Ce billet a été inspiré par celui de Jose Barreto (MSFT).\nLors de la migration d'un serveur vers un nouveau matériel, d'une nouvelle version de Windows Server ou de la restructuration de vos fichiers et de votre infrastructure de service d'impression, l'objectif principal consiste à effectuer le changement avec un impact limité sur l'utilisateur. La plupart du temps, il s’agit de réutiliser le nom original du serveur pour que l’utilisateur pointe vers le nouveau. Cet article décrit les 2 principales directions pour le faire avec Windows Server 2008 R2 et leurs implications.\n1) (Re) Configuration du (des) mécanisme (s) de résolution de nom\nCette méthode est la plus simple: tout ce que vous avez à faire est (selon votre infrastructure):
"},{"id":"text-2","type":"text","heading":"","plain_text":"Ajout d'un enregistrement DNS CNAME qui fait pointer l'ancien nom de votre serveur vers l'enregistrement A du nouveau","html":"Ajout d'un enregistrement DNS CNAME qui fait pointer l'ancien nom de votre serveur vers l'enregistrement A du nouveau
"},{"id":"text-3","type":"text","heading":"","plain_text":"Si vous utilisez également le service WINS, vous devrez éventuellement ajouter une entrée statique pour le nom de l'ancien serveur pointant vers l'adresse IP du nouveau serveur.","html":"Si vous utilisez également le service WINS, vous devrez éventuellement ajouter une entrée statique pour le nom de l'ancien serveur pointant vers l'adresse IP du nouveau serveur.
"},{"id":"text-4","type":"text","heading":"","plain_text":"Bien que cela soit assez simple, le changement de nom ne sera pas pris en compte par les mécanismes Windows sous-jacents suivants:\nAuthentification\nL'authentification Kerberos repose uniquement sur des noms (noms de serveur, noms de service, etc.). Les bases de données de noms Kerberos (Active Directory dans le monde Windows) ne sont pas informées du fait que les noms de l’ancien serveur sont désormais associés au nouveau serveur. Sur 99% du système, le problème ne parviendra pas à la surface car Windows basculera en mode silencieux vers NTLM. Quoi qu'il en soit, si vous souhaitez conserver une configuration Kerberos correcte, vous devez enregistrer les noms principaux de service (SPN) appropriés: à l'aide d'outils tels que SETSPN ou simplement la console ADUC (grâce à l'éditeur d'attributs), les SPN suivants doivent être ajoutés. au compte d'ordinateur du serveur MYDOMNEWSERVER $:\nMême si vous pensez peut-être que le retour à NTLM n’est pas un gros problème, tenez compte du fait que NTLM est sur le point de disparaître de l’avenir de Windows: Seven / 2008 R2 est doté d’options de sécurité qui en empêchent l’utilisation. Il est désactivé par défaut cependant.\nVérification stricte des noms CIFS / SMB\nLe protocole responsable du partage de fichiers et d’impressions (CIFS ou SMB) comprend un mécanisme de sécurité qui, par défaut, refuse de répondre aux demandes si le nom du serveur cible est celui qui n’est pas celui du serveur. Pour désactiver cette fonctionnalité, vous devez modifier la configuration du service LanManServer (voir http://support.microsoft.com/kb/281308 pour plus de détails.\nEnfin, vous avez également été affecté par des erreurs humaines telles que des administrateurs DNS ou WINS qui nettoient régulièrement les enregistrements et considèrent le CNAME ou les entrées statiques comme périmées… Seule une bonne gestion de la configuration pourrait empêcher cela.\n2) Configuration d'autres noms à l'aide de la commande NETDOM\nNETDOM Command offre une solution «couteau suisse» à tous les problèmes ci-dessus tout en maintenant la sécurité aussi haut que possible. Exemple:\nNETDOM COMPUTERNAME NEWSERVERNAME / ADD OLDSERVERNAME.mydom.local\nPuis redémarrez le système. Voir les raisons ci-dessous.\nCette commande simple effectuera les opérations suivantes, toutes en même temps:\nConfiguration de l’ordinateur local pour enregistrer ses nouveaux noms alternatifs dans le serveur DNS et / ou le serveur WINS\nCette configuration est stockée localement dans le registre sous HKLMSYSTEMCurrentControlSetservicesDnscacheParameters, avec l'entrée «AlternateComputerNames», absente par défaut. Voir http://technet.microsoft.com/en-us/library/dd197418(WS.10).aspx pour plus de détails.\nCette entrée semble apparaître uniquement après le redémarrage du système.