Щоб полегшити схеми відмови, поширеною методикою є використання записів DNS CNAME (Псевдоніми DNS) для різних машинних ролей. Тоді замість того, щоб змінити ім'я комп'ютера Windows фактичного імені машини, можна переключити запис DNS, щоб вказати на новий хост.
Це може працювати на машинах Microsoft Windows, але для того, щоб він працював із спільним використанням файлів, необхідно виконати наступні кроки конфігурації.
Структура
- Проблема
- Рішення
- Дозволити іншим машинам використовувати спільний доступ до файлів через псевдонім DNS (DisableStrictNameChecking)
- Дозвіл серверної машини використовувати спільний доступ до файлів із собою через псевдоніми DNS (BackConnectionHostNames)
- Надання можливостей перегляду кількох імен NetBIOS (необов'язкові імена)
- Зареєструйте імена основних служб Kerberos (SPN) для інших функцій Windows, таких як Друк (setpn)
- Список літератури
1. Проблема
На машинах Windows обмін файлами може працювати через ім’я комп'ютера, з повною кваліфікацією або без повної IP-адреси або за IP-адресою. Однак за замовчуванням обмін файлами не працюватиме з довільними псевдонімами DNS. Щоб увімкнути спільний доступ до файлів та інші служби Windows для роботи з псевдонімами DNS, потрібно внести зміни в реєстр, як це детально описано нижче, та перезавантажити машину.
2. Рішення
Дозволити іншим машинам використовувати спільний доступ до файлів через псевдонім DNS (DisableStrictNameChecking)
Сама ця зміна дозволить іншим машинам у мережі підключитися до машини за допомогою будь-якого довільного імені хоста. (Однак ця зміна не дозволить машині підключитися до себе за допомогою імені хоста, див. BackConnectionHostNames нижче).
Відредагуйте ключ реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
та додайте значення DisableStrictNameChecking
типу DWORD, встановленого на 1.
Відредагуйте ключ реєстру (на 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print
та додайте значення DnsOnWire
типу DWORD, встановлене на 1
Дозвіл серверної машини використовувати спільний доступ до файлів із собою через псевдоніми DNS (BackConnectionHostNames)
Ця зміна необхідна для псевдоніму DNS для роботи з файлообміном з машини, щоб знайти себе. Це створює імена хостів Local Security Authority, на які можна посилатися в запиті аутентифікації NTLM.
Для цього виконайте наступні дії для всіх вузлів на клієнтському комп'ютері:
- До підрозділу реєстру
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
додайте нове значення Multi-StringBackConnectionHostNames
- У полі Дані про значення введіть псевдонім CNAME або DNS, який використовується для локальних спільних ресурсів на комп'ютері, і натисніть кнопку ОК.
- Примітка. Введіть кожне ім'я хоста в окремий рядок.
Надання можливостей перегляду кількох імен NetBIOS (необов'язкові імена)
Дозволяє бачити псевдонім мережі у списку перегляду мереж.
- Відредагуйте ключ реєстру
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
та додайте значення OptionalNames
типу Multi-String
- Додайте в новий список обмежений список імен, які повинні бути зареєстровані під записами для перегляду NetBIOS
- Імена повинні відповідати конвенціям NetBIOS (тобто не FQDN, просто ім'я хоста)
Зареєструйте імена основних служб Kerberos (SPN) для інших функцій Windows, таких як Друк (setpn)
ПРИМІТКА: Не потрібно робити це для роботи основних функцій, задокументованих тут для повноти. У нас була одна ситуація, коли псевдонім DNS не працював, тому що старий запис SPN заважав, тому, якщо інші кроки не працюють, перевірте, чи немає запитуваних записів SPN.
Ви повинні зареєструвати основні імена служби Kerberos (SPN), ім'я хоста та повністю кваліфіковане доменне ім’я (FQDN) для всіх нових записів псевдонімів DNS (CNAME). Якщо цього не зробити, запит на отримання квитка Kerberos для запису псевдоніму DNS (CNAME) може не вдатися і повернути код помилки KDC_ERR_S_SPRINCIPAL_UNKNOWN
.
Щоб переглянути SPN-адреси Kerberos для нових записів псевдонімів DNS, використовуйте інструмент командного рядка Setspn ( setspn.exe
). Інструмент Setspn включений до Інструментів підтримки Windows Server 2003. Інструменти підтримки Windows Server 2003 можна встановити з папки «Підтримка \ Інструменти» на завантажувальному диску Windows Server 2003.
Як за допомогою інструменту перелічити всі записи для імені комп'ютера:
setspn -L computername
Щоб зареєструвати SPN для записів псевдонімів DNS (CNAME), використовуйте інструмент Setspn із таким синтаксисом:
setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername
3. Список літератури
Усі посилання Microsoft працюють за допомогою: http://support.microsoft.com/kb/
- Підключення до спільного доступу до SMB на комп'ютері під керуванням Windows 2000 або на комп'ютері під керуванням Windows Server 2003 може не працювати з псевдонімом
- Висвітлює основи правильної роботи спільного доступу до файлів із записами псевдонімів DNS з інших комп'ютерів на серверний комп'ютер.
- KB281308
- Повідомлення про помилку, коли ви намагаєтесь отримати доступ до сервера локально, використовуючи свій FQDN або псевдонім CNAME після встановлення пакета оновлень 1 для Windows Server 2003: "Доступ заборонено" або "Жоден провайдер мережі не прийняв заданий мережевий шлях"
- Розкриває, як змусити псевдонім DNS працювати з обміном файлами з самого файлового сервера.
- KB926642
- Як консолідувати сервери друку за допомогою записів псевдонімів DNS (CNAME) у Windows Server 2003 та Windows 2000 Server
- Охоплює більш складні сценарії, в яких записи в Active Directory можуть потребувати оновлення, щоб певні сервіси працювали належним чином, а веб-перегляд таких служб працював належним чином, як зареєструвати основні імена основних сервісів Kerberos (SPN).
- KB870911
- Оновлення розподіленої файлової системи для підтримки коренів консолідації в Windows Server 2003
- Покриває ще складніші сценарії за допомогою DFS (обговорюється OptionalNames).
- KB829885