SAPфорум.RU https://www.sapboard.ru/forum/ |
|
SAP Logon Group issue https://www.sapboard.ru/forum/viewtopic.php?f=14&t=96594 |
Страница 1 из 1 |
Автор: | pakko [ Вт, июл 10 2018, 09:38 ] |
Заголовок сообщения: | SAP Logon Group issue |
Добрый день, коллеги! У меня интересная проблемка возникла при использовании бланасировки пользователей для SAP Logon. Уже 3-тий день бьюсь - не могу решить. Буду очень признателен, если подтолкнёте к решению, или укажете куда смотреть.. 1) Была выполнена миграция серверов с одной площадки на другую. При этом изменилась IP-адресация. 2) Имеются SAP системы A01 и B01. 3) Далее будет описание проблемы: - сеть на новой площадке: SAP LAN. - сеть заказчика: Customer LAN. Из локальной сети заказчика (Customer LAN) не со всех хостов работает балансировка к системе A01, но везде работает балансировка к B01. Для А01 не работает процентов 90%. Ошибка: Login balancing error 88 / Timeout 1000 ... Порты везде открыты (Telnet работает по именам хостов и портов) У меня есть виртуалка в SAP LAN - там балансировка работает ко всем серверам корректно. Если в SAP Logon настраивать прямое подключение к каждому диалоговому серверу - соединение работает. Все проверки MS показывают, что балансировка и логон группа работает! Но проблема наблюдается - На преимущественном кол-ве рабочих станций заказчика доступ к A01 через группу PUBLIC не работает. Даже настроить соединение на местах пользователей не возможно - пишет таймаут. Вот изображения с ошибками: Коллеги, если кто-нибудь сталкивался, либо знает того ,кто стадкивался, прошу откликнуться. Собственные идеи не привели к решению и даже к локализации ошибки. Всем коллективом будем признательны! Заранее спасибо! |
Автор: | andvs [ Вт, июл 10 2018, 09:48 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
В файле C:\windows\system32\drivers\etc\services прописан sapms<sid> 36<SNr>? И в хостах проверьте ip |
Автор: | pakko [ Вт, июл 10 2018, 10:02 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Да, это конечно первым делом проверяли. Со всех хостов рабоатет команда: Code: telnet saphostA01 sapmsA01
|
Автор: | Ctrelok [ Вт, июл 10 2018, 17:54 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Помоему, что-то похожее было когда то. Попробуйте добавить пустую строку в файле services в конце. |
Автор: | pakko [ Вт, июл 10 2018, 17:59 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Да, я знаю про этот косяк - операционке надо перевод строки в конце. |
Автор: | шрам [ Вт, июл 10 2018, 19:53 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
pakko коллега, попробуйте вот чего: 1. посмотрите настройки ACL на стороне message server. Мало ли 2. 500235 - Network Diagnosis with NIPING я все-же грешу на сеть, т.е. на пункт 2. таймауты с пользовательского сегмента - это неспроста Цитата: - сеть на новой площадке: SAP LAN. - сеть заказчика: Customer LAN. особенно если тут VPN |
Автор: | pakko [ Вт, июл 10 2018, 20:01 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
1. Настройки ACL: HOST * 2. я пробовал - что-то ничего не заметил такого.. Да, там VPN, разные подсети и прочее.. Я тоже поначало грешил на сеть. Но почему тогда работает балансировка во вторую систему (B01)?.. Сверял конфиги и параметры message server-a. В трассировках ничего подозрительного не заметил. |
Автор: | Detrimon [ Чт, июл 12 2018, 14:39 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Подключите сетевиков. У вас же явно между клиентами и сервером стоят фаерволы, на которых прописаны правила. На фаерволах не только порты можно открывать, но также блокировать по типу протокола/приложения. Если безопасники активировали такую функцию, то телнет будет проходить, а вот реальное соединение будет уходить в таймаут. У меня подобная ситуация была с HTTP/SOAP. В правилах для сетевиков было написано: открыть взаимодействие от IP1 к IP2 по порту HTTP, TCP/80. Они все открыли, telnet IP2 80 отрабатывал корректно. Но взаимодействия не проходили, так как открыли для HTTP, а протокол использовался SOAP в реальной жизни.. |
Автор: | pakko [ Сб, июл 14 2018, 18:41 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Спасибо. Вчера пробовал через tcpdump + Wireshark посмотреть что происходит с пакетами. В общем, ситуация такая: в тех случаях, когда не работает, то пакеты теряются. Отправил заказчику письмо с просьбой о привлечении к исследованию сетевиков. Как что-то станет известно, отпишусь. |
Автор: | kernelpanic [ Ср, июл 18 2018, 19:17 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
А что значит "пакеты теряются"? TCP 3-way handshake проходит? Или посыл SYN отваливается по таймауту? |
Автор: | pakko [ Чт, июл 19 2018, 22:33 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Прикладываю скриншоты во время проблемы. Это на клиенте SAP GUI в WireShark: Это на SAP сервере (Центральная инстанция) в tcpdump: |
Автор: | kernelpanic [ Пт, июл 20 2018, 11:32 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Если это дамп одного и того же сетевого обмена, то в этой сети определенно некорректная настройка правил динамической фильтрации межсетевого экрана, который находится между хостами 192.168.16.240 и 192.168.210.230. Само соединение устанавливается нормально, и SAP GUI отправляет логон данные на сервер (пакеты с номерами 330, 335, 336). Сервер подтверждает прием данных аутентификации (пакет 337), но обратное сообщение об (не)успешности логона не проходит (подсвеченные желтым пакеты во втором трейсе - они содержат идентичный sequence number) После чего, по истечении 10 секунд ожидания (4c->14c), SAP GUI отправляет сообщение о завершении сессии, которое успешно получает сервер и соединение корректно закрывается обеими сторонами. Надо на время отключить DPI на фаерволе и попробовать воспроизвести проблему. |
Автор: | pakko [ Пт, июл 20 2018, 12:00 ] |
Заголовок сообщения: | Re: SAP Logon Group issue |
Да-да, это один и тот же обмен/сеанс. Спасибо, за подтверждение моих догадок и за совет! Попрошу коллег со стороны заказчика подключиться для решения. *Update В общем, разобраться до конца не удалось. Сетевеки не обнаружили проблем в настройках сетевого оборудования, но однозначно подтверждают, что проблема именно в сети. На данный момент проблема ушла сама собой. Ну а в качестве решения на будущее предложили изменить структуру и типы подключения.. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |