none
Два домена. Проблема с SCOM gateway. Event ID 20057 и 21001 RRS feed

  • Вопрос

  • Есть домены elti.tpu.ru (2003 level) и student.elti.tpu.ru (2008 level)

    На status.student.elti.tpu.ru установлен SCOM 2007 R2. Компьютеры в домене student мониторятся нормально.

    Решили мониторить сервера в домене elti.tpu.ru На один из серверов в домене elti установили SCOM 2007 R2 gatrway. Но ничего не работает. В логах постоянно повторяются ошибки 20057 и 21001.

    20057

    Не удалось инициализировать контекст безопасности для целевого объекта MSOMHSvc/status.student.elti.tpu.ru. Возвращенная ошибка: 0x80090303(The specified target is unknown or unreachable).  Эта ошибка может быть связана с Kerberos или пакетом SChannel.

    21001

    Соединителю Operations Manager не удалось подключиться к MSOMHSvc/status.student.elti.tpu.ru из-за сбоя взаимной проверки подлинности. Проверьте, что имя участника-службы правильно зарегистрировано на данном сервере и (если сервер находится в отдельном домене) что между этими двумя доменами существует отношение полного доверия.

    Что можно сделать и что не так?

    Доверия между доменами вроде в обе стороны. Может доверительные отношения надо как-то дополнительно конфигурировать? Как и где?

    Вот еще вывод setspn:

    C компа в домене student:

     

    C:\Users\Denis>setspn -L status

    Зарегистрирован ServicePrincipalNames для CN=STATUS,CN=Computers,DC=student,DC=e

    lti,DC=tpu,DC=ru:

            AdtServer/STATUS

            AdtServer/status.student.elti.tpu.ru

            MSOMHSvc/status.student.elti.tpu.ru

            MSOMHSvc/STATUS

            MSOMSdkSvc/status.student.elti.tpu.ru

            MSOMSdkSvc/STATUS

            WSMAN/status.student.elti.tpu.ru

            WSMAN/status

            HOST/STATUS

            HOST/status.student.elti.tpu.ru

     

    C компа в домене elti:

     

    C:\Documents and Settings\Denis>setspn -L status

    FindDomainForAccount: DsGetDcNameWithAccountW failed!

    Cannot find account status

     


    MCP

Ответы

  • > Как это сделать - зайдите в оснастку AD Domains and Trusts, в свойствах домена выберите нужное доверие и отредактируйте его >свойства. В крайнем случае, если по какой-либо причине этого сделать нельзя, удалите старое доверие на обоих доменах и >создайте новое.

    Этого сделать нельзя по причине, которую в Microsoft всю жизнь называют by design. Тип уже созданного траста из  AD Domains and Trusts изменить невозможно. Сотрудникам поддержки вендора стоит такие вещи знать.

    Сертификаты от VeriSign... Ну вы, конечно, можете попробовать, но готовьтесь к тому, что они реально недешевые. Сертификат для SSL сдвухлетним периодом действия - что-то около двух тысяч долларов.

    В вашем случае  наиболее реалистичным способом решенияпроблемы будет создание двусторонного Forest Trust между лесами (с удалением предыдущего траста, естесственно). Учитывая то, что " в этом вопросе я не силен" КРАЙНЕ рекомендую заранее потренироваться на виртуалках в том, как установить трасты, как включить\выключить SID Filtering и так далее.


    http://OpsMgr.ru/
    Отвечающий

Все ответы

  • Возможную причину и методику решения можно найти  в блоге команды SCOM&MOM . Попробуйте и отпишите, что получилось

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Модератор
  • Читал я эту статью. Не получается:

    На gateway сервере который в домене elti добавил все SPN который показываются при выводе setspn в домене student по команде setspn -L status

    Вот что получил в elti

    C:\Documents and Settings\Denis>setspn -L student\status

    Registered ServicePrincipalNames for CN=STATUS,CN=Computers,DC=student,DC=elti,DC=tpu,DC=ru:

        AdtServer/status.student.elti.tpu.ru

        AdtServer/STATUS

        MSOMHSvc/STATUS

        MSOMHSvc/status.student.elti.tpu.ru

        MSOMSdkSvc/STATUS

        MSOMSdkSvc/status.student.elti.tpu.ru

        WSMAN/status

        WSMAN/status.student.elti.tpu.ru

        HOST/STATUS

        HOST/status.student.elti.tpu.ru

    Но ошибка так и осталась.

  • >Доверия между доменами вроде в обе стороны. Может доверительные отношения надо как-то дополнительно конфигурировать? Как и где?

    Какие именно доверительные отношения установлены? External trust?

    >Соединителю Operations Manager не удалось подключиться к MSOMHSvc/status.student.elti.tpu.ru из-за сбоя взаимной проверки подлинности.

    Взаимная проверка подлинности возможна либо с помощью kerberos, либо с помощью сертификатов. Соответственно, вам нужен либо траст, который поддерживает kerberos (parent-child trust или forest trust) либо сертификаты, установленные на менеджмент сервере и гейтвее.

     

     


    http://OpsMgr.ru/
    Отвечающий
  • Вот что я смог сделать:

    Зашел на одном из серверов в домен student в AD Domains and Trusts

    В свойствах домена на вкладке Trusts я вижу что домен студент доверяет домену элти, и что домен элти доверяет домену студент.

    В обоих случаях тип доверия External Trust и Transitive = No.  Как я понимаю нужно что-то другое? Доверительные отношения я не настраивал ни разу, это делал другой админ, поэтому в этом вопросе я не силен.

    -------

    Что проще сделать сертификаты или керберос? Если сертификаты, то их нужно покупать у регистратора типа VeriSign или их можно сгенерировать свои?

    Могу ли я External Trust сменить на нужный мне тип? И что мне при этом грозит? Какой тип выбрать? А главное как это сделать?

    ----

    Сейчас я конечно погуглю ответы на эти вопросы, но хотелось бы услышать также слово профессионалов.


    MCP
  • Весь вопрос в том, в одном лесу у вас эти домены (Elti.ru - корневой, student.elti.ru - дочерний) либо в разных. В первом случае у нас будет доверие Parent-Child (создается автоматически), во втором - Forest trust. Собственно смена доверий ничем вам не грозит - если только вы не смените двустороннее на одностороннее. Какой тип выбрать, какие типы существуют и в чем их особенности - очень советую почитать статью How Domain and Forest Trusts Work: Domain and Forest Trusts . Как это сделать - зайдите в оснастку AD Domains and Trusts, в свойствах домена выберите нужное доверие и отредактируйте его свойства. В крайнем случае, если по какой-либо причине этого сделать нельзя, удалите старое доверие на обоих доменах и создайте новое.

    Сертификаты - тут уже вопрос денег. Если много и нет желания возиться с раскладыванием сертификатов по хранилищам вручную, то лучше купить у известного доверенного поставщика. Если денег не очень много, то можно создать свои сертификаты, но тут придется немного повозиться с тем, чтобы все компьютеры в домене доверяли издателю. Так что доверие в какой-то мере настроить действительно проще.

     

     


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Модератор
  • > Как это сделать - зайдите в оснастку AD Domains and Trusts, в свойствах домена выберите нужное доверие и отредактируйте его >свойства. В крайнем случае, если по какой-либо причине этого сделать нельзя, удалите старое доверие на обоих доменах и >создайте новое.

    Этого сделать нельзя по причине, которую в Microsoft всю жизнь называют by design. Тип уже созданного траста из  AD Domains and Trusts изменить невозможно. Сотрудникам поддержки вендора стоит такие вещи знать.

    Сертификаты от VeriSign... Ну вы, конечно, можете попробовать, но готовьтесь к тому, что они реально недешевые. Сертификат для SSL сдвухлетним периодом действия - что-то около двух тысяч долларов.

    В вашем случае  наиболее реалистичным способом решенияпроблемы будет создание двусторонного Forest Trust между лесами (с удалением предыдущего траста, естесственно). Учитывая то, что " в этом вопросе я не силен" КРАЙНЕ рекомендую заранее потренироваться на виртуалках в том, как установить трасты, как включить\выключить SID Filtering и так далее.


    http://OpsMgr.ru/
    Отвечающий
  • Прошу прощения за невольную неточность - Алексей прав. Из оснастки, либо с помощью команды Netdom можно изменить одностороннее доверие на двустороннее и наоборот, либо сменить транзитивность non-Windows Kerberos realm-доверия - подробнее тут: http://technet.microsoft.com/en-us/library/cc756944%28WS.10%29.aspx

    Алексей, большое спасибо!

     


    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    Модератор
  • Спасибо вам. Всё оказалось просто. Удалил трасты. Поднял forest трасты. И всё заработало! Единственная неожиданность которая была на этом пути, так это то что лес elti был 2000 уровня (хотя все ДК уже Win 2003, наверное наследие от прошлых серверов). На всякий случай сделал в домене элти adprep /forestprep из дистриба win 2008 (сервера в student на Win 2008) и повысил уровень леса до 2003. Сразу доверительные отношения и поднялись. Видно поэтому доверие было External, наверное админы не смогли понять что к чему.

    Кстати, в домен элти даже не пришлось ставить SCOM gateway. Ставлю просто клиентов и всё работает. Еще раз спасибо.

    Перед закрытием темы хоте бы спросить:

    1. Можно ли как то мониторить температуру HDD и CPU? Не нашел такого в пакетах управления. Может есть сторонние? Или может есть программы которые это делают и по SNMP отдают данные?

    2. Можно ли сделать алерты на то что есть error в журналах win OS (т.е. в Event Viewer как бы). Т.е. вроде как можно самому под определенный event id и event source писать alert - но это ж сколько писать надо. Нужен просто правило которое говорило бы что вот на этом компе в таком то журнале зарегистрирована ошибка, посмотрите event viewer.

    Если вы не знаете ответы на эти два вопроса, то сделаю отдельную тему.


    MCP
  • 1. Можно. Детали зависят от оборудования. Обычно такое есть в пакетах управления от вендоров оборудования (например, HP, DELL и так далее). То есть для того, чтобы это мониторить оборудование должно это поддерживать (на нем должны быть как минимум термодатчики) и должен быть софт, который это "снимает".

    2. Можно. Но это плохая идея. Неконтролируемый сбор всех ошибок подряд может привести к заполнению базы во время каких-либо внештатных ситуаций, как следствие - к существенному снижению производительности всей менеджмент группы и даже в отдельных случаях - к остановке функционирования. Крайне не рекомендую. Уж не говоря о потоке алертов.


    http://OpsMgr.ru/
    Отвечающий