Frage So konfigurieren Sie einen Windows-Computer, um die Dateifreigabe mit einem DNS-Alias ​​zuzulassen


Welcher Prozess ist erforderlich, um eine Windows-Umgebung so zu konfigurieren, dass ich DNS-CNAME für Referenzserver verwenden kann?

Ich möchte das so machen, dass ich meinen Servern sowas wie SRV001 nennen kann, aber trotzdem habe \\file  Punkt zu diesem Server, also wenn SRV002 es ersetzt, muss ich keine der Links aktualisieren, die Leute haben, aktualisieren Sie einfach den DNS CNAME, und jeder wird auf den neuen Server verwiesen.


78
2018-06-11 02:24


Ursprung


Wir verwenden diese Technik wie dokumentiert warmer Standby. Sie haben es viel besser dokumentiert als ich. Ich wusste nichts über die Option backConnection. Und wir reduzieren unseren Angriffsraum, indem wir netBIOS nicht verwenden. Wir verwenden den SPN auch nicht. Vielen Dank! - Knox
Zur Erinnerung: Wir verwenden Windows-Filesharing mit DNA-Aliasen für die Server 2003 und 2008 täglich in meiner Organisation, ohne diese Änderungen vornehmen zu müssen. Es funktioniert einfach. - Ryan Bolger
Es sollte auch beachtet werden, dass der Text in KB926642 warnt, dass "die Sicherheit reduziert wird, wenn Sie die Authentifizierung Loopback-Prüfung deaktivieren, und Sie den Windows Server 2003-Server für Man-in-the-Middle- (MITM) Angriffe auf NTLM öffnen." - Ryan Bolger
Danke Michael. Dies beantwortet meine "Wie aktiviere ich Windows XP Windows Explorer, um CNAME-Aliase in der Adressleiste zu akzeptieren?" Frage hier gepostet (serverfault.com/questions/238851/ ...). - Jason Pearce
Vielen Dank!!! Dies funktionierte auf einem Server 2008 R2 mit XP Pro-Clients, die versuchen, eine Verbindung zur Dateifreigabe herzustellen. Ich hatte einen 10-jährigen HP-Server (Server 2000) auf mich, so dass ich einen VM-Server erstelle, die Dateien darauf wiederherstellte und die Freigaben neu erstellte. XP Pro-Clients konnten keine Verbindung mit verschiedenen Fehlern herstellen, aber ich habe das obige regedit angewendet, neu gestartet und alles funktioniert, danke nochmal.


Antworten:


Um Failoverschemas zu ermöglichen, werden DNS-CNAME-Datensätze (DNS-Aliase) für verschiedene Maschinenrollen verwendet. Dann, anstatt den Windows-Computernamen des tatsächlichen Computernamens zu ändern, kann man einen DNS-Eintrag so umschalten, dass er auf einen neuen Host zeigt.

Dies kann auf Microsoft Windows-Computern funktionieren, aber damit die Dateifreigabe funktioniert, müssen die folgenden Konfigurationsschritte ausgeführt werden.

Gliederung

  1. Das Problem
  2. Die Lösung
    • Zulassen, dass andere Computer Filesharing über den DNS-Alias ​​(DisableStrictNameChecking) verwenden
    • Zulassen, dass der Server-Computer den Filesharing über den DNS-Alias ​​(BackConnectionHostNames) mit sich selbst durchführt
    • Bereitstellen von Suchfunktionen für mehrere NetBIOS-Namen (OptionalNames)
    • Registrieren Sie die Kerberos-Dienstprinzipalnamen (SPNs) für andere Windows-Funktionen wie Drucken (setspn)
  3. Verweise

1. Das Problem

Auf Windows-Computern Dateifreigabe können arbeiten über den Computernamen, mit oder ohne vollständige Qualifikation, oder über die IP-Adresse. Standardmäßig jedoch Filesharing wird nicht funktionieren mit beliebigen DNS-Aliasen. Damit Filesharing und andere Windows-Dienste mit DNS-Aliasen arbeiten können, müssen Sie die Registrierungsänderungen wie unten beschrieben vornehmen und den Computer neu starten.

2. Die Lösung

Zulassen, dass andere Computer Filesharing über den DNS-Alias ​​(DisableStrictNameChecking) verwenden

Diese Änderung ermöglicht es anderen Computern im Netzwerk, sich unter Verwendung eines beliebigen Hostnamens mit der Maschine zu verbinden. (Mit dieser Änderung kann jedoch kein Computer eine Verbindung herstellen selbst über einen Hostnamen, siehe BackConnectionHostNames weiter unten).

  • Bearbeiten Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters und füge einen Wert hinzu DisableStrictNameChecking vom Typ DWORD auf 1 gesetzt.

  • Bearbeiten Sie den Registrierungsschlüssel (auf 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print und füge einen Wert hinzu DnsOnWire vom Typ DWORD auf 1 gesetzt

Zulassen, dass der Server-Computer den Filesharing über den DNS-Alias ​​(BackConnectionHostNames) mit sich selbst durchführt

Diese Änderung ist erforderlich, damit ein DNS-Alias ​​mit Filesharing von einem Computer funktioniert, um sich selbst zu finden. Dadurch werden die Hostnamen der Local Security Authority erstellt, auf die in einer NTLM-Authentifizierungsanforderung verwiesen werden kann.

