שאלה כיצד להגדיר מחשב Windows כדי לאפשר שיתוף קבצים עם כינוי DNS


באיזה תהליך יש צורך להגדיר את סביבת Windows כדי לאפשר לי להשתמש ב- DNS CNAME כדי להפנות לשרתים?

אני רוצה לעשות את זה כך שאני יכול שם השרתים שלי משהו כמו SRV001, אבל עדיין יש \\file  נקודה לשרת זה, אז כאשר SRV002 מחליף את זה אני לא צריך לעדכן את כל הקישורים אנשים, רק לעדכן את ה- CNAME DNS וכולם יקבלו הצביע על השרת החדש.


78
2018-06-11 02:24




אנו משתמשים בטכניקה זו כפי שתועד המתנה חמה. עשית עבודה טובה הרבה יותר מאשר את זה. לא ידעתי על האפשרות backConnection. ואנו מפחיתים את שטח ההתקפה שלנו על ידי שימוש ב- netBIOS. אנחנו גם לא משתמשים ב- SPN. תודה! - Knox
עבור הרשומה, אנו משתמשים ב- Windows filesharing עם כינויים DNA נגד 2003 ו 2008 שרתי מדי יום בארגון שלי ללא צורך לבצע שינויים אלה. זה פשוט עובד. - Ryan Bolger
כמו כן, יש לציין שהטקסט ב- KB926642 מזהיר כי "האבטחה מופחתת כאשר אתה מבטל את בדיקת בדיקת הלולאה של האימות, ואתה פותח את שרת Windows Server 2003 להתקפות מסוג man-in-the-middle (MITM) ב- NTLM". - Ryan Bolger
תודה לך מייקל. זה ענה שלי "כיצד ניתן להפעיל את Windows Explorer של Windows XP כדי לקבל כינויים CNAME בסרגל הכתובות?" השאלה פורסמה כאן (serverfault.com/questions/238851/...). - Jason Pearce
תודה רבה לך!!! זה עבד על Server 2008 R2 עם XP Pro לקוחות מנסה להתחבר לשתף את הקובץ. היה לי בן 10 שרת HP (Server 2000) למות עליי אז אני bulit שרת VM, לשחזר את הקבצים אליו, וליצור מחדש את המניות. לקוחות Pro XP לא יכול להתחבר עם שגיאות variuos, אבל אני להחיל regedit לעיל, rebooted, וכל זה עובד, תודה שוב.


תשובות:


כדי להקל על תוכניות כשל, טכניקה נפוצה היא להשתמש ברשומות DNS CNAME (כינויים של DNS) עבור תפקידים שונים של מחשב. לאחר מכן במקום לשנות את שם המחשב של שם המחשב בפועל, ניתן להחליף רשומת DNS להצביע על מארח חדש.

זה יכול לעבוד על Microsoft Windows מכונות, אבל כדי לעשות את זה לעבוד עם שיתוף קבצים את הצעדים הבאים תצורה צריך להילקח.

מתווה

  1. הבעיה
  2. הפתרון
    • מתן אפשרות למכונות אחרות להשתמש ב- filesharing באמצעות כינוי DNS (DisableStrictNameChecking)
    • מתן אפשרות למכונה לשרת להשתמש בשיתוף קבצים עם עצמה באמצעות כינוי DNS (BackConnectionHostNames)
    • מתן יכולות גלישה עבור שמות NetBIOS מרובים (OptionalNames)
    • רשום את השמות העיקריים של שירות Kerberos (SPN) עבור פונקציות אחרות של Windows, כגון הדפסה (setpn)
  3. הפניות

1. הבעיה

במכונות Windows, שיתוף קבצים פחית עבודה באמצעות שם המחשב, עם או בלי הסמכה מלאה, או על ידי כתובת ה- IP. כברירת מחדל, עם זאת, שיתוף קבצים לא יעבוד עם כינויי DNS שרירותיים. כדי לאפשר שיתוף קבצים ושירותי Windows אחרים לעבוד עם כינויי DNS, עליך לבצע שינויי רישום כמפורט להלן ולהפעיל מחדש את המחשב.

2. הפתרון

מתן אפשרות למכונות אחרות להשתמש ב- filesharing באמצעות כינוי DNS (DisableStrictNameChecking)

שינוי זה לבדו יאפשר למכונות אחרות ברשת להתחבר למכונה באמצעות כל מארח שרירותי. (עם זאת שינוי זה לא יאפשר למכונה להתחבר עצמה באמצעות שם מארח, ראה BackConnectionHostNames למטה).

  • ערוך את מפתח הרישום HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ולהוסיף ערך DisableStrictNameChecking של סוג DWORD מוגדר ל 1.

  • עריכת מפתח הרישום (ב- 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print ולהוסיף ערך DnsOnWire של סוג DWORD מוגדר ל 1

מתן אפשרות למכונה לשרת להשתמש בשיתוף קבצים עם עצמה באמצעות כינוי DNS (BackConnectionHostNames)

שינוי זה נחוץ עבור כינוי DNS לעבוד עם filesharing ממכשיר למצוא את עצמו. הדבר יוצר את שמות המארח המקומי של רשות האבטחה שניתן להפנות אליהם בבקשת אימות NTLM.