\nEnregistrement des noms de principal de service nécessaires dans le compte AD de l’ordinateur.\nDans ce cas, tous les services en cours d'exécution sur le serveur seront enregistrés avec le nom alternatif. Il n'y a donc pas de granularité de pièce comme il en existe avec l'enregistrement manuel!\nBien entendu, l'exécution de cette action implique que le compte d'utilisateur qui exécute la commande se voit attribuer les droits AD validés sur les noms de principal de service, ce qui est le cas d'un administrateur de domaine, par exemple. Voir http://technet.microsoft.com/en-us/library/cc728117(WS.10).aspx#BKMK_ValidatedWrites pour plus de détails.\nReconfigurer le service LanManServer pour prendre en charge ses noms supplémentaires\nPAS en désactivant la vérification de nom stricte, mais en utilisant un nouveau nom de fonction “Noms facultatifs”. Voir l’entrée de registre «OptionalNames» à la droite de la clé «HKLMSYSTEMCurrentControlSetservicesLanmanServerParameters», absente par défaut.\nCette entrée semble apparaître uniquement après le redémarrage du système.\nA propos de l'évolutivité\nA ma connaissance, le nombre de noms alternatifs est limité aux données de type MULTI_SZ du registre et à l’attribut ServicePrincipalName d’AD (1024 entrées par objet ordinateur AFAIK), ce qui laisse beaucoup de place pour des consolidations multiples ou des migrations.\nRécupération de la configuration actuelle\nPour lister tous les noms alternatifs, utilisez simplement cette commande:\nNETDOM COMPUTERNAME NEWSERVERNAME / ENUM\nRemarque: la commande répertorie également le nom principal de l’ordinateur.\nCompatibilité\nLa méthode NETDOM fonctionne également si l'ordinateur exécute Windows Seven\nCela fonctionne également si le serveur est un contrôleur de domaine, mais pas si vous souhaitez effectuer cette opération sur un groupe de ressources en cluster. Dans ce cas, vous devrez utiliser la méthode spécifique au cluster (console d'administration du cluster, configuration des ressources, enregistrement du SPN et du DNS, etc.).\nEnfin, comme le partage d’imprimantes utilise le même protocole, il fonctionne également sur les serveurs d’impression.\nConclusions\nBien que la méthode NETDOM présente 2 inconvénients: 1) elle semble nécessiter un redémarrage 2) Elle enregistre les SPN de tous les services hébergés, ce qui peut parfois être trop et sembler être un gaspillage au niveau de l'attribut AD, cela l'emporte clairement sur le nom du manuel enregistrement et reconfigurations manuelles ultérieures\nMarc","html":"Bien que cela soit assez simple, le changement de nom ne sera pas pris en compte par les mécanismes Windows sous-jacents suivants:\nAuthentification\nL'authentification Kerberos repose uniquement sur des noms (noms de serveur, noms de service, etc.). Les bases de données de noms Kerberos (Active Directory dans le monde Windows) ne sont pas informées du fait que les noms de l’ancien serveur sont désormais associés au nouveau serveur. Sur 99% du système, le problème ne parviendra pas à la surface car Windows basculera en mode silencieux vers NTLM. Quoi qu'il en soit, si vous souhaitez conserver une configuration Kerberos correcte, vous devez enregistrer les noms principaux de service (SPN) appropriés: à l'aide d'outils tels que SETSPN ou simplement la console ADUC (grâce à l'éditeur d'attributs), les SPN suivants doivent être ajoutés. au compte d'ordinateur du serveur MYDOMNEWSERVER $:\nMême si vous pensez peut-être que le retour à NTLM n’est pas un gros problème, tenez compte du fait que NTLM est sur le point de disparaître de l’avenir de Windows: Seven / 2008 R2 est doté d’options de sécurité qui en empêchent l’utilisation. Il est désactivé par défaut cependant.\nVérification stricte des noms CIFS / SMB\nLe protocole responsable du partage de fichiers et d’impressions (CIFS ou SMB) comprend un mécanisme de sécurité qui, par défaut, refuse de répondre aux demandes si le nom du serveur cible est celui qui n’est pas celui du serveur. Pour désactiver cette fonctionnalité, vous devez modifier la configuration du service LanManServer (voir http://support.microsoft.com/kb/281308 pour plus de détails.