Recentemente, atualizei um antigo domínio baseado em Win2008R2 para um novo baseado em Win2019 (com a dança comum de promoção/rebaixamento/desativação). Isso foi para um escritório muito pequeno (3 pessoas), então esta é uma configuração de DC único, onde os DCs antigos e novos dobraram como servidor de arquivos.
Por esse motivo, criei um alias de DNS para apontar o nome antigo (ou seja: olddc.example.com) para o novo (ou seja: newdc.example.com). Até agora, tudo bem: todos os clientes podem acessar o novo DC/servidor de arquivos com os nomes antigos e novos. No entanto, esqueço de adicionar formalmente ao novo DC o nome do DC antigo (como um alias). Em outras palavras, eu não emiti algo semelhante a:
netdom computername newdc.example.com /add:olddc.example.com
Hoje eu estava no novo DC e, sem memória muscular, tentei alcançar seus próprios compartilhamentos pelos nomes antigos (abrindo o Explorer e escrevendo \\olddc.example.com). Explorer imediatamente reclamou sobre "credenciais erradas" e, de fato, um dump do Wireshark mostrado STATUS_LOGON_FAILURE. Emiti o netdomcomando acima (adicionando olddc.example.comcomo um alias) e o problema desapareceu: o servidor agora pode ver seus próprios compartilhamentos por meio do nome antigo.
Eu sei e entendo por que o nome alternativo/alias deve ser adicionado via netdom(ou por meio de um setspncomando separado). No entanto, o que me surpreende é que todos os clientes Win10 não mostraram nenhuma reclamação, mesmo quando esse nome alternativo não foi fornecido.
Então, por que os clientes Win10 não trabalharam com nenhum problema enquanto o servidor imediatamente voltou a acessar seus próprios compartilhamentos com um alias DNS "desconhecido"? É devido a algumas configurações diferentes entre os sistemas operacionais de servidor e cliente? Ou está relacionado ao acesso a um compartilhamento de loopback?
As conexões SMB de loopback são realmente tratadas de maneira diferente das externas: https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/accessing-server-locally-with-fqdn-cname-alias-denied .
(O artigo faz referência ao Windows Server 2003, mas ainda se aplica.)
O Problema Em máquinas Windows, o compartilhamento de arquivos pode funcionar pelo nome do computador, com ou sem qualificação completa, ou pelo endereço IP. Por padrão, no entanto, o compartilhamento de arquivos não funcionará com aliases DNS arbitrários. Para permitir que o compartilhamento de arquivos e outros serviços do Windows funcionem com aliases de DNS, você deve fazer alterações no registro conforme detalhado abaixo e reinicializar a máquina.
A Solução Permitir que outras máquinas usem o compartilhamento de arquivos por meio do alias DNS (DisableStrictNameChecking) Essa alteração por si só permitirá que outras máquinas na rede se conectem à máquina usando qualquer nome de host arbitrário. (No entanto, essa alteração não permitirá que uma máquina se conecte a si mesma por meio de um nome de host, consulte BackConnectionHostNames abaixo).
• Edite a chave de registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters e adicione um valor DisableStrictNameChecking do tipo DWORD definido como 1.