Як налаштувати машину Windows, щоб дозволити спільний доступ до файлів з псевдонімом DNS


81

Який процес необхідний для налаштування середовища Windows, щоб дозволити мені використовувати DNS CNAME на довідкових серверах?

Я хочу зробити це, щоб я міг назвати свої сервери на зразок SRV001, але все-таки \\file вказувати на цей сервер, тому, коли SRV002 замінює його, мені не потрібно оновлювати жодне з посилань людей, просто оновіть DNS CNAME та всіх буде вказано на новий сервер.


Ми використовуємо цю техніку як документально підтверджене тепле очікування . Ви зробили набагато кращу роботу, документуючи її, ніж я. Я не знав про варіант backConnection. І ми скорочуємо наш простір атаки, не використовуючи netBIOS. Ми також не використовуємо SPN. Дякую!
Нокс

Для запису ми використовуємо щоденний доступ до файлів Windows із псевдонімами ДНК як для серверів 2003 та 2008 років у моїй організації, не потребуючи жодних із цих змін. Це просто працює.
Райан Болгер

Слід також зазначити, що текст у KB926642 попереджає: "Захищеність знижується, коли ви вимкнете перевірку циклу автентифікації, і ви відкриєте сервер Windows Server 2003 для атаки" середнього "(MITM) на NTLM."
Райан Болгер

Дякую, Майкл. Це відповіло на мій запит "Як дозволити Windows Explorer Windows XP приймати псевдоніми CNAME в адресному рядку?" питання, розміщене тут ( serverfault.com/questions/238851/… ).
Джейсон Пірс

Дуже дякую!!! Це працювало на сервері Server 2008 R2 з клієнтами XP Pro, які намагалися підключитися до файлової спільноти. У мене 10-річний сервер HP (Server 2000) помер на мені, тому я збивав сервер VM, відновив файли на ньому та відтворив спільні папки. Клієнти XP Pro не могли підключитися до варіантів помилок, але я застосував вищезазначений regedit, перезавантажився, і все працює, ще раз дякую.

Відповіді:


67

Щоб полегшити схеми відмови, поширеною методикою є використання записів DNS CNAME (Псевдоніми DNS) для різних машинних ролей. Тоді замість того, щоб змінити ім'я комп'ютера Windows фактичного імені машини, можна переключити запис DNS, щоб вказати на новий хост.

Це може працювати на машинах Microsoft Windows, але для того, щоб він працював із спільним використанням файлів, необхідно виконати наступні кроки конфігурації.

Структура

  1. Проблема
  2. Рішення
    • Дозволити іншим машинам використовувати спільний доступ до файлів через псевдонім DNS (DisableStrictNameChecking)
    • Дозвіл серверної машини використовувати спільний доступ до файлів із собою через псевдоніми DNS (BackConnectionHostNames)
    • Надання можливостей перегляду кількох імен NetBIOS (необов'язкові імена)
    • Зареєструйте імена основних служб Kerberos (SPN) для інших функцій Windows, таких як Друк (setpn)
  3. Список літератури

1. Проблема

На машинах Windows обмін файлами може працювати через ім’я комп'ютера, з повною кваліфікацією або без повної IP-адреси або за IP-адресою. Однак за замовчуванням обмін файлами не працюватиме з довільними псевдонімами DNS. Щоб увімкнути спільний доступ до файлів та інші служби Windows для роботи з псевдонімами DNS, потрібно внести зміни в реєстр, як це детально описано нижче, та перезавантажити машину.

2. Рішення

Дозволити іншим машинам використовувати спільний доступ до файлів через псевдонім DNS (DisableStrictNameChecking)

Сама ця зміна дозволить іншим машинам у мережі підключитися до машини за допомогою будь-якого довільного імені хоста. (Однак ця зміна не дозволить машині підключитися до себе за допомогою імені хоста, див. BackConnectionHostNames нижче).

  • Відредагуйте ключ реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersта додайте значення DisableStrictNameCheckingтипу DWORD, встановленого на 1.

  • Відредагуйте ключ реєстру (на 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printта додайте значення DnsOnWireтипу DWORD, встановлене на 1

Дозвіл серверної машини використовувати спільний доступ до файлів із собою через псевдоніми DNS (BackConnectionHostNames)

Ця зміна необхідна для псевдоніму DNS для роботи з файлообміном з машини, щоб знайти себе. Це створює імена хостів Local Security Authority, на які можна посилатися в запиті аутентифікації NTLM.

