none
TMG failed to delegate credentials using Kerberos constrained delegation to the Web site published by the rule OWA RRS feed

  • Общие обсуждения

  • Добрый день!

    в сети два ДК 2003 и 2008, ТМГ, два сервера эксч2010 с ролью cas и hub в массиве с nlb и два mailbox в группе dag.

    cas1.domain 

    cas2.domain

    fqdn массива cas.domain. В домене учетной записи ТМГ делегировано use any auth protocol http/cas1 http/cas2

    На ТМГ создана ферма серверов, в правиле публикации OWA указана ферма серверов cas, на вкладке auth delegation выбран kerberos delegation и spn http/*, ТМГ сам подставляет либо http/cas1 или http/cas2 т.к. используется ферма. Слушатель http auth integrated.

    Примерно месяц работало все хорошо, без проблем, а в один прекрасный момент на ТМГ появилась ошибка

    Description: Forefront TMG failed to delegate credentials using Kerberos constrained delegation to the Web site published by the rule OWA. Check that the SPN: http/CAS1.domain configured in Forefront TMG matches the SPN in Active Directory. 

    и соответственно пользователи не могут попасть на веб доступ. Пока я ковырял мин 10 все заработало само, точнее я в правиле OWA поменял c http/* на http/cas1 и все заработало, мин через 20 вернул назад в правиле на http/* и снова все хорошо работает

    Подскажите пожалуйста в чем такая хрен может происходить

    вот еще лог с дк 2003

    While processing a TGS request for the target server krbtgt/DOMAIN, the account user@DOMAIN did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 18.  The accounts available etypes were 23  -133  -128  3  1. 

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp

    заранее спасибо

    12 июля 2012 г. 10:19

Все ответы

  •  - Листенер для Exchange OWA проверяет доступность каким способом,  Ping или Get ?


    DikSoft - MCP

    13 июля 2012 г. 16:14
  • выяснятся помаленьку в чем причина... 

    в домене два ДК 2003 и 2008, у них разное шифрование кербероса, начал рыть в сторону лога с ДК 2003

    While processing a TGS request for the target server krbtgt/DOMAIN, the account user@DOMAIN did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 18.  The accounts available etypes were 23  -133  -128  3  1. 

    и нарыл статьи описывающие следующие http://support.microsoft.com/kb/977321http://support.microsoft.com/kb/978055/ru

    смысл в том, что когда через ТМГ подключаются удаленные пользователи и если билет им выдан ДК 2008, при выключение ДК 2008 я как раз и наблюдаю ошибку на ТМГ, что он делегировать не может, а эта ошибка как раз и выплывает из статей. 

    что я сделал, политиками на весь домен разрешил керберос шифровать всеми способами, их шесть. Попытался установить хот-фикс на ДК 2008Р2 как сказано во второй статье, выдалась ошибка что это обновление не применимо к этой системе... хз

    но все равно тоже самое....

    13 июля 2012 г. 19:31
  • kirimey, если Вам удалось найти решение, напишите, пожалуйста.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    20 июля 2012 г. 9:19
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    30 июля 2012 г. 10:30
  • Проблема в том, что TMG запрашивает билет TGS для пользователя с помощью своего билета, указывая, что для шифрования надо использовать aes256-cts-hmac-sha1-96, именно ему соответствует etype 18, RFC 3962. А ДК 2003 не способен выдавать билеты с этим типом шифрования, либо не может проверить билет, т.к. он зашифрован этим шифрованием.

    я решил, для меня так проще, убить ДК 2003 )

    1 августа 2012 г. 12:19