J’ai souvent a diagnostiquer des problèmes d’identification Kerberos sur mes déploiements SharePoint… He oui… La connexion aux sources de données distantes pour les exploiter dans les outils décisionnels de SharePoint nécessite souvent ce type d’authentification.
Les moyens de diagnostiquer ces problèmes d’identification ont déjà fait l’objet de quelques unes de mes présentations comme par exemple en juillet dernier a Montréal:
Commençons déjà par activer l’enregistrement des événements Kerberos dans le gestionnaire d’événement de votre serveur Windows.
Hehe… Evidemment, cet enregistrement n’est pas active par défaut… Car il peut être très consommateur de ressources.
Pour les activer, rien de très compliquer. Il faut juste avoir les permissions nécessaires pour le faire et modifier ou créer la valeur du paramètre « LogLevel » place a l’adresse suivante « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters » dans le registre.
Rien de très sorcier mais toujours utile à avoir en tête…
Enfin jusqu’à ce qu’on nous libère enfin de l’obligation d’utiliser Kerberos…
Donc rendez-vous dans votre le registre de votre machine a « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters »
Puis éditez ou créez le paramètre « LogLevel » qui doit normalement être de type « REG_DWORD »
Et donner lui la valeur « 1 » ou plutôt « 0 x 00000001″
Et voila…
Depuis la vue System de votre Gestionnaire des Événements, vous obtenez vos messages Kerberos…
Bon… Bin maintenant il faut savoir pourquoi ça ne fonctionne pas correctement… 😛
Pensez à commencer par les trucs basiques…
- Vérifier vos SPNs
- Vérifier qu’il n’y ai pas de doublon
- Vérifier votre DNS et surtout: Avez vous pensez a utiliser des Noms d’Hôte pour vos machines et surtout pas de CNAME
- Vérifier l’ordre de résolution du DNS
- Les délégation a vérifier…
La soirée va être longue maintenant… 😉
