Utilisation d'alias de noms d'ordinateur à la place d'enregistrements CNAME DNS – Microsoft Tech Community – Bien choisir son serveur d impression
Première publication sur TechNet le 19 juin 2017
Salut à tous. Graeme Bray ici avec un article sur l'utilisation d'alias de noms d'ordinateur au lieu d'enregistrements DNS CName. Dans le passé, nous avions l'habitude de définir la clé de registre
DisableStrictNameChecking
pouvoir ajouter un alias DNS pour se connecter via un nom (tel que fileserver.contoso.com). À partir de Windows Server 2008, nous avons ajouté une fonctionnalité permettant de créer un alias d'ordinateur.
Quels sont les avantages d'utiliser des alias d'ordinateur?
-
Gestion automatique des SPN pour l'authentification Kerberos.
-
Aucun accès DNS requis
-
Mises à jour automatiques des entrées DNS pour les enregistrements DNS A.
-
Éliminez le besoin et le risque de modifier le registre pour les clés "DisableStrictNameChecking" et "OptionalNames"
Quels sont les avantages d'utiliser un DNS CName?
-
Alias pointant vers un nom d'ordinateur, pas une adresse IP
Pour créer un alias de nom d'ordinateur, le processus est très simple. Vous devez exécuter une fenêtre Powershell (ou une invite de commande) surélevée. Entrez la commande comme ci-dessous et vous avez terminé.
Commander:
Netdom nom_ordinateur / add:
Exemple:
Netdom nom_ordinateur IIS01 /add:webapp.surface.graemebray.com
Cela ajoute l’entrée DNS de manière appropriée. Pour confirmer, effectuez l’une des deux étapes suivantes:
1a. Ouvrez DNS et recherchez votre entrée (trier par nom ou adresse IP)
1b. Interrogez la machine et les entrées que vous avez envoyées via PowerShell.
Cela vous permettra d'accéder en toute sécurité aux partages SMB. Il enregistre l’enregistrement DNS A, enregistre d’autres SPN et ajoute la clé de registre OptionalNames. Cela vous évitera de modifier manuellement les SPN et d'éviter tout désordre CNAME.
Vérifier les alias ComputerName
La partie la plus importante à confirmer est la fin des travaux. Nous savons que l'entrée DNS existe, mais comment pouvons-nous confirmer que l'objet ordinateur contient tous les alias appropriés? Si nous nous en tenons à ma machine IIS01, nous pouvons exécuter:
netdom nom_ordinateur iis01 / enum
Cela produira une liste de tous les noms d’ordinateur associés à cet objet.
Vérifier les noms principaux de service
La raison la plus importante pour faire tout ce travail est d'avoir toute la magie de Kerberos faite pour vous. Cela peut également être vérifié une fois que les ensembles d'étapes ci-dessus sont terminés.
Si tu cours
setspn -l
vous pouvez voir la liste de tous les enregistrements SPN créés.
Supprimer un alias d'ordinateur
La possibilité de supprimer l'alias est tout aussi simple. Échangez "ajouter" pour "supprimer", et vous êtes prêt à partir.
Netdom nom_ordinateur / supprimer:
Dépannage:
Vous trouverez ci-dessous des conseils de dépannage si vous rencontrez des erreurs lorsque vous essayez de créer un alias nom_ordinateur.
Problème n ° 1:
"Le domaine spécifié n'existe pas ou n'a pas pu être contacté."
Solution:
Assurez-vous que vous êtes connecté au contrôleur de domaine. Dans mon exemple, je n'avais pas d'adresse IP.
Problème n ° 2:
"L'accès est refusé"
Solution:
L'ID utilisateur doit avoir les autorisations d'écriture pour
msDS-AdditionalDnsHostName
sur l'objet dans Active Directory. Vous pouvez voir la tentative de modification via les données de capture de paquets ci-dessous.
Problème n ° 3:
"Le système ne peut pas ouvrir le périphérique ou le fichier spécifié."
Solution:
Cet alias de nom d'ordinateur appartient déjà à une autre machine. Faites attention à ce problème, au moment d'écrire ces lignes, sur Server 2012 R2, l'alias du nom de l'ordinateur apparaîtra sur le deuxième ordinateur sur lequel vous l'exécutez.
Lecture supplémentaire:
Voici les liens / articles pertinents de Technet, comme toujours:
https://technet.microsoft.com/library/cc835082(v=ws.11).aspx
https://technet.microsoft.com/library/cc731241(v=ws.11).aspx
Commentaires
Laisser un commentaire