Si tenemos en un servidor SQL y en otro los servicios de NAV, tendremos que configurar kerberos para acceder a los webservices y al cliente RTC.
Las SPNs a crear son:
* Para SQL [SPN para la cuenta que levanta el servicio de SQL]
MSSQLSvc/ServidorSQL:1433
MSSQLSvc/FQDN_ServidorSQL:1433
Si el servidor SQL está en clúster, también añadiremos una SPN sin puerto. Es decir:
MSSQLSvc/ServidorSQL
MSSQLSvc/FQDN_ServidorSQL
* Para los webservice [SPN para el usuario que levanta el servicio de webservice]
HTTP/ServidorNAV
HTTP/FQDN_ServidorNAV
* Para el servicio RTC [SPN para el usuario que levanta el servicio RTC]
NombreInstanciaNAV/ServidorNAV:7046
NombreInstanciaNAV/FQDN_ServidorNAV:7046
Por ejemplo: setspn -a DynamicsNAV/servidor01:7046 dominio\usuario
Si tenemos varias instancias de NAV, deberemos poner todas las que tengamos.
Las SPNs de HTTP no distinguen puerto, por lo que es importante no crear una para el puerto 7047 y otra para el 80, etc. porque si no lo detecta como SPN duplicada y no funciona kerberos.
En AD, los usuarios que levanten el servicio de SQL y NAV deberán tener la pestaña de delegación activa. Es decir, en las propiedades del usuario, en la pestaña Delegación, deberá tener marcada la opción "Trust this user for delegation to any service (Kerberos only)".
No hay comentarios:
Publicar un comentario