RTC/Webserviceverbindung schlägt von Drittclient fehl

Hallo zusammen,
wir haben das Problem, dass RTC-Verbindungen von Drittmaschinen fehlschlagen.

Kurz zur Umgebung:
Wir nutzen unser NAV (Version 2009 R2) unternehmensweit mit dem Classic Client, benötigen aber für kommende Projekte den NAV Webservice bzw. auch den RTC.
der NAV Service-Tier soll auf einer autarken Maschine laufen. Diese Struktur ist dabei vorgesehen:

server9 = SQL Server (SQL Server 2008 R2 auf Windows Server 2008)
--> SQL-Serverdienst läuft als server9\sqlservice
server7 = Service-Tier (Windows Server 2012)
--> NST läuft als Netzwerkdienst
nb01 = Testclient mit installiertem RTC.

Lokale Verbindungen von server7 (egal ob Webservice oder RTC) funktionieren direkt problemlos.
Wenn nb01 versucht sich mit dem server7 zu verbinden, erscheint hingegen diese Meldung: "The login failed when connecting to SQL Server server9." Auf dem SQL Server sehe ich auch entsprechend die (sicherlich bekannte) Meldung "Login failed for user 'NT-AUTORITÄT\ANONYMOUS-ANMELDUNG'. Ursache: Fehler bei der Überprüfung des tokenbasierten Serverzugriffs mit einem Infrastrukturfehler. Suchen Sie nach vorherigen Fehlern. [CLIENT:<IPVONserver7>]". Der Fehler vorher lautet "Fehler: 18456, Schweregrad: 14, Status: 11."

Meine Recherchen haben mich bisher dazu veranlasst diese SPNs anzulegen (diese Befehle habe ich dafür genutzt)
setspn -S DynamicsNAV/server7.domain.local:7046 server7$
setspn -S DynamicsNAV/server7:7046 server7$
setspn -S http/server7.domain.local:7046 server7$
setspn -S http/server7:7046 server7$
setspn -S MSSQLSvc/server9.domain.local:1433 server9$
setspn -S MSSQLSvc/server9:1433 server9$
setspn -S MSSQLSvc/server9.domain.local server9$
setspn -S MSSQLSvc/server9 server9$

setspn-X gibt keine doppelten Einträge zurück.

Weiterhin ist beiden Computerkonten das Recht zur Delegation gegeben. Weiters hat das Computerkonto (wie in KB 305144 beschrieben) server7 die UserAccountControl Flags TRUSTED_FOR_DELEGATION und TRUSTED_TO_AUTH_FOR_DELEGATION manuell gesetzt. Der Wert ist nun 17305600 (dezimal).

Außerdem haben wir den BestPracticeAnalyzer laufen lassen, der keine Fehler ausgespuckt hatte außer, dass constrained delegation nicht aktiviert ist ( was egal sein sollte, da Delegation ja generell für beide Maschinen erlaubt ist).

In anderen Beiträgen in diesem und anderen Foren habe ich keine weiteren Lösungsansätze gefunden.
Nun hoffe ich, dass ihr mir weiterhelfen könnt!

Viele Grüße
Sascha

Herzlich Willkommen bei uns!

In anderen Beiträgen in diesem und anderen Foren habe ich keine weiteren Lösungsansätze gefunden.

Hier auch nicht?
viewtopic.php?p=76767#p76767
viewtopic.php?f=40&t=21143
viewtopic.php?f=40&t=12722
http://www.mibuso.com/forum/viewtopic.p ... 33#p253033
http://www.mibuso.com/forum/viewtopic.p ... 71#p254471

Hallo Natalie,

vielen Dank für die Links. Ein paar mir unbekannte sind schon dabei...

Hier auch nicht?
viewtopic.php?p=76767#p76767

Das Profil ist egal. Ich habe es sowohl mit meinem Account (Domänen-Admin) als auch einem normalen Test-Account (User-Rechte) ohne Erfolg versucht.

viewtopic.php?f=40&t=21143

Logins habe ich synchronisiert -> keine Änderung/Besserung
ClientUserSettings.config habe ich entsprechend angepasst --> keine Besserung
Mein User (client) ist auch SQL-Admin (Rolle sysadmin) und darf so ziemlich alles. Das Computerkonto des NST ist ebenfalls (testweise) als sysadmin auf dem SQL-Server angelegt und zusätzlich noch mit dem Schema $ndo$navlistener und dem select recht auf der NAV Datenbank.

viewtopic.php?f=40&t=12722

Hier scheint das Problem eher darin zu liegen, dass mehrere NST parallel laufen sollen. Das ist hier nicht der Fall. Wenn ich da etwas übersehen habe, bitte ich um genaue Hinweise...

http://www.mibuso.com/forum/viewtopic.p ... 33#p253033

Hier funktioniert der RTC, hingegen der WS nicht. In meinem Fall funktioniert der RTC noch nichtmal.

http://www.mibuso.com/forum/viewtopic.p ... 71#p254471

zu Guterletzt: Der Link funktioniert leider nicht

Danke dennoch dafür...

http://www.mibuso.com/forum/viewtopic.p ... 71#p254471

zu Guterletzt: Der Link funktioniert leider nicht

Bei mir schon ... Ich zitiere daraus:

It seems like a DNS error of some kind. Booting the machine running the NAV Server fixed it for me

Hallo Natalie,

jetzt funktioniert der Link auch bei mir.

Ich habe jetzt zwei Vorgehensweisen, die ich leider erst morgen früh testen kann (Produktivsysteme).
1. SQL Service mit einem Domänenkonto ausstatten und Neustarten
2. server7 neustarten (wie du gerade beschrieben hast).

Ich schreibe morgen mehr, ob und was geholfen hat.

Danke schonmal

Aaalso:
Nach dem Neustart der NST-Maschine und der Änderung des Dienstkontos des SQL Servers funktioniert der RTC jetzt. Ursache war also sehr wahrscheinlich, dass server9\sqlservice nicht unter server9$ in der Domäne fällt.

Leider funktioniert hingegen der Webservice noch nicht wie gewünscht. Ich bin noch im Test einiger Tipps von den vorher genannten Threads und kann daher noch nicht sagen, ob ich es selbst lösen kann oder nicht.

Edit: Der Fehler ist gefunden! In der Webservicekonfiguration auf dem Service-Tier stand noch in der Zeile <add key="WebServicesUseNTLMAuthentication" value="false"></add> ein true. Das führte zu fehlgeschlagenen Logins.