[English]Ich möchte noch ein kleines Problem aufgreifen, welches ggf. den einen oder anderen Administrator tangiert, wenn er den Kerberos Configuration Manager for SQL Server verwendet. Im Tool gibt es einen Bug, der bei Verwendung eines Bindestrichs in NETBIOS-Namen zu Fehlern bei der Ausführung von Befehlen führt. Bevor sich jemand einen Wolf sucht, hier die betreffenden Informationen.
Anzeige
Blog-Leser Enrico hat mich vor einiger Zeit in einer Direktnachricht auf X auf das Problem hingewiesen – die Information wurde mir aber erst die Woche überhaupt angezeigt. Enrico schrieb:
Hey, ich weiß nicht ob das von Belangen für die Windows Admin-Welt ist. Aber MS hat ein Kerberos Tool für SQL welches einen kleinen Bug hat, der keine Domainnamen mit "-" erlaubt. Durch die Änderung des IL.Codes mit dnSpy klappte es dann.
Enrico hat mir noch einen Link auf den Microsoft Learn-Forenpost Bug in "Kerberos Configuration Manager for SQL Server", it does't work if AD's NETBIOS name contains hyphen übermittelt, wo das Problem bereits zum 1. März 2024 beschrieben wurde. Der Thread-Starter merkt an, dass der "Kerberos Configuration Manager for SQL Server" nicht mehr funktioniere, wenn im AD NETBIOS-Namen verwendet werden, die einen Bindestrich (hyphen) aufweisen. Der Nutzer gibt als Beispiel den NETBIOS-Namen "TEST-AD" an, der dann die folgende Fehlermeldung erzeugt:
Error: Access of User Principal information failed System.DirectoryServices.AccountManagement.PrincipalServerDownException: The server could not be contacted. ---> System.DirectoryServices.Protocols.LdapException: The LDAP server is unavailable.
Verwendet man dagegen den NETBIOS-Namen "TESTAD", funktioniert der Kerberos Configuration Manager for SQL Server problemlos. Der Betroffene gibt an, dass der Bug wohl in der RegEx-Auswertung in KerberosCM.WMIHelper steckt (siehe folgenden Screenshot).
Anzeige
Im Beitrag wird ein Beispiel skizziert, wo der NETBIOS-Name "XXXX-VIRHE" durch RegEx in "VIRHE" umgewandelt wird, was dann zum Fehler führt. Laut Poster könnte ein weiterer Fehler im Code vorhanden sein. Bearbeitet man den Rückgabewert manuell, damit er mit der richtigen Domäne übereinstimmt, scheint das Programm zu funktionieren. Allerdings wird dann der Benutzername im falschen Format in der GUI (d. h. statt TEST-AD\Admin würde AD\ADMIN angezeigt).
Ein weiterer Nutzer schrieb, dass er den RegEx-Ausdruck im IL-Code mit dnspy, um auch mit Bindestrichen arbeiten zu können. Die Änderung ist im Screenshot, den der betreffende Nutzer gepost hat, dokumentiert. Keine Ahnung, ob Microsoft das aufgreift und fixt.
Anzeige