none
Doppelte SPNs

    問題

  • Hallo Zusammen,

    ich habe für die Service Accounts CRM 2011 SPNs gesetzt. Ich erhalte nun auf dem DC die Event ID 11 Fehlermeldung (Doppelte SPNs)

    Was ist hier falsch? Laut Microsoft IG für CRM 2011 sollten die SPNs so richtig sein.

    Vielen Dank

    SETSPN -a http/FullyQualifiedName domainName\crmasyncservice
    SETSPN -a http/netbiosName domainName\crmasyncservice
    SETSPN -a http/FullyQualifiedName domainName\crmservice
    SETSPN -a http/netbiosName domainName\crmservice
    SETSPN -a MSCRMSandboxService/netbiosName domainName\crmsandbox
    SETSPN -a http/FullyQualifiedName domainName\crmdeployment
    SETSPN -a http/netbiosName domainName\crmdeployment

    2012年3月14日 下午 03:06

解答

  • Hallo Hurrikane1982,

    der erste Link bezieht sich auf CRM 4.0 das nur mal zur Info, auch wenn wesentliche Dinge gleich sind.

    Wenn Du einen SQL Server (mit Reporting Services) und einen CRM Server mit allen Rollen hast brauchst Du zunächst mal überhaupt keine SPN für die Dienstkonten konfigurieren und CRM sollte nach der Installation direkt rennen.

    Wenn Du dann was besonderes bauen willst z.B. CRM soll unter einem besonderen von Servernamen abweichenden URL laufen, ADFS  /IFD, die Rollen sollen auf mehrere Server verteilt werden usw. dann können SPN erforderlich werden.

    Welche SPN genau benötigt werden hängt also massgeblich von Deiner Konfiguration ab. Fehlende SPN lassen sich normaleweise leicht aus den Log einträgen ableiten.

    Ich würde also erst einmal ohne SPN starten. Wenn Deine Dienstkonten keine Domainadmin Konten sidn können natürlich auch immer andere Rechte fehlen. Es muss nicht immer ein SPN sein ;-) Was nicht heißen soll die Dienstkonten sollen Domainadmin sein, sondern das Du daran denken sollt die notwendigen Rechte einzuräumen.

    Grüße

    Thomas

    2012年3月19日 上午 09:55

所有回覆

  • Ich würde zunächst einmal identifizieren, welche Einträge doppelt sind mit

    http://support.microsoft.com/kb/321044/en-us


    Carsten Groth http://carstengroth.wordpress.com Microsoft Dynamics Certified Technology Specialist

    2012年3月14日 下午 05:12
  • Hallo Carsten,

    diesen habe ich schon per vb script abgefragt.

    Es gibt 3 server und für alle 3 wird ausgegeben das der "crmservice" doppelt ist. Ich habe per ADSI editor überprüft und festgestellt das bei jedem Service Account die FQDN und NETBIOS version hinterlegt ist. (Siehe oben)

    Nachdem ich bei allen Service Accounts die FQDN version gelöscht habe habe ich nur noch für crmservice doppelte einträge wobei per ADSI editor ich keine doppelten Einträge mehr finde.

    Wenn ich aber die FQDN spn lösche dann stimmen ja die SPNs nicht mehr wie ich sie (siehe oben) angelegt habe. Deshalb ist die Frage ob es wie oben beschrieben richtig angelegt worden ist oder nicht.

    2012年3月15日 上午 08:06
  • Hallo Hurrikane1982,

    du verwendest

    3 x http/FullyQualifiedName
    3 x http/netbiosName

    das rennt nicht und ist in jedem Fall falsch die HTTP SPN braucht nur das Konto das denm Webservice ausführt als das Konto des CRMApppools

    der asyncservice z.B. bietet keinen HTTP Service an, wozu baucht der einen HTTP SPN ?

    Also noch mal genau in die Doku sehen.

    Viel hielft viel ist hier denfinitv falsch.

    Grüße

    Thomas

    2012年3月16日 下午 12:30
  • Hallo Thomas,

    danke für deine Antwort. Wenn ich den Installationsguide richtig verstehe benötige ich SPNs nur wenn ich NLB oder Cluster nutzen möchte.

    D.h. für eine Standartinstallation benötige ich keine SPNs. Ist das so richtig?

    Denn wenn ich diesen Blog lese verstehe ich das anders,

    http://blogs.msdn.com/b/crm/archive/2009/08/06/configuring-service-principal-names.aspx

    Das MS SQL und CRM 2011 sind auf 2 eigenen Servern.

    Und wenn ich das hier lese: http://msdn.microsoft.com/en-us/library/hh367438.aspx müsste ich nur den Kernel Mode einschalten und alles wird automatisch gemacht?

    Dieses Thema finde ich leider sehr verwirrend.

    2012年3月19日 上午 08:50
  • Hallo Hurrikane1982,

    der erste Link bezieht sich auf CRM 4.0 das nur mal zur Info, auch wenn wesentliche Dinge gleich sind.

    Wenn Du einen SQL Server (mit Reporting Services) und einen CRM Server mit allen Rollen hast brauchst Du zunächst mal überhaupt keine SPN für die Dienstkonten konfigurieren und CRM sollte nach der Installation direkt rennen.

    Wenn Du dann was besonderes bauen willst z.B. CRM soll unter einem besonderen von Servernamen abweichenden URL laufen, ADFS  /IFD, die Rollen sollen auf mehrere Server verteilt werden usw. dann können SPN erforderlich werden.

    Welche SPN genau benötigt werden hängt also massgeblich von Deiner Konfiguration ab. Fehlende SPN lassen sich normaleweise leicht aus den Log einträgen ableiten.

    Ich würde also erst einmal ohne SPN starten. Wenn Deine Dienstkonten keine Domainadmin Konten sidn können natürlich auch immer andere Rechte fehlen. Es muss nicht immer ein SPN sein ;-) Was nicht heißen soll die Dienstkonten sollen Domainadmin sein, sondern das Du daran denken sollt die notwendigen Rechte einzuräumen.

    Grüße

    Thomas

    2012年3月19日 上午 09:55