« Examine si ce que tu promets est juste et possible, car la promesse est une dette.  »

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

Traduction

frendeitptes
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Qu’est-ce que SMB?

Qu’est-ce que SMB?

Server Message Block (SMB) est un protocole de partage de fichiers réseau développé par Microsoft dans les années 1980. Il a été créé pour faire partie du système d’entrée/sortie de base du réseau (NetBIOS). La spécification originale, SMB 1, a été conçue pour être un protocole très verbeux, envoyant continuellement de nombreux paquets de contrôle et de recherche en texte clair. Cependant, cela a été considéré comme trop bruyant, il a dégradé les performances globales du réseau, et n’était pas sécurisé. Depuis, le bavardage inutile a été considérablement réduit et le protocole est devenu plus sûr, surtout depuis les spécifications SMB 3.0 et plus élevées.

La dernière version de SMB est SMB 3.1.1, qui prend en charge advanced encryption standard (AES) 128 Galois/Counter Mode (GCM) en plus du compteur AES 128 avec code d’authentification par messagerie de chiffrement (CBC-MAC, ou CCM) de chiffrement inclus dans SMB 3.0. SMB 3.1.1 applique une vérification de l’intégrité de la préauthentication à l’aide du hachage secure hash Algorithm (SHA) 512. SMB 3.1.1 qui nécessite également une négociation renforcée par la sécurité lors de la connexion à des appareils qui utilisent SMB 2.x et version ultérieure.

Microsoft Hyper-V prend en charge le stockage des données de l’ordinateur virtuel (VM) , telles que les fichiers de configuration VM, les points de contrôle et les fichiers .vhd , sur les partages de fichiers SMB 3.0 et ultérieurement.

Remarque : La bande passante recommandée pour la connectivité réseau au partage de fichiers est de 1 gigabit par seconde (Gbps) ou plus.

Un partage de fichiers SMB 3.0 offre une alternative au stockage de fichiers VM sur les périphériques Internet Small Computer System Interface (iSCSI) ou Fibre Channel storage area network (SAN). Lorsque vous créez un VM dans Hyper-V sur Windows Server, vous pouvez spécifier un partage réseau lors du choix de l’emplacement VM et de l’emplacement du disque dur virtuel. Vous pouvez également joindre des disques stockés sur les partages de fichiers SMB 3.0 et ultérieures. Vous pouvez utiliser les disques .vhd et .vhdx avec des partages de fichiers SMB 3.0 ou ultérieures.

Windows Server continue de prendre en charge les améliorations SMB 3.0 en plus de plusieurs fonctions avancées que vous pouvez utiliser à l’aide de SMB 3.1.1. Par exemple, vous pouvez stocker des fichiers VM sur un partage de fichiers SMB 3.1.1 hautement disponible. C’est ce qu’on appelle un serveur de fichiers scale-out. En utilisant cette approche, vous atteignez une haute disponibilité non pas en clusterant les nœuds Microsoft Hyper-V, mais en utilisant des serveurs de fichiers qui hébergent des fichiers VM sur leurs partages de fichiers. Avec cette fonctionnalité, Hyper-V peut stocker tous les fichiers VM, y compris les fichiers de configuration, les fichiers .vhd et les points de contrôle sur des partages de fichiers SMB hautement disponibles.

Les fonctionnalités SMB 3.0 incluent :

  • Basculement transparent SMB. Cette fonctionnalité vous permet d’effectuer la maintenance matérielle ou logicielle des nœuds d’un serveur de fichiers en cluster sans interrompre les applications serveur qui stockent des données sur les partages de fichiers.
  • SMB Échelle. En utilisant cluster Shared Volumes (.csv) version 2, vous pouvez créer des partages de fichiers qui fournissent un accès simultané aux fichiers de données, avec entrée directe /sortie (I/S), à travers tous les nœuds d’un cluster de serveur de fichiers.
  • SMB Multichannel. Cette fonctionnalité vous permet d’agréger la bande passante réseau et la tolérance aux pannes réseau si plusieurs chemins sont disponibles entre le client et le serveur SMB 3.0.
  • SMB Direct. Cette fonctionnalité prend en charge les cartes réseau qui ont la capacité d’accès à la mémoire directe à distance (RDMA) et peuvent fonctionner à pleine vitesse avec une latence de données très faible et en utilisant très peu de temps de traitement de l’unité de traitement central (CPU).
  • Chiffrement SMB. Cette fonctionnalité fournit le chiffrement de bout en bout des données SMB sur les réseaux non approuvés, et elle aide à protéger les données contre l’écoute clandestine.
  • Volume Shadow Copy Service (VSS) pour les partages de fichiers SMB. Pour tirer parti de VSS pour les partages de fichiers SMB, le client SMB et le serveur SMB doivent prendre en charge SMB 3.0 au minimum.
  • SMB Directory Leasing. Cette fonctionnalité améliore les temps de réponse des applications de succursale. Il réduit également le nombre d’allers-retours entre le client et le serveur, car les métadonnées sont récupérées à partir d’un cache d’annuaire à plus longue durée de vie.
  • Commandes Windows PowerShell pour la gestion de SMB. Vous pouvez gérer les partages de fichiers sur le serveur de fichiers, de bout en bout, à partir de la ligne de commande.

Les nouvelles fonctionnalités de SMB 3.1.1 sont les suivantes :

  • Intégrité de la préauthentication. L’intégrité de la préauthentification offre une meilleure protection contre une attaque man-in-the-middle qui pourrait altérer l’établissement et l’authentification des messages de connexion SMB.
  • Améliorations du chiffrement SMB. Le chiffrement SMB, introduit avec SMB 3.0, utilise un algorithme cryptographique fixe, AES-128-CCM. Cependant, AES-128-GCM fonctionne mieux avec la plupart des processeurs modernes, de sorte que SMB 3.1.1 utilise GCM comme sa première option de cryptage.
  • Clôture dialectale de cluster. Cluster Dialect Fencing prend en charge les mises à niveau de la mise à niveau du cluster pour la fonctionnalité Serveurs de fichiers scale-out.
  • Suppression du paramètre RequireSecureNegotiate. Étant donné que certaines implémentations tierces de SMB n’effectuent pas cette négociation correctement, Microsoft fournit un commutateur pour désactiver Secure Negotiate. Toutefois, la valeur par défaut pour les serveurs et les clients SMB 3.1.1 est d’utiliser l’intégrité de préauthentication, comme décrit précédemment.
  • Notation x.y.z pour les langues avec un numéro de révision non zéro. Windows Server utilise trois chiffres distincts pour noter la version de SMB. Ces informations sont ensuite utilisées pour négocier le plus haut niveau de fonctionnalité SMB.

Versions SMB

Windows Server négocie et utilise la version SMB la plus haute prise en charge par un client. À cet égard, le client peut être un autre serveur, un périphérique Windows 10 ou même un ancien client hérité ou un périphérique de stockage lié au réseau (NAS). Ce support peut descendre à SMB 2.2 ou 2.0. Les anciennes versions de Windows Server incluent également la prise en charge de SMB 1.0, qui est connue pour ses vulnérabilités. Par conséquent, l’utilisation de SMB 1.0 doit être évitée pour des raisons de sécurité. Dans Windows Server version 1709 et Windows 10 version 1709 (et version ultérieure), la prise en charge de SMB 1.0 n’est pas installée par défaut.

Configuration

Configurer les partages SMB

La création et la configuration de partages de fichiers shares ont longtemps été un élément central de l’administration du réseau. La possibilité de partager des fichiers est l’une des raisons pour lesquelles les réseaux informatiques sont devenus populairespour la première fois . La plupart des administrateurs savent aware que vous pouvez créer des dossiers partagés ou des partages de fichiers à partir de l’Explorateur de fichiers. Toutefois,dans Windows Server, vous pouvez également créer des partages de fichiers à l’aide using du Centre d’administration Windows, du Gestionnaire de serveurs ou de Windows PowerShell. Dans le Gestionnaire de serveurs, les termes partage de fichiers et le partage SMB se réfèrent au même composant.

