Freigeben über

HTTP 500-Fehler, wenn Sie remote eine Verbindung mit der Operations Manager-Webkonsole herstellen

  • Artikel

Dieser Artikel enthält eine Lösung zum Beheben des HTTP 500-Fehlers, der auftritt, wenn Sie remote eine Verbindung mit der Operations Manager-Webkonsole herstellen.

Ursprüngliche Produktversion: System Center Operations Manager
Ursprüngliche KB-Nummer: 4487099

Problembeschreibung

Sie installieren eine eigenständige Operations Manager-Webkonsole auf einem Server. Wenn Sie über einen Remotecomputer eine Verbindung mit der Webkonsole http://<web_host>/OperationsManager herstellen, wird die folgende Fehlermeldung angezeigt:

500 - Internal server error. (Interner Serverfehler)

Dieses Problem tritt nicht auf, wenn Sie über den Webserver eine Verbindung mit der Webkonsole herstellen.

Lösung

Führen Sie zum Beheben des Problems die folgenden Konfigurationen und Überprüfungen aus, und stellen Sie dann erneut eine Verbindung mit der Webkonsole her:

  1. Registrieren Sie die SDK-SPNs.
  2. Überprüfen Sie die SDK-SPNs.
  3. Registrieren Sie die HTTP-SPNs.
  4. Überprüfen Sie die HTTP-SPNs.
  5. Konfigurieren Sie Einschränkungsdelegierungen.
  6. Vergewissern Sie sich, dass "Konto vertraulich ist und nicht delegiert werden kann" nicht festgelegt ist.
  7. Deaktivieren Sie die Kernelmodusauthentifizierung in IIS.

Notiz

Die folgenden Beispielnamen werden in den Konfigurations- und Überprüfungsschritten verwendet. Sie müssen sie durch die Namen in Ihrer Umgebung ersetzen.

  • SCOMMS. Lab.Local – Der vollqualifizierte Domänenname (FQDN) des System Center Operations Manager (SCOM)-Verwaltungsservers
  • SCOMWeb.Lab.Local – Der FQDN des Servers, der die SCOM-Webkonsole hostt
  • Lab\SDKSvc - SCOM Data Access Service-Konto (Optional)
  • Lab\SCOMAppPool - SCOM Application Pool Identity-Konto (Optional)
  • https://mySCOM.Lab.Local/OperationsManager - URL, die für den Zugriff auf die Operations Manager-Webkonsole verwendet wird (Wenn keine URL vorhanden ist, ersetzen Sie diese durch den Namen der Operations Manager-Webkonsole.)

SDK-SPNs

Registrieren der SDK-SPNs

Führen Sie zum Registrieren der System Center Data Access (SDK) Service Principal Names (SPNs) die folgenden Befehle gemäß den verschiedenen Szenarien aus:

  • Szenario 1

    Der SDK-Dienst wird unter einem LocalSystem-Konto ausgeführt.

    Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  • Szenario 2

    Der SDK-Dienst wird unter einem Domänenkonto (SDKSvc) ausgeführt.

    Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc

Überprüfen der SDK-SPNs

Um zu überprüfen, ob der SDK-Dienst registriert ist, führen Sie den folgenden Befehl gemäß verschiedenen Szenarien aus:

  • Szenario 1

    Der SDK-Dienst wird unter einem LocalSystem-Konto ausgeführt.

    Setspn.exe -L SCOMMS
  • Szenario 2

    Der SDK-Dienst wird unter einem Domänenkonto (SDKSvc) ausgeführt.

    Setspn.exe -L SDKSvc

HTTP-SPNs

Registrieren der HTTP-SPNs

Führen Sie zum Registrieren der HTTP-SPNs die folgenden Befehle gemäß den verschiedenen Szenarien aus:

  • Szenario 1

    Der Webanwendungspool der Webkonsole wird unter der Standardidentität (ApplicationPoolIdentity) ausgeführt.

    Setspn.exe -S HTTP/mySCOM SCOMWeb 
Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  • Szenario 2

    Der Webanwendungspool der Webkonsole wird unter einer benutzerdefinierten Identität (Lab\SCOMAppPool) ausgeführt.

    Setspn.exe -S HTTP/mySCOM SCOMAppPool 
Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool

Überprüfen der HTTP-SPNs

Um zu überprüfen, ob der HTTP-Dienst registriert ist, führen Sie den folgenden Befehl gemäß den verschiedenen Szenarien aus:

  • Szenario 1

    Der Webanwendungspool der Webkonsole wird unter der Standardidentität (ApplicationPoolIdentity) ausgeführt.

