Вопрос: Как настроить машину Windows, чтобы разрешить совместное использование файлов с псевдонимом DNS


Какой процесс необходим для настройки среды Windows, чтобы я мог использовать DNS CNAME для ссылок на серверы?

Я хочу сделать это, чтобы я мог назвать свои серверы чем-то вроде SRV001, но все же \\file  точка на этот сервер, поэтому, когда SRV002 заменяет его, мне не нужно обновлять какие-либо ссылки, которые есть у людей, просто обновите DNS-CNAME, и каждый получит указание на новый сервер.


78
2018-06-11 02:24


Источник


Мы используем этот метод как документированный теплый режим ожидания, Вы сделали гораздо лучшую работу, документируя это, чем я. Я не знал о опции backConnection. И мы уменьшаем наше пространство атаки, не используя netBIOS. Мы также не используем SPN. Благодаря! - Knox
Для записи мы ежедневно используем файловую систему Windows с псевдонимами ДНК для обоих серверов 2003 и 2008 годов в моей организации, не требуя каких-либо изменений. Это просто работает. - Ryan Bolger
Следует также отметить, что текст в KB926642 предупреждает: «Безопасность отключается, когда вы отключите проверку петли проверки подлинности, и вы открываете сервер Windows Server 2003 для атак типа« человек-в-середине »(MITM) на NTLM». - Ryan Bolger
Спасибо, Майкл. Это ответило на мой вопрос: «Как включить Windows Explorer Windows XP для приема псевдонимов CNAME в адресной строке?» вопрос отправлен здесь (serverfault.com/questions/238851/...). - Jason Pearce
Большое спасибо!!! Это работало на сервере Server 2008 R2 с клиентами XP Pro, пытающимися подключиться к файловому ресурсу. У меня был 10-летний сервер HP (Server 2000), который умер на мне, поэтому я запускал сервер VM, восстанавливал файлы и воссоздавал их. Клиенты XP Pro не смогли соединиться с variuos-ошибками, но я применил вышеупомянутый regedit, перезагрузился, и все это работает, спасибо еще раз.


Ответы:


Для облегчения отказоустойчивых схем общепринятым методом является использование записей DNS CNAME (псевдонимов DNS) для разных ролей машины. Затем вместо того, чтобы изменять имя компьютера для имени компьютера, можно переключить запись DNS, чтобы указать на новый хост.

Это может работать на компьютерах Microsoft Windows, но для работы с общим доступом к файлам необходимо выполнить следующие шаги настройки.

Контур

  1. Проблема
  2. Решение
    • Разрешение другим компьютерам использовать совместное использование файлов через псевдоним DNS (DisableStrictNameChecking)
    • Предоставление серверу возможности использовать совместное использование файлов с помощью псевдонима DNS (BackConnectionHostNames)
    • Предоставление возможностей просмотра нескольких имен NetBIOS (необязательные имена)
    • Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Printing (setspn)
  3. Рекомендации

1. Проблема

На компьютерах Windows общий доступ к файлам Можно работать через имя компьютера, с полной или без полной квалификации, или IP-адресом. По умолчанию, однако, совместное использование файлов не будет работать с произвольными DNS-псевдонимами. Чтобы разрешить совместное использование файлов и другие службы Windows для работы с псевдонимами DNS, вы должны внести изменения в реестр, как описано ниже, и перезагрузить компьютер.

2. Решение

Разрешение другим компьютерам использовать совместное использование файлов через псевдоним DNS (DisableStrictNameChecking)

Только это изменение позволит другим машинам в сети подключаться к машине с использованием любого произвольного имени хоста. (Однако это изменение не позволит машине подключиться к сам через имя хоста, см. BackConnectionHostNames ниже).

  • Изменить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters и добавьте значение DisableStrictNameChecking типа DWORD, установленного в 1.

  • Отредактируйте раздел реестра (в 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print и добавьте значение DnsOnWire типа DWORD, установленного в 1

Предоставление серверу возможности использовать совместное использование файлов с помощью псевдонима DNS (BackConnectionHostNames)

Это изменение необходимо для того, чтобы псевдоним DNS работал с файловыми сеансами с компьютера, чтобы найти себя. Это создает имена хостов локальной безопасности, на которые можно ссылаться в запросе на проверку подлинности NTLM.

