Назад | Перейти на главную страницу

Почему я не могу получить доступ к административному общему ресурсу на моем локальном компьютере?

Я работаю над образом Windows Server 2008 R2 (x64) VirtualBox, который я настроил как среду тестирования CI / развертывания. У меня VirtualBox настроен на использование внутренней сети. Я настроил перенаправление файлов hosts для имен моих производственных машин / базы данных:

127.0.0.1      webserv1
127.0.0.1      webserv2
127.0.0.1      dbserv1
etc.

И мой сценарий развертывания затем попытается выполнить развертывание по каждому адресу по очереди.

Моя проблема в том, что когда я пытаюсь ударить \\webserv1\d$\deployment-directory, или даже \\webserv1\d$\, Я получаю запрос на авторизацию, и мне отказано в доступе. Я работаю с правами администратора на консоли VirtualBox; Я больше не могу получить разрешение. я жестяная банка ударить \\127.0.0.1\d$\deployment-directory.

Я даже отключил сетевой адаптер, чтобы убедиться, что я каким-то образом не попал в настоящие производственные коробки (и я подтвердил, что все еще могу попасть на localhost с машиной в этом состоянии).

Какие-нибудь советы?

В конечном итоге это было связано с разрешением имен и разрешениями. Подробности можно найти в этом посте: http://forums.techarena.in/server-networking/1195474.htm

По сути, есть несколько записей в реестре, которые необходимо создать, чтобы включить эту конфигурацию - из коробки Windows не поддерживает ее.


Скопируйте и вставьте с ныне несуществующего веб-сайта (через WebArchive):


Разрешение другим машинам использовать общий доступ к файлам через DNS-псевдоним (DisableStrictNameChecking)

Одно только это изменение позволит другим машинам в сети подключаться к машине с любым произвольным именем хоста. (Однако это изменение не позволит машине подключаться к себе через имя хоста, см. BackConnectionHostNames ниже).

  • Отредактируйте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parameters и добавить ценность DisableStrictNameChecking типа DWORD установлен в 1.

Разрешение серверному компьютеру использовать общий доступ к файлам с самим собой через псевдоним DNS (BackConnectionHostNames)

Это изменение необходимо для того, чтобы псевдоним DNS работал с обменом файлами с машины, чтобы найти себя. Это создает имена хостов Local Security Authority, на которые можно ссылаться в запросе проверки подлинности NTLM.

Для этого выполните следующие действия для всех узлов на клиентском компьютере:

  1. К подразделу реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Lsa\MSV1_0, добавить новое многострочное значение BackConnectionHostNames
  2. В поле «Значение» введите CNAME или псевдоним DNS, который используется для локальных общих ресурсов на компьютере, и нажмите кнопку «ОК».
    Примечание. Введите имя каждого хоста в отдельной строке.

Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)

Позволяет видеть псевдоним сети в списке просмотра сети.

  1. Отредактируйте ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parameters и добавить ценность OptionalNames типа Multi-String
  2. Добавьте в список с разделителями новой строки имена, которые должны быть зарегистрированы в записях просмотра NetBIOS.
    Имена должны соответствовать соглашениям NetBIOS (т.е. не FQDN, а только имя хоста)

Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как печать (setspn)

ПРИМЕЧАНИЕ. В этом нет необходимости для работы основных функций, которые для полноты описаны здесь. У нас была одна ситуация, в которой псевдоним DNS не работал, потому что мешала старая запись SPN, поэтому, если другие шаги не работают, проверьте, есть ли какие-либо случайные записи SPN.

Вы должны зарегистрировать имена участников службы Kerberos (SPN), имя узла и полное доменное имя (FQDN) для всех записей нового псевдонима DNS (CNAME). Если вы этого не сделаете, запрос билета Kerberos для записи псевдонима DNS (CNAME) может завершиться ошибкой и вернуть код ошибки KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Чтобы просмотреть имена участников-служб Kerberos для новых записей псевдонимов DNS, используйте инструмент командной строки Setspn (setspn.exe). Инструмент Setspn входит в состав средств поддержки Windows Server 2003. Вы можете установить средства поддержки Windows Server 2003 из папки Support \ Tools на загрузочном диске Windows Server 2003.

Как использовать инструмент для вывода списка всех записей для имени компьютера:

setspn -L computername

Чтобы зарегистрировать SPN для записей DNS-псевдонима (CNAME), используйте инструмент Setspn со следующим синтаксисом:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername