Zugriff auf Suchdienstanwendung in Zentraladministration wird verweigert

Flo Mue Als Antwort am 8 Feb. 2012 12:46

Schau mal nach wie es mit den entsprechenden Diensten aussieht

Info Broker Als Antwort am 8 Feb. 2012 13:19

Also in der Zentraladministration unter Sicherheit > Dienstkonten konfigurieren ist bei der Server Suche der Netzwerkdienst als Konto hinterlegt. Kann ich das einfach ändern? Muss ich das evt. im IIS machen?

Andi Fandrich Als Antwort am 8 Feb. 2012 14:15

Du solltest das ausschließlich über den genannten Punkt der Zentraladministration ändern, weil dabei auch gleich dafür gesorgt wird, daß die berechtigungen passen.

Ich bezweifle allerdings, daß es Dein eigentliches Problem löst (zu dem ich aber sonst keine Idee habe).

Info Broker Als Antwort am 10 Feb. 2012 17:52

Hallo,

inzwischen habe ich wieder Zugriff auf die Suchdienstanwendung. Eine entsprechende Kontoeinstellung hat es wohl gebracht.

Jetzt stehe ich allerdings vor dem Problem, dass meine SSL FBA Seite vom Crawler wegen Zugriffsberechtigungen nicht indexiert wird. Die Seite ist derzeit nur noch über SQL FBA Authentifizierung erreichbar. Ich wollte eine Durchforstungsregel anlegen. Allerdings wird mir der Zugriff beim anlegen der Regel auf die Seite verweigert. Die genaue Meldung lautet:

Zugriff verweigert. Vergewissern Sie sich, dass das Standardkonto für den Inhaltszugriff Zugriff auf dieses Repository hat, oder fügen Sie eine Durchforstungsregel zum Durchforsten dieses Repositorys hinzu. Wenn es sich bei dem zu durchforstenden Repository um ein SharePoint-Repository handelt, vergewissern Sie sich, dass das verwendete Konto über die Berechtigung "Alles lesen" für die durchforstete SharePoint-Webanwendung verfügt.

Jemand eine Idee, wie ich das machen muss?

Andi Fandrich Als Antwort am 11 Feb. 2012 14:11

Habt Ihr ein gültiges Zertifikat für die Adresse? Kann man im Browser an der roten bzw. grünen Adresszeile erkennen.

Ansonsten könnte es noch der LoopbackCheck sein. Google mal nach DisableLoopbackCheck.

Info Broker Als Antwort am 13 Feb. 2012 09:24

Hi,

Zertifikat ist gültig. Wurde neu erstellt und ist auch sauber im IIS hinterlegt. Zugriff über https über Browser klappt ohne Probleme bzw. ohne Fehlermeldungen das ein ungültiges Zertifikat vorliegt. Ich denke das kann ich ausschließen.

Folgenden Fehler würde ich gerne beheben:

"Zugriff verweigert. Vergewissern Sie sich, dass das Standardkonto für den Inhaltszugriff Zugriff auf dieses Repository hat"

Problem: Das Standardkonto für den Inhaltszugriff ist ein lokales Windows Konto des Server. Meine Webanwendung unterstützt aber keine Windows Authentifizierung mehr, da ich NTLM abgestellt habe und nur noch ein Zugriff über Form-based SQL Auth möglich ist.

Könnte man ein zweites Konto für den Inhaltszugriff konfigurieren oder welche Möglichkeiten habe ich?

Info Broker Als Antwort am 13 Feb. 2012 09:54

Also der Fehler des Crawlers liegt definitiv daran, dass mein Standarkonto kein Zugrif auf die Webanwednung hat. Jetzt kann man ja eine neue Durchforstungsregel anlegen. Allerdings sagt mir die Zentraladministration, dass Durchforstungsregeln für eine Webanwednung deaktiviert werden, wenn NTLM Auth deaktiviert ist.

Jetzt scheitere ich daran, dass ich nicht weiss, wie man ein Konto angibt, dass in einer SQL Datenbank liegt?

Kannmir hierzu jemand einen Tipp geben?

Danke shon mal!

Andi Fandrich Als Antwort am 13 Feb. 2012 16:51

Offenbar kann sich der Crawler nicht über SQL authentifizieren. Die einzige Möglichkeit wäre dann wohl, die Webanwendung auch über NTLM zugänglich zu machen. Evtl. über eine andere, von außen nicht zugängliche URL.

Info Broker Als Antwort am 17 Feb. 2012 14:06

[quote user="Andi Fandrich"]

Offenbar kann sich der Crawler nicht über SQL authentifizieren. Die einzige Möglichkeit wäre dann wohl, die Webanwendung auch über NTLM zugänglich zu machen. Evtl. über eine andere, von außen nicht zugängliche URL.

[/quote]

Ja, das wird wohl nicht anders funktionieren. Wenn ich jetzt NTLM wieder aktiviere erscheint in der Anmeldemaske ja ein Dialog zum auswählen der Authentifizierung. Gibt es trotzdem eine Möglichket, dass in der Anmeldemaske nur auf FAB zu beschränken?

Andi Fandrich Als Antwort am 17 Feb. 2012 16:38

[quote user="Andi Fandrich"]Evtl. über eine andere, von außen nicht zugängliche URL[/quote]

Wie gesagt, über eine zweite URL. Dazu müßte man die Webanwendung auf eine neue erweitern und dann nur dort NTLM zulassen. Ich würde das aber möglichst zuerst in einer Testumgebung verifizieren.

Info Broker Als Antwort am 22 Feb. 2012 12:04

Hallo Andi,

sorry für die späte Antwort. Kannst du mir bitte etwas genauer erklären, wie ich eine Erweiterung mache? Das ist Neuland für mich und ich möchte nichts falsch machen.

Das wäre Super.

Vielen Dank vorab.

Gruß

Udo

Andi Fandrich Als Antwort am 22 Feb. 2012 12:52

Wie gesagt, so etwas sollte man in einer Testumgebung üben.

Zentraladministration - Webanwendungen verwalten. Die gewünschte merkieren und dann oben links "Erweitern". Danach kannst Du über "Authentifizierungsanbieter" für diese URL NTLM erlauben.

Info Broker Als Antwort am 22 Feb. 2012 14:35

[quote user="Andi Fandrich"]

Zentraladministration - Webanwendungen verwalten. Die gewünschte merkieren und dann oben links "Erweitern". Danach kannst Du über "Authentifizierungsanbieter" für diese URL NTLM erlauben.

[/quote]

Wenn ich diesen Pfad durchklicke ist NTLM bereits aktiviert. Der Crawler scheint aber eher nach dem Authentifizierungsanbieter zu gehen der unter dem Ribbon Sicherheit unter Authentifizierunsganbeiter hinterlegt ist. In meinem Fall derzeit nur Form-based. Sonst müsste der Zugriff ja klappen?

Andi Fandrich Als Antwort am 23 Feb. 2012 08:14

Der Crawler kann offenbar nur NTLM. Ich nehme nicht an, daß er sich für die Einträge unter Authentifizierungsanbieter interessiert. Sorge dafür, daß er nur die NTLM-URL erreicht und die andere nicht (unter Inhaltsquellen).

Info Broker Als Antwort am 23 Feb. 2012 11:50

[quote user="Andi Fandrich"]

Der Crawler kann offenbar nur NTLM. Ich nehme nicht an, daß er sich für die Einträge unter Authentifizierungsanbieter interessiert. Sorge dafür, daß er nur die NTLM-URL erreicht und die andere nicht (unter Inhaltsquellen).

[/quote]

Okay habe ich gemacht. Jetzt erhalte ich aber diese Fehlermeldung.

Das SSL-Zertifikat (Secure Sockets Layer), das vom Server gesendet wurde, war ungültig und dieses Element wird nicht durchforstet. Das Zertifikat ist aber gültig und die Seite akzeptiert es auch sauber. Wo wäre dann hier noch der Ansatzpunkt?

Andi Fandrich Als Antwort am 23 Feb. 2012 12:37

Bist Du sicher, daß es gültig ist? Was passiert, wenn Du genau diese URL, die der Crawler verwendet, im Browser aufrufst?

Info Broker Als Antwort am 23 Feb. 2012 14:31

Du hast Recht, der Browser erkennt das Zertifikat nicht. Habe mir das Zertifikat gerade angeschaut. Es wurde auf meine Subdomain ausgestellt. Bei Aufruf der Subdomain funktioniert es auch. Sorry ich versteh gerade gar nichts mehr.