Cara mengkonfigurasi mesin Windows untuk memungkinkan berbagi file dengan alias DNS

81

Proses apa yang diperlukan untuk mengonfigurasi lingkungan Windows agar saya dapat menggunakan DNS CNAME ke server referensi?

Saya ingin melakukan ini sehingga saya dapat memberi nama server saya sesuatu seperti SRV001, tetapi masih ada \\file titik ke server itu, jadi ketika SRV002 menggantinya saya tidak harus memperbarui salah satu tautan yang dimiliki orang, cukup perbarui DNS CNAME dan semua orang akan diarahkan ke server baru.

Michael Ferrante
sumber
Kami menggunakan teknik ini sebagai siaga hangat yang didokumentasikan . Anda melakukan pekerjaan yang jauh lebih baik dalam mendokumentasikannya daripada saya. Saya tidak tahu tentang opsi backConnection. Dan kami mengurangi ruang serangan kami dengan tidak menggunakan netBIOS. Kami juga tidak menggunakan SPN. Terima kasih!
Knox
Sebagai catatan, kami menggunakan windows filesharing dengan alias DNA terhadap server 2003 dan 2008 setiap hari di organisasi saya tanpa harus melakukan perubahan ini. Itu hanya bekerja.
Ryan Bolger
Juga harus dicatat bahwa teks dalam KB926642 memperingatkan bahwa, "Keamanan berkurang ketika Anda menonaktifkan pemeriksaan loopback otentikasi, dan Anda membuka server Windows Server 2003 untuk serangan man-in-the-middle (MITM) pada NTLM."
Ryan Bolger
Terima kasih Michael. Ini menjawab "Bagaimana cara mengaktifkan Windows Explorer Windows XP untuk menerima alias CNAME di bilah alamat?" pertanyaan diposting di sini ( serverfault.com/questions/238851/… ).
Jason Pearce
Terima kasih banyak!!! Ini berfungsi pada Server 2008 R2 dengan klien XP Pro yang mencoba terhubung ke berbagi file. Saya memiliki server HP berusia 10 tahun (Server 2000) mati pada saya jadi saya bulit server VM, mengembalikan file ke sana, dan menciptakan kembali saham. Klien XP Pro tidak dapat terhubung dengan kesalahan variuos, tetapi saya menerapkan regedit di atas, reboot, dan semuanya berfungsi, terima kasih lagi.

Jawaban:

67

Untuk memfasilitasi skema failover, teknik umum adalah dengan menggunakan catatan DNS CNAME (DNS Alias) untuk peran mesin yang berbeda. Kemudian alih-alih mengubah nama pengguna Windows dari nama mesin yang sebenarnya, seseorang dapat mengganti catatan DNS untuk menunjuk ke host baru.

Ini dapat bekerja pada mesin Microsoft Windows, tetapi untuk membuatnya bekerja dengan berbagi file langkah-langkah konfigurasi berikut harus diambil.

Garis besar

  1. Masalah
  2. Solusinya
    • Mengizinkan mesin lain menggunakan filesharing melalui Alias ​​DNS (DisableStrictNameChecking)
    • Mengizinkan mesin server menggunakan filesharing dengan sendirinya melalui Alias ​​DNS (BackConnectionHostNames)
    • Menyediakan kapabilitas penelusuran untuk beberapa nama NetBIOS (Nama Opsional)
    • Daftarkan nama prinsip layanan Kerberos (SPNs) untuk fungsi Windows lainnya seperti Mencetak (setspn)
  3. Referensi

1. Masalahnya

Pada mesin Windows, berbagi file dapat berfungsi melalui nama komputer, dengan atau tanpa kualifikasi penuh, atau dengan Alamat IP. Secara default, bagaimanapun, berbagi file tidak akan berfungsi dengan alias DNS sewenang-wenang. Untuk mengaktifkan berbagi file dan layanan Windows lainnya untuk bekerja dengan alias DNS, Anda harus membuat perubahan registri seperti yang dijelaskan di bawah ini dan reboot mesin.

2. Solusinya

Mengizinkan mesin lain menggunakan filesharing melalui Alias ​​DNS (DisableStrictNameChecking)

Perubahan ini sendiri akan memungkinkan mesin lain di jaringan untuk terhubung ke mesin menggunakan nama host sembarang. (Namun perubahan ini tidak akan memungkinkan mesin untuk terhubung dengan dirinya sendiri melalui nama host, lihat BackConnectionHostNames di bawah).

  • Edit kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersdan tambahkan nilai DisableStrictNameCheckingdari jenis DWORD yang diatur ke 1.

  • Edit kunci registri (pada 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printdan tambahkan nilai DnsOnWirejenis DWORD yang ditetapkan ke 1

Mengizinkan mesin server menggunakan filesharing dengan sendirinya melalui Alias ​​DNS (BackConnectionHostNames)

Perubahan ini diperlukan agar alias DNS dapat berfungsi dengan berbagi file dari mesin untuk menemukan dirinya sendiri. Ini menciptakan nama host Otoritas Keamanan Lokal yang dapat direferensikan dalam permintaan otentikasi NTLM.

