Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
Eine Kerberos-Fehlermeldung wurde auf
Anmeldesitzung empfangen:
Clientzeit:
Serverzeit: 10:44:24.0000 2/8/2012 Z
Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN
Erweiterter Fehler: 0xc0000035 KLIN(0)
Clientbereich:
Clientname:
Serverbereich: CCL.LOCAL
Servername: MSSQLSvc/CCLS-001.ccl.local:21257
Zielname: MSSQLSvc/CCLS-001.ccl.local:21257@CCL.LOCAL
Fehlertext:
Datei: 9
Zeile: efb
Die Fehlerdaten stehen in den Berichtdaten.
Grundsätzlich müsste ich wohl setspn nutzen um das problem zu beheben habe ich ergoogelt.
Code:
C:\Users\Admin>setspn -x
Die Domäne "DC=ccl,DC=local" wird überprüft.
Eintrag 0 wird verarbeitet.
MSSQLSvc/CCLS-001.ccl.local:21257 wird auf diesen Konten registriert:
CN=Admin,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ccl,DC=local
CN=CCLS-001,OU=Domain Controllers,DC=ccl,DC=local
1 Gruppe von doppelten SPNs gefunden.
Vermutung:
setspn -d mssqlsvc/ccls-001.ccl.local:21257
setspn -a mssqlsvc/ccls-001.ccl.local:21257 ccls-001
Den Mut dazu hätte ich aber nicht, da ich die Auswirkungen nicht ganz einschätzen kann, ich hätt so gern ein "mach doch mal" oder ein "lass das bleiben"
Du müßtest vermutlich von dem "Admin" Konto den SPN entfernen. Zumindest dann, wenn dieser nicht als Service Account des SQL Server genutzt wird, wovon ich ausgehen würde und es andernfalls keine gute Sache wäre.
D.h. Du kannst beispielsweise in ADSIedit.msc auf dem Konto CN=Admin,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ccl,DC=local" schlicht den "servicePrincipalName" Attributwert "MSSQLSvc/CCLS-001.ccl.local:21257" entfernen.
Das sollte das Problem beheben.
Sollten sich wider erwarten dann Probleme zeigen, registrierst Du ihn schlichtweg auf dem Konto neu (sprich: Du trägst den entfernten Wert wieder ein): Aber wie gesagt, das würde mich wundern...
Deine Kommandos sollten eigentlich auch funktionieren - aber ich hab das gerade nicht getestet, daher die Wegbeschreibung für ADSIedit.
Gottogottogott, adsiedit ist das böse, ich hab mich noch nie gut dabei gefühlt, die dunkle Seite der macht zu nutzen, auch wenn ich genau wusste, was ich tat.
Naja, so wie ich das sehe, kann ja nix außer dem Admin Konto schaden nehmen und wie der Zufall will hat da ein gewohnheitsmäßiger 2003 Administrator das Administrator Konto aktiviert und kann sich deshalb trotzdem anmelden
Ich vermute mal, ich müsste neu booten, damit sich was tut, ich mach das dann mal heute abend
