Häda SCCM Hierarchy manager’iga.

Ühel hetkel hakkas SCCM 2012 hierarhia vigasid peksma ja nimelt Hierarchy manager. SCCM’i enda logid oli ebameeldivalt punased ja loomulikult tõstis SCOM ka kisa.

Egas midagi vaatme, kus pahalased peidavad.

Avame Component Status> SMS_HIERARHY_MANAGER komponenid logi.

image

Tjah,

Microsoft SQL Server reported SQL message 15410, severity 11: [42000][15410][Microsoft][SQL Server Native Client 11.0][SQL Server]User or role 'DOMAIN\user' does not exist in this database. : sp_addrolemember
Microsoft SQL Server reported SQL message 266, severity 16: [25000][266][Microsoft][SQL Server Native Client 11.0][SQL Server]Transaction count after EXECUTE indicates a mismatching number of BEGIN and COMMIT statements. Previous count = 1, current count = 0. : sp_addrolemember

 

selge.

Antud konto omanik oli inimene, kes kunagi SCCM 2012 hierarhi installis. Erinevatel põhjustel tuli tema  konto nimi (sAMAccountname) ümber nimetada ja õigused igal pool ümber mängida. Ja nüüd ei suudetud uue nimega kontoga vajalikke toimingud sooritada.

SCCM isseneset sai suurepäraselt hakkama, välja arvatud siis hädaldamine hierarhia halduris.

SCCMi konfiguratsioonis ringi tuhlates kusagil vana nimega kontot näha polnud, sestap sai hakatud kahtlustama SQL poolset pidurdust.

Ja tõsi – SQL serveris oli olemas veel vana kontonimega Login, mida mingi trikiga kustutada ei õnnestunud. Küll olid selle Loginil küljes baasid, rollid ja õigused (millede täpsemaid kohti ei viidatud). Baasid ja roolid saab eemaldada lihtsalt, kuid kustutamisblokk jääb ikka. Hmm.

Veel portsuke päringuid SQl suunas ja ilmneb, et vastaval login on SQL’i loodud  “ConfigMgrEndpoint”  omanik ja autoriseerija. Nojah, kuigi SQL dokumentatsioon ütleb et endpointi autoriseerimist ei saa muuta (muuta saab vaid kustutades ja uuesti luues) õnnestus.

select * from sys.endpoints

alter authorization
on endpoint::ConfigMgrEndpoint
to [sa]
Pärast seda saab vale logini kustutada.
Kui nüüd SCCM HIERARCHY komponenti restartida on viga kadunud.
 
Halbu järelmõjusid pole täheldatud.
 
Keywords: HIERARHY MANAGER, error, SQL,
 
Advertisements

SPN alerts

Kasutades SCOM’is SQL MP’d  võivad teatud juhtudel kerkida üles puuduva (või valesti konfigureeritud) SPN alerdid.

Kui SCOM 2007 (ja vanemate) SQL MP’de  puhul oli SPN alert väga sageli valealarm ja oli kasulik välja lülitada siis hetekel võib MP selle poolega enam vähem rahule jääda.

 

image

MP reageerib kenasti, kui korrektsed SPN’id on AD’st puudu. Üldiselt proovib SQL teenus vastavad SPNid luua teenuse startimisel ja kustutada teenuse stoppimisel. Levinud on probleem, kus see ei õnnestu (võrgutaseme juurdepääsud, konto õigusprobleemid vastva AD objekti ja atribuudi vastu).

Sel juhul kipub SCOM logima portsu SPN alerte. Kuna me siiski tahame likvideerida probleemi, mitte seda ignoreerida, tuleb AD’s SQL teenust jooksutava konto objekti muuta.Pealegi võib vastava SPNi puudumine Kerberost kasutavate protokollide puhul valusalt vastu näppe anda.

Selleks on meil kaks varianti:

AD haldusvahend (a la Active Directory Users and Computers, etc) või SETSPN.EXE

lisama peab väärtused kujul

MSSQLSvc/arvuti.dns.nimi

MSSQLSvc/arvuti.dns.nimi:port  (juhul kui meil on mitu SQL instantsi või need töötavad erinevates portides tuleb lisada pordid)

Objekt (dokumentatsioonis viidatud kui konto), millele need lisada sõltub, kas SQL teenus käib arvutikonto System õigustes – sel juhul masina kontole või kui selleks kasutatakse domeenikontot, siis sellele kontole. Näiteks siis

setspn –S MSSQLSvc/sqlsrv.local:1433 domeen\sqlservice

(NB! -S võti kontrollib ja lisab , -A ainult lisab (põhjustades potentsiaalseid probleeme). -S on saadaval alates Server 2008 st)

Natuke pajatab SPN teemal ka allolev MS KB artikel – http://support.microsoft.com/kb/2443457/

 

 

Keywords: SCOM 2012, SQL Management pack, SPN alert,