HTTP 500-fout wanneer u extern verbinding maakt met de Operations Manager-webconsole

Dit artikel bevat een oplossing voor het oplossen van de HTTP 500-fout die optreedt wanneer u extern verbinding maakt met de Operations Manager-webconsole.

Oorspronkelijke productversie: System Center Operations Manager
Oorspronkelijk KB-nummer: 4487099

Symptomen

U installeert een zelfstandige Operations Manager-webconsole op een server. Wanneer u vanaf een externe computer verbinding maakt met de webconsole http://<web_host>/OperationsManager , wordt het volgende foutbericht weergegeven:

500 - Interne serverfout.

Dit probleem treedt niet op als u vanaf de webconsoleserver verbinding maakt met de webconsole.

Oplossing

U kunt het probleem oplossen door de volgende configuraties en verificaties uit te voeren en vervolgens opnieuw verbinding te maken met de webconsole:

1. Registreer de SDK-SPN's.
2. Controleer de SDK-SPN's.
3. Registreer de HTTP SPN's.
4. Controleer de HTTP SPN's.
5. Beperkte delegaties configureren.
6. Controleer of Account gevoelig is en niet kan worden gedelegeerd.
7. Schakel verificatie in de kernelmodus uit in IIS.

Notitie

De volgende voorbeeldnamen worden gebruikt in de configuratie- en verificatiestappen. U moet deze vervangen door de namen in uw omgeving.

• SCOMMS. Lab.Local : de FQDN (Fully Qualified Domain Name) van de System Center Operations Manager-beheerserver (SCOM)
• SCOMWeb.Lab.Local - De FQDN van de server die als host fungeert voor de SCOM-webconsole
• Lab\SDKSvc - SCOM Data Access Service-account (optioneel)
• Lab\SCOMAppPool - Id-account voor SCOM-toepassingsgroep (optioneel)
• https://mySCOM.Lab.Local/OperationsManager - URL die wordt gebruikt voor toegang tot de Operations Manager-webconsole (Als er geen URL is, vervangt u deze door de naam van de Operations Manager-webconsoleserver.)

---

SDK-SPN's

De SDK-SPN's registreren

Als u de SPN's (System Center Data Access) Service Principal Names (SDK) wilt registreren, voert u de volgende opdrachten uit op basis van verschillende scenario's:

• Scenario 1

  De SDK-service wordt uitgevoerd onder een LocalSystem-account

  Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  

• Scenario 2

  De SDK-service wordt uitgevoerd onder een domeinaccount (SDKSvc)

  Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
  

De SDK-SPN's controleren

Als u wilt controleren of de SDK-service is geregistreerd, voert u de volgende opdracht uit op basis van verschillende scenario's:

• Scenario 1

  De SDK-service wordt uitgevoerd onder een LocalSystem-account

  Setspn.exe -L SCOMMS
  

• Scenario 2

  De SDK-service wordt uitgevoerd onder een domeinaccount (SDKSvc)

  Setspn.exe -L SDKSvc
  

---

HTTP-SPN's

De HTTP SPN's registreren

Als u de HTTP SPN's wilt registreren, voert u de volgende opdrachten uit op basis van verschillende scenario's:

• Scenario 1

  De groep webconsoletoepassingen wordt uitgevoerd onder de standaardidentiteit (ApplicationPoolIdentity)

  Setspn.exe -S HTTP/mySCOM SCOMWeb 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  

• Scenario 2

  De groep webconsoletoepassingen wordt uitgevoerd onder een aangepaste identiteit (Lab\SCOMAppPool)

  Setspn.exe -S HTTP/mySCOM SCOMAppPool 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
  

De HTTP SPN's controleren

Voer de volgende opdracht uit op basis van verschillende scenario's om te controleren of de HTTP-service is geregistreerd:

• Scenario 1

  De groep webconsoletoepassingen wordt uitgevoerd onder de standaardidentiteit (ApplicationPoolIdentity)

  Setspn.exe -L SCOMWeb
  

• Scenario 2

  De groep webconsoletoepassingen wordt uitgevoerd onder een aangepaste identiteit (Lab\SCOMAppPool)

  Setspn.exe -L SCOMAppPool
  

---

Beperkingsdelegeringen configureren

Volg deze stappen om beperkte delegaties te configureren:

1. Start de Active Directory-console.

2. Selecteer Computers in de consolestructuur.

3. Open de eigenschappen op basis van verschillende scenario's:

   • Scenario 1: De groep van Operations Manager-webtoepassingen wordt uitgevoerd onder de standaardidentiteit (ApplicationPoolIdentity)

     Klik met de rechtermuisknop op de computer waarop de webconsole is geïnstalleerd (SCOM Web) en selecteer Eigenschappen.

   • Scenario 2: De operations manager-webtoepassingsgroep wordt uitgevoerd onder een aangepaste identiteit (Lab\SCOMAppPool)

     Klik met de rechtermuisknop op de gebruiker die is geconfigureerd voor de aangepaste identiteit (Lab\SCOMAppPool) en selecteer Eigenschappen.

4. Selecteer Delegatie in het detailvenster.

5. Selecteer op het tabblad Delegatie deze computer alleen vertrouwen voor delegering naar opgegeven services en selecteer vervolgens een van de volgende opties dienovereenkomstig:

   • Verificatie in kernelmodus is ingeschakeld: elk verificatieprotocol gebruiken

   • Verificatie in kernelmodus is uitgeschakeld: alleen Kerberos gebruiken

     Zie Verificatie in de kernelmodus uitschakelen in IIS voor meer informatie.

6. Selecteer Toevoegen.

7. Selecteer Gebruikers of computers in het dialoogvenster Services toevoegen.

8. Geef in het dialoogvenster Gebruikers of computers selecteren het account op volgens verschillende scenario's:

   • Scenario 1: De SDK-service wordt uitgevoerd onder een LocalSystem-account

     Selecteer het computeraccount van de SCOM-beheerserver (SCOMMS) en selecteer OK.

   • Scenario 2: De SDK-service wordt uitgevoerd onder een domeinaccount (SDKSvc)

     Selecteer het domeinaccount waaronder de SDK-service wordt uitgevoerd en selecteer OK.

9. Selecteer in het dialoogvenster Services toevoegen het servicetype MSOMSdkSvc en selecteer vervolgens OK.

10. Selecteer OK om het dialoogvenster Eigenschappen te sluiten.

Controleren of Account gevoelig is en niet kan worden gedelegeerd, is niet ingesteld

Voer de volgende stappen uit om te controleren of de gebruiker die zich aanmeldt bij de webconsole geen account gevoelig is en niet kan worden gedelegeerd :

1. Start de Active Directory-console.
2. Klik met de rechtermuisknop op het gebruikersaccount dat wordt gebruikt om verbinding te maken met de webconsole en selecteer Vervolgens Eigenschappen.
3. Selecteer Account.
4. Controleer in het dialoogvenster Accountopties of het account gevoelig is en niet kan worden gedelegeerd .

Verificatie in de kernelmodus uitschakelen in IIS

Als u verificatie in de kernelmodus voor zowel als OperationsManager MonitoringView in IIS wilt uitschakelen, voert u de volgende stappen uit:

1. Navigeer in IIS-beheer naar Standaardwebsite\MonitoringView.
2. Dubbelklik op Verificatie.
3. Selecteer Windows-verificatie.
4. Selecteer Geavanceerde instellingen in het deelvenster Acties aan de rechterkant.
5. Schakel het selectievakje Verificatie in de kernelmodus inschakelen uit.
6. Navigeer naar Standaardwebsite\OperationsManager en herhaal stap 2 tot en met 5.