table does not exist

[davidx]

table does not exist ../images/Emo53.gif

שלום, לאחרונה קיבלתי והתקנתי שרת IIS חדש לאירגן על השרת הועלו מערכות WEBיות מהשרת הישן כל מעבר ה-Web Sites בוצע ע"י יצוא לקובץ XML וכל הDATA הועתק בהתאם על השרת הותקן Windows 2003 SP1 כמו כן השרת החליף את השרת הישן בכך שירש את שמו ואת חשבונו בActive Drectory (השרת שבו הכל עבד) מאז כל המערכות שמשתמשות בזיהוי LDAP ל הActive Drectory קוד מהצורה:

set objConnection = CreateObject("ADOB.Connection") objConnection.Provider = "ADSDSoObject" objConnection.Open = "LDAP://Domain" Set ObjRS = objConnection.Execute("<LDAP://DOMAIN>;(&(cn=" & UserID & ")(ObjectClass=user));AdsPath;subtree)"​

מחזירות הודעת שגיאה: Provider error '50040e37' Table does not exist שנופלת על ה-Execute לדעתי הבעיה נובאת בDelegate של המשתמש ע"י המערכות חיפשתי בEevntLog ושמתי לב כי זיהוי של משתמש בשרת בו יש את הבעיה בAuthentication Package מופיע NTLM ובשרת בו אין את הבעיה מופיע Kerberos האם זאת הבעיה ? ואם כן איך אפשר להגדיר שהשרת יעבוד בKerberos? אשמח לשמוע רעיונות נוספים

 

[antidot]

יש לך סלט שלם שם

החל משגיאות סינטק וכלה בהעברת פרמטרים לא נכונים ושימוש לא נכון באובייקטים. קח דוגמא שעובדת:

Set objConnection = CreateObject("ADODB.Connection") Set objRS = CreateObject("ADODB.Recordset") objConnection.Provider = "ADSDSoObject" objConnection.Open = "ADs Provider" Set objRS.ActiveConnection = objConnection objRS.Open("<LDAP://DOMAIN>;(&(cn=guy)(ObjectClass=user));AdsPath;subtree") objRS.MoveFirst Do Until objRS.EOF WScript.echo objRS.Fields(0).Value objRS.MoveNext Loop​

 

[davidx]

-->

הבעיה היא לא בקוד אלה בהגדרות השרת

 

[antidot]

אה ?

יש לך שגיאות בקוד. מה שצירפת פשוט לא ירוץ.

 

[davidx]

הקוד זה רק דוגמה לרעיון

יתכן שהעתקתי אותו לא נכון השאלה היא בגדול איך לשנות שהשרת יעבוד ב- Kerberos ולא NTLM ותודה מראש

 

[antidot]

delegation מוגדר ?

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerbdel.mspx

 

[davidx]

כן

כל הגדרות הActive Director נשארו מהחשבון הישן

 

[antidot]

------>

מה הפלט של:

cscript C:\Inetpub\AdminScripts\adsutil.vbs get w3svc/1/root/NTAuthenticationProviders​

?

 

[davidx]

אני מקבל הודעת שגיאה

ErrNumber: -2147463164 (0x80005004) Error Trying To GET the Schema of the property: IIS//localhost/Schema/NTAuthenticationProvider

 

[antidot]

-------->

: http://support.microsoft.com/Default.aspx?id=215383

 

[אביעד אב]

בנוסף לסימונים ב AD :

יש עוד דברים שעליך לעשות חוץ מסימון DELEGATION הנ"ל ב AD. 1. יש לסמן DELEGATION ליוזר של ה application pool שמריץ את האתר. 2. אותו יוזר צריך להיות לו הרשאות ב LOCAL GROUP POLICY של Act as an operation system ו Impersonate a client after authentication 3. תבדוק שה Internet Explorer שלך רץ ב Local Intranet באותו אתר שאתה מנסה לקבל בו KERB. 4. וודא שיש רשומת SPN לכתובת ביוזר setspn -L username (אם אין תוסיף setspn -A HTTP/FQDN username . 5. יש לוודא שאין רשומות SPN כפולות לאותו FQDN , רשומה כפולה כזו תחסום ולא תתן לך להזדהות ב KERB. בברכה, אביעד א.