לשם כך, בצע את השלבים הבאים עבור כל הצמתים במחשב הלקוח:

  1. למפתח המשנה של הרישום HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, הוסף ערך רב-מחרוזת חדש BackConnectionHostNames
  2. בתיבה נתוני ערך, הקלד את CNAME או את כינוי ה- DNS, המשמש למניות המקומיות במחשב ולאחר מכן לחץ על אישור.
    • הערה: הקלד את כל שם המארח בשורה נפרדת.

מתן יכולות גלישה עבור שמות NetBIOS מרובים (OptionalNames)

מאפשר יכולת לראות את כינוי הרשת ברשימת הדפדוף ברשת.

  1. ערוך את מפתח הרישום HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ולהוסיף ערך OptionalNames של סוג מחרוזת רב
  2. הוסף לרשימת שמות מופרדים של שורות חדשות, שיש לרשום תחת ערכי הגלישה של NetBIOS
    • שמות צריכים להתאים למוסכמות NetBIOS (כלומר לא FQDN, רק שם מארח)

רשום את השמות העיקריים של שירות Kerberos (SPN) עבור פונקציות אחרות של Windows, כגון הדפסה (setpn)

הערה: לא צריך לעשות את זה עבור פונקציות בסיסיות לעבוד, מתועד כאן לשלמות. היה לנו מצב אחד שבו כינוי ה- DNS אינו פועל משום שהיה רישום ישן של ה- SPN, ולכן אם צעדים אחרים אינם פועלים, בדוק אם קיימים רשומות SPN תועות.

עליך לרשום את שמות ראשי השירות של Kerberos (SPN), את שם המארח ואת שם התחום המלא (FQDN) עבור כל הרשומות החדשות של כינוי DNS (CNAME). אם לא תעשה זאת, בקשת כרטיס Kerberos עבור רשומת כינוי DNS (CNAME) עלולה להיכשל ולהחזיר את קוד השגיאה KDC_ERR_S_SPRINCIPAL_UNKNOWN.

כדי להציג את רשתות ה- Kerberos SPN עבור הרשומות החדשות של כינוי DNS, השתמש בכלי שורת הפקודה של Setpn (setspn.exe). הכלי Setpn כלול בכלי התמיכה של Windows Server 2003. באפשרותך להתקין את כלי התמיכה של Windows Server 2003 מהתיקייה Support \ Tools של דיסק ההפעלה של Windows Server 2003.

כיצד להשתמש בכלי כדי לרשום את כל הרשומות עבור computername:

setspn -L computername

כדי לרשום את SPN עבור רשומות כינוי DNS (CNAME), השתמש בכלי Setpn עם התחביר הבא:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. הפניות

כל ההמלצות של Microsoft פועלות באמצעות: http://support.microsoft.com/kb/

  1. התחברות למיקום SMB במחשב מבוסס Windows 2000 או במחשב מבוסס Windows Server 2003 לא תעבוד עם שם כינוי
    • מכסה את היסודות של הפיכת שיתוף קבצים לעבודה כראוי עם רשומות כינוי DNS ממחשבים אחרים למחשב השרת.
    • KB281308
  2. הודעת שגיאה כאשר מנסים לגשת לשרת באופן מקומי באמצעות ה- FQDN או הכינוי CNAME לאחר התקנת Windows Server 2003 Service Pack 1: "הגישה נדחתה" או "לא קיבל ספק רשת את נתיב הרשת הנתון"
    • מכסה כיצד להפוך את כינוי DNS לעבודה עם שיתוף קבצים משרת הקבצים עצמו.
    • KB926642
  3. כיצד לאחד שרתי הדפסה באמצעות רשומות כינוי DNS (CNAME) ב- Windows Server 2003 וב- Windows 2000 Server
    • מכסה תרחישים מורכבים יותר שבהם ייתכן שיהיה צורך לעדכן רשומות ב- Active Directory עבור שירותים מסוימים כדי לפעול כראוי וכן עבור גלישה עבור שירותים כאלה כדי לעבוד כראוי, כיצד לרשום את שמות שירות Kerberos העיקריים (SPN).
    • KB870911
  4. עדכון קובץ מערכת מבוזרת כדי לתמוך בשורשי איחוד ב- Windows Server 2003
    • מכסה תרחישים מורכבים עוד יותר עם DFS (דן ב- OptionalNames).
    • KB829885

65
2018-06-11 02:25



פריט נוסף להדפסה לעבודה תחת Windows Server 2008R2 / Win7 מתועד ב support.microsoft.com/kb/979602. עליך להשבית אופטימיזציה של DNS שהוסיפו כדי לתמוך בהדפסה למכונה aliased על-ידי הוספת ערך DWORD בשם "DnsOnWire" ל- HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print ולהגדיר אותו ל- 1. לאחר מכן הפעל מחדש את שירות מנגנון ההדפסה ברקע. - nitzmahone
מקור העריכה שלי: serverfault.com/q/396598/2869 - Joel Coel


הדרך האחרת לעשות שיתוף קבצים ב- Windows עם יתירות היא להשתמש במערכת קבצים מבוזרת עם שכפול (DFS-R). תזדקק לפחות ל- Windows Server 2003 R2 בשרתי הקבצים שלך כדי ליישם זאת.

הגדרת את השורש DFS, ולאחר מכן תוכל לציין שרתים מרובים המספקים שיתוף יחיד. אם אחד השרתים יורד, לקוחות באמצעות זה יהיה אוטומטית להיכשל על אחד האחרים.

לקבלת מידע נוסף, עיין ב- Microsoft סקירה כללית של DFS.


10
2018-06-11 22:36