\nEnfin, vous avez également été affecté par des erreurs humaines telles que des administrateurs DNS ou WINS qui nettoient régulièrement les enregistrements et considèrent le CNAME ou les entrées statiques comme périmées… Seule une bonne gestion de la configuration pourrait empêcher cela.\n2) Configuration d'autres noms à l'aide de la commande NETDOM\nNETDOM Command offre une solution «couteau suisse» à tous les problèmes ci-dessus tout en maintenant la sécurité aussi haut que possible. Exemple:\nNETDOM COMPUTERNAME NEWSERVERNAME / ADD OLDSERVERNAME.mydom.local\nPuis redémarrez le système. Voir les raisons ci-dessous.\nCette commande simple effectuera les opérations suivantes, toutes en même temps:\nConfiguration de l’ordinateur local pour enregistrer ses nouveaux noms alternatifs dans le serveur DNS et / ou le serveur WINS\nCette configuration est stockée localement dans le registre sous HKLMSYSTEMCurrentControlSetservicesDnscacheParameters, avec l'entrée «AlternateComputerNames», absente par défaut. Voir http://technet.microsoft.com/en-us/library/dd197418(WS.10).aspx pour plus de détails.\nCette entrée semble apparaître uniquement après le redémarrage du système.\nEnregistrement des noms de principal de service nécessaires dans le compte AD de l’ordinateur.\nDans ce cas, tous les services en cours d'exécution sur le serveur seront enregistrés avec le nom alternatif. Il n'y a donc pas de granularité de pièce comme il en existe avec l'enregistrement manuel!\nBien entendu, l'exécution de cette action implique que le compte d'utilisateur qui exécute la commande se voit attribuer les droits AD validés sur les noms de principal de service, ce qui est le cas d'un administrateur de domaine, par exemple. Voir http://technet.microsoft.com/en-us/library/cc728117(WS.10).aspx#BKMK_ValidatedWrites pour plus de détails.\nReconfigurer le service LanManServer pour prendre en charge ses noms supplémentaires\nPAS en désactivant la vérification de nom stricte, mais en utilisant un nouveau nom de fonction “Noms facultatifs”. Voir l’entrée de registre «OptionalNames» à la droite de la clé «HKLMSYSTEMCurrentControlSetservicesLanmanServerParameters», absente par défaut.\nCette entrée semble apparaître uniquement après le redémarrage du système.\nA propos de l'évolutivité\nA ma connaissance, le nombre de noms alternatifs est limité aux données de type MULTI_SZ du registre et à l’attribut ServicePrincipalName d’AD (1024 entrées par objet ordinateur AFAIK), ce qui laisse beaucoup de place pour des consolidations multiples ou des migrations.\nRécupération de la configuration actuelle\nPour lister tous les noms alternatifs, utilisez simplement cette commande:\nNETDOM COMPUTERNAME NEWSERVERNAME / ENUM\nRemarque: la commande répertorie également le nom principal de l’ordinateur.\nCompatibilité\nLa méthode NETDOM fonctionne également si l'ordinateur exécute Windows Seven\nCela fonctionne également si le serveur est un contrôleur de domaine, mais pas si vous souhaitez effectuer cette opération sur un groupe de ressources en cluster. Dans ce cas, vous devrez utiliser la méthode spécifique au cluster (console d'administration du cluster, configuration des ressources, enregistrement du SPN et du DNS, etc.).\nEnfin, comme le partage d’imprimantes utilise le même protocole, il fonctionne également sur les serveurs d’impression.\nConclusions\nBien que la méthode NETDOM présente 2 inconvénients: 1) elle semble nécessiter un redémarrage 2) Elle enregistre les SPN de tous les services hébergés, ce qui peut parfois être trop et sembler être un gaspillage au niveau de l'attribut AD, cela l'emporte clairement sur le nom du manuel enregistrement et reconfigurations manuelles ultérieures\nMarc
"},{"id":"text-5","type":"text","heading":"","plain_text":"Comme ça:\nComme Chargement…","html":"Comme ça:\nComme Chargement…
"},{"id":"text-6","type":"text","heading":"","plain_text":"Catégories: Services de fichiers et d'impression, Windows, Windows Server 2008/2008 R2 | Permalink","html":"Catégories: Services de fichiers et d'impression, Windows, Windows Server 2008/2008 R2 | Permalink
"},{"id":"text-7","type":"text","heading":"","plain_text":"Auteur: Marc L\nProfessionnel du cloud implacable. Coureur agité. Mari heureux. Père fier. Les opinions sont les miennes.","html":"Auteur: Marc L\nProfessionnel du cloud implacable. Coureur agité. Mari heureux. Père fier. Les opinions sont les miennes.
"},{"id":"text-8","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Ce billet a été inspiré par celui de Jose Barreto (MSFT).\nLors de la migration d'un serveur vers un nouveau matériel, d'une nouvelle version de Windows Server ou de la restructuration de vos fichiers et de votre infrastructure de service d'impression, l'objectif principal consiste à effectuer le changement avec un impact limité sur l'utilisateur. La plupart du temps, il s’agit de réutiliser le nom original du serveur pour que l’utilisateur pointe vers le nouveau. Cet article décrit les 2 principales directions pour le faire avec Windows Server 2008 R2 et leurs implications.\n1) (Re) Configuration du (des) mécanisme (s) de résolution de nom\nCette méthode est la plus simple: tout ce que vous avez à faire est (selon votre infrastructure):"},{"id":"text-2","heading":"Text","content":"Ajout d'un enregistrement DNS CNAME qui fait pointer l'ancien nom de votre serveur vers l'enregistrement A du nouveau"},{"id":"text-3","heading":"Text","content":"Si vous utilisez également le service WINS, vous devrez éventuellement ajouter une entrée statique pour le nom de l'ancien serveur pointant vers l'adresse IP du nouveau serveur."},{"id":"text-4","heading":"Text","content":"Bien que cela soit assez simple, le changement de nom ne sera pas pris en compte par les mécanismes Windows sous-jacents suivants:\nAuthentification\nL'authentification Kerberos repose uniquement sur des noms (noms de serveur, noms de service, etc.). Les bases de données de noms Kerberos (Active Directory dans le monde Windows) ne sont pas informées du fait que les noms de l’ancien serveur sont désormais associés au nouveau serveur. Sur 99% du système, le problème ne parviendra pas à la surface car Windows basculera en mode silencieux vers NTLM. Quoi qu'il en soit, si vous souhaitez conserver une configuration Kerberos correcte, vous devez enregistrer les noms principaux de service (SPN) appropriés: à l'aide d'outils tels que SETSPN ou simplement la console ADUC (grâce à l'éditeur d'attributs), les SPN suivants doivent être ajoutés. au compte d'ordinateur du serveur MYDOMNEWSERVER $:\nMême si vous pensez peut-être que le retour à NTLM n’est pas un gros problème, tenez compte du fait que NTLM est sur le point de disparaître de l’avenir de Windows: Seven / 2008 R2 est doté d’options de sécurité qui en empêchent l’utilisation. Il est désactivé par défaut cependant.\nVérification stricte des noms CIFS / SMB\nLe protocole responsable du partage de fichiers et d’impressions (CIFS ou SMB) comprend un mécanisme de sécurité qui, par défaut, refuse de répondre aux demandes si le nom du serveur cible est celui qui n’est pas celui du serveur. Pour désactiver cette fonctionnalité, vous devez modifier la configuration du service LanManServer (voir http://support.microsoft.com/kb/281308 pour plus de détails.\nEnfin, vous avez également été affecté par des erreurs humaines telles que des administrateurs DNS ou WINS qui nettoient régulièrement les enregistrements et considèrent le CNAME ou les entrées statiques comme périmées… Seule une bonne gestion de la configuration pourrait empêcher cela.\n2) Configuration d'autres noms à l'aide de la commande NETDOM\nNETDOM Command offre une solution «couteau suisse» à tous les problèmes ci-dessus tout en maintenant la sécurité aussi haut que possible. Exemple:\nNETDOM COMPUTERNAME NEWSERVERNAME / ADD OLDSERVERNAME.mydom.local\nPuis redémarrez le système. Voir les raisons ci-dessous.\nCette commande simple effectuera les opérations suivantes, toutes en même temps:\nConfiguration de l’ordinateur local pour enregistrer ses nouveaux noms alternatifs dans le serveur DNS et / ou le serveur WINS\nCette configuration est stockée localement dans le registre sous HKLMSYSTEMCurrentControlSetservicesDnscacheParameters, avec l'entrée «AlternateComputerNames», absente par défaut. Voir http://technet.microsoft.com/en-us/library/dd197418(WS.10).aspx pour plus de détails.