Performances réseau réduites après l’activation du chiffrement SMB ou de la connexion SMB Windows Server 2016 et Windows Server 2019

  • Article

Cet article fournit une solution à un problème où les performances réseau sont réduites après l’activation du chiffrement SMB (Server Message Block) ou de la connexion SMB Windows Server 2016 et Windows Server 2019. Windows Server 2022 améliore les performances réseau pour ce scénario.

S’applique à : Windows Server 2016, Windows Server 2019, Windows Server 2022
Numéro de la base de connaissances d’origine : 4458042

Symptômes

Vous utilisez une carte réseau pour laquelle l’accès direct à la mémoire à distance (RDMA) est activé. Une fois que vous avez activé la signature SMB ou le chiffrement SMB, les performances réseau de SMB Direct avec la carte réseau sont considérablement réduites.

En outre, un ou plusieurs des ID d’événement suivants peuvent être enregistrés :

Log Name:      Microsoft-Windows-SMBClient/Operational  
Source:        Microsoft-Windows-SMBClient  
Event ID:      30909  
Level:         Informational  
Description:  
The client supports SMB Direct (RDMA) and SMB Signing is in use.  
Share name:ShareName  
Guidance:  
For optimal SMB Direct performance, you can disable SMB Signing. This configuration is less secure and you should only consider this configuration on trustworthy private networks with strict access control.

Log Name:      Microsoft-Windows-SMBClient/Operational  
Source:        Microsoft-Windows-SMBClient  
Event ID:      30910  
Level:         Informational  
Description:  
The client supports SMB Direct (RDMA) and SMB Encryption is in use.  
Share name: <Share name>  
Guidance:  
For optimal SMB Direct performance, you can disable SMB Encryption on the server for shares accessed by this client. This configuration is less secure and you should only consider this configuration on trustworthy private networks with strict access control.

Log Name:      Microsoft-Windows-SmbClient/Security  
Source:        Microsoft-Windows-SMBClient  
Event ID:      31016  
Level:         Warning  
Description:  
The SMB Signing registry value is not configured with default settings.  
Default Registry Value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\\Parameters]
"EnableSecuritySignature"=dword:1  
Configured Registry Value:  
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\\Parameters]
"EnableSecuritySignature"=dword:0  
Guidance:  
Even though you can disable, enable, or require SMB Signing, the negotiation rules changed starting with SMB2 and not all combinations operate like SMB1.  
The effective behavior for SMB2/SMB3 is:  
Client Required and Server Required = Signed  
Client Not Required and Server Required = Signed  
Server Required and Client Not Required = Signed  
Server Not Required and Client Not Required = Not Signed  
When requiring SMB Encryption, SMB Signing is not used, regardless of settings. SMB Encryption implicitly provides the same integrity guarantees as SMB Signing.

Cause

Plusieurs fonctionnalités telles que espaces de stockage direct (S2D) ou les volumes partagés de cluster (CSV) utilisent SMB comme transport de protocole pour la communication intra-cluster. Par conséquent, les performances de S2D peuvent être considérablement affectées par l’activation de la signature SMB ou du chiffrement SMB qui utilise la carte réseau RDMA.

Lorsque la signature SMB ou le chiffrement SMB est activé, SMB cesse d’utiliser le placement direct des données RDMA (également appelé lecture/écriture RDMA). Il s’agit d’une stratégie de secours, et ce comportement est conçu pour le niveau de sécurité le plus élevé. Par conséquent, SMB revient à utiliser la connexion RDMA en mode d’envoi et de réception. Les données circulent dans un chemin d’accès non optimal, car la limite maximale de MTU est de 1 394 octets. Cela entraîne une fragmentation et un réassemblage des messages, ainsi que des performances globales réduites.

Ce problème peut se produire après avoir suivi la base de référence de sécurité pour Windows 10 v1607 (« Mise à jour anniversaire ») et Windows Server 2016 pour activer la signature SMB.

Ou, si vous utilisez les paramètres de stratégie de groupe suivants pour activer la signature SMB :

  • Serveur réseau Microsoft - Communications de signature numérique (toujours) - ACTIVÉ
  • Client réseau Microsoft - Communications de signature numérique (toujours) - ACTIVÉ

Résolution

La signature SMB et le chiffrement SMB présentent des compromis en matière de performances. Si les performances réseau sont importantes pour vos scénarios de déploiement (comme avec espaces de stockage direct), nous vous recommandons de ne pas déployer la signature SMB et le chiffrement SMB.

Windows Server 2022 SMB Direct prend désormais en charge le chiffrement. Les données sont chiffrées avant le placement, ce qui entraîne une dégradation relativement mineure des performances. En outre, les clusters de basculement Windows Server 2022 prennent désormais en charge le contrôle granulaire du chiffrement des communications de stockage intra-nœud pour les volumes partagés de cluster (CSV) et la couche de bus de stockage (SBL). Cela signifie que lorsque vous utilisez espaces de stockage direct et SMB Direct, vous pouvez décider de chiffrer les communications est-ouest au sein du cluster lui-même pour une sécurité plus élevée ou inférieure, sur une base de instance SMB.

Si vous effectuez un déploiement dans un environnement hautement sécurisé avec Windows Server 2016 et Windows Server 2019, nous vous recommandons d’appliquer les configurations suivantes :

  1. Ne déployez pas à l’aide de cartes réseau compatibles RDMA ou désactivez RDMA à l’aide de l’applet de Disable-NetAdapterRdma commande .

  2. En fonction de la version du client SMB et du serveur SMB, évaluez la solution la plus appropriée pour optimiser les performances. N’oubliez pas que la signature SMB assure l’intégrité des messages, et que le chiffrement SMB fournit l’intégrité des messages et la confidentialité pour fournir le niveau de sécurité le plus élevé.

    • SMB 3.0 (introduit avec Windows Server 2012/Windows 8) : la signature SMB offre de meilleures performances que le chiffrement SMB.
    • SMB 3.1 (introduit avec Windows Server 2016/Windows 10) : le chiffrement SMB offre de meilleures performances que la signature SMB et offre l’avantage supplémentaire d’une sécurité accrue, ainsi que de la confidentialité des messages en plus des garanties d’intégrité des messages.