Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Oui un cas type de double hop et de délégation Kerberos qui ne fonctionne pas. En étant sur le serveur SSRS tu élimines le double sautJuste je suppose que tu dois t'en douter mais je le dis qd même au cas où ça t'aide dans ton analyse : quand je lance le report depuis le serveur srv2 avec IE j'affiche bien le rapport.
++
Je pense à quelque chose : ça peut semble fantaisiste mais je me demande si le fait que j'utilise le même compte de domaine pour les deux services n'est pas considéré comme un doublon de SPN??
Tu peux toujours essayer de changer de compte .. d'ailleurs en terme de bonne pratique ca serait mieux mais on arrive à avoir un doublon SPN quand un même service est présent pour 2 comptes de domaine différents.
D'ailleurs lorsque tu lances la commande setspn -S il vérifie avant de le créer qu'un service est déjà existant pour éviter les doublons.
De mon côté pas eu encore le temps de remonter une infra .. donc si tu as des news qui t'ont fait avancé ... n'hésite pas à nous en faire part.
++
Il y a quand même une chose qui m'intrigue :
J'ai lancé Wireshark coté client avec un filtre sur Kerberos et j'ai regardé les trames qui y transitent lorsque j'accès au serveur de rapport et là j'ai le message : KRB5KDC_ERR_PREAUTH_REQUIRED qui apparait.
Je veux bien que ce message ne soit pas grave au lancement du service Reporting Services mais ça me parait pas normal lorsque c'est le client qui souhaite s'authentifier.
Ca maaaarccchhheee
Ca mmmmmarrrrchhee !!!!!
En réalité c'est une des deux raison suivantes :
- soit le fait de donner un nouveau compte de service pour srv1 (e, avoir deux différent pour srv1 et srv2)
- soit le fait de mettre le port dans la commande setspn
C'est comme cela que fonctionne les authentifications dans le domaine Windows. La pré authentification est effectuée dans une sous requête lorsque le message est envoyé au client depuis le KDC. Dans la plupart des cas (voir 98%) ce n'est pas très grave ... tu peux tout fois désactiver l'obligation de pré authentification via users & computers -> <user> properties -> account (Do not require Kerberos preauthentication)Je veux bien que ce message ne soit pas grave au lancement du service Reporting Services mais ça me parait pas normal lorsque c'est le client qui souhaite s'authentifier.
Possible j'avoue toujours avoir utiliser 2 comptes mais théoriquement cela ne devrait pas jouer ... mais dans le doute je vérifierai tiens- soit le fait de donner un nouveau compte de service pour srv1 (e, avoir deux différent pour srv1 et srv2)
Quel port as-tu précisé ?- soit le fait de mettre le port dans la commande setspn
++
1433 : c'est pour ça que je suis sceptique : c'est le port par défaut
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager