На самом деле ошибка вида “500 Internal Server Error” довольная общая – порой корневой причиной могут быть совершенно разные проблемы – от неправильно указанного сервера управления до ошибок в конфигурационных файлах. Однако, мы поговорим об одной интересной особенности связанной с Kerberos аутентификаций на портале самообслуживания.
Немного предыстории
Портал самообслуживания на базе HTML5 впервые был добавлен в Service Manager, если не ошибаюсь, в Service Manager 2012 R2 Update Rollup 8. До этого времени портал самообслуживания использовал в качестве платформы Microsoft SharePoint.
Уже тогда при внедрении нового HTML5 портала многие сталкивались с ошибкой “500 Internal Server Error” при использовании Kerberos аутентификации на портале.
Для корректной работы Kerberos аутентификации на портале необходимо выполнить некоторые настройки. Опорные шаги по настройке я подсмотрел вот тут – как и говорилось выше, эта особенность портала тянется еще со времен SCSM 2012 R2 UR8 🙂
Симптомы
Как определить, что ошибка портала самообслуживания “500 Internal Server Error” связана именно с тем, о чем будет говорится в статье:
- Конечные пользователи при доступе к порталу самообслуживания сталкиваются с ошибкой “500 Internal Server Error”.
- Если зайти на портале самообслуживания непосредственно с самого сервера с порталом, то ошибки из п.1 не возникает.
- Если зайти на портал самообслуживания под учетной записью пользователя непосредственно на самом сервере с порталом, а затем попробовать зайти с рабочей станции пользователя, то ошибки не возникает в течении следующих 8-ми часов (пока не закончится билет Kerberos).
Пример ошибки в Internet Explorer:
Ошибка в Edge:
Как исправить
Для исправления ошибки “500 Internal Server Error” связанной с протоколом Kerberos необходимо выполнить следующие шаги:
1. Проверить от какой учетной записи запущен пул приложения портала самообслуживания в IIS. Должна быть доменная учетная запись. На этом шаги мы также выясним от какой учетной записи работает пул приложения, т.к. для неё будем регистрировать SPN.
2. Зарегистрировать SPN для учетной записи пула приложения:
setspn -A http/scsmssp01 IT\SCSMService
setspn -A http/scsmssp01.itproblog.ru IT\SCSMServiceВместо имени сервера scsmssp01 (scsmssp01.itproblog.ru) и имени учетной записи из п. 1 (IT\SCSMService) вам необходимо указать ваши значения.
3. Убедится, что включена аутентификация Windows и ASP .NET олицетворение в настройках аутентификации для сайта портала самообслуживания в IIS:
4. Изменить настройки аутентификации Windows:
Нажать Apply.
5. Изменить параметры делегирования учетной записи в свойства объекта Active Directory:
6. Перезапустить сервер IIS.
7. Проверить Kerberos аутентификацию на портале самообслуживания Service Manager.
После все выполненных действий у пользователей портала не должно возникать ошибки при доступе к порталу самообслуживания со своих рабочих станций.