Untuk melakukan ini, ikuti langkah-langkah ini untuk semua node di komputer klien:

  1. Ke subkunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, tambahkan Nilai Multi-String baruBackConnectionHostNames
  2. Di kotak Data nilai, ketik CNAME atau alias DNS, yang digunakan untuk share lokal di komputer, dan kemudian klik OK.
    • Catatan: Ketikkan setiap nama host pada baris terpisah.

Menyediakan kapabilitas penelusuran untuk beberapa nama NetBIOS (Nama Opsional)

Memungkinkan kemampuan untuk melihat alias jaringan dalam daftar penelusuran jaringan.

  1. Edit kunci registri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersdan tambahkan nilai OptionalNamestipe Multi-String
  2. Tambahkan daftar nama baru yang dibatasi yang harus didaftarkan di bawah entri penelusuran NetBIOS
    • Nama harus sesuai dengan konvensi NetBIOS (yaitu bukan FQDN, hanya nama host)

Daftarkan nama prinsip layanan Kerberos (SPNs) untuk fungsi Windows lainnya seperti Mencetak (setspn)

CATATAN: Seharusnya tidak perlu melakukan ini untuk fungsi dasar untuk bekerja, didokumentasikan di sini untuk kelengkapan. Kami memiliki satu situasi di mana alias DNS tidak berfungsi karena ada catatan SPN lama yang mengganggu, jadi jika langkah-langkah lain tidak berfungsi, periksa apakah ada catatan SPN yang tersesat.

Anda harus mendaftarkan nama prinsip layanan Kerberos (SPN), nama host, dan nama domain yang memenuhi syarat (FQDN) untuk semua catatan DNS alias (CNAME) yang baru. Jika Anda tidak melakukan ini, permintaan tiket Kerberos untuk catatan DNS alias (CNAME) mungkin gagal dan mengembalikan kode kesalahan KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Untuk melihat Kerberos SPN untuk catatan alias DNS baru, gunakan alat baris perintah Setspn ( setspn.exe). Alat Setspn termasuk dalam Alat Dukungan Windows Server 2003. Anda dapat menginstal Alat Dukungan Windows Server 2003 dari folder Support \ Tools dari disk startup Windows Server 2003.

Cara menggunakan alat ini untuk mendaftar semua catatan untuk nama pengguna:

setspn -L computername

Untuk mendaftarkan SPN untuk catatan DNS alias (CNAME), gunakan alat Setspn dengan sintaks berikut:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referensi

Semua referensi Microsoft berfungsi melalui: http://support.microsoft.com/kb/

  1. Menyambungkan ke SMB share di komputer berbasis Windows 2000 atau komputer berbasis Windows Server 2003 mungkin tidak berfungsi dengan nama alias
    • Meliputi dasar-dasar membuat berbagi file berfungsi dengan baik dengan catatan alias DNS dari komputer lain ke komputer server.
    • KB281308
  2. Pesan galat saat Anda mencoba mengakses server secara lokal dengan menggunakan FQDN atau alias CNAME-nya setelah Anda menginstal Windows Server 2003 Paket Layanan 1: "Akses ditolak" atau "Tidak ada penyedia jaringan yang menerima jalur jaringan yang diberikan"
    • Mencakup cara membuat DNS alias berfungsi dengan berbagi file dari server file itu sendiri.
    • KB926642
  3. Cara mengkonsolidasikan server cetak dengan menggunakan catatan DNS alias (CNAME) di Windows Server 2003 dan Windows 2000 Server
    • Meliputi skenario yang lebih kompleks di mana catatan di Active Directory mungkin perlu diperbarui agar layanan tertentu dapat berfungsi dengan baik dan untuk penelusuran agar layanan tersebut berfungsi dengan baik, cara mendaftarkan nama prinsip layanan Kerberos (SPN).
    • KB870911
  4. Pembaruan Sistem File Terdistribusi untuk mendukung akar konsolidasi di Windows Server 2003
    • Meliputi skenario yang lebih kompleks dengan DFS (membahas OptionalNames).
    • KB829885
Michael Ferrante
sumber
Item lain untuk mencetak agar berfungsi di bawah Windows Server 2008R2 / Win7 didokumentasikan di support.microsoft.com/kb/979602 . Anda perlu menonaktifkan pengoptimalan DNS yang mereka tambahkan untuk mendukung pencetakan ke mesin lain dengan menambahkan nilai DWORD bernama "DnsOnWire" ke HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print dan atur ke 1. Kemudian restart layanan Print Spooler.
nitzmahone
Sumber untuk edit saya: serverfault.com/q/396598/2869
Joel Coel
11

Cara lain untuk melakukan berbagi file Windows dengan redundansi adalah dengan menggunakan Sistem File Terdistribusi dengan Replikasi (DFS-R). Anda memerlukan setidaknya Windows Server 2003 R2 di server file Anda untuk mengimplementasikannya.

Anda mengatur root DFS Anda, dan kemudian dapat menentukan beberapa server yang menyediakan satu saham. Jika salah satu server turun, klien yang menggunakannya akan secara otomatis gagal ke yang lain.

Untuk informasi lebih lanjut, lihat ikhtisar Microsoft tentang DFS .

Joe
sumber