Текущее время: Сб, авг 18 2018, 20:29

Часовой пояс: UTC + 4 часа


Правила форума


ВНИМАНИЕ! Прежде чем задавать вопрос, ознакомьтесь со ссылками ниже:

Вопросы по отличиям версий SAP, Add-On, EHP - сюда
Вопросы по SAP Front End (SAPlogon, SAPgui, guiXT и т.д.) - сюда
Вопросы по LSMW - сюда
Вопросы по архивации в SAP - сюда
Вопросы по SAP GRC - сюда
Вопросы по SAP Business Workplace (почте SAP) и SAP Office - сюда
Вопросы по miniSAP (SAP mini basis) - сюда
Вопросы по SAP HANA - сюда
Вопросы по лицензированию продуктов SAP - сюда



Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 10:38 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Добрый день, коллеги!

У меня интересная проблемка возникла при использовании бланасировки пользователей для SAP Logon.
Уже 3-тий день бьюсь - не могу решить. Буду очень признателен, если подтолкнёте к решению, или укажете куда смотреть..

1) Была выполнена миграция серверов с одной площадки на другую. При этом изменилась IP-адресация.
2) Имеются SAP системы A01 и B01.
3) Далее будет описание проблемы:
- сеть на новой площадке: SAP LAN.
- сеть заказчика: Customer LAN.
Из локальной сети заказчика (Customer LAN) не со всех хостов работает балансировка к системе A01, но везде работает балансировка к B01.
Для А01 не работает процентов 90%. Ошибка: Login balancing error 88 / Timeout 1000 ...
Порты везде открыты (Telnet работает по именам хостов и портов)
У меня есть виртуалка в SAP LAN - там балансировка работает ко всем серверам корректно.
Если в SAP Logon настраивать прямое подключение к каждому диалоговому серверу - соединение работает.

Все проверки MS показывают, что балансировка и логон группа работает! Но проблема наблюдается - На преимущественном кол-ве рабочих станций заказчика доступ к A01 через группу PUBLIC не работает. Даже настроить соединение на местах пользователей не возможно - пишет таймаут.

Вот изображения с ошибками:
Изображение

Изображение

Коллеги, если кто-нибудь сталкивался, либо знает того ,кто стадкивался, прошу откликнуться. Собственные идеи не привели к решению и даже к локализации ошибки.
Всем коллективом будем признательны!

Заранее спасибо!


Последний раз редактировалось pakko Вт, июл 10 2018, 18:16, всего редактировалось 1 раз.

Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 10:48 
Начинающий
Начинающий

Зарегистрирован:
Чт, ноя 05 2015, 11:03
Сообщения: 4
В файле C:\windows\system32\drivers\etc\services прописан sapms<sid> 36<SNr>?
И в хостах проверьте ip


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 11:02 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Да, это конечно первым делом проверяли. Со всех хостов рабоатет команда:
Code:
telnet saphostA01 sapmsA01


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 18:54 
Менеджер
Менеджер
Аватара пользователя

Зарегистрирован:
Вт, окт 10 2006, 13:23
Сообщения: 679
Откуда: Санкт-Петербург
Пол: Мужской
Помоему, что-то похожее было когда то. Попробуйте добавить пустую строку в файле services в конце.


Принять этот ответ
Вернуться к началу
 Профиль Отправить email  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 18:59 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Да, я знаю про этот косяк - операционке надо перевод строки в конце.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 20:53 
Почетный гуру
Почетный гуру
Аватара пользователя

Зарегистрирован:
Чт, сен 28 2006, 12:36
Сообщения: 1328
Откуда: Москва
Пол: Мужской
pakko
коллега,
попробуйте вот чего:
1. посмотрите настройки ACL на стороне message server. Мало ли
2. 500235 - Network Diagnosis with NIPING

я все-же грешу на сеть, т.е. на пункт 2. таймауты с пользовательского сегмента - это неспроста
Цитата:
- сеть на новой площадке: SAP LAN.
- сеть заказчика: Customer LAN.

особенно если тут VPN


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Вт, июл 10 2018, 21:01 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
1. Настройки ACL: HOST *
2. я пробовал - что-то ничего не заметил такого..

Да, там VPN, разные подсети и прочее.. Я тоже поначало грешил на сеть. Но почему тогда работает балансировка во вторую систему (B01)?..

Сверял конфиги и параметры message server-a. В трассировках ничего подозрительного не заметил.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Чт, июл 12 2018, 15:39 
Специалист
Специалист

Зарегистрирован:
Чт, фев 28 2008, 15:01
Сообщения: 224
Подключите сетевиков. У вас же явно между клиентами и сервером стоят фаерволы, на которых прописаны правила. На фаерволах не только порты можно открывать, но также блокировать по типу протокола/приложения. Если безопасники активировали такую функцию, то телнет будет проходить, а вот реальное соединение будет уходить в таймаут. У меня подобная ситуация была с HTTP/SOAP. В правилах для сетевиков было написано:
открыть взаимодействие от IP1 к IP2 по порту HTTP, TCP/80. Они все открыли, telnet IP2 80 отрабатывал корректно. Но взаимодействия не проходили, так как открыли для HTTP, а протокол использовался SOAP в реальной жизни..


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Сб, июл 14 2018, 19:41 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Спасибо. Вчера пробовал через tcpdump + Wireshark посмотреть что происходит с пакетами. В общем, ситуация такая: в тех случаях, когда не работает, то пакеты теряются. Отправил заказчику письмо с просьбой о привлечении к исследованию сетевиков.
Как что-то станет известно, отпишусь.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Ср, июл 18 2018, 20:17 
Ассистент
Ассистент

Зарегистрирован:
Сб, окт 17 2015, 14:11
Сообщения: 48
А что значит "пакеты теряются"?
TCP 3-way handshake проходит? Или посыл SYN отваливается по таймауту?


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Чт, июл 19 2018, 23:33 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Прикладываю скриншоты во время проблемы.

Это на клиенте SAP GUI в WireShark:

Изображение


Это на SAP сервере (Центральная инстанция) в tcpdump:

Изображение


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Пт, июл 20 2018, 12:32 
Ассистент
Ассистент

Зарегистрирован:
Сб, окт 17 2015, 14:11
Сообщения: 48
Если это дамп одного и того же сетевого обмена, то в этой сети определенно некорректная настройка правил динамической фильтрации межсетевого экрана, который находится между хостами 192.168.16.240 и 192.168.210.230.
Само соединение устанавливается нормально, и SAP GUI отправляет логон данные на сервер (пакеты с номерами 330, 335, 336). Сервер подтверждает прием данных аутентификации (пакет 337), но обратное сообщение об (не)успешности логона не проходит (подсвеченные желтым пакеты во втором трейсе - они содержат идентичный sequence number)
После чего, по истечении 10 секунд ожидания (4c->14c), SAP GUI отправляет сообщение о завершении сессии, которое успешно получает сервер и соединение корректно закрывается обеими сторонами.
Надо на время отключить DPI на фаерволе и попробовать воспроизвести проблему.


Принять этот ответ
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: SAP Logon Group issue
СообщениеДобавлено: Пт, июл 20 2018, 13:00 
Ассистент
Ассистент

Зарегистрирован:
Пт, сен 12 2008, 16:41
Сообщения: 29
Да-да, это один и тот же обмен/сеанс. Спасибо, за подтверждение моих догадок и за совет! Попрошу коллег со стороны заказчика подключиться для решения.


Принять этот ответ
Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB