Doppelte SPNs

Question

Hallo Zusammen,

ich habe für die Service Accounts CRM 2011 SPNs gesetzt. Ich erhalte nun auf dem DC die Event ID 11 Fehlermeldung (Doppelte SPNs)

Was ist hier falsch? Laut Microsoft IG für CRM 2011 sollten die SPNs so richtig sein.

Vielen Dank

SETSPN -a http/FullyQualifiedName domainName\crmasyncservice
SETSPN -a http/netbiosName domainName\crmasyncservice
SETSPN -a http/FullyQualifiedName domainName\crmservice
SETSPN -a http/netbiosName domainName\crmservice
SETSPN -a MSCRMSandboxService/netbiosName domainName\crmsandbox
SETSPN -a http/FullyQualifiedName domainName\crmdeployment
SETSPN -a http/netbiosName domainName\crmdeployment

Answer 1

Ich würde zunächst einmal identifizieren, welche Einträge doppelt sind mit

http://support.microsoft.com/kb/321044/en-us

---

Carsten Groth http://carstengroth.wordpress.com Microsoft Dynamics Certified Technology Specialist

Answer 2

Hallo Carsten,

diesen habe ich schon per vb script abgefragt.

Es gibt 3 server und für alle 3 wird ausgegeben das der "crmservice" doppelt ist. Ich habe per ADSI editor überprüft und festgestellt das bei jedem Service Account die FQDN und NETBIOS version hinterlegt ist. (Siehe oben)

Nachdem ich bei allen Service Accounts die FQDN version gelöscht habe habe ich nur noch für crmservice doppelte einträge wobei per ADSI editor ich keine doppelten Einträge mehr finde.

Wenn ich aber die FQDN spn lösche dann stimmen ja die SPNs nicht mehr wie ich sie (siehe oben) angelegt habe. Deshalb ist die Frage ob es wie oben beschrieben richtig angelegt worden ist oder nicht.

Answer 3

Hallo Hurrikane1982,

du verwendest

3 x http/FullyQualifiedName
3 x http/netbiosName

das rennt nicht und ist in jedem Fall falsch die HTTP SPN braucht nur das Konto das denm Webservice ausführt als das Konto des CRMApppools

der asyncservice z.B. bietet keinen HTTP Service an, wozu baucht der einen HTTP SPN ?

Also noch mal genau in die Doku sehen.

Viel hielft viel ist hier denfinitv falsch.

Grüße

Thomas

Answer 4

Hallo Thomas,

danke für deine Antwort. Wenn ich den Installationsguide richtig verstehe benötige ich SPNs nur wenn ich NLB oder Cluster nutzen möchte.

D.h. für eine Standartinstallation benötige ich keine SPNs. Ist das so richtig?

Denn wenn ich diesen Blog lese verstehe ich das anders,

http://blogs.msdn.com/b/crm/archive/2009/08/06/configuring-service-principal-names.aspx

Das MS SQL und CRM 2011 sind auf 2 eigenen Servern.

Und wenn ich das hier lese: http://msdn.microsoft.com/en-us/library/hh367438.aspx müsste ich nur den Kernel Mode einschalten und alles wird automatisch gemacht?

Dieses Thema finde ich leider sehr verwirrend.

Answer 5

Hallo Hurrikane1982,

der erste Link bezieht sich auf CRM 4.0 das nur mal zur Info, auch wenn wesentliche Dinge gleich sind.

Wenn Du einen SQL Server (mit Reporting Services) und einen CRM Server mit allen Rollen hast brauchst Du zunächst mal überhaupt keine SPN für die Dienstkonten konfigurieren und CRM sollte nach der Installation direkt rennen.

Wenn Du dann was besonderes bauen willst z.B. CRM soll unter einem besonderen von Servernamen abweichenden URL laufen, ADFS  /IFD, die Rollen sollen auf mehrere Server verteilt werden usw. dann können SPN erforderlich werden.

Welche SPN genau benötigt werden hängt also massgeblich von Deiner Konfiguration ab. Fehlende SPN lassen sich normaleweise leicht aus den Log einträgen ableiten.

Ich würde also erst einmal ohne SPN starten. Wenn Deine Dienstkonten keine Domainadmin Konten sidn können natürlich auch immer andere Rechte fehlen. Es muss nicht immer ein SPN sein ;-) Was nicht heißen soll die Dienstkonten sollen Domainadmin sein, sondern das Du daran denken sollt die notwendigen Rechte einzuräumen.

Grüße

Thomas