Serveur d'impression

la navigation vers un alias de serveur à partir de lui-même demande des informations d'identification – Bien choisir son serveur d impression

Le 20 décembre 2019 - 7 minutes de lecture

Le comportement par défaut n'est pas en mesure de se connecter à lui-même sur l'aliax, car vous êtes actuellement connecté et il le considère comme une usurpation, donc peu importe ce que vous entrez, vous ne vous authentifierez pas.

Je ne vois généralement pas cela apparaître dans les messages du forum parce que nous essayons de rester à l'écart des noms de serveur d'alias dans AD. Cependant, comme apparemment l'appareil que vous utilisez en a besoin (j'ai utilisé des Kemp LB et ils n'en ont pas besoin), vous devez définir une autre valeur de reg
 pour le faire fonctionner pour lui-même.

Pour y remédier, recherchez la section ci-dessous dans mes notes sur la clé de registre BackConnectionHostNames que vous devez créer. Notez, comme référence à l'auteur, que cela a été publié dans les anciens groupes de discussion Microsoft par un "Michael" en 2009.

================================================

Comment configurer la machine Windows pour autoriser le partage de fichiers avec l'alias DNS

Publié par Michael
10 juin 2009
groupe de discussion microsoft.public.windows.server.networking

Je n'ai pas vu un article qui rassemble tous les paramètres
devrait faire pour que cela fonctionne correctement sur Windows, donc je pensais que je
le posterait ici.

Pour faciliter les schémas de basculement, une technique courante consiste à utiliser DNS CNAME
enregistrements (alias DNS) pour différents rôles de machine. Alors au lieu de
en changeant le nom d'ordinateur Windows du nom réel de la machine, on peut
basculer un enregistrement DNS pour pointer vers un nouvel hôte.

Cela peut fonctionner sur les machines Microsoft Windows, mais pour le faire fonctionner avec
partage de fichiers les étapes de configuration suivantes doivent être prises.

== Aperçu ==

1. Le problème
2. La solution
* Permettre à d'autres machines d'utiliser le partage de fichiers via le DNS
Alias ​​(DisableStrictNameChecking)
* Autoriser la machine serveur à utiliser le partage de fichiers avec elle-même via
l'alias DNS (BackConnectionHostNames)
* Fournir des capacités de navigation pour plusieurs noms NetBIOS
(Noms facultatifs)
* Enregistrez les noms principaux du service Kerberos (SPN) pour
d'autres fonctions Windows comme l'impression (setspn)
3. Références

== Le problème ==

Sur les machines Windows, le partage de fichiers peut fonctionner via le nom de l'ordinateur, avec
ou sans qualification complète, ou par l'adresse IP. Par défaut,
cependant, le partage de fichiers ne fonctionnera pas avec des alias DNS arbitraires. À
activer le partage de fichiers et d'autres services Windows pour fonctionner avec DNS
alias, vous devez apporter des modifications au registre comme indiqué ci-dessous et redémarrer
la machine.

== La solution ==

=== Permettre à d'autres machines d'utiliser le partage de fichiers via l'alias DNS
(DisableStrictNameChecking) ===

Ce changement à lui seul permettra aux autres machines du réseau de se connecter
à la machine en utilisant n'importe quel nom d'hôte arbitraire. (Cependant, ce changement
ne pas autoriser une machine à se connecter via un nom d'hôte, voir
BackConnectionHostNames ci-dessous).

* Modifiez la clé de registre HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet
Services lanmanserver parameters et ajoutez une valeur
DisableStrictNameChecking de type DWORD défini sur 1.

=== Autoriser la machine serveur à utiliser le partage de fichiers avec elle-même via le DNS
Alias ​​(BackConnectionHostNames) ===

Cette modification est nécessaire pour qu'un alias DNS fonctionne avec le partage de fichiers à partir de
une machine pour se retrouver. Cela crée l'autorité de sécurité locale
les noms d'hôte qui peuvent être référencés dans une demande d'authentification NTLM.

Pour ce faire, procédez comme suit pour tous les nœuds du client
ordinateur:

1. À la sous-clé de Registre HKEY_LOCAL_MACHINE SYSTEM
CurrentControlSet Control Lsa MSV1_0, ajoutez une nouvelle valeur multi-chaîne
BackConnectionHostNames
2. Dans la zone Données de la valeur, tapez le CNAME ou l'alias DNS, c'est-à-dire
utilisé pour les partages locaux sur l'ordinateur, puis cliquez sur OK.
* Remarque: saisissez chaque nom d'hôte sur une ligne distincte.

