Quel processus est nécessaire pour configurer un environnement Windows afin de me permettre d'utiliser le DNS CNAME pour référencer les serveurs ?
Je veux faire cela pour que je puisse nommer mes serveurs comme SRV001, mais avoir toujours \\file point vers ce serveur, de sorte que lorsque SRV002 le remplacera, je n'aurai pas à mettre à jour les liens que les gens ont, il suffira de mettre à jour le DNS CNAME et tout le monde sera dirigé vers le nouveau serveur.
Pour faciliter les plans de basculement, une technique courante consiste à utiliser des enregistrements CNAME (alias DNS) pour les différents rôles des machines. Ainsi, au lieu de changer le nom de l'ordinateur Windows du nom de la machine réelle, on peut changer un enregistrement DNS pour pointer vers un nouvel hôte.
Cela peut fonctionner sur les machines Microsoft Windows, mais pour que cela fonctionne avec le partage de fichiers, les étapes de configuration suivantes doivent être suivies.
Sur les machines Windows, le partage de fichiers peut travailler via le nom de l'ordinateur, avec ou sans qualification complète, ou par l'adresse IP. Par défaut, cependant, le partage de fichiers ne fonctionnera pas avec des alias DNS arbitraires. Pour permettre au partage de fichiers et aux autres services Windows de fonctionner avec des alias DNS, vous devez apporter des modifications au registre comme indiqué ci-dessous et redémarrer la machine.
Cette seule modification permettra aux autres machines du réseau de se connecter à la machine en utilisant n'importe quel nom d'hôte arbitraire. (Cependant, cette modification ne permettra pas à une machine de se connecter à lui-même via un nom d'hôte, voir BackConnectionHostNames ci-dessous).
Modifiez la clé de registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters et ajouter une valeur DisableStrictNameChecking de type DWORD réglé sur 1.
Modifier la clé de registre (sur 2008 R2) HKLM\SYSTEM\CurrentControlSet\Control\Print et ajouter une valeur DnsOnWire de type DWORD réglé sur 1
Ce changement est nécessaire pour qu'un alias DNS fonctionne avec le partage de fichiers d'une machine pour se retrouver. Cela crée les noms d'hôtes de l'autorité locale de sécurité qui peuvent être référencés dans une demande d'authentification NTLM.
Pour ce faire, suivez ces étapes pour tous les nœuds de l'ordinateur client :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 ajouter une nouvelle valeur multi-chaîne BackConnectionHostNames
Permet de voir l'alias du réseau dans la liste de navigation du réseau.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters et ajouter une valeur OptionalNames de type Multi-StringREMARQUE : Il n'est pas nécessaire de faire cela pour que les fonctions de base fonctionnent, mais cela est documenté ici par souci d'exhaustivité. Nous avons eu une situation dans laquelle l'alias DNS ne fonctionnait pas parce qu'un ancien enregistrement SPN interférait, donc si les autres étapes ne fonctionnent pas, vérifiez s'il n'y a pas d'enregistrements SPN errants.
Vous devez enregistrer les noms de principal de service Kerberos (SPN), le nom d'hôte et le nom de domaine entièrement qualifié (FQDN) pour tous les nouveaux enregistrements d'alias DNS (CNAME). Si vous ne le faites pas, une demande de ticket Kerberos pour un enregistrement d'alias DNS (CNAME) peut échouer et renvoyer le code d'erreur suivant KDC_ERR_S_SPRINCIPAL_UNKNOWN .
Pour afficher les SPN Kerberos pour les nouveaux enregistrements d'alias DNS, utilisez l'outil de ligne de commande Setspn ( setspn.exe ). L'outil Setspn est inclus dans les outils de support de Windows Server 2003. Vous pouvez installer les outils de soutien de Windows Server 2003 à partir du site Web du soutien. \Tools du disque de démarrage de Windows Server 2003.
Comment utiliser l'outil pour lister tous les enregistrements pour un nom d'ordinateur :
setspn -L computernamePour enregistrer le SPN pour les enregistrements d'alias DNS (CNAME), utilisez l'outil Setspn avec la syntaxe suivante :
setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computernameToutes les références Microsoft fonctionnent via : http://support.microsoft.com/kb/
Un autre élément pour que l'impression fonctionne sous Windows Server 2008R2/Win7 est documenté à l'adresse suivante support.microsoft.com/kb/979602 . Vous devez désactiver une optimisation DNS qu'ils ont ajoutée pour prendre en charge l'impression sur une machine aliasée en ajoutant une valeur DWORD nommée "DnsOnWire" à HKLM \SYSTEM\CurrentControlSet\Control\Print et lui attribuer la valeur 1. Redémarrez ensuite le service Print Spooler.
L'autre façon de faire du partage de fichiers Windows avec redondance est d'utiliser le système de fichiers distribués avec réplication (DFS-R). Vous aurez besoin d'au moins Windows Server 2003 R2 sur vos serveurs de fichiers afin de mettre en œuvre cette solution.
Vous configurez votre racine DFS, puis vous pouvez spécifier plusieurs serveurs fournissant un seul partage. Si l'un des serveurs tombe en panne, les clients qui l'utilisent basculent automatiquement sur l'un des autres.
Pour plus d'informations, voir le site de Microsoft Vue d'ensemble de DFS .
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
0 votes
Nous utilisons cette technique comme suit veille à chaud . Vous avez fait un bien meilleur travail de documentation que moi. Je ne connaissais pas l'option backConnection. Et nous réduisons notre espace d'attaque en n'utilisant pas netBIOS. Nous n'utilisons pas non plus le SPN. Je vous remercie de votre attention.
0 votes
Pour mémoire, nous utilisons quotidiennement le partage de fichiers Windows avec des alias DNA sur des serveurs 2003 et 2008 dans mon organisation sans avoir eu besoin d'effectuer aucune de ces modifications. Cela fonctionne tout simplement.
0 votes
Il convient également de noter que le texte de la KB926642 avertit que "La sécurité est réduite lorsque vous désactivez la vérification du bouclage de l'authentification et que vous exposez le serveur Windows Server 2003 à des attaques de type man-in-the-middle (MITM) sur NTLM".
0 votes
Merci Michael. Cela répond à ma question "Comment activer l'explorateur Windows XP pour qu'il accepte les alias CNAME dans la barre d'adresse ?" postée ici ( serverfault.com/questions/238851/ ).
0 votes
Merci beaucoup !!! Cela a fonctionné sur un serveur 2008 R2 avec des clients XP Pro essayant de se connecter au partage de fichiers. J'ai eu un serveur HP vieux de 10 ans (serveur 2000) qui est mort, alors j'ai construit un serveur VM, restauré les fichiers sur celui-ci et recréé les partages. Les clients XP Pro ne pouvaient pas se connecter avec diverses erreurs, mais j'ai appliqué le regedit ci-dessus, redémarré, et tout fonctionne, merci encore.