none
Lync 2010. Monitoring server Reports. Ошибка развертывания. RRS feed

  • Вопрос

  • Добрый день.

    Имеется развернутый Lync Server 2010 в конфигурации Standard edition размещенный на 2-х серверах. Первый FE, второй под archiving и monitoring. Соответственно имеется именованный экземпляр SQL и SSRS развернутый на выделенном сервере. Система функционирует уже около полутора месяцев, но есть одна проблема. Не удается развернуть Monitoring Server Reports. Попытка развертывания завершается ошибкой"401. Unathorization Access".

    Начинаю тестировать доступность экземпляра SSRS:

    При попытке доступа из IE с использованием URL - трижды всплывает окно с запросом логин/пароль, затем пустая страница

    При попытке доступа из IE с использованием IP адреса - единожды запрос логин/пароль, затем попадаем на целевую страницу

    При попытке доступа с Firefox или Opera - единожды запрос логин/пароля и попадание на целевую страницу (причем что по URL что по IP адресу).

    При попытке доступа локально с использованием localhost - так же нормальный доступ, при попытке доступа через URL - облом, описанный выше).

    Что предпринимал? Отключал в IE прокси. Не помогло.

    Firefox и Opera безразлично относятся к прокси, то есть доступ к целевой странице работает во всех комбинациях.

    Голову уже сломал. И сниффер запускал.

    Http: Response, HTTP/1.1, Status: Unauthorized, URL: /ReportS_Lync Using Multiple Authetication Methods, see frame details (это при попытке доступа через IE по URL.

    В деталях - NTLM авторизация и Negotiate при доступе через IE

    NTLM авторизация при доступе через Firefox и Opera.

    Хотелось бы выслушать мнения компетентных товарищей.


    Не умножайте сущности сверх необходимого.

    24 апреля 2012 г. 5:56

Ответы

  • Ну вот и причина такого поведения :) !

    Выполните команды "SetSPN -A http/sco1-sql-02.xxx.ru xxx\Lync_sql" и "SetSPN -A http/sco1-sql-02 xxx\Lync_sql"...

    После этого на клиенте выполните "klist purge" (или перезайдите в систему) и проверьте работоспособность...

    • Изменено StаnvyModerator 25 апреля 2012 г. 13:25
    • Помечено в качестве ответа Dmitry.I 26 апреля 2012 г. 3:27
    25 апреля 2012 г. 13:23
    Модератор

Все ответы

  • Судя по всему, у вас проблема с Kerberos'ом. Какое имя вы вводите в IE?
    24 апреля 2012 г. 9:01
    Модератор
  • http://<FQDN SQL Server>/Reports_Lync

    Не умножайте сущности сверх необходимого.

    24 апреля 2012 г. 10:16
  • Какой результат выдают команды "SetSPN -Q http/<FQDN SQL Server>" и "SetSPN -Q host/<FQDN SQL Server>"?

    24 апреля 2012 г. 10:44
    Модератор
  • И, кстати, почему вы указываете "http://<FQDN SQL Server>/Reports_Lync"? Ведь ссылка по умолчанию "https://<FQDN SQL Server>/ReportServer/Pages/ReportViewer.aspx?%2fLyncServerReports%2fReports+Home+Page&rs:Command=Render".

    24 апреля 2012 г. 10:50
    Модератор
  • ксожалению сегодня уже не смогу проверить результат выполнения команды. Прочему не https? да потому что для экземпляра SSRS не поднят URL https. И не поднимается, потому что нет сертификата SSL,а запрос сертификата не работает, потому что непонятно кем администрируется Enterprise CA.  В общем такой вот заколдованный круг. Я так понимаю, для развертывания Monitoring Server Reports необходимо обеспечить доступк экземпляру SSRS по https?

    И, кстати, почему вы указываете "http://<FQDN SQL Server>/Reports_Lync"? Ведь ссылка по умолчанию "https://<FQDN SQL Server>/ReportServer/Pages/ReportViewer.aspx?%2fLyncServerReports%2fReports+Home+Page&rs:Command=Render".

    при подключении через IP адрес, либо через иные браузеры, я попадаю на страницу reports экземпляра Lync. А на LyncServerReports никак не попасть, ибо оно еще не сконфигурировано. Развертывание MonitoringServerReport ведь не прошло.


    Не умножайте сущности сверх необходимого.



    • Изменено Dmitry.I 24 апреля 2012 г. 11:16
    24 апреля 2012 г. 11:10
  • Мой вопрос был не столько в HTTPS, сколько в самой ссылке ;) .

