Ошибка HTTP 500 при удаленном подключении к веб-консоли Operations Manager

В этой статье описано, как устранить ошибку HTTP 500, возникающую при удаленном подключении к веб-консоли Operations Manager.

Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4487099

Симптомы

На сервере устанавливается автономная веб-консоль Operations Manager. При подключении к веб-консоли с http://<web_host>/OperationsManager удаленного компьютера появляется следующее сообщение об ошибке:

500 — внутренняя ошибка сервера.

Эта проблема не возникает при подключении к веб-консоли с сервера веб-консоли.

Разрешение

Чтобы устранить эту проблему, выполните следующие настройки и проверки, а затем снова подключитесь к веб-консоли:

1. Зарегистрируйте имена субъектов-служб пакета SDK.
2. Проверьте имена субъектов-служб пакета SDK.
3. Зарегистрируйте имена субъектов-служб HTTP.
4. Проверьте имена субъектов-служб HTTP.
5. Настройка делегирования ограничений.
6. Убедитесь, что параметр "Учетная запись является конфиденциальной и не может быть делегирована".
7. Отключите проверку подлинности в режиме ядра в IIS.

Примечание.

Следующие примеры имен используются на этапах настройки и проверки. Вы должны заменить их именами в вашей среде.

• SCOMMS. Lab.Local — полное доменное имя (FQDN) сервера управления System Center Operations Manager (SCOM).
• SCOMWeb.Lab.Local — полное доменное имя сервера, на котором размещена веб-консоль SCOM.
• Lab\SDKSvc — учетная запись службы доступа к данным SCOM (необязательно)
• Lab\SCOMAppPool — учетная запись удостоверения пула приложений SCOM (необязательно)
• https://mySCOM.Lab.Local/OperationsManager — URL-адрес, используемый для доступа к веб-консоли Operations Manager (если URL-адрес отсутствует, замените его именем сервера веб-консоли Operations Manager.)

---

Имена субъектов-служб пакета SDK

Регистрация имен субъектов-служб пакета SDK

Чтобы зарегистрировать имена субъектов-служб System Center Data Access (SDK), выполните следующие команды в соответствии с различными сценариями:

• Сценарий 1

  Служба SDK выполняется под учетной записью LocalSystem.

  Setspn.exe -S MSOMSdkSvc/SCOMMS SCOMMS
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SCOMMS
  

• Сценарий 2

  Служба SDK выполняется под учетной записью домена (SDKSvc)

  Setspn.exe -S MSOMSdkSvc/SCOMMS SDKSvc
  Setspn.exe -S MSOMSdkSvc/SCOMMS.Lab.Local SDKSvc
  

Проверка имен субъектов-служб пакета SDK

Чтобы проверить, зарегистрирована ли служба SDK, выполните следующую команду в соответствии с различными сценариями:

• Сценарий 1

  Служба SDK выполняется под учетной записью LocalSystem.

  Setspn.exe -L SCOMMS
  

• Сценарий 2

  Служба SDK выполняется под учетной записью домена (SDKSvc)

  Setspn.exe -L SDKSvc
  

---

Имена субъектов-служб HTTP

Регистрация имен субъектов-служб HTTP

Чтобы зарегистрировать имена субъектов-служб HTTP, выполните следующие команды в соответствии с различными сценариями:

• Сценарий 1

  Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

  Setspn.exe -S HTTP/mySCOM SCOMWeb 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMWeb
  

• Сценарий 2

  Пул приложений веб-консоли работает под пользовательским удостоверением (Lab\SCOMAppPool)

  Setspn.exe -S HTTP/mySCOM SCOMAppPool 
  Setspn.exe -S HTTP/mySCOM.Lab.Local SCOMAppPool
  

Проверка имен субъектов-служб HTTP

Чтобы проверить, зарегистрирована ли служба HTTP, выполните следующую команду в соответствии с различными сценариями:

• Сценарий 1

  Пул приложений веб-консоли выполняется под удостоверением по умолчанию (ApplicationPoolIdentity)

  Setspn.exe -L SCOMWeb
  

• Сценарий 2

  Пул приложений веб-консоли работает под пользовательским удостоверением (Lab\SCOMAppPool)

  Setspn.exe -L SCOMAppPool
  

---

Настройка делегирования ограничений

Чтобы настроить делегирование ограничений, выполните следующие действия.

1. Запустите консоль Пользователи и компьютеры Active Directory.

2. В дереве консоли выберите Компьютеры.

3. Откройте свойства в соответствии с разными сценариями:

   • Сценарий 1. Пул веб-приложений Operations Manager выполняется с удостоверением по умолчанию (ApplicationPoolIdentity)

     Щелкните правой кнопкой мыши компьютер, на котором установлена веб-консоль (SCOM Web), и выберите Свойства.

   • Сценарий 2. Пул веб-приложений Operations Manager выполняется под пользовательским удостоверением (Lab\SCOMAppPool)

     Щелкните правой кнопкой мыши пользователя, настроенного для пользовательского удостоверения (Lab\SCOMAppPool), и выберите Свойства.

4. В области сведений выберите Делегирование.

5. На вкладке Делегирование выберите Доверять этому компьютеру делегирование только указанным службам, а затем выберите один из следующих параметров соответственно:

   • Проверка подлинности в режиме ядра включена: используйте любой протокол проверки подлинности.

   • Проверка подлинности в режиме ядра отключена: используйте только Kerberos

     Дополнительные сведения см. в разделе Отключение проверки подлинности в режиме ядра в IIS.

6. Нажмите Добавить.

7. В диалоговом окне Добавление служб выберите Пользователи или компьютеры.

8. В диалоговом окне Выбор пользователей или компьютеров укажите учетную запись в соответствии с различными сценариями:

   • Сценарий 1. Служба SDK запускается под учетной записью LocalSystem

     Выберите учетную запись компьютера сервера управления SCOM (SCOMMS) и нажмите кнопку ОК.

   • Сценарий 2. Служба SDK запускается под учетной записью домена (SDKSvc)

     Выберите учетную запись домена, в которой работает служба SDK, и нажмите кнопку ОК.

9. В диалоговом окне Добавление служб выберите тип службы MSOMSdkSvc и нажмите кнопку ОК.

10. Нажмите кнопку ОК , чтобы закрыть диалоговое окно Свойства .

Убедитесь, что параметр "Учетная запись является конфиденциальной и не может быть делегирована" не задана

Чтобы убедиться, что пользователь, войдя в веб-консоль, не имеет конфиденциальной учетной записи и не может быть делегирован , выполните следующие действия.

1. Запустите консоль Пользователи и компьютеры Active Directory.
2. Щелкните правой кнопкой мыши учетную запись пользователя, используемую для подключения к веб-консоли, и выберите Пункт Свойства.
3. Выберите Учетная запись.
4. В диалоговом окне Параметры учетной записи убедитесь, что флажок Учетная запись является конфиденциальной и не может быть делегирован .

Отключение проверки подлинности в режиме ядра в IIS

Чтобы отключить проверку подлинности в режиме ядра для служб MonitoringView IIS и OperationsManager в службах IIS, выполните следующие действия.

1. В диспетчере IIS перейдите в раздел Веб-сайт по умолчанию\MonitoringView.
2. Дважды щелкните Проверка подлинности.
3. Выберите Проверка подлинности Windows.
4. В области Действия справа выберите Дополнительные параметры.
5. Снимите флажок Включить проверку подлинности в режиме ядра .
6. Перейдите в раздел Веб-сайт по умолчанию\OperationsManager и повторите шаги 2–5.