こんにちは、フォーラムオペレーターの三沢健二です。
念のために、"Windows Server 2003 R2 SP2" のドメインコントローラーで、記載いただいた内容(NBT 無効)を試してみたところ、再起動後に "TCP/IP NetBIOS Helper" サービスが停止状態になりました。
また、共有フォルダが正常に機能しないようになりました。
"Windows Server 2008 R2" と "Windows Server 2003 R2" の両方で、"TCP/IP NetBIOS Helper" サービスのプロパティを確認してみますと、両 OS とも、依存しているコンポーネントに NBT が含まれていますので、上記の動作は同じではないかなと思われます。
> 1.「Secure by default」設計な2008/R2で、そもそもNetBIOSを止める必要があるのか?(初期値で使用することのリスク)
止めるべきかどうかは、提供するサービスや運用方針などに依存すると思います。
(そもそも、記載いただいた手順は、SQL Server を想定した内容のようですので、、、)
> 2.無効化する必要がある場合、グループポリシー配布など、Active Directory機能に影響しない一般的な手順
グループポリシーの配布は共有フォルダの機能が使用されていますので、ドメインコントローラーの場合には、記載いただいた手順は実施出来ないと思われます。
他の方法としては、NBT で使用されるポートを閉じる方法なども考えられますが、条件が重なると何か問題が出る場合もありますので、ポートを閉じる場合も実環境での十分な検証が必要になります。
また、マルチホーム環境の場合には、NBT の通信が必要のない NIC に対して、NBT の通信を遮断する場合もあります。
最終的には、運用方針や NBT の必要性に応じて、質問者さんご自身で判断いただくしかないと思います。
(正解は環境によって様々です。よく分からない場合は、詳しい業者などにご相談された方が良いのではと・・・)
- 参考情報
NetBIOS over TCP/IP を無効にする
http://win.kororo.jp/archi/security/netbios.php
ポート445(ダイレクト・ホスティングSMBサービス)に注意
http://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html
ドメイン環境で使用されるポートについて
http://blogs.technet.com/b/jpntsblog/archive/2009/03/04/3208978.aspx
それでは、こちらの情報が少しでもお役にたてれば幸いです。
______________________________________
日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二
