Поделиться через


Ошибка HTTP 500 при удаленном подключении к веб-консоли Operations Manager

В этой статье приведено решение для решения ошибки HTTP 500, возникающей при удаленном подключении к веб-консоли Operations Manager.

Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4487099

Симптомы

На сервере устанавливается автономная веб-консоль Operations Manager. При подключении к веб-консоли http://<web_host>/OperationsManager на удаленном компьютере вы получите следующее сообщение об ошибке:

500 — внутренняя ошибка сервера.

Эта проблема не возникает, если вы подключаетесь к веб-консоли с сервера веб-консоли.

Решение

Чтобы устранить проблему, выполните следующие конфигурации и проверки, а затем снова подключитесь к веб-консоли:

  1. Зарегистрируйте имена субъектов-служб SDK.
  2. Проверьте имена субъектов-служб SDK.
  3. Зарегистрируйте VPN-службы HTTP.
  4. Проверьте HTTP-имена субъектов-служб.
  5. Настройка делегирований ограничений.
  6. Убедитесь, что учетная запись является конфиденциальной и не может быть делегирована.
  7. Отключите проверку подлинности в режиме ядра в IIS.

Примечание.

В шагах конфигурации и проверки используются следующие примеры имен. Их необходимо заменить именами в вашей среде.

  • SCOMMS. Lab.Local — полное доменное имя сервера управления System Center Operations Manager (SCOM)
  • SCOMWeb.Lab.Local — полное доменное имя сервера, на котором размещена веб-консоль SCOM
  • Lab\SDKSvc — учетная запись службы доступа к данным SCOM (необязательно)
  • Lab\SCOMAppPool — учетная запись удостоверения пула приложений SCOM (необязательно)
  • https://mySCOM.Lab.Local/OperationsManager — URL-адрес, используемый для доступа к веб-консоли Operations Manager (если URL-адрес отсутствует, замените его именем сервера веб-консоли Operations Manager.)

Имена субъектов-служб SDK

Регистрация имен субъектов-служб SDK

Чтобы зарегистрировать имена субъектов-служб System Center Data Access (SDK), выполните следующие команды в соответствии с различными сценариями:

  • Сценарий 1

    Служба SDK выполняется под учетной записью LocalSystem

    Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
    Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
    
  • Сценарий 2

    Служба SDK выполняется под учетной записью домена (SDKSvc)

    Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
    Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
    

Проверка имен субъектов-служб SDK

Чтобы проверить, зарегистрирована ли служба SDK, выполните следующую команду в соответствии с различными сценариями:

  • Сценарий 1

    Служба SDK выполняется под учетной записью LocalSystem

    Setspn.exe -L SCOMMS
    
  • Сценарий 2

    Служба SDK выполняется под учетной записью домена (SDKSvc)

    Setspn.exe -L SDKSvc
    

VPN-службы HTTP

Регистрация vpn-служб HTTP

Чтобы зарегистрировать vpn-службы HTTP, выполните следующие команды в соответствии с различными сценариями:

  • Сценарий 1

    Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

    Setspn.exe -S HTTP/mySCOM SCOMWeb 
    Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
    
  • Сценарий 2

    Пул приложений веб-консоли выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

    Setspn.exe -S HTTP/mySCOM SCOMAppPool 
    Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
    

Проверка VPN-служб HTTP

Чтобы проверить, зарегистрирована ли служба HTTP, выполните следующую команду в соответствии с различными сценариями:

  • Сценарий 1

    Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

    Setspn.exe -L SCOMWeb
    
  • Сценарий 2

    Пул приложений веб-консоли выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

    Setspn.exe -L SCOMAppPool
    

Настройка делегирований ограничений

Чтобы настроить делегирование ограничений, выполните следующие действия.

  1. Запустите консоль Пользователи и компьютеры Active Directory.

  2. В дереве консоли выберите "Компьютеры".

  3. Откройте свойства в соответствии с различными сценариями:

    • Сценарий 1. Пул веб-приложений Operations Manager выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

      Щелкните правой кнопкой мыши компьютер, на котором установлена веб-консоль (SCOM Web) и выберите "Свойства".

    • Сценарий 2. Пул веб-приложений Operations Manager выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

      Щелкните правой кнопкой мыши пользователя, настроенного на пользовательском удостоверении (Lab\SCOMAppPool) и выберите "Свойства".

  4. В области сведений выберите "Делегирование".

  5. На вкладке "Делегирование" выберите "Доверять этому компьютеру" только для делегирования указанным службам, а затем выберите один из следующих параметров следующим образом:

  6. Выберите Добавить.

  7. В диалоговом окне "Добавление служб" выберите "Пользователи" или "Компьютеры".

  8. В диалоговом окне "Выбор пользователей или компьютеров" укажите учетную запись в соответствии с различными сценариями:

    • Сценарий 1. Служба SDK выполняется под учетной записью LocalSystem

      Выберите учетную запись компьютера сервера управления SCOM (SCOMMS) и нажмите кнопку "ОК".

    • Сценарий 2. Служба SDK выполняется под учетной записью домена (SDKSvc)

      Выберите учетную запись домена, в которой выполняется служба SDK, и нажмите кнопку "ОК".

  9. В диалоговом окне "Добавление служб" выберите тип службы MSOMSdkSvc и нажмите кнопку "ОК".

  10. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства ".

Убедитесь, что учетная запись является конфиденциальной и не может быть делегирована.

Чтобы убедиться, что пользователь входить в веб-консоль не учитывает учетную запись и не может быть делегирован , выполните следующие действия.

  1. Запустите консоль Пользователи и компьютеры Active Directory.
  2. Щелкните правой кнопкой мыши учетную запись пользователя, используемую для подключения к веб-консоли, и выберите пункт "Свойства".
  3. Выберите Учетная запись.
  4. В диалоговом окне "Параметры учетной записи" убедитесь, что учетная запись конфиденциальна и не может быть делегирована.

Отключение проверки подлинности в режиме ядра в IIS

Чтобы отключить проверку подлинности в режиме ядра для обоих MonitoringView служб OperationsManager IIS, выполните следующие действия.

  1. В диспетчере IIS перейдите к веб-сайту по умолчанию\MonitoringView.
  2. Дважды щелкните проверку подлинности.
  3. Выберите параметр Проверка подлинности Windows.
  4. В области "Действия" справа выберите "Дополнительные параметры".
  5. Снимите флажок "Включить проверку подлинности в режиме ядра".
  6. Перейдите к веб-сайту по умолчанию\OperationsManager и повторите шаги 2–5.