Jak skonfigurować komputer z systemem Windows, aby umożliwić udostępnianie plików za pomocą aliasu DNS

81

Jaki proces jest konieczny do skonfigurowania środowiska Windows, aby umożliwić mi używanie DNS CNAME do odwoływania się do serwerów?

Chcę to zrobić, aby móc nazwać moje serwery czymś w rodzaju SRV001, ale nadal mam \\file wskazać ten serwer, więc gdy SRV002 go zastąpi, nie muszę aktualizować żadnych łączy, które mają ludzie, wystarczy zaktualizować DNS CNAME i wszystkich zostanie wskazany na nowy serwer.

Michael Ferrante
źródło
Używamy tej techniki jako udokumentowanego ciepłego trybu gotowości . Udało ci się udokumentować to znacznie lepiej niż ja. Nie wiedziałem o opcji backConnection. I zmniejszamy naszą przestrzeń ataku, nie używając netBIOS. Nie używamy też nazwy SPN. Dzięki!
Knox
Dla przypomnienia, w mojej organizacji codziennie korzystamy z udostępniania plików systemu Windows z aliasami DNA zarówno na serwerach z 2003, jak i 2008 roku, bez konieczności wprowadzania tych zmian. To po prostu działa.
Ryan Bolger
Należy również zauważyć, że tekst w KB926642 ostrzega, że ​​„Bezpieczeństwo jest zmniejszone, gdy wyłączysz sprawdzanie sprzężenia zwrotnego uwierzytelnienia i otworzysz serwer Windows Server 2003 na ataki man-in-the-middle (MITM) na NTLM”.
Ryan Bolger
Dziękuję Michael. Odpowiedzi na moje pytanie: „Jak włączyć Eksploratora Windows systemu Windows XP, aby akceptował aliasy CNAME w pasku adresu?” pytanie opublikowane tutaj ( serverfault.com/questions/238851 / ... ).
Jason Pearce
Dziękuję Ci bardzo!!! Działało to na Server 2008 R2 z klientami XP Pro próbującymi połączyć się z udziałem plików. Miałem na sobie 10-letniego serwera HP (Server 2000), więc zmontowałem serwer VM, przywróciłem na nim pliki i odtworzyłem udziały. Klienci XP Pro nie mogli połączyć się z błędami variuos, ale zastosowałem powyższy regedit, uruchomiłem ponownie i wszystko działa, dzięki jeszcze raz.

Odpowiedzi:

67

Aby ułatwić schematy przełączania awaryjnego, powszechną techniką jest używanie rekordów CNAME DNS (aliasów DNS) dla różnych ról komputera. Następnie zamiast zmieniać nazwę systemu Windows rzeczywistej nazwy komputera, można przełączyć rekord DNS, aby wskazywał nowy host.

Może to działać na komputerach z systemem Microsoft Windows, ale aby umożliwić współdzielenie plików, należy wykonać następujące kroki konfiguracji.

Zarys

  1. Problem
  2. Rozwiązanie
    • Zezwalanie innym komputerom na korzystanie z udostępniania plików za pośrednictwem aliasu DNS (DisableStrictNameChecking)
    • Zezwalanie maszynie serwerowej na korzystanie z udostępniania plików za pomocą aliasu DNS (BackConnectionHostNames)
    • Zapewnienie możliwości przeglądania wielu nazw NetBIOS (OptionalNames)
    • Zarejestruj główne nazwy usług Kerberos (SPN) dla innych funkcji systemu Windows, takich jak Drukowanie (setspn)
  3. Bibliografia

1. Problem

Na komputerach z systemem Windows udostępnianie plików może odbywać się za pomocą nazwy komputera, z pełną kwalifikacją lub bez niej, lub adresu IP. Jednak domyślnie udostępnianie plików nie działa z dowolnymi aliasami DNS. Aby umożliwić udostępnianie plików i inne usługi Windows do pracy z aliasami DNS, należy wprowadzić zmiany w rejestrze, jak opisano poniżej, i ponownie uruchomić komputer.

2. Rozwiązanie

Zezwalanie innym komputerom na korzystanie z udostępniania plików za pośrednictwem aliasu DNS (DisableStrictNameChecking)

Już sama ta zmiana pozwoli innym komputerom w sieci połączyć się z maszyną przy użyciu dowolnej dowolnej nazwy hosta. (Jednak ta zmiana nie pozwoli komputerowi połączyć się ze sobą za pomocą nazwy hosta, patrz BackConnectionHostNames poniżej).

  • Edytuj klucz rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersi dodaj wartość DisableStrictNameCheckingtypu DWORD ustawioną na 1.

  • Edytuj klucz rejestru (w 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printi dodaj wartość DnsOnWiretypu DWORD ustawioną na 1

Zezwalanie maszynie serwerowej na korzystanie z udostępniania plików za pomocą aliasu DNS (BackConnectionHostNames)

Ta zmiana jest konieczna, aby alias DNS mógł współpracować z udostępnianiem plików z komputera, aby się znaleźć. Spowoduje to utworzenie nazw hostów urzędu zabezpieczeń lokalnych, do których można się odwoływać w żądaniu uwierzytelnienia NTLM.