=== Fournir des capacités de navigation pour plusieurs noms NetBIOS
(Noms facultatifs) ===

Permet de voir l'alias réseau dans la liste de navigation réseau.

1. Modifiez la clé de registre HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet
Services lanmanserver parameters et ajoutez une valeur OptionalNames de
type Multi-String
2. Ajoutez une liste de noms délimités par des sauts de ligne
enregistré sous les entrées de navigation NetBIOS
* Les noms doivent correspondre aux conventions NetBIOS (c'est-à-dire pas au FQDN,
juste le nom d'hôte)

=== Enregistrer les noms principaux du service Kerberos (SPN) pour d'autres
Fonctions Windows comme l'impression (setspn) ===

REMARQUE: ne devrait pas avoir besoin de le faire pour que les fonctions de base fonctionnent,
documenté ici pour l'exhaustivité. Nous avons eu une situation dans laquelle le
L'alias DNS ne fonctionnait pas car il y avait un ancien enregistrement SPN
interférer, donc si d'autres étapes ne fonctionnent pas, vérifiez s'il y en a
enregistrements SPN parasites.

Vous devez enregistrer les noms principaux du service Kerberos (SPN), le
nom d'hôte et le nom de domaine complet (FQDN) pour tous les nouveaux
Enregistrements d'alias DNS (CNAME). Si vous ne le faites pas, un ticket Kerberos
la demande d'un enregistrement d'alias DNS (CNAME) peut échouer et renvoyer l'erreur
code KDC_ERR_S_SPRINCIPAL_UNKNOWN.

Pour afficher les SPN Kerberos pour les nouveaux enregistrements d'alias DNS, utilisez le
Outil de ligne de commande Setspn (setspn.exe). L'outil Setspn est inclus dans
Outils de support de Windows Server 2003. Vous pouvez installer Windows Server 2003
Outils de support du dossier Support Tools de Windows Server 2003
disque de démarrage.

Comment utiliser l'outil pour répertorier tous les enregistrements d'un nom d'ordinateur:

setspn -L nomordinateur

Pour enregistrer le SPN pour les enregistrements d'alias DNS (CNAME), utilisez Setspn
outil avec la syntaxe suivante:

setspn -A host / your_ALIAS_name computername
setspn -A host / your_ALIAS_name.company.com computername

=== Références ===

Toutes les références Microsoft fonctionnent via:

1. Connexion au partage SMB sur un ordinateur Windows 2000 ou un
L'ordinateur Windows Server 2003 peut ne pas fonctionner avec un nom d'alias
* Couvre les bases du bon fonctionnement du partage de fichiers
avec des enregistrements d'alias DNS d'autres ordinateurs vers l'ordinateur serveur.
*
http://support.microsoft.com/kb/281308

2. Message d'erreur lorsque vous essayez d'accéder à un serveur localement à l'aide de
son FQDN ou son alias CNAME après avoir installé Windows Server 2003
Service Pack 1: «Accès refusé» ou «Aucun fournisseur de réseau n'a accepté le
chemin réseau donné "
* Couvre comment faire fonctionner l'alias DNS avec le partage de fichiers
à partir du serveur de fichiers lui-même.
*
http://support.microsoft.com/kb/926642

3. Comment consolider les serveurs d'impression à l'aide d'un alias DNS (CNAME)
enregistrements dans Windows Server 2003 et dans Windows 2000 Server
* Couvre des scénarios plus complexes dans lesquels les enregistrements dans Active
Il peut être nécessaire de mettre à jour le répertoire pour que certains services fonctionnent correctement
et pour naviguer pour que ces services fonctionnent correctement, comment s'inscrire
les noms principaux du service Kerberos (SPN).
*
http://support.microsoft.com/kb/870911

4. Mise à jour du système de fichiers distribués pour prendre en charge les racines de consolidation dans
Windows Server 2003
* Couvre des scénarios encore plus complexes avec DFS (discute
Noms facultatifs).
*
http://support.microsoft.com/kb/829885

================================================== ================


Ace Fekay

MVP, MCT, MCITP / EA, MCTS Windows 2008 / R2 et Exchange 2007, Exchange 2010 EA, MCSE et MCSA 2003/2000, MCSA Messaging 2003
Formateur certifié Microsoft
Microsoft MVP – Services d'annuaire
Blogs et vidéos techniques: http://www.delawarecountycomputerconsulting.com/

Ce poste est fourni TEL QUEL sans aucune garantie ou garantie et ne confère aucun droit.

Facebook
Gazouillement
LinkedIn

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.