Pregunta Cómo configurar una máquina Windows para permitir compartir archivos con un alias de DNS


¿Qué proceso es necesario para configurar un entorno de Windows que me permita usar DNS CNAME para hacer referencia a los servidores?

Quiero hacer esto para poder nombrar mis servidores algo así como SRV001, pero aún tengo \\file  punto a ese servidor, de modo que cuando SRV002 lo reemplace, no tengo que actualizar ninguno de los enlaces que tiene la gente, solo actualice el DNS CNAME y todos se dirigirán al nuevo servidor.


78
2018-06-11 02:24


origen


Utilizamos esta técnica según lo documentado. espera cálida. Hiciste un trabajo mucho mejor documentándolo que yo. No sabía sobre la opción backConnection. Y reducimos nuestro espacio de ataque al no usar netBIOS. Tampoco estamos usando el SPN. ¡Gracias! - Knox
Para el registro, usamos el uso compartido de archivos de Windows con alias de ADN contra los servidores de 2003 y 2008 diariamente en mi organización sin necesidad de haber realizado ninguno de estos cambios. Simplemente funciona. - Ryan Bolger
También se debe tener en cuenta que el texto en KB926642 advierte que "la seguridad se reduce cuando se deshabilita la verificación de bucle de autenticación, y se abre el servidor Windows Server 2003 para los ataques de man-in-the-middle (MITM) en NTLM". - Ryan Bolger
Gracias michael Esto respondió a mi "¿Cómo habilito el Explorador de Windows de Windows XP para que acepte los alias CNAME en la barra de direcciones?" pregunta publicada aquíserverfault.com/questions/238851/…). - Jason Pearce
¡¡¡Muchas gracias!!! Esto funcionó en un servidor 2008 R2 con clientes XP Pro que intentaban conectarse al recurso compartido de archivos. Tuve un servidor HP de 10 años (Server 2000) fallecido en mí, por lo que instalé un servidor VM, le restauré los archivos y recreé los recursos compartidos. Los clientes de XP Pro no pudieron conectarse con varios errores, pero apliqué el regedit anterior, reinicié y todo funciona, gracias de nuevo.


Respuestas:


Para facilitar los esquemas de conmutación por error, una técnica común es usar los registros CNAME de DNS (Alias ​​de DNS) para diferentes roles de máquina. Luego, en lugar de cambiar el nombre de computadora de Windows del nombre de la máquina real, uno puede cambiar un registro DNS para que apunte a un nuevo host.

Esto puede funcionar en máquinas con Microsoft Windows, pero para que funcione con el uso compartido de archivos, se deben seguir los siguientes pasos de configuración.

contorno

  1. El problema
  2. La solución
    • Permitir que otras máquinas utilicen el uso compartido de archivos a través del Alias ​​de DNS (DisableStrictNameChecking)
    • Permitiendo que la máquina del servidor use el uso compartido de archivos consigo mismo a través del Alias ​​de DNS (BackConnectionHostNames)
    • Proporcionar capacidades de navegación para múltiples nombres NetBIOS (nombres opcionales)
    • Registre los nombres principales del servicio Kerberos (SPN) para otras funciones de Windows como Impresión (setspn)
  3. Referencias

1. el problema

En máquinas Windows, compartir archivos. puede trabaje a través del nombre de la computadora, con o sin calificación completa, o por la dirección IP. Por defecto, sin embargo, el intercambio de archivos no trabajará Con alias de DNS arbitrarios. Para permitir que el uso compartido de archivos y otros servicios de Windows funcionen con los alias de DNS, debe realizar los cambios en el registro como se detalla a continuación y reiniciar la máquina.

2. La solución

Permitir que otras máquinas utilicen el uso compartido de archivos a través del Alias ​​de DNS (DisableStrictNameChecking)

Este solo cambio permitirá que otras máquinas en la red se conecten a la máquina utilizando cualquier nombre de host arbitrario. (Sin embargo, este cambio no permitirá que una máquina se conecte a sí mismo a través de un nombre de host, vea BackConnectionHostNames a continuación).

  • Editar la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters y agrega un valor DisableStrictNameChecking de tipo DWORD establecido en 1.

  • Editar la clave de registro (en 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print y agrega un valor DnsOnWire de tipo DWORD establecido en 1

Permitiendo que la máquina del servidor use el uso compartido de archivos consigo mismo a través del Alias ​​de DNS (BackConnectionHostNames)

Este cambio es necesario para que un alias de DNS funcione con el uso compartido de archivos de una máquina para encontrarse a sí mismo. Esto crea los nombres de host de la Autoridad de seguridad local a los que se puede hacer referencia en una solicitud de autenticación NTLM.