Aby to zrobić, wykonaj następujące kroki dla wszystkich węzłów na komputerze klienckim:

  1. Do podklucza rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0dodaj nową wartość wielu ciągówBackConnectionHostNames
  2. W polu Dane wartości wpisz alias CNAME lub DNS, który jest używany dla udziałów lokalnych na komputerze, a następnie kliknij przycisk OK.
    • Uwaga: Wpisz nazwę hosta w osobnym wierszu.

Zapewnienie możliwości przeglądania wielu nazw NetBIOS (OptionalNames)

Umożliwia wyświetlanie aliasu sieciowego na liście przeglądania sieci.

  1. Edytuj klucz rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersi dodaj wartość OptionalNamestypu Multi-String
  2. Dodaj listę rozdzielaną znakami nowej linii, które powinny być zarejestrowane pod pozycjami przeglądania NetBIOS
    • Nazwy powinny pasować do konwencji NetBIOS (tj. Nie FQDN, tylko nazwa hosta)

Zarejestruj główne nazwy usług Kerberos (SPN) dla innych funkcji systemu Windows, takich jak Drukowanie (setspn)

UWAGA: Nie trzeba tego robić, aby podstawowe funkcje działały, udokumentowane tutaj dla kompletności. Mieliśmy jedną sytuację, w której alias DNS nie działał, ponieważ wtrącał się stary rekord SPN, więc jeśli inne kroki nie działają, sprawdź, czy są jakieś zbłąkane rekordy SPN.

Musisz zarejestrować główne nazwy usług Kerberos (SPN), nazwę hosta oraz w pełni kwalifikowaną nazwę domeny (FQDN) dla wszystkich nowych rekordów aliasów DNS (CNAME). Jeśli tego nie zrobisz, żądanie biletu Kerberos dla rekordu aliasu DNS (CNAME) może się nie powieść i zwrócić kod błędu KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Aby wyświetlić nazwy SPN protokołu Kerberos dla nowych rekordów aliasów DNS, użyj narzędzia wiersza polecenia Setspn ( setspn.exe). Narzędzie Setspn jest dołączone do narzędzi obsługi systemu Windows Server 2003. Narzędzia obsługi systemu Windows Server 2003 można zainstalować z folderu Support \ Tools na dysku startowym systemu Windows Server 2003.

Jak korzystać z narzędzia, aby wyświetlić listę wszystkich rekordów dla nazwy komputera:

setspn -L computername

Aby zarejestrować nazwę SPN dla rekordów aliasu DNS (CNAME), użyj narzędzia Setspn o następującej składni:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referencje

Wszystkie referencje Microsoft działają za pośrednictwem: http://support.microsoft.com/kb/

  1. Łączenie z udziałem SMB na komputerze z systemem Windows 2000 lub Windows Server 2003 może nie działać z nazwą aliasu
    • Obejmuje podstawowe informacje na temat poprawnego udostępniania plików z rekordami aliasów DNS z innych komputerów na serwer.
    • KB281308
  2. Komunikat o błędzie podczas próby uzyskania dostępu do serwera lokalnie za pomocą jego nazwy FQDN lub aliasu CNAME po zainstalowaniu dodatku Service Pack 1 dla systemu Windows Server 2003: „Odmowa dostępu” lub „Żaden dostawca sieci nie zaakceptował podanej ścieżki sieciowej”
    • Omówienie sposobu działania aliasu DNS przy współużytkowaniu plików z samego serwera plików.
    • KB926642
  3. Jak skonsolidować serwery wydruku przy użyciu rekordów aliasu DNS (CNAME) w systemie Windows Server 2003 i Windows 2000 Server
    • Obejmuje bardziej złożone scenariusze, w których rekordy w usłudze Active Directory mogą wymagać aktualizacji, aby niektóre usługi działały poprawnie, a przeglądanie w poszukiwaniu takich usług działało poprawnie, jak zarejestrować główne nazwy usług Kerberos (SPN).
    • KB870911
  4. Aktualizacja rozproszonego systemu plików w celu obsługi źródeł konsolidacji w systemie Windows Server 2003
    • Obejmuje jeszcze bardziej złożone scenariusze z DFS (omawia OptionalNames).
    • KB829885
Michael Ferrante
źródło
Kolejny element drukowania do pracy w systemie Windows Server 2008 R2 / Win7 jest udokumentowany na stronie support.microsoft.com/kb/979602 . Musisz wyłączyć optymalizację DNS, którą dodali, aby obsługiwać drukowanie na aliasowanym komputerze, dodając wartość DWORD o nazwie „DnsOnWire” do HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print i ustaw ją na 1. Następnie uruchom ponownie usługę bufora wydruku.
nitzmahone
Źródło mojej edycji: serverfault.com/q/396598/2869
Joel Coel
11

Innym sposobem udostępniania plików w systemie Windows z nadmiarowością jest użycie rozproszonego systemu plików z replikacją (DFS-R). Aby to zaimplementować, potrzebujesz przynajmniej Windows Server 2003 R2 na swoich serwerach plików.

Skonfigurujesz katalog główny DFS, a następnie możesz określić wiele serwerów zapewniających jeden udział. Jeśli jeden z serwerów ulegnie awarii, klienci korzystający z niego automatycznie przejdą w tryb awaryjny do jednego z pozostałych.

Aby uzyskać więcej informacji, zobacz omówienie DFS przez Microsoft .

Joe
źródło