|
|||
|
|
|
| Home |
| Over |
| Hobby's |
| Software |
| Hardware |
| ICT Hotlist |
| Doel |
Reageer:
ICT-Hotlist Thema
Terug naar de ICT-Hotlist...DisableStrictNameChecking (verwijzingen vanuit mijn artikel in SSWUG.org)(Niet meer toegestaan voor file servers)
Waarschuwing
Om verbeterde netwerkbeveiliging van Windows en Windows Server voor het moderne landschap te bieden, is vanaf Windows 11 Insider Preview Build 25381 (Canary, zn_release) Enterprise-edities, SMB-ondertekening nu standaard vereist voor alle verbindingen. Dit verandert verouderd gedrag, waar Windows 10 en 11 SMB-ondertekening standaard alleen vereisten bij verbinding met shares met de naam SYSVOL en NETLOGON en waar Active Directory-domeincontrollers SMB-ondertekening vereisten wanneer een client er verbinding mee maakte. Als gevolg hiervan is de volgende truc om CNAME's in te zetten verouderd voor bestandsservers.
Spring verder in dit artikel naar "Computer Naam Aliassen gebruiken" om toekomstbestendig te zijn!
Spring verder in dit artikel naar "Computer Naam Aliassen gebruiken" om toekomstbestendig te zijn!
DNS Aliases naar File Servers toestaan.
DNS Aliases (CNAME) werken voor de meeste services op een server behalve voor Windows File services. Deze File Services hebben een beveiliging die deze toegang blokkeerd. Deze beveiliging kan uitgeschakeld worden door het toevoegen van de Dword waarde DisableStrictNameChecking en deze 1 te maken in het Windows registry op:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
Of gebruik onderstaande Windows Registry file:
Windows Registry Editor Version 5.00
;*******************************************************************************
;* This registry file enables access to Windows File servers via a DNS Alias
;* (C) Copyright 2009 - 2025 J.P.G. van Soest (www.vansoest.it)
;*******************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"DisableStrictNameChecking"= dword:00000001
;*******************************************************************************
;* This registry file enables access to Windows File servers via a DNS Alias
;* (C) Copyright 2009 - 2025 J.P.G. van Soest (www.vansoest.it)
;*******************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"DisableStrictNameChecking"= dword:00000001
Reboot de server na het doorvoeren van de registry wijziging.
Waarschuwing:Deze oplossing wijzigt het Windows registry. Back-up de registry voordat U deze wijzigt. Wanneer er zich toch problemen voordoen, kunt U de registry herstellen.
Gebruik van Computer Naam Aliassen
Vanaf Windows Server 2008 heeft Microsoft functionaliteit toegevoegd om een computeralias te kunnen maken. Welke voordelen biedt het gebruik van computeraliassen?- Automatisch SPN-beheer voor Kerberos-authenticatie
- Geen DNS-toegang vereist
- Automatische wijzigingen van DNS A-records
- Elimineert de noodzaak en het risico van het bewerken van het register voor de eerder genoemde "DisableStrictNameChecking"- en "OptionalNames"-sleutels
Netdom computername <COMPUTER> /add:<ALIAS>
Voorbeeld: De alias FileServer toevoegen die verwijst naar de bestaande Server TestServer:
Netdom computername TestServer /add:FileServer.van_soest.it
Test de Computer Naam Alias
Om te testen of de wijzigingen zijn aangebracht, gebruikt U Uw DNS-tools of gebruikt U de opdracht:netdom computername <COMPUTER> /enum
Het systeem moet bijvoorbeeld rapporteren:
Netdom computername TestServer /enum
All of the names for the computer are:
TestServer.van_soest.it
FileServer.van_soest.it
Hierdoor krijgt U veilig toegang tot SMB-shares. Het registreert het DNS A-record, registreert extra SPN's en voegt de registersleutel OptionalNames toe. Het voorkomt dat U SPN's en CNAME's handmatig hoeft aan te passen. Het kan zelfs worden gebruikt in batches voor bedrijfscontinuïteit doeleinden.
All of the names for the computer are:
TestServer.van_soest.it
FileServer.van_soest.it
Verwijder de Computer Naam Alias
Gebruik de opdracht om de Computer Naam Alias te verwijderen:Netdom computername <COMPUTER> /remove:<ALIAS>
Waarschuwing: een Windows-domeinnaam mag geen underscore "_" bevatten volgens deze
normen. Het onderstrepingsteken wordt in deze voorbeelden gebruikt als een maatregel tegen spam.
U mag stemmen over dit artikel:
Scripts en programmeervoorbeelden disclaimer
Tenzij anders vermeld, zijn de scriptcode en programmeervoorbeelden auteursrechtelijk beschermde (copyright) freeware. U mag deze wijzigen, zolang een verwijzing naar de oorspronkelijke code en een hyperlink naar de bronpagina is opgenomen in de gewijzigde code en documentatie. Het is echter niet toegestaan om (kopieën van) de scripts en programmeervoorbeelden te publiceren op uw eigen site, blog, vlog, of te distribueren op papier of een andere drager, zonder voorafgaande schriftelijke toestemming.Bij veel van de technieken gebruikt in deze scripts, met inbegrip van maar niet beperkt tot register-wijzigen of wijzigingen aan systeembestanden of instellingen, bestaat een risico dat een werkend besturingssysteem onbruikbaar wordt en gegevens verloren kunnen raken. Zorg ervoor dat U gecontroleerd heeft dat U beschikt over volledige back-ups en de bijbehorende herstelsoftware voordat U deze scripts of programmavoorbeelden gebruikt. Het gebruik van deze scripts en programmeervoorbeelden is volledig Uw eigen risico. Alle aansprakelijkheidsclaims tegen de auteur met betrekking tot materiële of niet-materiële verliezen als gevolg van het gebruik, misbruik of niet-gebruik van de verstrekte informatie of het gebruik van onjuiste of onvolledige informatie, zijn uitgesloten. Alle inhoud is onderhevig aan verandering en geleverd zonder verplichting.
