Freigeben über

HTTP 500-Fehler beim Herstellen einer Remoteverbindung mit der Operations Manager-Webkonsole

  • Artikel

Dieser Artikel enthält eine Lösung zum Beheben des HTTP 500-Fehlers, der auftritt, wenn Sie eine Remoteverbindung mit der Operations Manager-Webkonsole herstellen.

Ursprüngliche Produktversion: System Center Operations Manager
Ursprüngliche KB-Nummer: 4487099

Symptome

Sie installieren eine eigenständige Operations Manager-Webkonsole auf einem Server. Wenn Sie von einem Remotecomputer aus eine Verbindung mit der Webkonsole unter http://<web_host>/OperationsManager herstellen, erhalten Sie die folgende Fehlermeldung:

500 - Internal server error. (Interner Serverfehler)

Dieses Problem tritt nicht auf, wenn Sie vom Webkonsolenserver aus eine Verbindung mit der Webkonsole herstellen.

Lösung

Um das Problem zu beheben, führen Sie die folgenden Konfigurationen und Überprüfungen aus, und stellen Sie dann erneut eine Verbindung mit der Webkonsole her:

  1. Registrieren Sie die SDK-SPNs.
  2. Überprüfen Sie die SDK-SPNs.
  3. Registrieren Sie die HTTP-SPNs.
  4. Überprüfen Sie die HTTP-SPNs.
  5. Konfigurieren sie Einschränkungsdelegierungen.
  6. Vergewissern Sie sich, dass "Konto ist vertraulich und kann nicht delegiert werden" nicht festgelegt ist.
  7. Deaktivieren Sie die Kernelmodusauthentifizierung in IIS.

Hinweis

Die folgenden Beispielnamen werden in den Konfigurations- und Überprüfungsschritten verwendet. Sie müssen sie durch die Namen in Ihrer Umgebung ersetzen.

  • SCOMMS. Lab.Local: Vollqualifizierter Domänenname (FQDN) des System Center Operations Manager-Verwaltungsservers (SCOM)
  • SCOMWeb.Lab.Local : Der FQDN des Servers, auf dem die SCOM-Webkonsole gehostet wird
  • Lab\SDKSvc – SCOM-Datenzugriffsdienstkonto (optional)
  • Lab\SCOMAppPool – SCOM-Anwendungspoolidentitätskonto (optional)
  • https://mySCOM.Lab.Local/OperationsManager – URL, die für den Zugriff auf die Operations Manager-Webkonsole verwendet wird (Wenn keine URL vorhanden ist, ersetzen Sie diese durch den Namen des Operations Manager-Webkonsolenservers.)

SDK-SPNs

Registrieren der SDK-SPNs

Führen Sie zum Registrieren der Dienstprinzipalnamen (Service Principal Names, SPNs) von System Center Data Access (SDK) die folgenden Befehle für verschiedene Szenarien aus:

  • Szenario 1

    Der SDK-Dienst wird unter einem LocalSystem-Konto ausgeführt.

    Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  • Szenario 2

    Der SDK-Dienst wird unter einem Domänenkonto (SDKSvc) ausgeführt.

    Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc

Überprüfen der SDK-SPNs

Führen Sie den folgenden Befehl für verschiedene Szenarien aus, um zu überprüfen, ob der SDK-Dienst registriert ist:

  • Szenario 1

    Der SDK-Dienst wird unter einem LocalSystem-Konto ausgeführt.

    Setspn.exe -L SCOMMS
  • Szenario 2

    Der SDK-Dienst wird unter einem Domänenkonto (SDKSvc) ausgeführt.

    Setspn.exe -L SDKSvc

HTTP-SPNs

Registrieren der HTTP-SPNs

Führen Sie die folgenden Befehle gemäß verschiedenen Szenarien aus, um die HTTP-SPNs zu registrieren:

  • Szenario 1

    Der Webkonsolenanwendungspool wird unter der Standardidentität (ApplicationPoolIdentity) ausgeführt.

    Setspn.exe -S HTTP/mySCOM SCOMWeb 
Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  • Szenario 2

    Der Webkonsolenanwendungspool wird unter einer benutzerdefinierten Identität (Lab\SCOMAppPool) ausgeführt.

    Setspn.exe -S HTTP/mySCOM SCOMAppPool 
Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool

Überprüfen der HTTP-SPNs

Führen Sie den folgenden Befehl gemäß verschiedenen Szenarien aus, um zu überprüfen, ob der HTTP-Dienst registriert ist:

  • Szenario 1

    Der Webkonsolenanwendungspool wird unter der Standardidentität (ApplicationPoolIdentity) ausgeführt.

