Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

[SCOM 2012] L’alerte ‘Data Access Service SPN Not Registered’ est générée malgré que le SPN soit enregistré

Le problème que j’ai rencontré touche System Center 2012 Operations Manager dans toutes ses versions. Avant de continuer plus loin, je mets une décharge sur l’analyse effectuée car les témoignages que j’ai recoupés sont divergents. L’alerte Data Access Service SPN Not Registered est générée lorsque le Service Principal Name pour le SDK (Data Access Service) n’est pas enregistré.

Deux scénarios :

  • Soit vous exécutez le service SDK avec le local system et dans ce cas le SPN doit être enregistré sur le compte machine du serveur.
  • Soit le SDK est exécuté avec un compte de service dédié. Dans cette situation, c’est le compte de service qui doit disposer des informations nécessaires.

L’objet doit comprendre les deux SPN suivants :

  • MSOMSdkSvc/<NOM NETBIOS du Management Server>
  • MSOMSdkSvc/<FQDN du Management Server>

Cette opération est valable si vous exécutez plusieurs Management Servers.

Sauf que malgré ces valeurs, l’environnement d’un de mes clients levait encore et toujours l’alerte. En regardant de plus près l’alerte est générée par une règle répondant aux critères suivants :

  • Event Log : Operations Manager
  • Event ID : 26371
  • Event Source : OpsMgr SDK Service

Cet évènement est généré au démarrage du service System Center Data Access (SDK) sur le Management Server.

Je me souvenais avoir vu l’article de Kevin Holman (OpsMgr 2012: What should the SPN’s look like?) expliquant que ceci était un bug car la règle annonçait qu’il fallait enregistrer sur le compte ordinateur. Beaucoup de personnes ont interprété ceci comme : La règle est buguée et lève une alerte même si le SPN est configuré pour le compte de service.

Je me suis demandé pourquoi ces alertes étaient toujours générées sur un environnement et pas sur l’autre environnement de mon client. Les deux environnements utilisent un compte de service différent et ont le SPN pour chaque Management Server. En regardant de plus près, j’ai noté une différence :

  • Environnement sans alerte : MSOMSdkSvc\<Nom du Management Server>
  • Environnement avec alerte : MSOMSDKsvc\<Nom du Management Server>

J’ai commencé par regardé si les SPN étaient sensibles à la casse ; après plusieurs posts sur des blogs ou sur le forum TechNet ; il semble que non.
J’ai tout de même décidé de recréer le SPN avec la bonne casse. J’ai ensuite redémarré le SDK sur un des Management Servers et Miracle : Il n’y a plus d’alertes…

Il semble que la routine qui vérifie le SPN et génère l’event ID au niveau du SDK, soit sensible à la casse. Je n’ai pas le fin mot de l’histoire et je ne saurais vous dire si c’est bien le cas mais si vous êtes dans cette situation, vérifiez.

Facebook Like
Anonymous