Назад | Перейти на главную страницу

Как настроить компьютер с Windows, чтобы разрешить совместное использование файлов с псевдонимом DNS

Какой процесс необходим для настройки среды Windows, чтобы я мог использовать DNS CNAME для ссылок на серверы?

Я хочу сделать это, чтобы я мог назвать свои серверы как-то вроде SRV001, но все же \\file точка на этот сервер, поэтому, когда SRV002 заменяет его, мне не нужно обновлять какие-либо ссылки, которые есть у людей, просто обновите DNS CNAME, и все будут указаны на новый сервер.

Для упрощения схем переключения при отказе распространенным методом является использование записей DNS CNAME (псевдонимов DNS) для различных ролей компьютеров. Затем вместо изменения имени компьютера Windows фактического имени машины можно переключить запись DNS, чтобы она указывала на новый хост.

Это может работать на компьютерах с Microsoft Windows, но чтобы заставить его работать с совместным доступом к файлам, необходимо выполнить следующие шаги настройки.

Контур

  1. Эта проблема
  2. Решение
    • Разрешение другим машинам использовать общий доступ к файлам через DNS-псевдоним (DisableStrictNameChecking)
    • Разрешение серверному компьютеру использовать общий доступ к файлам с самим собой через псевдоним DNS (BackConnectionHostNames)
    • Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)
    • Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как печать (setspn)
  3. Ссылки

1. Проблема

На компьютерах с Windows общий доступ к файлам жестяная банка работать через имя компьютера, с полной квалификацией или без нее, или по IP-адресу. Однако по умолчанию обмен файлами не будет работать с произвольными DNS-псевдонимами. Чтобы разрешить совместное использование файлов и другие службы Windows для работы с псевдонимами DNS, вы должны внести изменения в реестр, как описано ниже, и перезагрузить компьютер.

2. Решение

Разрешение другим машинам использовать общий доступ к файлам через DNS-псевдоним (DisableStrictNameChecking)

Одно только это изменение позволит другим машинам в сети подключаться к машине с любым произвольным именем хоста. (Однако это изменение не позволит машине подключиться к сам через имя хоста, см. BackConnectionHostNames ниже).

  • Отредактируйте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters и добавить ценность DisableStrictNameChecking типа DWORD установлен в 1.

  • Отредактируйте ключ реестра (в 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print и добавить ценность DnsOnWire типа DWORD установлено в 1

Разрешение серверному компьютеру использовать общий доступ к файлам с самим собой через псевдоним DNS (BackConnectionHostNames)

Это изменение необходимо для того, чтобы псевдоним DNS работал с обменом файлами с машины, чтобы найти себя. Это создает имена хостов Local Security Authority, на которые можно ссылаться в запросе проверки подлинности NTLM.

Для этого выполните следующие действия для всех узлов на клиентском компьютере:

  1. К подразделу реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, добавить новое многострочное значение BackConnectionHostNames
  2. В поле «Значение» введите CNAME или псевдоним DNS, который используется для локальных общих ресурсов на компьютере, и нажмите кнопку «ОК».
    • Примечание. Введите имя каждого хоста в отдельной строке.

Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)

Позволяет видеть псевдоним сети в списке просмотра сети.

  1. Отредактируйте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters и добавить ценность OptionalNames типа Multi-String
  2. Добавьте в список с разделителями новой строки имена, которые должны быть зарегистрированы в записях просмотра NetBIOS.
    • Имена должны соответствовать соглашениям NetBIOS (т.е. не FQDN, а только имя хоста)

Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как печать (setspn)

ПРИМЕЧАНИЕ. В этом нет необходимости для работы основных функций, которые для полноты описаны здесь. У нас была одна ситуация, в которой псевдоним DNS не работал, потому что мешала старая запись SPN, поэтому, если другие шаги не работают, проверьте, есть ли какие-либо случайные записи SPN.

Вы должны зарегистрировать имена участников службы Kerberos (SPN), имя узла и полное доменное имя (FQDN) для всех записей нового псевдонима DNS (CNAME). Если этого не сделать, запрос билета Kerberos для записи псевдонима DNS (CNAME) может завершиться ошибкой и вернуть код ошибки. KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Чтобы просмотреть имена участников-служб безопасности Kerberos для новых записей псевдонимов DNS, используйте инструмент командной строки Setspn (setspn.exe). Инструмент Setspn входит в состав средств поддержки Windows Server 2003. Вы можете установить средства поддержки Windows Server 2003 из папки Support \ Tools на загрузочном диске Windows Server 2003.

Как использовать инструмент для вывода списка всех записей для имени компьютера:

setspn -L computername

Чтобы зарегистрировать SPN для записей DNS-псевдонима (CNAME), используйте инструмент Setspn со следующим синтаксисом:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Ссылки

Все ссылки Microsoft работают через: http://support.microsoft.com/kb/

  1. Подключение к общему ресурсу SMB на компьютере под управлением Windows 2000 или компьютере под управлением Windows Server 2003 может не работать с псевдонимом
    • Рассмотрены основы правильной работы общего доступа к файлам с записями псевдонимов DNS с других компьютеров на серверный компьютер.
    • KB281308
  2. Сообщение об ошибке при попытке получить доступ к серверу локально, используя его полное доменное имя или псевдоним CNAME после установки пакета обновления 1 для Windows Server 2003: «Доступ запрещен» или «Ни один сетевой провайдер не принял указанный сетевой путь»
    • Рассказывает, как заставить псевдоним DNS работать с совместным использованием файлов с самого файлового сервера.
    • KB926642
  3. Как объединить серверы печати с помощью записей псевдонима DNS (CNAME) в Windows Server 2003 и Windows 2000 Server
    • Охватывает более сложные сценарии, в которых может потребоваться обновление записей в Active Directory для правильной работы определенных служб и для правильной работы таких служб, а также для регистрации имен участников службы Kerberos (SPN).
    • KB870911
  4. Обновление распределенной файловой системы для поддержки корней консолидации в Windows Server 2003
    • Охватывает даже более сложные сценарии с помощью DFS (обсуждает OptionalNames).
    • KB829885

Другой способ сделать общий доступ к файлам в Windows с избыточностью - использовать распределенную файловую систему с репликацией (DFS-R). Для реализации этого вам понадобится как минимум Windows Server 2003 R2 на ваших файловых серверах.

Вы настраиваете корень DFS, а затем можете указать несколько серверов, предоставляющих один общий ресурс. Если один из серверов выходит из строя, клиенты, использующие его, автоматически переключаются на один из других.

Для получения дополнительной информации см. Microsoft обзор DFS.