Samba 4

Bevor es an die Praxis geht, will ich auf ein paar Grundlagen eingehen. Hier soll nicht das gesamte OSI-Referenzmodell besprochen, sondern ein kurzer Einblick in die verwendeten Protokolle vermittelt werden. Auch werde ich an dieser Stelle darauf eingehen, welche der Protokolle und welche Versionen noch aktuell sind und welche Versionen nicht mehr benutzt werden sollten.

In diesem Kapitel werden zunächst einige Grundlagen zu den Protokollen SMB und NetBIOS angesprochen. Auch will ich hier auf die verschiedenen Versionen des SMB-Protokolls eingehen.

Für die Datenübertragung und Adressierung im Netzwerk verwendet Windows zwei unterschiedliche Protokolle: SMB für die Datenübertragung und NetBIOS für die Adressierung über die NetBIOS-Namen.

Die beiden Protokolle haben dabei verschiedene Aufgaben. Auf das SMB-Protokoll können Sie nicht verzichten, denn es wird immer für die Datenübertragung verwendet. Das Protokoll wurde auch über die Jahre immer weiterentwickelt.

Auf das NetBIOS-Protokoll können Sie heute aber ganz verzichten, denn sämtliche Adressierung kann über DNS oder das Active Directory vorgenommen werden. Früher kam das Protokoll zum Einsatz, um zum Beispiel die Netzwerkumgebung im Explorer unter Windows nutzen zu können. Aber die Netzwerkumgebung, die vom Computersuchdienst gefüllt wird, basiert auf SMBv1, und das sollte auf gar keinen Fall mehr zum Einsatz kommen. Sowohl bei Windows als auch bei Samba ist das alte SMBv1-Protokoll deaktiviert. In Zukunft wird diese Protokollversion komplett verschwinden. Dann verliert auch das NetBIOS-Protokoll jegliche Bedeutung.

Unter Samba ist es aber schon so, dass auf einem Domaincontroller das NetBIOS-Protokoll gar nicht mehr aktiv ist und auch nicht mehr benötigt wird.

Da das Protokoll immer mehr in den Hintergrund tritt, werde ich hier auch nicht weiter darauf eingehen. Allerspätestens mit der Einführung von IPv6 ist die Nutzung nicht mehr möglich, da IPv6 das Protokoll nicht mehr unterstützt.

Bei SMB handelt es sich um ein Protokoll zur Kommunikation mit Datei- und Druckdiensten. SMB wird auch oft als Dateisystem betrachtet, was es aber eigentlich nicht ist. SMB kann wohl besser mit NFS verglichen werden, das besonders unter Linux verwendet wird und dort den Austausch von Dateien regelt.

SMB ist für die Übertragung der Daten zwischen dem Client und dem Server verantwortlich. SMB benötigt immer ein Transportprotokoll. Hier kam früher das Protokoll NetBIOS alleine zum Einsatz, später wurde dann auf NetBIOS over TCP umgeschwenkt. Ab Windows 2000 ist es aber auch möglich, TCP alleine zu verwenden. Unter Samba wird das Protokoll SMB über den Daemon smbd bereitgestellt.

Mit Windows Vista erschien eine neue Version des SMB-Protokolls auf dem Markt: das SMB2-Protokoll. Dieses Protokoll wurde an einigen Stellen komplett überarbeitet. Eines der Hauptmerkmale der neuen Version ist, dass die Anzahl der Kommandos von über 100 auf 16 reduziert wurde.

Dadurch ist das Protokoll im Netzwerk nicht mehr so "gesprächig". Auch wurden die Puffer für die Datenübertragung vergrößert, wodurch eine schnellere Übertragung von großen Dateien möglich ist.

Mit Samba 4 kam dann die Unterstützung des SMB3-Protokolls. Damit ist die Entwicklung aber nicht abgeschlossen, es wird weiter an dem Protokoll gearbeitet, und das sowohl auf Seiten von Microsoft als auch auf Seiten des Samba-Teams.

Das SMB-Protokoll gibt es in verschiedenen Versionen, die von den unterschiedlichen Windows-Versionen unterstützt werden:

       Version 1.0
Diese Version kommt bei Windows 2000, Windows XP, Windows Server 2003 und Windows Server 2003 R2 zum Einsatz. Mittlerweile wird diese Version nur noch unterstützt, wenn Sie es explizit aktivieren. Die Version 1 hat einfach zu viele Sicherheitslücken, dass ein Einsatz heute nicht mehr empfohlen wird.

       Version 2.0
Ab Windows Vista Service Pack 1 und Windows Server 2008 ist das Protokoll SMB in der Version 2.0 das Standardprotokoll für die Datenübertragung. Diese Version wurde auch bei Samba ab der Version 3.6 unterstützt.

       Version 2.1
Mit Windows 7 und Windows Server 2008 R2 wurde die verbesserte Version 2.1 eingeführt. Samba unterstützte diese Version seit 3.6.

