(4)
Artikel
bewerten
(81% positiv)
(17)

einem Rechner / Server mehrere Hostnamen zuweisen

wie ein Windows Rechner Anfragen über mehrere Computernamen (Hostnamen) entgegennehmen kann.

das Problem:
durch den Microsoft Security Fix: MS08-068 funktioniert die
Windowsauthentifizierung bei einem alternativen Hostnamen
nicht mehr. Ein aktueller Windows Rechner lässt sich
standardmäßig also nur über seinen eingestellten
Computernamen ansprechen.

warum das Ganze, kurz erklärt:
Mal angenommen wir installieren einen neuen Server.
Der Server hat dann natürlich einen neuen Hostnamen.
Anwendungen und Freigaben werden vom alten Server zum
neuen übertragen, bzw. dort neu installiert:
Damit Netzwerkfreigaben, Anwendungen, SQL-
Datenbankverbindungen weiterhin über den alten
Hostnamen funktionieren
, wäre es doch eine gute Idee den
alten Hostnamen im DNS auf die IP-Adresse des neuen
Server zeigen zu lassen; bzw. granularer für bestimmte
Rechner einen Eintrag in die Hosts-Datei zu machen.
Das ist zugegeben nicht wirklich eine schöne Lösung, führt
aber extrem schnell zum Ziel.

Ganz so einfach ist es aber nicht:
Seit dem Microsoft Securityfix: MS08-068 lässt sich die
Windows Authentifizierung nicht mehr so einfach mit einem
falschen Hostnamen abspeisen.
Authentifizierung funktioniert nicht, wenn der FQDN oder der
verwendete custom host header nicht mit dem lokalen
Computernamen übereinstimmt.

Fehler:
Login failed. The login is from an untrusted domain and
cannot be used with Windows authentication
oder
Login fehlgeschlagen. Der Login ist von einem
nicht vertrauenswürdigen Domäne und kann nicht verwendet
werden mit Windows-Authentifizierung.

Die Überprüfung kann entweder komplett abgeschaltet werden (ist nicht zu empfehlen) oder die jeweiligen
Hostnamen in der Registrierung
eingetragen werden: mit
regedit (Als Administrator ausführen)

Download

Der Key
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\DisableLoopbac
kCheck auf 1 würde die Überprüfung komplett abschalten, der
Key ist standardmässig nicht verhanden, muss also auch nicht
extra angelegt werden.

In unserem Beispiel wollen aber nur bestimmte Hostnamen
erlauben (darum haben wir DisableLoopbackCheck auf 0
gesetzt)
Um bestimmte Hostnamen zu erlauben zum Key
HKLM\SYSTEM\CurrentControlSet\Control\Lsa wechseln und
einen neuen Multi-String mit Namen
BackConnectionHostNames und dort die Hostnamen
eintragen:

Download

Ein kurzer Schwenk zu den Grundlagen:
Einträge in der lokalen Datei
c:\windows\System32\drivers\etc\hosts haben
höchste Prioriät bei der Namensauflösung, ist also in der Datei
kein entsprechender DNS-Eintrag, werden Host-A Einträge des
DNS Servers verarbeitet. (Achtung bei Änderungen am DNS
Server: Damit der Rechner die Änderung gleich annimmt,
ipconfig /flushdns am Client aufrufen)
siehe auch: mit Hilfe der Hosts Datei
bestimmte DNS Einträge sperren


Referenz: blogs.msdn.com/b/sql_protocols/archive/
2008/05/03/understanding-the-error-message-login-failed-
for-user-the-user-is-not-associated-with-a-trusted-sql-server-
connection.aspx

sowie:
support.microsoft.com/kb/957097/en-us
letzte Änderung dieses Artikels: 22.06.2011 12:14



Feedback: