Pertanyaan Cara mengkonfigurasi mesin Windows untuk memungkinkan berbagi file dengan alias DNS


Proses apa yang diperlukan untuk mengonfigurasi lingkungan Windows agar saya dapat menggunakan DNS CNAME untuk mereferensikan server?

Saya ingin melakukan ini sehingga saya dapat menyebutkan server saya sesuatu seperti SRV001, tetapi masih memilikinya \\file  titik ke server itu, jadi ketika SRV002 menggantikannya saya tidak perlu memperbarui tautan apa pun yang dimiliki orang, cukup perbarui CNAME DNS dan semua orang akan diarahkan ke server baru.


78
2018-06-11 02:24




Kami menggunakan teknik ini sebagaimana didokumentasikan siaga hangat. Anda melakukan pekerjaan yang lebih baik mendokumentasikannya daripada saya. Saya tidak tahu tentang opsi backConnection. Dan kami mengurangi ruang serang kami dengan tidak menggunakan netBIOS. Kami juga tidak menggunakan SPN. Terima kasih! - Knox
Sebagai catatan, kami menggunakan windows filesharing dengan alias DNA untuk server 2003 dan 2008 setiap hari di organisasi saya tanpa perlu melakukan perubahan ini. Itu hanya berfungsi. - Ryan Bolger
Perlu juga dicatat bahwa teks dalam KB926642 memperingatkan bahwa, "Keamanan berkurang ketika Anda menonaktifkan pemeriksaan loopback otentikasi, dan Anda membuka server Windows Server 2003 untuk serangan man-in-the-middle (MITM) pada NTLM." - Ryan Bolger
Terima kasih, Michael. Ini menjawab saya "Bagaimana cara mengaktifkan Windows XP Windows Explorer untuk menerima alias CNAME di bilah alamat?" pertanyaan yang diposting di sini (serverfault.com/questions/238851/…). - Jason Pearce
Terima kasih banyak!!! Ini bekerja pada Server 2008 R2 dengan klien XP Pro mencoba untuk terhubung ke berbagi file. Saya memiliki server HP 10 tahun (Server 2000) mati pada saya sehingga saya bulit server VM, mengembalikan file ke dalamnya, dan membuat ulang saham. Klien XP Pro tidak dapat terhubung dengan kesalahan variuos, tetapi saya menerapkan regedit di atas, reboot, dan semuanya berfungsi, terima kasih sekali lagi.


Jawaban:


Untuk memfasilitasi skema failover, teknik umum adalah menggunakan catatan CNAME DNS (DNS Aliases) untuk peran mesin yang berbeda. Kemudian alih-alih mengubah nama komputer Windows dari nama mesin yang sebenarnya, seseorang dapat mengubah catatan DNS untuk menunjuk ke host baru.

Ini dapat bekerja pada mesin Microsoft Windows, tetapi untuk membuatnya bekerja dengan file sharing, langkah-langkah konfigurasi berikut harus diambil.

Garis besar

  1. Masalah
  2. Solusinya
    • Mengizinkan mesin lain untuk menggunakan file sharing melalui Alias ​​DNS (DisableStrictNameChecking)
    • Mengizinkan mesin server untuk menggunakan file sharing dengan sendirinya melalui DNS Alias ​​(BackConnectionHostNames)
    • Menyediakan kemampuan menelusuri untuk beberapa nama NetBIOS (OptionalNames)
    • Daftarkan nama utama layanan Kerberos (SPN) untuk fungsi Windows lainnya seperti Mencetak (setspn)
  3. Referensi

1. Masalahnya

Pada mesin Windows, file sharing bisa bekerja melalui nama komputer, dengan atau tanpa kualifikasi penuh, atau oleh Alamat IP. Secara default, bagaimanapun, filesharing Tidak akan berhasil dengan alias DNS sewenang-wenang. Untuk mengaktifkan filesharing dan layanan Windows lainnya untuk bekerja dengan alias DNS, Anda harus membuat perubahan registri seperti yang dijelaskan di bawah dan menyalakan ulang mesin.

2. Solusinya

Mengizinkan mesin lain untuk menggunakan file sharing melalui Alias ​​DNS (DisableStrictNameChecking)

Perubahan ini saja akan memungkinkan mesin-mesin lain di jaringan untuk terhubung ke mesin menggunakan sembarang hostname sewenang-wenang. (Namun perubahan ini tidak akan memungkinkan mesin untuk terhubung diri melalui nama host, lihat BackConnectionHostNames di bawah).

  • Edit kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters dan tambahkan nilai DisableStrictNameChecking dari tipe DWORD diatur ke 1.

  • Edit kunci registri (pada 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print dan tambahkan nilai DnsOnWire dari tipe DWORD diatur ke 1

Mengizinkan mesin server untuk menggunakan file sharing dengan sendirinya melalui DNS Alias ​​(BackConnectionHostNames)

Perubahan ini diperlukan untuk alias DNS untuk bekerja dengan berbagi file dari mesin untuk menemukan dirinya sendiri. Ini membuat nama host Local Security Authority yang dapat direferensikan dalam permintaan otentikasi NTLM.

