none
SQL 2014 Security-Kerberos Fehlermeldung RRS feed

  • Frage

  • Liebe Community,

    ich bekomme bei unserem SQL-2014 Server folgende Fehlermeldung.

    Eine Kerberos-Fehlermeldung wurde empfangen:
     Anmeldesitzung:  
     Clientzeit:
     Serverzeit: 8:25:55.0000 2/28/2017 Z
     Fehlercode: 0x7  KDC_ERR_S_PRINCIPAL_UNKNOWN
     Erweiterter Fehler: 0xc0000035 KLIN(0)
     Clientbereich:
     Clientname:
     Serverbereich: domäne.INT
     Servername: MSSQLSvc/Servername.domäne.int:1433
     Zielname: MSSQLSvc/Servername.domäne.int:*** Die E-Mail-Adresse wurde aus Datenschutzgründen entfernt. ***
     Fehlertext:
     Datei: 9
     Zeile: 12c5
     Die Fehlerdaten sind in den Eintragsdaten enthalten.

    Es scheint dass es einen doppelten SPN-Eintrag gibt.

    Mit der Abfrage: setspn -X erhalte ich folgende Meldung:

    Die Domäne "DC=domäne,DC=int" wird überprüft.
    Eintrag 2 wird verarbeitet.
    MSSQLSvc/Servername.domäne.int wird auf diesen Konten registriert:
            CN=Administrator,CN=Users,DC=domäne,DC=int
            CN=Servername,OU=Anwendungsserver,OU=Server,OU=Domain Controllers,DC=domäne,DC=int

    MSSQLSvc/Servername.komäne.int:1433 wird auf diesen Konten registriert:
            CN=Administrator,CN=Users,DC=domäne,DC=int
            CN=Servername,OU=Anwendungsserver,OU=Server,OU=Domain Controllers,DC=domäne,DC=int

    2 Gruppen von doppelten SPNs gefunden.

    Die Frage ist ob bzw. welchen Eintrag ich jetzt löschen soll, den ohne oder den mit der Portangabe?
    Kann mir irgendjemand einen Tipp geben?

    Vielen Dank

    Donnerstag, 2. März 2017 13:28

Antworten

  • ...

    Es scheint dass es einen doppelten SPN-Eintrag gibt.

    ...

    MSSQLSvc/Servername.domäne.int wird auf diesen Konten registriert:
            CN=Administrator,CN=Users,DC=domäne,DC=int
            CN=Servername,OU=Anwendungsserver,OU=Server,OU=Domain Controllers,DC=domäne,DC=int

    MSSQLSvc/Servername.komäne.int:1433 wird auf diesen Konten registriert:
            CN=Administrator,CN=Users,DC=domäne,DC=int
            CN=Servername,OU=Anwendungsserver,OU=Server,OU=Domain Controllers,DC=domäne,DC=int

    ...

    Die Frage ist ob bzw. welchen Eintrag ich jetzt löschen soll, den ohne oder den mit der Portangabe?...

    Ja, das scheint nicht nur so, das ist sogar so ;-)

    Ich glaube Du hast die Einträge nicht ganz richtig interpretiert. Es handelt sich um 2 unterschiedliche AD-Objekte, auch wenn es der selbe SQL Server Dienst sein mag.

    Aber jeder dieser beiden hat jeweils 2 SPNs. Und ein davon jeweils auf den Computer-Account ("CN=Servername") Die muss mal jemand manuell falsch eingetragen haben.

    Die zu löschenden habe ich markiert.

    Nebenbei erlaube mir festzustellen, dass der SQL Server offensichtlich mit dem Admnistrator-Konto gestartet wird ("CN=Administrator"). Das ist sehr sehr ungünstig.


    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform
    www.SarpedonQualityLab.com | www.andreas-wolter.com

    Donnerstag, 9. März 2017 03:12