообщает:

    А как включить полноценный пропуск net broadcast (x.y.z.255) и all broadcast (255.255.255.255) на LocalHost из Internal ?

Добавить комментарий

Your email address will not be published.