DNS 별칭으로 파일 공유를 허용하도록 Windows 컴퓨터를 구성하는 방법


81

DNS CNAME을 사용하여 서버를 참조 할 수 있도록 Windows 환경을 구성하려면 어떤 프로세스가 필요합니까?

SRV001과 같은 서버 이름을 지정할 수 있도록이 작업을 수행하려고하지만 해당 서버를 \\file 가리킬 수 있으므로 SRV002가 교체 할 때 사람들이 가진 링크를 업데이트 할 필요가 없으며 DNS CNAME 및 모든 사용자를 업데이트하면됩니다. 새 서버를 가리 킵니다.


우리는이 기술을 문서화 된 warm standby 로 사용합니다 . 내가하는 것보다 훨씬 더 잘 문서화했습니다. backConnection 옵션에 대해 몰랐습니다. netBIOS를 사용하지 않아 공격 공간이 줄어 듭니다. 우리는 SPN도 사용하지 않습니다. 감사!
녹스

기록을 위해 우리는 이러한 변경을 수행 할 필요없이 조직에서 매일 2003 및 2008 서버 모두에 대해 DNA 별칭이있는 Windows 파일 공유를 사용합니다. 그냥 작동합니다.
Ryan Bolger

KB926642의 텍스트는 "인증 루프백 검사를 비활성화하면 NTLM에서 MITM (man-in-the-middle) 공격을 위해 Windows Server 2003 서버를 열면 보안이 저하된다"고 경고합니다.
Ryan Bolger

마이클 감사합니다. "주소창에 CNAME 별칭을 허용하기 위해 Windows XP의 Windows 탐색기를 어떻게 활성화합니까?" 여기에 질문이 게시되었습니다 ( serverfault.com/questions/238851/… ).
Jason Pearce

대단히 감사합니다 !!! XP Pro 클라이언트가 파일 공유에 연결하려고하는 Server 2008 R2에서 작동했습니다. 나는 10 살짜리 HP 서버 (Server 2000)가 나에게 VM 서버를 설치하고 파일을 복원하고 공유를 다시 만들었습니다. XP Pro 클라이언트는 variuos 오류와 연결할 수 없지만 위의 regedit를 적용하고 재부팅 한 다음 다시 작동하므로 모두 작동합니다.

답변:


67

장애 조치 체계를 용이하게하기 위해 일반적인 기술은 서로 다른 컴퓨터 역할에 DNS CNAME 레코드 (DNS 별칭)를 사용하는 것입니다. 그런 다음 실제 컴퓨터 이름의 Windows 컴퓨터 이름을 변경하는 대신 DNS 레코드를 새 호스트를 가리 키도록 전환 할 수 있습니다.

이것은 Microsoft Windows 시스템에서 작동 할 수 있지만 파일 공유와 작동하려면 다음 구성 단계를 수행해야합니다.

개요

  1. 문제
  2. 해결책
    • 다른 컴퓨터가 DNS 별칭 (DisableStrictNameChecking)을 통해 파일 공유를 사용하도록 허용
    • 서버 시스템이 DNS 별명 (BackConnectionHostNames)을 통해 자체 파일 공유를 사용하도록 허용
    • 여러 NetBIOS 이름에 대한 찾아보기 기능 제공 (선택적 이름)
    • 인쇄 (setspn)와 같은 다른 Windows 기능에 대한 Kerberos 서비스 사용자 이름 (SPN)을 등록하십시오.
  3. 참고 문헌

1. 문제

Windows 시스템에서 파일 공유 컴퓨터 이름, 정규화 여부에 관계없이 또는 IP 주소를 통해 작동 할 수 있습니다 . 그러나 기본적으로 파일 공유 임의의 DNS 별칭과 함께 작동하지 않습니다 . 파일 공유 및 기타 Windows 서비스가 DNS 별명과 작동하도록하려면 아래에 설명 된대로 레지스트리를 변경하고 시스템을 재부팅해야합니다.

2. 해결책

다른 컴퓨터가 DNS 별칭 (DisableStrictNameChecking)을 통해 파일 공유를 사용하도록 허용

이 변경만으로 네트워크의 다른 시스템이 임의의 호스트 이름을 사용하여 시스템에 연결할 수 있습니다. (그러나이 변경으로 인해 컴퓨터가 호스트 이름을 통해 자체적 으로 연결되지는 않습니다 . 아래의 BackConnectionHostNames를 참조하십시오).

  • 레지스트리 키를 편집하고 DWORD 유형 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters의 값 DisableStrictNameChecking을 1로 설정하십시오.

  • 레지스트리 키 (2008 R2)를 편집하고 DWORD 유형 HKLM\SYSTEM\CurrentControlSet\Control\Print의 값 DnsOnWire을 1로 설정하십시오.

서버 시스템이 DNS 별명 (BackConnectionHostNames)을 통해 자체 파일 공유를 사용하도록 허용

이 변경은 DNS 별명이 시스템에서 파일 공유와 함께 작동하여 자체를 찾기 위해 필요합니다. NTLM 인증 요청에서 참조 할 수있는 로컬 보안 기관 호스트 이름을 만듭니다.

이렇게하려면 클라이언트 컴퓨터의 모든 노드에 대해 다음 단계를 수행하십시오.

