sp_mcse 0 Geschrieben 29. Juli 2015 Melden Teilen Geschrieben 29. Juli 2015 Hallo, ich bekomme auf meinem Windows 7-Client folgende Fehlermeldung: "Cannot generate SSPI context" Jetzt habe ich mich schon ein wenig schlau gemacht, aber die Ursache noch nicht ganz bestimmen können. Vor allem deshalb nicht, da der Fehler erst nach einer gewissen Zeit auftritt. Aufbau: Client: Windows 7 64bit SP1 Server: Windows Server 2012 Essentials R2 (Auch der zentrale Domänen Controller und einzige Server) Ablauf: Windows (Client) wird gestartet -> erfolgreiche Anmeldung am Server/Domäne. Lokales Programm mit Verbindung zu einer Microsoft SQL-Datenbank (2008) (auf dem Server) wird gestartet und benutzt. Die Authentifizierung bei dem SQL-Server erfolgt über das Windows/Domänen-Konto. Nach einer gewissen Zeit muss anscheinend die Verbindung erneut bestätigt werden (Kerberos -> neuer Token)(?) und hier crasht es dann. Ich kann anschliessend nicht mehr mit dem SQL-Server kommunizieren. Den Windowsserver kann ich aber weiterhin ansprechen (ping, nslookup, nfs). Die meisten Ansätze zur Lösung des Problems gehen davon aus, dass man von Anfang an den SSPI-Fehler bekommt. Bei mir geschieht dies aber erst nach einer gewissen Zeit, in der ich eine funktionierende Verbindung habe. Daher vermute ich, dass es auch an der Systemzeit des Clients und des Servers liegen kann. Das Thema ist aber noch neu für mich, daher wäre ich für Lösungsansätze sehr dankbar. Wenn ihr mehr Informationen benötigt, einfach schreiben welche das sind. Vielen Dank! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 29. Juli 2015 Melden Teilen Geschrieben 29. Juli 2015 Die Üblichen Verdächtigen sind auch hier wie immer die Einstellungen der LAN-Karten am Server und Client. IP, Subnetz, Gateway, DNS Poste mal ipconfig /all von dem Server und Client An Zweiter Stelle steht AVV, welcher ist jeweils drauf, Ausnahmen eingerichtet? ;) Zitieren Link zu diesem Kommentar
sp_mcse 0 Geschrieben 30. Juli 2015 Autor Melden Teilen Geschrieben 30. Juli 2015 (bearbeitet) Erst einmal die Einstellungen: IPCONFIG Server: C:\Users\lugert>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : server Prim‰res DNS-Suffix . . . . . . . : lugert.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : lugert.local PPP-Adapter RAS (Dial In) Interface: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : RAS (Dial In) Interface Physische Adresse . . . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.0.52(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : NetBIOS ¸ber TCP/IP . . . . . . . : Aktiviert Ethernet-Adapter Slot01 x8 Port 2: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 PT-Dualanschluss-Serveradapter #2 Physische Adresse . . . . . . . . : 00-15-17-29-1D-29 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Ethernet-Adapter Slot01 x8 Port 1: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 PT-Dualanschluss-Serveradapter Physische Adresse . . . . . . . . : 00-15-17-29-1D-28 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2003:6:cd:7747:943c:c0d1:9478:45c1(Bevorzugt) IPv6-Adresse. . . . . . . . . . . : 2003:6:cd:7795:943c:c0d1:9478:45c1(Verworfen) IPv6-Adresse. . . . . . . . . . . : 2003:57:e43d:5410:943c:c0d1:9478:45c1(Verworfen) IPv6-Adresse. . . . . . . . . . . : 2003:57:e43d:5467:943c:c0d1:9478:45c1(Verworfen) IPv6-Adresse. . . . . . . . . . . : 2003:57:e43d:5470:943c:c0d1:9478:45c1(Verworfen) IPv6-Adresse. . . . . . . . . . . : 2003:57:e45e:e733:943c:c0d1:9478:45c1(Verworfen) Verbindungslokale IPv6-Adresse . : fe80::943c:c0d1:9478:45c1%12(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.0.50(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : fe80::1%12 192.168.0.1 DHCPv6-IAID . . . . . . . . . . . : 301995287 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-6B-D7-BF-00-15-17-29-1D-28 DNS-Server . . . . . . . . . . . : ::1 192.168.0.50 NetBIOS ¸ber TCP/IP . . . . . . . : Aktiviert Tunneladapter isatap.