Comment configurer une machine Windows pour permettre le partage de fichiers avec un alias DNS

81

Quel processus est nécessaire pour configurer un environnement Windows afin de me permettre d'utiliser DNS CNAME pour référencer des serveurs?

Je souhaite effectuer cette opération pour pouvoir nommer mes serveurs comme SRV001, tout en gardant un \\file point sur ce serveur. Ainsi, lorsque SRV002 le remplace, je n'ai pas à mettre à jour les liens des personnes, il suffit de mettre à jour DNS CNAME et tout le monde. se fera pointer vers le nouveau serveur.

windows domain-name-system file-sharing alias netbios Michael Ferrante
la source
Nous utilisons cette technique telle que documentée en attente chaude . Vous avez fait beaucoup mieux le documenter que moi. Je ne connaissais pas l'option backConnection. Et nous réduisons notre espace d’attaque en n’utilisant pas netBIOS. Nous n'utilisons pas le SPN non plus. Merci!
Knox
Pour mémoire, nous utilisons le partage de fichiers Windows avec des alias DNA sur les serveurs 2003 et 2008 au sein de mon entreprise, sans qu'il soit nécessaire de procéder à ces modifications. Ça fonctionne.
Ryan Bolger
Il convient également de noter que le texte de la KB926642 avertit que "La sécurité est réduite lorsque vous désactivez la vérification du bouclage d'authentification et que vous ouvrez le serveur Windows Server 2003 pour des attaques de type" man-in-the-middle "(MITM) sur NTLM".
Ryan Bolger
Merci Michael. Cela répondait à ma question "Comment puis-je activer l'explorateur Windows de Windows XP pour accepter les alias CNAME dans la barre d'adresse?" question publiée ici ( serverfault.com/questions/238851/… ).
Jason Pearce
Merci beaucoup!!! Cela a fonctionné sur un serveur 2008 R2 avec des clients XP Pro essayant de se connecter au partage de fichiers. Un serveur HP (Server 2000) âgé de 10 ans est mort sur moi. J'ai donc créé un serveur de machine virtuelle, restauré les fichiers et recréé les partages. Les clients XP Pro ne pouvaient pas se connecter avec des erreurs variées, mais j’ai appliqué le regedit ci-dessus, redémarré, et tout fonctionne, merci encore.

Réponses:

67

Pour faciliter les schémas de basculement, une technique courante consiste à utiliser des enregistrements DNS CNAME (alias DNS) pour différents rôles d'ordinateur. Ensuite, au lieu de changer le nom d’ordinateur Windows du nom actuel de la machine, il est possible de changer un enregistrement DNS pour qu’il pointe vers un nouvel hôte.

Cela peut fonctionner sur des machines Microsoft Windows, mais pour que cela fonctionne avec le partage de fichiers, vous devez suivre les étapes de configuration suivantes.

Contour

  1. Le problème
  2. La solution
    • Autoriser d'autres machines à utiliser le partage de fichiers via l'alias DNS (DisableStrictNameChecking)
    • Autoriser le serveur à utiliser le partage de fichiers avec lui-même via l'alias DNS (BackConnectionHostNames)
    • Fournir des fonctionnalités de navigation pour plusieurs noms NetBIOS (OptionalNames)
    • Enregistrez les noms principaux de service Kerberos (SPN) pour d'autres fonctions Windows telles que Impression (setspn)
  3. Références

1. Le problème

Sur les ordinateurs Windows, le partage de fichiers peut fonctionner via le nom de l'ordinateur, avec ou sans qualification complète, ou avec l'adresse IP. Par défaut, toutefois, le partage de fichiers ne fonctionnera pas avec des alias DNS arbitraires. Pour permettre au partage de fichiers et aux autres services Windows de fonctionner avec des alias DNS, vous devez apporter les modifications de registre décrites ci-dessous, puis redémarrer l'ordinateur.

2. La solution

Autoriser d'autres machines à utiliser le partage de fichiers via l'alias DNS (DisableStrictNameChecking)

Cette modification seule permettra aux autres machines du réseau de se connecter à la machine en utilisant n'importe quel nom d'hôte quelconque. (Cependant, cette modification ne permettra pas à une machine de se connecter à elle-même via un nom d'hôte, voir BackConnectionHostNames ci-dessous).

  • Editez la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameterset ajoutez une valeur DisableStrictNameCheckingde type DWORD définie sur 1.

  • Editez la clé de registre (sur 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printet ajoutez une valeur DnsOnWirede type DWORD définie sur 1

Autoriser le serveur à utiliser le partage de fichiers avec lui-même via l'alias DNS (BackConnectionHostNames)

Cette modification est nécessaire pour qu'un alias DNS puisse utiliser le partage de fichiers à partir d'une machine. Cela crée les noms d'hôte de l'autorité de sécurité locale pouvant être référencés dans une demande d'authentification NTLM.

Pour ce faire, procédez comme suit pour tous les nœuds sur l'ordinateur client:

  1. À la sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0- clé de registre , ajoutez une nouvelle valeur multi-chaîneBackConnectionHostNames
  2. Dans la zone Données de la valeur, tapez le CNAME ou l'alias DNS utilisé pour les partages locaux sur l'ordinateur, puis cliquez sur OK.
    • Remarque: Tapez chaque nom d'hôte sur une ligne distincte.

Fournir des fonctionnalités de navigation pour plusieurs noms NetBIOS (OptionalNames)

Permet de voir l'alias de réseau dans la liste de navigation du réseau.

  1. Editez la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameterset ajoutez une valeur OptionalNamesde type Multi-String
  2. Ajouter dans une liste délimitée par une nouvelle ligne des noms qui doivent être enregistrés sous les entrées de navigation NetBIOS
    • Les noms doivent correspondre aux conventions NetBIOS (c'est-à-dire pas le nom de domaine complet, juste le nom d'hôte)

Enregistrez les noms principaux de service Kerberos (SPN) pour d'autres fonctions Windows telles que Impression (setspn)

REMARQUE: Cela ne devrait pas être nécessaire pour que les fonctions de base fonctionnent, documenté ici pour être complet. Dans un cas, l'alias DNS ne fonctionnait pas, car un ancien enregistrement SPN interférait. Par conséquent, si les autres étapes ne fonctionnent pas, vérifiez s'il existe des enregistrements SPN égarés.

Vous devez enregistrer les noms principaux de service Kerberos, le nom d'hôte et le nom de domaine pleinement qualifié (FQDN) pour tous les nouveaux enregistrements d'alias DNS (CNAME). Si vous ne le faites pas, une demande de ticket Kerberos pour un enregistrement d'alias DNS (CNAME) peut échouer et renvoyer le code d'erreur KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Pour afficher les SPN Kerberos des nouveaux enregistrements d'alias DNS, utilisez l'outil de ligne de commande Setspn ( setspn.exe). L'outil Setspn est inclus dans les outils de support de Windows Server 2003. Vous pouvez installer les outils de support de Windows Server 2003 à partir du dossier Support \ Tools du disque de démarrage de Windows Server 2003.

Comment utiliser l'outil pour lister tous les enregistrements pour un nom d'ordinateur:

setspn -L computername

Pour enregistrer le SPN pour les enregistrements d'alias DNS (CNAME), utilisez l'outil Setspn avec la syntaxe suivante:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. références

Toutes les références Microsoft fonctionnent via: http://support.microsoft.com/kb/

  1. La connexion au partage SMB sur un ordinateur Windows 2000 ou Windows Server 2003 peut ne pas fonctionner avec un nom d'alias
    • Couvre les bases du bon fonctionnement du partage de fichiers avec les enregistrements d'alias DNS d'autres ordinateurs sur l'ordinateur serveur.
    • KB281308
  2. Message d'erreur lorsque vous essayez d'accéder à un serveur localement à l'aide de son nom de domaine complet ou de son alias CNAME après avoir installé Windows Server 2003 Service Pack 1: "Accès refusé" ou "Aucun fournisseur de réseau n'a accepté le chemin d'accès réseau indiqué"
    • Explique comment faire fonctionner l'alias DNS avec le partage de fichiers à partir du serveur de fichiers lui-même.
    • KB926642
  3. Comment consolider des serveurs d'impression à l'aide d'enregistrements d'alias DNS (CNAME) dans Windows Server 2003 et Windows 2000 Server
    • Couvre des scénarios plus complexes dans lesquels il peut être nécessaire de mettre à jour des enregistrements dans Active Directory pour que certains services fonctionnent correctement et pour naviguer correctement dans de tels services. Comment enregistrer les noms principaux de service Kerberos.
    • KB870911
  4. Mise à jour du système de fichiers distribué pour prendre en charge les racines de consolidation dans Windows Server 2003
    • Couvre des scénarios encore plus complexes avec DFS (traite de OptionalNames).
    • KB829885
Michael Ferrante
la source
Un autre élément permettant d’imprimer sous Windows Server 2008R2 / Win7 est décrit à l’adresse support.microsoft.com/kb/979602 . Vous devez désactiver une optimisation DNS ajoutée pour prendre en charge l'impression sur une machine avec alias en ajoutant une valeur DWORD nommée "DnsOnWire" à HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print et la définir sur 1. Redémarrez ensuite le service Spouleur d'impression.
Nitzmahone
Source pour mon edit: serverfault.com/q/396598/2869
Joel Coel
11

L'autre façon de partager des fichiers Windows avec redondance consiste à utiliser le système de fichiers distribués avec réplication (DFS-R). Vous aurez au moins besoin de Windows Server 2003 R2 sur vos serveurs de fichiers pour le mettre en œuvre.

Vous configurez votre racine DFS, puis pouvez spécifier plusieurs serveurs fournissant un seul partage. Si l'un des serveurs tombe en panne, les clients qui l'utilisent basculent automatiquement sur l'un des autres.

Pour plus d'informations, voir la présentation de Microsoft sur DFS .

Joe
la source