[Gelöst] - RTC über Internet mit Datenbank verbinden

[rotsch]

Hallo zusammen,

Wenn ich ein offene VPN-Verbindung zu einem entfernten Server habe, auf welchem ein NAV-MiddleTier läuft müsste ich doch mit meinem lokalen RTC darauf zugreifen können. Oder verstehe ich da etwas falsch? Muss sich da meinen lokalen RTC oder den MiddleTier speziell dafür konfigurieren?

Vielleicht sind ja meine Fragen schon komisch, bin aber um jeden Tipp dankbar, da ich hier anstehe.

Zuletzt geändert von rotsch am 1. Februar 2014 14:34, insgesamt 1-mal geändert.

Hi,

in der Theorie sollte das klappen.
Hängt etwas von der Version und Authentifizierungsmethode ab.
Wenn Rechner und Server in der selben Domäne sind und du mit Windowslogins arbeitest sollte es auf jeden Fall gehen.

Ist der Rechner in einer anderen Domäne, kannst du immer noch auf UseRPassword umstellen um dich anmelden zu können.

Besteht zwischen den beiden Domänen ein Two-Way-Foresttrust geht es mit 2013, mit 2009 hackelst allerdings immer weider mal.

Wenn der RTC von dem Rechner im Firmennetz (ohne VPN) geht, kannst du mal prüfen ob die Namensauflösung im VPN richtig funktioniert. Evtl. kann er mit dem Namen in der Config nix anfangen.

Hi Danjo, danke für deine Antwort!

Wenn Rechner und Server in der selben Domäne sind und du mit Windowslogins arbeitest sollte es auf jeden Fall gehen.

Da ich den Test mit meinem Rechner auf dem Kundenserver versuche bin ich nicht in derselber Domäne.

Ist der Rechner in einer anderen Domäne, kannst du immer noch auf UseRPassword umstellen um dich anmelden zu können.

Das werde ich versuchen, muss aber erst einen neuen User bekommen dafür, den ich entsprechend einrichten kann.

Besteht zwischen den beiden Domänen ein Two-Way-Foresttrust...

Das sagt mir leider nichts. Ist das etwas, das in der Firewall konfiguriert werden muss?

Wenn der RTC von dem Rechner im Firmennetz (ohne VPN) geht, kannst du mal prüfen ob die Namensauflösung im VPN richtig funktioniert. Evtl. kann er mit dem Namen in der Config nix anfangen.

Wenn ich via RDP auf den Server gehe, kann ich von da NAV problemlos starten. Wie würde ich denn die Namensauflösung der VPN prüfen?

OK, in der Situation fällt einiges weg.

Für "UserPassword" benötigst du ein eigenes ServiceTier und ein passendes Zertifikat.
Am RDP bist du ja mit einem anderen Benutzer als am Rechner.

Foresttrust kannst du hier auch ausschliessen. (da geht es um Vertrauenstellung zwischen Domains. in diesem Fall zwischen zwei Firmen)

Die Namensauflösung kannst du mit
PING AppServerName
prüfen.
Kommt eine IP klappts, kommt ein Fehler nicht.

PING AppServerName

Du meinst damit den Namen des Servers, auf welchem der NAV-MiddleTier läuft, richtig? Da kommt jene IP zurück, die dem Server zugewiesen ist. Wenn ich aber im RTC auf den Server verbinden will mit //ServerName:7046/ServiceName erhalte ich die Fehlermeldung das kein Service gefunden wurde unter net.tcp://ServerName:7046/ServiceName/Service

Gebe ich ev. die Serveradresse falsch ein?

Wenn ich aber im RTC auf den Server verbinden will mit //ServerName:7046/ServiceName erhalte ich die Fehlermeldung das kein Service gefunden wurde unter net.tcp://ServerName:7046/ServiceName/Service
Gebe ich ev. die Serveradresse falsch ein?

Moin,

Das Problem besteht hier im aufbau des Systems.
Um auf den Service zugreifen zu können müssen SPNs innerhalb der Domäne gesetzt sein.
Diese werden bei NAV 2013 zwar semi-automatisch erzeugt, nützen dir aber auf einem Domänen-Fremden Rechner nichts.

Daher sehe ich zur Zeit lediglich zwei Möglichkeiten wie es funktionieren könnte (kann es aber nicht garantieren).
1) Installiere den WebClient auf einem Server in der Domäne und verbinde dich über VPN auf diesen
2) Erstelle noch ein ServiceTier mit CredentialType "UserPassword" oder besser noch "NavUserPaassword" (Hierzu am besten die OnlineHilfe verwenden)

Im Fall von "NavUserPassword" kannst du dann innerhalb von NAV einen Benutzer anlegen.
Die Settings für deinen lokalen RTC stellst du entsprechend des CredentialTypes ebenfalls um.
Ein Aufruf des RTC sollte nun nach deinem Login fragen.
Ist dies nicht der Fall, kannst du noch versuchen den Servername als FQDN in den Settings einzutragen.

Hallo Danjo

Bin nun einen grossen Schritt weiter. Ich habe einen eigenen NST für diesen Zugriff erstellt. Diesen habe ich umgestellt auf NavUserPassword und auch mit einem Zertifikat (Thumbprint) versehen.

Beim Verbindungsversuch mit meinen RTC erhalte ich nun den Fehler: Aufgrund eines Protokollkonflikts... mit Hinweis auf ClientServiceCredentialType
Das ist vermutlich das, was du geschrieben hast unter 'Die Settings für deinen lokalen RTC stellst du entsprechend des CredentialTypes ebenfalls um' Diesen Teil habe ich nicht verstanden. Was genau müsste ich hier umstellen?

Das mit den lokalen Einstellungen für den RTC habe ich mittlerweile hinbekommen (ClientUserSettings.config)

Nun versucht der RTC anscheinend eine Verbindung zum Server herzustellen. Dabei bekomme ich aber folgende Fehlermeldung:

The Service Principal Name (Delegation) has been set incorrectly (mit Angabe der URL)
Das Zertifikat befindet sich nicht im Speicher für vertrauenswürdige Personen.

Viel scheint hier nicht mehr zu fehlen (hoffe ich)

Das Zertifikat muss noch in den genannten Zertifikatsbereich verschoben werden.
Bei dem Teil mit der SPN wirds schwerer.
Wenn du die SPN wie gefordert erstellen kannst sollte alles gut sein.
Ansonsten ist das eher ein Fall für den MS Support.

Das Problem konnte gelöst werden, allerdings kann ich nicht genau sagen wie, da ich hier externe Hilfe in Anspruch genommen habe und nicht immer dabei war bei der Lösungsfindung.

Als CredentialType wird Username verwendet. Das muss mit dem NST korrespondieren.
Dazu wurden 2 Zertifikate benötigt, ein Rootzertifikat und ein 'persönliches'
Ebenso müssen diverse Einträge im Config-File gesetzt werden wie DnsIdentity=Verweis auf Zertifikat sowie die Verweise auf den Help-Server, damit die Hilfe funktioniert

Nochmals besten Dank für deine Bemühungen, Danjo.