Ключи утилиты SETSPN

Автор Antonik, 21.08.06, 14:04:59

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Antonik

Нет, проблема не решена, пока решили остановиться на SQL. Возможно позже (когда завершаться работы по слиянию сетей) к ней вернемся. Видимо придется приглашать специалистов из Аскона.

Максим Хмеляр

Думаю, что решение проблем слияния двух сетей Microsoft в одну выходит за рамки компетенции специалистов АСКОН

Газиев Тимур

Установил у себя 4 виртуальные машины

1 - домен win2003SP1
2 - SQL server sp3a (ХР)
3 - сервер приложений (ХР)
4 - собственно сам клиент. (ХР)
--------
После установки настроил учетную запись для СП, тут же нашлась галочка "Учетная запись доверена для делегирования"
(по-умолчанию сервер работал в режиме совместимости с доменом 2000... или как его там...)
развернул, настроил ЛОЦМАН - работает.
Затем перевел домен в "режим 2003" (обратно уже никак) - в свойствах учетной записи сервера приложений появилась вкладка "Delegation" - на работе ЛОЦМАНа это не отразилось - как работал так и работает.
Создал новою учетную запись для СП - вкладки "Delegation" нет.
Запустил ЛОЦМАН:Администратор, в свойствах сервера приложений меняю имя учетной записи, после нажатия кнопки "ОК" приложение выдало сообщение  "Учетная запись, от имени которой работает сервер приложений, должна быть доверена для делегирования. Установить свойство учетной записи сейчас?", устанавливаем.
Затем в свойствах этой учетной записи (в активном каталоге) появляется вкладка "Delegation"
И опять все работет.
Почему не работает у Antonik непонятно.
Возможно где-то "переусердствовали" с политиками безопасности.
Если не хочется свой домен "ломать" сделайте виртуальный - и на нем пробуйте.

dev-null

Цитата: Газиев Тимур от 12.09.06, 15:47:36
Установил у себя 4 виртуальные машины

1 - домен win2003SP1
2 - SQL server sp3a (ХР)
3 - сервер приложений (ХР)
4 - собственно сам клиент. (ХР)
--------
После установки настроил учетную запись для СП, тут же нашлась галочка "Учетная запись доверена для делегирования"
(по-умолчанию сервер работал в режиме совместимости с доменом 2000... или как его там...)
развернул, настроил ЛОЦМАН - работает.
Затем перевел домен в "режим 2003" (обратно уже никак) - в свойствах учетной записи сервера приложений появилась вкладка "Delegation" - на работе ЛОЦМАНа это не отразилось - как работал так и работает.
Создал новою учетную запись для СП - вкладки "Delegation" нет.
Запустил ЛОЦМАН:Администратор, в свойствах сервера приложений меняю имя учетной записи, после нажатия кнопки "ОК" приложение выдало сообщение  "Учетная запись, от имени которой работает сервер приложений, должна быть доверена для делегирования. Установить свойство учетной записи сейчас?", устанавливаем.
Затем в свойствах этой учетной записи (в активном каталоге) появляется вкладка "Delegation"
И опять все работет.
Почему не работает у Antonik непонятно.
Возможно где-то "переусердствовали" с политиками безопасности.
Если не хочется свой домен "ломать" сделайте виртуальный - и на нем пробуйте.

1) С правами кого вы запускали программу ЛОЦМАН:Администратор (не сервис, а программу) ? Наверно это был админ домена.......
2) А как же обычные пользователи лоцмана, у которых надо ставить галку "Учетная запись доверена для делегирования" ? Завели нового пользователя (100-200 пользователей, не важно) в AD, а кнопочки Delegation нет. поскольку у пользователя нет SPN. тут то на сцену и выходит утилита SETSPN о которой и ведется речь. Очень удобно администрировать такую систему.. Поскольку утилиткой setspn может пользоваться только пользовательс с правами АДМИНИСТРАТОРА ДОМЕНА, то пробивать 200 юзеров, пусть даже скриптом...
3) какие пункты выбраны во вкладке delegation у СП, у учетки под которой запускается СП, у учетки пользователя ?
4) что показывает setspn -L (List) на данные учетки, какие SPN зарегистрированны за ними ?

Максим Хмеляр

Опция "Учетная запись доверена для делегирования" должна присутствовать у учетной записи, от которой запускается сервер приложений ЛОЦМАН
у учетных записей пользователей системы наличие этой опции не обязательно.

dev-null

Цитата: Максим Хмеляр от 13.09.06, 09:02:55
Опция "Учетная запись доверена для делегирования" должна присутствовать у учетной записи, от которой запускается сервер приложений ЛОЦМАН
у учетных записей пользователей системы наличие этой опции не обязательно.

