Sternenkind 11 Geschrieben 8. Februar 2012 Melden Geschrieben 8. Februar 2012 Hallo liebe Gemeinde, ich habe folgenden Fehler: Eine Kerberos-Fehlermeldung wurde auf Anmeldesitzung empfangen: Clientzeit: Serverzeit: 10:44:24.0000 2/8/2012 Z Fehlercode: 0x7 KDC_ERR_S_PRINCIPAL_UNKNOWN Erweiterter Fehler: 0xc0000035 KLIN(0) Clientbereich: Clientname: Serverbereich: CCL.LOCAL Servername: MSSQLSvc/CCLS-001.ccl.local:21257 Zielname: MSSQLSvc/CCLS-001.ccl.local:21257@CCL.LOCAL Fehlertext: Datei: 9 Zeile: efb Die Fehlerdaten stehen in den Berichtdaten. Grundsätzlich müsste ich wohl setspn nutzen um das problem zu beheben habe ich ergoogelt. C:\Users\Admin>setspn -x Die Domäne "DC=ccl,DC=local" wird überprüft. Eintrag 0 wird verarbeitet. MSSQLSvc/CCLS-001.ccl.local:21257 wird auf diesen Konten registriert: CN=Admin,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ccl,DC=local CN=CCLS-001,OU=Domain Controllers,DC=ccl,DC=local 1 Gruppe von doppelten SPNs gefunden. Vermutung: setspn -d mssqlsvc/ccls-001.ccl.local:21257 setspn -a mssqlsvc/ccls-001.ccl.local:21257 ccls-001 Den Mut dazu hätte ich aber nicht, da ich die Auswirkungen nicht ganz einschätzen kann, ich hätt so gern ein "mach doch mal" oder ein "lass das bleiben"
olc 18 Geschrieben 8. Februar 2012 Melden Geschrieben 8. Februar 2012 Hi, Du müßtest vermutlich von dem "Admin" Konto den SPN entfernen. Zumindest dann, wenn dieser nicht als Service Account des SQL Server genutzt wird, wovon ich ausgehen würde und es andernfalls keine gute Sache wäre. D.h. Du kannst beispielsweise in ADSIedit.msc auf dem Konto CN=Admin,OU=SBSUsers,OU=Users,OU=MyBusiness,DC=ccl,DC=local" schlicht den "servicePrincipalName" Attributwert "MSSQLSvc/CCLS-001.ccl.local:21257" entfernen. Das sollte das Problem beheben. Sollten sich wider erwarten dann Probleme zeigen, registrierst Du ihn schlichtweg auf dem Konto neu (sprich: Du trägst den entfernten Wert wieder ein): Aber wie gesagt, das würde mich wundern... Deine Kommandos sollten eigentlich auch funktionieren - aber ich hab das gerade nicht getestet, daher die Wegbeschreibung für ADSIedit. Ansonsten: Alles sehr gut recherchiert. :) Viele Grüße olc
Sternenkind 11 Geschrieben 8. Februar 2012 Autor Melden Geschrieben 8. Februar 2012 Danke! Gottogottogott, adsiedit ist das böse, ich hab mich noch nie gut dabei gefühlt, die dunkle Seite der macht zu nutzen, auch wenn ich genau wusste, was ich tat. :D Naja, so wie ich das sehe, kann ja nix außer dem Admin Konto schaden nehmen und wie der Zufall will hat da ein gewohnheitsmäßiger 2003 Administrator das Administrator Konto aktiviert und kann sich deshalb trotzdem anmelden :) Ich vermute mal, ich müsste neu booten, damit sich was tut, ich mach das dann mal heute abend :)
olc 18 Geschrieben 8. Februar 2012 Melden Geschrieben 8. Februar 2012 Hi, nein, ein Reboot ist nicht notwendig. Den SPN vom Admin-Konto entfernen und ein wenig warten, dann sollte es passen. :) Viele Grüße olc
Sternenkind 11 Geschrieben 8. Februar 2012 Autor Melden Geschrieben 8. Februar 2012 Mist... ich werd doch nach Aufwand bezahlt
olc 18 Geschrieben 8. Februar 2012 Melden Geschrieben 8. Februar 2012 Ein Neustart schadet natürlich nicht, sofern "alle beteiligten Systeme" neu gestartet werden. Dabei werden auch eventuelle Kerberos Caches gelöscht. In dem Fall reicht jedoch der Neustart des SBS nicht. Ob sich der Aufwand lohnt, mußt Du bzw. Dein Kunde entscheiden. ;)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden