Ключи утилиты SETSPN

[Antonik]

Добрый день, уважаемые форумчане.
Уже 3-ий день ждем ответа от службы поддержки пользователей Аскон-Курган по поводу использования утилиты SetSPN. Менеджер помочь не может в связи с отсутствием опыта.
2003 Server Standart Edition
Может ли кто-нибудь подсказать: какие ключи использовать в командной строке:
т.е. пусть servername - имя сервера приложений, net - домен пользователя TestUser
setspn -A servername net\TestUser
как правильно?
Спасибо!

[Sugonyaev]

setspn -A ServerName Domain\UserName

ServerName - полное доменное имя сервака

А зачем вам эта утилита понадобилась-то?

[Antonik]

"Windows Server 2003 настроен как "Windows Server 2003 Enterprise Edition Domain", ЛОЦМАН работает в домене, который настроен как "Windows Server 2003 Native Domain".
Утилита SetSPN.exe  регистрирует имена участников службы (SPN) для учетной записи компьютера. Делегирование предназначено для использования только учетными службами записи, имеющими зарегистрированные SPN, в отличие от обычных учетных записей, которые в большинстве случаев не имеют SPN."
- Так ответил менеджер.
У нас происходит переход в новый домен и соответственно переносим Лоцман на новый SQL сервер (2000, SP3), сервер приложений тоже другой компьютер (2003, SP1), файрволов нет и никак не хочет работать Лоцман 7.1. Т.е. под SQL идентификацией все работает прекрасно, если запускать клиента с сервера приложений то тоже все работает и под win и под SQL, если клиент не на сервере приложений - под win выдает ошибку: "[DBNETLIB][ConnectionOpen(Connect()).]SQL Server does not exist or access denied" В ходе перекидывания картинками со службой поддержки выяснилось что у нас все в порядке кроме того, что в свойствах сервера приложений нет галки "Trust computer for delegation", а есть вкладка "Delegation" и в ней пипка "Trust this computer for delegation to any service (Kerberos only)". Ну и примерно тоже самое про пользователя.
С высокозасекреченного форума служба поддержки прислала примерно такой отрывок:
   Тeмa: Re:Установка Лоцман под Win 2003 Server
Добрый день!
Один из наших клиентов столкнулся с такой трудностью – не удается установить Лоцман под Win 2003 Server с Active Directory, потому что не удается поставить флажок «Учетная запись доверена для делегирования». Флажка просто не видно, даже если работать под логином администратора домена. Возможно, это связано с политикой безопасности, но как именно – не ясно.
Ответ:
Возможно, домен функционирует в MODE=windows server 2003.
Там олицетворение делегированием производится через COM+ partition... Если это так, вернуть обратно в native или mixed нельзя:(((
Совершенно точно, домен работал в MODE=windows server 2003, а в этом случае в свойствах пользователей нет такой записи "Учетная запись доверена для делегирования" и соответственно доверить ее для делегирования нельзя.
Ответ:
В этом случае необходимо воспользоваться утилитой setspn.exe (она предназначена для работы с учетными записями сервисов). С помощью нее в свойствах пользователя включается отдельная закладка "Делегирование" причем для конкретной учетной записи пользователя и уже в ней ставить, что учетная запись доверена для делегирования.
После такого ответа мы помучились с SetSPN, но результата никакого не достигли, на все вопросы об ключах указанной утилиты служба поддержки с прошлого четверга хранит молчание.
Менеджер, работающий с нами честно сказал что опыта работы с утилитой не имеет и выслал руководство на англ. языке = выдержку из хелпа сервера 2003.
Что делать? Конечно мы можем настроить SQL идентификацию, но хотелось бы win.

[Sugonyaev]

зачем SETSPN нужная я знаю.
У нас стоит домен 2003 нативный с прсотавлением галки что сервер (на котором вращается север приложений Лоцман) доверен для делегирования и пользователь (под которым вращается север приложений Лоцман) проблем не возникало.

Посмотрите в свойсвах пользователя в АД (Active Directory) закладка Делегирование. Есть еще ньансик раньше в 2000-ом АД в свойствах пользователя была просто галочка " Учетная запись доверена для делегирования" (Account is trusted for delegation) . В 2003-ем АД вынесли в отдельную закладку а в свойствах пользователя на вкладке "Учетная запись" появилась галочка "Учетная запись важна и может быть доверена для делегирования".

