it-swarm.com.de

So konfigurieren Sie einen Windows-Computer, um die Dateifreigabe mit einem DNS-Alias ​​zu ermöglichen

Welcher Prozess ist erforderlich, um eine Windows-Umgebung zu konfigurieren, damit ich DNS-CNAME zum Referenzieren von Servern verwenden kann?

Ich möchte dies tun, damit ich meinen Servern einen Namen wie SRV001 geben kann, aber immer noch \\filepoint auf diesen Server. Wenn SRV002 ihn ersetzt, muss ich keinen der Links aktualisieren, die die Leute haben. Aktualisieren Sie einfach den DNS-CNAME, und alle werden auf den neuen Server verwiesen.

81

Um Failover-Schemata zu vereinfachen, werden häufig DNS-CNAME-Einträge (DNS-Aliase) für verschiedene Computerrollen verwendet. Anstatt den Windows-Computernamen des tatsächlichen Computernamens zu ändern, kann ein DNS-Eintrag so geändert werden, dass er auf einen neuen Host verweist.

Dies kann auf Microsoft Windows-Computern funktionieren. Damit es jedoch mit der Dateifreigabe funktioniert, müssen die folgenden Konfigurationsschritte ausgeführt werden.

Gliederung

  1. Das Problem
  2. Die Lösung
    • Zulassen, dass andere Computer Filesharing über den DNS-Alias ​​verwenden (DisableStrictNameChecking)
    • Ermöglichen, dass der Servercomputer Filesharing mit sich selbst über den DNS-Alias ​​(BackConnectionHostNames) verwendet
    • Bereitstellung von Suchfunktionen für mehrere NetBIOS-Namen (optionale Namen)
    • Registrieren Sie die Kerberos-Dienstprinzipalnamen (SPNs) für andere Windows-Funktionen wie Drucken (setspn).
  3. Verweise

1. Das Problem

Auf Windows-Computern kann die Dateifreigabe über den Computernamen mit oder ohne vollständige Qualifikation oder über die IP-Adresse erfolgen. Standardmäßig funktioniert Filesharing jedoch nicht mit beliebigen DNS-Aliasen . Damit Filesharing und andere Windows-Dienste mit DNS-Aliasen arbeiten können, müssen Sie die Registrierungsänderungen wie unten beschrieben vornehmen und den Computer neu starten.

2. Die Lösung

Zulassen, dass andere Computer Filesharing über den DNS-Alias ​​verwenden (DisableStrictNameChecking)

Diese Änderung allein ermöglicht es anderen Computern im Netzwerk, unter Verwendung eines beliebigen Hostnamens eine Verbindung zum Computer herzustellen. (Diese Änderung ermöglicht es einem Computer jedoch nicht, über einen Hostnamen eine Verbindung zu selbst herzustellen (siehe BackConnectionHostNames unten).

  • Bearbeiten Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters Und fügen Sie einen Wert DisableStrictNameChecking vom Typ DWORD hinzu, der auf 1 gesetzt ist.

  • Bearbeiten Sie den Registrierungsschlüssel (unter 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print Und fügen Sie einen Wert DnsOnWire vom Typ DWORD hinzu, der auf 1 gesetzt ist

Ermöglichen, dass der Servercomputer Filesharing mit sich selbst über den DNS-Alias ​​(BackConnectionHostNames) verwendet

Diese Änderung ist erforderlich, damit ein DNS-Alias ​​mit Filesharing von einem Computer aus arbeiten kann, um sich selbst zu finden. Dadurch werden die Hostnamen der lokalen Sicherheitsbehörde erstellt, auf die in einer NTLM-Authentifizierungsanforderung verwiesen werden kann.

Führen Sie dazu die folgenden Schritte für alle Knoten auf dem Clientcomputer aus:

  1. Fügen Sie dem Registrierungsunterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 Einen neuen Multi-String-Wert BackConnectionHostNames hinzu
  2. Geben Sie im Feld Wert den CNAME oder den DNS-Alias ​​ein, der für die lokalen Freigaben auf dem Computer verwendet wird, und klicken Sie dann auf OK.
    • Hinweis: Geben Sie jeden Hostnamen in eine separate Zeile ein.

Bereitstellung von Suchfunktionen für mehrere NetBIOS-Namen (optionale Namen)

Ermöglicht die Anzeige des Netzwerkalias in der Netzwerksuchliste.