    24 апреля 2012 г. 11:15
    Модератор
  • я понял, Александр. просто указанные URL есть в reporting service management tools, и, соответственно, могут быть использованы для проверки доступа к службе.

    Не умножайте сущности сверх необходимого.

    24 апреля 2012 г. 11:35
  • А можете показать где именно, чтоб я у себя тоже посмотрел?
    24 апреля 2012 г. 11:51
    Модератор
  • сегодня уже поздно, тут рабочий день закончился, но завтра прямо с утра обязательно отпишусь.

    Не умножайте сущности сверх необходимого.

    24 апреля 2012 г. 11:54
  • Я понял, что сегодня вы уже не сможете - я ж вас не тороплю :) .

    24 апреля 2012 г. 11:55
    Модератор
  • Результат запуска setspn

    C:\Windows\system32>SetSPN -Q http/sco1-sql-02.xxx.ru
    Checking domain DC=xxx,DC=ru

    No such SPN found.

    C:\Windows\system32>SetSPN -Q host/sco1-sql-02.xxx.ru
    Checking domain DC=sgp,DC=ru
    CN=SCO1-SQL-02,OU=DB,OU=Servers,OU=Servers and Resources,DC=xxx,DC=ru
            MSSQLSvc/sco1-sql-02.xxx.ru:1433
            MSSQLSvc/sco1-sql-02.xxx.ru
            TERMSRV/sco1-sql-02.xxx.ru
            TERMSRV/SCO1-SQL-02
            WSMAN/sco1-sql-02.xxx.ru
            WSMAN/sco1-sql-02
            RestrictedKrbHost/SCO1-SQL-02
            HOST/SCO1-SQL-02
            RestrictedKrbHost/SCO1-SQL-02.xxx.ru
            HOST/SCO1-SQL-02.xxx.ru

    Existing SPN found!

    к слову говоря, сегодня утром запускали:

    Setspn -a http/sco1-sql-02.xxx.ru:80 xxx\Lync_SQL

    это не помогло. по прежнему можно подключиться к службе используя IP адрес и нельзя используя URL

    И по последнему вопросу. Инструмент называется Reporting Server Configuration Manager. Необходимо подключиться к конкретному экземпляру, и в появившемся окне выбрать соответствующий пункт.


    Не умножайте сущности сверх необходимого.

    25 апреля 2012 г. 3:49
  • К слову говоря, указанный вами SPN в принципе не может помочь, ибо он некорректный ;) . Номера портов для работы Kerberos'а по HTTP/HTTPS указывать не нужно, а чего вы хотели сказать указанием "xxx\Lync_SQL" я и вовсе не понял.

    Я смотрел, но в упор не вижу там ссылки "Reports_Lync" - только "ReportServer" и "Reports". Вы, видимо, сами изменили имя виртуального каталога?

    От какой учётной записи у вас "Reporting Services" запущен?

    25 апреля 2012 г. 7:22
    Модератор
  • Lync - именованный экземпляр SQL и, соответственно, SSRS. Поэтому и присутствует в указанных URL.

    xxx\Lync_sql - сервисная учетная запись, из под которой запускаются как служба SQL, так и SSRS для экземпляра Lync.


    Не умножайте сущности сверх необходимого.

    25 апреля 2012 г. 13:13
  • Ну вот и причина такого поведения :) !

    Выполните команды "SetSPN -A http/sco1-sql-02.xxx.ru xxx\Lync_sql" и "SetSPN -A http/sco1-sql-02 xxx\Lync_sql"...

    После этого на клиенте выполните "klist purge" (или перезайдите в систему) и проверьте работоспособность...

    • Изменено StаnvyModerator 25 апреля 2012 г. 13:25
    • Помечено в качестве ответа Dmitry.I 26 апреля 2012 г. 3:27
    25 апреля 2012 г. 13:23
    Модератор
  • Завтра же утром проверю и отпишусь.

    Не умножайте сущности сверх необходимого.

    25 апреля 2012 г. 13:55
  • Александр, благодарю, Monitoring Server Reports успешно развернулся. Но теперь происходит следующее: при попытке просмотра отчетов по ссылке в Lync Server Control Panel, вылезает следующее сообщение:

    Сервер отчетов обнаружил ошибку конфигурации. Ошибка входа для учетной записи автоматического выполнения. (rsServerConfigurationError)
    Не удалось выполнить вход. Проверьте правильность имени пользователя и пароля. (rsLogonFailed)
    Чтобы получить дополнительные сведения об этой ошибке, перейдите к серверу отчетов на локальном сервере или включите удаленный контроль ошибок.