Gehen Sie hierzu für alle Knoten auf dem Clientcomputer folgendermaßen vor:

  1. Zum Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, fügen Sie einen neuen Multi-String-Wert hinzu BackConnectionHostNames
  2. Geben Sie in das Feld Wert den CNAME oder den DNS-Alias ​​ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie dann auf OK.
    • Hinweis: Geben Sie jeden Hostnamen in einer separaten Zeile ein.

Bereitstellen von Suchfunktionen für mehrere NetBIOS-Namen (OptionalNames)

Ermöglicht die Anzeige des Netzwerkalias in der Netzwerksuchliste.

  1. Bearbeiten Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters und füge einen Wert hinzu OptionalNames vom Typ Multi-String
  2. Fügen Sie eine durch Zeilentrennzeichen getrennte Liste mit Namen hinzu, die unter den NetBIOS-Sucheinträgen registriert werden sollen
    • Namen sollten NetBIOS-Konventionen entsprechen (d. H. Nicht FQDN, nur Hostname)

Registrieren Sie die Kerberos-Dienstprinzipalnamen (SPNs) für andere Windows-Funktionen wie Drucken (setspn)

HINWEIS: Sollte dies nicht notwendig sein, damit grundlegende Funktionen funktionieren, dokumentiert hier Vollständigkeit. Wir hatten eine Situation, in der der DNS-Alias ​​nicht funktionierte, weil ein alter SPN-Datensatz interferierte. Wenn also andere Schritte nicht funktionieren, überprüfen Sie, ob SPN-Einträge verstreut sind.

Sie müssen die Kerberos-Dienstprinzipalnamen (SPNs), den Hostnamen und den vollständig qualifizierten Domänennamen (FQDN) für alle neuen DNS-Alias-Datensätze (CNAME) registrieren. Wenn Sie dies nicht tun, kann eine Kerberos-Ticketanforderung für einen DNS-Aliaseintrag (CNAME) fehlschlagen und den Fehlercode zurückgeben KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Verwenden Sie zum Anzeigen der Kerberos-SPNs für die neuen DNS-Aliasdatensätze das Befehlszeilentool Setspn (setspn.exe). Das Setspn-Tool ist in Windows Server 2003-Supporttools enthalten. Sie können Windows Server 2003-Supporttools im Ordner Support \ Tools der Windows Server 2003-Startdiskette installieren.

So verwenden Sie das Tool zum Auflisten aller Datensätze für einen Computernamen:

setspn -L computername

Verwenden Sie das Setspn-Tool mit der folgenden Syntax, um den SPN für die DNS-alias (CNAME) Datensätze zu registrieren:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referenzen

Alle Microsoft-Referenzen funktionieren über: http://support.microsoft.com/kb/

  1. Das Verbinden mit SMB-Freigabe auf einem Windows 2000-Computer oder einem Windows Server 2003-Computer funktioniert möglicherweise nicht mit einem Alias-Namen
    • Behandelt die Grundlagen für das ordnungsgemäße Funktionieren der Dateifreigabe mit DNS-Aliaseinträgen von anderen Computern auf dem Servercomputer.
    • KB281308
  2. Fehlermeldung beim Versuch, lokal auf einen Server zuzugreifen, indem der FQDN oder der CNAME-Alias ​​nach der Installation von Windows Server 2003 Service Pack 1 verwendet wird: "Zugriff verweigert" oder "Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert"
    • Beschreibt, wie der DNS-Alias ​​mit der Dateifreigabe vom Dateiserver selbst funktioniert.
    • KB926642
  3. Wie Sie Druckserver mithilfe von DNS-Alias ​​(CNAME) -Datensätzen in Windows Server 2003 und Windows 2000 Server konsolidieren
    • Behandelt komplexere Szenarien, in denen Datensätze in Active Directory möglicherweise aktualisiert werden müssen, damit bestimmte Dienste ordnungsgemäß funktionieren, und um nach solchen Diensten zu suchen, damit sie ordnungsgemäß funktionieren und die Kerberos-Dienstprinzipalnamen (SPNs) registrieren.
    • KB870911
  4. Distributed File System-Update zur Unterstützung von Konsolidierungsstammverzeichnissen in Windows Server 2003
    • Deckt noch komplexere Szenarien mit DFS ab (diskutiert optionaleNamen).
    • KB829885

65
2018-06-11 02:25



Ein anderer Artikel zum Drucken unter Windows Server 2008 R2 / Windows 7 ist unter dokumentiert support.microsoft.com/kb/979602. Sie müssen eine DNS-Optimierung deaktivieren, die hinzugefügt wurde, um das Drucken auf einem Alias-Computer zu unterstützen, indem Sie einen DWORD-Wert mit dem Namen "DnsOnWire" zu HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print hinzufügen und auf 1 setzen. Starten Sie dann den Druckwarteschlangendienst neu. - nitzmahone
Quelle für meine Bearbeitung: serverfault.com/q/396598/2869 - Joel Coel


Die andere Möglichkeit, Windows-Dateifreigabe mit Redundanz durchzuführen, ist die Verwendung von Distributed File System with Replication (DFS-R). Sie benötigen mindestens Windows Server 2003 R2 auf Ihren Dateiservern, um dies zu implementieren.

Sie richten Ihren DFS-Stamm ein und können dann mehrere Server angeben, die eine einzelne Freigabe bereitstellen. Wenn einer der Server ausfällt, werden die Clients, die ihn verwenden, automatisch auf einen der anderen Server umschalten.

Für weitere Informationen siehe Microsoft Überblick über DFS.


10
2018-06-11 22:36