Để tạo điều kiện cho các sơ đồ chuyển đổi dự phòng, một kỹ thuật phổ biến là sử dụng các bản ghi DNS CNAME (Bí danh DNS) cho các vai trò máy khác nhau. Sau đó, thay vì thay đổi tên máy tính Windows của tên máy thực tế, người ta có thể chuyển bản ghi DNS để trỏ đến máy chủ mới.
Điều này có thể hoạt động trên các máy Microsoft Windows, nhưng để làm cho nó hoạt động với tệp chia sẻ các bước cấu hình sau đây cần phải được thực hiện.
Đề cương
- Vấn đề
- Giải pháp
- Cho phép các máy khác sử dụng chia sẻ tệp qua Bí danh DNS (DisableStrictNameChecking)
- Cho phép máy chủ sử dụng chia sẻ tệp với chính nó thông qua Bí danh DNS (BackConnectionhostNames)
- Cung cấp khả năng duyệt cho nhiều tên NetBIOS (Tùy chọn tên)
- Đăng ký tên chính của dịch vụ Kerberos (SPN) cho các chức năng khác của Windows như Printing (setspn)
- Người giới thiệu
1. Vấn đề
Trên các máy Windows, chia sẻ tệp có thể hoạt động thông qua tên máy tính, có hoặc không có đủ điều kiện hoặc theo Địa chỉ IP. Tuy nhiên, theo mặc định, chia sẻ tệp sẽ không hoạt động với các bí danh DNS tùy ý. Để cho phép chia sẻ tệp và các dịch vụ Windows khác hoạt động với bí danh DNS, bạn phải thực hiện thay đổi sổ đăng ký như chi tiết bên dưới và khởi động lại máy.
2. Giải pháp
Cho phép các máy khác sử dụng chia sẻ tệp qua Bí danh DNS (DisableStrictNameChecking)
Chỉ riêng thay đổi này sẽ cho phép các máy khác trong mạng kết nối với máy bằng bất kỳ tên máy chủ tùy ý nào. (Tuy nhiên, thay đổi này sẽ không cho phép máy kết nối với chính nó thông qua tên máy chủ, xem BackConnectionhostNames bên dưới).
Chỉnh sửa khoá đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
và thêm giá trị DisableStrictNameChecking
loại DWORD được đặt thành 1.
Chỉnh sửa khóa đăng ký (trên 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print
và thêm giá trị DnsOnWire
loại DWORD được đặt thành 1
Cho phép máy chủ sử dụng chia sẻ tệp với chính nó thông qua Bí danh DNS (BackConnectionhostNames)
Thay đổi này là cần thiết để bí danh DNS hoạt động với chia sẻ tệp từ máy để tự tìm. Điều này tạo ra tên máy chủ của Cơ quan bảo mật cục bộ có thể được tham chiếu trong yêu cầu xác thực NTLM.
Để thực hiện việc này, hãy làm theo các bước sau cho tất cả các nút trên máy khách:
- Để khoá con đăng ký
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
, thêm Giá trị đa chuỗi mớiBackConnectionHostNames
- Trong hộp Dữ liệu giá trị, nhập bí danh CNAME hoặc bí danh DNS, được sử dụng cho các chia sẻ cục bộ trên máy tính, sau đó bấm OK.
- Lưu ý: Nhập từng tên máy chủ trên một dòng riêng biệt.
Cung cấp khả năng duyệt cho nhiều tên NetBIOS (Tùy chọn tên)
Cho phép khả năng xem bí danh mạng trong danh sách duyệt mạng.
- Chỉnh sửa khoá đăng ký
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
và thêm giá trị OptionalNames
của loại Đa chuỗi
- Thêm vào danh sách các tên được phân tách bằng dòng mới nên được đăng ký trong các mục duyệt của NetBIOS
- Tên phải phù hợp với quy ước NetBIOS (không phải là FQDN, chỉ là tên máy chủ)
Đăng ký tên chính của dịch vụ Kerberos (SPN) cho các chức năng khác của Windows như Printing (setspn)
LƯU Ý: Không cần phải làm điều này để các chức năng cơ bản hoạt động, được ghi lại ở đây để hoàn thiện. Chúng tôi đã có một tình huống trong đó bí danh DNS không hoạt động vì có một bản ghi SPN cũ can thiệp, vì vậy nếu các bước khác không hoạt động, hãy kiểm tra xem có bản ghi SPN nào không.
Bạn phải đăng ký tên chính của dịch vụ Kerberos (SPN), tên máy chủ và tên miền đủ điều kiện (FQDN) cho tất cả các bản ghi bí danh DNS (CNAME) mới. Nếu bạn không làm điều này, yêu cầu vé Kerberos cho bản ghi bí danh DNS (CNAME) có thể không thành công và trả lại mã lỗi KDC_ERR_S_SPRINCIPAL_UNKNOWN
.
Để xem các SPN Kerberos cho các bản ghi bí danh DNS mới, hãy sử dụng công cụ dòng lệnh Setspn ( setspn.exe
). Công cụ Setspn được bao gồm trong Công cụ hỗ trợ Windows Server 2003. Bạn có thể cài đặt Công cụ hỗ trợ Windows Server 2003 từ thư mục Support \ Tools của đĩa khởi động Windows Server 2003.
Cách sử dụng công cụ để liệt kê tất cả các bản ghi cho một tên máy tính:
setspn -L computername
Để đăng ký SPN cho các bản ghi bí danh DNS (CNAME), hãy sử dụng công cụ Setspn với cú pháp sau:
setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername
3. Tài liệu tham khảo
Tất cả các tài liệu tham khảo của Microsoft hoạt động thông qua: http://support.microsoft.com/kb/
- Kết nối với chia sẻ SMB trên máy tính chạy Windows 2000 hoặc máy tính chạy Windows Server 2003 có thể không hoạt động với tên bí danh
- Bao gồm những điều cơ bản để làm cho việc chia sẻ tệp hoạt động đúng với các bản ghi bí danh DNS từ các máy tính khác đến máy tính của máy chủ.
- KB281308
- Thông báo lỗi khi bạn cố truy cập máy chủ cục bộ bằng cách sử dụng FQDN hoặc bí danh CNAME của nó sau khi bạn cài đặt Windows Server 2003 Gói dịch vụ 1: "Truy cập bị từ chối" hoặc "Không nhà cung cấp mạng nào chấp nhận đường dẫn mạng đã cho"
- Bao gồm cách làm cho bí danh DNS hoạt động với chia sẻ tệp từ chính máy chủ tệp.
- KB926642
- Cách hợp nhất các máy chủ in bằng cách sử dụng các bản ghi bí danh DNS (CNAME) trong Windows Server 2003 và trong Windows 2000 Server
- Bao gồm các kịch bản phức tạp hơn trong đó các bản ghi trong Active Directory có thể cần được cập nhật để một số dịch vụ hoạt động chính xác và để các dịch vụ đó hoạt động chính xác, làm thế nào để đăng ký tên chính của dịch vụ Kerberos (SPN).
- KB870911
- Cập nhật hệ thống tệp phân tán để hỗ trợ gốc hợp nhất trong Windows Server 2003
- Bao gồm các kịch bản phức tạp hơn với DFS (thảo luận về Tùy chọn tên).
- KB829885