Server Migratie DNS aanpassen - Netwerken

vrijdag 19 mei 2006 10:09

Acties:

Iedereen: BEDANKT!

Topicstarter

Onze huidige dataserver is zodanig vol gelopen dat we genoodzaakt zijn om hier een nieuwe server voor in te zetten ( HP DL380 ) waarop 1 TB ruimte beschikbaar is. De test hiervan is niet echt soepel verlopen, aangezien snelkoppelingen en verwijzingen naar de ouder server niet meer beschikbaar zijn. Dit hadden we gedacht met DNS op te lossen. Exact hebben we het volgende staan/gedaan:

AS1 WS2000 Applicatie Server 1, Primaire DC met DNS
AS2 WS2000 Applicatie Server 2, Secondary DC, Huidige Data Server
DS1 WS2003 Data Server 1, Nieuwe server (1 TB Vrij), lid van domein, GEEN DC.
CS1 WS2000 Citrix Server 1, lid van het domein
CS2 WS2000 Citrix Server 2, lid van het domein
CS3 WS2000 Citrix Server 3, lid van het domein
CS4 WS2000 Citrix Server 4, lid van het domein
ISA WS2003 ISA & Mail Server, lid van het domein
---Overige servertjes, NIET lid van het domein t.b.v. speciale applicaties.---

We hebben alle Data van de AS2 naar de DS1 omgezet, dat is allemaal gelukt. Vervolgens hebben we AS2 down gehaald, en op de AS1 de Hostrecord van de AS2 gewijzigd naar het IP adres van de DS1.

Als het goed is, moet je dan op het moment dat je pingt vanaf een willekeurige server in het domein IP Adres *.*.*.11 krijgen, dat gebeurd ook. En hoewel op de DS1 precies dezelfde Shares aangemaakt zijn zoals ze ook op de AS2 stonden kunnen we ze niet bereiken op het moment dat je zegt: \\AS2\Sharenaam . Dit resulteert in de foutmelding:

\\AS2 is not accessible.

Logon Failure: The target account name is incorrect.

<OK>

Natuurlijk als je naar \\DS1\Sharenaam gaat, dan werkt het wel goed. De rechten op de share staan (voor de test) op Share Security op Everyone Full Control, netzoals NFS Security.

Via Google (http://www.google.nl/sear...correct&btnG=Zoeken&meta=) kom ik op een artikel bij Microsoft (http://support.microsoft....aspx?scid=kb;en-us;296993) maar dat lijkt mij meer op authenticatie problemen, aangezien replicatie niet meer wil werken (Omdat de AS2 down is). Dit lijkt me echter niet het probleem, maar de foutmelding verwijst naar mijn mening niet naar het juiste probleem.

Kortom; Weten jullie wat ik fout doe waardoor het gebruik van \\AS2\* niet uitkomt bij \\DS1\* ???

Alvast bedankt. Meer info nodig? Dan hoor ik het graag…

vrijdag 19 mei 2006 10:41

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Even uitgaande van Kerberos als authenticatie protocol:

In het Kerberos sessie ticket wat een client aanvraagt bij de TGS (Ticket Granting Services), wordt door de TGS informatie over de AS2 in de session-key geschreven. Dit, omdat de shortcut of netwerkshare nog ingesteld staat op de AS2.

Dit ticket wordt door de client tijdens het initieren van de sessie gepresenteerd aan server DS1. En die zegt vervolgens doodleuk: "ik ben AS2 niet".

Staat ook in je foutmelding "Logon Failure: The target account name is incorrect."

Dit gaat met gebruik van Kerberos dus nooit werken.

[ Voor 23% gewijzigd door Question Mark op 19-05-2006 10:53 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 19 mei 2006 10:47

Acties:

Equator

Crew Council

#whisky #barista

Wat doet \\as2.domein.ext\sharenaam

Maar goed, ik moet zeggen dat ik dit een vreemde manier van overzetten vind. Heb je dit niet getest voordat je in de productieomgeving bent gaan kl*ten.

Als je gebruik maakt van een logon scipt voor het mappen van shares hoef je alleen mappings maar aan te passen. Alhoewel er natuurlijk altijd mensen zijn die zelf mappings hebben aangemaakt, maar die kunnen het zelf dan meestal weer oplossen door de mapping opnieuw te maken..

Ik heb deze truc zelf wel een keer misbruikt in een NT4 omgeving en dat liep wel goed, maar als ik het verhaaltje van Question Mark lees hieronder gaat het mooi niet werken..

[ Voor 17% gewijzigd door Equator op 19-05-2006 10:49 ]

vrijdag 19 mei 2006 10:57

Acties:

kevinvs

Iedereen: BEDANKT!

Topicstarter

Equator schreef op vrijdag 19 mei 2006 @ 10:47:
Wat doet \\as2.domein.ext\sharenaam

Maar goed, ik moet zeggen dat ik dit een vreemde manier van overzetten vind. Heb je dit niet getest voordat je in de productieomgeving bent gaan kl*ten.

..

Via \\as2.domein.ext\Sharenaam resulteert in dezelfde foutmelding.
Ja, zoals ik zei, de test was mislukt, daarom is het nu weer terug gedraait.