Autorisations de partage et de fichier

Les autorisations qu’un utilisateur doit utiliser pour accéder aux fichiers d’un partage de bloc de messages serveur (SMB) sont une combinaison d’autorisations de partage et d’autorisations de fichier. L’ensemble d’autorisations le plus restrictif s’applique toujours . Par exemple,si vous donnez à un utilisateur les autorisations de fichier Contrôle complet, mais qu’il n’a que des autorisations de partage en lecture, l’accès de l’utilisateur est lu.

Remarque be : dans certaines publications précédentes de Microsoft , lesautorisations de fichier étaient appelées autorisations du système de fichiers NTFS. Le terme est progressivement remplacé par des autorisationsde fichier seulement , comme ces autorisations s’appliquent également à Resilient File System (ReFS), etpas seulement NTFS.

Pour simplifier l’accès aux données , lorsque vous utilisez le profil Quick pour créer un partage SMB ,l’autorisation de partage est définie sur Tout le contrôle total. Cela signifie en effet que les autorisations de partage ne restreignent pas l’accès à la part, etles autorisations NTFS sont utilisées pour contrôler l’accès.

Profils de partage SMB

Vous pouvez utiliser le Gestionnaire de serveur sur Windows Server pour créer un nouveau partage. L’Assistant intégré offre trois profils de partage de fichiers SMB à partir desquels vous pouvez choisir:

  • Rapide. Il s’agit de la méthode la plus rapide pour partager un dossier sur un réseau. Avec cette méthode, vous pouvez sélectionner un volume ou entrer un chemin d’accès personnalisé pour l’emplacement du dossier partagé. Vous pouvez utiliser l’Assistant pour configurer d’autres options, telles que l’énumération basée sur l’accès, la mise en cache de partage, l’accès aux données chiffrées et les autorisations. Vous pouvez configurer ces options et d’autres options manuellement après avoir créé le partage.
  • Avancé. Ce profil offre les mêmes options de configuration que le profil rapide, en plus d’autres options telles que les propriétaires de dossiers, la classification des données par défaut et les quotas. Pour créer un profil avancé, vous devez installer le service de rôle Gestionnaire de ressources Du serveur de fichiers sur au moins un serveur que vous gérez à l’aide du Gestionnaire de serveur.
  • Applications. Ce profil spécialisé comporte des paramètres appropriés pour Microsoft Hyper-V, bases de données et autres applications serveur. Contrairement aux profils rapides et avancés, vous ne pouvez pas configurer l’énumération basée sur l’accès, la mise en cache de partage, la classification des données par défaut ou les quotas lorsque vous créez un profil d’application.

Le tableau suivant identifie les options de configuration disponibles pour chaque profil de partage SMB.

Type de partage Énumérationbasée sur l’accès Mise en cache de partage Accès aux données chiffrées Classification des données par défaut Quotas Autorisations

Type de partage

Énumérationbasée sur  l’accès

Mise en cache de partage

Accès aux données chiffrées

Classification des données par défaut

Quotas

Autorisations

Rapide

Oui

Oui

Oui

non

non

Oui

Avancé

Oui

Oui

Oui

Oui

Oui

Oui

Applications

non

non

Oui

non

non

Oui

Centre d’administration Windows

Vous pouvez utiliser le Centre d’administration Windows pour créer des partages SMB shares, mais vous ne pouvez pas les configurer au-delà des autorisations utilisateur. Pour activer l’énumérationbasée sur l’accès , autoriser la mise en cache, activerle cache de branche ou ajouter ou supprimer le chiffrement, vous pouvez utiliser les propriétésdu dossier , le Gestionnaire de serveur ou les commandesWindows PowerShell.

Applets de commande Windows PowerShell dans le module SmbShare

Le module SmbShare pour Windows PowerShell contient 38 applets de commande dans Windows Server. Cela inclut les applets de commande couramment utilisées telles que:

New-SmbShare

Set-SmbShare

Remove-SmbShare

Si vous utilisez les appletsde commande SmbShare , vous pouvez configurer toutes les propriétés de partage, même celles qui ne sont pas disponibles dans le Gestionnaire de serveur.

Si vous souhaitez identifier les actions qui existent sur un serveur ou consulter les propriétés de ces actions, vous pouvez utiliser Get-SmbShare. La sortie par défaut affiche name, ScopeName, Pathet Description. ScopeName n’est pertinent que lorsque le serveur fait partie d’un cluster et s’affiche en tant que * pour les serveurs de fichiers non listé.

