Herausfinden, welche Komponente eines Windows Servers noch SMBv1 nutzt

[Eye-Q]

Moin,

wir sind gerade dabei, zwei Windows Server 2016-DCs durch Windows Server 2022 abzulösen. Aus historischen Gründen ist SMBv1 auf den DCs aktiviert, sollte aber inzwischen eigentlich nicht mehr benötigt werden, weil die Software, die das auf jeden Fall benötigt hatte, schon vor zwei Jahren abgeschafft wurde. Letzte Woche wurde die Protokollierung der SMBv1-Zugriffe gestartet, um herauszufinden, welche Geräte oder Server noch per SMBv1 auf die DCs zugreifen. Dabei ist herausgekommen, dass genau ein Mitgliedsserver mit Windows Server 2019 auf die Sekunde genau alle 12 Minuten, also fünf Mal die Stunde, eine SMBv1-Verbindung zu genau einem DC aufbaut. Falls das wichtig sein sollte: das Ziel ist der DC, der die FSMO-Rollen beinhaltet, zum zweiten DC wird nie eine SMBv1-Verbindung aufgebaut.

Um dem Prozess auf die Schliche zu kommen, der diese Verbindung aufbaut, habe ich schon TCPView von den Sysinternals auf dem Mitgliedsserver bemüht. Wenn ich TCPView genau zu dem Zeitpunkt anhalte, zu dem der DC die SMBv1-Verbindung protokolliert, erscheint für die Verbindung zur IP-Adresse des DCs auf den Remote-Ports TCP 137-139 oder 445 nur TCP 139 mit dem Prozessnamen "System", was mir leider so ziemlich gar nichts bringt. Die unkenntlich gemachten IP-Adressen sind die IP-Adresse meines Notebooks und die eines Fileservers, der Screenshot soll nur zeigen, dass keine weiteren SMB-Verbindungen zum DC aufgebaut wurden:

Auch per Wireshark habe ich das mal protokolliert, da habe ich auf das Protokoll SMB gefiltert (192.168.100.102 ist der Mitgliedsserver, 192.168.100.1 ist der DC, unkenntlich gemacht ist nur der Name des DCs):

Leider habe ich bei Wireshark nur sehr rudimentäre Kenntnisse, deswegen möchte ich keine Vermutungen anstellen, sondern kann nur offensichtliche Zusammenhänge herstellen.

Hat noch jemand eine Idee, wie man den eigentlichen Verursacher noch finden könnte? Wir wollen ungerne einfach die SMBv1-Unterstützung vom Mitgliedsserver deinstallieren und es funktioniert dann ein installiertes Programm oder ein Dienst nicht mehr...

[t1nk4bell]

Die Domänen ebene noch auf 2008 vielleicht?

Sieht für mich ins blaue geraten aber danach aus das er versucht zu authentizieren ntlmssp und das über sspi auf v1 aufbaut. 

Dürfte sich Ergeben wenn du auf v3 gehst 

Bearbeitet 3. Februar von t1nk4bell

[Eye-Q]

Danke für den Input, aber sowohl Gesamtstrukturfunktionsebene als auch Domänenfunktionsebene sind auf 2016. Selbst wenn, müssten dann doch auch andere Server und/oder Clients SMBv1-Verbindungen aufbauen. Es ist eben nur dieser eine einzige Mitgliedsserver, der in der Ereignisanzeige des einen DCs auftaucht. Wir nutzen auch die Inventarisierungssoftware Lansweeper, laut dieser haben noch ein paar Workstations und Server die SMBv1-Clientunterstützung aktiviert. Diese waren die letzten Tage auch online, haben sich aber eben nicht per SMBv1 bei einem der DCs gemeldet.

 

[t1nk4bell]

Was ist der Mitgliedserver denn für ein Server wofür wird er alles genutzt?

[Eye-Q]

Das ist ein Windows Server 2019 Datacenter, dort läuft "nur" von SAP Business One eine Integrationskomponente, die 2022 installiert wurde. Die Kollegen aus der Softwareabteilung haben gesagt, dass die Komponente keinerlei SMB-Verbindungen aufbaut, nur SQL-Verbindungen zu einem MSSQL-Datenbankserver.

Die letzten installierten Windows Updates sind aus Oktober 2024, heute Abend sollen die Updates aus Januar 2025 installiert werden.

[t1nk4bell]

Mich würde interessieren ob wenn du ntp auf dem SAP Server ausmachst für 24 Minuten ob du dann immernoch Verbindungen über smbv1 hast. 

[Eye-Q]

OK, jetzt wird's vogelwild: vorgestern (04.02.) wurde der Server, von dem die SMBv1-Verbindungen stammten, mit Windows Updates versorgt und neu gestartet, seitdem protokolliert der DC keine entsprechenden Verbindungen mehr von dem Server. Zum selben Zeitpunkt hat aber ein anderer Server, der die gleichen Komponenten installiert hat und nur als Testumgebung dient, angefangen, SMBv1-Verbindungen aufzubauen.

Nachdem ich besagten zweiten Server, der seit vorgestern im SMBv1-Protokoll auftaucht, heute Abend neugestartet habe, wird auch von dem kein SMBv1-Verbindungsaufbau mehr protokolliert... 🤷‍♂️

Ich schließe daraus, dass bei den Servern SMBv1 nicht benötigt wird, sonst hätte die SAP Business One Integrationskomponente gestern und heute nicht funktioniert...