       Version 3.0
Seit Windows 8 und Windows Server 2012 wird die aktuelle Version 3.0 des Protokolls implementiert. Ältere Windows-Versionen unterstützen die Version 3.0 nicht mehr. Aktuelle Samba-Versionen unterstützen die Version 3.1.1.

Obwohl es nur noch historische Bedeutung hat, möchte ich das Protokoll hier noch einmal kurz erläutern. NetBIOS ist (oder war) für die Namensdienste im Netzwerk verantwortlich. Es wird unter Samba über den Daemon nmbd bereitgestellt. Im Verlauf des Buchs werden Sie sehen, dass bei Samba 4 NetBIOS auf den Domaincontrollern nicht mehr für den Computersuchdienst bereitgestellt wird. Dadurch werden die Domaincontroller nicht mehr in der Netzwerkumgebung angezeigt. Verbindungen lassen sich dort nur noch direkt über die Freigabe einrichten.

Das Protokoll NetBIOS ist eine Entwicklung der Firmen IBM und Sytek Inc. Es wurde bereits im Jahre 1983 entwickelt. Ursprünglich war es dazu gedacht, die Kommunikation in kleinen Netzen bis maximal 80 Hosts zu gewährleisten. Später wurde NetBIOS als Protokoll definiert, das direkt auf der OSI-Ebene 2 aufsetzt. Daraus wurde das Protokoll NetBEUI, ein sehr einfach aufgebautes Protokoll ohne Routing-Funktion, das aber den Anforderungen an kleine Netze genügte.

Alle Microsoft-Betriebssysteme vor der Version Windows 2000 waren zwingend auf das Protokoll NetBIOS angewiesen, da mit diesem Protokoll die gesamte Adressierung der Systeme und der Dienste im Netz durchgeführt wurde. NetBIOS ist ein Protokoll der Ebene 5 des OSI-Referenzmodells. Dadurch können die verschiedensten Netzwerkprotokollfamilien auf den Ebenen 3 und 4 verwendet werden. Am Anfang stand hier NetBEUI im Vordergrund, da das Protokoll NetBIOS mehr für kleine lokale Netze gedacht war. Heute verwendet NetBIOS die Protokolle TCP/IP zum Transport der Daten und kann somit auch in modernen Netzen zum Einsatz kommen.

Seit Windows 2000 kann aber auch ganz auf NetBIOS verzichtet und die gesamte Kommunikation komplett über TCP/IP realisiert werden. Aus Kompatibilitätsgründen ist NetBIOS aber immer noch in den Microsoft-Betriebssystemen vorhanden und auch standardmäßig immer aktiv. Der Grund, weshalb NetBIOS noch vorhanden und aktiv ist, ist der, dass die Netzwerkumgebung auf einem Windows-Client stark von NetBIOS abhängig ist. Zwar füllt NetBIOS die Netzwerkumgebung nicht direkt (dafür ist der Computersuchdienst verantwortlich), aber der Computersuchdienst ist sehr stark von NetBIOS abhängig. NetBIOS ist nicht mehr relevant und wird von mir hier im Buch auch nicht mehr eingesetzt.

In diesem Abschnitt möchte ich erst einmal aufzeigen, was sich seit der letzten Auflage des Samba-Buchs alles getan hat. Die letzte Auflage des Samba-Buchs basiert auf der Version 4.14, also vom März 2021. Seitdem ist eine Menge passiert. Sehr viele Änderungen sind für die Administration, die ja Schwerpunkt diese Buches ist, nicht sofort ersichtlich. Ein Großteil der Veränderungen beziehen sich auf interne Neuerungen, die für die Sicherheit und die Performance relevant sind. Aus diesem Grund möchte ich an dieser Stelle einmal alle wichtigen Änderungen auflisten. Die Änderungen, die die Administration und Sie als Administrator direkt betreffen, werden natürlich in den einzelnen Kapiteln des Buches genau angesprochen und erklärt.

Version 4.15 (September 2021)

       Bis zur Version 4.14 war es möglich, einige Entwicklerversionen des SMB-Protokolls zu nutzen, doch das ist jetzt nicht mehr möglich. Wenn Sie also bei den Parametern client max protocol und/oder server max protocol diese Versionen nutzen, sollten Sie das auf jeden Fall wie folgt umstellen:

- SMB2_22 => SMB3_00

- SMB2_24 => SMB3_00

- SMB3_10 => SMB3_11

       Das VFS-Interface wurde so überarbeitet, dass Samba jetzt auch komplett ohne SMBv1 betrieben werden kann.

       Bislang konnte jeder Client eine DNS-Zonentransferanfrage an den bind-Server stellen und eine Antwort von Samba erhalten. Jetzt ist das Standardverhalten, diese Anfragen abzulehnen. Es wurden zwei neue Optionen hinzugefügt, um die Liste der autorisierten/verweigerten Clients für Zonentransferanfragen zu verwalten. Um akzeptiert zu werden, muss die Anfrage von einem Client gestellt werden, der in der Zulassen-Liste und NICHT in der Ablehnen-Liste steht.

       Bis zu dieser Version war der server multi channel support noch experimental. Ab der Version 4.15...