none
Смена акков для ролей RRS feed

  • Вопрос

  • Давно меня здесь не было, да вот понадобилось посоветоваться...

     

    В одной подшефной конторе есть у меняинсталляция SCOM 2007. Все работает, все живо и красиво.

    Но в один прекрасный (для кого-то) момент выясняется, что тех-аккаунты названы не по правилам.

    И их переименовывают методом "удалить - создать заново". Соответственно, умирают Data Warehouse Read и Write Accounts. Местные админы пытаются тихонько все починить... Что они сделали - не сознаются, но оживить систему им не удалось.

     

    Вопрос: как починить? Как КОРРЕКТНО, не разрушая SCOM 2007 вписать новые акки на старые роли?

     

    Насколько я могу судить на больную голову, надо прописать их в RunAs`ах "Data Warehouse SQL Server Authentication Account" и "Reporting SDK SQL Server Authentication Account" новые акки. Предварительно создав соответствующие SQL аккаунты на сервере и дав им права по "Security Guide". Только вот не принимает их сервер, ругается:

    Discovery data couldn't be inserted to the database...

     

    При этом данные в оперативную базу идут, а в DW - нет. Статус RMS - серый, но в моменты передергивания аккаунтов в RunAs`ах - краснеет минуты на три...

     

    В качестве "бонуса" - под новым аккаунтом не стартует Reporting Service (хоть и меняли его по инструкциям из Security Guide):

    Service cannot be started. Microsoft.ReportingServices.Diagnostics.Utilities.UnknownUserNameException: The user or group name 'DOMAIN\NEW_DW_Read_account' is not recognized.

    и

    The Remote Procedure Call (RPC) service failed to start.

     

    В общем, я закипаю мозгами, а времени просто не хватает все варианты перебрать.

    Если кто-то сталкивался с подобным - поделитесь опытом: куда смотреть, что подкручивать...

    13 октября 2008 г. 13:18

Все ответы

  •  Treemer написано:

    Discovery data couldn't be inserted to the database...

    Это скорее похоже не на проблемы с правами, а на то, что где-то свалился "прокси" на агенте. Тут нужно смотреть не одну фразу из эвента, а целиком.

     

    В качестве "бонуса" - под новым аккаунтом не стартует Reporting Service (хоть и меняли его по инструкциям из Security Guide):

    Service cannot be started. Microsoft.ReportingServices.Diagnostics.Utilities.UnknownUserNameException: The user or group name 'DOMAIN\NEW_DW_Read_account' is not recognized.

    и

    The Remote Procedure Call (RPC) service failed to start.

     

    Фраза "The user or group name 'DOMAIN\NEW_DW_Read_account' is not recognized." наводит на мысли, что проблема в самом аккаунте...

     

    При этом данные в оперативную базу идут, а в DW - нет. Статус RMS - серый, но в моменты передергивания аккаунтов в RunAs`ах - краснеет минуты на три...

    Вы саму DW БД проверяли на "здоровье"? Что говорит dbcc checkdb, например?

    13 октября 2008 г. 14:14
    Отвечающий
  • Статус DW базы проверен.

    dbcc checkdb выдает стандартное:

    CHECKDB found 0 allocation errors and 0 consistency errors in database 'OperationsManagerDW'.

    Тут все чисто...

     

    По нестарту Репортинга имеем следующие эвенты:

    Event Type: Error
    Event Source: Report Server Windows Service (MSSQLSERVER)
    Event Category: Startup/Shutdown
    Event ID: 121
    Date:  13.10.2008
    Time:  18:33:06
    User:  N/A
    Computer: RMS

    Description:
    The Remote Procedure Call (RPC) service failed to start.

