So konfigurieren Sie einen Windows-Computer für die Dateifreigabe mit einem DNS-Alias

81

Welcher Prozess ist erforderlich, um eine Windows-Umgebung zu konfigurieren, damit ich mithilfe von DNS CNAME auf Server verweisen kann?

Ich möchte dies tun, damit ich meine Server wie SRV001 benennen kann, aber immer noch auf diesen Server \\file verweisen kann. Wenn SRV002 ihn ersetzt, muss ich keine der Links aktualisieren, die Benutzer haben. Aktualisiere einfach den DNS-CNAME und alle wird auf den neuen Server verwiesen.

windows domain-name-system file-sharing alias netbios Michael Ferrante
quelle
Wir verwenden diese Technik als dokumentiertes Warm-Standby . Sie haben es viel besser dokumentiert als ich. Ich wusste nichts über die Option backConnection. Und wir reduzieren unseren Angriffsraum, indem wir kein NetBIOS verwenden. Wir verwenden auch nicht den SPN. Vielen Dank!
Knox
In meinem Unternehmen wird täglich Windows-Filesharing mit DNA-Aliasen für Server von 2003 und 2008 verwendet, ohne dass diese Änderungen vorgenommen werden müssen. Es funktioniert einfach
Ryan Bolger
Es sollte auch beachtet werden, dass der Text in KB926642 folgende Warnung enthält: "Die Sicherheit wird verringert, wenn Sie die Authentifizierungsschleifenprüfung deaktivieren und den Windows Server 2003-Server für Man-in-the-Middle-Angriffe (MITM) auf NTLM öffnen."
Ryan Bolger
Danke Michael. Dies beantwortete meine Frage: "Wie kann ich Windows XP in Windows Explorer aktivieren, um CNAME-Aliase in der Adressleiste zu akzeptieren?" Frage hier gepostet ( serverfault.com/questions/238851/… ).
Jason Pearce
Vielen Dank!!! Dies funktionierte auf einem Server 2008 R2 mit XP Pro-Clients, die versuchten, eine Verbindung zur Dateifreigabe herzustellen. Ich hatte einen 10 Jahre alten HP-Server (Server 2000) auf mir, also baute ich einen VM-Server auf, stellte die Dateien wieder her und erstellte die Freigaben neu. XP Pro-Clients konnten keine Verbindung mit verschiedenen Fehlern herstellen, aber ich habe den obigen Befehl regedit angewendet, neu gestartet und alles funktioniert. Nochmals vielen Dank.

Antworten:

67

Um Failover-Schemata zu vereinfachen, werden häufig DNS-CNAME-Einträge (DNS-Aliase) für verschiedene Computerrollen verwendet. Anstatt den Windows-Computernamen des tatsächlichen Computernamens zu ändern, kann ein DNS-Eintrag so geändert werden, dass er auf einen neuen Host verweist.

Dies kann auf Microsoft Windows-Computern funktionieren. Damit dies jedoch mit der Dateifreigabe funktioniert, müssen die folgenden Konfigurationsschritte ausgeführt werden.

Gliederung

  1. Das Problem
  2. Die Lösung
    • Zulassen, dass andere Computer Filesharing über den DNS-Alias ​​(DisableStrictNameChecking) verwenden
    • Zulassen, dass der Server das Filesharing über den DNS-Alias ​​(BackConnectionHostNames) mit sich selbst verwendet
    • Durchsuchungsfunktionen für mehrere NetBIOS-Namen (OptionalNames) bereitstellen
    • Registrieren Sie die Kerberos-Dienstprinzipalnamen (SPNs) für andere Windows-Funktionen wie Drucken (setspn).
  3. Verweise

1. Das Problem

Auf Windows - Rechnern, File - Sharing kann über die Computernamen arbeitet, mit oder ohne vollständige Qualifizierung oder durch die IP - Adresse. Standardmäßig funktioniert Filesharing jedoch nicht mit beliebigen DNS-Aliasnamen. Damit Filesharing und andere Windows-Dienste mit DNS-Aliasen arbeiten können, müssen Sie die unten aufgeführten Registrierungsänderungen vornehmen und den Computer neu starten.

2. Die Lösung

Zulassen, dass andere Computer Filesharing über den DNS-Alias ​​(DisableStrictNameChecking) verwenden

Diese Änderung allein ermöglicht es anderen Computern im Netzwerk, unter Verwendung eines beliebigen Hostnamens eine Verbindung mit dem Computer herzustellen. (Durch diese Änderung kann sich ein Computer jedoch nicht über einen Hostnamen mit sich selbst verbinden, siehe BackConnectionHostNames unten.)

  • Bearbeiten Sie den Registrierungsschlüssel, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersund fügen Sie einen Wert DisableStrictNameCheckingvom Typ DWORD hinzu, der auf 1 festgelegt ist.

  • Bearbeiten Sie den Registrierungsschlüssel (unter 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printund fügen Sie einen Wert DnsOnWirevom Typ DWORD hinzu, der auf 1 festgelegt ist

Zulassen, dass der Server das Filesharing über den DNS-Alias ​​(BackConnectionHostNames) mit sich selbst verwendet

Diese Änderung ist erforderlich, damit ein DNS-Alias ​​mit Filesharing von einem Computer aus arbeiten und sich selbst finden kann. Dadurch werden die Hostnamen der lokalen Sicherheitsautorität erstellt, auf die in einer NTLM-Authentifizierungsanforderung verwiesen werden kann.

Gehen Sie hierzu für alle Knoten auf dem Clientcomputer folgendermaßen vor:

  1. Fügen Sie dem Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0neuen Multi-String Value hinzuBackConnectionHostNames
  2. Geben Sie im Feld Wert den CNAME oder den DNS-Alias ​​ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie dann auf OK.
    • Hinweis: Geben Sie jeden Hostnamen in eine separate Zeile ein.

Durchsuchungsfunktionen für mehrere NetBIOS-Namen (OptionalNames) bereitstellen

Ermöglicht die Anzeige des Netzwerkalias in der Netzwerk-Suchliste.

  1. Bearbeiten Sie den Registrierungsschlüssel, HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersund fügen Sie einen Wert OptionalNamesvom Typ Multi-String hinzu
  2. Fügen Sie in einer durch Zeilenumbrüche getrennten Liste Namen hinzu, die unter den NetBIOS-Browsereinträgen registriert werden sollen
    • Namen sollten mit NetBIOS-Konventionen übereinstimmen (dh nicht FQDN, nur Hostname)

Registrieren Sie die Kerberos-Dienstprinzipalnamen (SPNs) für andere Windows-Funktionen wie Drucken (setspn).

HINWEIS: Sollte dies nicht erforderlich sein, damit grundlegende Funktionen ausgeführt werden können, die hier der Vollständigkeit halber dokumentiert sind. In einer Situation funktionierte der DNS-Alias ​​nicht, weil ein alter SPN-Eintrag gestört wurde. Wenn andere Schritte nicht funktionieren, überprüfen Sie, ob streunende SPN-Einträge vorhanden sind.

Sie müssen die Kerberos-Dienstprinzipalnamen (SPNs), den Hostnamen und den vollqualifizierten Domänennamen (FQDN) für alle neuen DNS-Aliasdatensätze (CNAME) registrieren. Wenn Sie dies nicht tun, schlägt möglicherweise eine Kerberos-Ticketanforderung für einen DNS-Alias ​​(CNAME) -Eintrag fehl und gibt den Fehlercode zurück KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Verwenden Sie das Setspn-Befehlszeilentool ( setspn.exe) , um die Kerberos-SPNs für die neuen DNS-Alias-Einträge anzuzeigen . Das Setspn-Tool ist in den Windows Server 2003-Supporttools enthalten. Sie können die Windows Server 2003-Supporttools vom Ordner Support \ Tools auf der Windows Server 2003-Startdiskette installieren.

So verwenden Sie das Tool, um alle Datensätze für einen Computernamen aufzulisten:

setspn -L computername

Verwenden Sie das Setspn-Tool mit der folgenden Syntax, um den SPN für die DNS-Alias-Einträge (CNAME) zu registrieren:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referenzen

Alle Microsoft-Referenzen funktionieren über: http://support.microsoft.com/kb/

  1. Das Herstellen einer Verbindung zur SMB-Freigabe auf einem Windows 2000-Computer oder einem Windows Server 2003-Computer funktioniert möglicherweise nicht mit einem Aliasnamen
    • Erläutert die Grundlagen für die ordnungsgemäße Funktion der Dateifreigabe mit DNS-Aliasdatensätzen von anderen Computern auf dem Servercomputer.
    • KB281308
  2. Fehlermeldung, wenn Sie versuchen, mithilfe des FQDN oder des CNAME-Alias ​​nach der Installation von Windows Server 2003 Service Pack 1 lokal auf einen Server zuzugreifen: "Zugriff verweigert" oder "Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert"
    • Beschreibt, wie der DNS-Alias ​​mit der Dateifreigabe vom Dateiserver selbst funktioniert.
    • KB926642
  3. Konsolidieren von Druckservern mithilfe von DNS-Aliasdatensätzen (CNAME) in Windows Server 2003 und Windows 2000 Server
    • Behandelt komplexere Szenarien, in denen Datensätze in Active Directory möglicherweise aktualisiert werden müssen, damit bestimmte Dienste ordnungsgemäß funktionieren, und um zu ermitteln, ob solche Dienste ordnungsgemäß funktionieren, wie die Kerberos-Dienstprinzipalnamen (SPNs) registriert werden.
    • KB870911
  4. Distributed File System-Update zur Unterstützung von Konsolidierungsstämmen in Windows Server 2003
    • Deckt noch komplexere Szenarien mit DFS ab (siehe Optionale Namen).
    • KB829885
Michael Ferrante
quelle
Ein weiteres Element zum Drucken unter Windows Server 2008R2 / Win7 ist unter support.microsoft.com/kb/979602 dokumentiert . Sie müssen eine von ihnen hinzugefügte DNS-Optimierung deaktivieren, um das Drucken auf einem Alias-Computer zu unterstützen, indem Sie einen DWORD-Wert mit dem Namen "DnsOnWire" zu HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print hinzufügen und auf 1 festlegen. Starten Sie anschließend den Druckerspoolerdienst neu.
nitzmahone
Quelle für meine Bearbeitung: serverfault.com/q/396598/2869
Joel Coel
11

Die andere Möglichkeit, Windows-Dateifreigabe mit Redundanz durchzuführen, besteht in der Verwendung des verteilten Dateisystems mit Replikation (DFS-R). Sie benötigen mindestens Windows Server 2003 R2 auf Ihren Dateiservern, um dies zu implementieren.

Sie richten Ihren DFS-Stamm ein und können dann mehrere Server angeben, die eine einzelne Freigabe bereitstellen. Wenn einer der Server ausfällt, wechseln die Clients, die ihn verwenden, automatisch zu einem der anderen Server.

Weitere Informationen finden Sie in der Microsoft- Übersicht zu DFS .

Joe
quelle