SQL-Server lehnt Login ab bei RTC-Anmeldung

Guten Morgen,

da das Thema früher oder später aktuell wird, habe ich mich zwecks Erfahrungsgewinnung mit dem Thema NAV 2009 und der 3-tier Architektur beschäftigt. In der Testumgebung laufen derzeit 3 Rechner, die sich alle in der gleichen Domäne befinden. Der genaue Aufbau ist weiter unten angegeben.

Auf SERVER1 wurde eine SQL-Datenbank mit dem normalen CRONUS-Mandanten eingerichtet. Die Einrichtung erfolgte anhand des Buches "80040: Installation and Configuration in Microsoft Dynamics NAV 2009". Die beiden Stored Procedures "xp_ndo_enumusergroups" und "xp_ndo_enumusersids" sind ebenso wie das Trace Flag 4616 gesetzt. Es gibt sowohl ein normales Datenbanklogin als auch ein Windowslogin mit Super-Rechten, die SQL-Severseitig "sysadmin" und "db_owner" sind. Das Sicherheitsmodell ist "Standard". Die SQL-Datenbank ist vom Classic-Client uneingeschränkt erreichbar, sowohl per Windowslogin als auch per Datenbanklogin.

Auf SERVER2 wurde der Dynamics NAV Server Service und der RTC installiert. Der Dienst läuft unter dem Konto eines eigens eingerichteten Domänenusers (mit Adminrechten), der auch auf dem SQL-Server und in der Datenbank als Login existiert. Starte ich den RTC auf SERVER2 bekomme ich anstandslos eine Verbindung.

Auf CLIENT1 läuft der Classic-Client und der RTC. Während der Classic-Client problemlos läuft und sich willig mit der Datenbank verbindet, bekommt der RTC eine Fehlermeldung "The login failed when connecting to SQL Server IP von SERVER1".
Die Domäne befindet auf auf Level "Server 2003". Das verwendete Benutzerkonto des Dienstes wurde gemäß Handbuch per "setspn" als "Service Principal Name" eingerichtet. Ich vermute stark, daß die Anmeldung an der Delegation scheitert. Laut "How To: Set Up Delegation" muß ich bei der Delegation im entsprechenden Benutzerkonto den Eintrag "MSSQLSvc" auswählen, den ich dort aber nicht finden kann - lediglich der Eintrag für den Dynamics NAV Server Service taucht dort auf.

Ich habe das dumme Gefühl, daß mir in der ganzen Schritt-für-Schritt Anleitung irgendwo ein Einzelschritt fehlt, damit das ganze funktioniert. Die Sache scheint jedoch grundlegend zu funktionieren! Solange nur 2 Rechner beteiligt sind (SQL-Server UND Dynamics NAV Server Service auf einem Rechner bzw. RTC und Dynamics NAV Server Service auf einem Rechner) habe ich keinerlei Verbindungsprobleme.

Hat jemand von euch schon Erfahrungen damit gesammelt?

Grüße
Thomas

P.S.: Anbei die Daten der einzelnen Rechner in der Testumgebung

SERVER1
- Windows Server 2003
- SQL Server 2005

SERVER2
- Windows Server 2008
- Dynamics NAV Server Service
- Dynamics NAV 2009 SP1 RTC

CLIENT1
- Windows XP Professional
- Dynamics NAV 2009 SP1 RTC
- Dynamics NAV 2009 SP1 Classic Client

hi thomas,
hilft dir vielleicht die beschreibung aus diesem blog weiter?

daniel

Schau mal unter Walkthrough: Installing the Three Tiers on Three Computers nach "Change the Logon Account for the Microsoft Dynamics NAV Server Service and the SQL Server Service" (als Appetithappen) und dann unter "Setting Up Delegation" nach der Umsetzung. Dort wird der SPN für den SQL Server beschrieben.

Was nicht klar herauskommt ist ein eventueller Unterschied bei den Domainusern für SQL Server Service und NAV Service. Der NAV Dienst-Benutzer muss für Delegierung (AD) konfiguriert sein, der SQL Server User nicht. Bei gleichen Accounts ebenfalls, wobei es dann keine Rolle spielt :)

Zuerst mal ein herzliches Dankeschön für die Antworten.

Das Problem scheint leider ein völlig anderes zu sein. Ich bin im Handbuch über das Stichwort "Kerberos Ticket" gestolpert und habe mal ganz vorsichtig bei unserer Technik nachgefragt, ob wir denn einen Kerberos-Server in unserer Domäne laufen haben. Haben wir natürlich nicht.

Zuerst mal ein herzliches Dankeschön für die Antworten.

Das Problem scheint leider ein völlig anderes zu sein. Ich bin im Handbuch über das Stichwort "Kerberos Ticket" gestolpert und habe mal ganz vorsichtig bei unserer Technik nachgefragt, ob wir denn einen Kerberos-Server in unserer Domäne laufen haben. Haben wir natürlich nicht.

Hmm, also dann müsstet ihr aktiv die Kerberos-Authentifizierung eures Domänencontrollers ausgeschaltet haben. Abgesehen davon, dass ich ad-hoc nicht wüsste, wie man das anstellt, gehe ich davon aus, dass ihr Kerberos nicht deaktiviert habt. NICHT zu verwechseln mit RADIUS!

Meine Hinweise beziehen sich übrigens GENAU auf das Problem mit Kerberos :)