在DC&IIS服务器上SMS-MP报错问题分析
最近的项目里,遇到了标题上的问题蛮多的,写下来以备后患。
问题描述:
我完成了20台DC+IIS+SMS的服务器的安装,在同一个域中,服务器分别位于不同的子网中。SMS站点架构为父1子19模式。
服务器均为:win2k3+sp2
大概有5台服务器出现了标题中的问题。具体问题描述如下:
MP 控制管理器检测到 MP 没有对 HTTP 请求做出响应。http 错误为 Service Unavailable。
可能的原因: MP 服务没有启动或者没有响应。
解决方案: 手动重新启动 MP 中的 SMS 代理主机服务。
可能的原因: IIS 服务没有响应。
解决方案: 手动重新启动 MP 中的 W3SVC 服务。
可能的原因: MP 在连接到 SQL Server 时遇到错误。
解决方案: 验证是否已正确配置 SQL Server,以便允许管理点的访问。如果使用 SQL 标准安全帐户,则验证是否已配置 SQL Server ,以便允许 SQL 标准安全;或者用适当的权限配置此管理点,以便使用 NT 集成安全帐户。如果使用集成安全,则验证 MP 连接到 SQL Server 所使用的帐户是否是 SQL Server 中 SMS_SiteSystemToSQLConnection_<sitecode > 组的成员,验证该帐户是否未锁定,验证帐户密码是否未过期。(在标准安全中,默认帐户为 SMS_SQL_RX_<sitecode>)。
可能的原因: SQL Server 的服务主体名称 (SPN) 目前在 Active Directory 中没有注册
解决方案: 确保 SQL Server 的 SPN 已正确注册。请参阅 Q829868。
可能的原因: 没有配置 Internet 信息服务(IIS)听取端口(在此端口中,配置 SMS 进行通信)。
解决方案: 验证是否已配置默认网站,以便使用与配置 SMS 所使用的相同端口。
可能的原因: IIS 中禁用此默认网站。
解决方案: 验证默认网站是否已启用,并且是否正确运行。
可能的原因: SMS ISAPI 应用程序标识没有必要的登录权限。
解决方案: 验证未通过组策略拒绝配置 SMS ISAPI 在其下运行的帐户的批登录权限。
尝试了“解决方案”的帮助后,未果,问题依旧。
检查了错误信息后,发现问题的重点还是来自于DC上的IIS服务。
浏览SMS_MP虚拟目录,页面显示“Service Unavailable”。
在访问使用这个Application Pool的站点时,Application Pool会自动停止。
经过分析,我发现问题的原因是IIS_WPG组缺少某些目录的访问权限,而IWAM_####用户是属于IIS_WPG组的。同时,我们也发现IUSER_####用户并没有在IIS_WPG组里。这里有一篇kb的文章描述了在Domain Controller上由于IIS_WPG组缺少某些权限而导致“Service Unavailable”,http://support.microsoft.com/kb/842493/zh-cn
解决过程:
a. 给%systemroot%文件夹读取和执行、读取、列出文件夹目录的权限,并应用到它的子目录
b. 根据kb842493的提示,我们给IIS_WPG组对下列文件夹相应的访问权限,并应用到它们的子目录:
%systemroot%\system32\inetsrv\ ASP Compiled Templates
%systemroot%\IIS Temporary Compressed
c. 把IUSER_####用户加入到了IIS_WPG组
d. 相应的website赋予IIS_WPG组读取和执行的权限
结果,SMS_MP组件可以正常启动了,服务器系统状态不再报错!
Good!