Ошибка HTTP 500 при удаленном подключении к веб-консоли Operations Manager

В этой статье приведено решение для решения ошибки HTTP 500, возникающей при удаленном подключении к веб-консоли Operations Manager.

Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4487099

Симптомы

На сервере устанавливается автономная веб-консоль Operations Manager. При подключении к веб-консоли http://<web_host>/OperationsManager на удаленном компьютере вы получите следующее сообщение об ошибке:

500 — внутренняя ошибка сервера.

Эта проблема не возникает, если вы подключаетесь к веб-консоли с сервера веб-консоли.

Решение

Чтобы устранить проблему, выполните следующие конфигурации и проверки, а затем снова подключитесь к веб-консоли:

1. Зарегистрируйте имена субъектов-служб SDK.
2. Проверьте имена субъектов-служб SDK.
3. Зарегистрируйте VPN-службы HTTP.
4. Проверьте HTTP-имена субъектов-служб.
5. Настройка делегирований ограничений.
6. Убедитесь, что учетная запись является конфиденциальной и не может быть делегирована.
7. Отключите проверку подлинности в режиме ядра в IIS.

Примечание.

В шагах конфигурации и проверки используются следующие примеры имен. Их необходимо заменить именами в вашей среде.

• SCOMMS. Lab.Local — полное доменное имя сервера управления System Center Operations Manager (SCOM)
• SCOMWeb.Lab.Local — полное доменное имя сервера, на котором размещена веб-консоль SCOM
• Lab\SDKSvc — учетная запись службы доступа к данным SCOM (необязательно)
• Lab\SCOMAppPool — учетная запись удостоверения пула приложений SCOM (необязательно)
• https://mySCOM.Lab.Local/OperationsManager — URL-адрес, используемый для доступа к веб-консоли Operations Manager (если URL-адрес отсутствует, замените его именем сервера веб-консоли Operations Manager.)

---

Имена субъектов-служб SDK

Регистрация имен субъектов-служб SDK

Чтобы зарегистрировать имена субъектов-служб System Center Data Access (SDK), выполните следующие команды в соответствии с различными сценариями:

• Сценарий 1

  Служба SDK выполняется под учетной записью LocalSystem

  Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  

• Сценарий 2

  Служба SDK выполняется под учетной записью домена (SDKSvc)

  Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
  

Проверка имен субъектов-служб SDK

Чтобы проверить, зарегистрирована ли служба SDK, выполните следующую команду в соответствии с различными сценариями:

• Сценарий 1

  Служба SDK выполняется под учетной записью LocalSystem

  Setspn.exe -L SCOMMS
  

• Сценарий 2

  Служба SDK выполняется под учетной записью домена (SDKSvc)

  Setspn.exe -L SDKSvc
  

---

VPN-службы HTTP

Регистрация vpn-служб HTTP

Чтобы зарегистрировать vpn-службы HTTP, выполните следующие команды в соответствии с различными сценариями:

• Сценарий 1

  Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

  Setspn.exe -S HTTP/mySCOM SCOMWeb 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  

• Сценарий 2

  Пул приложений веб-консоли выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

  Setspn.exe -S HTTP/mySCOM SCOMAppPool 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
  

Проверка VPN-служб HTTP

Чтобы проверить, зарегистрирована ли служба HTTP, выполните следующую команду в соответствии с различными сценариями:

• Сценарий 1

  Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

  Setspn.exe -L SCOMWeb
  

• Сценарий 2

  Пул приложений веб-консоли выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

  Setspn.exe -L SCOMAppPool
  

---

Настройка делегирований ограничений

Чтобы настроить делегирование ограничений, выполните следующие действия.

1. Запустите консоль Пользователи и компьютеры Active Directory.

2. В дереве консоли выберите "Компьютеры".

3. Откройте свойства в соответствии с различными сценариями:

   • Сценарий 1. Пул веб-приложений Operations Manager выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

     Щелкните правой кнопкой мыши компьютер, на котором установлена веб-консоль (SCOM Web) и выберите "Свойства".

   • Сценарий 2. Пул веб-приложений Operations Manager выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

     Щелкните правой кнопкой мыши пользователя, настроенного на пользовательском удостоверении (Lab\SCOMAppPool) и выберите "Свойства".

4. В области сведений выберите "Делегирование".

5. На вкладке "Делегирование" выберите "Доверять этому компьютеру" только для делегирования указанным службам, а затем выберите один из следующих параметров следующим образом:

   • Включена проверка подлинности в режиме ядра: используйте любой протокол проверки подлинности.

   • Проверка подлинности в режиме ядра отключена: используйте только Kerberos

     Дополнительные сведения см. в разделе "Отключение проверки подлинности в режиме ядра" в службах IIS.

6. Выберите Добавить.

7. В диалоговом окне "Добавление служб" выберите "Пользователи" или "Компьютеры".

8. В диалоговом окне "Выбор пользователей или компьютеров" укажите учетную запись в соответствии с различными сценариями:

   • Сценарий 1. Служба SDK выполняется под учетной записью LocalSystem

     Выберите учетную запись компьютера сервера управления SCOM (SCOMMS) и нажмите кнопку "ОК".

   • Сценарий 2. Служба SDK выполняется под учетной записью домена (SDKSvc)

     Выберите учетную запись домена, в которой выполняется служба SDK, и нажмите кнопку "ОК".

9. В диалоговом окне "Добавление служб" выберите тип службы MSOMSdkSvc и нажмите кнопку "ОК".

10. Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства ".

Убедитесь, что учетная запись является конфиденциальной и не может быть делегирована.

Чтобы убедиться, что пользователь входить в веб-консоль не учитывает учетную запись и не может быть делегирован , выполните следующие действия.

1. Запустите консоль Пользователи и компьютеры Active Directory.
2. Щелкните правой кнопкой мыши учетную запись пользователя, используемую для подключения к веб-консоли, и выберите пункт "Свойства".
3. Выберите Учетная запись.
4. В диалоговом окне "Параметры учетной записи" убедитесь, что учетная запись конфиденциальна и не может быть делегирована.

Отключение проверки подлинности в режиме ядра в IIS

Чтобы отключить проверку подлинности в режиме ядра для обоих MonitoringView служб OperationsManager IIS, выполните следующие действия.

1. В диспетчере IIS перейдите к веб-сайту по умолчанию\MonitoringView.
2. Дважды щелкните проверку подлинности.
3. Выберите параметр Проверка подлинности Windows.
4. В области "Действия" справа выберите "Дополнительные параметры".
5. Снимите флажок "Включить проверку подлинности в режиме ядра".
6. Перейдите к веб-сайту по умолчанию\OperationsManager и повторите шаги 2–5.