Текущее время: Вс, июл 22 2018, 05:23

Часовой пояс: UTC + 4 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 10:38 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Добрый день, коллеги!

У меня интересная проблемка возникла при использовании бланасировки пользователей для SAP Logon.
Уже 3-тий день бьюсь - не могу решить. Буду очень признателен, если подтолкнёте к решению, или укажете куда смотреть..

1) Была выполнена миграция серверов с одной площадки на другую. При этом изменилась IP-адресация.
2) Имеются SAP системы A01 и B01.
3) Далее будет описание проблемы:
- сеть на новой площадке: SAP LAN.
- сеть заказчика: Customer LAN.
Из локальной сети заказчика (Customer LAN) не со всех хостов работает балансировка к системе A01, но везде работает балансировка к B01.
Для А01 не работает процентов 90%. Ошибка: Login balancing error 88 / Timeout 1000 ...
Порты везде открыты (Telnet работает по именам хостов и портов)
У меня есть виртуалка в SAP LAN - там балансировка работает ко всем серверам корректно.
Если в SAP Logon настраивать прямое подключение к каждому диалоговому серверу - соединение работает.

Все проверки MS показывают, что балансировка и логон группа работает! Но проблема наблюдается - На преимущественном кол-ве рабочих станций заказчика доступ к A01 через группу PUBLIC не работает. Даже настроить соединение на местах пользователей не возможно - пишет таймаут.

Вот изображения с ошибками:
Изображение

Изображение

Коллеги, если кто-нибудь сталкивался, либо знает того ,кто стадкивался, прошу откликнуться. Собственные идеи не привели к решению и даже к локализации ошибки.
Всем коллективом будем признательны!

Заранее спасибо!


Последний раз редактировалось pakko Вт, июл 10 2018, 18:16, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 10:48 
Начинающий
Начинающий

Зарегистрирован:
Чт, ноя 05 2015, 11:03
Сообщения: 4
В файле C:\windows\system32\drivers\etc\services прописан sapms<sid> 36<SNr>?
И в хостах проверьте ip


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 11:02 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Да, это конечно первым делом проверяли. Со всех хостов рабоатет команда:
Code:
telnet saphostA01 sapmsA01


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 18:54 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, окт 10 2006, 13:23
Сообщения: 679
Откуда: Санкт-Петербург
Пол: Мужской
Помоему, что-то похожее было когда то. Попробуйте добавить пустую строку в файле services в конце.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 18:59 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Да, я знаю про этот косяк - операционке надо перевод строки в конце.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 20:53 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 12:36
Сообщения: 1327
Откуда: Москва
Пол: Мужской
pakko
коллега,
попробуйте вот чего:
1. посмотрите настройки ACL на стороне message server. Мало ли
2. 500235 - Network Diagnosis with NIPING

я все-же грешу на сеть, т.е. на пункт 2. таймауты с пользовательского сегмента - это неспроста
Цитата:
- сеть на новой площадке: SAP LAN.
- сеть заказчика: Customer LAN.

особенно если тут VPN


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 21:01 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
1. Настройки ACL: HOST *
2. я пробовал - что-то ничего не заметил такого..

Да, там VPN, разные подсети и прочее.. Я тоже поначало грешил на сеть. Но почему тогда работает балансировка во вторую систему (B01)?..

Сверял конфиги и параметры message server-a. В трассировках ничего подозрительного не заметил.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Чт, июл 12 2018, 15:39 
Специалист
Специалист

Зарегистрирован:
Чт, фев 28 2008, 15:01
Сообщения: 224
Подключите сетевиков. У вас же явно между клиентами и сервером стоят фаерволы, на которых прописаны правила. На фаерволах не только порты можно открывать, но также блокировать по типу протокола/приложения. Если безопасники активировали такую функцию, то телнет будет проходить, а вот реальное соединение будет уходить в таймаут. У меня подобная ситуация была с HTTP/SOAP. В правилах для сетевиков было написано:
открыть взаимодействие от IP1 к IP2 по порту HTTP, TCP/80. Они все открыли, telnet IP2 80 отрабатывал корректно. Но взаимодействия не проходили, так как открыли для HTTP, а протокол использовался SOAP в реальной жизни..


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Сб, июл 14 2018, 19:41 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Спасибо. Вчера пробовал через tcpdump + Wireshark посмотреть что происходит с пакетами. В общем, ситуация такая: в тех случаях, когда не работает, то пакеты теряются. Отправил заказчику письмо с просьбой о привлечении к исследованию сетевиков.
Как что-то станет известно, отпишусь.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Ср, июл 18 2018, 20:17 
Ассистент
Ассистент

Зарегистрирован:
Сб, окт 17 2015, 14:11
Сообщения: 47
А что значит "пакеты теряются"?
TCP 3-way handshake проходит? Или посыл SYN отваливается по таймауту?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Чт, июл 19 2018, 23:33 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Прикладываю скриншоты во время проблемы.

Это на клиенте SAP GUI в WireShark:

Изображение


Это на SAP сервере (Центральная инстанция) в tcpdump:

Изображение


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Пт, июл 20 2018, 12:32 
Ассистент
Ассистент

Зарегистрирован:
Сб, окт 17 2015, 14:11
Сообщения: 47
Если это дамп одного и того же сетевого обмена, то в этой сети определенно некорректная настройка правил динамической фильтрации межсетевого экрана, который находится между хостами 192.168.16.240 и 192.168.210.230.
Само соединение устанавливается нормально, и SAP GUI отправляет логон данные на сервер (пакеты с номерами 330, 335, 336). Сервер подтверждает прием данных аутентификации (пакет 337), но обратное сообщение об (не)успешности логона не проходит (подсвеченные желтым пакеты во втором трейсе - они содержат идентичный sequence number)
После чего, по истечении 10 секунд ожидания (4c->14c), SAP GUI отправляет сообщение о завершении сессии, которое успешно получает сервер и соединение корректно закрывается обеими сторонами.
Надо на время отключить DPI на фаерволе и попробовать воспроизвести проблему.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Пт, июл 20 2018, 13:00 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Да-да, это один и тот же обмен/сеанс. Спасибо, за подтверждение моих догадок и за совет! Попрошу коллег со стороны заказчика подключиться для решения.


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB