it-swarm-vi.tech

Cách định cấu hình máy Windows để cho phép chia sẻ tệp với bí danh DNS

Quá trình nào là cần thiết để định cấu hình môi trường Windows để cho phép tôi sử dụng DNS CNAME cho các máy chủ tham chiếu?

Tôi muốn làm điều này để tôi có thể đặt tên cho máy chủ của mình giống như SRV001, nhưng vẫn có \\filepoint với máy chủ đó, vì vậy khi SRV002 thay thế nó, tôi không phải cập nhật bất kỳ liên kết nào mà mọi người có, chỉ cần cập nhật DNS CNAME và mọi người sẽ được trỏ đến máy chủ mới.

81
Michael Ferrante

Để tạo điều kiện cho các sơ đồ chuyển đổi dự phòng, một kỹ thuật phổ biến là sử dụng các bản ghi DNS CNAME (Bí danh DNS) cho các vai trò máy khác nhau. Sau đó, thay vì thay đổi tên máy tính Windows của tên máy thực tế, người ta có thể chuyển bản ghi DNS để trỏ đến Máy chủ mới.

Điều này có thể hoạt động trên các máy Microsoft Windows, nhưng để làm cho nó hoạt động với tệp chia sẻ các bước cấu hình sau đây cần phải được thực hiện.

Đề cương

  1. Vấn đề
  2. Giải pháp
    • Cho phép các máy khác sử dụng chia sẻ tệp qua Bí danh DNS (DisableStrictNameChecking)
    • Cho phép máy chủ sử dụng chia sẻ tệp với chính nó thông qua Bí danh DNS (BackConnectionhostNames)
    • Cung cấp khả năng duyệt cho nhiều tên NetBIOS (Tùy chọn tên)
    • Đăng ký tên chính của dịch vụ Kerberos (SPN) cho các chức năng khác của Windows như Printing (setspn)
  3. Người giới thiệu

1. Vấn đề

Trên các máy Windows, chia sẻ tệp có thể hoạt động thông qua tên máy tính, có hoặc không có đủ điều kiện hoặc theo Địa chỉ IP. Tuy nhiên, theo mặc định, chia sẻ tệp sẽ không hoạt động với các bí danh DNS tùy ý. Để cho phép chia sẻ tệp và các dịch vụ Windows khác hoạt động với bí danh DNS, bạn phải thực hiện thay đổi sổ đăng ký như chi tiết bên dưới và khởi động lại máy.

2. Giải pháp

Cho phép các máy khác sử dụng chia sẻ tệp qua Bí danh DNS (DisableStrictNameChecking)

Chỉ riêng thay đổi này sẽ cho phép các máy khác trong mạng kết nối với máy bằng bất kỳ tên máy chủ tùy ý nào. (Tuy nhiên, thay đổi này sẽ không cho phép máy kết nối với chính nó thông qua tên máy chủ, xem BackConnectionhostNames bên dưới).

  • Chỉnh sửa khoá đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters và thêm một giá trị DisableStrictNameChecking của loại DWORD được đặt thành 1.

  • Chỉnh sửa khoá đăng ký (trên 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print và thêm một giá trị DnsOnWire của loại DWORD được đặt thành 1

Cho phép máy chủ sử dụng chia sẻ tệp với chính nó thông qua Bí danh DNS (BackConnectionhostNames)

Thay đổi này là cần thiết để bí danh DNS hoạt động với tính năng chia sẻ tệp từ máy để tự tìm. Điều này tạo ra tên máy chủ của Cơ quan bảo mật cục bộ có thể được tham chiếu trong yêu cầu xác thực NTLM.

Để thực hiện việc này, hãy làm theo các bước sau cho tất cả các nút trên máy khách:

  1. Để đăng ký khoá con HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, thêm Giá trị đa chuỗi mới BackConnectionHostNames
  2. Trong hộp Dữ liệu giá trị, nhập bí danh CNAME hoặc bí danh DNS, được sử dụng cho các chia sẻ cục bộ trên máy tính, sau đó bấm OK. [.__.]
    • Lưu ý: Nhập từng tên Máy chủ trên một dòng riêng biệt.

Cung cấp khả năng duyệt cho nhiều tên NetBIOS (Tùy chọn tên)

Cho phép khả năng xem bí danh mạng trong danh sách duyệt mạng.

  1. Chỉnh sửa khoá đăng ký HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters và thêm một giá trị OptionalNames thuộc loại Đa chuỗi
  2. Thêm vào danh sách các tên được phân tách bằng dòng mới nên được đăng ký trong các mục duyệt của NetBIOS [.__.]
    • Tên phải phù hợp với quy ước NetBIOS (nghĩa là không phải FQDN, chỉ là tên máy chủ)

Đăng ký tên chính của dịch vụ Kerberos (SPN) cho các chức năng khác của Windows như Printing (setspn)

LƯU Ý: Không cần phải làm điều này để các chức năng cơ bản hoạt động, được ghi lại ở đây để hoàn thiện. Chúng tôi đã có một tình huống trong đó bí danh DNS không hoạt động vì có một bản ghi SPN cũ can thiệp, vì vậy nếu các bước khác không hoạt động, hãy kiểm tra xem có bản ghi SPN nào không.

Bạn phải đăng ký tên chính của dịch vụ Kerberos (SPN), tên Máy chủ lưu trữ và tên miền đủ điều kiện (FQDN) cho tất cả các bản ghi bí danh DNS (CNAME) mới. Nếu bạn không làm điều này, yêu cầu vé Kerberos cho bản ghi bí danh DNS (CNAME) có thể không thành công và trả về mã lỗi KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Để xem SPN Kerberos cho các bản ghi bí danh DNS mới, hãy sử dụng công cụ dòng lệnh Setspn (setspn.exe). Công cụ Setspn được bao gồm trong Công cụ hỗ trợ Windows Server 2003. Bạn có thể cài đặt Công cụ hỗ trợ Windows Server 2003 từ thư mục Support\Tools của đĩa khởi động Windows Server 2003.

Cách sử dụng công cụ để liệt kê tất cả các bản ghi cho một tên máy tính:

setspn -L computername

Để đăng ký SPN cho các bản ghi bí danh DNS (CNAME), hãy sử dụng công cụ Setspn với cú pháp sau:

setspn -A Host/your_ALIAS_name computername
setspn -A Host/your_ALIAS_name.company.com computername

3. Tài liệu tham khảo

Tất cả các tài liệu tham khảo của Microsoft hoạt động thông qua: http://support.Microsoft.com/kb/

  1. Kết nối với SMB chia sẻ trên máy tính chạy Windows 2000 hoặc máy tính chạy Windows Server 2003 có thể không hoạt động với tên bí danh [.__.]
    • Bao gồm những điều cơ bản để làm cho việc chia sẻ tệp hoạt động đúng với các bản ghi bí danh DNS từ các máy tính khác đến máy tính của máy chủ.
    • KB281308
  2. Thông báo lỗi khi bạn cố truy cập máy chủ cục bộ bằng cách sử dụng bí danh FQDN hoặc bí danh CNAME của nó sau khi bạn cài đặt Windows Server 2003 Gói dịch vụ 1: "Truy cập bị từ chối" hoặc "Không nhà cung cấp mạng nào chấp nhận đường dẫn mạng đã cho" [.__.]
    • Bao gồm cách làm cho bí danh DNS hoạt động với chia sẻ tệp từ chính máy chủ tệp.
    • KB926642
  3. Cách hợp nhất các máy chủ in bằng cách sử dụng các bản ghi bí danh DNS (CNAME) trong Windows Server 2003 và trong Windows 2000 Server [.__.]
    • Bao gồm các kịch bản phức tạp hơn trong đó các bản ghi trong Active Directory có thể cần được cập nhật để một số dịch vụ hoạt động chính xác và để các dịch vụ đó hoạt động chính xác, làm thế nào để đăng ký tên chính của dịch vụ Kerberos (SPN).
    • KB870911
  4. Cập nhật hệ thống tệp phân tán để hỗ trợ gốc hợp nhất trong Windows Server 2003 [.__.]
    • Bao gồm các kịch bản phức tạp hơn với DFS (thảo luận về Tùy chọn tên).
    • KB829885
67
Michael Ferrante

Một cách khác để thực hiện chia sẻ tệp Windows với dự phòng là sử dụng Hệ thống tệp phân tán với bản sao (DFS-R). Bạn sẽ cần ít nhất Windows Server 2003 R2 trên các máy chủ tệp của mình để thực hiện việc này.

Bạn thiết lập root DFS của mình và sau đó có thể chỉ định nhiều máy chủ cung cấp một chia sẻ. Nếu một trong các máy chủ ngừng hoạt động, các máy khách sử dụng nó sẽ tự động chuyển sang một trong những máy chủ khác.

Để biết thêm thông tin, hãy xem Microsoft tổng quan về DFS .

11
Joe