 

[davidx]

שני שאלות

1. לא לגמרי ברור לי מה הכוונה שלך ה-application pool רץ עם network service וככה זה עובד לי בשרת אחר 3. אתה ודאי מתכוון ל computername ולא לusername? אם כן אז זה כבר מוגדר

 

[אביעד אב]

אז ככה

במידה וה application pool רץ על network service זה אומר שזה יוזר מקומי ואז כל ההגדרות עושים על השרת. אם זה סימון V ב AD , אם זה הגדרת SPN וכו'..

 

[antidot]

לא

network service עושה impersomalization כחשבון מחשב כאשר הוא ניגש למשאבים חיצוניים וזה אומר שמספיק לסמן סה"כ checkbox על trust this account for delegation.

 

[אביעד אב]

אל תגיד לא...

צריך יותר מאשר וי על trust this acout for delegation .. כאשר היוזר הוא network service יש עדיין צורך ב SPN , זה שזה נוצר כברירת מחדל בכל התקנת שרת זה לא אומר שחייב להיות שהוא קיים. - עדיין מצריך שהאתר יהיה בZONE של LOCAL INTRANET ב INTERNET EXPLORER - עדיין מצריך שיהיה ל NETWORK SERVICE הנ"ל הרשאות ב LOCAL GROUP POLICY שוב, זה שהוא כברירת מחדל נמצא שם , לא אומר שהוא קיים במצב הנוכחי. וכו'.... ----- בברכה, אביעד א.

 

[antidot]

המממ

אתה כן צריך SPN אם אתה מריץ את app pool תחת חשבון יעודי שהוא לא network service או local system לחשבון מחשב כבר יש SPN שמספיק בשביל Kerberos כל עוד לא משתמשים בconstrained delegation (ובמקרה שלו אכן צריך SPN עבור HTTP). "זה שזה נוצר כברירת מחדל בכל התקנת שרת זה לא אומר שחייב להיות שהוא קיים" - במקרה ולחשבון מחשב אין SPN מהצורה של HOST/computername.domain.com;HOST/NETBIOSname, המחשב יעוף מהר מאוד מהAD כיוון שלא יצליח לבצע אוטנטיקציה דרך Kerberos.

 

[אביעד אב]

קיצר מה שאמרתי..

קרה לנו מקרה גם ששיננו DNS והרשומת SPN הנ"ל לא התעדכנה..אז ה KERB לא עבד. אתה מבין אבל בגדול מה אמרתי ? צריך עדיין שה IE יעבוד כ Local Intrenet ועדיין צריך SPN וכו'.. יש לו בעיה שלא עובד לו ה KERB , אני נותן לו כל הכוונה ללכת לדברים שכן יכולים להיות נקודת כשל מבחינתו. ----- בברכה, אביעד א.

 

[antidot]

שים לב לתמונה

ואם אתה יוצא מנקודת הנחה שאין לך SPN עבור HOST/FQDN ו-HOST/NETBIOSname, אז אתה במצב שIIS זאת הדאגה האחרונה שלך - הרבה יותר מאוטנטיקציה של IIS לא יעבדו. לינק לסקריפט ASP לבדיקה: http://blogs.msdn.com/darwin/archive/2005/10/28/486056.aspx

 

[אביעד אב]

אהלן

לא מבין מה אתה מנסה לאמר. אני מסכים איתך עם כל מילה בתגובה האחרונה שלך. אני עוזר לבחור למצוא בעיה =) אני מכוון אותו מתוך נסיון על בעיות שנתקלתי בעבר. המשך יום טוב ויאאלה ברסה ----- בברכה, אביעד א.

 

[davidx]

שאלה

אני רוצה להבין משהו זה שהיוזר עושה impersomalization זה עובד רק ב-Kerberos או גם בNTLM?