BiERWiESEL 10 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Hallo Gemeinde, wir haben einen Windows 2012 R2 im Einsatz. Dieser hat ein File Server installiert und stellt die Suche mittels des Windows Search Dienstes bereit. ( Indizierung ). Für die Server haben wir 3 CNAMES im DNS eingerichtet und mit diesen CNAMES sind auch die Freigaben bei den Clients gemappt. Die Clients sind Windows 7 Betriebssysteme. Jetzt haben wir festgestellt, dass die Clients beim suchen auf den Netzlaufwerken nie im Index suchen. Sobald man aber statt des CNAME den richtigen Servername nimmt, geht es. Also finden die Clients die "wahre" Resource hinter den CNAMES nicht wirklich. Früher wurde dieses Problem so gelößt, dass man ein Cluster gebaut hat und dann 3 A RECORDS eingetragen hat. Diese hatten dann jeweils eine IP Adresse. Per GPO kann man ja auch primäre Suchserver festlegen, aber anscheinend nur Sharepoint Server. Habt ihr ne Lösung für das Problem ? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Hallo Gemeindemitglied :-) Lösung habe ich keine, aber zumindest den vermutlichen Grund: http://blogs.msdn.com/b/gregmcb/archive/2008/03/08/kerberos-fails-when-using-cname.aspx Kerberosauthentifizierung und CNAME passen nicht zusammen! blub Zitieren Link zu diesem Kommentar
BiERWiESEL 10 Geschrieben 22. Juni 2016 Autor Melden Teilen Geschrieben 22. Juni 2016 (bearbeitet) Hallo Gemeindemitglied :-) Lösung habe ich keine, aber zumindest den vermutlichen Grund: http://blogs.msdn.com/b/gregmcb/archive/2008/03/08/kerberos-fails-when-using-cname.aspx Kerberosauthentifizierung und CNAME passen nicht zusammen! blub Vielen Dank für die schnelle Antwort. Aber wenn es ein Kerberos Fehler wäre, dann würde ich doch gar nicht erst auf die Freigabe kommen und die Freigaben nicht mappen. Es geht ja alles, außer dass er beim Suchen eben lange braucht ( also wohl nicht den index nutzt ) und wenn ich ohne CNAME, also direkt FQDN nutze, es schnell geht. Also ich rede von der ganz normalen Explorer Suche inkl. Datei Inhalt. bearbeitet 22. Juni 2016 von BiERWiESEL Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 a-tens) direkt FQDN und Kerberos: wunderbar b-tens) CNAME und Kerberos: geht konzeptionell nicht. Das ist so! Ich schätze, dass er bei b-tens) eine Fallbackvariante findet, die dann zumindest bei der Suche viel langsamer arbeitet. Ich bin aber absolut kein Fileserverspezialist. Es kann durchaus sein, dass es funktionierende Workarounds gibt! Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Normalerweise wird statt Kerberos immer Negotiation genutzt. D.h. der Zugriff wird per Kerberos versucht und wenn dies nicht klappt NTLM genommen. Zitieren Link zu diesem Kommentar
BiERWiESEL 10 Geschrieben 22. Juni 2016 Autor Melden Teilen Geschrieben 22. Juni 2016 Gut verstehe, aber dann brauchen wir nur noch eine Lösung, dass wir weiterhin die CNAMES nutzen können :) Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Wäre es nicht sinnvoller evtl. von diesem Konstrukt abzurücken? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Normalerweise wird statt Kerberos immer Negotiation genutzt. D.h. der Zugriff wird per Kerberos versucht und wenn dies nicht klappt NTLM genommen. und wenn der Searchaccount bei jedem Filezugriff sich erneut mit NTLM gegen das AD authentifiziert, dann dauert das nachvollziehbar länger, als wenn Kerberos das mit einem einzigen Ticket abfackelt. Vielleicht hilft es geschwindigkeitstechnisch die Authentifizierung im SMB2.0 abzuschalten. (GPO: Security Options -> Microsoft Network Client: Digitally sign...). Allerdings verliert man dadurch Security. Zitieren Link zu diesem Kommentar
BiERWiESEL 10 Geschrieben 22. Juni 2016 Autor Melden Teilen Geschrieben 22. Juni 2016 Wäre es nicht sinnvoller evtl. von diesem Konstrukt abzurücken? Naja wir wollen eigentlich nicht wieder ein Cluster bauen und Sharepoint setzen wir aktuell nicht ein. Hast du denn eine andere Idee wie man die Windows Suche nutzen kann ? Es sollte schon die Geschwindigkeit wie bei einer Indizierung sein. Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Tritt das Problem denn auch auf, wenn du auf den eigentlichen Hostnamen mappst? Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Kannst du statt der CNAMES auch A Records (mit der selben IP) Anlegen und funktioniert dies dann korrekt? Zitieren Link zu diesem Kommentar
BiERWiESEL 10 Geschrieben 22. Juni 2016 Autor Melden Teilen Geschrieben 22. Juni 2016 Tritt das Problem denn auch auf, wenn du auf den eigentlichen Hostnamen mappst? auf sich selbst kann er den Alias nicht auflösen. Haben eben versucht den Alias im Explorer einzugeben aber da steht dann "Der Zielkontoname ist ungültig" Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Dein Windows Server hat doch sicherlich einen Namen. ;) Und da du oben schreibst, dass alle deine Laufwerke auf CNames gemappt werden, versuch doch mal an einem Client auf den eigentlichen Hostnamen zu Mappen. Das muß ja funktionieren. Zitieren Link zu diesem Kommentar
BiERWiESEL 10 Geschrieben 22. Juni 2016 Autor Melden Teilen Geschrieben 22. Juni 2016 Kannst du statt der CNAMES auch A Records (mit der selben IP) Anlegen und funktioniert dies dann korrekt? Dann würden es aber 4 A-Records geben. 1x den direkt vom Server 3x den gewünschten alias als A-Record Geht das überhaupt ? kommt das DNS dann nicht durcheinander? Deshalb gibt es doch CNAME´s Dein Windows Server hat doch sicherlich einen Namen. ;) Und da du oben schreibst, dass alle deine Laufwerke auf CNames gemappt werden, versuch doch mal an einem Client auf den eigentlichen Hostnamen zu Mappen. Das muß ja funktionieren. Dann haben wir uns miss verstanden. Ich dachte ich soll auf dem SERVER mal den CNAME ansprechen und dann eine Suche starten. Ich habe nun auf einem Client den Server ohne Alias gemappt ( direkt mit dem Namen ) und da geht wie bereits oben gesagt die Suche schnell. Immer erst wenn CNAME´s dazu kommen, wird es lahm. Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 22. Juni 2016 Melden Teilen Geschrieben 22. Juni 2016 Natürlich kann man mehrere DNS Namen auf eine IP zeigen lassen. CNAMES braucht man, damit man nicht jedes mal die IP eingeben muss beim DNS Anlegen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.