Hallo Zusammen,
Mir stellt sich folgendes Problem:
Mittels einer ASP.NET Anwendung in die ADS greifen und User objekte auslesen / anzeigen.
Programmässig kein Problem über einen fest mitgegebenen User/Passw.
Sobald ich aber User abhängig arbeiten will (jeder darf nur sehen auf was er auch berechtigt ist) arbeite ich mit "Identity Impersonate=True" in der Webconfig und Delegation Client --> IIS - Server --> ADS
Lokal auf dem IIS funktioniert das prima IIS - Server --> ADS is voll ok.
Nur sobald ich auf die Delegation angewiesen bin bekomme ich beim Connect auf die ADS einen Fehler.
Die Delegation ist für den IIS - Server erlaubt. Er hat die Einstellung "Trust this Computer for Delegation to any Service (Kerberos only) da ich leider bis keinen Ausweg gefunden habe um die ADS direkt als Ziel anzugeben (besteht ja meines wissens aus vielen DC´s, das Protokoll währe dann wohl LDAP). Vielleicht ist da schon der Fehler ?!
Eintrag in der Registry vom Server damit er die Kerberos Fehler ins Event Log schreibt ist ebenfalls gesetzt.
Soweit die Vorbereitung, jetzt zum Fehler:
Sobald der Fehler am am Client auftritt bekomme ich am IIS folgenden Eintrag im Event Log:
-----------------------------------------------------------------------------------------------------------------------------------------------------
Ereignistyp: Fehler
Ereignisquelle: Kerberos
Ereigniskategorie: Keine
Ereigniskennung: 3
Datum: 23.12.2005
Zeit: 14:28:03
Benutzer: Nicht zutreffend
Computer: <<Computername>>
Beschreibung:
A Kerberos Error Message was received:
on logon session
Client Time:
Server Time: 13:28:4.0000 12/23/2005 Z
Error Code: 0xd KDC_ERR_BADOPTION
Extended Error: 0xc00000bb KLIN(0)
Client Realm:
Client Name:
Server Realm: <<Domain>>
Server Name: host/<<Computername>>.<<Domain>>
Target Name: host/<<Computername>>.<<Domain>>@<<Domain>>
Error Text:
File: 9
Line: ae0
Error Data is in record data.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 30 15 a1 03 02 01 03 a2 0.¡....¢
0008: 0e 04 0c bb 00 00 c0 00 ...»..À.
0010: 00 00 00 03 00 00 00 .......
-----------------------------------------------------------------------------------------------------------------------------------------------------
Wenn ich mich mit ntsd -p <<pid von lsass.exe>> hänge dann bekomm ich gleichzeitig folgende Meldung:
-----------------------------------------------------------------------------------------------------------------------------------------------------
664.756> Kerb-S4u: KerbCreateDummyLogonSession created logon session for 0x0:0xe
1109 - 000A6FB0
664.756> Kerb-Cred: Acquiring cred, S4U required
664.768> Kerb-S4u: Trying S4UProxy for ls 000A6FB0
664.700> Kerb-Bnd: KerbInsertBinding binding cache disabled
664.700> Kerb-Bnd: Calling kdc <<IP von DC>> for realm <<Domain>>
664.768> Kerb-Bnd: KerbInsertBinding binding cache disabled
664.768> Kerb-Bnd: Calling kdc <<IP von DC>> for realm <<Domain>>
664.700> Kerb-Warn: KerbGetTgsTicket failed to unpack KDC reply: 0x3c
664.700> Kerb-Warn: Failed S4Uproxy request c00000bb(4)
664.768> Kerb-S4u: KerbGetS4UProxyEvidence created non-delegatable logon session
via s4u logon
664.768> Kerb-Error: Failed to get S4UProxy Evidence ticket 8009030e
-----------------------------------------------------------------------------------------------------------------------------------------------------
Woran kanns liegen?
Ich komm nicht mehr weiter ... Technet, Google, Microsoft KB ... Alles versucht.
Vielen Dank für euere Hilfe!
Und vor allem schöne Weihnachten!
Michael
