Bir Windows makinesini bir DNS diğer adıyla dosya paylaşımına izin verecek şekilde yapılandırma

81

Bir Windows ortamını, sunuculara başvurmak için DNS CNAME kullanmamı sağlayacak şekilde yapılandırmak için hangi işlem gerekir?

Bunu yapmak istiyorum ki, sunucularımı SRV001 gibi bir adlandırabilirim, ancak yine de bu sunucuyu \\file işaret ettim, bu yüzden SRV002 bunu değiştirdiğinde, insanların bağlantılarını hiçbirini güncellemem gerekmiyor Yeni sunucuya işaret edecek.

windows  domain-name-system  file-sharing  alias  netbios 
Michael Ferrante
kaynak
Bu tekniği belgelenmiş sıcak bekleme olarak kullanıyoruz . Benden çok daha iyi bir belgeleme yaptın. BackConnection seçeneğini bilmiyordum. NetBIOS kullanmayarak saldırı alanımızı azaltıyoruz. SPN'yi de kullanmıyoruz. Teşekkürler!
Knox
Kayıt için, kuruluşumda günlük olarak 2003 ve 2008 sunucularına karşı DNA takma adları ile Windows dosya paylaşımını kullanıyoruz ve bu değişikliklerden herhangi birini yapmaya gerek kalmadan kullanıyoruz. Sadece işe yarıyor.
Ryan Bolger
Ayrıca KB926642'deki metnin "Kimlik doğrulama geridöngü denetimini devre dışı bıraktığınızda güvenlik azalır ve NTLM'de ortadaki adam (MITM) saldırıları için Windows Server 2003 sunucusunu açarsınız" uyarısı yapılmalıdır.
Ryan Bolger
Teşekkürler Michael. Bu, "Windows XP'nin Windows Gezgini'nin adres çubuğundaki CNAME takma adlarını kabul etmesini nasıl sağlayabilirim?" soru burada gönderildi ( serverfault.com/questions/238851/… ).
Jason Pearce,
Çok teşekkür ederim!!! Bu, dosya paylaşımına bağlanmaya çalışan XP Pro istemcileriyle birlikte bir Server 2008 R2 üzerinde çalıştı. 10 yaşında bir HP sunucum (Server 2000) üzerimde öldü, böylece bir VM sunucusunu buldum, dosyaları geri yükledim ve paylaşımları yeniden yarattım. XP Pro istemcileri değişik hatalarla bağlantı kuramadı, ancak yukarıdaki regedit'i uyguladım, yeniden başlattım ve tekrar çalıştığını gördüm.

Yanıtlar:

67

Yük devretme şemalarını kolaylaştırmak için, ortak bir teknik, farklı makine rolleri için DNS CNAME kayıtlarını (DNS Takma Adları) kullanmaktır. Daha sonra, asıl makine adının Windows bilgisayar adını değiştirmek yerine, bir DNS kaydını yeni bir ana bilgisayara işaret edecek şekilde değiştirebilirsiniz.

Bu, Microsoft Windows makinelerinde çalışabilir, ancak aşağıdaki yapılandırma adımlarını paylaşan dosyayla çalışmasını sağlamak için yapılması gerekenler vardır.

taslak

  1. Sorun
  2. Çözüm
    • Diğer makinelerin DNS Alias ​​üzerinden dosya paylaşımını kullanmalarına izin verme (DisableStrictNameChecking)
    • Sunucu makinesinin DNS Alias ​​(BackConnectionHostNames) üzerinden dosya paylaşımını kullanmasına izin verme
    • Birden fazla NetBIOS adı için göz atma özellikleri sağlama (İsteğe Bağlı Adlar)
    • Kerberos servis asıl isimlerini (SPN'ler) Printing (setspn) gibi diğer Windows fonksiyonları için kaydedin.
  3. Referanslar

1. Sorun

Windows makinelerde dosya paylaşımı yapabilirsiniz ile veya tam yeterlilik olmadan veya IP Adresi ile, bilgisayar adı aracılığıyla çalışır. Ancak, varsayılan olarak, dosya paylaşımı keyfi DNS takma adları ile çalışmaz . Dosya paylaşımının ve diğer Windows hizmetlerinin DNS diğer adları ile çalışmasını sağlamak için, aşağıda ayrıntıları verilen kayıt defteri değişikliklerini yapmanız ve makineyi yeniden başlatmanız gerekir.

2. Çözüm

Diğer makinelerin DNS Alias ​​üzerinden dosya paylaşımını kullanmalarına izin verme (DisableStrictNameChecking)

Bu değişiklik tek başına, ağdaki diğer makinelerin herhangi bir rastgele ana bilgisayar adı kullanarak makineye bağlanmasına izin verecektir. (Ancak bu değişiklik bir makinenin bir ana bilgisayar adıyla kendisine bağlanmasına izin vermez , aşağıdaki BackConnectionHostNames bölümüne bakın).

  • Kayıt defteri anahtarını düzenleyin ve 1 olarak ayarlanan DWORD türünü HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersbir değer ekleyin DisableStrictNameChecking.

  • Kayıt defteri anahtarını düzenleyin (2008 R2’de) HKLM\SYSTEM\CurrentControlSet\Control\Printve DnsOnWire1 olarak ayarlanan DWORD türünü bir değer ekleyin

Sunucu makinesinin DNS Alias ​​(BackConnectionHostNames) üzerinden dosya paylaşımını kullanmasına izin verme

Bu değişiklik, bir DNS diğer adının kendisini bulmak için makineden dosya paylaşımında çalışabilmesi için gereklidir. Bu, bir NTLM kimlik doğrulama isteğinde referans alınabilen Yerel Güvenlik Otoritesi ana bilgisayar adlarını oluşturur.