Для цього виконайте наступні дії для всіх вузлів на клієнтському комп'ютері:

  1. До підрозділу реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0додайте нове значення Multi-StringBackConnectionHostNames
  2. У полі Дані про значення введіть псевдонім CNAME або DNS, який використовується для локальних спільних ресурсів на комп'ютері, і натисніть кнопку ОК.
    • Примітка. Введіть кожне ім'я хоста в окремий рядок.

Надання можливостей перегляду кількох імен NetBIOS (необов'язкові імена)

Дозволяє бачити псевдонім мережі у списку перегляду мереж.

  1. Відредагуйте ключ реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersта додайте значення OptionalNamesтипу Multi-String
  2. Додайте в новий список обмежений список імен, які повинні бути зареєстровані під записами для перегляду NetBIOS
    • Імена повинні відповідати конвенціям NetBIOS (тобто не FQDN, просто ім'я хоста)

Зареєструйте імена основних служб Kerberos (SPN) для інших функцій Windows, таких як Друк (setpn)

ПРИМІТКА: Не потрібно робити це для роботи основних функцій, задокументованих тут для повноти. У нас була одна ситуація, коли псевдонім DNS не працював, тому що старий запис SPN заважав, тому, якщо інші кроки не працюють, перевірте, чи немає запитуваних записів SPN.

Ви повинні зареєструвати основні імена служби Kerberos (SPN), ім'я хоста та повністю кваліфіковане доменне ім’я (FQDN) для всіх нових записів псевдонімів DNS (CNAME). Якщо цього не зробити, запит на отримання квитка Kerberos для запису псевдоніму DNS (CNAME) може не вдатися і повернути код помилки KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Щоб переглянути SPN-адреси Kerberos для нових записів псевдонімів DNS, використовуйте інструмент командного рядка Setspn ( setspn.exe). Інструмент Setspn включений до Інструментів підтримки Windows Server 2003. Інструменти підтримки Windows Server 2003 можна встановити з папки «Підтримка \ Інструменти» на завантажувальному диску Windows Server 2003.

Як за допомогою інструменту перелічити всі записи для імені комп'ютера:

setspn -L computername

Щоб зареєструвати SPN для записів псевдонімів DNS (CNAME), використовуйте інструмент Setspn із таким синтаксисом:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Список літератури

Усі посилання Microsoft працюють за допомогою: http://support.microsoft.com/kb/

  1. Підключення до спільного доступу до SMB на комп'ютері під керуванням Windows 2000 або на комп'ютері під керуванням Windows Server 2003 може не працювати з псевдонімом
    • Висвітлює основи правильної роботи спільного доступу до файлів із записами псевдонімів DNS з інших комп'ютерів на серверний комп'ютер.
    • KB281308
  2. Повідомлення про помилку, коли ви намагаєтесь отримати доступ до сервера локально, використовуючи свій FQDN або псевдонім CNAME після встановлення пакета оновлень 1 для Windows Server 2003: "Доступ заборонено" або "Жоден провайдер мережі не прийняв заданий мережевий шлях"
    • Розкриває, як змусити псевдонім DNS працювати з обміном файлами з самого файлового сервера.
    • KB926642
  3. Як консолідувати сервери друку за допомогою записів псевдонімів DNS (CNAME) у Windows Server 2003 та Windows 2000 Server
    • Охоплює більш складні сценарії, в яких записи в Active Directory можуть потребувати оновлення, щоб певні сервіси працювали належним чином, а веб-перегляд таких служб працював належним чином, як зареєструвати основні імена основних сервісів Kerberos (SPN).
    • KB870911
  4. Оновлення розподіленої файлової системи для підтримки коренів консолідації в Windows Server 2003
    • Покриває ще складніші сценарії за допомогою DFS (обговорюється OptionalNames).
    • KB829885

Ще один елемент друку для роботи під Windows Server 2008R2 / Win7 задокументований на support.microsoft.com/kb/979602 . Потрібно вимкнути оптимізацію DNS, яку вони додали для підтримки друку на інсайдованій машині, додавши значення DWORD з назвою "DnsOnWire" в HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print і встановити його на 1. Потім перезапустіть послугу Spooler друку.
nitzmahone

Джерело для моєї редагування: serverfault.com/q/396598/2869
Joel Coel

11

Інший спосіб зробити спільний доступ до спільного використання файлів Windows - використовувати розподілену файлову систему з реплікацією (DFS-R). Для цього вам потрібно буде принаймні Windows Server 2003 R2 на своїх файлових серверах.

Ви налаштовуєте корінь DFS, а потім можете вказати кілька серверів, що надають одну спільну спільну доступність. Якщо один із серверів вийде з ладу, клієнти, які використовують його, автоматично переходять на один із інших.

Для отримання додаткової інформації див. Огляд Microsoft щодо DFS .

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.