    При запуске IE AsAdministrator и попытке доступа по URL:

    http://sco1-sql-02/ReportServer_LYNC/Pages/ReportViewer.aspx

    Ошибка служб Reporting Services
    --------------------------------------------------------------------------------
     
    Предоставленные пользователю "xxx\Lync_admin" разрешения недостаточны для выполнения данной операции. (rsAccessDenied) Вызов справки в сети

    --------------------------------------------------------------------------------
    Службы SQL Server Reporting Services


    Не умножайте сущности сверх необходимого.

    26 апреля 2012 г. 3:45
  • А вы где все эти ошибки видите? Можете привести их в виде картинки?

    26 апреля 2012 г. 6:25
    Модератор
  • ошибки появляются в окне IE после клика по линку "Monitoring Server Reports" в Lync Server Control Panel. В принципе уже разобрался. Учетной записи, из под которой пытался просмотреть отчеты через Monitoring Server Reports не назначены необходимые роли экземпляра SSRS. Все потому что SQL сервер непонятно как развертывали и непонятно какие кому полномочия назначали. Впрочем, это уже другая история. Главное - сервис заработал и есть возможность посмотреть отчеты соответствующим товарищам.  

    Не умножайте сущности сверх необходимого.




    • Изменено Dmitry.I 26 апреля 2012 г. 13:15
    26 апреля 2012 г. 12:58
  • То есть, вопрос окончательно закрыт :) ?

    26 апреля 2012 г. 13:00
    Модератор
  • к сожалению не окончательно (

    доступа к отчетам так и не удалось добиться... странно.. в соседней организации все поднялось буквально за полтора дня, а тут такая проблема с SQL, однозначно. Впрочем логи я таки умудрился с него забрать для анализа. в ближайшее время изучу и отпишусь.


    Не умножайте сущности сверх необходимого.

    27 апреля 2012 г. 14:27
  • Все-таки проблема с конифгурированием SQL, как мне кажется. Привожу выдержку из лога SQL:

    04/27/2012-13:13:17:: e ERROR: Throwing Microsoft.ReportingServices.Diagnostics.Utilities.LogonFailedException: Logon attempt for user 'lync_sql' failed., Microsoft.ReportingServices.Diagnostics.Utilities.LogonFailedException: Не удалось выполнить вход. Проверьте правильность имени пользователя и пароля. ---> System.ComponentModel.Win32Exception: Logon failure: the user has not been granted the requested logon type at this computer at Microsoft.ReportingServices.Diagnostics.ImpersonationContext.Login(String userName, String userPwd, String domain) --- End of inner exception stack trace ---; processing!ReportServer_0-1!24f4!04/27/2012-13:13:17:: e ERROR: Throwing Microsoft.ReportingServices.ReportProcessing.ReportProcessingException: , Microsoft.ReportingServices.ReportProcessing.ReportProcessingException: Не удалось выполнить олицетворение пользователя для источника данных "CDRDB". ---> Microsoft.ReportingServices.Diagnostics.Utilities.LogonFailedException: Не удалось выполнить вход. Проверьте правильность имени пользователя и пароля. ---> System.ComponentModel.Win32Exception: Logon failure: the user has not been granted the requested logon type at this computer


    из под учетной записи Lync_SQL запускается все службы экземпляра SQL, включая SSRS. Эта учетная запись не входит в группу локальных администраторов на SQL сервере, и ей не назначена роль sysadmins экземпляра Lync.

    Не умножайте сущности сверх необходимого.

  • А сама служба при этом, вообще, запускается?
    Модератор
  • служба Reporting Service? Да, запускается.

    К счастью я добрался таки до своего стенда. Сейчас буду пытаться что-нибудь сломать, чтобы смоделировать ситуацию :)


    Не умножайте сущности сверх необходимого.


    • Изменено Dmitry.I 2 мая 2012 г. 8:15
  • Тогда я не понимаю какой вход эта учётная запись не может выполнить.

    Чем, кстати, вызвана необходимость использования выделенной учётной записи?

    Модератор
  • использование доменной учентной записи с минимальными правами для запуска служб SQL - это пожелание заказчика, причем в явном виде не обоснованное, а именно : " У нас так всегда делалось".

    Дело в том, что развертывание Monitoring Server Reports производилось из под учетной записи, входящей в группы "Domain Admins" и "CSAdministrators", причем в ходе развертывания в качестве ученой записи для доступа к Monitoring Server backend database использована все та же сервисная учетная запись, то есть Lync_sql. После успешного развертывания, админ БД снял с нее все права, включая права локального администратора SQL сервера и исключил из роли sysadmins экземпляра SQL. Подозреваю, что это и является причиной невозможности получить доступ к отчетам.


