Ошибка HTTP 500 при удаленном подключении к веб-консоли Operations Manager

  • Статья

В этой статье описано, как устранить ошибку HTTP 500, возникающую при удаленном подключении к веб-консоли Operations Manager.

Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4487099

Симптомы

На сервере устанавливается автономная веб-консоль Operations Manager. При подключении к веб-консоли с http://<web_host>/OperationsManager удаленного компьютера появляется следующее сообщение об ошибке:

500 — внутренняя ошибка сервера.

Эта проблема не возникает при подключении к веб-консоли с сервера веб-консоли.

Разрешение

Чтобы устранить эту проблему, выполните следующие настройки и проверки, а затем снова подключитесь к веб-консоли:

  1. Зарегистрируйте имена субъектов-служб пакета SDK.
  2. Проверьте имена субъектов-служб пакета SDK.
  3. Зарегистрируйте имена субъектов-служб HTTP.
  4. Проверьте имена субъектов-служб HTTP.
  5. Настройка делегирования ограничений.
  6. Убедитесь, что параметр "Учетная запись является конфиденциальной и не может быть делегирована".
  7. Отключите проверку подлинности в режиме ядра в IIS.

Примечание.

Следующие примеры имен используются на этапах настройки и проверки. Вы должны заменить их именами в вашей среде.

  • SCOMMS. Lab.Local — полное доменное имя (FQDN) сервера управления System Center Operations Manager (SCOM).
  • SCOMWeb.Lab.Local — полное доменное имя сервера, на котором размещена веб-консоль SCOM.
  • Lab\SDKSvc — учетная запись службы доступа к данным SCOM (необязательно)
  • Lab\SCOMAppPool — учетная запись удостоверения пула приложений SCOM (необязательно)
  • https://mySCOM.Lab.Local/OperationsManager — URL-адрес, используемый для доступа к веб-консоли Operations Manager (если URL-адрес отсутствует, замените его именем сервера веб-консоли Operations Manager.)

Имена субъектов-служб пакета SDK

Регистрация имен субъектов-служб пакета SDK

Чтобы зарегистрировать имена субъектов-служб System Center Data Access (SDK), выполните следующие команды в соответствии с различными сценариями:

  • Сценарий 1

    Служба SDK выполняется под учетной записью LocalSystem.

    Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  • Сценарий 2

    Служба SDK выполняется под учетной записью домена (SDKSvc)

    Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc

Проверка имен субъектов-служб пакета SDK

Чтобы проверить, зарегистрирована ли служба SDK, выполните следующую команду в соответствии с различными сценариями:

  • Сценарий 1

    Служба SDK выполняется под учетной записью LocalSystem.

    Setspn.exe -L SCOMMS
  • Сценарий 2

    Служба SDK выполняется под учетной записью домена (SDKSvc)

    Setspn.exe -L SDKSvc

Имена субъектов-служб HTTP

Регистрация имен субъектов-служб HTTP

Чтобы зарегистрировать имена субъектов-служб HTTP, выполните следующие команды в соответствии с различными сценариями:

  • Сценарий 1

    Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

    Setspn.exe -S HTTP/mySCOM SCOMWeb 
Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  • Сценарий 2

    Пул приложений веб-консоли работает под пользовательским удостоверением (Lab\SCOMAppPool)

    Setspn.exe -S HTTP/mySCOM SCOMAppPool 
Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool

Проверка имен субъектов-служб HTTP

Чтобы проверить, зарегистрирована ли служба HTTP, выполните следующую команду в соответствии с различными сценариями:

  • Сценарий 1

    Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

    Setspn.exe -L SCOMWeb
  • Сценарий 2

    Пул приложений веб-консоли работает под пользовательским удостоверением (Lab\SCOMAppPool)

    Setspn.exe -L SCOMAppPool

Настройка делегирования ограничений

Чтобы настроить делегирование ограничений, выполните следующие действия.

  1. Запустите консоль Пользователи и компьютеры Active Directory.

  2. В дереве консоли выберите Компьютеры.

  3. Откройте свойства в соответствии с разными сценариями:

    • Сценарий 1. Пул веб-приложений Operations Manager выполняется с удостоверением по умолчанию (ApplicationPoolIdentity)

      Щелкните правой кнопкой мыши компьютер, на котором установлена веб-консоль (SCOM Web), и выберите Свойства.

    • Сценарий 2. Пул веб-приложений Operations Manager выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

      Щелкните правой кнопкой мыши пользователя, настроенного для пользовательского удостоверения (Lab\SCOMAppPool), и выберите Свойства.

  4. В области сведений выберите Делегирование.

  5. На вкладке Делегирование выберите Доверять этому компьютеру делегирование только указанным службам, а затем выберите один из следующих параметров соответственно:

  6. Нажмите Добавить.

  7. В диалоговом окне Добавление служб выберите Пользователи или компьютеры.

  8. В диалоговом окне Выбор пользователей или компьютеров укажите учетную запись в соответствии с различными сценариями:

    • Сценарий 1. Служба SDK запускается под учетной записью LocalSystem

      Выберите учетную запись компьютера сервера управления SCOM (SCOMMS) и нажмите кнопку ОК.

    • Сценарий 2. Служба SDK запускается под учетной записью домена (SDKSvc)

      Выберите учетную запись домена, в которой работает служба SDK, и нажмите кнопку ОК.

  9. В диалоговом окне Добавление служб выберите тип службы MSOMSdkSvc и нажмите кнопку ОК.

  10. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства .

Убедитесь, что параметр "Учетная запись является конфиденциальной и не может быть делегирована" не задана

Чтобы убедиться, что пользователь, войдя в веб-консоль, не имеет конфиденциальной учетной записи и не может быть делегирован , выполните следующие действия.

  1. Запустите консоль Пользователи и компьютеры Active Directory.
  2. Щелкните правой кнопкой мыши учетную запись пользователя, используемую для подключения к веб-консоли, и выберите Пункт Свойства.
  3. Выберите Учетная запись.
  4. В диалоговом окне Параметры учетной записи убедитесь, что флажок Учетная запись является конфиденциальной и не может быть делегирован .

Отключение проверки подлинности в режиме ядра в IIS

Чтобы отключить проверку подлинности в режиме ядра для служб MonitoringView IIS и OperationsManager в службах IIS, выполните следующие действия.

  1. В диспетчере IIS перейдите в раздел Веб-сайт по умолчанию\MonitoringView.
  2. Дважды щелкните Проверка подлинности.
  3. Выберите Проверка подлинности Windows.
  4. В области Действия справа выберите Дополнительные параметры.
  5. Снимите флажок Включить проверку подлинности в режиме ядра .
  6. Перейдите в раздел Веб-сайт по умолчанию\OperationsManager и повторите шаги 2–5.