Błąd HTTP 500 podczas zdalnego nawiązywania połączenia z konsolą internetową programu Operations Manager

Ten artykuł zawiera rozwiązanie problemu błędu HTTP 500 występującego podczas zdalnego nawiązywania połączenia z konsolą internetową programu Operations Manager.

Oryginalna wersja produktu: System Center Operations Manager
Oryginalny numer KB: 4487099

Symptomy

Autonomiczną konsolę internetową programu Operations Manager można zainstalować na serwerze. Po nawiązaniu połączenia z konsolą http://<web_host>/OperationsManager sieci Web z poziomu komputera zdalnego zostanie wyświetlony następujący komunikat o błędzie:

500 — Wewnętrzny błąd serwera.

Ten problem nie występuje, jeśli nawiążesz połączenie z konsolą sieci Web z serwera konsoli sieci Web.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące konfiguracje i weryfikacje, a następnie ponownie połącz się z konsolą internetową:

1. Zarejestruj nazwy SPN zestawu SDK.
2. Sprawdź nazwy SPN zestawu SDK.
3. Zarejestruj nazwy SPN HTTP.
4. Sprawdź nazwy SPN HTTP.
5. Konfigurowanie delegowania ograniczeń.
6. Sprawdź, czy "Konto jest poufne i nie można ich delegować" nie jest ustawione.
7. Wyłącz uwierzytelnianie w trybie jądra w usługach IIS.

Uwaga

Poniższe przykładowe nazwy są używane w krokach konfiguracji i weryfikacji. Należy je zastąpić nazwami w środowisku.

• SCOMMS. Lab.Local — w pełni kwalifikowana nazwa domeny (FQDN) serwera zarządzania programu System Center Operations Manager (SCOM)
• SCOMWeb.Lab.Local — nazwa FQDN serwera hostującego konsolę sieci Web SCOM
• Lab\SDKSvc — konto usługi SCOM Data Access (opcjonalnie)
• Lab\SCOMAppPool — konto tożsamości puli aplikacji SCOM (opcjonalnie)
• https://mySCOM.Lab.Local/OperationsManager — Adres URL używany do uzyskiwania dostępu do konsoli sieci Web programu Operations Manager (jeśli nie ma adresu URL, zastąp go nazwą serwera konsoli sieci Web programu Operations Manager).

---

Nazwy SPN zestawu SDK

Rejestrowanie nazw SPN zestawu SDK

Aby zarejestrować nazwy główne usługi programu System Center Data Access (SDK), uruchom następujące polecenia zgodnie z różnymi scenariuszami:

• Scenariusz 1

  Usługa zestawu SDK działa w ramach konta LocalSystem

  Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  

• Scenariusz 2

  Usługa zestawu SDK działa w ramach konta domeny (SDKSvc)

  Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
  

Weryfikowanie nazw SPN zestawu SDK

Aby sprawdzić, czy usługa zestawu SDK jest zarejestrowana, uruchom następujące polecenie zgodnie z różnymi scenariuszami:

• Scenariusz 1

  Usługa zestawu SDK działa w ramach konta LocalSystem

  Setspn.exe -L SCOMMS
  

• Scenariusz 2

  Usługa zestawu SDK działa w ramach konta domeny (SDKSvc)

  Setspn.exe -L SDKSvc
  

---

Nazwy SPN HTTP

Rejestrowanie sieci SPN HTTP

Aby zarejestrować nazwy SPN HTTP, uruchom następujące polecenia zgodnie z różnymi scenariuszami:

• Scenariusz 1

  Pula aplikacji konsoli sieci Web jest uruchamiana w ramach tożsamości domyślnej (ApplicationPoolIdentity)

  Setspn.exe -S HTTP/mySCOM SCOMWeb 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  

• Scenariusz 2

  Pula aplikacji konsoli sieci Web jest uruchamiana w ramach tożsamości niestandardowej (Lab\SCOMAppPool)

  Setspn.exe -S HTTP/mySCOM SCOMAppPool 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
  

Weryfikowanie nazw SPN HTTP

Aby sprawdzić, czy usługa HTTP jest zarejestrowana, uruchom następujące polecenie zgodnie z różnymi scenariuszami:

• Scenariusz 1

  Pula aplikacji konsoli sieci Web jest uruchamiana w ramach tożsamości domyślnej (ApplicationPoolIdentity)

