Publié pour la première fois sur TechNet le 19 juin 2017
Salut à tous. Graeme Bray ici avec un article sur l'utilisation des alias de nom d'ordinateur au lieu des enregistrements DNS CName. Dans le passé, nous avions l'habitude de définir la clé de registre DisableStrictNameChecking pour pouvoir ajouter un alias DNS pour se connecter via un nom (tel que fileserver.contoso.com). À partir de Windows Server 2008, nous avons ajouté des fonctionnalités pour pouvoir créer un alias d'ordinateur. Quels sont les avantages de l'utilisation d'alias informatiques?
- Gestion SPN automatique pour l'authentification Kerberos.
- Aucun accès DNS requis
- Mises à jour automatiques des entrées DNS pour les enregistrements DNS A.
- Élimine le besoin et le risque de modifier le registre pour les clés "DisableStrictNameChecking" et "OptionalNames"
Quels sont les avantages de l'utilisation d'un DNS CName?
- Alias pointant vers un nom d'ordinateur, pas une adresse IP
Pour créer un alias de nom d'ordinateur, c'est un processus très simple. Vous devez exécuter une fenêtre Powershell (ou invite de commande) élevée. Entrez la commande comme ci-dessous et vous avez terminé. Commande: nom de l'ordinateur Netdom /ajouter: Exemple: nom d'ordinateur Netdom IIS01 /add:webapp.surface.graemebray.com
Cela ajoute l'entrée DNS de manière appropriée. Pour confirmer, effectuez l'une des deux étapes suivantes: 1a. Ouvrez DNS et recherchez votre entrée (trier par nom ou adresse IP)
1b. Recherchez la machine et les entrées que vous avez soumises via PowerShell.
Cela vous permettra d'accéder en toute sécurité aux partages SMB. Il enregistrera l'enregistrement DNS A, enregistrera des SPN supplémentaires et ajoutera la clé de registre OptionalNames. Cela vous évitera de modifier manuellement les SPN et aucun désordre CNAME. Vérifier les alias ComputerName La partie la plus importante à confirmer est une fois que nous avons terminé tous ces travaux. Nous savons que l'entrée DNS existe, mais comment pouvons-nous confirmer que l'objet ordinateur contient tous les alias appropriés? Si nous restons avec ma machine IIS01, nous pouvons exécuter: nom ordinateur netdom iis01 / enum
Cela affichera une liste de tous les noms d'ordinateurs associés à cet objet. Vérifier les noms des principaux de service La raison la plus importante de faire tout ce travail est de faire faire toute la magie Kerberos pour vous. Cela peut également être vérifié une fois les étapes ci-dessus terminées. Si vous courez setspn -l vous pouvez voir la liste de tous les enregistrements SPN créés.
Supprimer l'alias d'ordinateur La possibilité de supprimer l'alias est tout aussi simple. Échangez "ajouter" pour "supprimer", et vous êtes prêt à partir. Nom de l'ordinateur Netdom /retirer: Dépannage: Vous trouverez ci-dessous quelques conseils de dépannage si vous rencontrez des erreurs lors de la tentative de création d'un alias de nom d'ordinateur. Problème n ° 1: "Le domaine spécifié n'existe pas ou n'a pas pu être contacté."
Solution: assurez-vous d'avoir une connexion au contrôleur de domaine. Dans mon exemple, je n'avais pas d'adresse IP. Problème n ° 2: "L'accès est refusé"
Solution: l'ID utilisateur doit disposer des autorisations d'écriture sur msDS-AdditionalDnsHostName sur l'objet dans Active Directory. Vous pouvez voir la tentative de modification via les données de capture de paquets ci-dessous.
Problème n ° 3: "Le système ne peut pas ouvrir le périphérique ou le fichier spécifié."
Solution: cet alias de nom d'ordinateur appartient déjà à une autre machine. Soyez prudent avec ce problème, au moment d'écrire ces lignes, sur Server 2012 R2, l'alias de nom d'ordinateur apparaîtra sur la deuxième machine sur laquelle vous l'exécutez. Lecture supplémentaire: Voici les liens / articles Technet pertinents, comme toujours: Netdom Computername: https://technet.microsoft.com/library/cc835082(v=ws.11).aspx SetSPN: https://technet.microsoft.com/library/cc731241(v=ws.11).aspx
Commentaires
Laisser un commentaire