Cómo configurar una máquina Windows para permitir el intercambio de archivos con un alias DNS

81

¿Qué proceso es necesario para configurar un entorno de Windows que me permita usar DNS CNAME para hacer referencia a los servidores?

Quiero hacer esto para poder nombrar a mis servidores como SRV001, pero todavía tengo que \\file apuntar a ese servidor, así que cuando SRV002 lo reemplace no tengo que actualizar ninguno de los enlaces que tiene la gente, simplemente actualice el DNS CNAME y todos será señalado al nuevo servidor.

Michael Ferrante
fuente
Utilizamos esta técnica como modo de espera cálido documentado . Hiciste un trabajo mucho mejor al documentarlo que yo. No sabía sobre la opción backConnection. Y reducimos nuestro espacio de ataque al no usar netBIOS. Tampoco estamos usando el SPN. ¡Gracias!
Knox
Para el registro, utilizamos el intercambio de archivos de Windows con alias de ADN en los servidores de 2003 y 2008 diariamente en mi organización sin necesidad de haber realizado ninguno de estos cambios. Simplemente funciona
Ryan Bolger
También debe tenerse en cuenta que el texto en KB926642 advierte que "la seguridad se reduce cuando deshabilita la verificación de bucle de autenticación y abre el servidor de Windows Server 2003 para ataques de hombre en el medio (MITM) en NTLM".
Ryan Bolger
Gracias Michael. Esto respondió mi "¿Cómo habilito el Explorador de Windows de Windows XP para aceptar alias CNAME en la barra de direcciones?" pregunta publicada aquí ( serverfault.com/questions/238851/… ).
Jason Pearce
¡¡¡Muchas gracias!!! Esto funcionó en un servidor 2008 R2 con clientes XP Pro que intentaban conectarse al recurso compartido de archivos. Tenía un servidor HP de 10 años (Server 2000) muerto, así que acometí un servidor VM, restauré los archivos y recreé los recursos compartidos. Los clientes XP Pro no pudieron conectarse con varios errores, pero apliqué el regedit anterior, reinicié y todo funciona, gracias de nuevo.

Respuestas:

67

Para facilitar los esquemas de conmutación por error, una técnica común es utilizar registros CNAME de DNS (alias DNS) para diferentes roles de máquina. Luego, en lugar de cambiar el nombre de la computadora con Windows del nombre real de la máquina, se puede cambiar un registro DNS para apuntar a un nuevo host.

Esto puede funcionar en máquinas con Microsoft Windows, pero para que funcione con el uso compartido de archivos, se deben seguir los siguientes pasos de configuración.

contorno

  1. El problema
  2. La solución
    • Permitir que otras máquinas utilicen el uso compartido de archivos a través del alias DNS (DisableStrictNameChecking)
    • Permitir que la máquina del servidor use el intercambio de archivos consigo mismo a través del Alias ​​DNS (BackConnectionHostNames)
    • Proporciona capacidades de exploración para múltiples nombres NetBIOS (nombres opcionales)
    • Registre los nombres principales del servicio Kerberos (SPN) para otras funciones de Windows como Impresión (setspn)
  3. Referencias

1. El problema

En las máquinas con Windows, el intercambio de archivos puede funcionar a través del nombre de la computadora, con o sin calificación completa, o por la dirección IP. Sin embargo, de manera predeterminada, el intercambio de archivos no funcionará con alias de DNS arbitrarios. Para habilitar el intercambio de archivos y otros servicios de Windows para trabajar con alias DNS, debe realizar cambios en el registro como se detalla a continuación y reiniciar la máquina.

2. La solución

Permitir que otras máquinas utilicen el uso compartido de archivos a través del alias DNS (DisableStrictNameChecking)

Este cambio solo permitirá que otras máquinas en la red se conecten a la máquina usando cualquier nombre de host arbitrario. (Sin embargo, este cambio no permitirá que una máquina se conecte a sí misma a través de un nombre de host, consulte BackConnectionHostNames a continuación).

  • Edite la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersy agregue un valor DisableStrictNameCheckingde tipo DWORD establecido en 1.

  • Edite la clave de registro (en 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printy agregue un valor DnsOnWirede tipo DWORD establecido en 1

Permitir que la máquina del servidor use el intercambio de archivos consigo mismo a través del Alias ​​DNS (BackConnectionHostNames)

Este cambio es necesario para que un alias DNS funcione con el intercambio de archivos desde una máquina para encontrarse. Esto crea los nombres de host de la Autoridad de seguridad local a los que se puede hacer referencia en una solicitud de autenticación NTLM.

