DNSエイリアスとのファイル共有を許可するようにWindowsマシンを構成する方法

フェイルオーバースキームを容易にするための一般的な手法は、さまざまなマシンの役割にDNS CNAMEレコード（DNSエイリアス）を使用することです。次に、実際のマシン名のWindowsコンピューター名を変更する代わりに、DNSレコードを切り替えて、新しいホストを指すようにすることができます。

これはMicrosoft Windowsマシンで機能しますが、ファイル共有で機能させるには、次の構成手順を実行する必要があります。

概要

1. 問題
2. ソリューション
   • 他のマシンがDNSエイリアスを介してファイル共有を使用できるようにする（DisableStrictNameChecking）
   • サーバーマシンがDNSエイリアス（BackConnectionHostNames）を介して自身とファイル共有を使用できるようにする
   • 複数のNetBIOS名（OptionalNames）の参照機能の提供
   • 印刷（setspn）などの他のWindows機能用にKerberosサービスプリンシパル名（SPN）を登録します。
3. 参考文献

1.問題

Windowsマシンでは、ファイル共有は、完全修飾の有無にかかわらず、コンピュータ名を介して、またはIPアドレスによって機能します。ただし、デフォルトでは、ファイル共有は任意のDNSエイリアスでは機能しません。ファイル共有やその他のWindowsサービスがDNSエイリアスと連携できるようにするには、以下で説明するようにレジストリを変更し、マシンを再起動する必要があります。

2.ソリューション

他のマシンがDNSエイリアスを介してファイル共有を使用できるようにする（DisableStrictNameChecking）

この変更だけで、ネットワーク上の他のマシンが任意のホスト名を使用してマシンに接続できるようになります。 （ただし、この変更により、マシンはホスト名経由でitselfに接続できなくなります。以下のBackConnectionHostNamesを参照してください）。

• レジストリキーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersを編集し、DWORDタイプの値DisableStrictNameCheckingを1に追加します。

• レジストリキー（2008 R2の場合）HKLM\SYSTEM\CurrentControlSet\Control\Printを編集し、DWORDタイプの値DnsOnWireを1に追加します

サーバーマシンがDNSエイリアス（BackConnectionHostNames）を介して自身とファイル共有を使用できるようにする

この変更は、DNSエイリアスがマシンからのファイル共有を処理して自分自身を見つけるために必要です。これにより、NTLM認証要求で参照できるローカルセキュリティ機関のホスト名が作成されます。

これを行うには、クライアントコンピュータのすべてのノードで次の手順を実行します。

1. レジストリサブキーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0に、新しいマルチストリング値BackConnectionHostNamesを追加します
2. [値のデータ]ボックスに、コンピューターのローカル共有に使用されるCNAMEまたはDNSエイリアスを入力し、[OK]をクリックします。
   • 注：各ホスト名を別々の行に入力してください。

複数のNetBIOS名（OptionalNames）の参照機能の提供

ネットワーク参照リストでネットワークエイリアスを表示する機能を許可します。

1. レジストリキーHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersを編集し、タイプMulti-Stringの値OptionalNamesを追加します
2. NetBIOSブラウズエントリの下に登録する必要がある名前の改行区切りリストを追加します
   • 名前はNetBIOSの規則に一致する必要があります（つまり、FQDNではなく、ホスト名のみ）

印刷（setspn）などの他のWindows機能用にKerberosサービスプリンシパル名（SPN）を登録します。

注：基本機能が機能するためにこれを実行する必要はありません。古いSPNレコードが干渉しているためにDNSエイリアスが機能していなかった1つの状況があり、他の手順が機能していない場合は、迷惑なSPNレコードがないかどうかを確認します。

すべての新しいDNSエイリアス（CNAME）レコードのKerberosサービスプリンシパル名（SPN）、ホスト名、および完全修飾ドメイン名（FQDN）を登録する必要があります。これを行わないと、DNSエイリアス（CNAME）レコードに対するKerberosチケットリクエストが失敗し、エラーコードKDC_ERR_S_SPRINCIPAL_UNKNOWNが返される場合があります。

新しいDNSエイリアスレコードのKerberos SPNを表示するには、Setspnコマンドラインツール（setspn.exe）を使用します。 Setspnツールは、Windows Server 2003サポートツールに含まれています。 Windows Server 2003起動ディスクのSupport\ToolsフォルダからWindows Server 2003 Support Toolsをインストールできます。

ツールを使用してコンピュータ名のすべてのレコードを一覧表示する方法：

setspn -L computername

DNSエイリアス（CNAME）レコードのSPNを登録するには、次の構文でSetspnツールを使用します。

setspn -A Host/your_ALIAS_name computername
setspn -A Host/your_ALIAS_name.company.com computername

3.リファレンス

すべてのMicrosoftの参照は次の方法で機能します。 http://support.Microsoft.com/kb/

1. SMB Windows 2000ベースのコンピューターまたはWindows Server 2003ベースのコンピューター上の共有に接続すると、エイリアス名が機能しない場合があります
   • 他のコンピューターからサーバーコンピューターへのDNSエイリアスレコードを使用してファイル共有を適切に機能させるための基本について説明します。
   • KB281308
2. Windows Server 2003 Service Pack 1をインストールした後、FQDNまたはCNAMEエイリアスを使用してローカルでサーバーにアクセスしようとすると、エラーメッセージ「アクセスが拒否されました」または「指定されたネットワークパスを受け入れたネットワークプロバイダーがありません」
   • ファイルサーバー自体からのファイル共有でDNSエイリアスを機能させる方法について説明します。
   • KB926642
3. Windows Server 2003およびWindows 2000 ServerでDNSエイリアス（CNAME）レコードを使用してプリントサーバーを統合する方法
   • 特定のサービスが適切に機能し、そのようなサービスを正しく閲覧するためにActive Directoryのレコードを更新する必要がある、より複雑なシナリオ、Kerberosサービスプリンシパル名（SPN）の登録方法について説明します。
   • KB870911
4. Windows Server 2003の統合ルートをサポートするための分散ファイルシステムの更新
   • DFSでさらに複雑なシナリオをカバーします（OptionalNamesについて説明します）。
   • KB829885