Como configurar uma máquina Windows para permitir o compartilhamento de arquivos com um alias DNS

81

Que processo é necessário para configurar um ambiente Windows para permitir o uso do DNS CNAME para referenciar servidores?

Quero fazer isso para poder nomear meus servidores como SRV001, mas ainda assim \\file apontar para esse servidor. Quando o SRV002 o substitui, não preciso atualizar nenhum dos links que as pessoas têm, basta atualizar o DNS CNAME e todos será apontado para o novo servidor.

Michael Ferrante
fonte
Usamos essa técnica como espera quente documentada . Você fez um trabalho muito melhor documentando isso do que eu. Eu não sabia sobre a opção backConnection. E reduzimos nosso espaço de ataque ao não usar o netBIOS. Também não estamos usando o SPN. Obrigado!
Knox
Para constar, usamos o compartilhamento de arquivos do Windows com aliases de DNA nos servidores de 2003 e 2008 diariamente em minha organização, sem precisar fazer nenhuma dessas alterações. Isso simplesmente funciona.
22139 Ryan Bolger
Também deve ser observado que o texto no KB926642 alerta que "A segurança é reduzida quando você desativa a verificação de loopback de autenticação e abre o servidor Windows Server 2003 para ataques MITM no NTLM".
22139 Ryan Bolger
Obrigado Michael. Isso respondeu ao meu "Como habilito o Windows Explorer do Windows XP para aceitar aliases CNAME na barra de endereços?" pergunta postada aqui ( serverfault.com/questions/238851/… ).
Jason Pearce
Muito obrigado!!! Isso funcionou em um servidor 2008 R2 com clientes XP Pro tentando se conectar ao compartilhamento de arquivos. Eu tinha um servidor HP de 10 anos de idade (Server 2000) em mim, então eu alterei um servidor VM, restaurei os arquivos nele e recriei os compartilhamentos. Os clientes XP Pro não puderam se conectar com erros variuos, mas eu apliquei o regedit acima, reiniciei e tudo funcionou, obrigado novamente.

Respostas:

67

Para facilitar os esquemas de failover, uma técnica comum é usar registros DNS CNAME (aliases DNS) para diferentes funções da máquina. Então, em vez de alterar o nome do computador do Windows do nome real da máquina, é possível alternar um registro DNS para apontar para um novo host.

Isso pode funcionar em máquinas Microsoft Windows, mas para fazê-lo funcionar com o compartilhamento de arquivos, é necessário executar as seguintes etapas de configuração.

Esboço

  1. O problema
  2. A solução
    • Permitindo que outras máquinas usem o compartilhamento de arquivos por meio do alias DNS (DisableStrictNameChecking)
    • Permitindo que a máquina servidor use o compartilhamento de arquivos consigo mesmo através do alias de DNS (BackConnectionHostNames)
    • Fornecendo recursos de navegação para vários nomes NetBIOS (OptionalNames)
    • Registre os SPNs (nomes principais de serviço) do Kerberos para outras funções do Windows, como Impressão (setspn)
  3. Referências

1. O Problema

Em máquinas Windows, o compartilhamento de arquivos pode funcionar através do nome do computador, com ou sem qualificação completa, ou pelo endereço IP. Por padrão, no entanto, o compartilhamento de arquivos não funcionará com aliases DNS arbitrários. Para permitir que o compartilhamento de arquivos e outros serviços do Windows funcionem com aliases de DNS, você deve fazer alterações no registro conforme detalhado abaixo e reiniciar a máquina.

2. A solução

Permitindo que outras máquinas usem o compartilhamento de arquivos por meio do alias DNS (DisableStrictNameChecking)

Somente essa alteração permitirá que outras máquinas na rede se conectem à máquina usando qualquer nome de host arbitrário. (No entanto, essa alteração não permitirá que uma máquina se conecte a si mesma por meio de um nome de host, consulte BackConnectionHostNames abaixo).

  • Edite a chave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameterse adicione um valor DisableStrictNameCheckingdo tipo DWORD definido como 1.

  • Edite a chave do registro (em 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printe adicione um valor DnsOnWiredo tipo DWORD definido como 1

Permitindo que a máquina servidor use o compartilhamento de arquivos consigo mesmo através do alias de DNS (BackConnectionHostNames)

Essa alteração é necessária para que um alias de DNS trabalhe com o compartilhamento de arquivos de uma máquina para se encontrar. Isso cria os nomes de host da Autoridade de Segurança Local que podem ser referenciados em uma solicitação de autenticação NTLM.

Para fazer isso, execute as seguintes etapas para todos os nós no computador cliente:

  1. Para a subchave do Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, adicione o novo Valor Multi-StringBackConnectionHostNames
  2. Na caixa Dados do valor, digite o CNAME ou o alias DNS, usado para os compartilhamentos locais no computador e, em seguida, clique em OK.
    • Nota: Digite cada nome de host em uma linha separada.

Fornecendo recursos de navegação para vários nomes NetBIOS (OptionalNames)

Permite ver o alias da rede na lista de navegação na rede.

  1. Edite a chave do registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameterse adicione um valor OptionalNamesdo tipo Multi-String
  2. Adicione uma lista delimitada por nova linha de nomes que devem ser registrados nas entradas de navegação do NetBIOS
    • Os nomes devem corresponder às convenções NetBIOS (ou seja, não FQDN, apenas o nome do host)

Registre os SPNs (nomes principais de serviço) do Kerberos para outras funções do Windows, como Impressão (setspn)

NOTA: Não é necessário fazer isso para que as funções básicas funcionem, documentadas aqui quanto à integridade. Tivemos uma situação em que o alias do DNS não estava funcionando porque havia um registro SPN antigo interferindo; portanto, se outras etapas não estiverem funcionando, verifique se há registros SPN perdidos.

Você deve registrar os SPNs (nomes principais de serviço) do Kerberos, o nome do host e o nome de domínio totalmente qualificado (FQDN) para todos os novos registros de alias de DNS (CNAME). Se você não fizer isso, uma solicitação de ticket Kerberos para um registro de DNS alias (CNAME) poderá falhar e retornar o código de erro KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Para exibir os SPNs do Kerberos para os novos registros de alias de DNS, use a ferramenta de linha de comando Setspn ( setspn.exe). A ferramenta Setspn está incluída nas Ferramentas de Suporte do Windows Server 2003. Você pode instalar as Ferramentas de Suporte do Windows Server 2003 na pasta Support \ Tools do disco de inicialização do Windows Server 2003.

Como usar a ferramenta para listar todos os registros para um nome de computador:

setspn -L computername

Para registrar o SPN para os registros DNS alias (CNAME), use a ferramenta Setspn com a seguinte sintaxe:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referências

Todas as referências da Microsoft funcionam em: http://support.microsoft.com/kb/

  1. Conectar-se ao compartilhamento SMB em um computador com Windows 2000 ou Windows Server 2003 pode não funcionar com um nome alternativo
    • Abrange o básico de como fazer o compartilhamento de arquivos funcionar corretamente com registros de alias de DNS de outros computadores para o servidor.
    • KB281308
  2. Mensagem de erro ao tentar acessar um servidor localmente usando seu alias FQDN ou CNAME após a instalação do Windows Server 2003 Service Pack 1: "Acesso negado" ou "Nenhum provedor de rede aceitou o caminho de rede especificado"
    • Abrange como fazer com que o alias DNS funcione com o compartilhamento de arquivos do próprio servidor de arquivos.
    • KB926642
  3. Como consolidar servidores de impressão usando registros de alias de DNS (CNAME) no Windows Server 2003 e no Windows 2000 Server
    • Abrange cenários mais complexos nos quais os registros no Active Directory podem precisar ser atualizados para que certos serviços funcionem corretamente e para a navegação para que esses serviços funcionem corretamente, como registrar os SPNs (nomes principais de serviço) do Kerberos.
    • KB870911
  4. Atualização do sistema de arquivos distribuídos para oferecer suporte a raízes de consolidação no Windows Server 2003
    • Abrange cenários ainda mais complexos com o DFS (discute Nomes Opcionais).
    • KB829885
Michael Ferrante
fonte
Outro item para a impressão funcionar no Windows Server 2008R2 / Win7 está documentado em support.microsoft.com/kb/979602 . Você precisa desativar uma otimização de DNS que eles adicionaram para oferecer suporte à impressão em uma máquina com alias adicionando um valor DWORD chamado "DnsOnWire" a HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print e defina-o como 1. Em seguida, reinicie o serviço Spooler de impressão.
Nitzmahone
Fonte para o meu edit: serverfault.com/q/396598/2869
Joel Coel
11

A outra maneira de compartilhar arquivos do Windows com redundância é usar o DFS-R (Sistema de Arquivos Distribuídos com Replicação). Você precisará pelo menos do Windows Server 2003 R2 em seus servidores de arquivos para implementar isso.

Você configura sua raiz DFS e pode especificar vários servidores fornecendo um único compartilhamento. Se um dos servidores ficar inoperante, os clientes que o utilizarem executarão failover automaticamente para um dos outros.

Para mais informações, consulte a visão geral da Microsoft sobre o DFS .

Joe
fonte