И тем самым снизить критичность

ну так то я уже неделю почти с этим ебусь, так что потерпят

у меня уже начинают мысли закрадыватся о переносе всего сайта

у меня уже начинают мысли закрадыватся о переносе всего сайта

Не могу сказать. что я хорошо умею чинить керберос. Суровый вариант - перевогнать сервак в домен. Сделать бэкап, остановить сайт (Preinst /stopsite), выгнать-вогнать

Ну и да, включить расширенное логирование в MP за допхинтами

оооо, идея: а SPN нет случайно кривого для HTTP?

оооо, идея: а SPN нет случайно кривого для HTTP?

а?

HTTP/Siteserver.domain.local

не очень понял

Не зарегистрирован ли SPN для HTTP-службы на этом сервере на левое имя пользователя? MP работает от имени системы, если есть SPN на имя пользователя - ломается аутентификация и капут

Я сам недавно так сделал, зарегав HTTP SPN для Reporting Services, которые крутились от имени пользователя на сайт-сервере.

И поломал MP )

а где это посмотреть можно?

setspn

https://blogs.technet.microsoft.com/configurationmgr/2010/01/20/how-it-works-automatic-client-approval-in-configuration-manager-2007/ The HTTP SPN is registered under a user account: Normally, there is no HTTP SPN for a server so the HOST SPN, which should always be on the computer object, is used in obtaining the Kerberos ticket. If web based services, such as SQL Reporting Services, are running under user context on the MP, and the HTTP SPN is linked to that user account, the Kerberos ticket obtained by the client will be for the same user. When presented to the MP, which runs as Local Service (System), it is rejected because it is linked to the wrong user. The solution for this is to delete the HTTP SPN from the user object, move the web service running as the user to a different web site using a different port and create a new HTTP SPN to refer to the new port. For example, for a new web site using TCP port 81, the new HTTP SPN, created under the user object in AD, would be similar to:

setspn -Q HTTP/Hostname.Domain.local

И setspn -Q HTTP/Hostname

В нынешних версиях даже можно Setspn - Q */hostname

это прям в поше?

Даже в cmd

hostname я так понял сайт сервер вводить?

ага

No such SPN found.

А так? Setspn -Q */hostname

кучу всего выплюнул

В студию )

PS C:\Users\sc> Setspn -Q */sc Checking domain DC=fkpuzks,DC=local CN=SC,OU=??????????,OU=???????,OU=??,DC=fkpuzks,DC=local KSCM8/EXCHANGE KSCM8/exchange.fkpuzks.local CmRcService/sc.fkpuzks.local CmRcService/SC MSOMHSvc/SC MSOMHSvc/sc.fkpuzks.local MSOMSdkSvc/SC MSOMSdkSvc/sc.fkpuzks.local MSSQLSvc/sc.fkpuzks.local:1433 MSSQLSvc/sc.fkpuzks.local TERMSRV/SC TERMSRV/sc.fkpuzks.local WSMAN/sc WSMAN/sc.fkpuzks.local RestrictedKrbHost/SC HOST/SC RestrictedKrbHost/SC.fkpuzks.local HOST/SC.fkpuzks.local

KSCM8/EXCHANGE KSCM8/exchange.fkpuzks.local )))

Эх, не угадал. Походу всё тут ок. (((

ну каспер, да)

А я уж вознадеялся, что халява

я тоже(

значит это?

Нет ещё

Ну вот чёрт его знает, я сомневаюсь, что поможем

Правильный путь для начала - поднять дополнительную MP

для неё проца и памяти не надо много

Любой говносервер подойдёт

А клиенты заработают

ну ок, допустим подниму, а дальше?)

а дальше можно IISы переставлять до опупения )

да в принципе можео и переставить, потерпят

sc это ж для нас, админов фича, на работу простого пользователя это не влияет

каков процесс? 1) удаляю битс (ребут?) 2) удаляю иис (ребут?) 3) удалаю mp (ребут?) восстанавливаю всё в обратном порядке?

каков процесс? 1) удаляю битс (ребут?) 2) удаляю иис (ребут?) 3) удалаю mp (ребут?) восстанавливаю всё в обратном порядке?

3 + удалить прочие роли, которые на IIS хостятся (DP, Appcatalog, Reporting), потом 1+2, потом ребут Я так понимаю, у вас один сервак на все случаи жизни. поэтому мне тема с удалением IIS не очень нравится

WSUS тоже IIS пользует

3 + удалить прочие роли, которые на IIS хостятся (DP, Appcatalog, Reporting), потом 1+2, потом ребут Я так понимаю, у вас один сервак на все случаи жизни. поэтому мне тема с удалением IIS не очень нравится

мне тоже неочень... есть ещё какие то варианты?

а может реально имеет смысл новый чистыйсвежийохуенный сайт сервер поднять?

серверные мощности есть

понимаю

да чо там? некст-некст-некст

😉

да чо там? некст-некст-некст

угу, всё как мы любим, хуяк хуяк и в продакшн

да какбе видал я всё это в гробу, просто мне неочень понятно что делать с двумя mp...

пусть нова ябудет работать (хотя я не уверен в этом), с первой то что делать...

угу, всё как мы любим, хуяк хуяк и в продакшн

Это по-мужски. Обязательно в бизнес-время и без бэкапа.

Ну вот мой: остановить сайт, перевогнать в домен

Кейс блин

Ну вот мой: остановить сайт, перевогнать в домен

да, это гораздо более выполнимо

кто-нибудь сталкивался, установил роль Report service, в консоли отчеты не показывает, а если по ссылке перейти на reportserver то там показывает?

mp починил

не было прав на C:\Program Files\SMS_CCM\ServiceData\System\web.config

добавил и всё завелось сразу

да не, мы с коллегой подумали а хуле он сопсна ошибку 500.19 выдаёт что прав не хватает, полезли и нашли этот ебучий web.config, выдали права и всё

гыгыгы ловко сменили коней на переправе https://www.anoopcnair.com/wql-query-changes-required-after-sccm-cb-1710-upgrade/

а скиньте кто нибдуь пермишны на этот файл

чтобы правильные выставить

Блин, напомнило лабу из ТС воркшопа с установкой wsus

не было прав на C:\Program Files\SMS_CCM\ServiceData\System\web.config

я бы скинул но вебконфига у меня там нет :)

я бы скинул но вебконфига у меня там нет :)

а это как? Оо

+1. Папки такой нет

папка у меня есть

C:\SMS_CCM\ServiceData\System вообще пусто

:) что она делает в корне диска?

Коллеги, а подскажите, пытаюсь ACCESS задеплоить на установленный офис... какой detect method использовать?

файл

любой )

А какой именно?)

для чистоты эсперемента еще -hidden надо бы :)

А какой именно?)

MsAccess.exe?)