Вот ситуация, которая возникла вчера: у нас есть общий ресурс на машине, к которому мы должны получить доступ с помощью псевдонима (CNAME). Машина работает под управлением Windows Server 2012 R2 и обслуживает клиентов Windows 7 и 8.
Клиенты Windows 7 не испытывают проблем с открытием общего ресурса \SHARECNAME или \IP.AD.DR.ESS Клиенты Windows 8 могут открыть общий ресурс только с помощью \IP.AD.DR.ESS
В конечном итоге сработало создание записей SPN для CNAME, указывающих на HOSTNAME (setspn -S HOST/CNAME HOSTNAME и т. д.), и внезапно общий ресурс стал доступен для использования.
Машина HOSTNAME зарегистрировала ошибку:
«Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED от сервера HOSTNAME$. Использованное целевое имя — cifs/CNAME». По этой теме я не нашел много информации, но она указала мне направление для настройки правильных записей SPN.
Я пытаюсь понять, почему существует разница в опыте клиентов?
Спасибо.
решение1
Не совсем уверен, но вы случайно не установили параметр реестра DisableStrictNameChecking?
http://www.md3v.com/enable-windows-server-smb-2-0-alias-cname
IP против CName вместе с SPN явно указывают на то, что задействован Kerberos. Возможно, это шифрование SMB 3.0, которое себя проявляет. Это будет только при подключении Server2012 к Win8, но это одно из основных различий между SMB 2 и SMB 3. Я не верю, что шифрование на общих ресурсах включено по умолчанию, но при переходе на SMB 3 протокол может потребовать аутентификацию Kerberos.
решение2
У нас была похожая проблема с новым NetApp. Все клиенты W10/2012 не могли получить доступ к общему ресурсу CNAME, но клиенты W7/2008R2 могли это сделать. Нам не нужно было создавать CNAME SPN. Мы удалили все SPN для CNAME, которые отображались с помощью setspn -l cname.
ПРИМЕЧАНИЕ: У нас также была учетная запись CNAME в качестве учетной записи компьютера AD, и она осталась там и после этого.