Windows Server: Noms multiples pour un serveur de fichiers et d'impression exécutant Windows Server 2008 R2 – Serveur d’impression

Ce billet a été inspiré par celui de Jose Barreto (MSFT). Lors de la migration d'un serveur vers un nouveau matériel, d'une nouvelle version de Windows Server ou de la restructuration de vos fichiers et de votre infrastructure de service d'impression, l'objectif principal consiste à effectuer le changement avec un impact limité sur l'utilisateur. La plupart du temps, il s’agit de réutiliser le nom original du serveur pour que l’utilisateur pointe vers le nouveau. Cet article décrit les 2 principales directions pour le faire avec Windows Server 2008 R2 et leurs implications. 1) (Re) Configuration du (des) mécanisme (s) de résolution de nom Cette méthode est la plus simple: tout ce que vous avez à faire est (selon votre infrastructure):

Ajout d'un enregistrement DNS CNAME qui fait pointer l'ancien nom de votre serveur vers l'enregistrement A du nouveau

Si vous utilisez également le service WINS, vous devrez éventuellement ajouter une entrée statique pour le nom de l'ancien serveur pointant vers l'adresse IP du nouveau serveur.

Bien que cela soit assez simple, le changement de nom ne sera pas pris en compte par les mécanismes Windows sous-jacents suivants: Authentification L'authentification Kerberos repose uniquement sur des noms (noms de serveur, noms de service, etc.). Les bases de données de noms Kerberos (Active Directory dans le monde Windows) ne sont pas informées du fait que les noms de l’ancien serveur sont désormais associés au nouveau serveur. Sur 99% du système, le problème ne parviendra pas à la surface car Windows basculera en mode silencieux vers NTLM. Quoi qu'il en soit, si vous souhaitez conserver une configuration Kerberos correcte, vous devez enregistrer les noms principaux de service (SPN) appropriés: à l'aide d'outils tels que SETSPN ou simplement la console ADUC (grâce à l'éditeur d'attributs), les SPN suivants doivent être ajoutés. au compte d'ordinateur du serveur MYDOMNEWSERVER $: Même si vous pensez peut-être que le retour à NTLM n’est pas un gros problème, tenez compte du fait que NTLM est sur le point de disparaître de l’avenir de Windows: Seven / 2008 R2 est doté d’options de sécurité qui en empêchent l’utilisation. Il est désactivé par défaut cependant. Vérification stricte des noms CIFS / SMB Le protocole responsable du partage de fichiers et d’impressions (CIFS ou SMB) comprend un mécanisme de sécurité qui, par défaut, refuse de répondre aux demandes si le nom du serveur cible est celui qui n’est pas celui du serveur. Pour désactiver cette fonctionnalité, vous devez modifier la configuration du service LanManServer (voir http://support.microsoft.com/kb/281308 pour plus de détails. Enfin, vous avez également été affecté par des erreurs humaines telles que des administrateurs DNS ou WINS qui nettoient régulièrement les enregistrements et considèrent le CNAME ou les entrées statiques comme périmées… Seule une bonne gestion de la configuration pourrait empêcher cela. 2) Configuration d'autres noms à l'aide de la commande NETDOM NETDOM Command offre une solution «couteau suisse» à tous les problèmes ci-dessus tout en maintenant la sécurité aussi haut que possible. Exemple: NETDOM COMPUTERNAME NEWSERVERNAME / ADD OLDSERVERNAME.mydom.local Puis redémarrez le système. Voir les raisons ci-dessous. Cette commande simple effectuera les opérations suivantes, toutes en même temps: Configuration de l’ordinateur local pour enregistrer ses nouveaux noms alternatifs dans le serveur DNS et / ou le serveur WINS Cette configuration est stockée localement dans le registre sous HKLMSYSTEMCurrentControlSetservicesDnscacheParameters, avec l'entrée «AlternateComputerNames», absente par défaut. Voir http://technet.microsoft.com/en-us/library/dd197418(WS.10).aspx pour plus de détails. Cette entrée semble apparaître uniquement après le redémarrage du système. Enregistrement des noms de principal de service nécessaires dans le compte AD de l’ordinateur. Dans ce cas, tous les services en cours d'exécution sur le serveur seront enregistrés avec le nom alternatif. Il n'y a donc pas de granularité de pièce comme il en existe avec l'enregistrement manuel! Bien entendu, l'exécution de cette action implique que le compte d'utilisateur qui exécute la commande se voit attribuer les droits AD validés sur les noms de principal de service, ce qui est le cas d'un administrateur de domaine, par exemple. Voir http://technet.microsoft.com/en-us/library/cc728117(WS.10).aspx#BKMK_ValidatedWrites pour plus de détails. Reconfigurer le service LanManServer pour prendre en charge ses noms supplémentaires PAS en désactivant la vérification de nom stricte, mais en utilisant un nouveau nom de fonction “Noms facultatifs”. Voir l’entrée de registre «OptionalNames» à la droite de la clé «HKLMSYSTEMCurrentControlSetservicesLanmanServerParameters», absente par défaut. Cette entrée semble apparaître uniquement après le redémarrage du système. A propos de l'évolutivité A ma connaissance, le nombre de noms alternatifs est limité aux données de type MULTI_SZ du registre et à l’attribut ServicePrincipalName d’AD (1024 entrées par objet ordinateur AFAIK), ce qui laisse beaucoup de place pour des consolidations multiples ou des migrations. Récupération de la configuration actuelle Pour lister tous les noms alternatifs, utilisez simplement cette commande: NETDOM COMPUTERNAME NEWSERVERNAME / ENUM Remarque: la commande répertorie également le nom principal de l’ordinateur. Compatibilité La méthode NETDOM fonctionne également si l'ordinateur exécute Windows Seven Cela fonctionne également si le serveur est un contrôleur de domaine, mais pas si vous souhaitez effectuer cette opération sur un groupe de ressources en cluster. Dans ce cas, vous devrez utiliser la méthode spécifique au cluster (console d'administration du cluster, configuration des ressources, enregistrement du SPN et du DNS, etc.). Enfin, comme le partage d’imprimantes utilise le même protocole, il fonctionne également sur les serveurs d’impression. Conclusions Bien que la méthode NETDOM présente 2 inconvénients: 1) elle semble nécessiter un redémarrage 2) Elle enregistre les SPN de tous les services hébergés, ce qui peut parfois être trop et sembler être un gaspillage au niveau de l'attribut AD, cela l'emporte clairement sur le nom du manuel enregistrement et reconfigurations manuelles ultérieures Marc

Comme ça: Comme Chargement…

Catégories: Services de fichiers et d'impression, Windows, Windows Server 2008/2008 R2 | Permalink

Auteur: Marc L Professionnel du cloud implacable. Coureur agité. Mari heureux. Père fier. Les opinions sont les miennes.

Click to rate this post! [Total: 0 Average: 0]