Cách định cấu hình máy Windows để cho phép chia sẻ tệp với bí danh DNS


81

Quá trình nào là cần thiết để định cấu hình môi trường Windows để cho phép tôi sử dụng DNS CNAME cho các máy chủ tham chiếu?

Tôi muốn làm điều này để tôi có thể đặt tên cho máy chủ của mình giống như SRV001, nhưng vẫn có \\file điểm đến máy chủ đó, vì vậy khi SRV002 thay thế, tôi không phải cập nhật bất kỳ liên kết nào mà mọi người có, chỉ cần cập nhật DNS CNAME và mọi người sẽ được trỏ đến máy chủ mới.


Chúng tôi sử dụng kỹ thuật này như là tài liệu chờ ấm . Bạn đã làm một công việc tài liệu tốt hơn nhiều so với tôi đã làm. Tôi không biết về tùy chọn backConnection. Và chúng tôi giảm không gian tấn công của chúng tôi bằng cách không sử dụng netBIOS. Chúng tôi cũng không sử dụng SPN. Cảm ơn!
Knox

Để ghi lại, chúng tôi sử dụng chia sẻ tệp windows với bí danh DNA đối với cả máy chủ 2003 và 2008 hàng ngày trong tổ chức của tôi mà không cần phải thực hiện bất kỳ thay đổi nào trong số này. Nó chỉ hoạt động.
Ryan Bolger

Cũng cần lưu ý rằng văn bản trong KB926642 cảnh báo rằng: "Bảo mật bị giảm khi bạn vô hiệu hóa kiểm tra vòng lặp xác thực và bạn mở máy chủ Windows Server 2003 cho các cuộc tấn công trung gian (MITM) vào NTLM."
Ryan Bolger

Cảm ơn bạn Michael. Điều này đã trả lời "Làm cách nào để cho phép Windows Explorer của Windows XP chấp nhận bí danh CNAME trong thanh địa chỉ?" câu hỏi được đăng ở đây ( serverfault.com/questions/238851/ Google ).
Jason Pearce

Cảm ơn rât nhiều!!! Điều này hoạt động trên Server 2008 R2 với các máy khách XP Pro đang cố gắng kết nối với chia sẻ tệp. Tôi đã có một máy chủ HP 10 năm tuổi (Máy chủ 2000) chết vì vậy tôi bắt nạt một máy chủ VM, khôi phục các tệp cho nó và tạo lại các chia sẻ. Các máy khách XP Pro không thể kết nối với các lỗi variuos, nhưng tôi đã áp dụng regedit ở trên, khởi động lại và tất cả đều hoạt động, cảm ơn một lần nữa.

Câu trả lời:


67

Để tạo điều kiện cho các sơ đồ chuyển đổi dự phòng, một kỹ thuật phổ biến là sử dụng các bản ghi DNS CNAME (Bí danh DNS) cho các vai trò máy khác nhau. Sau đó, thay vì thay đổi tên máy tính Windows của tên máy thực tế, người ta có thể chuyển bản ghi DNS để trỏ đến máy chủ mới.

Điều này có thể hoạt động trên các máy Microsoft Windows, nhưng để làm cho nó hoạt động với tệp chia sẻ các bước cấu hình sau đây cần phải được thực hiện.

Đề cương

  1. Vấn đề
  2. Giải pháp
    • Cho phép các máy khác sử dụng chia sẻ tệp qua Bí danh DNS (DisableStrictNameChecking)
    • Cho phép máy chủ sử dụng chia sẻ tệp với chính nó thông qua Bí danh DNS (BackConnectionhostNames)
    • Cung cấp khả năng duyệt cho nhiều tên NetBIOS (Tùy chọn tên)
    • Đăng ký tên chính của dịch vụ Kerberos (SPN) cho các chức năng khác của Windows như Printing (setspn)
  3. Người giới thiệu

1. Vấn đề

Trên các máy Windows, chia sẻ tệp có thể hoạt động thông qua tên máy tính, có hoặc không có đủ điều kiện hoặc theo Địa chỉ IP. Tuy nhiên, theo mặc định, chia sẻ tệp sẽ không hoạt động với các bí danh DNS tùy ý. Để cho phép chia sẻ tệp và các dịch vụ Windows khác hoạt động với bí danh DNS, bạn phải thực hiện thay đổi sổ đăng ký như chi tiết bên dưới và khởi động lại máy.

2. Giải pháp

Cho phép các máy khác sử dụng chia sẻ tệp qua Bí danh DNS (DisableStrictNameChecking)

Chỉ riêng thay đổi này sẽ cho phép các máy khác trong mạng kết nối với máy bằng bất kỳ tên máy chủ tùy ý nào. (Tuy nhiên, thay đổi này sẽ không cho phép máy kết nối với chính nó thông qua tên máy chủ, xem BackConnectionhostNames bên dưới).

  • Chỉnh sửa khoá đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersvà thêm giá trị DisableStrictNameCheckingloại DWORD được đặt thành 1.

  • Chỉnh sửa khóa đăng ký (trên 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printvà thêm giá trị DnsOnWireloại DWORD được đặt thành 1

Cho phép máy chủ sử dụng chia sẻ tệp với chính nó thông qua Bí danh DNS (BackConnectionhostNames)

Thay đổi này là cần thiết để bí danh DNS hoạt động với chia sẻ tệp từ máy để tự tìm. Điều này tạo ra tên máy chủ của Cơ quan bảo mật cục bộ có thể được tham chiếu trong yêu cầu xác thực NTLM.

Để thực hiện việc này, hãy làm theo các bước sau cho tất cả các nút trên máy khách:

  1. Để khoá con đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, thêm Giá trị đa chuỗi mớiBackConnectionHostNames
  2. Trong hộp Dữ liệu giá trị, nhập bí danh CNAME hoặc bí danh DNS, được sử dụng cho các chia sẻ cục bộ trên máy tính, sau đó bấm OK.
    • Lưu ý: Nhập từng tên máy chủ trên một dòng riêng biệt.

Cung cấp khả năng duyệt cho nhiều tên NetBIOS (Tùy chọn tên)

Cho phép khả năng xem bí danh mạng trong danh sách duyệt mạng.

  1. Chỉnh sửa khoá đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersvà thêm giá trị OptionalNamescủa loại Đa chuỗi
  2. Thêm vào danh sách các tên được phân tách bằng dòng mới nên được đăng ký trong các mục duyệt của NetBIOS
    • Tên phải phù hợp với quy ước NetBIOS (không phải là FQDN, chỉ là tên máy chủ)

Đăng ký tên chính của dịch vụ Kerberos (SPN) cho các chức năng khác của Windows như Printing (setspn)

LƯU Ý: Không cần phải làm điều này để các chức năng cơ bản hoạt động, được ghi lại ở đây để hoàn thiện. Chúng tôi đã có một tình huống trong đó bí danh DNS không hoạt động vì có một bản ghi SPN cũ can thiệp, vì vậy nếu các bước khác không hoạt động, hãy kiểm tra xem có bản ghi SPN nào không.

Bạn phải đăng ký tên chính của dịch vụ Kerberos (SPN), tên máy chủ và tên miền đủ điều kiện (FQDN) cho tất cả các bản ghi bí danh DNS (CNAME) mới. Nếu bạn không làm điều này, yêu cầu vé Kerberos cho bản ghi bí danh DNS (CNAME) có thể không thành công và trả lại mã lỗi KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Để xem các SPN Kerberos cho các bản ghi bí danh DNS mới, hãy sử dụng công cụ dòng lệnh Setspn ( setspn.exe). Công cụ Setspn được bao gồm trong Công cụ hỗ trợ Windows Server 2003. Bạn có thể cài đặt Công cụ hỗ trợ Windows Server 2003 từ thư mục Support \ Tools của đĩa khởi động Windows Server 2003.

Cách sử dụng công cụ để liệt kê tất cả các bản ghi cho một tên máy tính:

setspn -L computername

Để đăng ký SPN cho các bản ghi bí danh DNS (CNAME), hãy sử dụng công cụ Setspn với cú pháp sau:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Tài liệu tham khảo

Tất cả các tài liệu tham khảo của Microsoft hoạt động thông qua: http://support.microsoft.com/kb/

  1. Kết nối với chia sẻ SMB trên máy tính chạy Windows 2000 hoặc máy tính chạy Windows Server 2003 có thể không hoạt động với tên bí danh
    • Bao gồm những điều cơ bản để làm cho việc chia sẻ tệp hoạt động đúng với các bản ghi bí danh DNS từ các máy tính khác đến máy tính của máy chủ.
    • KB281308
  2. Thông báo lỗi khi bạn cố truy cập máy chủ cục bộ bằng cách sử dụng FQDN hoặc bí danh CNAME của nó sau khi bạn cài đặt Windows Server 2003 Gói dịch vụ 1: "Truy cập bị từ chối" hoặc "Không nhà cung cấp mạng nào chấp nhận đường dẫn mạng đã cho"
    • Bao gồm cách làm cho bí danh DNS hoạt động với chia sẻ tệp từ chính máy chủ tệp.
    • KB926642
  3. Cách hợp nhất các máy chủ in bằng cách sử dụng các bản ghi bí danh DNS (CNAME) trong Windows Server 2003 và trong Windows 2000 Server
    • Bao gồm các kịch bản phức tạp hơn trong đó các bản ghi trong Active Directory có thể cần được cập nhật để một số dịch vụ hoạt động chính xác và để các dịch vụ đó hoạt động chính xác, làm thế nào để đăng ký tên chính của dịch vụ Kerberos (SPN).
    • KB870911
  4. Cập nhật hệ thống tệp phân tán để hỗ trợ gốc hợp nhất trong Windows Server 2003
    • Bao gồm các kịch bản phức tạp hơn với DFS (thảo luận về Tùy chọn tên).
    • KB829885

Một mục khác để in hoạt động trong Windows Server 2008R2 / Win7 được ghi lại tại support.microsoft.com/kb/979602 . Bạn cần phải vô hiệu hóa tối ưu hóa DNS mà họ đã thêm để hỗ trợ in cho máy có bí danh bằng cách thêm giá trị DWORD có tên "DnsOnWire" vào HKLM \ HỆ THỐNG \ CurrentControlSet \ Control \ Print và đặt thành 1. Sau đó khởi động lại dịch vụ Bộ đệm in.
nitzmahone

Nguồn cho chỉnh sửa của tôi: serverfault.com/q/396598/2869
Joel Coel

11

Một cách khác để thực hiện chia sẻ tệp Windows với dự phòng là sử dụng Hệ thống tệp phân tán với bản sao (DFS-R). Bạn sẽ cần ít nhất Windows Server 2003 R2 trên các máy chủ tệp của mình để thực hiện việc này.

Bạn thiết lập root DFS của mình và sau đó có thể chỉ định nhiều máy chủ cung cấp một chia sẻ. Nếu một trong các máy chủ ngừng hoạt động, các máy khách sử dụng nó sẽ tự động chuyển sang một trong những máy chủ khác.

Để biết thêm thông tin, xem tổng quan về DFS của Microsoft .

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.