  1. 레지스트리 하위 키 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0에 새 다중 문자열 값을 추가하십시오.BackConnectionHostNames
  2. 값 데이터 상자에 컴퓨터의 로컬 공유에 사용되는 CNAME 또는 DNS 별칭을 입력 한 다음 확인을 클릭합니다.
    • 참고 : 각 호스트 이름을 별도의 줄에 입력하십시오.

여러 NetBIOS 이름에 대한 찾아보기 기능 제공 (선택적 이름)

네트워크 찾아보기 목록에서 네트워크 별명을 볼 수 있습니다.

  1. 레지스트리 키를 편집하고 Multi-String 유형 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters의 값 OptionalNames을 추가하십시오.
  2. NetBIOS 찾아보기 항목 아래에 등록해야하는 개행으로 구분 된 이름 목록을 추가하십시오.
    • 이름은 NetBIOS 규칙과 일치해야합니다 (예 : FQDN이 아니라 호스트 이름).

인쇄 (setspn)와 같은 다른 Windows 기능에 대한 Kerberos 서비스 사용자 이름 (SPN)을 등록하십시오.

참고 : 기본 기능이 작동하기 위해이 작업을 수행 할 필요는 없습니다 (완전성을 위해 여기에 문서화 됨). 이전 SPN 레코드 간섭으로 인해 DNS 별칭이 작동하지 않는 상황이 있었으므로 다른 단계가 작동하지 않으면 부유 SPN 레코드가 있는지 확인하십시오.

모든 새 DNS 별칭 (CNAME) 레코드에 대해 Kerberos SPN (서비스 사용자 이름), 호스트 이름 및 FQDN (정규화 된 도메인 이름)을 등록해야합니다. 이렇게하지 않으면 DNS 별칭 (CNAME) 레코드에 대한 Kerberos 티켓 요청이 실패하고 오류 코드가 반환 될 수 있습니다 KDC_ERR_S_SPRINCIPAL_UNKNOWN.

새 DNS 별칭 레코드의 Kerberos SPN을 보려면 Setspn 명령 줄 도구 ( setspn.exe)를 사용하십시오. Setspn 도구는 Windows Server 2003 지원 도구에 포함되어 있습니다. Windows Server 2003 시동 디스크의 Support \ Tools 폴더에서 Windows Server 2003 지원 도구를 설치할 수 있습니다.

도구를 사용하여 컴퓨터 이름에 대한 모든 레코드를 나열하는 방법 :

setspn -L computername

DNS 별명 (CNAME) 레코드에 대한 SPN을 등록하려면 다음 구문과 함께 Setspn 도구를 사용하십시오.

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

3. 참조

모든 Microsoft 참조는 다음을 통해 작동합니다. http://support.microsoft.com/kb/

  1. Windows 2000 기반 컴퓨터 또는 Windows Server 2003 기반 컴퓨터에서 SMB 공유에 연결하면 별칭 이름이 작동하지 않을 수 있습니다
    • 다른 컴퓨터에서 서버 컴퓨터로의 DNS 별칭 레코드를 사용하여 파일 공유를 올바르게 수행하는 기본 사항을 다룹니다.
    • KB281308
  2. Windows Server 2003 서비스 팩 1을 설치 한 후 FQDN 또는 CNAME 별칭을 사용하여 로컬로 서버에 액세스하려고하면 "액세스 거부"또는 "주어진 네트워크 경로를 수락 한 네트워크 공급자가 없습니다"오류 메시지가 나타남
    • 파일 서버 자체에서 파일을 공유 할 때 DNS 별칭을 사용하는 방법을 설명합니다.
    • KB926642
  3. Windows Server 2003 및 Windows 2000 Server에서 DNS 별칭 (CNAME) 레코드를 사용하여 인쇄 서버를 통합하는 방법
    • 특정 서비스가 제대로 작동하고 이러한 서비스가 제대로 작동하기 위해 Active Directory의 레코드를 업데이트해야하는 복잡한 시나리오, Kerberos SPN (서비스 사용자 이름)을 등록하는 방법을 다룹니다.
    • KB870911
  4. Windows Server 2003에서 통합 루트를 지원하기위한 분산 파일 시스템 업데이트
    • DFS를 사용하여 훨씬 더 복잡한 시나리오를 다룹니다 (선택적 이름 설명).
    • KB829885

Windows Server 2008R2 / Win7에서 작동하기위한 다른 인쇄 항목은 support.microsoft.com/kb/979602에 설명되어 있습니다. "DnsOnWire"라는 DWORD 값을 HKLM \ SYSTEM \ CurrentControlSet \ Control \ Print에 추가하여 별칭이있는 시스템에 인쇄를 지원하기 위해 추가 한 DNS 최적화를 비활성화해야합니다. 그런 다음 1로 설정하십시오. 그런 다음 인쇄 스풀러 서비스를 다시 시작하십시오.
nitzmahone 2016 년


11

중복성을 통해 Windows 파일 공유를 수행하는 다른 방법은 DFS-R (Distributed File System with Replication)을 사용하는 것입니다. 이를 구현하려면 파일 서버에 Windows Server 2003 R2 이상이 필요합니다.

DFS 루트를 설정 한 다음 단일 공유를 제공하는 여러 서버를 지정할 수 있습니다. 서버 중 하나가 다운되면 서버를 사용하는 클라이언트가 자동으로 다른 서버 중 하나로 장애 조치됩니다.

자세한 내용은 Microsoft의 DFS 개요를 참조하십시오 .

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.