  1. Bearbeiten Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters Und fügen Sie einen Wert OptionalNames vom Typ Multi-String hinzu
  2. Fügen Sie eine durch Zeilenumbrüche getrennte Liste von Namen hinzu, die unter den NetBIOS-Sucheinträgen registriert werden sollen
    • Namen sollten mit NetBIOS-Konventionen übereinstimmen (d. H. Nicht FQDN, nur Hostname)

Registrieren Sie die Kerberos-Dienstprinzipalnamen (SPNs) für andere Windows-Funktionen wie Drucken (setspn).

HINWEIS: Sollte dies nicht erforderlich sein, damit die Grundfunktionen funktionieren, wird hier der Vollständigkeit halber dokumentiert. Wir hatten eine Situation, in der der DNS-Alias ​​nicht funktionierte, weil ein alter SPN-Eintrag störte. Wenn also andere Schritte nicht funktionieren, überprüfen Sie, ob streunende SPN-Einträge vorhanden sind.

Sie müssen die Kerberos-Dienstprinzipalnamen (SPNs), den Hostnamen und den vollqualifizierten Domänennamen (FQDN) für alle neuen DNS-Aliasdatensätze (CNAME) registrieren. Wenn Sie dies nicht tun, schlägt eine Kerberos-Ticketanforderung für einen CNAME-Eintrag (DNS-Alias) möglicherweise fehl und gibt den Fehlercode KDC_ERR_S_SPRINCIPAL_UNKNOWN Zurück.

Verwenden Sie das Setspn-Befehlszeilentool (setspn.exe), Um die Kerberos-SPNs für die neuen DNS-Aliaseinträge anzuzeigen. Das Setspn-Tool ist in den Windows Server 2003-Supporttools enthalten. Sie können die Windows Server 2003-Supporttools im Ordner "Support\Tools" der Windows Server 2003-Startdiskette installieren.

So verwenden Sie das Tool, um alle Datensätze für einen Computernamen aufzulisten:

setspn -L computername

Verwenden Sie das Setspn-Tool mit der folgenden Syntax, um den SPN für die DNS-Alias-Einträge (CNAME) zu registrieren:

setspn -A Host/your_ALIAS_name computername
setspn -A Host/your_ALIAS_name.company.com computername

3. Referenzen

Alle Microsoft-Referenzen funktionieren über: http://support.Microsoft.com/kb/

  1. Das Herstellen einer Verbindung zu SMB Freigabe auf einem Windows 2000-basierten Computer oder einem Windows Server 2003-basierten Computer funktioniert möglicherweise nicht mit einem Aliasnamen
    • Behandelt die Grundlagen, wie die Dateifreigabe mit DNS-Alias-Einträgen von anderen Computern auf den Servercomputer ordnungsgemäß funktioniert.
    • KB281308
  2. Fehlermeldung, wenn Sie versuchen, lokal auf einen Server zuzugreifen, indem Sie dessen FQDN oder seinen CNAME-Alias ​​verwenden, nachdem Sie Windows Server 2003 Service Pack 1 installiert haben: "Zugriff verweigert" oder "Kein Netzwerkanbieter hat den angegebenen Netzwerkpfad akzeptiert"
    • Beschreibt, wie der DNS-Alias ​​mit der Dateifreigabe vom Dateiserver selbst funktioniert.
    • KB926642
  3. So konsolidieren Sie Druckserver mithilfe von CNAME-Einträgen (DNS-Alias) in Windows Server 2003 und Windows 2000 Server
    • Behandelt komplexere Szenarien, in denen Datensätze in Active Directory möglicherweise aktualisiert werden müssen, damit bestimmte Dienste ordnungsgemäß funktionieren, und um zu suchen, ob diese Dienste ordnungsgemäß funktionieren, und wie die Kerberos-Dienstprinzipalnamen (SPNs) registriert werden.
    • KB870911
  4. Update für verteiltes Dateisystem zur Unterstützung von Konsolidierungswurzeln in Windows Server 2003
    • Deckt noch komplexere Szenarien mit DFS ab (erläutert OptionalNames).
    • KB829885
67

Die andere Möglichkeit, Windows-Dateifreigabe mit Redundanz durchzuführen, ist die Verwendung des verteilten Dateisystems mit Replikation (DFS-R). Sie benötigen mindestens Windows Server 2003 R2 auf Ihren Dateiservern, um dies zu implementieren.

Sie richten Ihren DFS-Stamm ein und können dann mehrere Server angeben, die eine einzelne Freigabe bereitstellen. Wenn einer der Server ausfällt, werden die Clients, die ihn verwenden, automatisch auf einen der anderen umgeschaltet.

Weitere Informationen finden Sie unter Microsoft Übersicht über DFS .

11
Joe