Bonjour
j'essaie de mettre en place Kerberos sur mon domaine de test, et je me sers
des indications du blog de ton Stegeman (MVP). J'en suis à l'étape 1 -
Preparing the AD for Kerberos. J'ai fait le setSPN pour le SQLservice, avec
le FQDN et le nom Netbios. J'ai ensuite dû faire un "raise the domain
functional level" à Windows Server 2003, afin d'avoir l'onglet Delegation
dans les propriétés du compte SQLservice dans Active Directory. Maintenant,
quand je clique sur "Trust this user for delegation to any service (Kerberos
only)", je reçois un message d'erreur "Active directory: Access denied",
alors que je suis administrateur du domaine.
J'ai beau écarquiller les yeux, je ne vois pas ce que j'ai loupé.
Elpe, comme disent nos amis anglo-saxons.
Pierrot
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
TG2K
Bonjour,
On 19 oct, 10:28, "pher" wrote:
j'essaie de mettre en place Kerberos sur mon domaine de test, et je me se rs des indications du blog de ton Stegeman (MVP). J'en suis à l'étape 1 - Preparing the AD for Kerberos. J'ai fait le setSPN pour le SQLservice, av ec le FQDN et le nom Netbios. J'ai ensuite dû faire un "raise the domain functional level" à Windows Server 2003, afin d'avoir l'onglet Delegati on dans les propriétés du compte SQLservice dans Active Directory. Maint enant, quand je clique sur "Trust this user for delegation to any service (Kerbe ros only)", je reçois un message d'erreur "Active directory: Access denied", alors que je suis administrateur du domaine. J'ai beau écarquiller les yeux, je ne vois pas ce que j'ai loupé.
La problématique de droits que vous exposez est plus probablement un problème AD que Sharepoint. Concernant Kerberos, quelques vérifications de base: - sur quelle identité avez-vous effectué le SetSPN ? le compte machine, ou le compte AD utilisé pour l'identité de SQL ? - vérifiez la présence des SPN en tapant: "setspn -L <domainecompte> " cela listera les SPN - il faut aussi (mais cela ne joue pas sur votre problème) créer les SPN pour l'identité du pool d'application utilisé par la webapp que vous passez en Kerberos, là encore avec le nom NetBIOS et le FQDN (attention à la syntaxe, pas de "http://" mais bien "http/": setspn -A http/monserveur:80 mondomainemoncompte puis setspn -A http/ monserveur.mondomaine.monTLD mondomainemoncompte
Au sujet de l'onglet "Delegation" maintenant, sur le compte AD: il n'apparaît que si: - le DOMAINE (pas forcément la forêt) est bien en mode natif W2K3 - le compte concerné a un ou plusieurs SPN définis (SPN à définir a vec un compte ayant le privilège dans l'AD, admin étant suffisant :-) )
Cdlt, -- TG2K
Bonjour,
On 19 oct, 10:28, "pher" <pierrot.herit...@unifr.ch> wrote:
j'essaie de mettre en place Kerberos sur mon domaine de test, et je me se rs
des indications du blog de ton Stegeman (MVP). J'en suis à l'étape 1 -
Preparing the AD for Kerberos. J'ai fait le setSPN pour le SQLservice, av ec
le FQDN et le nom Netbios. J'ai ensuite dû faire un "raise the domain
functional level" à Windows Server 2003, afin d'avoir l'onglet Delegati on
dans les propriétés du compte SQLservice dans Active Directory. Maint enant,
quand je clique sur "Trust this user for delegation to any service (Kerbe ros
only)", je reçois un message d'erreur "Active directory: Access denied",
alors que je suis administrateur du domaine.
J'ai beau écarquiller les yeux, je ne vois pas ce que j'ai loupé.
La problématique de droits que vous exposez est plus probablement un
problème AD que Sharepoint.
Concernant Kerberos, quelques vérifications de base:
- sur quelle identité avez-vous effectué le SetSPN ? le compte
machine, ou le compte AD utilisé pour l'identité de SQL ?
- vérifiez la présence des SPN en tapant: "setspn -L <domainecompte>
" cela listera les SPN
- il faut aussi (mais cela ne joue pas sur votre problème) créer les
SPN pour l'identité du pool d'application utilisé par la webapp que
vous passez en Kerberos, là encore avec le nom NetBIOS et le FQDN
(attention à la syntaxe, pas de "http://" mais bien "http/": setspn -A
http/monserveur:80 mondomainemoncompte puis setspn -A http/
monserveur.mondomaine.monTLD mondomainemoncompte
Au sujet de l'onglet "Delegation" maintenant, sur le compte AD: il
n'apparaît que si:
- le DOMAINE (pas forcément la forêt) est bien en mode natif W2K3
- le compte concerné a un ou plusieurs SPN définis (SPN à définir a vec
un compte ayant le privilège dans l'AD, admin étant suffisant :-) )
j'essaie de mettre en place Kerberos sur mon domaine de test, et je me se rs des indications du blog de ton Stegeman (MVP). J'en suis à l'étape 1 - Preparing the AD for Kerberos. J'ai fait le setSPN pour le SQLservice, av ec le FQDN et le nom Netbios. J'ai ensuite dû faire un "raise the domain functional level" à Windows Server 2003, afin d'avoir l'onglet Delegati on dans les propriétés du compte SQLservice dans Active Directory. Maint enant, quand je clique sur "Trust this user for delegation to any service (Kerbe ros only)", je reçois un message d'erreur "Active directory: Access denied", alors que je suis administrateur du domaine. J'ai beau écarquiller les yeux, je ne vois pas ce que j'ai loupé.
La problématique de droits que vous exposez est plus probablement un problème AD que Sharepoint. Concernant Kerberos, quelques vérifications de base: - sur quelle identité avez-vous effectué le SetSPN ? le compte machine, ou le compte AD utilisé pour l'identité de SQL ? - vérifiez la présence des SPN en tapant: "setspn -L <domainecompte> " cela listera les SPN - il faut aussi (mais cela ne joue pas sur votre problème) créer les SPN pour l'identité du pool d'application utilisé par la webapp que vous passez en Kerberos, là encore avec le nom NetBIOS et le FQDN (attention à la syntaxe, pas de "http://" mais bien "http/": setspn -A http/monserveur:80 mondomainemoncompte puis setspn -A http/ monserveur.mondomaine.monTLD mondomainemoncompte
Au sujet de l'onglet "Delegation" maintenant, sur le compte AD: il n'apparaît que si: - le DOMAINE (pas forcément la forêt) est bien en mode natif W2K3 - le compte concerné a un ou plusieurs SPN définis (SPN à définir a vec un compte ayant le privilège dans l'AD, admin étant suffisant :-) )