\nCette entrée semble apparaître uniquement après le redémarrage du système.\nEnregistrement des noms de principal de service nécessaires dans le compte AD de l’ordinateur.\nDans ce cas, tous les services en cours d'exécution sur le serveur seront enregistrés avec le nom alternatif. Il n'y a donc pas de granularité de pièce comme il en existe avec l'enregistrement manuel!\nBien entendu, l'exécution de cette action implique que le compte d'utilisateur qui exécute la commande se voit attribuer les droits AD validés sur les noms de principal de service, ce qui est le cas d'un administrateur de domaine, par exemple. Voir http://technet.microsoft.com/en-us/library/cc728117(WS.10).aspx#BKMK_ValidatedWrites pour plus de détails.\nReconfigurer le service LanManServer pour prendre en charge ses noms supplémentaires\nPAS en désactivant la vérification de nom stricte, mais en utilisant un nouveau nom de fonction “Noms facultatifs”. Voir l’entrée de registre «OptionalNames» à la droite de la clé «HKLMSYSTEMCurrentControlSetservicesLanmanServerParameters», absente par défaut.\nCette entrée semble apparaître uniquement après le redémarrage du système.\nA propos de l'évolutivité\nA ma connaissance, le nombre de noms alternatifs est limité aux données de type MULTI_SZ du registre et à l’attribut ServicePrincipalName d’AD (1024 entrées par objet ordinateur AFAIK), ce qui laisse beaucoup de place pour des consolidations multiples ou des migrations.\nRécupération de la configuration actuelle\nPour lister tous les noms alternatifs, utilisez simplement cette commande:\nNETDOM COMPUTERNAME NEWSERVERNAME / ENUM\nRemarque: la commande répertorie également le nom principal de l’ordinateur.\nCompatibilité\nLa méthode NETDOM fonctionne également si l'ordinateur exécute Windows Seven\nCela fonctionne également si le serveur est un contrôleur de domaine, mais pas si vous souhaitez effectuer cette opération sur un groupe de ressources en cluster. Dans ce cas, vous devrez utiliser la méthode spécifique au cluster (console d'administration du cluster, configuration des ressources, enregistrement du SPN et du DNS, etc.).\nEnfin, comme le partage d’imprimantes utilise le même protocole, il fonctionne également sur les serveurs d’impression.\nConclusions\nBien que la méthode NETDOM présente 2 inconvénients: 1) elle semble nécessiter un redémarrage 2) Elle enregistre les SPN de tous les services hébergés, ce qui peut parfois être trop et sembler être un gaspillage au niveau de l'attribut AD, cela l'emporte clairement sur le nom du manuel enregistrement et reconfigurations manuelles ultérieures\nMarc"},{"id":"text-5","heading":"Text","content":"Comme ça:\nComme Chargement…"},{"id":"text-6","heading":"Text","content":"Catégories: Services de fichiers et d'impression, Windows, Windows Server 2008/2008 R2 | Permalink"},{"id":"text-7","heading":"Text","content":"Auteur: Marc L\nProfessionnel du cloud implacable. Coureur agité. Mari heureux. Père fier. Les opinions sont les miennes."},{"id":"text-8","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/05/43c1ab94d0447af327e25425c42d3cc8"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/05/04/windows-server-noms-multiples-pour-un-serveur-de-fichiers-et-dimpression-executant-windows-server-2008-r2-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/04/windows-server-noms-multiples-pour-un-serveur-de-fichiers-et-dimpression-executant-windows-server-2008-r2-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/05/04/windows-server-noms-multiples-pour-un-serveur-de-fichiers-et-dimpression-executant-windows-server-2008-r2-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}