Untuk melakukan ini, ikuti langkah-langkah ini untuk semua node di komputer klien:

  1. Ke subkunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, tambahkan Nilai Multi-String baru BackConnectionHostNames
  2. Di kotak Data nilai, ketik CNAME atau alias DNS, yang digunakan untuk share lokal di komputer, lalu klik OK.
    • Catatan: Ketikkan setiap nama host pada baris terpisah.

Menyediakan kemampuan menelusuri untuk beberapa nama NetBIOS (OptionalNames)

Memungkinkan kemampuan untuk melihat alias jaringan dalam daftar jelajah jaringan.

  1. Edit kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters dan tambahkan nilai OptionalNames dari tipe Multi-String
  2. Tambahkan daftar nama baru yang harus terdaftar di bawah entri penelusuran NetBIOS
    • Nama harus sesuai dengan konvensi NetBIOS (yaitu bukan FQDN, hanya nama host)

Daftarkan nama utama layanan Kerberos (SPN) untuk fungsi Windows lainnya seperti Mencetak (setspn)

CATATAN: Sebaiknya tidak perlu melakukan ini agar fungsi dasar berfungsi, didokumentasikan di sini untuk kelengkapan. Kami memiliki satu situasi di mana alias DNS tidak berfungsi karena ada catatan SPN lama yang mengganggu, jadi jika langkah lain tidak berfungsi, periksa apakah ada data SPN yang tersesat.

Anda harus mendaftarkan nama utama layanan Kerberos (SPN), nama host, dan nama domain yang sepenuhnya memenuhi syarat (FQDN) untuk semua catatan DNS alias (CNAME) baru. Jika Anda tidak melakukan ini, permintaan tiket Kerberos untuk data alias DNS (CNAME) dapat gagal dan mengembalikan kode kesalahan KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Untuk melihat SPN Kerberos untuk catatan alias DNS baru, gunakan alat baris perintah Setspn (setspn.exe). Alat Setspn termasuk dalam Alat Dukungan Windows Server 2003. Anda dapat menginstal Alat Dukungan Windows Server 2003 dari folder Support \ Tools dari disk startup Windows Server 2003.

Cara menggunakan alat untuk membuat daftar semua catatan untuk computername:

setspn -L computername

Untuk mendaftarkan SPN untuk catatan alias DNS (CNAME), gunakan alat Setspn dengan sintaks berikut:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referensi

Semua referensi Microsoft bekerja melalui: http://support.microsoft.com/kb/

  1. Menghubungkan ke berbagi SMB pada komputer berbasis Windows 2000 atau komputer berbasis Windows Server 2003 mungkin tidak berfungsi dengan nama alias
    • Meliputi dasar-dasar membuat file sharing berfungsi dengan baik dengan catatan alias DNS dari komputer lain ke komputer server.
    • KB281308
  2. Pesan galat ketika Anda mencoba mengakses server secara lokal dengan menggunakan FQDN atau alias CNAME setelah Anda menginstal Windows Server 2003 Paket Layanan 1: "Akses ditolak" atau "Tidak ada penyedia jaringan yang menerima jalur jaringan tertentu"
    • Mencakup cara membuat alias DNS bekerja dengan file sharing dari file server itu sendiri.
    • KB926642
  3. Cara mengkonsolidasikan server cetak dengan menggunakan catatan DNS alias (CNAME) di Windows Server 2003 dan di Windows 2000 Server
    • Mencakup skenario yang lebih kompleks di mana catatan dalam Active Directory mungkin perlu diperbarui agar layanan tertentu berfungsi dengan baik dan untuk mencari layanan tersebut berfungsi dengan baik, cara mendaftarkan nama utama layanan Kerberos (SPN).
    • KB870911
  4. Pembaruan File Sistem terdistribusi untuk mendukung akar konsolidasi pada Windows Server 2003
    • Mencakup skenario yang lebih kompleks dengan DFS (membahas OptionalNames).
    • KB829885

65
2018-06-11 02:25



Item lain untuk mencetak untuk bekerja di bawah Windows Server 2008R2 / Win7 didokumentasikan di support.microsoft.com/kb/979602. Anda perlu menonaktifkan optimasi DNS yang mereka tambahkan untuk mendukung pencetakan ke mesin aliased dengan menambahkan nilai DWORD bernama "DnsOnWire" ke HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print dan atur ke 1. Kemudian restart layanan Print Spooler. - nitzmahone
Sumber untuk edit saya: serverfault.com/q/396598/2869 - Joel Coel


Cara lain untuk melakukan pembagian file Windows dengan redundansi adalah menggunakan Sistem File Terdistribusi dengan Replikasi (DFS-R). Anda akan membutuhkan setidaknya Windows Server 2003 R2 pada server file Anda untuk mengimplementasikan ini.

Anda mengatur akar DFS Anda, dan kemudian dapat menentukan beberapa server yang menyediakan satu share. Jika salah satu server turun, klien yang menggunakannya akan secara otomatis gagal ke salah satu dari yang lain.

Untuk informasi lebih lanjut, lihat Microsoft ikhtisar DFS.


10
2018-06-11 22:36