Error HTTP 500 al conectarse a la consola web de Operations Manager de forma remota

En este artículo se proporciona una resolución para resolver el error HTTP 500 que se produce cuando se conecta a la consola web de Operations Manager de forma remota.

Versión original del producto: System Center Operations Manager
Número de KB original: 4487099

Síntomas

Instale una consola web independiente de Operations Manager en un servidor. Al conectarse a la consola web desde http://<web_host>/OperationsManager un equipo remoto, recibirá el siguiente mensaje de error:

500 - Error interno del servidor.

Este problema no se produce si se conecta a la consola web desde el servidor de consola web.

Solución

Para corregir el problema, realice las siguientes configuraciones y comprobaciones y vuelva a conectarse a la consola web:

1. Registre los SPN del SDK.
2. Compruebe los SPN del SDK.
3. Registre los SPN HTTP.
4. Compruebe los SPN HTTP.
5. Configurar delegaciones de restricciones.
6. Compruebe que "La cuenta es confidencial y no se puede delegar" no está establecida.
7. Deshabilite la autenticación en modo kernel en IIS.

Nota:

Los siguientes nombres de ejemplo se usan en los pasos de configuración y comprobación. Debe reemplazarlos por los nombres de su entorno.

• SCOMMS. Lab.Local : el nombre de dominio completo (FQDN) del servidor de administración de System Center Operations Manager (SCOM)
• SCOMWeb.Lab.Local : el FQDN del servidor que hospeda la consola web de SCOM
• Lab\SDKSvc : cuenta del servicio de acceso a datos SCOM (opcional)
• Lab\SCOMAppPool : cuenta de identidad del grupo de aplicaciones de SCOM (opcional)
• https://mySCOM.Lab.Local/OperationsManager - Dirección URL que se usa para acceder a la consola web de Operations Manager (si no hay ninguna dirección URL, sustituya esta dirección por el nombre del servidor de consola web de Operations Manager).

---

SPN del SDK

Registro de los SPN del SDK

Para registrar los nombres de entidad de seguridad de servicio (SPN) de System Center Data Access (SDK), ejecute los siguientes comandos según distintos escenarios:

• Escenario 1

  El servicio SDK se ejecuta en una cuenta localSystem

  Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  

• Escenario 2

  El servicio SDK se ejecuta en una cuenta de dominio (SDKSvc)

  Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
  

Comprobación de los SPN del SDK

Para comprobar si el servicio sdk está registrado, ejecute el siguiente comando según diferentes escenarios:

• Escenario 1

  El servicio SDK se ejecuta en una cuenta localSystem

  Setspn.exe -L SCOMMS
  

• Escenario 2

  El servicio SDK se ejecuta en una cuenta de dominio (SDKSvc)

  Setspn.exe -L SDKSvc
  

---

SPN HTTP

Registro de los SPN HTTP

Para registrar los SPN HTTP, ejecute los siguientes comandos según diferentes escenarios:

• Escenario 1

  El grupo de aplicaciones de consola web se ejecuta en la identidad predeterminada (ApplicationPoolIdentity)

  Setspn.exe -S HTTP/mySCOM SCOMWeb 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  

• Escenario 2

  El grupo de aplicaciones de consola web se ejecuta en una identidad personalizada (Lab\SCOMAppPool)

  Setspn.exe -S HTTP/mySCOM SCOMAppPool 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
  

Comprobación de los SPN HTTP

Para comprobar si el servicio HTTP está registrado, ejecute el siguiente comando según diferentes escenarios:

• Escenario 1

  El grupo de aplicaciones de consola web se ejecuta en la identidad predeterminada (ApplicationPoolIdentity)

  Setspn.exe -L SCOMWeb
  

• Escenario 2

  El grupo de aplicaciones de consola web se ejecuta en una identidad personalizada (Lab\SCOMAppPool)

  Setspn.exe -L SCOMAppPool
  

---

Configuración de delegaciones de restricciones

Para configurar delegaciones de restricciones, siga estos pasos:

1. Inicie la consola de Usuarios y equipos de Active Directory.

2. En el árbol de consola, seleccione Equipos.

3. Abra las propiedades según diferentes escenarios:

   • Escenario 1: El grupo de aplicaciones web de Operations Manager se ejecuta bajo la identidad predeterminada (ApplicationPoolIdentity)

     Haga clic con el botón derecho en el equipo donde está instalada la consola web (Web SCOM) y seleccione Propiedades.

   • Escenario 2: El grupo de aplicaciones web de Operations Manager se ejecuta en una identidad personalizada (Lab\SCOMAppPool)

     Haga clic con el botón derecho en el usuario configurado en la identidad personalizada (Lab\SCOMAppPool) y seleccione Propiedades.

4. En el panel de detalles, seleccione Delegación.

5. En la pestaña Delegación , seleccione Confiar en este equipo para la delegación solo a los servicios especificados y, a continuación, seleccione una de las siguientes opciones en consecuencia:

   • La autenticación en modo kernel está habilitada: Use cualquier protocolo de autenticación.

   • La autenticación en modo kernel está deshabilitada: use solo Kerberos.

     Para obtener más información, vea Deshabilitar la autenticación en modo kernel en IIS.

6. Seleccione Agregar.

7. En el cuadro de diálogo Agregar servicios , seleccione Usuarios o equipos.

8. En el cuadro de diálogo Seleccionar usuarios o equipos , especifique la cuenta según diferentes escenarios:

   • Escenario 1: El servicio SDK se ejecuta en una cuenta localSystem

     Seleccione la cuenta de equipo del servidor de administración SCOM (SCOMMS) y seleccione Aceptar.

   • Escenario 2: el servicio SDK se ejecuta en una cuenta de dominio (SDKSvc)

     Seleccione la cuenta de dominio en la que se ejecuta el servicio SDK y seleccione Aceptar.

9. En el cuadro de diálogo Agregar servicios , seleccione el tipo de servicio MSOMSdkSvc y, a continuación, seleccione Aceptar.

10. Seleccione Aceptar para cerrar el cuadro de diálogo Propiedades .

Compruebe que "La cuenta es confidencial y no se puede delegar" no está establecida

Para comprobar que el usuario que inicia sesión en la consola web no tiene la cuenta confidencial y no se puede delegar , siga estos pasos:

1. Inicie la consola de Usuarios y equipos de Active Directory.
2. Haga clic con el botón derecho en la cuenta de usuario que se usa para conectarse a la consola web y, a continuación, seleccione Propiedades.
3. Seleccione Cuenta.
4. En el cuadro de diálogo Opciones de cuenta, confirme que la cuenta es confidencial y no se puede delegar no está activada.

Deshabilitar la autenticación en modo kernel en IIS

Para deshabilitar la autenticación en modo kernel para MonitoringView y OperationsManager en IIS, siga estos pasos:

1. En el Administrador de IIS, vaya a Sitio web predeterminado\SupervisiónView.
2. Haga doble clic en Autenticación.
3. Seleccione Autenticación de Windows.
4. En el panel Acciones de la derecha, seleccione Configuración avanzada.
5. Desactive la casilla Habilitar autenticación en modo kernel.
6. Vaya a Sitio web predeterminado\OperationsManager y repita los pasos del 2 al 5.