sviluppo-web-qa.it

Come configurare un computer Windows per consentire la condivisione di file con un alias DNS

Quale processo è necessario per configurare un ambiente Windows per consentirmi di utilizzare DNS CNAME per fare riferimento ai server?

Voglio fare questo in modo da poter nominare i miei server qualcosa come SRV001, ma ho ancora \\filepunto a quel server, quindi quando SRV002 lo sostituisce non devo aggiornare nessuno dei collegamenti che le persone hanno, basta aggiornare il CNAME DNS e tutti verranno indirizzati al nuovo server.

81
Michael Ferrante

Per facilitare gli schemi di failover, una tecnica comune consiste nell'utilizzare i record CNAME DNS (alias DNS) per ruoli macchina diversi. Quindi, invece di modificare il nomecomputer di Windows del nome effettivo della macchina, è possibile cambiare un record DNS per puntare a un nuovo host.

Questo può funzionare su macchine Microsoft Windows, ma per farlo funzionare con la condivisione di file è necessario eseguire i seguenti passaggi di configurazione.

Contorno

  1. Il problema
  2. La soluzione
    • Consentire ad altre macchine di utilizzare la condivisione file tramite l'alias DNS (DisableStrictNameChecking)
    • Consentire alla macchina server di utilizzare la condivisione file con se stessa tramite l'alias DNS (BackConnectionHostNames)
    • Fornire funzionalità di esplorazione per più nomi NetBIOS (OptionalNames)
    • Registrare i nomi principali del servizio Kerberos (SPN) per altre funzioni di Windows come Stampa (setspn)
  3. Riferimenti

1. Il problema

Su macchine Windows, la condivisione di file può funzionare tramite il nome del computer, con o senza qualifica completa o tramite l'indirizzo IP. Per impostazione predefinita, tuttavia, la condivisione file non funziona con alias DNS arbitrari. Per abilitare la condivisione dei file e altri servizi Windows per lavorare con gli alias DNS, è necessario apportare modifiche al registro come descritto di seguito e riavviare il computer.

2. La soluzione

Consentire ad altre macchine di utilizzare la condivisione file tramite l'alias DNS (DisableStrictNameChecking)

Questa modifica da sola consentirà ad altre macchine sulla rete di connettersi alla macchina usando qualsiasi nome host arbitrario. (Tuttavia, questa modifica non consentirà a una macchina di connettersi stesso tramite un nome host, vedere BackConnectionHostNames di seguito).

  • Modifica la chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters e aggiungi un valore DisableStrictNameChecking di tipo DWORD impostato su 1.

  • Modifica la chiave di registro (su 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print e aggiungi un valore DnsOnWire di tipo DWORD impostato su 1

Consentire alla macchina server di utilizzare la condivisione file con se stessa tramite l'alias DNS (BackConnectionHostNames)

Questa modifica è necessaria affinché un alias DNS funzioni con il filesharing da una macchina per trovarsi. Ciò crea i nomi host dell'autorità di sicurezza locale a cui è possibile fare riferimento in una richiesta di autenticazione NTLM.

Per fare ciò, attenersi alla seguente procedura per tutti i nodi sul computer client:

  1. Alla sottochiave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, aggiungi nuovo valore multistringa BackConnectionHostNames
  2. Nella casella Dati valore, digitare CNAME o l'alias DNS, utilizzato per le condivisioni locali sul computer, quindi fare clic su OK.
    • Nota: digitare ciascun nome host su una riga separata.

Fornire funzionalità di esplorazione per più nomi NetBIOS (OptionalNames)

Consente di vedere l'alias di rete nell'elenco di ricerca della rete.

  1. Modifica la chiave di registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters e aggiungi un valore OptionalNames di tipo Multi-String
  2. Aggiungi un elenco delimitato di nuova riga di nomi che dovrebbero essere registrati nelle voci di navigazione di NetBIOS
    • I nomi devono corrispondere alle convenzioni NetBIOS (ovvero non FQDN, solo nome host)

Registrare i nomi principali del servizio Kerberos (SPN) per altre funzioni di Windows come Stampa (setspn)

NOTA: non dovrebbe essere necessario farlo per far funzionare le funzioni di base, documentate qui per completezza. Abbiamo avuto una situazione in cui l'alias DNS non funzionava perché c'era un vecchio record SPN che interferiva, quindi se altri passaggi non funzionano controlla se ci sono record SPN vaganti.

È necessario registrare i nomi principali del servizio Kerberos (SPN), il nome host e il nome di dominio completo (FQDN) per tutti i nuovi record alias DNS (CNAME). In caso contrario, una richiesta di ticket Kerberos per un record alias DNS (CNAME) potrebbe non riuscire e restituire il codice di errore KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Per visualizzare gli SPN Kerberos per i nuovi record alias DNS, utilizzare lo strumento da riga di comando Setspn (setspn.exe). Lo strumento Setspn è incluso negli strumenti di supporto di Windows Server 2003. È possibile installare gli strumenti di supporto di Windows Server 2003 dalla cartella Support\Tools del disco di avvio di Windows Server 2003.

Come utilizzare lo strumento per elencare tutti i record per un nomecomputer:

setspn -L computername

Per registrare l'SPN per i record di alias DNS (CNAME), utilizzare lo strumento Setspn con la sintassi seguente:

setspn -A Host/your_ALIAS_name computername
setspn -A Host/your_ALIAS_name.company.com computername

3. Riferimenti

Tutti i riferimenti Microsoft funzionano tramite: http://support.Microsoft.com/kb/

  1. Connessione a SMB su un computer basato su Windows 2000 o Windows Server 2003 potrebbe non funzionare con un nome alias
    • Comprende le basi per far funzionare correttamente la condivisione dei file con i record alias DNS da altri computer al computer server.
    • KB281308
  2. Messaggio di errore quando si tenta di accedere a un server localmente utilizzando il nome FQDN o l'alias CNAME dopo l'installazione di Windows Server 2003 Service Pack 1: "Accesso negato" o "Nessun provider di rete ha accettato il percorso di rete specificato"
    • Descrive come far funzionare l'alias DNS con la condivisione di file dal file server stesso.
    • KB926642
  3. Come consolidare i server di stampa utilizzando i record DNS alias (CNAME) in Windows Server 2003 e Windows 2000 Server
    • Copre scenari più complessi in cui potrebbe essere necessario aggiornare i record in Active Directory per il corretto funzionamento di alcuni servizi e per la corretta navigazione di tali servizi, come registrare i nomi principali del servizio Kerberos (SPN).
    • KB870911
  4. Aggiornamento del file system distribuito per supportare le radici di consolidamento in Windows Server 2003
    • Copre scenari ancora più complessi con DFS (discute su OptionalNames).
    • KB829885
67
Michael Ferrante

L'altro modo per eseguire la condivisione di file Windows con ridondanza è utilizzare il file system distribuito con replica (DFS-R). Per implementarlo, avrai bisogno almeno di Windows Server 2003 R2 sui tuoi file server.

È possibile impostare la radice DFS e quindi è possibile specificare più server fornendo un'unica condivisione. Se uno dei server si arresta, i client che lo utilizzano eseguiranno automaticamente il failover su uno degli altri.

Per ulteriori informazioni, consultare Microsoft panoramica di DFS .

11
Joe