Para hacer esto, siga estos pasos para todos los nodos en la computadora cliente:

  1. A la subclave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0, agregue un nuevo valor de cadenas múltiplesBackConnectionHostNames
  2. En el cuadro Información del valor, escriba CNAME o el alias DNS, que se usa para los recursos compartidos locales en la computadora, y luego haga clic en Aceptar.
    • Nota: Escriba cada nombre de host en una línea separada.

Proporciona capacidades de exploración para múltiples nombres NetBIOS (nombres opcionales)

Permite ver el alias de red en la lista de exploración de red.

  1. Edite la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersy agregue un valor OptionalNamesde tipo Multi-String
  2. Agregue una lista delimitada de nueva línea de nombres que deben registrarse bajo las entradas de exploración de NetBIOS
    • Los nombres deben coincidir con las convenciones de NetBIOS (es decir, no FQDN, solo nombre de host)

Registre los nombres principales del servicio Kerberos (SPN) para otras funciones de Windows como Impresión (setspn)

NOTA: No debería necesitar hacer esto para que funcionen las funciones básicas, documentadas aquí para completar. Tuvimos una situación en la que el alias DNS no funcionaba porque había un antiguo registro SPN que interfiere, por lo que si otros pasos no funcionan, verifique si hay registros SPN extraviados.

Debe registrar los nombres principales de servicio (SPN) de Kerberos, el nombre de host y el nombre de dominio completo (FQDN) para todos los nuevos registros de alias DNS (CNAME). Si no hace esto, una solicitud de ticket Kerberos para un registro de alias DNS (CNAME) puede fallar y devolver el código de error KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Para ver los SPN de Kerberos para los nuevos registros de alias DNS, use la herramienta de línea de comandos Setspn ( setspn.exe). La herramienta Setspn se incluye en las herramientas de soporte de Windows Server 2003. Puede instalar las herramientas de soporte de Windows Server 2003 desde la carpeta Support \ Tools del disco de inicio de Windows Server 2003.

Cómo usar la herramienta para enumerar todos los registros de un nombre de computadora:

setspn -L computername

Para registrar el SPN para los registros de alias DNS (CNAME), use la herramienta Setspn con la siguiente sintaxis:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referencias

Todas las referencias de Microsoft funcionan a través de: http://support.microsoft.com/kb/

  1. Es posible que la conexión al recurso compartido SMB en una computadora con Windows 2000 o una computadora con Windows Server 2003 no funcione con un nombre de alias
    • Cubre los conceptos básicos para hacer que el uso compartido de archivos funcione correctamente con registros de alias DNS de otras computadoras a la computadora del servidor.
    • KB281308
  2. Mensaje de error cuando intenta acceder a un servidor localmente utilizando su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: "Acceso denegado" o "Ningún proveedor de red aceptó la ruta de red dada"
    • Cubre cómo hacer que el alias DNS funcione con el uso compartido de archivos desde el propio servidor de archivos.
    • KB926642
  3. Cómo consolidar servidores de impresión utilizando registros de alias DNS (CNAME) en Windows Server 2003 y en Windows 2000 Server
    • Cubre escenarios más complejos en los que los registros en Active Directory pueden necesitar actualizarse para que ciertos servicios funcionen correctamente y para que dichos servicios funcionen correctamente, cómo registrar los nombres principales del servicio Kerberos (SPN).
    • KB870911
  4. Actualización del sistema de archivos distribuido para admitir raíces de consolidación en Windows Server 2003
    • Cubre escenarios aún más complejos con DFS (analiza los nombres opcionales).
    • KB829885
Michael Ferrante
fuente
Otro elemento para imprimir para trabajar con Windows Server 2008R2 / Win7 está documentado en support.microsoft.com/kb/979602 . Debe deshabilitar una optimización de DNS que agregaron para admitir la impresión en una máquina con alias agregando un valor DWORD llamado "DnsOnWire" a HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print y configúrelo en 1. Luego reinicie el servicio de cola de impresión.
nitzmahone 01 de
Fuente para mi edición: serverfault.com/q/396598/2869
Joel Coel
11

La otra forma de compartir archivos de Windows con redundancia es usar el Sistema de archivos distribuido con replicación (DFS-R). Necesitará al menos Windows Server 2003 R2 en sus servidores de archivos para implementar esto.

Configura su raíz DFS y luego puede especificar varios servidores que proporcionan un único recurso compartido. Si uno de los servidores deja de funcionar, los clientes que lo utilizan se conmutarán por error automáticamente a uno de los otros.

Para obtener más información, consulte la descripción general de DFS de Microsoft .

Joe
fuente