Jump to content

LMHOSTS Verteilung per GPO?


Direkt zur Lösung Gelöst von Küstennebel,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

Vor einigen Tagen haben wir unseren neuen DC (Server 2016) in Betrieb genommen, der den alten 2003er abgelöst hat. In diesem Zusammenhang haben wir gleich mal WINS abgeschaltet. D.h. auf dem neuen Server wurde die WINS Rolle nicht mehr installiert. Außerdem wurde auf allen Client Rechnern "NetBIOS über TCP/IP" deaktiviert, um den Broadcast Traffic ohne WINS Server nicht zu erhöhen.

Soweit läuft erst mal alles gut.

 

Unsere User nutzen häufig die Netzwerkumgebung im Windows Explorer, um die Freigaben der Kollegen zu erreichen. Bei uns hat jeder auf seinem Rechner einen Ordner "Public Space", der für alle Domänen-User freigegeben ist. Dieser clientseitige Austausch von Dateien wird ziemlich oft genutzt.

 

Nun zum Problem: Die Rechner heißen bei uns wie ihre User, alo z.B. MAX_MUSTERMANN. In der Netzwerkumgebung tauchen also immer die Namen der derzeit vorhandenen Kollegen auf und jeder findet somit den Rechner des anderen schnell - und das auch ohne WINS und NetBIOS. Allerdings kann die Windows Netzwerkumgebung nur Rechnernamen mit max. 15 Zeichen händeln. Alles über 15 Zeichen wird abgeschnitten. Über den DNS lassen sich die Rechner mit vollem Namen sofort auflösen, das ist kein Problem. Aber immer erst den vollen Rechnernamen in der Adresszeile des Windows Explorers einzugeben, ist den Usern nicht zu vermitteln. Sie klickern lieber in die Netzwerkumgebung und dort auf den Rechnernamen des Kollegen. Hat nun ein Kollege einen Namen länger als 15 Zeichen, wird der Rechner mit abgeschnittenen Namen zwar in der Netzwerkumgebung angezeigt, kann aber darüber nicht erreicht werden, da der eingekürzte Name natürlich nicht im DNS aufgelöst werden kann. Am Ende betrifft dies von unseren 20 Usern nur zwei Rechner.

 

Da die LMHOSTS Abfrage in den Adaptereinstellungen aber weiterhin aktiv ist, könnte man doch die beiden abgeschnittenen Rechnernamen einfach in die LMHOSTS schreiben und die Rechner müssten auch über die Netzwerkumgebung wieder erreichbar sein. Und wenn man nun noch diese LMHOSTS über GPO verteilen könnte, wäre ich happy.

 

Ist das so machbar? Die Alternative wäre sonst nur alle Rechnernamen (oder zumindest die beiden betroffenen Rechner) mit kürzeren Namen zu versehen. Kann ich einen Rechner in der Domäne eigentlich einfach umbenennen oder muss er dafür aus der Domäne raus und nach Umbenennung wieder rein?

 

Danke und Gruß

Jörg

Link zu diesem Kommentar

 

Kann ich einen Rechner in der Domäne eigentlich einfach umbenennen ..

 

Moin

 

Ja, das Umbenennen eines Clientnamens in der Domäne ist möglich, ist der Normalfall.

 

Nach dem Neustart des Clients schaue ich in das Ereignisprotokoll, dann in den DNS, entferne den alten Eintrag falls nötig. Gegebenfalls führe ich auf dem Client ipconfig /registerdns aus.

bearbeitet von lefg
Link zu diesem Kommentar

Moin,

 

warum schaltet ihr WINS ab, wenn ihr kurze Namen auflösen müsst? Das ist doch zu kurz gedacht.

 

Nur um es noch mal zu betonen: WINS erhöht nicht die Broadcast-Last, sondern es reduziert sie. Namensauflösungsbroadcasts gibt es in Umgebungen ohne WINS.

 

Also entweder auf ein anderes System zum Dateiaustausch umsteigen (bessere Lösung) oder WINS wieder einrichten (schlechtere Lösung). Das ist zwar eine Komponente, die man eigentlich nicht haben will, aber wenn man nicht auf sie verzichten kann, sollte man halt auch nicht darauf verzichten. (Und nein, der WINS-Angriff aus dem Sommer steht dem nicht grundsätzlich entgegen.)

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
  • Beste Lösung

LMHOSTS ist "Netbios over TCP/IP". Limit: 15 Zeichen. Klappt also nicht.

Ich kann doch aber "NetBIOS over TCP/IP deaktivieren" und die Checkbox "LMHOSTS Abfrage" trotzdem aktiviert lassen. Warum geht das nicht?

 

Ja, das Umbenennen eines Clientnamens in der Domäne ist möglich, ist der Normalfall. Nach dem Neustart des Clients schaue ich in das Ereignisprotokoll, dann in den DNS, entferne den alten Eintrag falls nötig. Gegebenfalls führe ich auf dem Client ipconfig /registerdns aus.

Schon mal gut, dass ich den Rechner dafür nicht erst aus der Domäne nehmen muss. Das wird dann evtl. mein Workaround: Rechnernamen auf 15 Stellen einkürzen und neu im DNS registrieren.

 

meiner Meinung nach wäre es die einzige sinnvolle Alternative auf die Freigaben auf den einzelnen PCs zu verzichten und die Daten auf einem zentralen Server abzulegen. Gibt es eine Datensicherung dieser "dezentralen Datenhaltung"?

Nö, das wollen wir nicht. Im Gegenteil, den ganzen Kram der "privaten" Freigaben will ich nicht irgendwo auf dem Server liegen haben. Die User sind darüber belehrt, dass alles was auf dem eigenen Rechner abgelegt wird, nicht im Backup ist. Für wichtige Sachen haben die User aber auch noch mal eigene geschützte Ordner auf dem Server.

 

warum schaltet ihr WINS ab, wenn ihr kurze Namen auflösen müsst? Das ist doch zu kurz gedacht.

Nur um es noch mal zu betonen: WINS erhöht nicht die Broadcast-Last, sondern es reduziert sie. Namensauflösungsbroadcasts gibt es in Umgebungen ohne WINS.

Also entweder auf ein anderes System zum Dateiaustausch umsteigen (bessere Lösung) oder WINS wieder einrichten (schlechtere Lösung). Das ist zwar eine Komponente, die man eigentlich nicht haben will, aber wenn man nicht auf sie verzichten kann, sollte man halt auch nicht darauf verzichten. (Und nein, der WINS-Angriff aus dem Sommer steht dem nicht grundsätzlich entgegen.)

Kurze Namen aufzulösen wäre ja nicht das Problem :)  Die zu langen Namen machen das Problem, weil sie durch die Netzwerkumgebung auf 15 Zeichen eingekürzt werden und diese gekürzten Namen halt nicht im DNS stehen.

Das WINS die Broadcast Last verringert ist mir klar. Deshalb habe ich mit dem WINS Dienst auch NetBIOS over TCP/IP auf jedem Client abgeschaltet. Mitschnitte mit Wireshark zeigen kaum Broadcasts auf der Leitung. Alles im Rahmen.

 

Ich habe aber jetzt die für uns einfachste Lösung gefunden. Im DNS lege ich einfach einen Alias(CNAME) mit dem gekürzten Namen an. Dieser verweist auf den langen (vollständigen) Rechnernamen, der sich im DNS ordnungsgemäß registriert hat. Funktioniert wunderbar. Nun kann ich auch auf die 15stelligen (gekürzten) Rechnernamen der beiden Kollegen in der Netzwerkumgebung klicken und sehe deren Freigabe.

Und bevor alle gleich aufschreien  :cry: "daaas macht man nicht".  - Bei unseren 20 Rechnern und den stabilen Angestelltenverhältnissen kann ich es mir durchaus zeitlich leisten, die zwei Rechner manuell im DNS mit Alias Namen zu versehen.

 

Dank für Eure rege Beteiligung

Gruß

Jörg

bearbeitet von Küstennebel
Link zu diesem Kommentar

Moin,

 

mit "kurze Namen" waren die NetBIOS-Namen gemeint, die im Unterschied zu DNS-Namen eben nur 15 Zeichen haben und keine Suffixe unterstützen.

 

Vielleicht ist euer Szenario eines der wenigen, in denen eine "globalnames"-Zone im DNS eine Lösung wäre.

https://technet.microsoft.com/de-de/library/cc731744(v=ws.11).aspx

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

SPN nicht vergessen...

 

Vielleicht ist euer Szenario eines der wenigen, in denen eine "globalnames"-Zone im DNS eine Lösung wäre.

https://technet.microsoft.com/de-de/library/cc731744(v=ws.11).aspx

 

Danke für Eure Hinweise und Anregungen. Habe als Interessierter auch gleich mal ein wenig darüber gelesen. Für den Moment erkenne ich aber keine Vorteile für uns, weitere Dinge einzurichten. Die Ereignisanzeige ist sauber, der DNS läuft ohne Fehlermeldungen, alle User können sich anmelden, sehen alle Rechner in der Netzwerkumgebung und kommen an alle notwendigen Dienste und Serverablagen.   ... Also lass ich die Dinge erst mal so laufen ;)

 

Das Einzige was ich in nächster Zeit noch tun muss, ist die Funktionsebene von Server 2003 auf 2012 oder 2016 anheben. Erst nach 2003 gewann doch Kerberos an Einfluss, oder? Da hab' ich nicht so viel Ahnung und muss erst noch ein wenig lesen.

 

Gruß

Jörg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...