Jeg har tidligere blogget omkring SPN og Delegations, hvor det var en og samme bruger, der skulle have adgang til services og SQL på tværs af 2 servere.
For nyligt stødte jeg på et nyt problem, problemet er hvis jeg skal have 2 forskellige brugere til at kommunikere med services på tværs af domænet, dette har jeg ikke før sat op. Grunden til jeg skal bruge 2 brugere, er at jeg har en bruger som skal køre en webservice.
Jeg blev i denne proces nødt til at tage kontakt til Microsoft support, da jeg simpelthen ikke kunne gennemskue, hvordan dette skulle sættes op.
Mit scenarie ser således ud:
1 x Windows SBS 2003 server (kører Exchange og Domain)
1 x Windows Server 2012 R2 (NAV server)
1 x Windows Server 2012 R2 (SQL Server)
SQL servicen skal køre som Administrator.
NAV servicen skal køre som en almindelig bruger, i dette tilfælde en bruger der hedder: DTSKlient
Administrator kontoen skal have tilknyttet disse to SPN'er:
setspn -A MSSQLSvc/CJSQL.cjhvidevareservice.dk:1433 cjhvidevareserv\Administrator
setspn -A MSSQLSvc/CJSQL:1433 cjhvidevareserv\administrator
Når disse to er kontrolleret kan dette tjekkes via kommandoen:
setspn -l administrator
Min bruger DTSKlient skal have følgende SPN'er sat op:
DynamicsNAV/NAV-CJ.cjhvidevareservice.dk:7047
DynamicsNAV/NAV-CJ:7047
http/NAV-CJ.cjhvidevareservice.dk
http/NAV-CJ
Dette gøres således:
setspn -A DynamicsNAV/NAV-CJ.cjhvidevareservice.dk:7047 cjhvidevareserv\DTSklient
setspn -A DynamicsNAV/NAV-CJ:7047 cjhvidevareserv\DTSklient
setspn -A http/NAV-CJ.cjhvidevareservice.dk cjhvidevareserv\DTSklient
setspn -A http/NAV-CJ cjhvidevareserv\DTSklient
Herefter er det vigtigt at DynamicsNAV og webservicen kører som DTSKlient brugeren, ellers vil det ikke virke.
Ingen kommentarer:
Send en kommentar