Cómo configurar una máquina con Windows para permitir el intercambio de archivos con un alias de DNS

Pregunta:

¿Qué proceso es necesario para configurar un entorno de Windows que me permita usar DNS CNAME para referenciar servidores?

Quiero hacer esto para poder nombrar mis servidores con algo como SRV001, pero aún tengo \\file apunta a ese servidor, así que cuando SRV002 lo reemplace no tengo que actualizar ninguno de los enlaces que la gente tiene, solo actualice el DNS CNAME y todos serán apuntados al nuevo servidor.

Respuesta:

Para facilitar los esquemas de conmutación por error, una técnica común es utilizar registros CNAME de DNS (alias de DNS) para diferentes roles de máquina. Luego, en lugar de cambiar el nombre de la computadora de Windows del nombre real de la máquina, se puede cambiar un registro DNS para que apunte a un nuevo host.

Esto puede funcionar en máquinas con Microsoft Windows, pero para que funcione con el uso compartido de archivos, se deben seguir los siguientes pasos de configuración.

Esquema

  1. El problema
  2. La solución
    • Permitir que otras máquinas utilicen el uso compartido de archivos a través del alias de DNS (DisableStrictNameChecking)
    • Permitir que la máquina servidor utilice el uso compartido de archivos consigo misma a través del alias DNS (BackConnectionHostNames)
    • Proporcionar capacidades de exploración para varios nombres NetBIOS (OptionalNames)
    • Registre los nombres principales del servicio Kerberos (SPN) para otras funciones de Windows como Impresión (setspn)
  3. Referencias

1. El problema

En las máquinas con Windows, el intercambio de archivos puede funcionar a través del nombre de la computadora, con o sin calificación completa, o por la dirección IP. Sin embargo, de forma predeterminada, el uso compartido de archivos no funcionará con alias de DNS arbitrarios. Para permitir que el uso compartido de archivos y otros servicios de Windows funcionen con alias de DNS, debe realizar cambios en el registro como se detalla a continuación y reiniciar la máquina.

2. La solución

Permitir que otras máquinas utilicen el uso compartido de archivos a través del alias de DNS (DisableStrictNameChecking)

Este cambio por sí solo permitirá que otras máquinas de la red se conecten a la máquina utilizando cualquier nombre de host arbitrario. (Sin embargo, este cambio no permitirá que una máquina se conecte a sí misma a través de un nombre de host, consulte BackConnectionHostNames a continuación).

  • Edite la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters y agregue un valor DisableStrictNameChecking de tipo DWORD establecido en 1.

  • Edite la clave de registro (en 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print y agregue un valor DnsOnWire de tipo DWORD establecido en 1

Permitir que la máquina servidor utilice el uso compartido de archivos consigo misma a través del alias DNS (BackConnectionHostNames)

Este cambio es necesario para que un alias de DNS funcione con el intercambio de archivos desde una máquina para encontrarse a sí mismo. Esto crea los nombres de host de la Autoridad de seguridad local a los que se puede hacer referencia en una solicitud de autenticación NTLM.

Para hacer esto, siga estos pasos para todos los nodos en la computadora cliente:

  1. A la subclave del registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 , agregue un nuevo valor de cadena múltiple BackConnectionHostNames
  2. En el cuadro Información del valor, escriba el CNAME o el alias DNS, que se utiliza para los recursos compartidos locales en la computadora y luego haga clic en Aceptar.
    • Nota: Escriba cada nombre de host en una línea separada.

Proporcionar capacidades de exploración para varios nombres NetBIOS (OptionalNames)

Permite la posibilidad de ver el alias de la red en la lista de exploración de la red.

  1. Edite la clave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters y agregue un valor OptionalNames de tipo Multi-String
  2. Agregue una lista delimitada por una nueva línea de nombres que deben registrarse en las entradas de exploración de NetBIOS
    • Los nombres deben coincidir con las convenciones de NetBIOS (es decir, no FQDN, solo nombre de host)

Registre los nombres principales del servicio Kerberos (SPN) para otras funciones de Windows como Impresión (setspn)

NOTA: No debería ser necesario hacer esto para que las funciones básicas funcionen, documentado aquí para que esté completo. Tuvimos una situación en la que el alias de DNS no funcionaba porque había un registro SPN antiguo interfiriendo, así que si otros pasos no funcionan, verifique si hay registros SPN perdidos.

Debe registrar los nombres principales del servicio Kerberos (SPN), el nombre de host y el nombre de dominio completo (FQDN) para todos los nuevos registros de alias de DNS (CNAME). Si no hace esto, una solicitud de ticket Kerberos para un registro de alias DNS (CNAME) puede fallar y devolver el código de error KDC_ERR_S_SPRINCIPAL_UNKNOWN .

Para ver los SPN de Kerberos para los nuevos registros de alias DNS, use la herramienta de línea de comandos setspn.exe ( setspn.exe ). La herramienta Setspn se incluye en las herramientas de soporte de Windows Server 2003. Puede instalar las herramientas de soporte de Windows Server 2003 desde la carpeta Support \ Tools del disco de inicio de Windows Server 2003.

Cómo usar la herramienta para enumerar todos los registros de un nombre de computadora:

setspn -L computername

Para registrar el SPN para los registros de alias DNS (CNAME), use la herramienta Setspn con la siguiente sintaxis:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. Referencias

Todas las referencias de Microsoft funcionan a través de: http://support.microsoft.com/kb/

  1. Es posible que la conexión a un recurso compartido SMB en una computadora con Windows 2000 o con Windows Server 2003 no funcione con un nombre de alias
    • Cubre los conceptos básicos para hacer que el intercambio de archivos funcione correctamente con registros de alias DNS de otras computadoras al servidor.
    • KB281308
  2. Mensaje de error cuando intenta acceder a un servidor localmente utilizando su FQDN o su alias CNAME después de instalar Windows Server 2003 Service Pack 1: "Acceso denegado" o "Ningún proveedor de red aceptó la ruta de red dada"
    • Cubre cómo hacer que el alias de DNS funcione con el uso compartido de archivos desde el propio servidor de archivos.
    • KB926642
  3. Cómo consolidar servidores de impresión mediante registros de alias DNS (CNAME) en Windows Server 2003 y Windows 2000 Server
    • Cubre escenarios más complejos en los que es posible que sea necesario actualizar los registros de Active Directory para que ciertos servicios funcionen correctamente y para que la exploración de dichos servicios funcione correctamente, cómo registrar los nombres principales del servicio Kerberos (SPN).
    • KB870911
  4. Actualización del sistema de archivos distribuido para admitir las raíces de consolidación en Windows Server 2003
    • Cubre escenarios aún más complejos con DFS (analiza OptionalNames).
    • KB829885

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım