none
Авторизация Sharepoint RRS feed

  • Вопрос

  • Доброго времени суток!

    Нужна ваша консультация.

    Имеем два сервера Win01 и Win02. Обе машины в домене. На сервере Win01 развернута ферма SharePoint и SQL Server. На SharePoint созданы семейства веб-сайтов. Когда заходим  на сайт с машины Win01 все хорошо, но когда заходим на сайт с машины Win02 (адрес - http://win01/mysite/rgm) происходит запрос на авторизацию. Вводим домен\логин - пароль, ни чего не происходит, висит окно авторизации.

    В чем может быть проблема? Прошу помощи.

    ЗЫ. Доступ из вне происходит отлично, вводим логин\пароль и можно работать на сайте.

    10 февраля 2016 г. 9:51

Ответы

  • Самое интересное что у вас из вне все работает нормально. Надо смотреть все логи (IIS, ULS, Kerberos, Proxy, ...).

    Для начала посмотрите логи кербероса:

    1. Start Registry Editor.
    2. Add the following registry value:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

      Registry Value:
      LogLevel

      Value Type:
      REG_DWORD

      Value Data:
      0x1


      If the
      Parameters
      subkey does not exist, create it.

      Note Remove this registry value when it is no longer needed so that performance is not degraded on the computer. Also, you can remove this registry value to disable Kerberos event logging on a specific computer.
    3. Quit Registry Editor.

    Рестарт не требуется начиная с Win2000. Смотрите логи в System log.

    Если ошибок нет, то далее смотрите IIS и ULS. Ошибка должна быть банальной, где-то чего-то не прописали. Чаще происходит зависание на этапе авторизации при доступе из вне, у вас же он работает...

    15 февраля 2016 г. 7:49
  • Максим, уточните, пожалуйста, проблемы только с заходом с Win02? Другие доменные машины заходят нормально? Для "Доступа из вне" прописана отдельная зона на портале?
    Подобное поведение у меня было после долгих "игр" с именами и параметрами зон. IIS явно начал глючить. Помогло удаление web-приложения с сайта IIS и публикация заново. НО! в моём случае доступа не было со всех доменных машин.


    15 февраля 2016 г. 10:46
  • Разобрался в чем была проблема.

    На сервере Win01 установлена ферма SharePoint. С сервера Win02 пытался подключиться к порталу на сервере Win01, т.е. http://win01/sites/portal, в итоге получал окно на авторизацию, после ввода логина и пароля ничего не происходило. Посмотрел все spn записи. Только когда добавил запись spn в учетную запись от которой у меня запускается пул приложений фермы SharePoint, только после этого все заработало. Теперь когда я с сервера Win02 захожу по адресу http://win01/sites/portal у меня все работает, захожу под тем пользователем под которым зашел на сервер по терминалу, причем не запрашивает авторизацию.

    29 февраля 2016 г. 7:01

Все ответы

  • Добрый день,

    добавьте http://win01/* в trusted sites браузера.

    10 февраля 2016 г. 10:03
  • Добавил как вы и сказали. 

    Происходит все тоже самое. Окно с авторизацией висит после того как ввел логин\пароль и нажал Enter((

    10 февраля 2016 г. 10:23
  •  машина Win02 какую ось имеет?
    10 февраля 2016 г. 11:36
  • на двух машинах стоит WIn Server 2012 R2
    10 февраля 2016 г. 12:08
  • Контроллер домена стоит на Win3
    10 февраля 2016 г. 12:08
  • DisableLoopBackCheck сделали?
    10 февраля 2016 г. 12:10
  • 1. командлет PowerShell:
    New-ItemProperty HKLM:\System\CurrentControlSet\Control\Lsa -Name "DisableLoopbackCheck" -value "1" -PropertyType dword                                                                                                                                    

     2. Диспетчер серверов - Локальный сервер - Конфигурация усиленной безопасности IE - для админов "ОТКЛЮЧЕНО"

    • Изменено antsv 10 февраля 2016 г. 14:56
    10 февраля 2016 г. 14:56
  • Проблемы на всех страницах фермы или только на конкретном веб приложении/коллекции/сайте

    User Policy  веб приложения настроены? 
    PS. В hosts нет лишнего?

    11 февраля 2016 г. 7:14
  • Конфигурация усиленной безопасности - ОТКЛЮЧЕНО. Проблема на всех сайтах.

    При создании сайтов использовал авторизацию Kerberos. Машины в проверку Kerberos ввел.

    В host все чисто.

    15 февраля 2016 г. 6:14
  • Самое интересное что у вас из вне все работает нормально. Надо смотреть все логи (IIS, ULS, Kerberos, Proxy, ...).

    Для начала посмотрите логи кербероса:

    1. Start Registry Editor.
    2. Add the following registry value:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

      Registry Value:
      LogLevel

      Value Type:
      REG_DWORD

      Value Data:
      0x1


      If the
      Parameters
      subkey does not exist, create it.

      Note Remove this registry value when it is no longer needed so that performance is not degraded on the computer. Also, you can remove this registry value to disable Kerberos event logging on a specific computer.
    3. Quit Registry Editor.

    Рестарт не требуется начиная с Win2000. Смотрите логи в System log.

