Как настроить компьютер Windows, чтобы разрешить общий доступ к файлам с псевдонимом DNS

81

Какой процесс необходим для настройки среды Windows, чтобы я мог использовать DNS CNAME для ссылок на серверы?

Я хочу сделать это так, чтобы я мог назвать свои серверы как-то как SRV001, но все еще иметь \\file указатель на этот сервер, поэтому, когда SRV002 заменяет его, мне не нужно обновлять какие-либо ссылки, которые есть у людей, просто обновите DNS CNAME и все будет указывать на новый сервер.

Майкл Ферранте
источник
Мы используем эту технику как документированный теплый режим ожидания . Ты гораздо лучше справился с задокументированием, чем я. Я не знал об опции обратного соединения. И мы уменьшаем наше пространство для атак, не используя netBIOS. Мы также не используем SPN. Спасибо!
Нокс
Для справки, мы ежедневно используем в моей организации общий доступ к файлам Windows с псевдонимами ДНК на серверах 2003 и 2008 годов без необходимости вносить какие-либо из этих изменений. Это просто работает.
Райан Болджер
Следует также отметить, что текст в KB926642 предупреждает, что «безопасность снижается, когда вы отключаете проверку петли проверки подлинности и открываете сервер Windows Server 2003 для атак« человек посередине »(MITM) на NTLM».
Райан Болджер
Спасибо, Майкл. На это ответил мой вопрос: «Как мне разрешить проводнику Windows XP Windows принимать псевдонимы CNAME в адресной строке?» вопрос размещен здесь ( serverfault.com/questions/238851/… ).
Джейсон Пирс,
Большое спасибо!!! Это работало на Server 2008 R2 с клиентами XP Pro, пытающимися подключиться к общей папке. У меня был 10-летний сервер HP (Server 2000), поэтому я создал виртуальный сервер, восстановил на нем файлы и воссоздал общие ресурсы. Клиенты XP Pro не могли соединиться с ошибками variuos, но я применил вышеупомянутый regedit, перезагрузил компьютер, и все это работает, еще раз спасибо.

Ответы:

67

Чтобы упростить схемы аварийного переключения, распространенным методом является использование записей DNS CNAME (псевдонимы DNS) для разных ролей компьютера. Затем вместо того, чтобы изменить имя компьютера в Windows на фактическое имя компьютера, можно переключить запись DNS, чтобы указать на новый хост.

Это может работать на компьютерах с Microsoft Windows, но для работы с общим доступом к файлам необходимо выполнить следующие шаги настройки.

Контур

  1. Проблема
  2. Решение
    • Разрешение другим машинам использовать общий доступ к файлам через псевдоним DNS (DisableStrictNameChecking)
    • Разрешение серверу компьютера использовать общий доступ к файлам через псевдоним DNS (BackConnectionHostNames)
    • Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)
    • Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Печать (setspn)
  3. Рекомендации

1. Проблема

На компьютерах под управлением Windows общий доступ к файлам может осуществляться через имя компьютера, с полной квалификацией или без нее или по IP-адресу. Однако по умолчанию общий доступ к файлам не будет работать с произвольными псевдонимами DNS. Чтобы разрешить совместное использование файлов и другие службы Windows для работы с псевдонимами DNS, необходимо внести изменения в реестр, как описано ниже, и перезагрузить компьютер.

2. Решение

Разрешение другим машинам использовать общий доступ к файлам через псевдоним DNS (DisableStrictNameChecking)

Одно только это изменение позволит другим машинам в сети подключаться к машине с любым произвольным именем хоста. (Однако это изменение не позволит машине подключаться к себе через имя хоста, см. BackConnectionHostNames ниже).

  • Отредактируйте раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersи добавьте значение DisableStrictNameCheckingтипа DWORD, равное 1.

  • Отредактируйте раздел реестра (в 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printи добавьте значение DnsOnWireтипа DWORD, равное 1

Разрешение серверу компьютера использовать общий доступ к файлам через псевдоним DNS (BackConnectionHostNames)

Это изменение необходимо для псевдонима DNS для работы с файлообменниками с компьютера, чтобы найти себя. Это создает имена хостов локального органа безопасности, на которые можно ссылаться в запросе проверки подлинности NTLM.

Чтобы сделать это, выполните следующие действия для всех узлов на клиентском компьютере:

  1. В подраздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0добавьте новое значение Multi-String.BackConnectionHostNames
  2. В поле «Значение» введите CNAME или псевдоним DNS, который используется для локальных общих папок на компьютере, и нажмите кнопку ОК.
    • Примечание. Введите каждое имя хоста в отдельной строке.

Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)

Позволяет видеть сетевой псевдоним в списке просмотра сети.

  1. Отредактируйте раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersи добавьте значение OptionalNamesтипа Multi-String
  2. Добавьте в новую строку список имен с разделителями, которые должны быть зарегистрированы в записях обзора NetBIOS
    • Имена должны соответствовать соглашениям NetBIOS (т.е. не FQDN, а просто имя хоста)

Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Печать (setspn)

ПРИМЕЧАНИЕ: не нужно делать это для работы основных функций, документированных здесь для полноты. У нас была одна ситуация, когда псевдоним DNS не работал, потому что вмешивалась старая запись SPN, поэтому, если другие шаги не работают, проверьте, есть ли какие-либо ошибочные записи SPN.

Вы должны зарегистрировать имена участников службы (SPN) Kerberos, имя хоста и полное доменное имя (FQDN) для всех новых записей псевдонимов DNS (CNAME). Если вы этого не сделаете, запрос билета Kerberos для записи псевдонима DNS (CNAME) может завершиться с ошибкой и вернуть код ошибки KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Чтобы просмотреть имена участников-служб Kerberos для новых записей псевдонимов DNS, используйте средство командной строки Setspn ( setspn.exe). Средство Setspn входит в состав средств поддержки Windows Server 2003. Инструменты поддержки Windows Server 2003 можно установить из папки Support \ Tools на загрузочном диске Windows Server 2003.

Как использовать инструмент для вывода списка всех записей для имени компьютера:

setspn -L computername

Чтобы зарегистрировать имя участника-службы для записей псевдонимов DNS (CNAME), используйте инструмент Setspn со следующим синтаксисом:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Ссылки

Все ссылки Microsoft работают через: http://support.microsoft.com/kb/

  1. Подключение к общей папке SMB на компьютере под управлением Windows 2000 или на компьютере под управлением Windows Server 2003 может не работать с псевдонимом
    • Описывает основы правильной работы файлообменника с записями псевдонимов DNS с других компьютеров на сервер.
    • KB281308
  2. Сообщение об ошибке при попытке доступа к серверу локально с использованием его полного доменного имени или псевдонима CNAME после установки пакета обновления 1 (SP1) для Windows Server 2003: «Доступ запрещен» или «Ни один сетевой поставщик не принял указанный сетевой путь»
    • Описывает, как заставить псевдоним DNS работать с файлообменником с самого файлового сервера.
    • KB926642
  3. Как консолидировать серверы печати с помощью записей псевдонимов DNS (CNAME) в Windows Server 2003 и Windows 2000 Server
    • Описывает более сложные сценарии, в которых может потребоваться обновить записи в Active Directory, чтобы определенные службы работали должным образом, а также чтобы просматривать такие службы для правильной работы, как зарегистрировать имена участников службы Kerberos (SPN).
    • KB870911
  4. Обновление распределенной файловой системы для поддержки корней консолидации в Windows Server 2003
    • Охватывает даже более сложные сценарии с DFS (обсуждается OptionalNames).
    • KB829885
Майкл Ферранте
источник
Еще один элемент для печати для работы под Windows Server 2008R2 / Win7 описан по адресу support.microsoft.com/kb/979602 . Вам необходимо отключить оптимизацию DNS, которую они добавили для поддержки печати на компьютере с псевдонимом, добавив значение DWORD с именем «DnsOnWire» в HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print и установите его равным 1. Затем перезапустите службу диспетчера очереди печати.
nitzmahone
Источник для моего редактирования: serverfault.com/q/396598/2869
Джоэл Коэль
11

Другой способ сделать общий доступ к файлам Windows с избыточностью - это использовать распределенную файловую систему с репликацией (DFS-R). Для реализации этого вам понадобится как минимум Windows Server 2003 R2 на ваших файловых серверах.

Вы настраиваете свой корень DFS, а затем можете указать несколько серверов, предоставляющих один общий ресурс. Если один из серверов выйдет из строя, клиенты, использующие его, автоматически переключатся на один из других.

Для получения дополнительной информации см. Обзор Microsoft по DFS .

Джо
источник