web-dev-qa-db-fra.com

Comment configurer une machine Windows pour autoriser le partage de fichiers avec un alias DNS

Quel processus est nécessaire pour configurer un environnement Windows pour me permettre d'utiliser DNS CNAME pour référencer des serveurs?

Je veux le faire pour pouvoir nommer mes serveurs quelque chose comme SRV001, mais j'ai toujours \\filepoint vers ce serveur, donc quand SRV002 le remplace, je n'ai pas à mettre à jour les liens que les gens ont, il suffit de mettre à jour le DNS CNAME et tout le monde sera pointé vers le nouveau serveur.

windowsdomain-name-systemfile-sharingaliasnetbios
81
Michael Ferrante

Pour faciliter les schémas de basculement, une technique courante consiste à utiliser des enregistrements DNS CNAME (alias DNS) pour différents rôles de machine. Ensuite, au lieu de changer le nom d'ordinateur Windows du nom réel de la machine, on peut basculer un enregistrement DNS pour pointer vers un nouvel hôte.

Cela peut fonctionner sur les machines Microsoft Windows, mais pour le faire fonctionner avec le partage de fichiers, les étapes de configuration suivantes doivent être suivies.

Contour

  1. Le problème
  2. La solution
    • Autoriser d'autres machines à utiliser le partage de fichiers via l'alias DNS (DisableStrictNameChecking)
    • Autoriser la machine serveur à utiliser le partage de fichiers avec elle-même via l'alias DNS (BackConnectionHostNames)
    • Fournir des fonctionnalités de navigation pour plusieurs noms NetBIOS (OptionalNames)
    • Enregistrez les noms principaux du service Kerberos (SPN) pour d'autres fonctions Windows comme l'impression (setspn)
  3. Références

1. Le problème

Sur les machines Windows, le partage de fichiers peut fonctionner via le nom de l'ordinateur, avec ou sans qualification complète, ou par l'adresse IP. Par défaut, cependant, le partage de fichiers ne fonctionnera pas avec des alias DNS arbitraires. Pour activer le partage de fichiers et d'autres services Windows pour fonctionner avec les alias DNS, vous devez apporter des modifications au registre comme indiqué ci-dessous et redémarrer la machine.

2. La solution

Autoriser d'autres machines à utiliser le partage de fichiers via l'alias DNS (DisableStrictNameChecking)

Cette modification seule permettra aux autres machines du réseau de se connecter à la machine en utilisant n'importe quel nom d'hôte arbitraire. (Cependant, cette modification ne permettra pas à une machine de se connecter à elle-même via un nom d'hôte, voir BackConnectionHostNames ci-dessous).

  • Modifiez la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters et ajoutez une valeur DisableStrictNameChecking de type DWORD définie sur 1.

  • Modifiez la clé de registre (sur 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print et ajoutez une valeur DnsOnWire de type DWORD définie sur 1

Autoriser la machine serveur à utiliser le partage de fichiers avec elle-même via l'alias DNS (BackConnectionHostNames)

Cette modification est nécessaire pour qu'un alias DNS fonctionne avec le partage de fichiers à partir d'une machine pour se retrouver. Cela crée les noms d'hôte de l'autorité de sécurité locale qui peuvent être référencés dans une demande d'authentification NTLM.

Pour ce faire, procédez comme suit pour tous les nœuds sur l'ordinateur client:

  1. Vers la sous-clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, ajoutez une nouvelle valeur multi-chaîne BackConnectionHostNames
  2. Dans la zone Données de la valeur, tapez le CNAME ou l'alias DNS, qui est utilisé pour les partages locaux sur l'ordinateur, puis cliquez sur OK.
    • Remarque: saisissez chaque nom d'hôte sur une ligne distincte.

Fournir des fonctionnalités de navigation pour plusieurs noms NetBIOS (OptionalNames)

Permet de voir l'alias réseau dans la liste de navigation réseau.

