@configmgr
oxotnik24.01.2018
11:52:34
11:52:34
а http://localhost/CCM_System_WindowsAuth 500
Andrey24.01.2018
11:52:48
11:52:48
если в грубой форме, то удалить роль MP, удалить IIS, удалить BITS, перезагрузить сервер, поставить в обратном порядке всё
это по-дурацки но скорее всего сработает
Quantum Yupiter24.01.2018
11:53:23
11:53:23
а http://localhost/CCM_System_WindowsAuth 500
Интересно, а никакось виндовс аутентификация полетела...
GoogleQuantum Yupiter24.01.2018
11:53:44
11:53:44
если в грубой форме, то удалить роль MP, удалить IIS, удалить BITS, перезагрузить сервер, поставить в обратном порядке всё
Да погоди ты, может ювелирно найдемВидишь ли, если Windows Auth не пашет, то это может быть что угодно вплоть до кербероса сурового
oxotnik24.01.2018
11:54:13
11:54:13
было тбы здорово, понять бы куда копать, гугл завёл уже за 3-ю страницу...
Quantum Yupiter24.01.2018
11:54:25
11:54:25
Тогда переустановка IIS не поможет
причём http://localhost/CCM_System_WindowsAuth пишет ошибку 403
А должно быть 200 и белая пустая страничкаAndrey24.01.2018
11:54:46
11:54:46
ковыряйтесь тогда, у меня с менеджером скоро звонок, а конь не валялся
Quantum Yupiter24.01.2018
11:55:01
11:55:01
oxotnik24.01.2018
11:55:02
11:55:02
System Center Bot24.01.2018
11:55:03
11:55:03
Я знал, что тебе помогут @ox0tnik
Andrey24.01.2018
11:55:04
11:55:04
мигрируйте на новую иерархию, и дело с концом
GoogleQuantum Yupiter24.01.2018
11:55:33
11:55:33
было тбы здорово, понять бы куда копать, гугл завёл уже за 3-ю страницу...
Для начала в ролях и фичах сервера проверить наличие Windows Authentification в Web Serveroxotnik24.01.2018
11:56:34
11:56:34
Quantum Yupiter24.01.2018
11:57:17
11:57:17
Затем в консоли IIS Sites>Default Web Sites> CCM_System_Windows_Auth
oxotnik24.01.2018
11:57:26
11:57:26
Quantum Yupiter24.01.2018
11:57:58
11:57:58
Там должно быть в Authentification>Windows Authentification Enabled , а остальное нет
Andrey24.01.2018
11:59:48
11:59:48
Надо в IIS ещё там проверить
ошибка 500 может указвать на отсутствие разрешений на рабочие папки MP, кстати
oxotnik24.01.2018
12:00:36
12:00:36
а для SMS_MP_WindowsAuth не должен быть включен анонимус?
Andrey24.01.2018
12:00:41
12:00:41
либо их блокировку антивирусом на чтение
oxotnik24.01.2018
12:00:45
12:00:45
Andrey24.01.2018
12:00:53
12:00:53
Andrey24.01.2018
12:01:58
12:01:58
короче, включи Verbose logging на этом сервере для клиента, логи MP станут более насыщенными
GoogleQuantum Yupiter24.01.2018
12:05:40
12:05:40
В качестве временного решения можно поднять временную MP на отдельной маленькой виртуалочке
И тем самым снизить критичность
oxotnik24.01.2018
12:08:25
12:08:25
у меня уже начинают мысли закрадыватся о переносе всего сайта
Quantum Yupiter24.01.2018
12:11:03
12:11:03
у меня уже начинают мысли закрадыватся о переносе всего сайта
Не могу сказать. что я хорошо умею чинить керберос. Суровый вариант - перевогнать сервак в домен.
Сделать бэкап, остановить сайт (Preinst /stopsite), выгнать-вогнатьAndrey24.01.2018
12:14:18
12:14:18
смотри журналы событий > система на предмет работы с доменом
Quantum Yupiter24.01.2018
12:14:46
12:14:46
Ну и да, включить расширенное логирование в MP за допхинтами
оооо, идея: а SPN нет случайно кривого для HTTP?
Quantum Yupiter24.01.2018
12:17:51
12:17:51
HTTP/Siteserver.domain.local
oxotnik24.01.2018
12:18:42
12:18:42
не очень понял
Quantum Yupiter24.01.2018
12:19:43
12:19:43
Не зарегистрирован ли SPN для HTTP-службы на этом сервере на левое имя пользователя?
MP работает от имени системы, если есть SPN на имя пользователя - ломается аутентификация и капут
Я сам недавно так сделал, зарегав HTTP SPN для Reporting Services, которые крутились от имени пользователя на сайт-сервере.
И поломал MP )
Andrey24.01.2018
12:20:21
12:20:21
по идее, в системном журнале должна быть ругань
oxotnik24.01.2018
12:20:29
12:20:29
а где это посмотреть можно?
Quantum Yupiter24.01.2018
12:20:52
12:20:52
setspn
https://blogs.technet.microsoft.com/configurationmgr/2010/01/20/how-it-works-automatic-client-approval-in-configuration-manager-2007/
The HTTP SPN is registered under a user account: Normally, there is no HTTP SPN for a server so the HOST SPN, which should always be on the computer object, is used in obtaining the Kerberos ticket. If web based services, such as SQL Reporting Services, are running under user context on the MP, and the HTTP SPN is linked to that user account, the Kerberos ticket obtained by the client will be for the same user. When presented to the MP, which runs as Local Service (System), it is rejected because it is linked to the wrong user.
The solution for this is to delete the HTTP SPN from the user object, move the web service running as the user to a different web site using a different port and create a new HTTP SPN to refer to the new port. For example, for a new web site using TCP port 81, the new HTTP SPN, created under the user object in AD, would be similar to:
GoogleQuantum Yupiter24.01.2018
12:22:35
12:22:35
setspn -Q HTTP/Hostname.Domain.local
И setspn -Q HTTP/Hostname
В нынешних версиях даже можно
Setspn - Q */hostname
oxotnik24.01.2018
12:25:02
12:25:02
это прям в поше?
Quantum Yupiter24.01.2018
12:25:32
12:25:32
Даже в cmd
oxotnik24.01.2018
12:25:59
12:25:59
hostname я так понял сайт сервер вводить?
Quantum Yupiter24.01.2018
12:26:05
12:26:05
ага
oxotnik24.01.2018
12:27:12
12:27:12
No such SPN found.
Quantum Yupiter24.01.2018
12:27:41
12:27:41
А так?
Setspn -Q */hostname
AdminERROR: S client not available
oxotnik24.01.2018
12:28:33
12:28:33
кучу всего выплюнул
Quantum Yupiter24.01.2018
12:28:47
12:28:47
В студию )
oxotnik24.01.2018
12:29:12
12:29:12
PS C:\Users\sc> Setspn -Q */sc
Checking domain DC=fkpuzks,DC=local
CN=SC,OU=??????????,OU=???????,OU=??,DC=fkpuzks,DC=local
KSCM8/EXCHANGE
KSCM8/exchange.fkpuzks.local
CmRcService/sc.fkpuzks.local
CmRcService/SC
MSOMHSvc/SC
MSOMHSvc/sc.fkpuzks.local
MSOMSdkSvc/SC
MSOMSdkSvc/sc.fkpuzks.local
MSSQLSvc/sc.fkpuzks.local:1433
MSSQLSvc/sc.fkpuzks.local
TERMSRV/SC
TERMSRV/sc.fkpuzks.local
WSMAN/sc
WSMAN/sc.fkpuzks.local
RestrictedKrbHost/SC
HOST/SC
RestrictedKrbHost/SC.fkpuzks.local
HOST/SC.fkpuzks.local
Quantum Yupiter24.01.2018
12:29:37
12:29:37
KSCM8/EXCHANGE
KSCM8/exchange.fkpuzks.local
)))
Эх, не угадал. Походу всё тут ок. (((
oxotnik24.01.2018
12:30:06
12:30:06
ну каспер, да)
Quantum Yupiter24.01.2018
12:30:09
12:30:09
А я уж вознадеялся, что халява
oxotnik24.01.2018
12:30:17
12:30:17
я тоже(
Andrey24.01.2018
12:30:36
12:30:36
я пропустил, переставлять IIS пробовали?
oxotnik24.01.2018
12:30:40
12:30:40
GoogleAndrey24.01.2018
12:31:05
12:31:05
я бы да, MP это расходник, она ничего ценного не несёт в себе, просто функция
Quantum Yupiter24.01.2018
12:31:43
12:31:43
я бы да, MP это расходник, она ничего ценного не несёт в себе, просто функция
Ну вот чёрт его знает, я сомневаюсь, что поможемПравильный путь для начала - поднять дополнительную MP
для неё проца и памяти не надо много
Любой говносервер подойдёт
А клиенты заработают
oxotnik24.01.2018
12:33:13
12:33:13
ну ок, допустим подниму, а дальше?)
Quantum Yupiter24.01.2018
12:33:32
12:33:32
а дальше можно IISы переставлять до опупения )
oxotnik24.01.2018
12:34:18
12:34:18
да в принципе можео и переставить, потерпят
sc это ж для нас, админов фича, на работу простого пользователя это не влияет
каков процесс?
1) удаляю битс (ребут?)
2) удаляю иис (ребут?)
3) удалаю mp (ребут?)
восстанавливаю всё в обратном порядке?
Quantum Yupiter24.01.2018
12:38:58
12:38:58
каков процесс?
1) удаляю битс (ребут?)
2) удаляю иис (ребут?)
3) удалаю mp (ребут?)
восстанавливаю всё в обратном порядке?
3 + удалить прочие роли, которые на IIS хостятся (DP, Appcatalog, Reporting), потом 1+2, потом ребут
Я так понимаю, у вас один сервак на все случаи жизни. поэтому мне тема с удалением IIS не очень нравитсяWSUS тоже IIS пользует
oxotnik24.01.2018
12:39:27
12:39:27
Andrey24.01.2018
12:40:12
12:40:12
поднять другую MP и потом ковыряться с этой тогда
oxotnik24.01.2018
12:41:00
12:41:00
а может реально имеет смысл новый чистыйсвежийохуенный сайт сервер поднять?
серверные мощности есть
oxotnik24.01.2018
12:41:40
12:41:40
понимаю
Andrey24.01.2018
12:41:47
12:41:47
тем более у тебя вторичников миллион ещё
Открыть в Telegram