Come configurare un computer Windows per consentire la condivisione di file con un alias DNS

81

Quale processo è necessario per configurare un ambiente Windows per consentirmi di utilizzare DNS CNAME per fare riferimento ai server?

Voglio farlo in modo da poter nominare i miei server come SRV001, ma ho ancora un \\file punto su quel server, quindi quando SRV002 lo sostituisce non devo aggiornare nessuno dei collegamenti che le persone hanno, basta aggiornare il DNS CNAME e tutti verrà indirizzato al nuovo server.

windows  domain-name-system  file-sharing  alias  netbios 
Michael Ferrante
fonte
Usiamo questa tecnica come standby caldo documentato . Hai fatto un lavoro molto migliore documentandolo di me. Non sapevo dell'opzione backConnection. E riduciamo il nostro spazio di attacco non usando netBIOS. Non stiamo nemmeno usando l'SPN. Grazie!
Knox,
Per la cronaca, utilizziamo quotidianamente nella mia organizzazione il filesharing di Windows con alias di DNA su server 2003 e 2008 senza la necessità di aver apportato nessuna di queste modifiche. Funziona e basta.
Ryan Bolger,
Va inoltre notato che il testo in KB926642 avverte che "La sicurezza è ridotta quando si disabilita il controllo di loopback di autenticazione e si apre il server Windows Server 2003 per attacchi man-in-the-middle (MITM) su NTLM".
Ryan Bolger,
Grazie Michael. Ciò ha risposto al mio "Come posso abilitare Esplora risorse di Windows XP ad accettare gli alias CNAME nella barra degli indirizzi?" domanda pubblicata qui ( serverfault.com/questions/238851/… ).
Jason Pearce,
Grazie mille!!! Funzionava su un Server 2008 R2 con client XP Pro che cercavano di connettersi alla condivisione file. Ho avuto un server HP di 10 anni (Server 2000) morto su di me, quindi ho caricato un server VM, ripristinato i file su di esso e ricreato le condivisioni. I client XP Pro non sono stati in grado di connettersi con vari errori, ma ho applicato il regedit sopra, riavviato e tutto funziona, grazie ancora.

Risposte:

67

Per facilitare gli schemi di failover, una tecnica comune consiste nell'utilizzare i record CNAME DNS (alias DNS) per ruoli macchina diversi. Quindi, invece di modificare il nome computer di Windows del nome effettivo della macchina, è possibile cambiare un record DNS per puntare a un nuovo host.

Questo può funzionare su macchine Microsoft Windows, ma per farlo funzionare con la condivisione di file è necessario eseguire i seguenti passaggi di configurazione.

Contorno

  1. Il problema
  2. La soluzione
    • Consentire ad altre macchine di utilizzare la condivisione file tramite l'alias DNS (DisableStrictNameChecking)
    • Consentire alla macchina server di utilizzare la condivisione file con se stessa tramite l'alias DNS (BackConnectionHostNames)
    • Fornire funzionalità di esplorazione per più nomi NetBIOS (OptionalNames)
    • Registrare i nomi principali del servizio Kerberos (SPN) per altre funzioni di Windows come Stampa (setspn)
  3. Riferimenti

1. Il problema

Su macchine Windows, la condivisione di file può funzionare tramite il nome del computer, con o senza qualifica completa o tramite l'indirizzo IP. Per impostazione predefinita, tuttavia, la condivisione dei file non funziona con alias DNS arbitrari. Per consentire la condivisione dei file e altri servizi Windows per lavorare con gli alias DNS, è necessario apportare modifiche al registro come descritto di seguito e riavviare il computer.

2. La soluzione

Consentire ad altre macchine di utilizzare la condivisione file tramite l'alias DNS (DisableStrictNameChecking)

Questa modifica da sola consentirà ad altre macchine sulla rete di connettersi alla macchina usando qualsiasi nome host arbitrario. (Tuttavia, questa modifica non consentirà a una macchina di connettersi a se stessa tramite un nome host, vedere BackConnectionHostNames di seguito).

  • Modifica la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameterse aggiungi un valore DisableStrictNameCheckingdi tipo DWORD impostato su 1.

  • Modifica la chiave di registro (su 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printe aggiungi un valore DnsOnWiredi tipo DWORD impostato su 1

Consentire alla macchina server di utilizzare la condivisione file con se stessa tramite l'alias DNS (BackConnectionHostNames)

Questa modifica è necessaria affinché un alias DNS funzioni con il filesharing da una macchina per trovarsi. Ciò crea i nomi host dell'autorità di sicurezza locale a cui è possibile fare riferimento in una richiesta di autenticazione NTLM.

Per fare ciò, attenersi alla seguente procedura per tutti i nodi sul computer client:

  1. Alla sottochiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, aggiungere un nuovo valore multistringaBackConnectionHostNames
  2. Nella casella Dati valore, digitare CNAME o l'alias DNS, utilizzato per le condivisioni locali sul computer, quindi fare clic su OK.
    • Nota: digitare ogni nome host su una riga separata.

Fornire funzionalità di esplorazione per più nomi NetBIOS (OptionalNames)

Consente di vedere l'alias di rete nell'elenco di ricerca della rete.

  1. Modifica la chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameterse aggiungi un valore OptionalNamesdi tipo Multi-String
  2. Aggiungi un elenco delimitato di nuova riga di nomi che dovrebbero essere registrati nelle voci di navigazione NetBIOS
    • I nomi devono corrispondere alle convenzioni NetBIOS (ovvero non FQDN, solo nome host)

Registrare i nomi principali del servizio Kerberos (SPN) per altre funzioni di Windows come Stampa (setspn)

NOTA: non dovrebbe essere necessario farlo per far funzionare le funzioni di base, documentate qui per completezza. Abbiamo avuto una situazione in cui l'alias DNS non funzionava perché c'era un vecchio record SPN che interferiva, quindi se altri passaggi non funzionano verificare se sono presenti record SPN vaganti.

È necessario registrare i nomi principali del servizio Kerberos (SPN), il nome host e il nome di dominio completo (FQDN) per tutti i nuovi record alias DNS (CNAME). In caso contrario, una richiesta di ticket Kerberos per un record alias DNS (CNAME) potrebbe non riuscire e restituire il codice di errore KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Per visualizzare gli SPN Kerberos per i nuovi record alias DNS, utilizzare lo strumento da riga di comando Setspn ( setspn.exe). Lo strumento Setspn è incluso negli strumenti di supporto di Windows Server 2003. È possibile installare gli strumenti di supporto di Windows Server 2003 dalla cartella Support \ Tools del disco di avvio di Windows Server 2003.

Come utilizzare lo strumento per elencare tutti i record per un nomecomputer:

setspn -L computername

Per registrare l'SPN per i record di alias DNS (CNAME), utilizzare lo strumento Setspn con la sintassi seguente:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Riferimenti

Tutti i riferimenti Microsoft funzionano tramite: http://support.microsoft.com/kb/

  1. La connessione alla condivisione SMB su un computer basato su Windows 2000 o Windows Server 2003 potrebbe non funzionare con un nome alias
    • Comprende le basi per far funzionare correttamente la condivisione dei file con i record alias DNS da altri computer al computer server.
    • KB281308
  2. Messaggio di errore quando si tenta di accedere a un server localmente utilizzando il nome FQDN o l'alias CNAME dopo l'installazione di Windows Server 2003 Service Pack 1: "Accesso negato" o "Nessun provider di rete ha accettato il percorso di rete specificato"
    • Descrive come far funzionare l'alias DNS con la condivisione di file dal file server stesso.
    • KB926642
  3. Come consolidare i server di stampa utilizzando i record alias DNS (CNAME) in Windows Server 2003 e Windows 2000 Server
    • Copre scenari più complessi in cui potrebbe essere necessario aggiornare i record in Active Directory per il corretto funzionamento di alcuni servizi e per la corretta navigazione di tali servizi, come registrare i nomi principali del servizio Kerberos (SPN).
    • KB870911
  4. Aggiornamento del file system distribuito per supportare le radici di consolidamento in Windows Server 2003
    • Copre scenari ancora più complessi con DFS (discute su OptionalNames).
    • KB829885
Michael Ferrante
fonte
Un altro elemento per far funzionare la stampa in Windows Server 2008R2 / Win7 è documentato su support.microsoft.com/kb/979602 . È necessario disabilitare un'ottimizzazione DNS che hanno aggiunto per supportare la stampa su una macchina con alias aggiungendo un valore DWORD denominato "DnsOnWire" a HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print e impostarlo su 1. Quindi riavviare il servizio Spooler di stampa.
nitzmahone,
Fonte per la mia modifica: serverfault.com/q/396598/2869
Joel Coel
11

L'altro modo per eseguire la condivisione dei file di Windows con ridondanza consiste nell'utilizzare il file system distribuito con replica (DFS-R). Per implementarlo, avrai bisogno almeno di Windows Server 2003 R2 sui tuoi file server.

È possibile impostare la radice DFS e quindi è possibile specificare più server fornendo un'unica condivisione. Se uno dei server si arresta, i client che lo utilizzano eseguiranno automaticamente il failover su uno degli altri.

Per ulteriori informazioni, consultare la panoramica Microsoft di DFS .

Joe
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.