Ошибка HTTP 500 при удаленном подключении к веб-консоли Operations Manager
В этой статье приведено решение для решения ошибки HTTP 500, возникающей при удаленном подключении к веб-консоли Operations Manager.
Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4487099
Симптомы
На сервере устанавливается автономная веб-консоль Operations Manager. При подключении к веб-консоли http://<web_host>/OperationsManager
на удаленном компьютере вы получите следующее сообщение об ошибке:
500 — внутренняя ошибка сервера.
Эта проблема не возникает, если вы подключаетесь к веб-консоли с сервера веб-консоли.
Решение
Чтобы устранить проблему, выполните следующие конфигурации и проверки, а затем снова подключитесь к веб-консоли:
- Зарегистрируйте имена субъектов-служб SDK.
- Проверьте имена субъектов-служб SDK.
- Зарегистрируйте VPN-службы HTTP.
- Проверьте HTTP-имена субъектов-служб.
- Настройка делегирований ограничений.
- Убедитесь, что учетная запись является конфиденциальной и не может быть делегирована.
- Отключите проверку подлинности в режиме ядра в IIS.
Примечание.
В шагах конфигурации и проверки используются следующие примеры имен. Их необходимо заменить именами в вашей среде.
- SCOMMS. Lab.Local — полное доменное имя сервера управления System Center Operations Manager (SCOM)
- SCOMWeb.Lab.Local — полное доменное имя сервера, на котором размещена веб-консоль SCOM
- Lab\SDKSvc — учетная запись службы доступа к данным SCOM (необязательно)
- Lab\SCOMAppPool — учетная запись удостоверения пула приложений SCOM (необязательно)
https://mySCOM.Lab.Local/OperationsManager
— URL-адрес, используемый для доступа к веб-консоли Operations Manager (если URL-адрес отсутствует, замените его именем сервера веб-консоли Operations Manager.)
Имена субъектов-служб SDK
Регистрация имен субъектов-служб SDK
Чтобы зарегистрировать имена субъектов-служб System Center Data Access (SDK), выполните следующие команды в соответствии с различными сценариями:
Сценарий 1
Служба SDK выполняется под учетной записью LocalSystem
Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
Сценарий 2
Служба SDK выполняется под учетной записью домена (SDKSvc)
Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
Проверка имен субъектов-служб SDK
Чтобы проверить, зарегистрирована ли служба SDK, выполните следующую команду в соответствии с различными сценариями:
Сценарий 1
Служба SDK выполняется под учетной записью LocalSystem
Setspn.exe -L SCOMMS
Сценарий 2
Служба SDK выполняется под учетной записью домена (SDKSvc)
Setspn.exe -L SDKSvc
VPN-службы HTTP
Регистрация vpn-служб HTTP
Чтобы зарегистрировать vpn-службы HTTP, выполните следующие команды в соответствии с различными сценариями:
Сценарий 1
Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)
Setspn.exe -S HTTP/mySCOM SCOMWeb Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
Сценарий 2
Пул приложений веб-консоли выполняется под пользовательским удостоверением (Lab\SCOMAppPool)
Setspn.exe -S HTTP/mySCOM SCOMAppPool Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
Проверка VPN-служб HTTP
Чтобы проверить, зарегистрирована ли служба HTTP, выполните следующую команду в соответствии с различными сценариями:
Сценарий 1
Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)
Setspn.exe -L SCOMWeb
Сценарий 2
Пул приложений веб-консоли выполняется под пользовательским удостоверением (Lab\SCOMAppPool)
Setspn.exe -L SCOMAppPool
Настройка делегирований ограничений
Чтобы настроить делегирование ограничений, выполните следующие действия.
Запустите консоль Пользователи и компьютеры Active Directory.
В дереве консоли выберите "Компьютеры".
Откройте свойства в соответствии с различными сценариями:
Сценарий 1. Пул веб-приложений Operations Manager выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)
Щелкните правой кнопкой мыши компьютер, на котором установлена веб-консоль (SCOM Web) и выберите "Свойства".
Сценарий 2. Пул веб-приложений Operations Manager выполняется под пользовательским удостоверением (Lab\SCOMAppPool)
Щелкните правой кнопкой мыши пользователя, настроенного на пользовательском удостоверении (Lab\SCOMAppPool) и выберите "Свойства".
В области сведений выберите "Делегирование".
На вкладке "Делегирование" выберите "Доверять этому компьютеру" только для делегирования указанным службам, а затем выберите один из следующих параметров следующим образом:
Включена проверка подлинности в режиме ядра: используйте любой протокол проверки подлинности.
Проверка подлинности в режиме ядра отключена: используйте только Kerberos
Дополнительные сведения см. в разделе "Отключение проверки подлинности в режиме ядра" в службах IIS.
Выберите Добавить.
В диалоговом окне "Добавление служб" выберите "Пользователи" или "Компьютеры".
В диалоговом окне "Выбор пользователей или компьютеров" укажите учетную запись в соответствии с различными сценариями:
Сценарий 1. Служба SDK выполняется под учетной записью LocalSystem
Выберите учетную запись компьютера сервера управления SCOM (SCOMMS) и нажмите кнопку "ОК".
Сценарий 2. Служба SDK выполняется под учетной записью домена (SDKSvc)
Выберите учетную запись домена, в которой выполняется служба SDK, и нажмите кнопку "ОК".
В диалоговом окне "Добавление служб" выберите тип службы MSOMSdkSvc и нажмите кнопку "ОК".
Нажмите кнопку "ОК ", чтобы закрыть диалоговое окно "Свойства ".
Убедитесь, что учетная запись является конфиденциальной и не может быть делегирована.
Чтобы убедиться, что пользователь входить в веб-консоль не учитывает учетную запись и не может быть делегирован , выполните следующие действия.
- Запустите консоль Пользователи и компьютеры Active Directory.
- Щелкните правой кнопкой мыши учетную запись пользователя, используемую для подключения к веб-консоли, и выберите пункт "Свойства".
- Выберите Учетная запись.
- В диалоговом окне "Параметры учетной записи" убедитесь, что учетная запись конфиденциальна и не может быть делегирована.
Отключение проверки подлинности в режиме ядра в IIS
Чтобы отключить проверку подлинности в режиме ядра для обоих MonitoringView
служб OperationsManager
IIS, выполните следующие действия.
- В диспетчере IIS перейдите к веб-сайту по умолчанию\MonitoringView.
- Дважды щелкните проверку подлинности.
- Выберите параметр Проверка подлинности Windows.
- В области "Действия" справа выберите "Дополнительные параметры".
- Снимите флажок "Включить проверку подлинности в режиме ядра".
- Перейдите к веб-сайту по умолчанию\OperationsManager и повторите шаги 2–5.