我想这样做,以便可以为服务器命名,例如SRV001,但仍然指向
\file
该服务器,因此当SRV002替换它时,我不必更新人们拥有的任何链接,只需更新DNS CNAME,每个人都将指向新服务器。#1 楼
为了促进故障转移方案,常用的技术是对不同的计算机角色使用DNS CNAME记录(DNS别名)。然后,您可以更改DNS记录以指向新的主机,而不必更改实际计算机名称的Windows计算机名称。这可以在Microsoft Windows计算机上使用,但可以使其与文件共享一起使用需要采取以下配置步骤。
概述
问题
解决方案
允许其他计算机通过DNS别名使用文件共享(DisableStrictNameChecking)
允许服务器计算机通过DNS别名使用自己的文件共享(BackConnectionHostNames)
为多个NetBIOS名称(可选名称)提供浏览功能
为其他Windows功能(如打印(setspn)
参考文献
1)注册Kerberos服务主体名称(SPN)。问题
在Windows机器上,文件共享可以通过计算机名称(有或没有全限定)或IP地址来进行。但是,默认情况下,文件共享不适用于任意DNS别名。要使文件共享和其他Windows服务能够使用DNS别名,必须按如下所述更改注册表,然后重新启动计算机。
2。解决方案
允许其他计算机通过DNS别名使用文件共享(DisableStrictNameChecking)
单独进行此更改将允许网络上的其他计算机使用任意主机名连接到该计算机。 (但是,此更改将不允许计算机通过主机名与其自身连接,请参阅下面的BackConnectionHostNames。)
编辑注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
并添加DWORD类型的值DisableStrictNameChecking
设置为1 。编辑注册表项(在2008 R2上)
HKLM\SYSTEM\CurrentControlSet\Control\Print
并添加DWORD类型的值DnsOnWire
设置为1 允许服务器计算机通过DNS别名(BackConnectionHostNames)自身使用文件共享
若要使DNS别名与从计算机中的文件共享一起使用以查找自身,此更改是必需的。这将创建可在NTLM身份验证请求中引用的本地安全机构主机名。
为此,请对客户端计算机上的所有节点执行以下步骤:
在注册表子项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
中,添加新的多字符串值BackConnectionHostNames
在“数值数据”框中,键入用于计算机上本地共享的CNAME或DNS别名,然后单击确定。
注意:在单独的行中键入每个主机名。
为多个NetBIOS名称(可选名称)提供浏览功能
允许在网络浏览列表中查看网络别名。 >
编辑注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
并添加类型为Multi-String的值OptionalNames
在换行符分隔的名称列表中添加应在NetBIOS浏览条目下注册的名称
名称应与NetBIOS约定匹配(即,不是FQDN,仅是主机名)
为其他Windows函数注册Kerberos服务主体名称(SPN),例如打印(setspn)
注意:为使基本功能正常工作,无需执行此操作,此处记录为完整起见。由于存在旧的SPN记录,我们曾遇到DNS别名不起作用的情况,因此,如果其他步骤不起作用,请检查是否有任何杂散的SPN记录。
您必须注册所有新DNS别名(CNAME)记录的Kerberos服务主体名称(SPN),主机名和完全限定的域名(FQDN)。如果不这样做,则对DNS别名(CNAME)记录的Kerberos票证请求可能会失败,并返回错误代码
KDC_ERR_S_SPRINCIPAL_UNKNOWN
。要查看新DNS别名记录的Kerberos SPN,请使用Setspn命令行工具(
setspn.exe
)。 Setspn工具包含在Windows Server 2003支持工具中。您可以从Windows Server 2003启动盘的Support \ Tools文件夹中安装Windows Server 2003支持工具。如何使用该工具列出计算机名的所有记录:
setspn -L computername
要为DNS别名(CNAME)记录注册SPN,请使用具有以下语法的Setspn工具:
setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername
3 。引用
所有Microsoft引用均通过以下方式工作:http://support.microsoft.com/kb/
在基于Windows 2000的系统上连接到SMB共享计算机或基于Windows Server 2003的计算机可能无法使用别名名称
涵盖使文件共享与其他计算机到服务器计算机上的DNS别名记录正常工作的基础。 br /> KB281308
在安装Windows Server 2003 Service Pack 1后尝试通过使用服务器的FQDN或CNAME别名在本地访问服务器时出现错误消息。没有网络提供商接受给定的网络路径“
介绍如何使DNS别名与文件服务器本身的文件共享一起使用。
KB926642
如何在Windows Server 2003和Windows 2000 Server中通过使用DNS别名(CNAME)记录来合并打印服务器
>涵盖更复杂的场景,在该场景中,可能需要更新Active Directory中的记录,以使某些服务正常运行,以及浏览此类服务正常运行,如何注册Kerberos服务主体名称(SPN)。
KB870911
分布式文件系统更新,以支持Windows Server 2003中的合并根
用DFS涵盖甚至更复杂的方案(讨论)可选名称)。
KB829885
评论
在support.microsoft.com/kb/979602上记录了另一个可在Windows Server 2008R2 / Win7下工作的打印项目。您需要通过将名为“ DnsOnWire”的DWORD值添加到HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print并将其设置为1来禁用为添加到别名计算机而添加的DNS优化,以支持在别名计算机上进行打印。然后重新启动后台打印程序服务。
–nitzmahone
2012年6月1日17:40
我的编辑来源:serverfault.com/q/396598/2869
–乔尔·科尔(Joel Coel)
2012年6月7日19:44
#2 楼
使用冗余进行Windows文件共享的另一种方法是使用带复制的分布式文件系统(DFS-R)。为了实现此目的,文件服务器上至少需要Windows Server 2003 R2。设置DFS根目录,然后可以指定提供单个共享的多个服务器。如果其中一台服务器出现故障,则使用它的客户端将自动故障转移到另一台服务器。
有关更多信息,请参阅Microsoft的DFS概述。
评论
我们将这种技术用作记录的热备份。与我相比,您在记录它方面做得更好。我不知道backConnection选项。而且,我们不使用netBIOS来减少攻击空间。我们也没有使用SPN。谢谢!作为记录,我们每天在组织中都使用带有DNA别名的Windows文件共享(针对2003和2008服务器),而无需进行任何更改。可以了。
还应注意,KB926642中的文本警告:“禁用身份验证环回检查并打开Windows Server 2003服务器以对NTLM进行中间人(MITM)攻击时,安全性将降低。”
谢谢迈克尔。这回答了我的问题:“如何使Windows XP的Windows资源管理器能够在地址栏中接受CNAME别名?”问题发布在这里(serverfault.com/questions/238851/…)。
非常感谢你!!!这在带有XP Pro客户端的Server 2008 R2上尝试连接到文件共享。我有一台10岁的HP服务器(Server 2000)死于我,所以我建立了一个VM服务器,将文件还原到其中,然后重新创建了共享。 XP Pro客户端无法连接,并出现各种错误,但是我应用了上面的regedit,重新启动后,一切正常,再次感谢。