{BACF65AC-DE5C-476A-838B-12DA2D6D6836}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter isatap.{B9501875-0DD2-4BF8-8AB6-B82951634C2F}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter isatap.{6E06F030-7526-11D2-BAF4-00600815A4BD}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter 6TO4 Adapter: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter IPHTTPSInterface: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : IPHTTPSInterface Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2003:57:e457:1000::1(Bevorzugt) IPv6-Adresse. . . . . . . . . . . : 2003:57:e457:1000::2(Bevorzugt) IPv6-Adresse. . . . . . . . . . . : 2003:57:e457:1000:ccb4:b0cf:8902:8596(Bevorzugt) Verbindungslokale IPv6-Adresse . : fe80::ccb4:b0cf:8902:8596%19(Bevorzugt) Standardgateway . . . . . . . . . : DHCPv6-IAID . . . . . . . . . . . : 620756992 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-6B-D7-BF-00-15-17-29-1D-28 NetBIOS ¸ber TCP/IP . . . . . . . : Deaktiviert IPCONFIG Client: C:\Users\lugert_client>ipconfig /all Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : Client-PC Prim‰res DNS-Suffix . . . . . . . : LUGERT.local Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : LUGERT.local speedport.ip Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: speedport.ip Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller Physikalische Adresse . . . . . . : 44-8A-5B-23-F9-27 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2003:6:cd:7747:29ca:1d38:5be0:a97e(Bevorz ugt) Tempor‰re IPv6-Adresse. . . . . . : 2003:6:cd:7747:6913:67bc:c294:b818(Bevorz ugt) Verbindungslokale IPv6-Adresse . : fe80::29ca:1d38:5be0:a97e%11(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.0.114(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Lease erhalten. . . . . . . . . . : Donnerstag, 30. Juli 2015 08:37:47 Lease l‰uft ab. . . . . . . . . . : Donnerstag, 20. August 2015 08:37:47 Standardgateway . . . . . . . . . : fe80::1%11 192.168.0.1 DHCP-Server . . . . . . . . . . . : 192.168.0.1 DHCPv6-IAID . . . . . . . . . . . : 239372891 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1B-11-22-CC-44-8A-5B-23-F9-27 DNS-Server . . . . . . . . . . . : fe80::1%11 192.168.0.50 NetBIOS ¸ber TCP/IP . . . . . . . : Aktiviert Tunneladapter Teredo Tunneling Pseudo-Interface: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2001:0:509c:564e:100f:4af:3f57:ff8d(Bevor zugt) Verbindungslokale IPv6-Adresse . : fe80::100f:4af:3f57:ff8d%12(Bevorzugt) Standardgateway . . . . . . . . . : NetBIOS ¸ber TCP/IP . . . . . . . : Deaktiviert Tunneladapter isatap.speedport.ip: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: speedport.ip Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Wofür genau steht die Abkürzung AVV? Vielen Dank! bearbeitet 30. Juli 2015 von sp_mcse Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Moin, da sehe ich auf Anhieb ein paar Sachen die nicht passen - bin gerade unterwegs, antworte später noch mal. :cool: Zitieren Link zu diesem Kommentar
sp_mcse 0 Geschrieben 30. Juli 2015 Autor Melden Teilen Geschrieben 30. Juli 2015 Super, ich will dich aber nicht von deiner Arbeit abhalten ;). Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Im Server sind 2 NICs aktiv, bei einem DC ganz schlecht. Die nicht benötigte NIC am besten im Gerätemanager deaktivieren. Was ist das für ein Standardgateway? Eine Fritzbox oder ein Telekom Router? Zitieren Link zu diesem Kommentar
sp_mcse 0 Geschrieben 30. Juli 2015 Autor Melden Teilen Geschrieben 30. Juli 2015 Das Standardgateway ist ein Telekom-Router. Den NIC werde ich gleich mal deaktivieren. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Moin, der Client hat den Router auch als IPv6 DNS Server bekommen. Das ist nicht gut; Clients sollten nur Domain Controller als DNS Server nutzen. Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Das Standardgateway ist ein Telekom-Router. Den NIC werde ich gleich mal deaktivieren. Welches Gerät genau ist das? Kannst Du in dem Router IPV6 abschalten? Bitte nur im Router, nicht im Server abschalten! Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Moin, also, fangen wir mal oben an. 1. wozu ist der PPP-Adapter gut, hast du Routing / RAS eingerichtet und nutzt das auch, ggf, VPN-Dial-In? 2. woher kommen die festen IPv6 Einträge, hast du eine zugewiesene IPv6 Range? 3. auf dem Server ist das 1te Gateway eine Stateless IPv6, raus damit. 4. der primäre DNS am Server ist ein IPv6, ::1 entspricht 172,0.0.1 - localhost. entweder auf die IPv6 vom Server ändern und an die 2te Stelle schieben 5. DNS Suffix am Client - den speedport raus, wie du am Client siehst, ist das der primare Suffix, ganz schlecht. 6. Standard Gateway beim Client wie Server - raus (in dem Fall beim DHCP-Server ändern) 7. DNS-Server am Client - da gehört nur die IP des Servers rein. Auf die schnelle... ;) Zitieren Link zu diesem Kommentar
sp_mcse 0 Geschrieben 30. Juli 2015 Autor Melden Teilen Geschrieben 30. Juli 2015 (bearbeitet) 1. Ja ich nutze ein VPN 2. Vom Router. Ist aber nicht aktiviert @Sunny61. Daher kommt mir das etwas seltsam vor. 3. Über netsh gibt es unter IPv6 keinen Eintrag für Gateways. Und unter den angezeigten Routen sehe ich das nicht. 4. Ich habe gesehen, dass mir beim DNS ein Eintrag + Zeiger für IPv6 gefehlt haben. Den habe ich gerade angelegt. DNS am Server habe ich auf die Server-IP gestellt. 5. Ok, da bin ich mir nicht sicher wie ich das mache. 6. Der DHCP läuft auf dem Speedport und dessen Einstellungsmöglichkeiten sind leider sehr beschränkt. BTW kommt der Client/ Server ohne Standard-Gateway klar? 7. Also die IPv4 ist die vom Server, die IPv6 habe ich eben eingestellt. bearbeitet 30. Juli 2015 von sp_mcse Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Nimm den DHCP vom Windows Server, den kannst Du viel besser und feiner konfigurieren. In einer Windows Domain sollte immer ein Windows Server auch DHCP spielen. Ein Speedport ist etwas für eine Heimumgebung, in einer Windows Domain hat IMHO ein Speedport nichts verloren. Zitieren Link zu diesem Kommentar
sp_mcse 0 Geschrieben 30. Juli 2015 Autor Melden Teilen Geschrieben 30. Juli 2015 (bearbeitet) Nimm den DHCP vom Windows Server, den kannst Du viel besser und feiner konfigurieren. In einer Windows Domain sollte immer ein Windows Server auch DHCP spielen. Ein Speedport ist etwas für eine Heimumgebung, in einer Windows Domain hat IMHO ein Speedport nichts verloren. DHCP im Router ist nun aus. DHCP auf dem Server läuft für IPv4. Edit: Das gute (oder schlechte) ist, dass ich den SSPI-Fehler jetzt sofort bekomme. Daher werde ich nebenbei mal schauen, ob eine der Lösungsvorschläge von MS funktioniert. bearbeitet 30. Juli 2015 von sp_mcse Zitieren Link zu diesem Kommentar
Nobbyaushb 1.487 Geschrieben 30. Juli 2015 Melden Teilen Geschrieben 30. Juli 2015 Die Pos. 5 von mir erledigt sich von selber, wenn der Windows-Server jetzt den DHCP macht. Wenn du bei IPv6 nicht sicher bist, nirgends eine feste IPv6 Adresse eintragen, dann bist du im Stateless-Mode (der OK ist). Wichtig ist dann, das auch kein DHCP - also weder Windows noch Speedport ein IPv6 Adresse vergibt. ;) Zitieren Link zu diesem Kommentar
sp_mcse 0 Geschrieben 30. Juli 2015 Autor Melden Teilen Geschrieben 30. Juli 2015 Also das Netzwerk läuft anscheinend stabil, auch mit neuem DHCP. Ich konnte den Fehler für den SSPI allerdings noch nicht lokalisieren. Was mir nicht ganz klar ist: Das lokale Systemkonto startet den Dienst (MSSQL). Ich wollte jetzt die SPNs für den Container abfragen, aber weiß nicht welchen Namen ich eintragen soll. setspn -L NAME Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.