Dienstkonto NST

11. Januar 2013 10:08

Guten Morgen,

bisher lief NST und Webservice-Dienst unter dem Netzdienst-Konto. Nun wollen wir auf einen normales Dienstkonto umstellen. Hierzu haben wir ein neues Benutzerkonto erstellt und die Berechtigung zum Starten als Dienst gegeben. Mit diesem Konto lassen sich auch andere Dienst starten. Nur der NST liefert einen Fehler:

Der Dienstendpunkt konnte den URI "net.tcp://UnserServer.UnsererDomain.local:7 ... AV/Service" nicht abhören, da der Zugriff verweigert wurde

setspn für das neue Dienstkonto haben wir ausgeführt (setspn -S DynamicsNAV/UnserServer.UnsererDomain.local:7046 UnsereDomain\navservice).

setspn -S überprüft im Gegensatz zu setspn -A ob schon ein Eintrag vorhanden ist und verhindert so doppelte Eintragungen.

Kann mir einer einen Hinweis geben, was noch falsch sein könnte?

Volker

Re: Dienstkonto NST

11. Januar 2013 12:34

Die Fehlermeldungen beim Start des Dienstes stimmen leider nicht immer.
Hast du geprüft ob das Konto genug Rechte auf SQL-Seite hat?

Re: Dienstkonto NST

11. Januar 2013 13:14

Hi Danjo,

Konto hat schon db_owner Rechte in der NAV DB und Select-Rechte in der Master.

Was noch? Andere Ideen?

Volker

Edit: das Dinestkonto hat Super in NAV und ich kann auch alles innerhalb NAV (CC) ausführen.

Re: Dienstkonto NST

11. Januar 2013 15:23

So, ich bin einen Schritt weiter. Das Konto hatte keine ausreichende Berechtigung innerhalb Windows.

Dienste starten nun beide mit dem neuen Userkonto, aber nur der RTC funktioniert (im LAN). Beim Aufruf von http://MeinServer:7047/DynamicsNAV/WS/SystemService werde ich nach einem Passwort gefragt. Egal was ich eingebe (Admin, Serviceuser, normaler User - alle in NAV angelegt) es passiert nix.

Irgendwo wird da ja wohl was nicht weiter gereicht. Hierzu eine Idee?

Volker

Re: Dienstkonto NST

11. Januar 2013 15:36

WS und NAV2009 sind leider nicht einfach einzurichten.
Hast du die Delegationen alle erstellt (vor allem zwischen NST und SQL)?
Ich hatte auch schon einmal den Fall das nur Benutzer mit sa auf SQL-Seite WebServices konsumieren konnten. Hier fehlte dann eine Delegation, oder die Delegation war nicht 100%ig korrekt eingerichtet.

Re: Dienstkonto NST

12. Januar 2013 14:40

Ich habe jetzt mal einen Testserver(TEST01) mit installiertem NST und WS. Als Dienstkonto habe ich nun den oben angelegten User (navservice) genommen.

Was ich nicht gemacht habe: Ich habe für TEST01 keine(!) SPN gesetzt.

Der Dienst startet mit dem Konto "navservice" und ich kann sowohl vom Testserver als auch von meinem Rechner mit dem RTC zu unserer DB auf einem anderen Server verbinden. Also echt 3-Tier.

Darf das denn sein? Ohne SPN?

Ich habe auch setspn -L mydomain\navservice geprüft und es gibt tatsächlich keine SPN für TEST01.

Der Webservice-Dienst startet zwar erfolgreich, aber ein Aufruf von http://MeinServer:7047/DynamicsNAV/WS/SystemService endet immer noch mit einer Abfrage nach User/Password und einem anschließendem http-Fehler 400.

Ich nutze NAV2009R2 (32012) auf W2008R2 mit SQL2008R2 und Clients W7 und W8.

Kann irgendwer hierzu einen Kommentar geben?

Volker