Zum Inhalt wechseln


Foto

LMHOSTS Verteilung per GPO?


  • Bitte melde dich an um zu Antworten
10 Antworten in diesem Thema

#1 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 09. November 2017 - 09:20

Moin,

 

Vor einigen Tagen haben wir unseren neuen DC (Server 2016) in Betrieb genommen, der den alten 2003er abgelöst hat. In diesem Zusammenhang haben wir gleich mal WINS abgeschaltet. D.h. auf dem neuen Server wurde die WINS Rolle nicht mehr installiert. Außerdem wurde auf allen Client Rechnern "NetBIOS über TCP/IP" deaktiviert, um den Broadcast Traffic ohne WINS Server nicht zu erhöhen.

Soweit läuft erst mal alles gut.

 

Unsere User nutzen häufig die Netzwerkumgebung im Windows Explorer, um die Freigaben der Kollegen zu erreichen. Bei uns hat jeder auf seinem Rechner einen Ordner "Public Space", der für alle Domänen-User freigegeben ist. Dieser clientseitige Austausch von Dateien wird ziemlich oft genutzt.

 

Nun zum Problem: Die Rechner heißen bei uns wie ihre User, alo z.B. MAX_MUSTERMANN. In der Netzwerkumgebung tauchen also immer die Namen der derzeit vorhandenen Kollegen auf und jeder findet somit den Rechner des anderen schnell - und das auch ohne WINS und NetBIOS. Allerdings kann die Windows Netzwerkumgebung nur Rechnernamen mit max. 15 Zeichen händeln. Alles über 15 Zeichen wird abgeschnitten. Über den DNS lassen sich die Rechner mit vollem Namen sofort auflösen, das ist kein Problem. Aber immer erst den vollen Rechnernamen in der Adresszeile des Windows Explorers einzugeben, ist den Usern nicht zu vermitteln. Sie klickern lieber in die Netzwerkumgebung und dort auf den Rechnernamen des Kollegen. Hat nun ein Kollege einen Namen länger als 15 Zeichen, wird der Rechner mit abgeschnittenen Namen zwar in der Netzwerkumgebung angezeigt, kann aber darüber nicht erreicht werden, da der eingekürzte Name natürlich nicht im DNS aufgelöst werden kann. Am Ende betrifft dies von unseren 20 Usern nur zwei Rechner.

 

Da die LMHOSTS Abfrage in den Adaptereinstellungen aber weiterhin aktiv ist, könnte man doch die beiden abgeschnittenen Rechnernamen einfach in die LMHOSTS schreiben und die Rechner müssten auch über die Netzwerkumgebung wieder erreichbar sein. Und wenn man nun noch diese LMHOSTS über GPO verteilen könnte, wäre ich happy.

 

Ist das so machbar? Die Alternative wäre sonst nur alle Rechnernamen (oder zumindest die beiden betroffenen Rechner) mit kürzeren Namen zu versehen. Kann ich einen Rechner in der Domäne eigentlich einfach umbenennen oder muss er dafür aus der Domäne raus und nach Umbenennung wieder rein?

 

Danke und Gruß

Jörg



#2 zahni

zahni

    Expert Member

  • 16.446 Beiträge

 

Geschrieben 09. November 2017 - 09:23

LMHOSTS ist "Netbios over TCP/IP". Limit: 15 Zeichen. Klappt also nicht.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 lefg

lefg

    Expert Member

  • 20.492 Beiträge

 

Geschrieben 09. November 2017 - 09:58

 

Kann ich einen Rechner in der Domäne eigentlich einfach umbenennen ..

 

Moin

 

Ja, das Umbenennen eines Clientnamens in der Domäne ist möglich, ist der Normalfall.

 

Nach dem Neustart des Clients schaue ich in das Ereignisprotokoll, dann in den DNS, entferne den alten Eintrag falls nötig. Gegebenfalls führe ich auf dem Client ipconfig /registerdns aus.


