SAPфорум.RU
https://www.sapboard.ru/forum/

SAP Logon Group issue
https://www.sapboard.ru/forum/viewtopic.php?f=14&t=96594
Страница 1 из 1

Автор:  pakko [ Вт, июл 10 2018, 09:38 ]
Заголовок сообщения:  SAP Logon Group issue

Добрый день, коллеги!

У меня интересная проблемка возникла при использовании бланасировки пользователей для SAP Logon.
Уже 3-тий день бьюсь - не могу решить. Буду очень признателен, если подтолкнёте к решению, или укажете куда смотреть..

1) Была выполнена миграция серверов с одной площадки на другую. При этом изменилась IP-адресация.
2) Имеются SAP системы A01 и B01.
3) Далее будет описание проблемы:
- сеть на новой площадке: SAP LAN.
- сеть заказчика: Customer LAN.
Из локальной сети заказчика (Customer LAN) не со всех хостов работает балансировка к системе A01, но везде работает балансировка к B01.
Для А01 не работает процентов 90%. Ошибка: Login balancing error 88 / Timeout 1000 ...
Порты везде открыты (Telnet работает по именам хостов и портов)
У меня есть виртуалка в SAP LAN - там балансировка работает ко всем серверам корректно.
Если в SAP Logon настраивать прямое подключение к каждому диалоговому серверу - соединение работает.

Все проверки MS показывают, что балансировка и логон группа работает! Но проблема наблюдается - На преимущественном кол-ве рабочих станций заказчика доступ к A01 через группу PUBLIC не работает. Даже настроить соединение на местах пользователей не возможно - пишет таймаут.

Вот изображения с ошибками:
Изображение

Изображение

Коллеги, если кто-нибудь сталкивался, либо знает того ,кто стадкивался, прошу откликнуться. Собственные идеи не привели к решению и даже к локализации ошибки.
Всем коллективом будем признательны!

Заранее спасибо!

Автор:  andvs [ Вт, июл 10 2018, 09:48 ]
Заголовок сообщения:  Re: SAP Logon Group issue

В файле C:\windows\system32\drivers\etc\services прописан sapms<sid> 36<SNr>?
И в хостах проверьте ip

Автор:  pakko [ Вт, июл 10 2018, 10:02 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Да, это конечно первым делом проверяли. Со всех хостов рабоатет команда:
Code:
telnet saphostA01 sapmsA01

Автор:  Ctrelok [ Вт, июл 10 2018, 17:54 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Помоему, что-то похожее было когда то. Попробуйте добавить пустую строку в файле services в конце.

Автор:  pakko [ Вт, июл 10 2018, 17:59 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Да, я знаю про этот косяк - операционке надо перевод строки в конце.

Автор:  шрам [ Вт, июл 10 2018, 19:53 ]
Заголовок сообщения:  Re: SAP Logon Group issue

pakko
коллега,
попробуйте вот чего:
1. посмотрите настройки ACL на стороне message server. Мало ли
2. 500235 - Network Diagnosis with NIPING

я все-же грешу на сеть, т.е. на пункт 2. таймауты с пользовательского сегмента - это неспроста
Цитата:
- сеть на новой площадке: SAP LAN.
- сеть заказчика: Customer LAN.

особенно если тут VPN

Автор:  pakko [ Вт, июл 10 2018, 20:01 ]
Заголовок сообщения:  Re: SAP Logon Group issue

1. Настройки ACL: HOST *
2. я пробовал - что-то ничего не заметил такого..

Да, там VPN, разные подсети и прочее.. Я тоже поначало грешил на сеть. Но почему тогда работает балансировка во вторую систему (B01)?..

Сверял конфиги и параметры message server-a. В трассировках ничего подозрительного не заметил.

Автор:  Detrimon [ Чт, июл 12 2018, 14:39 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Подключите сетевиков. У вас же явно между клиентами и сервером стоят фаерволы, на которых прописаны правила. На фаерволах не только порты можно открывать, но также блокировать по типу протокола/приложения. Если безопасники активировали такую функцию, то телнет будет проходить, а вот реальное соединение будет уходить в таймаут. У меня подобная ситуация была с HTTP/SOAP. В правилах для сетевиков было написано:
открыть взаимодействие от IP1 к IP2 по порту HTTP, TCP/80. Они все открыли, telnet IP2 80 отрабатывал корректно. Но взаимодействия не проходили, так как открыли для HTTP, а протокол использовался SOAP в реальной жизни..

Автор:  pakko [ Сб, июл 14 2018, 18:41 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Спасибо. Вчера пробовал через tcpdump + Wireshark посмотреть что происходит с пакетами. В общем, ситуация такая: в тех случаях, когда не работает, то пакеты теряются. Отправил заказчику письмо с просьбой о привлечении к исследованию сетевиков.
Как что-то станет известно, отпишусь.

Автор:  kernelpanic [ Ср, июл 18 2018, 19:17 ]
Заголовок сообщения:  Re: SAP Logon Group issue

А что значит "пакеты теряются"?
TCP 3-way handshake проходит? Или посыл SYN отваливается по таймауту?

Автор:  pakko [ Чт, июл 19 2018, 22:33 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Прикладываю скриншоты во время проблемы.

Это на клиенте SAP GUI в WireShark:

Изображение


Это на SAP сервере (Центральная инстанция) в tcpdump:

Изображение

Автор:  kernelpanic [ Пт, июл 20 2018, 11:32 ]
Заголовок сообщения:  Re: SAP Logon Group issue

Если это дамп одного и того же сетевого обмена, то в этой сети определенно некорректная настройка правил динамической фильтрации межсетевого экрана, который находится между хостами 192.168.16.240 и 192.168.210.230.
Само соединение устанавливается нормально, и SAP GUI отправляет логон данные на сервер (пакеты с номерами 330, 335, 336). Сервер подтверждает прием данных аутентификации (пакет 337), но обратное сообщение об (не)успешности логона не проходит (подсвеченные желтым пакеты во втором трейсе - они содержат идентичный sequence number)
После чего, по истечении 10 секунд ожидания (4c->14c), SAP GUI отправляет сообщение о завершении сессии, которое успешно получает сервер и соединение корректно закрывается обеими сторонами.
Надо на время отключить DPI на фаерволе и попробовать воспроизвести проблему.

Автор:  pakko [ Пт, июл 20 2018, 12:00 ]
Заголовок сообщения:  Re: SAP Logon Group issue  Тема решена

Да-да, это один и тот же обмен/сеанс. Спасибо, за подтверждение моих догадок и за совет! Попрошу коллег со стороны заказчика подключиться для решения.

*Update
В общем, разобраться до конца не удалось.
Сетевеки не обнаружили проблем в настройках сетевого оборудования, но однозначно подтверждают, что проблема именно в сети.
На данный момент проблема ушла сама собой. Ну а в качестве решения на будущее предложили изменить структуру и типы подключения..

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/