Kerberos-Sicherheitsfehler

Atrono

Neues Mitglied
Hallo zusammen,

kennt jemand den Fehler "Kerberos-Sicherheitsfehler" in Bezug auf die Änderung des Dienstbenutzers für den Sage 100 Application Server 2019 in Verbindung mit SPN und NT-Authentifizierung?

Unsere Geschichte begann mit dem Fehler "System.OutOfMemoryException". Daraufhin haben wir entschieden, (1) die Dienste "Sage Application Server 2019" und "Sage BlobStorageServer 2019" auf beiden Applikationsservern mit dem Domänenbenutzer CONTOSO\sys.sage100 zu betreiben. Hintergrund war, dass ein User mehr Speicher (RAM) als das Benutzerkonto "Lokales System" verwenden kann (Stichwort: Desktop Heap Limitation). Diese Änderung führte zu einer weiteren Änderung (2) in unserer Gesamtstruktur: dem neuen Benutzer und der Änderung des Attributs "servicePrincipalName" (SPN) des Benutzers (siehe Screenshot).

1726148485111.png
(Screenshot servicePrincipalName benutzer sys.sage100)

Durch die Änderungen (1) und (2) trat das Problem seltener auf, aber es war nicht vollständig gelöst. Eine endgültige Lösung brachte uns der tägliche Neustart der Dienste. System.OutOfMemoryException was kicked from the IT-Department...

Leider trat nach etwa einem halben Jahr ein neues Problem in der Microsoft Windows 2019 Gesamtstruktur auf: "Kerberos-Sicherheitsfehler" has joined the IT-Department... (siehe Screenshot)

1726148787295.png
(Fehler in Server-Manager - Kerberos-Sicherheitsfehler)

1726149368129.png
(Fehlermeldung in der Ereignisanzeige des Domänencontrollers (DC)
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "sageerp02$" empfangen. Der verwendete Zielname war HTTP/sageerp02.contoso.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (contoso.LOCAL) von der Clientdomäne (contoso.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.)

Allgemeine Informationen:
- Lizenzen: ~100 Stk. (WaWi, FiBu, Readonly, PPS, DMS, 3rd Party (SQL, API))
- Tägliche User: ~50-70 Stk.
- Server: Windows Server 2019 Datacenter
- Sage 100 Application Server: 2 Stk.
- SQL: Windows SQL Server 2019 4Core
- Datenbank: 25GB
- Terminalserver + Sage 100: Ja
- Client + Sage 100: Ja
1726150254547.png
(Übersicht gesamt Struktur)

Long Story Short: Wir finden den Fehler nicht. Kann uns bitte jemand helfen? Danke.

Gruß
Atrono
 
Moin R.Ziemer,

danke für deine Antwort. Ich Teste das gerne mal bei Gelegenheit, kannst du bitte deine Konfiguration als vergleich kommentieren?
Die Ausgangssituation ist zumindest mal ähnlich, viel Leistung und viele User.

1726527578756.png

Gruß - Atrono
 
Zurück
Oben