Para hacer esto, siga estos pasos para todos los nodos en la computadora cliente:

  1. A la subclave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, agregue nuevo valor Multi-String BackConnectionHostNames
  2. En el cuadro Información del valor, escriba el CNAME o el alias DNS, que se usa para los recursos compartidos locales en la computadora, y luego haga clic en Aceptar.
    • Nota: Escriba cada nombre de host en una línea separada.

Proporcionar capacidades de navegación para múltiples nombres NetBIOS (nombres opcionales)

Permite ver el alias de la red en la lista de navegación de la red.

  1. Editar la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters y agrega un valor OptionalNames de tipo Multi-String
  2. Agregue una lista delimitada de nueva línea de nombres que deben registrarse bajo las entradas de navegación de NetBIOS
    • Los nombres deben coincidir con las convenciones de NetBIOS (es decir, no FQDN, solo el nombre de host)

Registre los nombres principales del servicio Kerberos (SPN) para otras funciones de Windows como Impresión (setspn)

NOTA: No debería necesitar hacer esto para que funcionen las funciones básicas, documentadas aquí para completarlas. Tuvimos una situación en la que el alias de DNS no funcionaba porque había un registro SPN antiguo que interfiere, por lo que si otros pasos no funcionan, verifique si hay registros SPN extraviados.

Debe registrar los nombres principales del servicio Kerberos (SPN), el nombre de host y el nombre de dominio completo (FQDN) para todos los nuevos registros de alias de DNS (CNAME). Si no lo hace, la solicitud de un ticket de Kerberos para un registro de alias DNS (CNAME) puede fallar y devolver el código de error KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Para ver los SPN de Kerberos para los nuevos registros de alias de DNS, use la herramienta de línea de comandos Setspn (setspn.exe). La herramienta Setspn se incluye en las herramientas de soporte de Windows Server 2003. Puede instalar las herramientas de soporte de Windows Server 2003 desde la carpeta Support \ Tools del disco de inicio de Windows Server 2003.

Cómo usar la herramienta para enumerar todos los registros de un nombre de computadora:

setspn -L computername

Para registrar el SPN para los registros de alias de DNS (CNAME), use la herramienta Setspn con la siguiente sintaxis:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referencias

Todas las referencias de Microsoft funcionan a través de: http://support.microsoft.com/kb/

  1. Es posible que la conexión al recurso compartido SMB en una computadora con Windows 2000 o en una computadora con Windows Server 2003 no funcione con un nombre de alias
    • Cubre los conceptos básicos de cómo hacer que el uso compartido de archivos funcione correctamente con los registros de alias DNS de otras computadoras a la computadora del servidor.
    • KB281308
  2. Mensaje de error cuando intenta acceder a un servidor localmente utilizando su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: "Acceso denegado" o "Ningún proveedor de red aceptó la ruta de red dada"
    • Cubre cómo hacer que el alias de DNS funcione con el uso compartido de archivos desde el propio servidor de archivos.
    • KB926642
  3. Cómo consolidar los servidores de impresión utilizando registros de alias de DNS (CNAME) en Windows Server 2003 y en Windows 2000 Server
    • Cubre escenarios más complejos en los que los registros en Active Directory pueden necesitar ser actualizados para que ciertos servicios funcionen correctamente y para que dichos servicios funcionen correctamente, cómo registrar los nombres principales de servicio (SPN) de Kerberos.
    • KB870911
  4. Actualización del sistema de archivos distribuido para admitir las raíces de consolidación en Windows Server 2003
    • Cubre escenarios aún más complejos con DFS (discute los nombres opcionales).
    • KB829885

65
2018-06-11 02:25



Otro elemento para que la impresión funcione bajo Windows Server 2008R2 / Win7 se documenta en support.microsoft.com/kb/979602. Debe deshabilitar la optimización de DNS que agregaron para admitir la impresión en una máquina con alias agregando un valor DWORD denominado "DnsOnWire" a HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print y configúrelo en 1. Luego reinicie el servicio Print Spooler. - nitzmahone
Fuente para mi edición: serverfault.com/q/396598/2869 - Joel Coel


La otra forma de compartir archivos de Windows con redundancia es usar el Sistema de archivos distribuidos con replicación (DFS-R). Necesitará al menos Windows Server 2003 R2 en sus servidores de archivos para poder implementar esto.

Usted configura su raíz DFS y luego puede especificar varios servidores que proporcionan un solo recurso compartido. Si uno de los servidores deja de funcionar, los clientes que lo utilicen se conmutarán automáticamente a uno de los otros.

Para más información vea Microsoft descripción general de DFS.


10
2018-06-11 22:36