[Antonik]

вот вкладка со свойствами пользователя

[Голованев]

Забавно... А почему бы не обратиться к авторам этой утилиты - компании Microsoft? Да и информации в Инете более чем про оную утилиту имеется?
http://technet2.microsoft.com/WindowsServer/en/library/2bbd23c5-a01d-49bc-8b1c-6d309767c5e71033.mspx?mfr=true

[Маз Илья]

Попробуй так: setspn -A HTTP/ServerName Domain\UserName, где UserName - имя учетной записи от которой запускается сервер приложений 

[Antonik]

Забавно... А почему бы не обратиться к авторам этой утилиты - компании Microsoft? Да и информации в Инете более чем про оную утилиту имеется?
http://technet2.microsoft.com/WindowsServer/en/library/2bbd23c5-a01d-49bc-8b1c-6d309767c5e71033.mspx?mfr=true

Если всего столько много - почему молчит служба поддержки. Пробовали уже по всякому.

Илья, спасибо!
в этой строке непонятно сочетание HTTP

[caduser]

в этой строке непонятно сочетание HTTP

так и должно быть, с HTTP т.е.
setspn -A HTTP/ServerName Domain\UserName - работает 100%, после запуска setspn у свойств учетной записи UserName появится еще одна вкладка Delegation (Делегирование) далее меняем опции в этой вкладке

[Antonik]

setspn сделали, у юзера появилась вкладка delegation и все равно ничего не работает

C:\Program Files\Support Tools>setspn -A LOODSMAN/bedtest bedtest
Registering ServicePrincipalNames for CN=
        LOODSMAN/bedtest
Updated object


C:\Program Files\Support Tools>setspn -L bedtest
Registered ServicePrincipalNames for CN=:
    LOODSMAN/bedtest

[Sugonyaev]

Серваку на котром ставите сервер приложений Лоцман надо тоже поставить галку делегирование

[Antonik]

поставили - безтолку

[Маз Илья]

"[DBNETLIB][ConnectionOpen(Connect()).]SQL Server does not exist or access denied", меня честно говоря очень сильно смущает. Если перевести дословно, то получается: SQL Server недоступен или не существует. Т.е. судя по всему не проходит подключения к SQL серверу именно с проверкой подлинности средствами Windows. Я бы честно говоря прежде всего посмотрел в начале в этом направлении. Вы можете подключится к данному SQL серверу с проверкой подлинности средствами Windows именно от той учетной записи, к той же базе, с той же машины, с помощью которой вы пытаетесь это сделать в Лоцмане, , минуя Лоцман? Попробуйте, может такое подключение у вас тоже не пройдет, и тогда больше ясности будет.
Попробуйте ознакомиться также с рекомендациями Microsoft, по данной проблеме:
http://support.microsoft.com/kb/328306/ru
http://support.microsoft.com/kb/827422/ru

[Antonik]

 Вы можете подключится к данному SQL серверу с проверкой подлинности средствами Windows именно от той учетной записи, к той же базе, с той же машины

как, какой программой? Только лоцману это надо.

есть маленькая программка SQL Viewer (демо версия) - она даже не под админом подключается к SQL и видит все базы в том числе и лоцмановскую, показывает локальный путь и время создания базы, а также тип данных в таблице.

[Маз Илья]

Самый простой способ, зайти на компьютере на котором выводится указанная вами ошибка в Панель управления/Администрирование/Источники данных (ODBC) и создать пользовательский DNS, в качестве драйвера выбрать SQL Server, затем выбрать сам SQL Server к которому планируется сделать подключение, сказать что подключаться будете с проверкой подлиности WinNT, выбрать базу Лоцмана, нажать кнопочку Проверить источник данных. И посмотреть чем закончиться такой тест.

[Antonik]

для юзера
там где имя базы было default - прописал имя нашей базы, в выпадающем меню почему-то небыло никаких баз попробовал еще для system - там база была в выпадающем меню, может отсюда что-то идет, типа для юзера не может базу найти/увидеть

в обоих случаях все оk:

Microsoft SQL Server ODBC Driver Version 03.85.1117
Running connectivity tests...
Attempting connection
Connection established
Verifying option settings
Disconnecting from server
TESTS COMPLETED SUCCESSFULLY!

куда еще копать?

[Маз Илья]

А какие роли установлены у компьютера на котором стоит сервер приложений? (файловый сервер, сервер терминалов или может еще что). Посмотреть можно в Пуск/Программы/Администрирование/Управление данным сервером.

[Sugonyaev]

Маз Илья
верно подметил
У сервера должна быть роль Сервер приложений (Aplication server)

[Antonik]

Your server has been configured with the following roles:
File Server
Application Server

[Antonik]

уп

ну почему же молчит официальная техподдержка за которую заплачено ??
что же это за практика такая: бросать клиентов.