Чтобы упростить схемы аварийного переключения, распространенным методом является использование записей DNS CNAME (псевдонимы DNS) для разных ролей компьютера. Затем вместо того, чтобы изменить имя компьютера в Windows на фактическое имя компьютера, можно переключить запись DNS, чтобы указать на новый хост.
Это может работать на компьютерах с Microsoft Windows, но для работы с общим доступом к файлам необходимо выполнить следующие шаги настройки.
Контур
- Проблема
- Решение
- Разрешение другим машинам использовать общий доступ к файлам через псевдоним DNS (DisableStrictNameChecking)
- Разрешение серверу компьютера использовать общий доступ к файлам через псевдоним DNS (BackConnectionHostNames)
- Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)
- Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Печать (setspn)
- Рекомендации
1. Проблема
На компьютерах под управлением Windows общий доступ к файлам может осуществляться через имя компьютера, с полной квалификацией или без нее или по IP-адресу. Однако по умолчанию общий доступ к файлам не будет работать с произвольными псевдонимами DNS. Чтобы разрешить совместное использование файлов и другие службы Windows для работы с псевдонимами DNS, необходимо внести изменения в реестр, как описано ниже, и перезагрузить компьютер.
2. Решение
Разрешение другим машинам использовать общий доступ к файлам через псевдоним DNS (DisableStrictNameChecking)
Одно только это изменение позволит другим машинам в сети подключаться к машине с любым произвольным именем хоста. (Однако это изменение не позволит машине подключаться к себе через имя хоста, см. BackConnectionHostNames ниже).
Отредактируйте раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersи добавьте значение DisableStrictNameCheckingтипа DWORD, равное 1.
Отредактируйте раздел реестра (в 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Printи добавьте значение DnsOnWireтипа DWORD, равное 1
Разрешение серверу компьютера использовать общий доступ к файлам через псевдоним DNS (BackConnectionHostNames)
Это изменение необходимо для псевдонима DNS для работы с файлообменниками с компьютера, чтобы найти себя. Это создает имена хостов локального органа безопасности, на которые можно ссылаться в запросе проверки подлинности NTLM.
Чтобы сделать это, выполните следующие действия для всех узлов на клиентском компьютере:
- В подраздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0добавьте новое значение Multi-String.BackConnectionHostNames
- В поле «Значение» введите CNAME или псевдоним DNS, который используется для локальных общих папок на компьютере, и нажмите кнопку ОК.
- Примечание. Введите каждое имя хоста в отдельной строке.
Предоставление возможностей просмотра для нескольких имен NetBIOS (OptionalNames)
Позволяет видеть сетевой псевдоним в списке просмотра сети.
- Отредактируйте раздел реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersи добавьте значение OptionalNamesтипа Multi-String
- Добавьте в новую строку список имен с разделителями, которые должны быть зарегистрированы в записях обзора NetBIOS
- Имена должны соответствовать соглашениям NetBIOS (т.е. не FQDN, а просто имя хоста)
Зарегистрируйте имена участников службы Kerberos (SPN) для других функций Windows, таких как Печать (setspn)
ПРИМЕЧАНИЕ: не нужно делать это для работы основных функций, документированных здесь для полноты. У нас была одна ситуация, когда псевдоним DNS не работал, потому что вмешивалась старая запись SPN, поэтому, если другие шаги не работают, проверьте, есть ли какие-либо ошибочные записи SPN.
Вы должны зарегистрировать имена участников службы (SPN) Kerberos, имя хоста и полное доменное имя (FQDN) для всех новых записей псевдонимов DNS (CNAME). Если вы этого не сделаете, запрос билета Kerberos для записи псевдонима DNS (CNAME) может завершиться с ошибкой и вернуть код ошибки KDC_ERR_S_SPRINCIPAL_UNKNOWN.
Чтобы просмотреть имена участников-служб Kerberos для новых записей псевдонимов DNS, используйте средство командной строки Setspn ( setspn.exe). Средство Setspn входит в состав средств поддержки Windows Server 2003. Инструменты поддержки Windows Server 2003 можно установить из папки Support \ Tools на загрузочном диске Windows Server 2003.
Как использовать инструмент для вывода списка всех записей для имени компьютера:
setspn -L computername
Чтобы зарегистрировать имя участника-службы для записей псевдонимов DNS (CNAME), используйте инструмент Setspn со следующим синтаксисом:
setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername
3. Ссылки
Все ссылки Microsoft работают через: http://support.microsoft.com/kb/
- Подключение к общей папке SMB на компьютере под управлением Windows 2000 или на компьютере под управлением Windows Server 2003 может не работать с псевдонимом
- Описывает основы правильной работы файлообменника с записями псевдонимов DNS с других компьютеров на сервер.
- KB281308
- Сообщение об ошибке при попытке доступа к серверу локально с использованием его полного доменного имени или псевдонима CNAME после установки пакета обновления 1 (SP1) для Windows Server 2003: «Доступ запрещен» или «Ни один сетевой поставщик не принял указанный сетевой путь»
- Описывает, как заставить псевдоним DNS работать с файлообменником с самого файлового сервера.
- KB926642
- Как консолидировать серверы печати с помощью записей псевдонимов DNS (CNAME) в Windows Server 2003 и Windows 2000 Server
- Описывает более сложные сценарии, в которых может потребоваться обновить записи в Active Directory, чтобы определенные службы работали должным образом, а также чтобы просматривать такие службы для правильной работы, как зарегистрировать имена участников службы Kerberos (SPN).
- KB870911
- Обновление распределенной файловой системы для поддержки корней консолидации в Windows Server 2003
- Охватывает даже более сложные сценарии с DFS (обсуждается OptionalNames).
- KB829885