    и

    Event Type: Error
    Event Source: SQL Server Report Service
    Event Category: None
    Event ID: 0
    Date:  13.10.2008
    Time:  18:33:06
    User:  N/A
    Computer: RMS
    Description:
    Service cannot be started. Microsoft.ReportingServices.Diagnostics.Utilities.UnknownUserNameException: The user or group name 'DOMAIN\Old_DW_Read_account' is not recognized.
       at Microsoft.ReportingServices.Library.Native.NameToSid(String name)
       at Microsoft.ReportingServices.Library.ServiceAppDomainController.StartRPCServer(Boolean firstTime)
       at Microsoft.ReportingServices.Library.ServiceAppDomainController.Start(Boolean firstTime)
       at Microsoft.ReportingServices.NTService.ReportService.OnStart(String[] args)
       at System.ServiceProcess.ServiceBase.ServiceQueuedMainCallback(Object state)

     

    Вопрос: где прячется этот 'DOMAIN\Old_DW_Read_account', если и сервис SQL Server Reporting Services (MSSQLSERVER) и Application Pool for ReportServer прописаны под DOMAIN\NEW_DW_Read_account?

    Причем Pool успешно стартует, а вот сервис - отказывается с приведенной выше диагностикой...

     

    Пока формулировал вопрос да проверял варианты - нашелся и ответ Smile

    Для тех, кому это может пригодиться:

    В RsReportServer.config (находится в C:\Program Files\Microsoft SQL Server\MSSQL.2\Reporting Services\ReportServer) измените WebServiceAccount на аккаунт под которым у вас стартует соответствующий Application Pool. (взято из http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=3707143&SiteID=40)

     

    Продолжаю drilldown по моей проблеме...

    13 октября 2008 г. 15:50
  •  

    Нет, этих эвентов SCOM 2007 не фиксирует...

     

    Зато после рестарта в App-логе пошли эвенты SQLя:

     

    Event Type: Failure Audit
    Event Source: MSSQLSERVER
    Event Category: (4)
    Event ID: 18452
    Date:  13.10.2008
    Time:  19:49:48
    User:  N/A
    Computer: RMS
    Description:
    Login failed for user 'DOMAIN\NEW_DW_Read_account'. The user is not associated with a trusted SQL Server connection. [CLIENT: <local machine>]
    Data:
    ...

    0020: 07 00 00 00 6d 00 61 00   ....m.a.
    0028: 73 00 74 00 65 00 72 00   s.t.e.r.
    0030: 00 00                     ..     

    А в секюрити логе нашел такие:

    Event Type: Failure Audit
    Event Source: Security
    Event Category: Logon/Logoff
    Event ID: 529
    Date:  13.10.2008
    Time:  19:58:02
    User:  NT AUTHORITY\SYSTEM
    Computer: RMS
    Description:
    Logon Failure:
      Reason:  Unknown user name or bad password
      User Name: Old_DW_Read_account
      Domain:  DOMAIN

      Logon Type: 2
      Logon Process: Advapi 
      Authentication Package: Negotiate
      Workstation Name: DOMAIN
      Caller User Name: NEW_DW_Read_account

      Caller Domain: DOMAIN
      Caller Logon ID: (0x0,0x4DA1D)
      Caller Process ID: 2832
      Transited Services: -
      Source Network Address: -
      Source Port: -

    Опять откуда-то стучится несуществующий акк Sad

    13 октября 2008 г. 16:58
  • Caller Process ID: 2832 - что за процесс? Кэш HealthService удалялся?
    13 октября 2008 г. 17:12
    Отвечающий
  •  G14 написано:
    Caller Process ID: 2832 - что за процесс? Кэш HealthService удалялся?

    Report Scheduling and Delivery Server Windows NT Service

     

    Кэш вроде не трогали (я по крайней мере - нет)

    13 октября 2008 г. 17:35
  •  Treemer написано:

     G14 написано:
    Caller Process ID: 2832 - что за процесс? Кэш HealthService удалялся?

    Report Scheduling and Delivery Server Windows NT Service

     

    Кэш вроде не трогали (я по крайней мере - нет)

    "Внутри" репортинга (http://сервер_репортов/reports) в настройках нет аккаунта для подключения к базам? У меня нет сейчас под рукой репортинга, это где-то на странице http://сервер_репортов/reports -> расширенные настройки -> параметры подключения к базе...

     

    Кэш лучше удалить на всех менеджмент серверах. Там иногда "зависает" всякая гадость.

    13 октября 2008 г. 18:08
    Отвечающий