Johaensel
10-04-09, 11:01
Hallo Forum,
ich habe folgendes Problem : Unsere Firma setzt für die Ameldung der Benutzer an der iseries Single-Signon mit Kerberos-Authentifizierung gegen eine Windows-Domäne ein. Dies lief seit ~1,5 Jahren für eine größere Anzahl Benutzer verhälnismäßig problemlos. Seit 2 Tagen allerdings können sich 2 Benutzer nicht mehr per Client Access unter Verwendung von Single-Signon mit einer iseries verbinden, alle anderen Benutzer haben keine Probleme. Es kommt zu der Fehlermeldung CWBSY1012 = "Kerberos-Service-Principal für Server ISERIES2.xxxxxx.com nicht gefunden".
Die i5 ist partitioniert, unter anderem läuft auf ihr der EIM-Domänencontroller (ISERIES1) und die Instanz, auf welcher sich die Benutzer anmelden (ISERIES2). Alle Benutzer melden sich an einer Windows 2003 Domäne an, die Verbindung zwischen EIM-DomänenController und Windows-Domänencontroller läuft problemlos. Ich will nicht zu tief auf das Setup eingehen, da, wie sich gleich heraustellen wird, meiner Meinung nach ein Userspezifisches Proplem vorliegt.
Der Client der betroffenen Benutzer läuft mit Windows XP SP2. Versuche ich mich allerdings auf deren Rechner mit meinem eigenen Profil mit ISERIES2 zu verbinden, klappt die Single-Signon-Anmeldung problemlos. Wenn sich die betroffenen User von einer anderen Terminal-Sitzung unter Windows 2003 Server mittels Single-Signon verbinden, klappt die Verbindung ebenfalls (!). Remote Sitzungen unter XP schlagen leider ebenfalls fehl.
Da die Anmeldung der Benutzer unter Windows 2003 mit Single-Signon klappt, gehe ich davon aus, daß die EIM-Settings für diese Benutzer korrekt sind und das Problem auf die Kombination Windows XP/Single-Signon zurückzuführen ist.
IBM legt sich bei diesem Fehlercode auf einen Fehler bei der DNS-Auflösung fest.
Dies glaube ich aber ausschliessen zu können, da sowohl Forward- als auch Reverse Lookups auf dem Windows Domain Controller, dem EIM Domänencontroller und der Ziel-iseries erfolgreich waren.
Ich habe ein Trace ausgeführt, welcher im Falle eines Fehlers folgende Meldungen brachte :
Security 32-bit P=1478 T=F0C 6: sock:parseRCs primary rc=0x0 secondary rc=0x0
Security 32-bit P=1478 T=F0C 6: sock:parseExchangeAttrSignonRP cp=serverVRM 0x50400
Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=serverLevel 3
Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=serverPwdLevel 3
Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=qualifiedJobName 298611/QUSER/QZSOSIGN
Security 32-bit P=1478 T=F0C 6: sock::buildKerbTicketRQ cp=kerbTicket
Comm-Base 32-bit P=1478 T=F0C TCP:getHostByAddr Entry
Comm-Base 32-bit P=1478 T=F0C CWBCO1041 - Dynamische Adressensuche für System 10.101.222.2 läuft...
