MOSS 2007 + Kerberos

Le
David Campillo
Bonjour à tous,

J'ai configuré ma Farm pour Kerberos. A première vue tout fonctionne
correctement (Excel Services, etc). Dans l'event viewer (serveur et client),
j'ai de temps en temps une erreur de type KRB_AP_ERR_MODIFIED. J'ai aussi
remarqué dans les logs IIS, que les reqêtes ont l'air d'être faite à double
(Kerberos => NTLM). Quasiment une requête sur deux, génère une erreur 401.2.
Mais au niveau du browser aucune erreur 40x.x ?

un exemple :

2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 - 149.133.38.102 HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 401 2 2148074254
1918 663
2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 mondomainemonuser
149.133.38.102 HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 200 0 0 62653 7598

Merci d'avance,

David C.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Lognoul, Marc \(Private\)
Le #16954291
Bonjour,

Les deux requêtes sont normale dès que le le site SharePoint requiert de
authentification (ntlm ou kerberos). LA premier requête est anonyme et la
seconde est authentifié
En réponse à la première requête, les serveur renvoie au client le type
d'authentification qu'il attends (ou "supporte"): Windows basic,
certificat...
Dans votre cas, le réponse retournée par le serveur indique un problème de
configuration dans la sécurité IIS (erreur 401.2, voir
http://support.microsoft.com/kb/253667/fr). Il est probable que soit aucun
type d'authentification ne soit sélectionné soit IWA soit sélectionner mais
le setting NTAuthenticationProviders contient une valeur non supportée.

LE message KRB_AP_ERR_MODIFIED signifie que le checksum calculé pour la
vérification du message kerberos ne correspond pas à ce message -> Risque de
corruption ou de modification malicieuse. Dans la pratique, il arrive que ce
type d'erreur soit également générée par: des service principal names mal
configurés, des machine clonée à l'aide de sysprep mais en utilisant
l'option nosidgen ou encore, un problème lorsque la machine a été jointe au
domaine.

Marc

"David Campillo" news:
Bonjour à tous,

J'ai configuré ma Farm pour Kerberos. A première vue tout fonctionne
correctement (Excel Services, etc). Dans l'event viewer (serveur et
client),
j'ai de temps en temps une erreur de type KRB_AP_ERR_MODIFIED. J'ai aussi
remarqué dans les logs IIS, que les reqêtes ont l'air d'être faite à
double
(Kerberos => NTLM). Quasiment une requête sur deux, génère une erreur
401.2.
Mais au niveau du browser aucune erreur 40x.x ?

un exemple :

2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 - 149.133.38.102
HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 401 2 2148074254
1918 663
2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 mondomainemonuser
149.133.38.102 HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 200 0 0 62653
7598

Merci d'avance,

David C.




Lognoul, Marc \(Private\)
Le #16954281
Gloups, j'ai été trop vite.
Pour terminer sur KRB_AP_ERR_MODIFIED , cela peut également provenir du
fait que deux comptes AD (ordinateur et/ou utilisateur) possèdent exactement
le ou les même service principal name, ce qui n'est pas toléré par kerberos
(ceux-ci devant être uniques). Le message d'erreur dans l'vent log devrait
refléter le SPN fautif, normalement.

Marc

"Lognoul, Marc (Private)" news:
Bonjour,

Les deux requêtes sont normale dès que le le site SharePoint requiert de
authentification (ntlm ou kerberos). LA premier requête est anonyme et la
seconde est authentifié
En réponse à la première requête, les serveur renvoie au client le type
d'authentification qu'il attends (ou "supporte"): Windows basic,
certificat...
Dans votre cas, le réponse retournée par le serveur indique un problème de
configuration dans la sécurité IIS (erreur 401.2, voir
http://support.microsoft.com/kb/253667/fr). Il est probable que soit aucun
type d'authentification ne soit sélectionné soit IWA soit sélectionner
mais le setting NTAuthenticationProviders contient une valeur non
supportée.

