Oliver82 0 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 (bearbeitet) Guten Tag, Ich bin momentan bei einer Installation eines SharePoint 2013. Ich habe einen SRV01 als DC etc. und einen SRV02 als Exchange, einen SRV03 als TerminalServer und neu einen SRV04 als SharePoint mit SQL2012 Server. Alles funktioniert soweit. Mein Problem ist nun das ich während der Installation von SharePoint die Sicherheitseinstellung für die Webanwendung mit Aushandeln (Kerberos) gewählt habe. Was ja auch sinn machen würde. Nun nach der Installation des SharePoint wollte ich den Dienstprinzipalname für das Zentraladministrator Konto registrieren. Leider funktioniert dies nicht korrekt. Ich bekomme die Meldung: Doppelter SPN gefunden, Vorgang wird abgebrochen. Wenn ich nun aber nach doppelten SPNs suche, werden mir keine Doppelten Einträge angezeigt. Hat jemand Erfahrung mit dieser Thematik? Bin leider nicht ganz so Fit in diesem Thema. Besten Dank. Grüsse aus der Schweiz. bearbeitet 11. März 2015 von Oliver82 Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 Versuchst du evtl. schon einen vorhandenen SPN neu zu vergeben? Bestimmte SPN's (HOST, HTTP,...) werden automatisch festgelegt. Bei SharePoint würde ich empfehlen einen Alias (muss aber ein A Rekord und kein CNAME sein) anlegen und diesen nutzen. Andernfalls funktioniert Powershell Remoting bei der Maschine nicht mehr richtig. Zitieren Link zu diesem Kommentar
Oliver82 0 Geschrieben 11. März 2015 Autor Melden Teilen Geschrieben 11. März 2015 (bearbeitet) Danke für deine Antwort, Ich hab das Problem gefunden. Der SPN Eintrag war schon vorhanden in einem anderen Benutzer. Hab diesen Eintrag gelöscht und konnte somit den neuen Eintrag auf den richtigen Benutzer Registrieren. Nur ist jetzt das Problem das ich mich nicht an der SharePoint Zentraladministration anmelden kann! Egal mit welchen User ich es versuche, die Anmeldung funktioniert nicht. Dass heisst es erscheint kein Fehler oder so, sondern das Anmeldefenster wird einfach wieder aufgerufen. Als ob die Anmelde Daten falsch wären!?!? In der Ereignisanzeige bekomme ich folgenden Fehler: Quelle: Security-Kerberos Ereignis-ID: 4 Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "spfarm" empfangen. Der verwendete Zielname war HTTP/SRV04.mydomain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (mydomain.LOCAL) von der Clientdomäne (mydomain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Hast du da eine Idee? Danke. bearbeitet 11. März 2015 von Oliver82 Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 Hier gibt es eine Anleitung zum Thema: http://blog.blksthl.com/2012/09/26/the-first-kerberos-guide-for-sharepoint-2013-technicians/ Kerberos ist leider nicht ganz einfach. Die Entwickler dieses Protokolls haben meiner Meinung nach zu lange unter der Sonne gelegen ;) Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 Nutzt du Kerberos auch für die CA (Central Administration)? Funktioniert Kerberos mit SharePoint? Kannst du ohne Kerberos versuchen auf die CA zu kommen? Zitieren Link zu diesem Kommentar
daabm 1.334 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 Zahni, Kerberos ist "eigentlich" ganz einfach :) https://technet.microsoft.com/library/cc772815.aspx BTT: Oben stand was von "SPN auf Benutzer registriert". Wieso registrierst Du SPNs auf Benutzer? Und wieso "spfarm", aber "SRV04"? Der Zielname muß zum SPN passen. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 Der SPN muss schon beim User des APP-Pools registriert werden, für den Realm HTTP/ ;) Der Höllenhund ist doch nicht ganz einfach zu bändigen ;) Lustich wird es, wenn man mal die Windows-Welt verlässt. Websphere bzw Java hat da wieder so seine Eigenheiten. Zitieren Link zu diesem Kommentar
Oliver82 0 Geschrieben 11. März 2015 Autor Melden Teilen Geschrieben 11. März 2015 Danke für eure Kommentare, Daabm, Gemäss einer Anleitung, muss ich nach der Installation eines SharePoint 2013 den Prinzipalname des Datenbankzugriffskonto registrieren. Weil "spfarm" mein SharePoint Datenbankzugriffskonto ist, gebe ich dies bei der Registrierung an. SRV04 ist der SharePoint Server inkl. SQL 2013 Datenbank. Mein DomainController ist der "SRV01". Was mach ich falsch? Zitieren Link zu diesem Kommentar
