Vraag Hoe een Windows-machine te configureren om het delen van bestanden met een DNS-alias toe te staan


Welke procedure is nodig om een ​​Windows-omgeving te configureren zodat ik DNS CNAME kan gebruiken om naar servers te verwijzen?

Ik wil dit doen zodat ik mijn servers een naam als SRV001 kan geven, maar nog steeds heb \\file  punt naar die server, dus wanneer SRV002 het vervangt, hoef ik geen van de links bij te werken die mensen hebben, update gewoon de DNS CNAME en iedereen zal gewezen worden op de nieuwe server.


78
2018-06-11 02:24


oorsprong


We gebruiken deze techniek zoals gedocumenteerd warme standby. Je hebt het veel beter gedaan om het te documenteren dan ik. Ik wist niet van de optie backConnection. En we verminderen onze aanvalsruimte door geen gebruik te maken van netBIOS. We gebruiken de SPN ook niet. Bedankt! - Knox
Voor de goede orde gebruiken we dagelijks Windows-bestanden delen met DNA-aliassen tegen zowel 2003 en 2008 servers in mijn organisatie zonder een van deze wijzigingen te hebben aangebracht. Het werkt gewoon. - Ryan Bolger
Merk ook op dat de tekst in KB926642 waarschuwt dat: "De beveiliging wordt verminderd wanneer u de verificatie-terugvalcontrole uitschakelt en u de Windows Server 2003-server opent voor man-in-the-middle (MITM) -aanvallen op NTLM." - Ryan Bolger
Bedankt Michael. Dit antwoordde mijn "Hoe schakel ik Windows XP's Windows Explorer in om CNAME-aliassen in de adresbalk te accepteren?" vraag hier geplaatst (serverfault.com/questions/238851/...). - Jason Pearce
Dank u zeer!!! Dit werkte op een Server 2008 R2 met XP Pro-clients die verbinding probeerden te maken met de bestandsshare. Ik had een 10 jaar oude HP-server (Server 2000) op mij laten liggen, dus ik heb een VM-server volbracht, de bestanden hersteld en de shares herschapen. XP Pro-clients konden geen verbinding maken met variuos-fouten, maar ik heb de bovenstaande regedit toegepast, opnieuw opgestart en alles werkt, nogmaals bedankt.


antwoorden:


Om failover-schema's te vergemakkelijken, is het een veelgebruikte techniek om DNS CNAME-records (DNS Aliassen) voor verschillende machinefuncties te gebruiken. In plaats van de Windows computernaam van de werkelijke machinenaam te wijzigen, kan een DNS-record zo worden gewijzigd dat deze naar een nieuwe host verwijst.

Dit kan werken op Microsoft Windows-machines, maar om het te laten werken met het delen van bestanden, moeten de volgende configuratiestappen worden genomen.

schets

  1. Het probleem
  2. De oplossing
    • Toestaan ​​dat andere machines filesharing gebruiken via de DNS Alias ​​(DisableStrictNameChecking)
    • Toestaan ​​dat de servermachine de bestandsdeling zelf gebruikt via de DNS Alias ​​(BackConnectionHostNames)
    • Browsemogelijkheden bieden voor meerdere NetBIOS-namen (Optionele namen)
    • Registreer de Kerberos-service principal names (SPN's) voor andere Windows-functies zoals Printing (setspn)
  3. Referenties

1. Het probleem

Op Windows-machines, bestandsdeling kan werken via de computernaam, met of zonder volledige kwalificatie, of via het IP-adres. Standaard echter filesharing zal niet werken met willekeurige DNS-aliassen. Om filesharing en andere Windows-services te laten werken met DNS-aliassen, moet u registerwijzigingen uitvoeren zoals hieronder wordt beschreven en de machine opnieuw opstarten.

2. De oplossing

Toestaan ​​dat andere machines filesharing gebruiken via de DNS Alias ​​(DisableStrictNameChecking)

Met deze wijziging alleen kunnen andere machines in het netwerk verbinding maken met het apparaat met behulp van een willekeurige hostnaam. (Deze wijziging staat echter niet toe dat een computer verbinding maakt met zelf via een hostnaam, zie BackConnectionHostNames hieronder).

  • Bewerk de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters en voeg een waarde toe DisableStrictNameChecking van type DWORD ingesteld op 1.

  • Bewerk de registersleutel (op 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print en voeg een waarde toe DnsOnWire van type DWORD ingesteld op 1

Toestaan ​​dat de servermachine de bestandsdeling zelf gebruikt via de DNS Alias ​​(BackConnectionHostNames)

Deze wijziging is noodzakelijk voor een DNS-alias om te werken met filesharing van een computer om zichzelf te vinden. Hiermee worden de hostnamen van de Local Security Authority gemaakt waarnaar kan worden verwezen in een NTLM-verificatieaanvraag.

Hiertoe volgt u deze stappen voor alle knooppunten op de clientcomputer:

  1. Naar de registersubsleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, voeg nieuwe Multi-String-waarde toe BackConnectionHostNames
  2. Typ in het vak Waardegegevens de CNAME of de DNS-alias, die wordt gebruikt voor de lokale shares op de computer en klik vervolgens op OK.
    • Opmerking: typ elke hostnaam op een afzonderlijke regel.

Browsemogelijkheden bieden voor meerdere NetBIOS-namen (Optionele namen)

Hiermee kunt u de netwerk-alias in de netwerklijst bekijken.

  1. Bewerk de registersleutel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters en voeg een waarde toe OptionalNames van het type Multi-String
  2. Voeg een door nieuwe scheidingstekens gescheiden lijst toe van namen die moeten worden geregistreerd onder de NetBIOS-bladeritems
    • Namen moeten overeenkomen met NetBIOS-conventies (dus niet FQDN, alleen hostnaam)

Registreer de Kerberos-service principal names (SPN's) voor andere Windows-functies zoals Printing (setspn)

OPMERKING: hoeft dit niet te doen om de basisfuncties te laten werken, hier gedocumenteerd voor de volledigheid. Er was één situatie waarin de DNS-alias niet werkte omdat er een oude SPN-record was die interfereert, dus als andere stappen niet werken, controleert u of er spor-records van de SPN zijn.

U moet de Kerberos-service-principalnamen (SPN's), de hostnaam en de volledig gekwalificeerde domeinnaam (FQDN) registreren voor alle nieuwe DNS-alias (CNAME) -records. Als u dit niet doet, kan een Kerberos-kaartverzoek voor een DNS-alias (CNAME) -record mislukken en de foutcode retourneren KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Als u de SPN's van Kerberos voor de nieuwe DNS-aliasrecords wilt bekijken, gebruikt u het opdrachtregelprogramma Setspn (setspn.exe). De Setspn-tool is opgenomen in ondersteuningsprogramma's van Windows Server 2003. U kunt ondersteuningsprogramma's voor Windows Server 2003 installeren vanuit de map Support \ Tools van de opstartschijf van Windows Server 2003.

Hoe de tool te gebruiken om alle records voor een computernaam weer te geven:

setspn -L computername

Als u de SPN voor de DNS-alias (CNAME) -records wilt registreren, gebruikt u het hulpprogramma Setspn met de volgende syntaxis:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referenties

Alle Microsoft-referenties werken via: http://support.microsoft.com/kb/

  1. Verbinding maken met SMB-share op een Windows 2000-computer of een Windows Server 2003-computer werkt mogelijk niet met een aliasnaam
    • Omvat de basisprincipes om bestandsdeling correct te laten werken met DNS-aliasrecords van andere computers naar de servercomputer.
    • KB281308
  2. Foutbericht wanneer u lokaal een server probeert te openen met behulp van de FQDN of de CNAME-alias nadat u Windows Server 2003 Service Pack 1 hebt geïnstalleerd: "Toegang geweigerd" of "Geen netwerkprovider accepteerde het opgegeven netwerkpad"
    • Omvat hoe u de DNS-alias kunt laten werken met het delen van bestanden vanaf de bestandsserver zelf.
    • KB926642
  3. Printservers consolideren met behulp van DNS-alias (CNAME) -records in Windows Server 2003 en Windows 2000 Server
    • Omvat meer complexe scenario's waarin records in Active Directory mogelijk moeten worden bijgewerkt om bepaalde services correct te laten werken en om te zoeken naar dergelijke services om correct te werken, hoe u de Kerberos Service Principal Names (SPN's) kunt registreren.
    • KB870911
  4. Update van een gedistribueerd bestandssysteem ter ondersteuning van de consolidatiekring in Windows Server 2003
    • Dekt nog meer complexe scenario's met DFS (bespreekt optionele namen).
    • KB829885

65
2018-06-11 02:25



Een ander item voor afdrukken om te werken onder Windows Server 2008R2 / Win7 is gedocumenteerd bij support.microsoft.com/kb/979602. U moet een DNS-optimalisatie uitschakelen die zij hebben toegevoegd om afdrukken naar een gealiaste machine te ondersteunen door een DWORD-waarde met de naam "DnsOnWire" toe te voegen aan HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print en stel deze in op 1. Start vervolgens de Print Spooler-service opnieuw. - nitzmahone
Bron voor mijn bewerking: serverfault.com/q/396598/2869 - Joel Coel


De andere manier om Windows-bestanden te delen met redundantie is om Distributed File System with Replication (DFS-R) te gebruiken. U hebt ten minste Windows Server 2003 R2 op uw bestandsservers nodig om dit te implementeren.

U stelt uw DFS-root in en kunt vervolgens meerdere servers opgeven die één share bieden. Als een van de servers uitvalt, worden de clients die deze gebruiken automatisch overgeslagen naar een van de andere servers.

Zie Microsoft's voor meer informatie overzicht van DFS.


10
2018-06-11 22:36