سؤال كيفية تكوين جهاز Windows للسماح بمشاركة الملفات مع اسم DNS مستعار


ما هي العملية اللازمة لتكوين بيئة Windows للسماح لي باستخدام DNS CNAME إلى الملقمات المرجعية؟

أرغب في القيام بذلك حتى أتمكن من تسمية خوادمنا مثل SRV001 ، ولكن لا يزال لديكم \\file  نقطة إلى ذلك الخادم ، فعندما يستبدل SRV002 ، لن أحتاج إلى تحديث أي من الروابط التي يمتلكها الأشخاص ، فما عليك سوى تحديث نظام أسماء نطاقات DNS وسيصلك الجميع إلى الخادم الجديد.


78
2018-06-11 02:24


الأصل


نحن نستخدم هذا الأسلوب كما هو موثق الاستعداد الحار. لقد قمت بعمل أفضل بكثير من توثيق ذلك. لم أكن أعرف عن خيار backConnection. ونقوم بتقليل مساحة الهجوم من خلال عدم استخدام netBIOS. نحن لا نستخدم SPN سواء. شكر! - Knox
للسجل ، نحن نستخدم windows filesharing مع الأسماء المستعارة الحمض النووي ضد كل من خوادم 2003 و 2008 يوميا في منظمتي دون الحاجة إلى إجراء أي من هذه التغييرات. انها تعمل فقط. - Ryan Bolger
يجب أيضاً ملاحظة أن النص في KB926642 يحذر من أن "يتم تقليل الأمان عند تعطيل التحقق من استرجاع المصادقة ثم فتح خادم Windows Server 2003 لهجمات man-in-the-middle (MITM) على NTLM." - Ryan Bolger
شكرا لك مايكل. أجاب هذا "كيف أقوم بتمكين Windows Explorer Windows XP لقبول الأسماء المستعارة لـ CNAME في شريط العناوين؟" السؤال المنشور هنا (serverfault.com/questions/238851/...). - Jason Pearce
شكرا جزيلا!!! وقد عمل ذلك على خادم 2008 R2 مع عملاء XP Pro الذين يحاولون الاتصال بمشاركة الملفات. كان لدي خادم HP 10 سنة (خادم 2000) يموت لي لذلك أنا خادم خادم VM ، استعادة الملفات إليه ، وإعادة إنشاء الأسهم. تعذر على عملاء XP Pro الاتصال بأخطاء variuos ، لكنني قمت بتطبيق regedit أعلاه ، وإعادة التشغيل ، وكل ذلك يعمل ، شكرا مرة أخرى.


الأجوبة:


لتسهيل أنظمة تجاوز الفشل ، تتمثل إحدى التقنيات الشائعة في استخدام سجلات DNS CNAME (أسماء DNS المستعار) لأدوار الماكينة المختلفة. ثم بدلاً من تغيير اسم الكمبيوتر الخاص بـ Windows لاسم الجهاز الفعلي ، يمكن للمرء تبديل سجل DNS للإشارة إلى مضيف جديد.

يمكن أن يعمل ذلك على أجهزة Microsoft Windows ، ولكن لجعله يعمل مع مشاركة الملفات ، يجب اتخاذ خطوات التهيئة التالية.

الخطوط العريضة

  1. المشكلة
  2. الحل
    • السماح للآلات الأخرى باستخدام مشاركة الملفات عبر DNS Alias ​​(DisableStrictNameChecking)
    • السماح لآلة الخادم باستخدام مشاركة الملفات مع نفسها عبر DNS Alias ​​(BackConnectionHostNames)
    • توفير إمكانات الاستعراض لأسماء NetBIOS متعددة (OptionalNames)
    • تسجيل الأسماء الرئيسية لخدمة Kerberos (SPNs) لوظائف Windows الأخرى مثل Printing (setspn)
  3. المراجع

1. المشكلة

على أجهزة Windows ، مشاركة الملفات يستطيع العمل عن طريق اسم الكمبيوتر ، مع أو بدون التأهيل الكامل ، أو عن طريق عنوان IP. بشكل افتراضي ، ومع ذلك ، تبادل الملفات لن يعمل مع الأسماء المستعارة DNS التعسفية. لتمكين مشاركة الملفات وخدمات Windows الأخرى للعمل مع أسماء DNS المستعارة ، يجب إجراء تغييرات التسجيل كما هو مفصل أدناه وإعادة تشغيل الجهاز.

2. الحل

السماح للآلات الأخرى باستخدام مشاركة الملفات عبر DNS Alias ​​(DisableStrictNameChecking)

سيسمح هذا التغيير لوحده لأجهزة أخرى على الشبكة بالاتصال بالجهاز باستخدام أي اسم مضيف عشوائي. (لكن هذا التغيير لن يسمح للآلة بالاتصال بها بحد ذاتها عبر اسم مضيف ، راجع BackConnectionHostNames أدناه).

  • تحرير مفتاح التسجيل HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters وإضافة قيمة DisableStrictNameChecking من النوع DWORD لتعيين 1.

  • تحرير مفتاح التسجيل (في 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print وإضافة قيمة DnsOnWire من النوع DWORD لتعيين 1

السماح لآلة الخادم باستخدام مشاركة الملفات مع نفسها عبر DNS Alias ​​(BackConnectionHostNames)

هذا التغيير ضروري لاسم DNS مستعار للعمل مع مشاركة الملفات من جهاز للعثور على نفسه. هذا ينشئ أسماء المضيف "مرجع الأمان المحلي" التي يمكن الرجوع إليها في طلب مصادقة NTLM.

