SMB共有へのアクセス時にサービスの「システム」認証を使用した場合の影響
環境
- ONTAP 9
- Windowsサービス
回答
はじめに
- サービス がシステムを使用する場合、認証は マシンアカウントユーザとしてSMBサーバに提示されます。
- Windows OSは、Kerberosを使用できるかどうか、または認証にNTLMが必要かどうかを判断します。
- ONTAPでは、NTLMおよびKerberosを使用してマシンアカウントを認証できます(Kerberosが必要だった7-Modeとは異なります)。
影響
- アカウントでNTLMを使用する場合、各CIFSセッションでSMBサーバからドメインコントローラ(DC)にアクセスして 、渡されたクレデンシャルを検証する必要があります。
- このサービスはRPC_NETLOGONと呼ばれ、ONTAPはネットログオンを介してクレドを渡すためにDCへの接続を開きます。
- CIFSセッションを再利用しない場合は、各ファイル処理で新しいCIFSセッションが開き、DCによるクレデンシャルの検証が必要になります。
- {x}個のファイルを読み取るサービスでは原因、SMBサーバからDCに{x}個のパスワードが検証されます(非常に負担がかかります)。
- この問題は、過剰な検証からDCが遅くなり始めると指数関数的に化合し、結果としてSECD障害が発生します。