it-swarm-ru.tech

Как настроить компьютер Windows, чтобы разрешить общий доступ к файлам с псевдонимом DNS

Какой процесс необходим для настройки среды Windows, чтобы я мог использовать DNS CNAME для ссылок на серверы?

Я хочу сделать это так, чтобы я мог назвать свои серверы как-то вроде SRV001, но все еще иметь \\fileуказать на этот сервер, поэтому, когда SRV002 заменяет его, мне не нужно обновлять какие-либо ссылки, которые есть у людей, просто обновите DNS CNAME, и все получат указание на новый сервер.

81
Michael Ferrante

Чтобы упростить схемы аварийного переключения, распространенным методом является использование записей DNS CNAME (псевдонимы DNS) для разных ролей компьютера. Затем вместо того, чтобы изменить имя компьютера в Windows на фактическое имя компьютера, можно переключить запись DNS, чтобы указать на новый хост.

Это может работать на компьютерах с Microsoft Windows, но для работы с общим доступом к файлам необходимо выполнить следующие шаги настройки.

Контур

  1. Проблема
  2. Решение
    • Разрешение другим машинам использовать общий доступ к файлам через псевдоним DNS (DisableStrictNameChecking)
    • Разрешение серверу компьютера использовать общий доступ к файлам через псевдоним DNS (BackConnectionHostNames)
    • Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)
    • Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Печать (setspn)
  3. Ссылки

1. Проблема

На компьютерах с Windows совместное использование файлов может работать через имя компьютера, с полной квалификацией или без нее или по IP-адресу. Однако по умолчанию общий доступ к файлам не будет работать с произвольными псевдонимами DNS. Чтобы разрешить совместное использование файлов и другие службы Windows для работы с псевдонимами DNS, необходимо внести изменения в реестр, как описано ниже, и перезагрузить компьютер.

2. Решение

Разрешение другим машинам использовать общий доступ к файлам через псевдоним DNS (DisableStrictNameChecking)

Одно только это изменение позволит другим машинам в сети подключаться к машине с любым произвольным именем хоста. (Однако это изменение не позволит машине подключаться к себе через имя хоста, см. BackConnectionHostNames ниже).

  • Изменить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters и ​​добавьте значение DisableStrictNameChecking типа DWORD, равное 1.

  • Изменить раздел реестра (на 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print и ​​добавьте значение DnsOnWire типа DWORD, равное 1

Разрешение серверу компьютера использовать общий доступ к файлам через псевдоним DNS (BackConnectionHostNames)

Это изменение необходимо для псевдонима DNS для работы с файлообменниками с компьютера, чтобы найти себя. Это создает имена хостов локального центра безопасности, на которые можно ссылаться в запросе проверки подлинности NTLM.

Чтобы сделать это, выполните следующие действия для всех узлов на клиентском компьютере:

  1. К разделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, добавьте новое значение Multi-String BackConnectionHostNames
  2. В поле "Значение" введите CNAME или псевдоним DNS, который используется для локальных общих папок на компьютере, и нажмите кнопку ОК.
    • Примечание. Введите имя каждого хоста в отдельной строке.

Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)

Позволяет видеть сетевой псевдоним в списке просмотра сети.

  1. Изменить раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters и ​​добавьте значение OptionalNames типа Multi-String
  2. Добавьте в новую строку список имен с разделителями, которые должны быть зарегистрированы в записях обзора NetBIOS
    • Имена должны соответствовать соглашениям NetBIOS (т.е. не FQDN, а просто имя хоста)

Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Печать (setspn)

ПРИМЕЧАНИЕ: не нужно делать это для работы основных функций, документированных здесь для полноты. У нас была одна ситуация, когда псевдоним DNS не работал, потому что вмешивалась старая запись SPN, поэтому, если другие шаги не работают, проверьте, есть ли какие-либо ошибочные записи SPN.

Вы должны зарегистрировать имена участников службы (SPN) Kerberos, имя хоста и полное доменное имя (FQDN) для всех новых записей псевдонимов DNS (CNAME). Если вы этого не сделаете, запрос билета Kerberos для записи псевдонима DNS (CNAME) может завершиться ошибкой и вернуть код ошибки KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Чтобы просмотреть имена SPN Kerberos для новых записей псевдонимов DNS, используйте инструмент командной строки Setspn (setspn.exe). Инструмент Setspn входит в состав средств поддержки Windows Server 2003. Средства поддержки Windows Server 2003 можно установить из папки "Support\Tools" на загрузочном диске Windows Server 2003.

Как использовать инструмент для отображения всех записей для имени компьютера:

setspn -L computername

Чтобы зарегистрировать имя участника-службы для записей псевдонимов DNS (CNAME), используйте инструмент Setspn со следующим синтаксисом:

setspn -A Host/your_ALIAS_name computername
setspn -A Host/your_ALIAS_name.company.com computername

3. Ссылки

Все ссылки Microsoft работают через: http://support.Microsoft.com/kb/

  1. Подключение к общей папке SMB на компьютере под управлением Windows 2000 или Windows Server 2003 может не работать с псевдонимом
    • Описывает основы правильной работы файлообменника с записями псевдонимов DNS с других компьютеров на сервер.
    • KB281308
  2. Сообщение об ошибке при попытке доступа к серверу локально с использованием его полного доменного имени или псевдонима CNAME после установки пакета обновления 1 (SP1) для Windows Server 2003: "Доступ запрещен" или "Ни один сетевой поставщик не принял указанный сетевой путь"
    • Описывает, как заставить псевдоним DNS работать с файлообменником с самого файлового сервера.
    • KB926642
  3. Как консолидировать серверы печати с помощью записей псевдонимов DNS (CNAME) в Windows Server 2003 и Windows 2000 Server
    • Описывает более сложные сценарии, в которых может потребоваться обновление записей в Active Directory, чтобы определенные службы работали должным образом, а также чтобы просматривать такие службы для правильной работы, как зарегистрировать имена участников службы Kerberos (SPN).
    • KB870911
  4. Обновление распределенной файловой системы для поддержки корней консолидации в Windows Server 2003
    • Охватывает даже более сложные сценарии с DFS (обсуждается OptionalNames).
    • KB829885
67
Michael Ferrante

Другой способ сделать общий доступ к файлам Windows с избыточностью - это использовать распределенную файловую систему с репликацией (DFS-R). Для реализации этого вам потребуется как минимум Windows Server 2003 R2 на ваших файловых серверах.

Вы устанавливаете свой корень DFS, а затем можете указать несколько серверов, предоставляющих один общий ресурс. Если один из серверов выйдет из строя, клиенты, использующие его, автоматически переключатся на один из других.

Для получения дополнительной информации см. Microsoft обзор DFS .

11
Joe