为什么我无法访问本地机器上的管理共享?

tag-icon tag-icon windows-server-2008 virtualbox network-share hosts
为什么我无法访问本地机器上的管理共享?

我正在处理 Windows Server 2008 R2 (x64) VirtualBox 映像,我已将其设置为 CI/部署测试环境。我已将 VirtualBox 设置为使用内部专用网络。我已为生产机器/数据库的名称设置了主机文件重定向:

127.0.0.1      webserv1
127.0.0.1      webserv2
127.0.0.1      dbserv1
etc.

然后我的部署脚本将尝试依次部署到每个地址。

我的问题是,当我尝试点击\\webserv1\d$\deployment-directory,甚至 时\\webserv1\d$\,我都会收到授权提示,并且我被拒绝访问。我在 VirtualBox 控制台上以管理员身份运行;我无法获得更多授权。我\\127.0.0.1\d$\deployment-directory

我甚至禁用了网络适配器以确保我不会以某种方式访问​​真正的生产设备(并且我验证了在这种情况下我仍然可以使用机器访问本地主机)。

有小费吗?

答案1

这最终与名称解析和权限有关。详细信息可在此帖子中找到: http://forums.techarena.in/server-networking/1195474.htm

基本上,为了启用此配置,必须创建几个注册表项 - 开箱即用的 Windows 不支持它。

从现已不存在的网站复制粘贴(通过网络档案):

允许其他机器通过 DNS 别名使用文件共享(DisableStrictNameChecking)

仅此更改即可允许网络上的其他计算机使用任意主机名连接到该计算机。(但是,此更改不会允许计算机通过主机名连接到其自身,请参阅下面的 BackConnectionHostNames)。

  • 编辑注册表项并添加设置为 1 的 DWORD 类型的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parameters值 。DisableStrictNameChecking

允许服务器通过 DNS 别名 (BackConnectionHostNames) 与自身进行文件共享

此更改对于 DNS 别名与计算机的文件共享配合使用以找到自身而言是必需的。这将创建可在 NTLM 身份验证请求中引用的本地安全机构主机名。

为此,请对客户端计算机上的所有节点执行以下步骤:

  1. 向注册表子项HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Lsa\MSV1_0添加新的多字符串值 BackConnectionHostNames
  2. 在“数值数据”框中,键入用于计算机上的本地共享的 CNAME 或 DNS 别名,然后单击“确定”。
    注意:在单独的行中键入每个主机名。

提供多个 NetBIOS 名称 (OptionalNames) 的浏览功能

允许在网络浏览列表中查看网络别名。

  1. 编辑注册表项并添加多字符串类型的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parametersOptionalNames
  2. 添加应在 NetBIOS 浏览条目下注册的名称的换行符分隔列表
    名称应符合 NetBIOS 约定(即不是 FQDN,只是主机名)

为其他 Windows 功能(如打印 (setspn))注册 Kerberos 服务主体名称 (SPN)

注意:基本功能无需执行此操作,此处已记录以保证完整性。我们遇到过一种情况,DNS 别名无法正常工作,因为有旧的 SPN 记录干扰,因此如果其他步骤不起作用,请检查是否有任何杂散的 SPN 记录。

您必须为所有新的 DNS 别名 (CNAME) 记录注册 Kerberos 服务主体名称 (SPN)、主机名和完全限定域名 (FQDN)。如果不这样做,DNS 别名 (CNAME) 记录的 Kerberos 票证请求可能会失败并返回错误代码 KDC_ERR_S_SPRINCIPAL_UNKNOWN。

要查看新 DNS 别名记录的 Kerberos SPN,请使用 Setspn 命令行工具 (setspn.exe)。Setspn 工具包含在 Windows Server 2003 支持工具中。您可以从 Windows Server 2003 启动盘的 Support\Tools 文件夹中安装 Windows Server 2003 支持工具。

如何使用该工具列出计算机名称的所有记录:

setspn -L computername

要为 DNS 别名 (CNAME) 记录注册 SPN,请使用 Setspn 工具,语法如下:

setspn -A host/your_ALIAS_name computername
setspn -A host/your_ALIAS_name.company.com computername

相关内容