Inhalte
Problembeschreibung
SharePoint Anmeldung scheitert. Die Anmeldemaske (SharePoint Login Fenster) wird drei Mal angezeigt, dann bleibt das Browser-Fenster leer, ohne Fehlermeldung.
Oder; nach dem man sich in SharePoint (SP) angemeldet hat, werden z.B. beim Aufrufen eines Dokuments, trotzdem noch mal die Login-Daten abgefragt (Stichwort Single Sign On), und das sogar mehrmals hinter einander.
Falls SharePoint-Kalender im Outlook eingebunden sind, zeigt sich folgendes Verhalten:
Outlook zeigt das Anmeldefenster (mit der Server-Adresse, nicht die von Loadbalancer), wenn man einen SharePoint-Kalender abonniert hat.
Beim Starten von Outlook wird auch folgende Fehlermeldung angezeigt:
Fehler (0x80070005) beim Ausführen der Aufgabe „SharePoint“: „Sie sind nicht berechtigt, die SharePoint-Liste (xxxxxx) anzuzeigen. Wenden Sie sich an den Administrator der SharePoint-Website. HTTP 401.“
Lösung
Zone Lokales Intranet
Die SharePoint-Seite bzw. die URL der Webanwendungen (auch für my-sites) zur Zone „Lokales Intranet“ in den Interneteinstellungen hinzufügen. Erst dann kann die Benutzeranmeldung bzw. die Anmeldedaten auch weiter geleitet werden.
Auch sollte man den DNS-Namen des LB und seine Aliase in die Zone „Lokales Intranet“ mit aufnehmen.
Ohne diese Einstellung funktionieren einige Features des SharePoints nicht wie z.B. eine Bibliothek „Mit Explorer öffnen“.
Darauf achten, dass die Stufe für „Lokales Intranet“ dabei auf „Niedrig“ steht!
„Vertrauenswürdige Sites“ reicht nicht aus, da automatisches Anmelden (aktuelle Windows-Kennung oder gespeicherte Anmeldeinformationen) Standardmäßig nur auf Intranet-Zone eingestellt ist s.Bild.
Unnötige AAM-Einträge und IIS-Bindings entfernen
Wenn das LogIn-Fenster jedes Mal einen Server-Namen aus dem Loadbalancing-Verbund anzeigt, obwohl eine andere Startadresse eingegeben wurde (Beispiel: Startadresse https://sharepoint.domain.de im LogIn-Fenster kommt dann srv-sp-wfe01), dann kann man versuchen unnötige Einträge in der Liste der alternativen Zugriffsordnungen (AAM) und in der Liste der IIS-Bindings, die auf den einzelnen Server zeigen zu entfernen (bei einer Umgebung mit dem Einsatz eines LB), sodass nur die DNS-Einträge des LB bestehen bleiben.
Kerberos Authentifizierung korrekt einstellen
Folgendes Verhalten kann auftreten, falls die SP-Farm auf Kerberos eingestellt ist.
Man wird von der Site-Adresse (wie sharepoint.domain.local) drei mal zu einem (einzelnen, hinter dem LB stehenden) Web-Server umgeleitet (s. SharePoint Anmeldung u.)
Direkt danach sieht man im Entwicklermodus (F12 im IE) den HTTP Fehler 401.1
Ereignisprotokoll
| Protokoll(name) | System |
|---|---|
| Quelle | Security-Kerberos |
| Aufgabenkategorie | Windows Update-Agent |
| Ebene | Fehler |
| ID | 4 |
| Details | Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server „SvcSpDevApp01“ empfangen. Der verwendete Zielname war HTTP/server.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (DOMAIN.LOCAL) von der Clientdomäne (DOMAIN.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. |
Lösung:
Man sollte für alle WebFrontEnds (WFEs, Webserver) SPNs erstellen (je zwei pro Host: Hostname und FQDN)
Beispiel:
Setspn -s HTTP/server.domain.local domain\SvcSpDevApp01
Setspn -s HTTP/server domain\SvcSpDevApp01
Auch kann es Schwierigkeiten geben, nachdem der Dienst „Microsoft SharePoint Foundation-Webanwendung“ gestartet wurde.
In unserem Fall wurde der Dienst nachträglich auf den App-Servern gestartet (um die Fehlermeldung „Anwendungspools werden wiederverwendet, wenn die Arbeitsspeicher-Grenzwerte überschritten werden“ im Health Analyzer zu beseitigen). Direkt danach wurden die Anmeldedaten nicht akzeptiert (die Anmeldemaske kam immer wieder, ohne Fehlermeldung). Nach dem Beenden der Dienste auf den App-Servern war das Verhalten weg.
Authentifizierungseinstellungen in SP kontrollieren
Als letzte (Not-)Lösung die Authentifizierung kontrollieren und evtl. auf NTLM einstellen.
Dazu in der Zentralen Administration (ZA) die Webanwendung markieren, dann Authentifizierungsanbieter anklicken.
1 Unauthorized – Die Anfrage kann nicht ohne gültige Authentifizierung durchgeführt werden. Wie die Authentifizierung durchgeführt werden soll, wird im „WWW-Authenticate“-Header-Feld der Antwort übermittelt.