    Если ошибок нет, то далее смотрите IIS и ULS. Ошибка должна быть банальной, где-то чего-то не прописали. Чаще происходит зависание на этапе авторизации при доступе из вне, у вас же он работает...

    15 февраля 2016 г. 7:49
  • Максим, уточните, пожалуйста, проблемы только с заходом с Win02? Другие доменные машины заходят нормально? Для "Доступа из вне" прописана отдельная зона на портале?
    Подобное поведение у меня было после долгих "игр" с именами и параметрами зон. IIS явно начал глючить. Помогло удаление web-приложения с сайта IIS и публикация заново. НО! в моём случае доступа не было со всех доменных машин.


    15 февраля 2016 г. 10:46
  • Добрый день.

    Другие машины в домене тоже имеют такие же ошибки, т.е. не заходят на сайт. Для доступа из вне прописана отдельная зона в DNS. 

    Посмотрел лог Kerberos, есть ошибки, к примеру: 

    Получено сообщение об ошибке Kerberos:
     в сеансе входа в систему домен\логин
     Время клиента: 
     Время сервера: 13:20:17.0000 2/19/2016 Z
     Код ошибки: 0x19 KDC_ERR_PREAUTH_REQUIRED
     Расширенная ошибка: 
     Область клиента: 
     Имя клиента: 
     Текст ошибки: 
     Файл: e
     Строка: d3f
     Данные ошибки в данных записи.

    Может попробовать билеты пересоздать?

    19 февраля 2016 г. 13:29
  • вам керберос критичен? у нас есть требования в double-hop authentication ?

    Если нет - попробуйте использовать ntml

     

    Если есть - то 
    1. Качаем Microsoft Network Monitor
    2. Очищаем билеты klist purge
    3. Собираем трейс с Контроллера домена который обслуживает этот сервер, и с пк с которого заходим на портал.

    Netsh trace start capture=yes report=yes persistent=no maxSize=1024 filemode=circular overwrite=yes correlation=yes tracefile=C:\temp\NetTr-computername.etl
    Netsh trace stop

    4. В Мониторе активируем Тулс-Опшнс-Виндовс 
    5. Открываем трейс в Мониторе и добавляем фильтр ProtocolName == "KerberosV5"  для быстрой навигации по трейсу.
    6. В суммари - выбраем запись с учетной записью под которой пытались зайти на портал перед ошибкой
    7. Смотрим в фрейм детал и ищем, где нехватало делегирования или SPN

    Ну это все конечно же после того, как перечитали снова гайд по настройке керберос для веб приложения, когда не один раз проверили наличие всех SPN и Делегирований. 

    • Предложено в качестве ответа Alexander Surbashev 19 февраля 2016 г. 14:17
    19 февраля 2016 г. 14:03
  • Попытался добавить сервер Win01 в контроллер домена Win03 (Диспетчер серверов- все серверы) ругается на ошибку безопасности Kerberos.

    Enter-PSSession : Сбой подключения к удаленному серверу Win01.domain.local. Сообщение об ошибке: WinRM не удается обработать запрос. При использовании проверки подлинности Kerberos возникла следующая ошибка с кодом ошибки 0x80090322: Произошла неизвестная ошибка безопасности.

    20 февраля 2016 г. 9:30
  • последние манипуляции как то затрагивали портал? или это только ошибки с самими серверами?
    20 февраля 2016 г. 10:20
  • нет не затрагивали.

    У меня подозрения что я что то не так настроил в kerberos. Есть какой нибудь мануал по настройке и проверке правильной работоспособности авторизации kerberos/

    Спасибо.

    20 февраля 2016 г. 11:02
  • Вопрос такой.

    После регистрации  новой учетной записи в SPN от имени которой выполняется пул веб приложения SharePoint, пытаюсь выполнить setspn -S HTTP/WIN01 DOMAIN\POOLAPP

    В ответ получаю ошибку:

    Проверка домена DC=domain, DC=local CN=SYSTEM, OU=SERVICE, DC=domain, DC=local HTTP/WIN01.domain/local

    HTTP/WIN01

    Обнаружен дубликат SPN, операция прервана

    Можно ли как то удалить дубликат, и пересоздать на другого пользователя.

    Спасибо.

    20 февраля 2016 г. 14:23
  • https://technet.microsoft.com/ru-ru/library/cc731241(v=ws.10).aspx

    если есть консоль АД через нее можно посмотреть, Открываешь учетную запись, в закладке атрибуты  можно пролистать и увидеть все spn для этой записи. 

    22 февраля 2016 г. 12:54
  • Разобрался в чем была проблема.

    На сервере Win01 установлена ферма SharePoint. С сервера Win02 пытался подключиться к порталу на сервере Win01, т.е. http://win01/sites/portal, в итоге получал окно на авторизацию, после ввода логина и пароля ничего не происходило. Посмотрел все spn записи. Только когда добавил запись spn в учетную запись от которой у меня запускается пул приложений фермы SharePoint, только после этого все заработало. Теперь когда я с сервера Win02 захожу по адресу http://win01/sites/portal у меня все работает, захожу под тем пользователем под которым зашел на сервер по терминалу, причем не запрашивает авторизацию.

    29 февраля 2016 г. 7:01