По ходу дела да... тогда надо внести в доку такой пункт - что для учетки, от которой запускается лотсман сервер надо или:
а) руками прописать SPN при помощи setspn (и дать пример)
б) запустить утилиту конфигурирования С ПРАВАМИ АДМИНА ДОМЕНА и на крик конфигуратора - установить возможность делегирования для учетки - сказать ДА. Потому как такое можно сделать из под АДМИНА ДОМЕНА, а лок. админ на сервере такими правами не обладает.

Максим Хмеляр

Цитата: dev-null от 13.09.06, 09:45:34
... тогда надо внести в доку такой пункт

В документе "Установка ЛОЦМАН.pdf" который поставляется вместе с дистрибутивом системы на с.31-32 описано, каие настройки необходимы для учетной записи, от имени которой запускается сервер приложений, и для учетной записи компьютера, на котором сервер приложений расположен.

dev-null

Цитата: dev-null от 13.09.06, 09:45:34
Цитата: Максим Хмеляр от 13.09.06, 09:02:55
Опция "Учетная запись доверена для делегирования" должна присутствовать у учетной записи, от которой запускается сервер приложений ЛОЦМАН
у учетных записей пользователей системы наличие этой опции не обязательно.

По ходу дела да... тогда надо внести в доку такой пункт - что для учетки, от которой запускается лотсман сервер надо или:
а) руками прописать SPN при помощи setspn (и дать пример)
б) запустить утилиту конфигурирования С ПРАВАМИ АДМИНА ДОМЕНА и на крик конфигуратора - установить возможность делегирования для учетки - сказать ДА. Потому как такое можно сделать из под АДМИНА ДОМЕНА, а лок. админ на сервере такими правами не обладает.


итак:
C:\Program Files\Support Tools>setspn.exe -L DOMAINNAMEHERE\_LoodsmanServer
Registered ServicePrincipalNames for CN=_LoodsmanServer,bla-bla-bla

C:\Program Files\Support Tools>setspn.exe -L DOMAINNAMEHERE\bedtest
Registered ServicePrincipalNames for CN=:
    LOODSMAN/bedtest

у учетки от которой работает СП НЕТ SPN. так что утиль setspn нам тут как бы может быть и не помог бы. Вопрос к разработчикам: как лоцман:администратор включает делегирование у учетки ? Надо смотреть код :)
у учетки bedtest есть SPN, есть вкладка delegation

dev-null

Цитата: Максим Хмеляр от 13.09.06, 09:56:53
Цитата: dev-null от 13.09.06, 09:45:34
... тогда надо внести в доку такой пункт

В документе "Установка ЛОЦМАН.pdf" который поставляется вместе с дистрибутивом системы на с.31-32 описано, каие настройки необходимы для учетной записи, от имени которой запускается сервер приложений, и для учетной записи компьютера, на котором сервер приложений расположен.
а там написано как получить эти самые кнопочки delegation (а надо бы) ? Да и картиночки там, надо сказать, не универсальные :) скриншотики учеток СП и Юзера в 2003-й винде видели ?

Максим Хмеляр

Цитата: dev-null от 13.09.06, 10:14:12
скриншотики учеток СП и Юзера в 2003-й винде видели ?

видели, и не только скриншотик

dev-null

Цитата: Максим Хмеляр от 13.09.06, 11:24:29
Цитата: dev-null от 13.09.06, 10:14:12
скриншотики учеток СП и Юзера в 2003-й винде видели ?

видели, и не только скриншотик
ну вот. и где такие чудестные "пипки" взять в домене w2k3 ? :) Фишку с установкой прав делегирования учетки из-под которой запускается сервер администрирования (когда он просит установить права делегирования когда они не стоят) тоже можно описать. Грабли ? Грабли! Следующий кто сталкнется с таким уже будет знать. Патчим доку?

Газиев Тимур

Цитата: dev-null от 13.09.06, 11:56:31
ну вот. и где такие чудестные "пипки" взять в домене w2k3 ? :) Фишку с установкой прав делегирования учетки из-под которой запускается сервер администрирования (когда он просит установить права делегирования когда они не стоят) тоже можно описать. Грабли ? Грабли! Следующий кто сталкнется с таким уже будет знать. Патчим доку?
Вообще-то свойства учетной записи сервера приложений проверяется еще на стадии установки сервера приложений. (7.х)
Чтоб не мучится проще всего переустановить сервер приложений, времени отнимет 5-10 мин не больше.

Даниель

Давайте подумаем просто математикой...
Аскону хочеться денег, пользователям - сервиса...
Вот что мешает....
Или чего-то не хватает, может напишет кто-нибудь...
А просто увольте системщика (тупого), немного счасть будет почти для всех...