    Setspn.exe -L SCOMWeb
  • Szenario 2

    Der Webkonsolenanwendungspool wird unter einer benutzerdefinierten Identität (Lab\SCOMAppPool) ausgeführt.

    Setspn.exe -L SCOMAppPool

Konfigurieren von Einschränkungsdelegierungen

Führen Sie die folgenden Schritte aus, um Einschränkungsdelegierungen zu konfigurieren:

  1. Starten Sie die Active Directory-Benutzer und -Computer-Konsole.

  2. Wählen Sie in der Konsolenstruktur Computer aus.

  3. Öffnen Sie die Eigenschaften gemäß verschiedenen Szenarien:

    • Szenario 1: Der Operations Manager-Webanwendungspool wird unter der Standardidentität (ApplicationPoolIdentity) ausgeführt.

      Klicken Sie mit der rechten Maustaste auf den Computer, auf dem die Webkonsole installiert ist (SCOM Web), und wählen Sie Eigenschaften aus.

    • Szenario 2: Der Operations Manager-Webanwendungspool wird unter einer benutzerdefinierten Identität (Lab\SCOMAppPool) ausgeführt.

      Klicken Sie mit der rechten Maustaste auf den Benutzer, der für die benutzerdefinierte Identität konfiguriert ist (Lab\SCOMAppPool), und wählen Sie Eigenschaften aus.

  4. Wählen Sie im Detailbereich Delegierung aus.

  5. Wählen Sie auf der Registerkarte Delegierung die Option Diesem Computer für die Delegierung nur für bestimmte Dienste vertrauen aus, und wählen Sie dann eine der folgenden Optionen entsprechend aus:

    • Die Kernelmodusauthentifizierung ist aktiviert: Verwenden eines beliebigen Authentifizierungsprotokolls

    • Authentifizierung im Kernelmodus ist deaktiviert: Nur Kerberos verwenden

      Weitere Informationen finden Sie unter Deaktivieren der Kernelmodusauthentifizierung in IIS.

  6. Wählen Sie Hinzufügen.

  7. Wählen Sie im Dialogfeld Dienste hinzufügen die Option Benutzer oder Computer aus.

  8. Geben Sie im Dialogfeld Benutzer oder Computer auswählen das Konto entsprechend verschiedenen Szenarien an:

    • Szenario 1: Der SDK-Dienst wird unter einem LocalSystem-Konto ausgeführt

      Wählen Sie das Computerkonto des SCOM-Verwaltungsservers (SCOMMS) und dann OK aus.

    • Szenario 2: Der SDK-Dienst wird unter einem Domänenkonto (SDKSvc) ausgeführt.

      Wählen Sie das Domänenkonto aus, unter dem der SDK-Dienst ausgeführt wird, und klicken Sie auf OK.

  9. Wählen Sie im Dialogfeld Dienste hinzufügen den Diensttyp MSOMSdkSvc und dann OK aus.

  10. Wählen Sie OK aus, um das Dialogfeld Eigenschaften zu schließen.

Überprüfen Sie, ob "Konto ist vertraulich und kann nicht delegiert werden" nicht festgelegt ist.

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob für den Benutzer, der sich bei der Webkonsole anmeldet, kein Konto vertraulich festgelegt ist und nicht delegiert werden kann :

  1. Starten Sie die Active Directory-Benutzer und -Computer-Konsole.
  2. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, das zum Herstellen einer Verbindung mit der Webkonsole verwendet wird, und wählen Sie dann Eigenschaften aus.
  3. Wählen Sie Konto aus.
  4. Vergewissern Sie sich, dass im Dialogfeld Kontooptionen das Kontrollkästchen Konto ist vertraulich und kann nicht delegiert werden aktiviert ist.

Deaktivieren der Kernelmodusauthentifizierung in IIS

Führen Sie die folgenden Schritte aus, um die Kernelmodusauthentifizierung für und MonitoringViewOperationsManager in IIS zu deaktivieren:

  1. Navigieren Sie im IIS-Manager zu Standardwebsite\MonitoringView.
  2. Doppelklicken Sie auf Authentifizierung.
  3. Wählen Sie Windows-Authentifizierung aus.
  4. Wählen Sie im Bereich Aktionen auf der rechten Seite Erweiterte Einstellungen aus.
  5. Deaktivieren Sie das Kontrollkästchen Authentifizierung im Kernelmodus aktivieren .
  6. Navigieren Sie zu Standardwebsite\OperationsManager, und wiederholen Sie die Schritte 2 bis 5.