昨日発生した状況は次のとおりです。エイリアス (CNAME) を使用してアクセスする必要があるマシン上の共有があります。マシンは Windows Server 2012 R2 を実行しており、Windows 7 および 8 クライアントにサービスを提供しています。
Windows 7 クライアントでは、共有 \SHARECNAME または \IP.AD.DR.ESS を開く際に問題はありません。Windows 8 クライアントでは、共有を \IP.AD.DR.ESS でのみ開くことができます。
最終的に機能したのは、CNAME が HOSTNAME を指すように SPN レコードを作成すること (setspn -S HOST/CNAME HOSTNAME など) で、突然共有が使用可能になりました。
HOSTNAME マシンはエラーを記録しました:
「Kerberos クライアントは、サーバー HOSTNAME$ から KRB_AP_ERR_MODIFIED エラーを受信しました。使用されたターゲット名は cifs/CNAME でした。」これについては、あまり多くの情報は見つかりませんでしたが、適切な SPN レコードを設定する方向を示してくれました。
私が理解しようとしているのは、なぜクライアントのエクスペリエンスに違いがあるのかということです。
ありがとう。
答え1
正確にはわかりませんが、DisableStrictNameChecking レジストリ設定を設定しましたか?
http://www.md3v.com/enable-windows-server-smb-2-0-alias-cname
IP と CName、および SPN は、Kerberos が関係していることを明らかに示しています。おそらく、SMB 3.0 暗号化が原因と考えられます。これは Server2012 から Win8 への接続でのみ発生しますが、これが SMB 2 と SMB 3 の大きな違いの 1 つです。共有の暗号化がデフォルトで有効になっているとは思いませんが、SMB 3 に移行すると、プロトコルで Kerberos 認証が必要になる可能性があります。
答え2
新しい NetApp でも同様の問題が発生しました。すべての W10/2012 クライアントは CNAME 共有にアクセスできませんでしたが、W7/2008R2 クライアントはアクセスできました。CNAME SPN を作成する必要はありませんでした。setspn -l cname で表示された CNAME のすべての SPN を削除しました。
注: AD コンピュータ アカウントとしても CNAME があり、その後もそのまま残りました。