Anwendungspoolkonto muss als Kerberos registriert werden - Ereignis-ID 6590

  • Artikel

 

Gilt für: SharePoint Foundation 2010, SharePoint Server 2010

Letztes Änderungsdatum des Themas: 2009-09-10

Warnungsname: Application pool account must be registered as Kerberos

Ereignis-ID: 6590

Zusammenfassung: In Microsoft SharePoint Foundation 2010 können die Authentifizierungsanbieter verwendet werden, die von Windows Server 2008 zum Authentifizieren von Benutzern bereitgestellt werden. Beispielsweise kann in Microsoft SharePoint Foundation formularbasierte Authentifizierung oder einmalige Webanmeldung verwendet werden.

Bei Verwendung des Kerberos V5-Authentifizierungsprotokolls muss das Dienstkonto, das vom IIS-Anwendungspool (Internet Information Services, Internetinformationsdienste) für die Webanwendung verwendet wird, in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) als Dienstprinzipalname (Service Principal Name, SPN) für die Domäne registriert sein, in der der Front-End-Webserver Mitglied ist.

Symptome: Dieses Ereignis wird im Ereignisprotokoll angezeigt: Ereignis-ID: 6590 Beschreibung: Das Anwendungspoolkonto verfügt nicht über ausreichende Berechtigungen zum Hinzufügen von Benutzerkonten zu Active Directory. Bei Verwendung von Kerberos-Authentifizierung muss das Dienstkonto, das vom IIS-Anwendungspool für die Webanwendung verwendet wird, in Active Directory als SPN für die Domäne registriert sein, in der der Front-End-Webserver Mitglied ist.

Ursache: Eine oder mehrere der folgenden Ursachen sind möglich:

  • Wenn Sie die Kerberos V5-Authentifizierung verwenden, ist das Webanwendungspoolkonto kein registrierter Sicherheitsanbietername.

  • Wenn Sie formularbasierte Authentifizierung oder einmalige Webanwendung verwenden, konnte der Authentifizierungsanbieter nicht geladen werden, da kein Name eines Mitgliedschaftsanbieters angegeben wurde.

  • Der Webanwendungspool muss neu gestartet werden, damit die Änderungen gespeichert werden.

Hinweis

Zum Ausführen der folgenden Aktion müssen Sie Mitglied der SharePoint-Gruppe Farmadministratoren sein.

Lösung: Ermitteln des von der Website verwendeten Authentifizierungstyps

  1. Klicken Sie auf der Website für die SharePoint-Zentraladministration auf der Schnellstartleiste auf Sicherheit und dann im Abschnitt Allgemeine Sicherheit auf Authentifizierungsanbieter angeben.

  2. Wählen Sie auf der Seite Authentifizierungsanbieter die entsprechende Webanwendung aus. Zum Auswählen einer Webanwendung klicken Sie auf den Pfeil der Dropdownliste Webanwendung und dann auf Webanwendung ändern. Klicken Sie im Dialogfeld Webanwendung auswählen auf die entsprechende Webanwendung.

  3. Klicken Sie auf der Seite Authentifizierungsanbieter in der Liste auf die Zone für die Website.

  4. Auf der Seite Authentifizierung bearbeiten wird der Authentifizierungstyp im Abschnitt IIIS-Authentifizierungseinstellungen angezeigt.

Lösung: Registrieren des Anwendungspoolkontos als Dienstprinzipalname

  • Das Webanwendungspoolkonto ist kein registrierter Sicherheitsanbietername (Security Provider Name, SPN). Wenden Sie sich an einen Domänenadministrator, und stellen Sie sicher, dass es sich bei dem vom Anwendungspool verwendeten Dienstkonto um den registrierten Dienstprinzipalnamen für alle für die Webanwendung aufgelisteten Domänen handelt.

Hinweis

Zum Ausführen der folgenden Aufgaben müssen Sie Mitglied der SharePoint-Gruppe Farmadministratoren sein.

Lösung: Angeben des Mitgliedschaftsanbieternamens und eines Rollen-Managers

  1. Klicken Sie auf der Seite Zentraladministration auf der Schnellstartleiste auf Sicherheit und dann im Abschnitt Allgemeine Sicherheit auf Authentifizierungsanbieter angeben.

  2. Wählen Sie auf der Seite Authentifizierungsanbieter die Zone aus, für die Sie Authentifizierungseinstellungen ändern möchten.

  3. Wählen Sie auf der Seite Authentifizierung bearbeiten im Abschnitt Authentifizierungsmethode die Authentifizierungsoption Formulare oder Einmalige Webanmeldung aus. Standardmäßig ist Windows-Authentifizierung ausgewählt.

  4. Klicken Sie auf Speichern.

  5. Geben Sie im Abschnitt Name des Mitgliedschaftsanbieters in das Textfeld Name des Mitgliedschaftsanbieters den Namen ein.

  6. Geben Sie im Abschnitt Rollen-Managername in das Textfeld Rollen-Managername den Namen ein.

  7. Klicken Sie auf Speichern.

Lösung: Bearbeiten der Authentifizierungseinstellungen für eine Zone

  1. Klicken Sie auf der Seite Zentraladministration auf der Schnellstartleiste auf Sicherheit und dann im Abschnitt Allgemeine Sicherheit auf Authentifizierungsanbieter angeben.

  2. Wählen Sie auf der Seite Authentifizierungsanbieter die Zone aus, für die Sie Authentifizierungseinstellungen ändern möchten.

  3. Wählen Sie auf der Seite Authentifizierung bearbeiten im Abschnitt Authentifizierungsmethode die Authentifizierungsoption aus. Standardmäßig ist die Windows-Authentifizierung ausgewählt.

  4. Wählen Sie im Abschnitt IIS-Authentifizierungseinstellungen die Einstellung aus. Standardmäßig ist Integrierte Windows-Authentifizierung - NTLM ausgewählt. Wenn Sie Aushandeln (Kerberos) auswählen, müssen Sie zum Konfigurieren der Authentifizierung zusätzliche Schritte ausführen.

  5. Klicken Sie auf Speichern.