Чтобы сделать это, выполните следующие действия для всех узлов на клиентском компьютере:

  1. В раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, добавьте новое значение Multi-String BackConnectionHostNames
  2. В поле «Значение» введите CNAME или псевдоним DNS, который используется для локальных общих ресурсов на компьютере, и нажмите «ОК».
    • Примечание. Введите имя каждого узла в отдельной строке.

Предоставление возможностей просмотра нескольких имен NetBIOS (необязательные имена)

Позволяет видеть сетевой псевдоним в списке просмотра сети.

  1. Изменить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters и добавьте значение OptionalNames типа Multi-String
  2. Добавить в список строк с расширением строки, который должен быть зарегистрирован в элементах просмотра NetBIOS
    • Имена должны соответствовать соглашениям NetBIOS (т. Е. Не FQDN, просто имя хоста)

Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Printing (setspn)

ПРИМЕЧАНИЕ. Не нужно делать это для выполнения основных функций, задокументированных здесь для полноты. У нас была одна ситуация, в которой псевдоним DNS не работал, потому что была помечена старая запись SPN, поэтому, если другие шаги не работают, проверьте, есть ли какие-либо бродячие записи SPN.

Вы должны зарегистрировать имена участников службы Kerberos (SPN), имя хоста и полное доменное имя (FQDN) для всех записей DNS псевдонимов (CNAME). Если вы этого не сделаете, запрос на запрос Kerberos для записи псевдонима DNS (CNAME) может завершиться неудачно и вернуть код ошибки KDC_ERR_S_SPRINCIPAL_UNKNOWN,

Чтобы просмотреть SPN Kerberos для новых записей псевдонимов DNS, используйте инструмент командной строки Setspn (setspn.exe). Инструмент Setspn включен в Инструменты поддержки Windows Server 2003. Вы можете установить средства поддержки Windows Server 2003 из папки Support \ Tools на загрузочном диске Windows Server 2003.

Как использовать инструмент для отображения всех записей для имени пользователя:

setspn -L computername

Чтобы зарегистрировать SPN для записей псевдонима DNS (CNAME), используйте инструмент Setspn со следующим синтаксисом:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Ссылки

Все ссылки Microsoft работают через: http://support.microsoft.com/kb/

  1. Подключение к совместному использованию SMB на компьютере под управлением Windows 2000 или на компьютере под управлением Windows Server 2003 может не работать с псевдонимом
    • Обнаруживает основы правильного обмена файлами с записями псевдонимов DNS с других компьютеров на серверный компьютер.
    • KB281308
  2. Сообщение об ошибке при попытке доступа к серверу локально с использованием его полного доменного имени или его псевдонима CNAME после установки Windows Server 2003 с пакетом обновления 1: «Доступ запрещен» или «Нет сетевого провайдера, принимающего данный сетевой путь»,
    • Обнаруживает, как заставить псевдоним DNS работать с общим доступом к файлу с самого файлового сервера.
    • KB926642
  3. Как консолидировать серверы печати с помощью записей псевдонимов DNS (CNAME) в Windows Server 2003 и Windows 2000 Server
    • Обнаруживает более сложные сценарии, в которых могут потребоваться обновление записей в Active Directory для правильной работы определенных служб и для правильной работы таких служб, как регистрировать имена участников службы Kerberos (SPNs).
    • KB870911
  4. Обновление распределенной файловой системы для поддержки корней консолидации в Windows Server 2003
    • Обнаруживает еще более сложные сценарии с DFS (обсуждает необязательные имена).
    • KB829885

65
2018-06-11 02:25



Другой элемент печати для работы под Windows Server 2008R2 / Win7 описан в support.microsoft.com/kb/979602, Вам необходимо отключить оптимизацию DNS, которую они добавили, для поддержки печати на машине с псевдонимом, добавив значение DWORD с именем «DnsOnWire» в HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print и установив его в 1. Затем перезапустите службу диспетчера очереди печати. - nitzmahone
Источник для моего редактирования: serverfault.com/q/396598/2869 - Joel Coel


Другим способом обмена файлами Windows с избыточностью является использование распределенной файловой системы с репликацией (DFS-R). Для этого вам понадобится хотя бы Windows Server 2003 R2 на ваших файловых серверах.

Вы настроили свой корень DFS, а затем можете указать несколько серверов, обеспечивающих единый ресурс. Если один из серверов опустится, клиенты, использующие его, автоматически перейдут к одному из других.

Для получения дополнительной информации см. Microsoft обзор DFS,


10
2018-06-11 22:36