Problem mit KERBEROS

Preslinde erstellt 8 Juni 2018 17:55

Hallo Community,

habe ein Problem mit der Umstellung von NTLM auf KERBEROS. Nachdem ich alles fertig konfiguriert habe erhalte ich bei bei Aufrufen der SP-Webseite die Meldung: "Diese Seite wurde leider für sie nicht freigegeben".

Ich habe folgende Konfigurationen für die Umstellung vorgenommen:

1) Überprüfung ob Webanwendungen HOST A Einträge haben = Ja

2) Anwendungspools der Webanwendungen auf Namen überprüft =Ja

3) Im AD einen User für SQLServiceAccount angelegt und diesen am SQL beim SQLServer Configuration Manager unter SQL Server (MSSQLSERVER) hinterlegt =Ja 

4) SPN angelegt für Anwendungspools und MSSQLSVC =Ja

1. setspn -s MSSQLSvc/sql:1433 domäne\svc-sql
2. setspn -s MSSQLSvc/sql.domäne.local:1433 domäne\svc-sql
3. setspn -s HTTP/sharepoint domäne\svc-spapppool
4. setspn -s HTTP/sharepoint.domäne.local domäne\svc-spapppool
6. setspn -s HTTP/mysite domäne\svc-spmyapppool
7. setspn -s HTTP/mysite.domäne.local domäne\svc-spmyapppool

5) Im AD bei diesen Accounts unter Properties/Delegation "Trust this user for Delegation to any Service (KERBEROS only)" ausgewählt

6) IM IIS die Reihenfolge der Provider überprüft = Ja

7) Webanwendungen im SP/Zentraladmin die Authentifizierung auf KERBEROS umgestellt = Ja

8) IIS und SQL-DB Restart durchgeführt = Ja

Leider habe ich trotzdem keinen Zugriff?? Habe auch am SQL mit 

auth_scheme from sys.dm_exec_connections where session_id=

@@spid überprüft, welcher aber NTML zurückgibt? Am DC habe ich mir den EventViewer angesehen und hier bzgl. KERBEROS die Einträge gefunden und auch erfolgreiche Login. Denke es liegt am SQL bzw. an den Accounts? der SQL Service Account ist am SQL in der DB nicht als Login hinterlegt und hat somit auch keine Rechte auf die DB! Braucht er diese, wenn ja wo? Die ApppoolAccounts haben Berechtigungen auf die Webanwendungen (der SQLService Account nicht).

Hoffe ihr habe eine Idee wo hier das Problem liegt?

Danke Preslinde