  Setspn.exe -L SCOMWeb
  

• Scenariusz 2

  Pula aplikacji konsoli sieci Web jest uruchamiana w ramach tożsamości niestandardowej (Lab\SCOMAppPool)

  Setspn.exe -L SCOMAppPool
  

---

Konfigurowanie delegowania ograniczeń

Aby skonfigurować delegowania ograniczeń, wykonaj następujące kroki:

1. Uruchom konsolę Użytkownicy i komputery usługi Active Directory.

2. W drzewie konsoli wybierz pozycję Komputery.

3. Otwórz właściwości zgodnie z różnymi scenariuszami:

   • Scenariusz 1. Pula aplikacji internetowych programu Operations Manager jest uruchamiana w ramach tożsamości domyślnej (ApplicationPoolIdentity)

     Kliknij prawym przyciskiem myszy komputer, na którym jest zainstalowana konsola sieci Web (SCOM Web), a następnie wybierz pozycję Właściwości.

   • Scenariusz 2. Pula aplikacji internetowych programu Operations Manager jest uruchamiana w ramach tożsamości niestandardowej (Lab\SCOMAppPool)

     Kliknij prawym przyciskiem myszy użytkownika skonfigurowanego dla tożsamości niestandardowej (Lab\SCOMAppPool), a następnie wybierz pozycję Właściwości.

4. W okienku szczegółów wybierz pozycję Delegowanie.

5. Na karcie Delegowanie wybierz pozycję Ufaj temu komputerowi w celu delegowania tylko do określonych usług, a następnie wybierz jedną z następujących opcji:

   • Uwierzytelnianie w trybie jądra jest włączone: użyj dowolnego protokołu uwierzytelniania

   • Uwierzytelnianie w trybie jądra jest wyłączone: użyj tylko protokołu Kerberos

     Aby uzyskać więcej informacji, zobacz Wyłączanie uwierzytelniania w trybie jądra w usługach IIS.

6. Wybierz opcję Dodaj.

7. W oknie dialogowym Dodawanie usług wybierz pozycję Użytkownicy lub komputery.

8. W oknie dialogowym Wybieranie użytkowników lub komputerów określ konto zgodnie z różnymi scenariuszami:

   • Scenariusz 1. Usługa zestawu SDK działa w ramach konta LocalSystem

     Wybierz konto komputera serwera zarządzania SCOM (SCOMMS) i wybierz przycisk OK.

   • Scenariusz 2. Usługa zestawu SDK działa w ramach konta domeny (SDKSvc)

     Wybierz konto domeny uruchomione w ramach usługi zestawu SDK, a następnie wybierz przycisk OK.

9. W oknie dialogowym Dodawanie usług wybierz typ usługi MSOMSdkSvc , a następnie wybierz przycisk OK.

10. Wybierz przycisk OK , aby zamknąć okno dialogowe Właściwości .

Sprawdź, czy "Konto jest poufne i nie można ich delegować" nie jest ustawione

Aby sprawdzić, czy użytkownik logowany do konsoli sieci Web nie ma konta, jest poufny i nie można go delegować , wykonaj następujące kroki:

1. Uruchom konsolę Użytkownicy i komputery usługi Active Directory.
2. Kliknij prawym przyciskiem myszy konto użytkownika używane do nawiązywania połączenia z konsolą sieci Web, a następnie wybierz pozycję Właściwości.
3. Wybierz pozycję Konto.
4. W oknie dialogowym Opcje konta upewnij się, że konto jest poufne i nie można go delegować , nie jest zaznaczone.

Wyłączanie uwierzytelniania w trybie jądra w usługach IIS

Aby wyłączyć uwierzytelnianie w trybie jądra zarówno MonitoringView dla usług IIS, jak i OperationsManager w usługach IIS, wykonaj następujące kroki:

1. W Menedżerze usług IIS przejdź do pozycji Domyślna witryna sieci Web\MonitoringView.
2. Kliknij dwukrotnie pozycję Uwierzytelnianie.
3. Wybierz pozycję Uwierzytelnianie systemu Windows.
4. W okienku Akcje po prawej stronie wybierz pozycję Ustawienia zaawansowane.
5. Wyczyść pole wyboru Włącz uwierzytelnianie w trybie jądra .
6. Przejdź do pozycji Domyślna witryna sieci Web\OperationsManager i powtórz kroki od 2 do 5.