Velius 10 Geschrieben 28. August 2007 Melden Teilen Geschrieben 28. August 2007 Hi Sollte Jemand von euch einen Domänen Account (nicht Domain Admin) als Dienst Account benutzen und mit dem Visual Studio remote verbinden wollen wird er sicherlich folgenden Fehler kriegen: "Cannot generate SSPI context"/"SSPI-Kontext kann nicht generiert werden" Allerdings wird im System Eventlog nur folgendes, nicht unbedingt schlüssiges vermerkt: ---------------------------------- Event Type: Error Event Source: Kerberos Event Category: None Event ID: 4 Date: 28.08.2007 Time: 11:51:13 User: N/A Computer: Servername Description: The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/Servername. The target name used was MSSQLSvc/Servername:1798. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (Domäne), and the client realm. Please contact your system administrator. For more information, see Help and Support Center at Events And Errors Message Center: Basic Search. ---------------------------------- Das Problem liegt am fehlenden Recht des Accounts, Service Principal Names in seinem Namen im AD registrieren zu können. Bei einem Domain Admin klappt's natürlich schon, sollte aber eher nicht verwendet werden, da es doch gegen jegliche Security Best-Practice geht. Abhilfe findet man hier: How to troubleshoot the "Cannot generate SSPI context" error message Problembehandlung bei der Fehlermeldung "SSPI-Kontext kann nicht generiert werden" cheers Velius P.S.: Tipp deswegen weil ich mir doch ein wenig einen Wolf gesucht habe und unter "Cannot generate SSPI context" (abgetippt:cool: ) kam jede Menge nur nicht das, was ich brauchte. Zitieren Link zu diesem Kommentar
gysinma1 13 Geschrieben 28. August 2007 Melden Teilen Geschrieben 28. August 2007 Hallo Velius Da handelt es sich um einen seltenen Bug von dem Windows 2003 bei Zugriffen im speziellen auf SQL. Es handelt sich gemäss Mircrosoft MSFT München um eine rein kosmetisches Problem ohne Issue. Ein Fix wird im Windows 2003 SP3 evtl und im SP4 sicherlich als gelöst in Aussicht gestellt. Sicher gelöst ist es im Windows 2008 Server. Es kann initiiert werden mit dem Aufruf \\sqlserver\c$ von dem Server welcher mit VisualStudio zugreift. Wir haben diesen Event alls....bott auf unseren SQL Clustern und SQL Apps Servern welche mit Visualstudio drauf zugreifen. s. meine PN Gruss, Matthias Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 28. August 2007 Autor Melden Teilen Geschrieben 28. August 2007 Hi Matthias, Nun, ich hab jetzt dem Domänen Account mittels ADSIedit die Rechte 'Read serviceprincipalname' und 'write serviceprincipalname' erteilt, und nun geht's. Ich kuck mir die PN aaber gerne noch an.;) :D gruss Velius P.S.: Es handelt sich gemäss Mircrosoft MSFT München um eine rein kosmetisches Problem ohne Issue. Na ja, so kann ich's nicht bezeichnen - konnte remote auf diese Instanz keine Verbindung mit dem Visual Studio herrstellen. Später dann schon.... Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 29. August 2007 Melden Teilen Geschrieben 29. August 2007 Erm ich versteh das Problem hier nicht ganz. meint ihr mit "Visual Studio remote" verbinden, das hinzufügen eines Servers in die Serverliste, oder das Attachen des Debugmodes an einen Prozess (der als Dienst läuft) auf einem Server? Oder nur die Verbindung auf einen MSSQL-Servers mittels SSPI über die Datenverbindungen? oder was meint ihr gerade genau? *etwas konfus herumblick* Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 29. August 2007 Autor Melden Teilen Geschrieben 29. August 2007 Also: SQL 2005 installiert und Dienste laufen nicht mit 'local System', sondern mit einem Domänen Account, der keine Domain Admin rechte besitzt SQL Visual Management Studio auf einer WS oder einem 2. Server installiert Beim Verbinden mit Visual Management Studio von der WS oder dem 2. Server kommt der SSPI error Es kann gut sein, dass der Fehler nicht auftritt, wenn der SQL zuvor schon mit 'local System' gestartet wurde - dann kann er seine SPNs korrekt registrieren in AD. Auch mit einem Domain Admin Account funktioniert's, denn der hat logischerweise alle benötigten Rechte SPNs zu registrieren. Nur mit einem 'normalen' Domänen Benutzer haut's nicht, da diesem default read und write auf SPN Attribute fehlen im AD. Übrigens müsste dieser Fehler bei allen Funktionen mit dieser Konstellation auftreten, wo MSSQLSvc/Servername als SPN des SQL Servers aufgerufen wird. Mehr Details findest du im Artikel im ersten Post Cheers Velius Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 29. August 2007 Melden Teilen Geschrieben 29. August 2007 achso ihr meint das "SQL Server Management Studio", war leider nicht klar erkenntlich. gut, das dus gepostet hast, da wär ich wahrscheinlich in exakt zwei wochen ebenfalls mit in die quere gekommen *Link in seine Linkliste aufnehm* danke Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 29. August 2007 Autor Melden Teilen Geschrieben 29. August 2007 achso ihr meint das "SQL Server Management Studio", war leider nicht klar erkenntlich. Klar, weiss auch nicht mehr wie ich auf 'Visual' gekommen bin - muss am .Net und dem ganzen Vereinheitlichung-Geraffels liegen .... und dass mein Hirn nachlässt:rolleyes: Zitieren Link zu diesem Kommentar
Zearom 10 Geschrieben 29. August 2007 Melden Teilen Geschrieben 29. August 2007 Off-Topic:gehirntraining.net :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.