LE message KRB_AP_ERR_MODIFIED signifie que le checksum calculé pour la
vérification du message kerberos ne correspond pas à ce message -> Risque
de corruption ou de modification malicieuse. Dans la pratique, il arrive
que ce type d'erreur soit également générée par: des service principal
names mal configurés, des machine clonée à l'aide de sysprep mais en
utilisant l'option nosidgen ou encore, un problème lorsque la machine a
été jointe au domaine.

Marc

"David Campillo" message news:
Bonjour à tous,

J'ai configuré ma Farm pour Kerberos. A première vue tout fonctionne
correctement (Excel Services, etc). Dans l'event viewer (serveur et
client),
j'ai de temps en temps une erreur de type KRB_AP_ERR_MODIFIED. J'ai aussi
remarqué dans les logs IIS, que les reqêtes ont l'air d'être faite à
double
(Kerberos => NTLM). Quasiment une requête sur deux, génère une erreur
401.2.
Mais au niveau du browser aucune erreur 40x.x ?

un exemple :

2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 - 149.133.38.102
HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 401 2
2148074254
1918 663
2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 mondomainemonuser
149.133.38.102 HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 200 0 0 62653
7598

Merci d'avance,

David C.






Lognoul, Marc \(Private\)
Le #16954271
Gloups, j'ai été trop vite.
Pour terminer sur KRB_AP_ERR_MODIFIED , cela peut également provenir du
fait que deux comptes AD (ordinateur et/ou utilisateur) possèdent exactement
le ou les même service principal name, ce qui n'est pas toléré par kerberos
(ceux-ci devant être uniques). Le message d'erreur dans l'vent log devrait
refléter le SPN fautif, normalement.

Marc

"Lognoul, Marc (Private)" news:
Bonjour,

Les deux requêtes sont normale dès que le le site SharePoint requiert de
authentification (ntlm ou kerberos). LA premier requête est anonyme et la
seconde est authentifié
En réponse à la première requête, les serveur renvoie au client le type
d'authentification qu'il attends (ou "supporte"): Windows basic,
certificat...
Dans votre cas, le réponse retournée par le serveur indique un problème de
configuration dans la sécurité IIS (erreur 401.2, voir
http://support.microsoft.com/kb/253667/fr). Il est probable que soit aucun
type d'authentification ne soit sélectionné soit IWA soit sélectionner
mais le setting NTAuthenticationProviders contient une valeur non
supportée.

LE message KRB_AP_ERR_MODIFIED signifie que le checksum calculé pour la
vérification du message kerberos ne correspond pas à ce message -> Risque
de corruption ou de modification malicieuse. Dans la pratique, il arrive
que ce type d'erreur soit également générée par: des service principal
names mal configurés, des machine clonée à l'aide de sysprep mais en
utilisant l'option nosidgen ou encore, un problème lorsque la machine a
été jointe au domaine.

Marc

"David Campillo" message news:
Bonjour à tous,

J'ai configuré ma Farm pour Kerberos. A première vue tout fonctionne
correctement (Excel Services, etc). Dans l'event viewer (serveur et
client),
j'ai de temps en temps une erreur de type KRB_AP_ERR_MODIFIED. J'ai aussi
remarqué dans les logs IIS, que les reqêtes ont l'air d'être faite à
double
(Kerberos => NTLM). Quasiment une requête sur deux, génère une erreur
401.2.
Mais au niveau du browser aucune erreur 40x.x ?

un exemple :

2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 - 149.133.38.102
HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 401 2
2148074254
1918 663
2008-04-29 09:45:10 W3SVC1489598658 149.133.37.150 GET
/sites/bi/ReportsLibrary/RCBAS_Logistics.aspx - 80 mondomainemonuser
149.133.38.102 HTTP/1.1
Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727;+.NET+CLR+1.1.4322;+InfoPath.2)
http://swatch.swatchgroup.net/sites/bi/Pages/default.aspx 200 0 0 62653
7598

Merci d'avance,

David C.






Publicité
Poster une réponse
Anonyme