  1. Modifiez la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters et ajoutez une valeur OptionalNames de type Multi-String
  2. Ajoutez une liste de noms délimités par des sauts de ligne qui doivent être enregistrés sous les entrées de navigation NetBIOS
    • Les noms doivent correspondre aux conventions NetBIOS (c'est-à-dire pas le FQDN, juste le nom d'hôte)

Enregistrez les noms principaux du service Kerberos (SPN) pour d'autres fonctions Windows comme l'impression (setspn)

REMARQUE: ne devrait pas avoir besoin de le faire pour que les fonctions de base fonctionnent, documenté ici pour être complet. Nous avons eu une situation dans laquelle l'alias DNS ne fonctionnait pas car un ancien enregistrement SPN interférait, donc si d'autres étapes ne fonctionnent pas, vérifiez s'il existe des enregistrements SPN parasites.

Vous devez enregistrer les noms principaux du service Kerberos (SPN), le nom d'hôte et le nom de domaine complet (FQDN) pour tous les nouveaux enregistrements d'alias DNS (CNAME). Si vous ne le faites pas, une demande de ticket Kerberos pour un enregistrement d'alias DNS (CNAME) peut échouer et renvoyer le code d'erreur KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Pour afficher les SPN Kerberos pour les nouveaux enregistrements d'alias DNS, utilisez l'outil de ligne de commande Setspn (setspn.exe). L'outil Setspn est inclus dans les outils de support de Windows Server 2003. Vous pouvez installer les outils de support de Windows Server 2003 à partir du dossier Support\Tools du disque de démarrage de Windows Server 2003.

Comment utiliser l'outil pour répertorier tous les enregistrements d'un nom d'ordinateur:

setspn -L computername

Pour enregistrer le SPN pour les enregistrements d'alias DNS (CNAME), utilisez l'outil Setspn avec la syntaxe suivante:

setspn -A Host/your_ALIAS_name computername
setspn -A Host/your_ALIAS_name.company.com computername

3. Références

Toutes les références Microsoft fonctionnent via: http://support.Microsoft.com/kb/

  1. La connexion à SMB sur un ordinateur Windows 2000 ou Windows Server 2003 peut ne pas fonctionner avec un nom d'alias
    • Couvre les bases du bon fonctionnement du partage de fichiers avec les enregistrements d'alias DNS d'autres ordinateurs vers l'ordinateur serveur.
    • KB281308
  2. Message d'erreur lorsque vous essayez d'accéder à un serveur localement en utilisant son nom de domaine complet ou son alias CNAME après avoir installé Windows Server 2003 Service Pack 1: "Accès refusé" ou "Aucun fournisseur de réseau n'a accepté le chemin d'accès réseau donné"
    • Explique comment faire fonctionner l'alias DNS avec le partage de fichiers à partir du serveur de fichiers lui-même.
    • KB926642
  3. Comment consolider des serveurs d'impression à l'aide d'enregistrements d'alias DNS (CNAME) dans Windows Server 2003 et Windows 2000 Server
    • Couvre des scénarios plus complexes dans lesquels des enregistrements dans Active Directory peuvent avoir besoin d'être mis à jour pour que certains services fonctionnent correctement et pour rechercher de tels services pour fonctionner correctement, comment enregistrer les noms principaux de service Kerberos (SPN).
    • KB870911
  4. Mise à jour du système de fichiers distribués pour prendre en charge les racines de consolidation dans Windows Server 2003
    • Couvre des scénarios encore plus complexes avec DFS (traite des noms facultatifs).
    • KB829885
67
Michael Ferrante

L'autre façon d'effectuer le partage de fichiers Windows avec redondance consiste à utiliser le système de fichiers distribués avec réplication (DFS-R). Vous aurez besoin d'au moins Windows Server 2003 R2 sur vos serveurs de fichiers afin de l'implémenter.

Vous configurez votre racine DFS, puis pouvez spécifier plusieurs serveurs fournissant un seul partage. Si l'un des serveurs tombe en panne, les clients l'utilisant basculeront automatiquement sur l'un des autres.

Pour plus d'informations, voir Microsoft's aperçu de DFS .

11
Joe