    Setspn.exe -L SCOMWeb
  • Szenario 2

    Der Webanwendungspool der Webkonsole wird unter einer benutzerdefinierten Identität (Lab\SCOMAppPool) ausgeführt.

    Setspn.exe -L SCOMAppPool

Konfigurieren von Einschränkungsdelegierungen

Führen Sie die folgenden Schritte aus, um Einschränkungsdelegierungen zu konfigurieren:

  1. Starten Sie die Active Directory-Benutzer und -Computer Konsole.

  2. Wählen Sie in der Konsolenstruktur "Computer" aus.

  3. Öffnen Sie die Eigenschaften gemäß verschiedenen Szenarien:

    • Szenario 1: Der Operations Manager-Webanwendungspool wird unter der Standardidentität (ApplicationPoolIdentity) ausgeführt.

      Klicken Sie mit der rechten Maustaste auf den Computer, auf dem die Webkonsole installiert ist (SCOM Web), und wählen Sie "Eigenschaften" aus.

    • Szenario 2: Der Operations Manager-Webanwendungspool wird unter einer benutzerdefinierten Identität ausgeführt (Lab\SCOMAppPool)

      Klicken Sie mit der rechten Maustaste auf den Benutzer, der für die benutzerdefinierte Identität (Lab\SCOMAppPool) konfiguriert ist, und wählen Sie "Eigenschaften" aus.

  4. Wählen Sie im Detailbereich " Delegierung" aus.

  5. Wählen Sie auf der Registerkarte "Delegierung" nur "Diesem Computer vertrauen" für die Delegierung an bestimmte Dienste aus, und wählen Sie dann eine der folgenden Optionen aus:

    • Die Kernelmodusauthentifizierung ist aktiviert: Verwenden eines beliebigen Authentifizierungsprotokolls

    • Die Kernelmodusauthentifizierung ist deaktiviert: Nur Kerberos verwenden

      Weitere Informationen finden Sie unter Deaktivieren der Kernelmodusauthentifizierung in IIS.

  6. Wählen Sie Hinzufügen.

  7. Wählen Sie im Dialogfeld "Dienste hinzufügen" die Option "Benutzer oder Computer" aus.

  8. Geben Sie im Dialogfeld "Benutzer oder Computer auswählen" das Konto entsprechend den verschiedenen Szenarien an:

    • Szenario 1: Der SDK-Dienst wird unter einem LocalSystem-Konto ausgeführt

      Wählen Sie das Computerkonto des SCOM-Verwaltungsservers (SCOMMS) und dann OK aus.

    • Szenario 2: Der SDK-Dienst wird unter einem Domänenkonto (SDKSvc) ausgeführt.

      Wählen Sie das Domänenkonto aus, unter dem der SDK-Dienst ausgeführt wird, und wählen Sie "OK" aus.

  9. Wählen Sie im Dialogfeld "Dienste hinzufügen" den Diensttyp "MSOMSdkSvc " und dann "OK" aus.

  10. Wählen Sie 'OK' aus, um das Dialogfeld 'Eigenschaften ' zu schließen.

Überprüfen, ob "Konto vertraulich ist und nicht delegiert werden kann" nicht festgelegt ist

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass der Benutzer, der sich bei der Webkonsole anmeldet, kein Konto vertraulich ist und nicht delegiert werden kann:

  1. Starten Sie die Active Directory-Benutzer und -Computer Konsole.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, das zum Herstellen einer Verbindung mit der Webkonsole verwendet wird, und wählen Sie dann "Eigenschaften" aus.
  3. Wählen Sie Firma aus.
  4. Vergewissern Sie sich im Dialogfeld "Kontooptionen", dass das Konto vertraulich ist und das Kontrollkästchen nicht delegiert werden kann.

Deaktivieren der Kernelmodusauthentifizierung in IIS

Führen Sie die folgenden Schritte aus, um die Kernelmodusauthentifizierung für sowohl als OperationsManager auch MonitoringView in IIS zu deaktivieren:

  1. Navigieren Sie im IIS-Manager zu "Standardwebsite\MonitoringView".
  2. Doppelklicken Sie auf "Authentifizierung".
  3. Wählen Sie Windows-Authentifizierung.
  4. Wählen Sie im Bereich "Aktionen" auf der rechten Seite "Erweiterte Einstellungen" aus.
  5. Deaktivieren Sie das Kontrollkästchen "Kernelmodus-Authentifizierung aktivieren".
  6. Navigieren Sie zu "Standardwebsite\OperationsManager", und wiederholen Sie die Schritte 2 bis 5.