Bunu yapmak için, istemci bilgisayardaki tüm düğümler için şu adımları izleyin:

  1. Kayıt defteri alt anahtarına HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, yeni Çok Dizeli Değer ekleyinBackConnectionHostNames
  2. Değer verisi kutusuna, bilgisayardaki yerel paylaşımlar için kullanılan CNAME veya DNS diğer adını yazın ve ardından Tamam'ı tıklatın.
    • Not: Her ana bilgisayar adını ayrı bir satıra yazın.

Birden fazla NetBIOS adı için göz atma özellikleri sağlama (İsteğe Bağlı Adlar)

Ağ takma adlarını ağ göz atma listesinde görebilmenizi sağlar.

  1. Kayıt defteri anahtarını düzenleyin HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersve OptionalNamesMulti-String türünde bir değer ekleyin .
  2. NetBIOS göz atma girişleri altında kaydedilmesi gereken yeni bir satıra ayrılmış adlar listesi ekleyin.
    • Adlar NetBIOS kurallarına uymalıdır (yani, FQDN değil, yalnızca ana bilgisayar adı)

Kerberos servis asıl isimlerini (SPN'ler) Printing (setspn) gibi diğer Windows fonksiyonları için kaydedin.

NOT: Temel işlevlerin çalışması için bunu yapmanız gerekmemeli, burada eksiksizlik için belgelenmelidir. DNS takma adının çalışmadığı bir durum vardı, çünkü eski bir SPN kaydı karışıyordu, bu nedenle başka adımlar işe yaramazsa başıboş SPN kayıtları olup olmadığını kontrol edin.

Tüm yeni DNS diğer adı (CNAME) kayıtları için Kerberos hizmet asıl adlarını (SPN'ler), ana bilgisayar adını ve tam etki alanı adını (FQDN) kaydetmelisiniz. Bunu yapmazsanız, bir DNS diğer adı (CNAME) kaydı için bir Kerberos bilet isteği başarısız olabilir ve hata kodunu döndürür KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Yeni DNS diğer adı kayıtlarının Kerberos SPN'lerini görüntülemek için Setspn komut satırı aracını ( setspn.exe) kullanın. Setspn aracı, Windows Server 2003 Destek Araçları'nda bulunur. Windows Server 2003 Destek Araçları'nı, Windows Server 2003 başlangıç ​​diskinin Support \ Tools klasöründen yükleyebilirsiniz.

Bir bilgisayar adına ait tüm kayıtları listelemek için bu araç nasıl kullanılır:

setspn -L computername

SPN'yi DNS diğer adı (CNAME) kayıtlarına kaydetmek için Setspn aracını aşağıdaki sözdizimiyle kullanın:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referanslar

Tüm Microsoft referansları şu şekilde çalışır: http://support.microsoft.com/kb/

  1. Windows 2000 tabanlı bir bilgisayarda veya Windows Server 2003 tabanlı bir bilgisayarda SMB paylaşımına bağlanma, takma adla çalışmayabilir
    • Dosya paylaşımının diğer bilgisayarlardan sunucu bilgisayara yapılan DNS diğer adları ile düzgün çalışmasını sağlama temellerini kapsar.
    • KB281308
  2. Windows Server 2003 Service Pack 1'i yükledikten sonra FQDN'sini veya CNAME diğer adını kullanarak yerel olarak bir sunucuya erişmeye çalıştığınızda hata iletisi: "Erişim reddedildi" veya "Verilen ağ yolunu kabul etmedi"
    • DNS diğer adının dosya sunucusundan dosya paylaşımında nasıl çalışacağını kapsar.
    • KB926642
  3. Windows Server 2003 ve Windows 2000 Server'da DNS diğer adı (CNAME) kayıtları kullanılarak baskı sunucuları nasıl birleştirilir
    • Kerberos hizmet asıl adlarının (SPN'ler) nasıl kaydedileceği, belirli hizmetlerin düzgün çalışması ve bu hizmetlerin doğru çalışması için göz atılması için Active Directory'deki kayıtların güncellenmesi gerekebilecek daha karmaşık senaryoları kapsar.
    • KB870911
  4. Windows Server 2003'te birleştirme köklerini desteklemek için Dağıtılmış Dosya Sistemi güncelleştirmesi
    • DFS ile daha da karmaşık senaryoları kapsar (OptionalNames'i tartışır).
    • KB829885
Michael Ferrante
kaynak
Windows Server 2008R2 / Win7 altında çalışması için yazdırmanın başka bir öğesi support.microsoft.com/kb/979602 adresinde belgelenmiştir . HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print \ 'e "DnsOnWire" adlı bir DWORD değeri ekleyerek takma bir makineye yazdırmayı desteklemek için ekledikleri bir DNS optimizasyonunu devre dışı bırakmanız ve 1 olarak ayarlamanız gerekir. Ardından Yazdırma Biriktiricisi hizmetini yeniden başlatın.
nitzmahone
Düzenlememin kaynağı: serverfault.com/q/396598/2869
Joel Coel
11

Windows dosya paylaşımını yedeklemenin başka bir yolu da, Replication (DFS-R) ile Dağıtılmış Dosya Sistemi kullanmaktır. Bunu gerçekleştirmek için dosya sunucularınızda en az Windows Server 2003 R2 gerekir.

DFS kökünüzü kurarsınız ve ardından tek bir paylaşım sağlayan birden fazla sunucu belirleyebilirsiniz. Sunuculardan biri kapanırsa, kullanan istemciler otomatik olarak diğerlerinden birine geçemez.

Daha fazla bilgi için, Microsoft'un DFS'ye genel bakış bölümüne bakın .

Joe
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.