    Не умножайте сущности сверх необходимого.


    • Изменено Dmitry.I 2 мая 2012 г. 10:19
  • Вполне возможно. Как вариант, попробуйте выдавать ей права порционно до тех пор, пока не выясните чего именно ей не хватает...
    Модератор
  • в том то и проблема, что теперь я далеко от развернутой системы ))

    но зато есть стенд, на котором уже начал моделировать с максимально возможной точностью, все этапы.


    Не умножайте сущности сверх необходимого.

  • Понятно :) .
    Модератор
  • осталось определиться с одним моментом:

    две универсальные группы:

    RTCComponentUniversalServices и RTCHSUniversalServices

    каким образом они появляются в локальных администраторах SQL сервера и как их отсутствие влияет на доступность Monitoring server Reports.?


    Не умножайте сущности сверх необходимого.

  • однако, эти две группы в локальных админах и не нужны даже. Удалил - отчеты доступны.

    Значит все-таки проблема в конфигурировании самого SQL. Постарался смоделировать ситуацию один в один - но требуемого результата (ошибка при доступе к отчетам) так и не добился.. Видимо придется заказчику сносить SSRS и поднимать заново, но уже точно по инструкции.


    Do not multiply entities beyond what is necessary

  • Видимо, вы сами эти группы туда добавили - у меня их нет в локальных администраторах.
    Модератор
  • Я одного понять не могу - вы говорите, что "отчеты доступны", в чём же, тогда, проблема :) ? Или доступен именно сам сервис, а не отчёты Lync'а?
    Модератор
  • Александр, я говорил о тестовом развертывании на стенде. В этом случае все работает как часы.

    Пытаюсь воспроизвести ошибки, появляющиеся у заказчика и не получается :)

    Видимо, чтобы не тратить зря времени, придется убить экземпляр SSRS и поднять его заново, но уже с четким следованием инструкциям (чего не было сделано при первоначальном развертывании админами заказчика - от того и все беды).

    Спасибо за потраченное время.


    Do not multiply entities beyond what is necessary

  • Теперь понятно :) .
    Модератор
  • Резюмируя:

    Удалось таки воссоздать ошибку при попытке получения доступа к отчетам Monitoring Server Reports.

    Стоило лишь только неверно ввести пароль к учетной записи, которая используется для доступа Reporting services к базам данных Monitoring server (указывается в процессе развертывания Monitoring Server Reports).

    Проблема решена. Александру спасибо за долготерпение :)


    Do not multiply entities beyond what is necessary

  • Ну и славно :) !

    Модератор
  • Часть вторая. Тема та же :)

    Доступ к отчетам могут получить только пользователи, входящие в группу "RTCUniversalReadOnlyAdmins" (так было определено при развертывании MSR) и являющиеся либо администраторами домена либо имеющие полномочия локального администратора на SQL сервере. Подозреваю, что это происходит от того, что в доменной политике безопасности в ветке "назначение прав пользователя" параметр "Локальный вход в систему" жестко определен и включает в себя только группу локальных администраторов. Попытка получить доступ к отчетам от имени учетной записи даже с правами CSAdministrators но не входящим в группу "DomainAdmins" и также не являющуюся локальным администратором SQL сервера заканчивается с ошибкой о недостаточности прав учетной записи для доступа к Reporting services.

    Я сам вижу выход в добавлении на уровне доменной политики универсальной группы RTCUniversalReadOnlyAdministrators для "Локальный вход в систему". Хотелось бы уточнить. насколько это рационально и есть ли какая то ссылка на это в документации на развертывание MSR.

    Upgrade.

    Доступ к отчетам через ссылку в Lync Server Control Panel при запуске на сервере Lync проходит нормально, без всяких проблем, попытка же доступа с любого другого хоста вызывает сообщение в браузере:

    У пользователя "xxx\Lync_admin" отсутствуют необходимые разрешения. Убедитесь, что предоставлены достаточные разрешения и учтены ограничения контроля учетных записей Windows.


    Do not multiply entities beyond what is necessary



    • Изменено Dmitry.I 20 июня 2012 г. 6:19
    19 июня 2012 г. 15:14
  • Доброго времени суток.

    Не стал создавать новую тему, но есть ещё одна проблема при развертывании Reporting Service:

    SQL-сервер, на котором развернуты БД Lynk, установлен в режиме интеграции с SharePoint. Установка баз, их развёртывание прошли нормально без проблем, линк работает, но при развёртывании Monitoring Server Reports происходит следующая ошибка:

    > Deploying Monitoring Server Reports... This might take a few minutes.