daabm 1.334 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 ...mangels irgendwelcher Erfahrungen mit Sharepoint muß ich jetzt leider passen... Zitieren Link zu diesem Kommentar
Oliver82 0 Geschrieben 11. März 2015 Autor Melden Teilen Geschrieben 11. März 2015 Trotzdem Danke. Ich such weiter... Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 11. März 2015 Melden Teilen Geschrieben 11. März 2015 Danke für eure Kommentare, Daabm, Gemäss einer Anleitung, muss ich nach der Installation eines SharePoint 2013 den Prinzipalname des Datenbankzugriffskonto registrieren. Weil "spfarm" mein SharePoint Datenbankzugriffskonto ist, gebe ich dies bei der Registrierung an. SRV04 ist der SharePoint Server inkl. SQL 2013 Datenbank. Mein DomainController ist der "SRV01". Was mach ich falsch? Wie hast du SharePoint konfiguriert? Welches ist der Farm Account? Welches der Webapp Account? Welches der Serviceapp Account? Ich würde immer den SQL Server auf einen anderen Server installieren. Nutzt du Kerberos für CA und SharePoint Seiten oder nur ersteres oder nur letzteres? Hast du einen Alias für SharePoint oder nutzt du SRV04? Welche Anleitung benutzt du denn? Zitieren Link zu diesem Kommentar
Oliver82 0 Geschrieben 12. März 2015 Autor Melden Teilen Geschrieben 12. März 2015 Hallo Dukel, Zur Info: Ich bin neu im SharePoint und SQL Bereich. Mein Ziel ist es den SharePoint in dieser Umgebung zu testen und Erfahrungen zu sammeln. Es werden ca 3 User mit diesem SharePoint arbeiten. (Testweise) Zur Installation: Folgende User habe ich im ActiveDirectory (SRV01) erstellt. - sqlinstall für die Installation des SQL Servers.(Domänen-Benutzer und Mitglied der Lokalen Administratoren des SRV04) - sqluser SQL Dienstkonto.(Domänen-Benutzer und Mitglied der Lokalen Administratoren des SRV04) - spinstall für die Installation des SharePoint 2013. (Domänen-Benutzer und Mitglied der Lokalen Administratoren des SRV04) - spfarm Datenbankzugriffskonto SharePoint. (Domänen-Benutzer und Mitglied der Lokalen Administratoren des SRV04) Ich glaub ich nutze für den SharePoint Kerberos. Denn bei der Installation des SharePoint konnte ich die bei der Konfiguration des Assistenten auswählen. (Sicherheiseinstellungen konfigurieren) Da kam dann auch der Hinweis das dies noch konfiguriert werden muss. Gemäss Anleitung habe ich dies dann auch so gemacht. (In Powershell -> Als Administrator ausführen. "setspn -a http:/SRV04 myDomain\spfarm") Somit habe ich auch noch keinen Alias. Ich bin nach der Anleitung von Video2Brain vorgegangen. Benutzer Anmeldungseigenschaften SQL Datenbank: myDomain\spfarm -> dbcreator, public und securityadmin myDomain\spinstall -> public und securityadmin myDomain\sqlinstall -> public und securityadmin Hoffe das man dass versteht was ich hier schreibe. Besten Danke, für deine/eure mühe! Sonnige Grüsse aus der Schweiz. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 12. März 2015 Melden Teilen Geschrieben 12. März 2015 Leider kenne ich die Anleitung nicht und über ein Forum ist dieses Problem nicht so einfach zu klären. Ich würde einen Dienstleister beauftragen, der sich das ganze anschaut. Mit dem Assistenten hast du den Configuration Wizard gemeint und nicht die SharePoint Seite? Kannst du ohne Kerberos auf den SharePoint zugreifen? Wenn es sowieso eine Testumgebung ist würde ich diese evtl. neu installieren. Dabei würde ich (neben anderen Punkten) bei dem Configuration Wizard kein Kerberos auswählen. Dies ist die Konfiguration für die Zentral Administration. Für SharePoint selbst kann man dann Kerberos nutzen. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 12. März 2015 Melden Teilen Geschrieben 12. März 2015 ich würde mich bei der Installation an die Doku im TechNet halten. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 12. März 2015 Melden Teilen Geschrieben 12. März 2015 ich würde mich bei der Installation an die Doku im TechNet halten. Wobei diese diverse Wizards empfiehlt. Zum ausprobieren ist das ok, aber für eine Produktive Umgebung würde ich keinen der SharePoint Wizards nutzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.