Bearbeitet von lefg, 09. November 2017 - 10:36.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#4 testperson

testperson

    Board Veteran

  • 4.574 Beiträge

 

Geschrieben 09. November 2017 - 10:30

Hi,

 

meiner Meinung nach wäre es die einzige sinnvolle Alternative auf die Freigaben auf den einzelnen PCs zu verzichten und die Daten auf einem zentralen Server abzulegen. Gibt es eine Datensicherung dieser "dezentralen Datenhaltung"?

 

Gruß

Jan


Good morning, that's a nice TNETENNBA!

#5 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 09. November 2017 - 10:38

Moin,

 

warum schaltet ihr WINS ab, wenn ihr kurze Namen auflösen müsst? Das ist doch zu kurz gedacht.

 

Nur um es noch mal zu betonen: WINS erhöht nicht die Broadcast-Last, sondern es reduziert sie. Namensauflösungsbroadcasts gibt es in Umgebungen ohne WINS.

 

Also entweder auf ein anderes System zum Dateiaustausch umsteigen (bessere Lösung) oder WINS wieder einrichten (schlechtere Lösung). Das ist zwar eine Komponente, die man eigentlich nicht haben will, aber wenn man nicht auf sie verzichten kann, sollte man halt auch nicht darauf verzichten. (Und nein, der WINS-Angriff aus dem Sommer steht dem nicht grundsätzlich entgegen.)

 

Gruß, Nils


Bearbeitet von NilsK, 09. November 2017 - 10:38.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 09. November 2017 - 13:04   Lösung

LMHOSTS ist "Netbios over TCP/IP". Limit: 15 Zeichen. Klappt also nicht.

Ich kann doch aber "NetBIOS over TCP/IP deaktivieren" und die Checkbox "LMHOSTS Abfrage" trotzdem aktiviert lassen. Warum geht das nicht?

 

Ja, das Umbenennen eines Clientnamens in der Domäne ist möglich, ist der Normalfall. Nach dem Neustart des Clients schaue ich in das Ereignisprotokoll, dann in den DNS, entferne den alten Eintrag falls nötig. Gegebenfalls führe ich auf dem Client ipconfig /registerdns aus.

Schon mal gut, dass ich den Rechner dafür nicht erst aus der Domäne nehmen muss. Das wird dann evtl. mein Workaround: Rechnernamen auf 15 Stellen einkürzen und neu im DNS registrieren.

 

meiner Meinung nach wäre es die einzige sinnvolle Alternative auf die Freigaben auf den einzelnen PCs zu verzichten und die Daten auf einem zentralen Server abzulegen. Gibt es eine Datensicherung dieser "dezentralen Datenhaltung"?

Nö, das wollen wir nicht. Im Gegenteil, den ganzen Kram der "privaten" Freigaben will ich nicht irgendwo auf dem Server liegen haben. Die User sind darüber belehrt, dass alles was auf dem eigenen Rechner abgelegt wird, nicht im Backup ist. Für wichtige Sachen haben die User aber auch noch mal eigene geschützte Ordner auf dem Server.

 

warum schaltet ihr WINS ab, wenn ihr kurze Namen auflösen müsst? Das ist doch zu kurz gedacht.

Nur um es noch mal zu betonen: WINS erhöht nicht die Broadcast-Last, sondern es reduziert sie. Namensauflösungsbroadcasts gibt es in Umgebungen ohne WINS.

Also entweder auf ein anderes System zum Dateiaustausch umsteigen (bessere Lösung) oder WINS wieder einrichten (schlechtere Lösung). Das ist zwar eine Komponente, die man eigentlich nicht haben will, aber wenn man nicht auf sie verzichten kann, sollte man halt auch nicht darauf verzichten. (Und nein, der WINS-Angriff aus dem Sommer steht dem nicht grundsätzlich entgegen.)

