Per facilitare gli schemi di failover, una tecnica comune consiste nell'utilizzare i record CNAME DNS (alias DNS) per ruoli macchina diversi. Quindi, invece di modificare il nome computer di Windows del nome effettivo della macchina, è possibile cambiare un record DNS per puntare a un nuovo host.
Questo può funzionare su macchine Microsoft Windows, ma per farlo funzionare con la condivisione di file è necessario eseguire i seguenti passaggi di configurazione.
Contorno
- Il problema
- La soluzione
- Consentire ad altre macchine di utilizzare la condivisione file tramite l'alias DNS (DisableStrictNameChecking)
- Consentire alla macchina server di utilizzare la condivisione file con se stessa tramite l'alias DNS (BackConnectionHostNames)
- Fornire funzionalità di esplorazione per più nomi NetBIOS (OptionalNames)
- Registrare i nomi principali del servizio Kerberos (SPN) per altre funzioni di Windows come Stampa (setspn)
- Riferimenti
1. Il problema
Su macchine Windows, la condivisione di file può funzionare tramite il nome del computer, con o senza qualifica completa o tramite l'indirizzo IP. Per impostazione predefinita, tuttavia, la condivisione dei file non funziona con alias DNS arbitrari. Per consentire la condivisione dei file e altri servizi Windows per lavorare con gli alias DNS, è necessario apportare modifiche al registro come descritto di seguito e riavviare il computer.
2. La soluzione
Consentire ad altre macchine di utilizzare la condivisione file tramite l'alias DNS (DisableStrictNameChecking)
Questa modifica da sola consentirà ad altre macchine sulla rete di connettersi alla macchina usando qualsiasi nome host arbitrario. (Tuttavia, questa modifica non consentirà a una macchina di connettersi a se stessa tramite un nome host, vedere BackConnectionHostNames di seguito).
Modifica la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
e aggiungi un valore DisableStrictNameChecking
di tipo DWORD impostato su 1.
Modifica la chiave di registro (su 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print
e aggiungi un valore DnsOnWire
di tipo DWORD impostato su 1
Consentire alla macchina server di utilizzare la condivisione file con se stessa tramite l'alias DNS (BackConnectionHostNames)
Questa modifica è necessaria affinché un alias DNS funzioni con il filesharing da una macchina per trovarsi. Ciò crea i nomi host dell'autorità di sicurezza locale a cui è possibile fare riferimento in una richiesta di autenticazione NTLM.
Per fare ciò, attenersi alla seguente procedura per tutti i nodi sul computer client:
- Alla sottochiave del Registro di sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
, aggiungere un nuovo valore multistringaBackConnectionHostNames
- Nella casella Dati valore, digitare CNAME o l'alias DNS, utilizzato per le condivisioni locali sul computer, quindi fare clic su OK.
- Nota: digitare ogni nome host su una riga separata.
Fornire funzionalità di esplorazione per più nomi NetBIOS (OptionalNames)
Consente di vedere l'alias di rete nell'elenco di ricerca della rete.
- Modifica la chiave di registro
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
e aggiungi un valore OptionalNames
di tipo Multi-String
- Aggiungi un elenco delimitato di nuova riga di nomi che dovrebbero essere registrati nelle voci di navigazione NetBIOS
- I nomi devono corrispondere alle convenzioni NetBIOS (ovvero non FQDN, solo nome host)
Registrare i nomi principali del servizio Kerberos (SPN) per altre funzioni di Windows come Stampa (setspn)
NOTA: non dovrebbe essere necessario farlo per far funzionare le funzioni di base, documentate qui per completezza. Abbiamo avuto una situazione in cui l'alias DNS non funzionava perché c'era un vecchio record SPN che interferiva, quindi se altri passaggi non funzionano verificare se sono presenti record SPN vaganti.
È necessario registrare i nomi principali del servizio Kerberos (SPN), il nome host e il nome di dominio completo (FQDN) per tutti i nuovi record alias DNS (CNAME). In caso contrario, una richiesta di ticket Kerberos per un record alias DNS (CNAME) potrebbe non riuscire e restituire il codice di errore KDC_ERR_S_SPRINCIPAL_UNKNOWN
.
Per visualizzare gli SPN Kerberos per i nuovi record alias DNS, utilizzare lo strumento da riga di comando Setspn ( setspn.exe
). Lo strumento Setspn è incluso negli strumenti di supporto di Windows Server 2003. È possibile installare gli strumenti di supporto di Windows Server 2003 dalla cartella Support \ Tools del disco di avvio di Windows Server 2003.
Come utilizzare lo strumento per elencare tutti i record per un nomecomputer:
setspn -L computername
Per registrare l'SPN per i record di alias DNS (CNAME), utilizzare lo strumento Setspn con la sintassi seguente:
setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername
3. Riferimenti
Tutti i riferimenti Microsoft funzionano tramite: http://support.microsoft.com/kb/
- La connessione alla condivisione SMB su un computer basato su Windows 2000 o Windows Server 2003 potrebbe non funzionare con un nome alias
- Comprende le basi per far funzionare correttamente la condivisione dei file con i record alias DNS da altri computer al computer server.
- KB281308
- Messaggio di errore quando si tenta di accedere a un server localmente utilizzando il nome FQDN o l'alias CNAME dopo l'installazione di Windows Server 2003 Service Pack 1: "Accesso negato" o "Nessun provider di rete ha accettato il percorso di rete specificato"
- Descrive come far funzionare l'alias DNS con la condivisione di file dal file server stesso.
- KB926642
- Come consolidare i server di stampa utilizzando i record alias DNS (CNAME) in Windows Server 2003 e Windows 2000 Server
- Copre scenari più complessi in cui potrebbe essere necessario aggiornare i record in Active Directory per il corretto funzionamento di alcuni servizi e per la corretta navigazione di tali servizi, come registrare i nomi principali del servizio Kerberos (SPN).
- KB870911
- Aggiornamento del file system distribuito per supportare le radici di consolidamento in Windows Server 2003
- Copre scenari ancora più complessi con DFS (discute su OptionalNames).
- KB829885