Kerberos?? Hmmm.. **Ik ga me even snel verdiepen...**

vrijdag 19 mei 2006 10:59

Acties:

Equator

Crew Council

#whisky #barista

Je kan natuurlijk je nieuwe server ook hernoemen naar AS2. (nadat je de oude AS2 uit het domain hebt gegooid)

vrijdag 19 mei 2006 11:10

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Equator schreef op vrijdag 19 mei 2006 @ 10:47:
Ik heb deze truc zelf wel een keer misbruikt in een NT4 omgeving en dat liep wel goed

Sterker nog, in de "goede oude tijd" stond dit standaard in enkele van onze uitwijkdocumenten.

kevinvs schreef op vrijdag 19 mei 2006 @ 10:57:
[...]Kerberos?? Hmmm.. **Ik ga me even snel verdiepen...**

Het lastige is dat je er niet omheen kunt. Middels Kerberos wordt gecontroleerd dat zowel de client, als de server ook zijn wie je verwacht. In de door de TGS gegenereerde session-key wordt dus keihard informatie weggeschreven over zowel de client, als de server. Je client verwacht te connecten naar de AS2, de server rapporteerd zich als DS1.

Deze opzet is erin gebracht om "impersonating" en "man-in-the-middle" attacks te voorkomen. En terecht (ook al moest Question_Mark diverse uitwijkdocu herschrijven

)

[ Voor 11% gewijzigd door Question Mark op 19-05-2006 11:11 ]

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 19 mei 2006 11:53

Acties:

kevinvs

Iedereen: BEDANKT!

Topicstarter

Hmm.. bedankt voor de reactie. Niet dat ik er erg blij mee ben, maar dat is vers 2.
Ik begrijp dat dit probleem dus niet te omzijlen is door Host / Cname records o.i.d. in DNS aan te maken?? Dat is erg jammer.

Het was niet mijn bedoeling om de machine AS2 te gaan noemen, maar wat is dan wel de beste oplossing om over te schakelen???

Alvast/nogmaals, bedankt!

vrijdag 19 mei 2006 11:55

Acties:

Equator

Crew Council

#whisky #barista

Je verwijzingen naar de shares aanpassen.. In je inlogscript e.d.

Voor alle andere manueel gedane zaken zal je de gebruikers ook op de hoogte moeten stellen.

vrijdag 19 mei 2006 12:25

Acties:

Rayzilt

Je kunt ook netalias gebruiken.

Ik weet niet zeker of dit iets is voor je, heb het een hele tijd geleden gebruikt

Network Alias v1.00 (NetAlias.exe) Last Updated: 10/02/2003

Displays, adds or removes NetBIOS names for the Server service. This allows a computer to be accessed using an alias, or a name other than the computer name. The Server service will also announce this alias to the browse list where it will be displayed in apps such as My Network Places and the NET VIEW command. Use 'NetAlias /?' to view the syntax.

NOTE: The new name may not appear in the browse list immediately, it may take up to 48 minutes, depending on the complexity of your network. Likewise, names removed from the network are not immediately removed from the browse list, it may take up to 72 minutes. For more information, see Microsoft Knowledge Base articles 188001, 102878 and 150800.

Je kunt het hier downloaden: http://www.optimumx.com/download/

vrijdag 19 mei 2006 15:31

Acties:

kevinvs

Iedereen: BEDANKT!

Topicstarter

Dit tootltje klinkt zeer intressant. Ben het aan het proberen maar geeft nog niet het gewenste resultaat: Op de DS1 heb ik het commando netalias /alias:AS2 gedraait, alleen dit heeft geen verschil gemaakt als ik vanaf 1 van de Citrix Servers probeer te connecten via \\AS2\Sharenaam.
Ben ik nu iets aan het proberen wat domweg nooit gaat lukken vanwege de beveiliging van Kerberos?

Trouwens, de Tool heeft alleen betrekking op Netbios names... betekend dat wanener er DNS wordt gebruikt dit tooltje volledig buitenspel staat?

Alvast bedankt.

vrijdag 19 mei 2006 18:44

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Interessante tool idd.

Na de tip van Harley538 ben ik ook nog even gaan zoeken en kom ook op jsifaq een beschrijving van deze tool tegen: How do I allow a computer to be accessed using an alias, instead of the computer name?

De documentatie die erbij zit heeft het echter alleen over Netbios namen ipv. FQDN's.

Ik ben er van overtuigd dat deze tool in een workgroup situatie wel zal werken (in een workgroup wordt NTLM gebruikt als authenticatie-protocol vanwege het ontbreken van een KDC). Echter gezien je testresultaten vrees ik het ergste in een domeinsituatie...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

zaterdag 20 mei 2006 12:07

Acties:

kevinvs

Iedereen: BEDANKT!

Topicstarter

Die URL Had ik inderdaad al gezien. Zal even de links posten van de meest intressantste URL's omtrend dit probleem:

kevinvs in "Server Migratie DNS aanpassen"
http://www.optimumx.com/download/#NetAlias
http://support.microsoft....aspx?scid=kb;en-us;281308
http://66.249.93.104/sear...hl=nl&gl=nl&ct=clnk&cd=27
http://www.pcreview.co.uk/forums/thread-1475540.php
http://www.jsifaq.com/subA/tip0000/rh0062.htm
http://www.mcse.ms/archive47-2004-9-885013.html
http://www.jsifaq.com/subQ/tip8000/rh8062.htm
http://www.jsifaq.com/subO/tip7300/rh7374.htm
http://www.windowsitpro.c...=14475&DisplayTab=Article

Dat met de register sleutels ben ik nu aan het testen...

zaterdag 20 mei 2006 12:21

Acties:

sanfranjake

Computers can do that?

http://support.microsoft.com/kb/281308 zou wel je oplossing moeten zijn

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters