Hier ist eine Situation, die gestern aufgetreten ist: Wir haben eine Freigabe auf einem Computer, auf den wir über einen Alias (CNAME) zugreifen müssen. Auf dem Computer läuft Windows Server 2012 R2 und er bedient Windows 7- und 8-Clients.
Windows 7-Clients haben keine Probleme beim Öffnen der Freigabe \SHARECNAME oder \IP.AD.DR.ESS. Windows 8-Clients können die Freigabe nur über \IP.AD.DR.ESS öffnen.
Was letztendlich funktionierte, war die Erstellung von SPN-Einträgen für den CNAME, um auf den HOSTNAME zu verweisen (setspn -S HOST/CNAME HOSTNAME usw.) und plötzlich war die Freigabe nutzbar.
Die HOSTNAME-Maschine hat einen Fehler protokolliert:
„Der Kerberos-Client hat vom Server HOSTNAME$ einen KRB_AP_ERR_MODIFIED-Fehler erhalten. Der verwendete Zielname war cifs/CNAME.“ Dazu habe ich nicht viele Informationen gefunden, aber es hat mich in die Richtung verwiesen, wie ich die richtigen SPN-Einträge festlegen kann.
Ich versuche zu verstehen, warum es diesen Unterschied im Kundenerlebnis gibt.
Danke schön.
Antwort1
Ich bin nicht ganz sicher, aber haben Sie zufällig die Registrierungseinstellung „DisableStrictNameChecking“ festgelegt?
http://www.md3v.com/enable-windows-server-smb-2-0-alias-cname
Die IP vs. CName zusammen mit dem SPN weisen eindeutig darauf hin, dass Kerberos beteiligt ist. Vielleicht zeigt sich die SMB 3.0-Verschlüsselung. Dies wäre nur bei einer Verbindung von Server2012 zu Win8 der Fall, aber das ist einer der Hauptunterschiede zwischen SMB 2 und SMB 3. Ich glaube nicht, dass die Verschlüsselung der Freigaben standardmäßig aktiviert ist, aber durch die Umstellung auf SMB 3 erfordert das Protokoll möglicherweise eine Kerberos-Authentifizierung.
Antwort2
Wir hatten ein ähnliches Problem mit einer neuen NetApp. Alle W10/2012-Clients konnten nicht auf die CNAME-Freigabe zugreifen, aber W7/2008R2-Clients konnten dies. Wir mussten den CNAME-SPN nicht erstellen. Was wir getan haben, ist, alle SPNs für den CNAME zu entfernen, die mit setspn -l cname angezeigt wurden.
HINWEIS: Wir hatten den CNAME auch als AD-Computerkonto und er blieb dort.