Kurze Namen aufzulösen wäre ja nicht das Problem :)  Die zu langen Namen machen das Problem, weil sie durch die Netzwerkumgebung auf 15 Zeichen eingekürzt werden und diese gekürzten Namen halt nicht im DNS stehen.

Das WINS die Broadcast Last verringert ist mir klar. Deshalb habe ich mit dem WINS Dienst auch NetBIOS over TCP/IP auf jedem Client abgeschaltet. Mitschnitte mit Wireshark zeigen kaum Broadcasts auf der Leitung. Alles im Rahmen.

 

Ich habe aber jetzt die für uns einfachste Lösung gefunden. Im DNS lege ich einfach einen Alias(CNAME) mit dem gekürzten Namen an. Dieser verweist auf den langen (vollständigen) Rechnernamen, der sich im DNS ordnungsgemäß registriert hat. Funktioniert wunderbar. Nun kann ich auch auf die 15stelligen (gekürzten) Rechnernamen der beiden Kollegen in der Netzwerkumgebung klicken und sehe deren Freigabe.

Und bevor alle gleich aufschreien  :cry: "daaas macht man nicht".  - Bei unseren 20 Rechnern und den stabilen Angestelltenverhältnissen kann ich es mir durchaus zeitlich leisten, die zwei Rechner manuell im DNS mit Alias Namen zu versehen.

 

Dank für Eure rege Beteiligung

Gruß

Jörg


Bearbeitet von Küstennebel, 09. November 2017 - 13:06.


#7 MurdocX

MurdocX

    Board Veteran

  • 575 Beiträge

 

Geschrieben 09. November 2017 - 13:19

SPN nicht vergessen...


Mit freundlicher Unterstützung
Jan


#8 NilsK

NilsK

    Expert Member

  • 12.395 Beiträge

 

Geschrieben 09. November 2017 - 13:28

Moin,

 

mit "kurze Namen" waren die NetBIOS-Namen gemeint, die im Unterschied zu DNS-Namen eben nur 15 Zeichen haben und keine Suffixe unterstützen.

 

Vielleicht ist euer Szenario eines der wenigen, in denen eine "globalnames"-Zone im DNS eine Lösung wäre.

https://technet.micr...4(v=ws.11).aspx

 

Gruß, Nils


Bearbeitet von NilsK, 09. November 2017 - 13:30.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 09. November 2017 - 14:02

SPN nicht vergessen...

 

Vielleicht ist euer Szenario eines der wenigen, in denen eine "globalnames"-Zone im DNS eine Lösung wäre.

https://technet.micr...4(v=ws.11).aspx

 

Danke für Eure Hinweise und Anregungen. Habe als Interessierter auch gleich mal ein wenig darüber gelesen. Für den Moment erkenne ich aber keine Vorteile für uns, weitere Dinge einzurichten. Die Ereignisanzeige ist sauber, der DNS läuft ohne Fehlermeldungen, alle User können sich anmelden, sehen alle Rechner in der Netzwerkumgebung und kommen an alle notwendigen Dienste und Serverablagen.   ... Also lass ich die Dinge erst mal so laufen ;)

 

Das Einzige was ich in nächster Zeit noch tun muss, ist die Funktionsebene von Server 2003 auf 2012 oder 2016 anheben. Erst nach 2003 gewann doch Kerberos an Einfluss, oder? Da hab' ich nicht so viel Ahnung und muss erst noch ein wenig lesen.

 

Gruß

Jörg



#10 Nobbyaushb

Nobbyaushb

    Board Veteran

  • 2.714 Beiträge

 

Geschrieben 09. November 2017 - 14:53

Ich hoffe, ihr habt keinen Exchange 2010 im Einsatz.

 

Der mag nämlich keine 2016er DC´s

 

;)


Mfg aus Bremen

 

Norbert (der andere :))

MVP Exchange Server


#11 Küstennebel

Küstennebel

    Newbie

  • 35 Beiträge

 

Geschrieben 09. November 2017 - 15:13

Nö. Mercury Mailserver. :D