zahni 521 Geschrieben 4. Juni 2013 Melden Teilen Geschrieben 4. Juni 2013 (bearbeitet) Hi, ich habe mit SharePoint eine Kerberos-Problem, bei dem ich nicht weiterkomme. Die Farm (Enterprise-Edition) ist mit den neusten Updates (April 2013 CU) eingerichtet´(den "Fehler" bekomme ich aber auch mit älteren Versionen). Kerberos funktioniert soweit (User könen per Kerberos authentifiziert werden). Sobald ich allerdings der Enterprise-Suche einrichte (deren Dienste laufen im genannten FARM-Account), beginnt der SP den Security-Eventlog seines Lieblings-DC's mit den Event 4769 zuzumüllen (teileseise mehrfach pro Sekunde): Ein Kerberos-Dienstticket wurde angefordert. Kontoinformationen: Kontoname: SP-FARM-ACCOUNT@MYDOMAIN Kontodomäne: MYDOMAIN Anmelde-GUID: {00000000-0000-0000-0000-000000000000} Dienstinformationen: Dienstname: SP-FARM-ACCOUNT Dienst-ID: NULL SID Netzwerkinformationen: Clientadresse: ::ffff:xx.xx.xx.xx Clientport: 51521 Weitere Informationen: Ticketoptionen: 0x40810000 Ticketverschlüsselungstyp: 0xffffffff Fehlercode: 0x1b Übertragene Dienste: - Auf dem SP-Server habe ich mal der Kerberos-Logging aktiviert. Die entsprechende korrespondiere Meldung lautet: A Kerberos Error Message was received: on logon session Client Time: Server Time: 16:27:28.0000 6/4/2013 Z Error Code: 0x1b Unknown Error Extended Error: Client Realm: Client Name: Server Realm: MYDOMAIN Server Name: SP-FARM-ACCOUNT Target Name: SP-FARM-ACCOUNT@MYDOMAIN Error Text: File: 9 Line: f09 Error Data is in record data. Die DC's haben die Funktionsstufe 2008 . Sobald ich übrigens dem FARM-Account irgendeinen ausgedachten SPN zuweise, wird Error Code: 0x29 KRB_AP_ERR_MODIFIED geloggt. Die richtige Beschreibung für 0x1b ist übrigens "KDC_ERR_MUST_USE_USER2USER." Ich bin mit meinem Latein am Ende. Außer ein paar dünnen Hinweisen, dass irgendwo ein SPN fehlen würde, habe ich nichts richtig verwertbares gefunden. Den Hotfix http://support.microsoft.com/kb/969083 habe noch auf den restlichen 2008'er DC's installiert, da er hier erwähnt wurde: http://www.microsoft.com/en-us/download/details.aspx?id=23176 . Brachte auch nichts. Im DNS habe ich die ursprünglichen CNAME's für die Website in A-Record geändert. Auch das... Mich wundert, dass als REALM der Username verwendet wird. Hat von Euch jemand noch eine Idee oder kennt das Problem ? Vielleicht ist es ja auch keins... Danke im Voraus. -Zahni bearbeitet 4. Juni 2013 von zahni Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 5. Juni 2013 Autor Melden Teilen Geschrieben 5. Juni 2013 (bearbeitet) Hi, ich habe es eventuell gefunden. Nr. 1 http://social.msdn.microsoft.com/Forums/en-US/sharepointgeneral/thread/fd3bca97-5d75-4a67-87ca-aac7bb5f6352 Das brachte aber zunächst nichts. Eine Mitgliedschaft in der Gruppe "Windows Authorization Access Group" sollte es dann richten. Brachte es aber auch nicht. Eine weitere Suche ergab, dass die Gruppe WAAG nicht die richtige Berechtigung zum Lesen des TGGAU (tokenGroupsGlobalAndUniversal) Attribute der Benutzer und Gruppen hatte. Angeblich kann das passieren, wenn die Domäne ursprünglich mal unter Windows 2000 erstellt wurde, was bei und der Fall. Vermutlich hat irgendein DcPromo da was vergessen... Jedenfalls ist der obige Fehler (bei diesem Server) nun verschwunden. PS. Jetzt weiß ich, warum das Protokoll "Höllenhund" heißt. Eindeutig zu lange... -Zahni bearbeitet 5. Juni 2013 von zahni Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.