للقيام بذلك ، اتبع الخطوات التالية لكافة العقد على جهاز الكمبيوتر العميل:

  1. إلى مفتاح التسجيل الفرعي HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0، إضافة قيمة Multi-String جديدة BackConnectionHostNames
  2. في المربع بيانات القيمة ، اكتب CNAME أو الاسم المستعار لـ DNS ، المستخدم في مشاركات محلية على جهاز الكمبيوتر ، ثم انقر فوق موافق.
    • ملاحظة: اكتب كل اسم مضيف على سطر منفصل.

توفير إمكانات الاستعراض لأسماء NetBIOS متعددة (OptionalNames)

يتيح القدرة على رؤية الاسم المستعار للشبكة في قائمة تصفح الشبكة.

  1. تحرير مفتاح التسجيل HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters وإضافة قيمة OptionalNames من نوع متعدد سلسلة
  2. إضافة في قائمة محددة من الأسماء الجديدة التي يجب تسجيلها ضمن إدخالات الاستعراض NetBIOS
    • يجب أن تطابق الأسماء مع اصطلاحات NetBIOS (على سبيل المثال ، FQDN ، فقط اسم المضيف)

تسجيل الأسماء الرئيسية لخدمة Kerberos (SPNs) لوظائف Windows الأخرى مثل Printing (setspn)

ملحوظة: لا يجب القيام بذلك حتى تعمل الوظائف الأساسية ، موثقة هنا للتأكد من اكتمالها. كان لدينا موقف واحد حيث لم يكن اسم DNS المستعار يعمل بسبب تداخل سجل SPN القديم ، لذا إذا لم تكن هناك خطوات أخرى تعمل ، تحقق مما إذا كانت هناك أية سجلات SPN ضالة.

يجب عليك تسجيل الأسماء الرئيسية لخدمة Kerberos (SPNs) واسم المضيف واسم المجال المؤهل بالكامل (FQDN) لكافة سجلات DNS المستعارة (CNAME) الجديدة. إذا لم تقم بذلك ، قد تفشل طلب تذكرة Kerberos لسجل DNS مستعار (CNAME) وإرجاع رمز الخطأ KDC_ERR_S_SPRINCIPAL_UNKNOWN.

لعرض SPNs Kerberos لسجلات الاسم المستعار DNS الجديدة ، استخدم أداة سطر الأوامر Setspn (setspn.exe). يتم تضمين أداة Setspn في أدوات دعم Windows Server 2003. يمكنك تثبيت أدوات دعم Windows Server 2003 من المجلد Support \ Tools في قرص بدء تشغيل Windows Server 2003.

كيفية استخدام الأداة لسرد كافة السجلات لاسم جهاز الكمبيوتر:

setspn -L computername

لتسجيل SPN لسجلات DNS المستعار (CNAME) ، استخدم أداة Setspn باستخدام بناء الجملة التالي:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. المراجع

تعمل جميع مراجع Microsoft عبر: http://support.microsoft.com/kb/

  1. قد لا يعمل الاتصال بمشاركة SMB على جهاز كمبيوتر يعمل بنظام التشغيل Windows 2000 أو جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 مع اسم مستعار
    • يغطي أساسيات جعل مشاركة الملفات تعمل بشكل صحيح مع سجلات الاسم المستعار DNS من أجهزة الكمبيوتر الأخرى إلى كمبيوتر الملقم.
    • KB281308
  2. رسالة خطأ عند محاولة الوصول إلى ملقم محلياً باستخدام FQDN الخاص به أو الاسم المستعار CNAME الخاص به بعد تثبيت Windows Server 2003 Service Pack 1: "تم رفض الوصول" أو "لم يقبل موفر شبكة الاتصال مسار شبكة الاتصال المحدد"
    • يغطي كيفية جعل الاسم المستعار لـ DNS يعمل مع مشاركة الملفات من ملقم الملفات نفسه.
    • KB926642
  3. كيفية دمج ملقمات الطباعة باستخدام سجلات DNS الاسم المستعار (CNAME) في Windows Server 2003 وفي Windows 2000 Server
    • يغطي سيناريوهات أكثر تعقيدًا قد تحتاج إلى تحديث السجلات في Active Directory لبعض الخدمات لكي تعمل بشكل صحيح وللتصفح عن مثل هذه الخدمات للعمل بشكل صحيح ، وكيفية تسجيل الأسماء الرئيسية لخدمة Kerberos (SPNs).
    • KB870911
  4. تحديث نظام الملفات الموزعة لدعم جذور الدمج في Windows Server 2003
    • يغطي سيناريوهات أكثر تعقيدًا مع DFS (يناقش OptionalNames).
    • KB829885

65
2018-06-11 02:25



تم توثيق عنصر آخر للطباعة للعمل تحت Windows Server 2008R2 / Win7 في support.microsoft.com/kb/979602. تحتاج إلى تعطيل تحسين DNS تمت إضافته إلى دعم الطباعة إلى جهاز مستعار عن طريق إضافة قيمة DWORD باسم "DnsOnWire" إلى HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print وتعيينه إلى 1. قم بإعادة تشغيل خدمة Print Spooler. - nitzmahone
مصدر لتعديلي: serverfault.com/q/396598/2869 - Joel Coel


الطريقة الأخرى للقيام مشاركة ملفات Windows مع التكرار هي استخدام نظام الملفات الموزعة مع النسخ المتماثل (DFS-R). ستحتاج على الأقل إلى Windows Server 2003 R2 على خوادم الملفات الخاصة بك لتطبيق هذا.

قمت بإعداد جذر DFS الخاص بك ، ومن ثم يمكن تحديد ملقمات متعددة توفير مشاركة واحدة. إذا انحدر أحد الخوادم ، فسيخسر العملاء الذين يستخدمونه تلقائيًا إلى أحد الخوادم الأخرى.

لمزيد من المعلومات انظر مايكروسوفت نظرة عامة على DFS.


10
2018-06-11 22:36