Soru Windows makineyi bir DNS takma adıyla dosya paylaşımına izin verecek şekilde nasıl yapılandırabilirim?


Bir Windows ortamını sunuculara referans vermek için DNS CNAME kullanmama izin verecek şekilde yapılandırmak için hangi süreç gereklidir?

Bunu yapmak istiyorum ki sunucularıma SRV001 gibi bir isim verebilirim, ama yine de \\file  puan Bu sunucuya, SRV002'nin yerini aldığında, insanların sahip olduğu bağlantılardan herhangi birini güncellemeye gerek yok, sadece DNS CNAME'yi güncellemeliyim ve herkes yeni sunucuya yönlendirilecek.


78
2018-06-11 02:24


Menşei


Bu tekniği belgelenmiş olarak kullanıyoruz sıcak bekleme. Bunu yaptığımdan daha iyi bir iş yaptın. BackConnection seçeneğini bilmiyordum. Ve netBIOS kullanmadan saldırı alanımızı azaltırız. SPN'yi de kullanmıyoruz. Teşekkürler! - Knox
Kayıt için, bu değişimlerden herhangi birine ihtiyaç duymadan, hem kuruluşumda hem 2003 hem de 2008 sunucularına karşı DNA takma adlarıyla windows dosya paylaşımını kullanıyoruz. Sadece işe yarıyor. - Ryan Bolger
KB926642'deki metnin, "Kimlik doğrulama geridönüşüm denetimini devre dışı bıraktığınızda güvenlik azaltılır ve Windows Server 2003 sunucusunu NTLM'deki ortadaki (MITM) saldırılar için açarsınız" uyarısında da belirtilmelidir. - Ryan Bolger
Teşekkür ederim Michael. Bu yanıt, "Windows XP'nin Windows Gezgini'ni adres çubuğunda CNAME takma adlarını kabul etmesini nasıl sağlayabilirim?" Burada yayınlanan soru (serverfault.com/questions/238851/...). - Jason Pearce
Çok teşekkür ederim!!! Bu, dosya paylaşımına bağlanmaya çalışan XP Pro istemcileriyle birlikte bir Server 2008 R2 üzerinde çalıştı. 10 yaşındaki bir HP sunucum (Server 2000) benim üzerimde öldü, böylece bir VM sunucusu buldum, dosyaları geri yükledim ve paylaşımları yeniden oluşturdum. XP Pro istemcileri, variuos hatalarıyla bağlantı kuramadı, ancak yukarıdaki regedit'i uyguladı, yeniden başlattım ve tüm işler, tekrar teşekkürler.


Cevaplar:


Yük devretme şemalarını kolaylaştırmak için, yaygın bir teknik, farklı makine rolleri için DNS CNAME kayıtlarını (DNS Aliases) kullanmaktır. Ardından, gerçek makine adının Windows bilgisayar adını değiştirmek yerine, yeni bir ana bilgisayarı işaret etmek için bir DNS kaydını değiştirebilirsiniz.

Bu, Microsoft Windows makinelerinde çalışabilir, ancak dosya paylaşımında çalışmasını sağlamak için aşağıdaki yapılandırma adımlarının atılması gerekir.

taslak

  1. Sorun
  2. Çözüm
    • Diğer makinelerin, DNS Alias ​​(DisableStrictNameChecking) aracılığıyla dosya paylaşımını kullanmalarına izin verme
    • Sunucu makinesinin kendi kendini DNS Alias ​​(BackConnectionHostNames) aracılığıyla dosya paylaşımını kullanmasına izin verme
    • Birden çok NetBIOS adı için göz atma özellikleri sağlama (OptionalNames)
    • Yazdırma (setspn) gibi diğer Windows işlevleri için Kerberos hizmet asıl adlarını (SPN) kaydettirin.
  3. Referanslar

1. Sorun

Windows makinelerinde dosya paylaşımı kutu Bilgisayar adıyla, tam yeterlilikle veya tam olmadan veya IP Adresi ile çalışın. Ancak, varsayılan olarak, dosya paylaşımı çalışmayacak isteğe bağlı DNS takma adları ile. Dosya paylaşımının ve diğer Windows hizmetlerinin DNS takma adlarıyla çalışabilmesini sağlamak için, aşağıda açıklanan kayıt defteri değişikliklerini yapmalı ve makineyi yeniden başlatmalısınız.

2. Çözüm

Diğer makinelerin, DNS Alias ​​(DisableStrictNameChecking) aracılığıyla dosya paylaşımını kullanmalarına izin verme

Bu değişiklik tek başına, ağdaki diğer makinelerin herhangi bir rasgele ana bilgisayar adı kullanarak makineye bağlanmasına izin verecektir. (Ancak bu değişiklik, bir makinenin bağlanmasına izin vermez. kendisi Bir ana makine adıyla, aşağıdaki BackConnectionHostNames bölümüne bakınız).

  • Kayıt defteri anahtarını düzenle HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ve bir değer ekle DisableStrictNameChecking DWORD türü 1 olarak ayarlanmış.

  • Kayıt defteri anahtarını düzenleyin (2008 R2'de) HKLM\SYSTEM\CurrentControlSet\Control\Print ve bir değer ekle DnsOnWire DWORD türü 1'e ayarlanmış

Sunucu makinesinin kendi kendini DNS Alias ​​(BackConnectionHostNames) aracılığıyla dosya paylaşımını kullanmasına izin verme

Bu değişiklik, bir DNS takma adının kendisini bulmak için bir makineden dosya paylaşımı ile çalışması için gereklidir. Bu, bir NTLM kimlik doğrulama isteğinde başvurulan Yerel Güvenlik Yetkilisi ana bilgisayar adlarını oluşturur.

Bunu yapmak için, istemci bilgisayardaki tüm düğümler için şu adımları izleyin:

  1. Kayıt defteri alt anahtarına HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, yeni Çok Dize Değeri ekle BackConnectionHostNames
  2. Değer verisi kutusuna, bilgisayardaki yerel paylaşımlar için kullanılan CNAME veya DNS takma adını yazın ve ardından Tamam'ı tıklatın.
    • Not: Her bir ana bilgisayar adını ayrı bir satıra yazın.

Birden çok NetBIOS adı için göz atma özellikleri sağlama (OptionalNames)

Ağ gözatma listesinde ağ takma adlarını görebilmenizi sağlar.

  1. Kayıt defteri anahtarını düzenle HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ve bir değer ekle OptionalNames Çok Dize
  2. NetBIOS gözatma girişleri altında kaydedilmesi gereken adların yeni satır sınırlandırılmış listesini ekleyin.
    • İsimler NetBIOS kurallarına uymalıdır (yani FQDN değil, sadece hostname)

Yazdırma (setspn) gibi diğer Windows işlevleri için Kerberos hizmet asıl adlarını (SPN) kaydettirin.

NOT: Temel işlevlerin çalışması için bunu yapmanıza gerek yoktur, tamlık için burada belgelenmiştir. DNS takma adının çalışmadığı bir durum vardı, çünkü eski bir SPN kaydı engellendi, bu nedenle başka adımlar çalışmazsa, herhangi bir SPW kaydı olup olmadığını kontrol edin.

Tüm yeni DNS takma adı (CNAME) kayıtları için Kerberos hizmet asıl adlarını (SPN), ana bilgisayar adını ve tam etki alanı adını (FQDN) kaydetmelisiniz. Bunu yapmazsanız, DNS takma adı (CNAME) kaydı için Kerberos bilet isteği başarısız olabilir ve hata kodunu döndürür KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Yeni DNS takma adları için Kerberos SPN'lerini görüntülemek için, Setspn komut satırı aracını kullanın (setspn.exe). Setspn aracı, Windows Server 2003 Destek Araçları'nda bulunur. Windows Server 2003 Destek Araçları'nı Windows Server 2003 başlangıç ​​disketinin Support \ Tools klasöründen yükleyebilirsiniz.

Bir bilgisayar adı için tüm kayıtları listelemek için aracı nasıl kullanılır:

setspn -L computername

DNS takma adı (CNAME) kayıtları için SPN'yi kaydetmek için, aşağıdaki sözdizimini içeren Setspn aracını kullanın:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referanslar

Tüm Microsoft referansları aşağıdakilerle çalışır: http://support.microsoft.com/kb/

  1. Windows 2000 tabanlı bir bilgisayarda veya Windows Server 2003 tabanlı bir bilgisayarda SMB paylaşımına bağlanmak, bir diğer ad ile çalışmayabilir
    • Dosya paylaşımını, diğer bilgisayarlardan sunucu bilgisayara DNS takma adlarıyla düzgün bir şekilde yapmanın temellerini içerir.
    • KB281308
  2. Windows Server 2003 Service Pack 1'i yükledikten sonra FQDN veya CNAME diğer adını kullanarak bir sunucuya yerel olarak erişmeye çalıştığınızda hata iletisi: "Erişim engellendi" veya "Belirtilen ağ yolunu ağ sağlayıcısı kabul etmiyor"
    • DNS takma adının dosya sunucusundan dosya paylaşımı ile nasıl çalışacağını kapsar.
    • KB926642
  3. Windows Server 2003 ve Windows 2000 Server'da DNS takma adları (CNAME) kayıtlarını kullanarak yazdırma sunucularını birleştirme
    • Active Directory'deki kayıtların düzgün çalışabilmesi için belirli hizmetlerin güncelleştirilmesi ve bu hizmetlerin düzgün çalışabilmesi için Kerberos hizmet asıl adlarının (SPN) nasıl kaydedileceği hakkında daha karmaşık senaryoların kapsamına girer.
    • KB870911
  4. Windows Server 2003'te konsolidasyon köklerini desteklemek için Dağıtılmış Dosya Sistemi güncelleştirmesi
    • DFS ile daha da karmaşık senaryoları kapsar (OptionalNames tartışır).
    • KB829885

65
2018-06-11 02:25



Windows Server 2008R2 / Win7 altında çalışacak yazdırma için başka bir öğe de belgelenmiştir support.microsoft.com/kb/979602. Takma adında bir makineye yazdırmayı desteklemek için ekledikleri bir DNS optimizasyonunu devre dışı bırakmanız gerekir: HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print'e "DnsOnWire" adında bir DWORD değeri ekleyip 1 olarak ayarlayın. Sonra Yazdırma Biriktiricisi hizmetini yeniden başlatın. - nitzmahone
Düzenlemem için kaynak: serverfault.com/q/396598/2869 - Joel Coel


Yedekleme ile Windows dosya paylaşımını yapmanın diğer bir yolu, Çoğaltma (DFS-R) ile Dağıtılmış Dosya Sistemi kullanmaktır. Bunu uygulamak için dosya sunucularınızda en azından Windows Server 2003 R2'ye ihtiyacınız olacak.

DFS kökünüzü kurar ve ardından tek bir paylaşım sağlayan birden çok sunucu belirtebilirsiniz. Sunuculardan biri aşağı inerse, bunları kullanan istemciler otomatik olarak diğerlerinden birine başarısız olurlar.

Daha fazla bilgi için Microsoft’a bakın. DFS'ye genel bakış.


10
2018-06-11 22:36