Comm-Base 32-bit P=1478 T=F0C fqn: iseries2.xxxxxx.com
Comm-Base 32-bit P=1478 T=F0C TCP:getHostByAddr Exit rc=0
Security 32-bit P=1478 T=F0C kerb::AcquireCredentialsHandle() rc=0
Security 32-bit P=1478 T=F0C kerb::ServicePrincipalName=krbsvr400/iseries2.xxxxxx.com
Security 32-bit P=1478 T=F0C kerb::InitializeSecurityContext() failed rc=0x80090303
Security 32-bit P=1478 T=F0C kerb::mapSSPItoRC: sec_e_target_unknown -> cwb_kerb_service_ticket_not_found
Comm-Base 32-bit P=1478 T=F0C SVR:disconnect Entry
Comm-Base 32-bit P=1478 T=F0C TCP:send Entry
Comm-Base 32-bit P=1478 T=F0C TCP:sendNow Entry Ein Trace mit meinem Profil und erfolgreichem Single-Signon zeigt dagegen folgendes :
Security 32-bit P=BCC T=1754 3: sock::parseRCs primary rc=0x0 secondary rc=0x0
Security 32-bit P=BCC T=1754 3:sock::parseExchangeAttrSignonRP cp=serverVRM 0x50400
Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=serverLevel 3
Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=serverPwdLevel 3
Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=qualifiedJobName 299461/QUSER/QZSOSIGN
Security 32-bit P=BCC T=1754 3: sock::buildKerbTicketRQ cp=kerbTicket
Comm-Base 32-bit P=BCC T=1754 TCP:getHostByAddr Entry
Comm-Base 32-bit P=BCC T=1754 CWBCO1041 - Dynamische Adressensuche für System 10.101.222.2 läuft...
Comm-Base 32-bit P=BCC T=1754 fqn: iseries2.xxxxxx.com
Comm-Base 32-bit P=BCC T=1754 TCP:getHostByAddr Exit rc=0
Security 32-bit P=BCC T=1754 kerb::AcquireCredentialsHandle() rc=0
Security 32-bit P=BCC T=1754 kerb::ServicePrincipalName=krbsvr400/iseries2.xxxxxx.com
Security 32-bit P=BCC T=1754 kerb::InitializeSecurityContext() rc=0 ticketLen=1507 context=0x802
Security 32-bit P=BCC T=1754 3: sock::buildGetSignonRQ cp=funcReg 3
Security 32-bit P=BCC T=1754 3: sock::buildGetSignonRQ cp=clientCCSID 13488
Security 32-bit P=BCC T=1754 3: sock::getSignonInfo send
Comm-Base 32-bit P=BCC T=1754 TCP:send Entry
Comm-Base 32-bit P=BCC T=1754 TCP:sendNow EntryHat jemand aus diesem Form schon eine ähnliche Erfahrung gemacht und konnte dafür eine Lösung finden ?
Besten Dank schonmal !
Gruß Sven
ich habe folgendes Problem : Unsere Firma setzt für die Ameldung der Benutzer an der iseries Single-Signon mit Kerberos-Authentifizierung gegen eine Windows-Domäne ein. Dies lief seit ~1,5 Jahren für eine größere Anzahl Benutzer verhälnismäßig problemlos. Seit 2 Tagen allerdings können sich 2 Benutzer nicht mehr per Client Access unter Verwendung von Single-Signon mit einer iseries verbinden, alle anderen Benutzer haben keine Probleme. Es kommt zu der Fehlermeldung CWBSY1012 = "Kerberos-Service-Principal für Server ISERIES2.xxxxxx.com nicht gefunden".
Die i5 ist partitioniert, unter anderem läuft auf ihr der EIM-Domänencontroller (ISERIES1) und die Instanz, auf welcher sich die Benutzer anmelden (ISERIES2). Alle Benutzer melden sich an einer Windows 2003 Domäne an, die Verbindung zwischen EIM-DomänenController und Windows-Domänencontroller läuft problemlos. Ich will nicht zu tief auf das Setup eingehen, da, wie sich gleich heraustellen wird, meiner Meinung nach ein Userspezifisches Proplem vorliegt.
Der Client der betroffenen Benutzer läuft mit Windows XP SP2. Versuche ich mich allerdings auf deren Rechner mit meinem eigenen Profil mit ISERIES2 zu verbinden, klappt die Single-Signon-Anmeldung problemlos. Wenn sich die betroffenen User von einer anderen Terminal-Sitzung unter Windows 2003 Server mittels Single-Signon verbinden, klappt die Verbindung ebenfalls (!). Remote Sitzungen unter XP schlagen leider ebenfalls fehl.
Da die Anmeldung der Benutzer unter Windows 2003 mit Single-Signon klappt, gehe ich davon aus, daß die EIM-Settings für diese Benutzer korrekt sind und das Problem auf die Kombination Windows XP/Single-Signon zurückzuführen ist.
