Вот ситуация, которая возникла вчера: у нас есть общий ресурс на машине, к которой мы должны получить доступ, используя псевдоним (CNAME). Машина работает под управлением Windows Server 2012 R2 и обслуживает клиентов Windows 7 и 8.
У клиентов Windows 7 нет проблем с открытием общего ресурса \ SHARECNAME или \ IP.AD.DR.ESS Клиенты Windows 8 могут открывать общий ресурс только по \ IP.AD.DR.ESS
В конечном итоге сработало создание записей SPN для CNAME, указывающих на HOSTNAME (setspn -S HOST / CNAME HOSTNAME и т. Д.), И внезапно общий ресурс можно было использовать.
Компьютер HOSTNAME зарегистрировал ошибку:
«Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED от сервера HOSTNAME $. Используемое целевое имя было cifs / CNAME». для которого я не нашел столько информации, но указал мне в направлении установки правильных записей SPN.
Я пытаюсь понять, почему разница в клиентском опыте?
Спасибо.
У нас была аналогичная проблема с новым NetApp. Все клиенты W10 / 2012 не могли получить доступ к общему ресурсу CNAME, но клиенты W7 / 2008R2 могли это сделать. Нам не нужно было создавать CNAME SPN. Что мы сделали, так это удалили все SPN для CNAME, которые отображались с помощью setspn -l cname.
ПРИМЕЧАНИЕ. У нас также была учетная запись компьютера CNAME в качестве AD, и она осталась там после.
Не совсем уверен, но вы случайно не установили параметр реестра DisableStrictNameChecking?
http://www.md3v.com/enable-windows-server-smb-2-0-alias-cname
IP vs CName вместе с SPN, очевидно, указывают на то, что задействован Kerberos. Возможно, проявляется шифрование SMB 3.0. Это будет только при подключении Server2012 к Win8, но это одно из основных различий между SMB 2 и SMB 3. Я не верю, что шифрование общих ресурсов включено по умолчанию, но при переходе на SMB 3 протокол может требовать аутентификации Kerberos.