    The Monitoring Server is using SQL

    instance "srv-sql01.mstu.edu.ru". The data source is using SQL instance "(local)". The following URL will be

    used for deployment: http://SRV-SQL01:80/ReportServer SQL Server logon credentials for "mstu

    \svcSRVLYNCReporting" already exist. Use the existing logon credentials. "[QoEMetrics]" role

    "[ReportsReadOnlyRole]" has already assigned to "mstu\svcSRVLYNCReporting". "[LcsCDR]" role

    "[ReportsReadOnlyRole]" has already assigned to "mstu\svcSRVLYNCReporting". Start to deploy reports... Клиент

    обнаружил тип содержимого ответа "text/html; charset=utf-8", но ожидается тип "text/xml". Сбой запроса с

    сообщением об ошибке: -- <html>  <head>   <title>    Службы SQL Server Reporting

    Services   </title><meta name="Generator" content="Службы Microsoft SQL Server Reporting

    Services 10.0.2531.0" /> <meta name="HTTP Status" content="500" /> <meta name="ProductLocaleID" content="127"

    /> <meta name="CountryLocaleID" content="1049" /> <style>    BODY {FONT-FAMILY:Verdana; FONT-

    WEIGHT:normal; FONT-SIZE: 8pt; COLOR:black}    H1 {FONT-FAMILY:Verdana; FONT-WEIGHT:700;

    FONT-SIZE:15pt}    LI {FONT-FAMILY:Verdana; FONT-WEIGHT:normal; FONT-SIZE:8pt;

    DISPLAY:inline}    .ProductInfo {FONT-FAMILY:Verdana; FONT-WEIGHT:bold; FONT-SIZE: 8pt;

    COLOR:gray}    A:link {FONT-SIZE: 8pt; FONT-FAMILY:Verdana; COLOR:#3366CC; TEXT-

    DECORATION:none}    A:hover {FONT-SIZE: 8pt; FONT-FAMILY:Verdana; COLOR:#FF3300; TEXT-

    DECORATION:underline}    A:visited {FONT-SIZE: 8pt; FONT-FAMILY:Verdana; COLOR:#3366CC;

    TEXT-DECORATION:none}    A:visited:hover {FONT-SIZE: 8pt; FONT-FAMILY:Verdana;

    color:#FF3300; TEXT-DECORATION:underline}

      </style>  </head><body bgcolor="white">   

    <h1>    Ошибка служб Reporting Services<hr width="100%" size="1" color="silver" />   

    </h1><ul>    <li>Параметру конфигурации SharePointIntegrated задано значение TRUE,

    однако загрузить объектную модель Share Point не удалось. Ошибка: System.IO.FileNotFoundException:

    Невозможно загрузить файл или сборку "Microsoft.SharePoint, Version=12.0.0.0, Culture=neutral,

    PublicKeyToken=71e9bce111e9429c" или один из зависимых от них компонентов. Не удается найти указанный

    файл. Имя файла: "Microsoft.SharePoint, Version=12.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c"  

     в Microsoft.ReportingServices.SharePoint.Server.SharePointServiceHelper..ctor()    в

    Microsoft.ReportingServices.SharePoint.Server.SharePointServiceHelperFactory.get_ServiceHelper()

    Предупреждение: регистрация привязки сборок выключена. Чтобы включить регистрацию ошибок привязки сборок,

    установите значение параметра реестра [HKLM\Software\Microsoft\Fusion!EnableLog] (DWORD) в 1. Примечание.

    Регистрация ошибок привязки сборок может привести к некоторому снижению производительности. Чтобы отключить

    эту функцию, удалите параметр реестра [HKLM\Software\Microsoft\Fusion!EnableLog]. .

    (rsSharePointObjectModelNotInstalled) <a href="http://go.microsoft.com/fwlink/?

    LinkId=20476&EvtSrc=Microsoft.ReportingServices.Diagnostics.Utilities.ErrorStrings&EvtID=rsSharePointObject

    ModelNotInstalled&ProdName=Microsoft%20SQL%20Server%20Reporting%20Services&ProdVer=10.0.2531.0"

    target="_blank">Вызов справки в Интернете</a></li>   </ul><hr width="100%" size="1"

    color="silver" /><span>Службы SQL Server Reporting Services</span>  </body> </html> --. An

    error occurred when deploying Monitoring Server Reports. For details, see the log.

    Как поняли, это связано с тем, что служба Reporting Services (экземпляр SSRS) работает в режиме интеграции с SharePoint

    Есть ли какие решения данной проблемы?

    С уважением.


    • Изменено SergiusE 30 мая 2013 г. 15:02