SMB 암호화 또는 Windows 서버 2016에서 SMB 서명을 사용 하도록 설정한 후 네트워크 성능 감소

증상

원격 직접 메모리 액세스 (RDMA)을 사용 하도록 설정 된 네트워크 어댑터를 사용 합니다. 서버 메시지 블록 (SMB) 서명 또는 SMB 암호화를 설정한 후 네트워크 어댑터와 함께 직접 SMB 네트워크 성능이 크게 줄어듭니다.

또한 다음 이벤트 Id 중 하나 이상이 기록 될 수 있습니다.

로그 이름: Microsoft Windows-SMBClient/작동 원본: Microsoft Windows SMBClient 이벤트 ID: 30909 수준: 정보

설명: 클라이언트에서 SMB 직접 (RDMA)을 지원 하 고 SMB 서명을 사용 중입니다.

공유 이름: 공유 이름

지침: SMB 서명을 SMB 직접 최적의 성능을 위해 해제할 수 있습니다. 이 구성이 더 어렵게 하 고만이 엄격한 액세스 제어를 사용 하 여 신뢰할 수 있는 개인 네트워크이 구성을 고려해 야 합니다.

로그 이름: Microsoft Windows-SMBClient/작동 원본: Microsoft Windows SMBClient 이벤트 ID: 30910 수준: 정보

설명: 클라이언트에서 SMB 직접 (RDMA)을 지원 하 고 SMB 암호화가 사용 됩니다.

공유 이름: < 공유 이름 >

지침: 직접 SMB 최적의 성능을 위해이 클라이언트에서 액세스 하는 공유 서버에서 SMB 암호화를 해제할 수 있습니다. 이 구성이 더 어렵게 하 고만이 엄격한 액세스 제어를 사용 하 여 신뢰할 수 있는 개인 네트워크이 구성을 고려해 야 합니다.

로그 이름: Microsoft Windows-SmbClient/보안 원본: Microsoft Windows SMBClient 이벤트 ID: 31016 수준: 경고

설명: SMB 서명 레지스트리 값은 기본 설정으로 구성 되지 않았습니다.

기본 레지스트리 값: [위해 다음과] "EnableSecuritySignature" = dword:1 구성 된 레지스트리 값: [위해 다음과] "EnableSecuritySignature" = dword:0

지침: 사용 하지 않거나 사용, SMB 서명을 요구 수 있습니다, 하지만 협상 규칙 SMB2 부터는 바뀌고 모든 조합을 SMB1 처럼 작동 합니다.

SMB2/SMB3에 대 한 효과적인 동작이입니다. 필요한 클라이언트와 서버 필요 = 서명 설치 하지 않아도 클라이언트와 서버 필요 = 서명 필요한 서버와 클라이언트를 설치 하지 않아도 = 서명 설치 하지 않아도 되는 서버와 클라이언트를 설치 하지 않아도 = 서명 안 함

SMB 암호화를 요구 하는 경우 SMB 서명을 사용 하지 않습니다, 설정에 관계 없이. SMB 암호화는 암시적으로 SMB 서명을 동일한 무결성 보장을 제공 합니다.

원인

클러스터 내 통신을 위한 프로토콜 전송으로 SMB를 사용 하는 저장소 공간 직접 (S2D) 또는 클러스터 공유 볼륨 (CSV)와 같은 여러 가지 기능. 따라서 S2D의 성능은 크게 영향을 받을 수 SMB 서명 또는 RDMA 네트워크 어댑터를 사용 하는 SMB 암호화를 사용 하 여.

SMB 서명 또는 SMB 암호화가 활성화 되 면 SMB RDMA 직접 데이터 배치 (라고도 RDMA 읽기/쓰기)를 사용 하 여 중지 합니다. 대체 정책 이므로이 동작은 가장 높은 수준의 보안에 대 한 설계. 따라서 SMB 순수 하 게 보내기 및 받기 모드에서 RDMA 연결을 사용 하도록 전환 합니다. 데이터의 최대 MTU 크기는 1,394 바이트 때문에 최적화 되지 않은 경로에 전달 됩니다. 이렇게 하면 메시지 조각화 및 리어셈블리, 전반적인 성능이 저하 됩니다.

SMB 서명을 사용할 수 있도록 Windows Server 2016에 대 한 초기 보안 지침 을 수행한 후에이 문제가 발생할 수 있습니다.

또는 다음과 같은 그룹 정책 설정을 사용 하 여 SMB 서명을 사용 하도록 설정:

  • Microsoft 네트워크-디지털 서명 통신 (항상)-서버 사용

  • Microsoft 네트워크-디지털 서명 통신 (항상)-클라이언트 사용

해결 방법

SMB 서명과 암호화 SMB 성능이 몇 가지 장점과 단점을 이해 했습니다. 네트워크 속도가 배포 시나리오 (예: 저장 공간을 사용 하 여 직접) 하는 것이 중요 하지 배포 하는 SMB 서명과 SMB 암호화 하는 것이 좋습니다.

매우 안전한 환경에 배포 하는 경우 다음과 같은 구성을 적용 하는 것이 좋습니다.

  1. RDMA 기능을 사용 하는 네트워크 어댑터를 사용 하 여 배포 하지 않거나 RDMA 사용 하 여 비활성화 된 Disable-Net Adapter Rdmacmdlet입니다.

  2. SMB 클라이언트와 SMB 서버 버전에 따라, 성능을 최적화 하기 위해 가장 적합 한 솔루션을 평가 합니다. SMB 서명은 메시지 무결성을 제공 하 고 가장 높은 수준의 보안을 제공 하기 위해 개인 정보 보호와 메시지 무결성을 제공 하는 SMB 암호화 두어야 합니다.

    • SMB 3.0 (Windows Server 2012 / Windows 8.1) -SMB 서명을 SMB 암호화에 비해 더 나은 성능을 제공 합니다.

    • SMB 3.1 (Windows Server 2016 / Windows 10) -암호화 SMB는 SMB 서명을 보다 더 나은 성능을 제공할 및 여러 가지 증가 메시지 개인 정보 보호와 보안 또한 메시지 무결성을 보장 합니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×