Vous pouvez utiliser Get-SmbSession pour identifier les utilisateurs connectés aux actions SMB . Si les utilisateurs ont des fichiers ouverts, then vous pouvez utiliser Get-SmbOpenFile pour identifier les fichiers ouverts.

Si vous êtes soucieux de contrôler la bande passante allouée aux actions SMB sur un serveur, vous pouvez utiliser Set-SMBBandwidthLimitSMBBandwidthLimit pour définir un niveau de débit maximal qui est alloué au trafic SMB sur un serveur pour différentes catégories. Ceci est utile pour les hôtes Hyper-V pour s’assurer ensure que certaines catégories de trafic ne submergent pas l’hôte et affectent d’autres catégories, y compris:

  • Par défaut. Il s’agit de tout le trafic SMB qui ne se rapporte pas à Hyper-V ou Live Migration, tels que les partages de fichiers standard shares.
  • Hyper-V. Il s’agit du trafic SMB que vous utilisez pour exécuter des machines virtuelles, par exemple l’accès à des virtual disques durs virtuels sur un partage SMB .
  • Migration en direct. Il s’agit du trafic SMB qui génère lorsque you effectuer une migration en direct d’un hôte Hyper-V à un autre. from

Remarque: Pour explorer toutes les applets de commande du module SmbShare, exécutez la commande suivante :

Get-Command -Module SmbShare

Préconisations

Meilleures pratiques pour le partage des ressources

Le protocole SMB (Server Message Block) inclut les fonctionnalités multicanaux SMB Direct et SMB qui vous permettent de déployer un stockage rentable, disponible en permanence et haute performance pour les applications serveur sur les serveurs de fichiers. SMB Multichannel et SMB Direct sont activés par défaut sur Windows Server. Les deux fonctionnalités vous obligent à utiliser une carte réseau d’accès à distance directement à la mémoire directe (RDMA). Vous pouvez utiliser plusieurs connexions réseau simultanément avec SMB Multichannel, ce qui améliore les performances globales de partage de fichiers. SMB Direct garantit que plusieurs cartes réseau peuvent coordonner le transfert de grandes quantités de données à la vitesse de la ligne tout en utilisant moins de cycles d’unité de traitement central (CPU).

Voici quelques bonnes pratiques à utiliser lors du partage de ressources et de la mise à disposition d’un serveur de fichiers :

  • Utilisez de grands disques physiques résistants aux temps d’arrêt causés par la corruption potentielle des fichiers.
  • Microsoft SQL Server, Microsoft Hyper-V et d’autres applications de ce type doivent être déployées sur des serveurs de fichiers disponibles en permanence.

Remarque : les concepts de serveur de fichiers disponibles en continu seront discutés dans le module 6, « Haute disponibilité dans Windows Server ».

  • Utilisez les services de basculement du protocole de configuration de l’hôte dynamique (DHCP) pour améliorer la disponibilité du réseau.
  • Agréger la bande passante et maximiser la fiabilité du réseau à l’aide de l’équilibrage de la charge et du basculement.
  • Créez du stockage de blocs disponible en permanence pour les applications serveur à l’aide d’un basculement transparent sur Internet Small Computer System Interface (iSCSI).
  • Utilisez RDMA et SMB Direct.
  • Utilisez plusieurs cartes réseau à l’aide de SMB Multichannel.
  • Utilisez le transfert de données déchargé pour déplacer rapidement les données entre les périphériques de stockage.
  • Créez des partages de fichiers NFS (network file system) disponibles en continu à l’aide d’un basculement transparent NFS.
  • Utilisez SMB Volume Shadow Copy Service (VSS) pour les partages de fichiers distants afin de protéger vos données d’application.
  • Dans Hyper-V, placez des fichiers d’ordinateurs virtuels sur les partages de fichiers SMB, ce qui vous donnera des solutions de stockage flexibles pour les futures infrastructures virtuelles ou cloud.

Vous devez être authentifié pour pouvoir laisser des commentaires...

Print Friendly, PDF & Email