[NEWSboard IBMi Forum]
  1. #1
    Registriert seit
    Apr 2009
    Beiträge
    3

    Kerberos Fehler CWBSY1012

    Hallo Forum,

    ich habe folgendes Problem : Unsere Firma setzt für die Ameldung der Benutzer an der iseries Single-Signon mit Kerberos-Authentifizierung gegen eine Windows-Domäne ein. Dies lief seit ~1,5 Jahren für eine größere Anzahl Benutzer verhälnismäßig problemlos. Seit 2 Tagen allerdings können sich 2 Benutzer nicht mehr per Client Access unter Verwendung von Single-Signon mit einer iseries verbinden, alle anderen Benutzer haben keine Probleme. Es kommt zu der Fehlermeldung CWBSY1012 = "Kerberos-Service-Principal für Server ISERIES2.xxxxxx.com nicht gefunden".

    Die i5 ist partitioniert, unter anderem läuft auf ihr der EIM-Domänencontroller (ISERIES1) und die Instanz, auf welcher sich die Benutzer anmelden (ISERIES2). Alle Benutzer melden sich an einer Windows 2003 Domäne an, die Verbindung zwischen EIM-DomänenController und Windows-Domänencontroller läuft problemlos. Ich will nicht zu tief auf das Setup eingehen, da, wie sich gleich heraustellen wird, meiner Meinung nach ein Userspezifisches Proplem vorliegt.

    Der Client der betroffenen Benutzer läuft mit Windows XP SP2. Versuche ich mich allerdings auf deren Rechner mit meinem eigenen Profil mit ISERIES2 zu verbinden, klappt die Single-Signon-Anmeldung problemlos. Wenn sich die betroffenen User von einer anderen Terminal-Sitzung unter Windows 2003 Server mittels Single-Signon verbinden, klappt die Verbindung ebenfalls (!). Remote Sitzungen unter XP schlagen leider ebenfalls fehl.

    Da die Anmeldung der Benutzer unter Windows 2003 mit Single-Signon klappt, gehe ich davon aus, daß die EIM-Settings für diese Benutzer korrekt sind und das Problem auf die Kombination Windows XP/Single-Signon zurückzuführen ist.

    IBM legt sich bei diesem Fehlercode auf einen Fehler bei der DNS-Auflösung fest.
    Dies glaube ich aber ausschliessen zu können, da sowohl Forward- als auch Reverse Lookups auf dem Windows Domain Controller, dem EIM Domänencontroller und der Ziel-iseries erfolgreich waren.


    Ich habe ein Trace ausgeführt, welcher im Falle eines Fehlers folgende Meldungen brachte :
    Security 32-bit P=1478 T=F0C 6: sock:parseRCs primary rc=0x0 secondary rc=0x0
    Security 32-bit P=1478 T=F0C 6: sock:parseExchangeAttrSignonRP cp=serverVRM 0x50400
    Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=serverLevel 3
    Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=serverPwdLevel 3
    Security 32-bit P=1478 T=F0C 6: sock::parseExchangeAttrSignonRP cp=qualifiedJobName 298611/QUSER/QZSOSIGN
    Security 32-bit P=1478 T=F0C 6: sock::buildKerbTicketRQ cp=kerbTicket
    Comm-Base 32-bit P=1478 T=F0C TCP:getHostByAddr Entry
    Comm-Base 32-bit P=1478 T=F0C CWBCO1041 - Dynamische Adressensuche für System 10.101.222.2 läuft...
    Comm-Base 32-bit P=1478 T=F0C fqn: iseries2.xxxxxx.com
    Comm-Base 32-bit P=1478 T=F0C TCP:getHostByAddr Exit rc=0
    Security 32-bit P=1478 T=F0C kerb::AcquireCredentialsHandle() rc=0
    Security 32-bit P=1478 T=F0C kerb::ServicePrincipalName=krbsvr400/iseries2.xxxxxx.com
    Security 32-bit P=1478 T=F0C kerb::InitializeSecurityContext() failed rc=0x80090303
    Security 32-bit P=1478 T=F0C kerb::mapSSPItoRC: sec_e_target_unknown -> cwb_kerb_service_ticket_not_found
    Comm-Base 32-bit P=1478 T=F0C SVR:disconnect Entry
    Comm-Base 32-bit P=1478 T=F0C TCP:send Entry
    Comm-Base 32-bit P=1478 T=F0C TCP:sendNow Entry
    Ein Trace mit meinem Profil und erfolgreichem Single-Signon zeigt dagegen folgendes :
    Security 32-bit P=BCC T=1754 3: sock::parseRCs primary rc=0x0 secondary rc=0x0
    Security 32-bit P=BCC T=1754 3:sock::parseExchangeAttrSignonRP cp=serverVRM 0x50400
    Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=serverLevel 3
    Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=serverPwdLevel 3
    Security 32-bit P=BCC T=1754 3: sock::parseExchangeAttrSignonRP cp=qualifiedJobName 299461/QUSER/QZSOSIGN
    Security 32-bit P=BCC T=1754 3: sock::buildKerbTicketRQ cp=kerbTicket
    Comm-Base 32-bit P=BCC T=1754 TCP:getHostByAddr Entry
    Comm-Base 32-bit P=BCC T=1754 CWBCO1041 - Dynamische Adressensuche für System 10.101.222.2 läuft...
    Comm-Base 32-bit P=BCC T=1754 fqn: iseries2.xxxxxx.com
    Comm-Base 32-bit P=BCC T=1754 TCP:getHostByAddr Exit rc=0
    Security 32-bit P=BCC T=1754 kerb::AcquireCredentialsHandle() rc=0
    Security 32-bit P=BCC T=1754 kerb::ServicePrincipalName=krbsvr400/iseries2.xxxxxx.com
    Security 32-bit P=BCC T=1754 kerb::InitializeSecurityContext() rc=0 ticketLen=1507 context=0x802
    Security 32-bit P=BCC T=1754 3: sock::buildGetSignonRQ cp=funcReg 3
    Security 32-bit P=BCC T=1754 3: sock::buildGetSignonRQ cp=clientCCSID 13488
    Security 32-bit P=BCC T=1754 3: sock::getSignonInfo send
    Comm-Base 32-bit P=BCC T=1754 TCP:send Entry
    Comm-Base 32-bit P=BCC T=1754 TCP:sendNow Entry
    Hat jemand aus diesem Form schon eine ähnliche Erfahrung gemacht und konnte dafür eine Lösung finden ?

    Besten Dank schonmal !

    Gruß Sven

  2. #2
    Registriert seit
    Dec 2005
    Beiträge
    276
    Hi Johaensel,

    sieh dir mal den Link an, vielleicht hilft dir das weiter:
    IBM - EIM Failing Intermittently with Message CWBSY1012

    MFG Zerberus

  3. #3
    Registriert seit
    Apr 2009
    Beiträge
    3
    Hallo Zerberus77,

    vielen Dank für den Link, leider brachte dieser mich allerdings auch nicht weiter ...

    Nachdem ich keine andere Möglichkeit mehr gesehen habe, dieses Problem in den Griff zu bekommen, habe ich das lokale Windows-Profil dieses Users auf seinem Rechner gelöscht und ihn nochmal an der Domäne anmelden lassen, damit das Profil neu erstellt wird.

    Anschließend klappte die auch die Anmeldung mit Single-Signon wieder !

    Gruß

    Sven

  4. #4
    Registriert seit
    Feb 2005
    Beiträge
    7
    Zitat Zitat von Johaensel Beitrag anzeigen
    Hallo Zerberus77,

    vielen Dank für den Link, leider brachte dieser mich allerdings auch nicht weiter ...

    Nachdem ich keine andere Möglichkeit mehr gesehen habe, dieses Problem in den Griff zu bekommen, habe ich das lokale Windows-Profil dieses Users auf seinem Rechner gelöscht und ihn nochmal an der Domäne anmelden lassen, damit das Profil neu erstellt wird.

    Anschließend klappte die auch die Anmeldung mit Single-Signon wieder !

    Gruß

    Sven
    Meist ist in der lokalen Host Datei ein Eintrag zum System vorhanden, diesen löschen.
    C:\Windows\system32\drivers\etc die Datei HOSTS editieren und den Eintrag zur AS/400 löschen.

Similar Threads

  1. Os400 Fehler ?
    By Robi in forum IBM i Hauptforum
    Antworten: 10
    Letzter Beitrag: 04-11-06, 17:02
  2. Fehler bei SNDDST
    By sysopr in forum IBM i Hauptforum
    Antworten: 3
    Letzter Beitrag: 23-08-06, 15:10
  3. Finde Fehler bei SQL nich...
    By deni87991 in forum IBM i Hauptforum
    Antworten: 11
    Letzter Beitrag: 08-08-06, 14:50
  4. Fehler im SQL bzw. Joblog
    By GraueEminenz in forum NEWSboard Programmierung
    Antworten: 1
    Letzter Beitrag: 10-07-06, 12:58
  5. ODBC Verbindungs Fehler (-7778)
    By Hubert in forum IBM i Hauptforum
    Antworten: 4
    Letzter Beitrag: 10-05-06, 10:41

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • You may not post attachments
  • You may not edit your posts
  •