IBM legt sich bei diesem Fehlercode auf einen Fehler bei der DNS-Auflösung fest.
Dies glaube ich aber ausschliessen zu können, da sowohl Forward- als auch Reverse Lookups auf dem Windows Domain Controller, dem EIM Domänencontroller und der Ziel-iseries erfolgreich waren.
Ich habe ein Trace ausgeführt, welcher im Falle eines Fehlers folgende Meldungen brachte :
Security 32-bit P=1478 T=F0C 6: sock:parseRCs primary rc=0x0 secondary rc=0x0
Security 32-bit P=1478 T=F0C 6: sock:parseExchangeAttrSignonRP cp=serverVRM 0x50400
Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=serverLevel 3
Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=serverPwdLevel 3
Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=qualifiedJobName 298611/QUSER/QZSOSIGN
Security 32-bit P=1478 T=F0C 6: sock::buildKerbTicketRQ cp=kerbTicket
Comm-Base 32-bit P=1478 T=F0C TCP:getHostByAddr Entry
Comm-Base 32-bit P=1478 T=F0C CWBCO1041 - Dynamische Adressensuche für System 10.101.222.2 läuft...
Comm-Base 32-bit P=1478 T=F0C fqn: iseries2.xxxxxx.com
Comm-Base 32-bit P=1478 T=F0C TCP:getHostByAddr Exit rc=0
Security 32-bit P=1478 T=F0C kerb::AcquireCredentialsHandle() rc=0
Security 32-bit P=1478 T=F0C kerb::ServicePrincipalName=krbsvr400/iseries2.xxxxxx.com
Security 32-bit P=1478 T=F0C kerb::InitializeSecurityContext() failed rc=0x80090303
Security 32-bit P=1478 T=F0C kerb::mapSSPItoRC: sec_e_target_unknown -> cwb_kerb_service_ticket_not_found
Comm-Base 32-bit P=1478 T=F0C SVR:disconnect Entry
Comm-Base 32-bit P=1478 T=F0C TCP:send Entry
Comm-Base 32-bit P=1478 T=F0C TCP:sendNow Entry Ein Trace mit meinem Profil und erfolgreichem Single-Signon zeigt dagegen folgendes :
Security 32-bit P=BCC T=1754 3: sock::parseRCs primary rc=0x0 secondary rc=0x0
Security 32-bit P=BCC T=1754 3:sock::parseExchangeAttrSignonRP cp=serverVRM 0x50400
Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=serverLevel 3
Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=serverPwdLevel 3
Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=qualifiedJobName 299461/QUSER/QZSOSIGN
Security 32-bit P=BCC T=1754 3: sock::buildKerbTicketRQ cp=kerbTicket
Comm-Base 32-bit P=BCC T=1754 TCP:getHostByAddr Entry
Comm-Base 32-bit P=BCC T=1754 CWBCO1041 - Dynamische Adressensuche für System 10.101.222.2 läuft...
Comm-Base 32-bit P=BCC T=1754 fqn: iseries2.xxxxxx.com
Comm-Base 32-bit P=BCC T=1754 TCP:getHostByAddr Exit rc=0
Security 32-bit P=BCC T=1754 kerb::AcquireCredentialsHandle() rc=0
Security 32-bit P=BCC T=1754 kerb::ServicePrincipalName=krbsvr400/iseries2.xxxxxx.com
Security 32-bit P=BCC T=1754 kerb::InitializeSecurityContext() rc=0 ticketLen=1507 context=0x802
Security 32-bit P=BCC T=1754 3: sock::buildGetSignonRQ cp=funcReg 3
Security 32-bit P=BCC T=1754 3: sock::buildGetSignonRQ cp=clientCCSID 13488
Security 32-bit P=BCC T=1754 3: sock::getSignonInfo send
Comm-Base 32-bit P=BCC T=1754 TCP:send Entry
Comm-Base 32-bit P=BCC T=1754 TCP:sendNow EntryHat jemand aus diesem Form schon eine ähnliche Erfahrung gemacht und konnte dafür eine Lösung finden ?
Besten Dank schonmal !
Gruß Sven