Внезапно "сломался" SharePoint

Question

Причём я так до конца не уверен, что дело именно в SharePoint, а не в IIS. Но спрошу для начала здесь.

Суть в том, что он перестал пускать пользователей. Пишет (сам SharePoint) "Ошибка: нет доступа" и предлагает войти под другим юзером, ну или отправить запрос. Две интересности:

1. Если заходить на сайт на той машине, где установлен сам SharePoint, то всё проходит без ошибок.
2. Проблема, похоже, именно в отображении контента, потому что если зайти напрямую в администрирование узла, то ошибок не возникает. Максимум, до чего я доходил -- это отображение всего содержимого узла. Но стоит только попробовать зайти в какую-нибудь библиотеку или список -- всё, гудбай, "Ошибка: нет доступа".

Началось внезапно, после перезагрузки сервера. В эвентлогах ничего такого, что указывало бы на вероятную проблему, не находится. Разве что кричит про полный транзакшн-лог. Полагаю, это не имеет отношения к делу -- ведь с консоли сервера всё работает и открывается!

Прошу ткнуть носом :)

---

Бредить нужно в специально оборудованных местах

Answer 1

Причём я так до конца не уверен, что дело именно в SharePoint, а не в IIS. Но спрошу для начала здесь.

Суть в том, что он перестал пускать пользователей. Пишет (сам SharePoint) "Ошибка: нет доступа" и предлагает войти под другим юзером, ну или отправить запрос. Две интересности:

1. Если заходить на сайт на той машине, где установлен сам SharePoint, то всё проходит без ошибок.
2. Проблема, похоже, именно в отображении контента, потому что если зайти напрямую в администрирование узла, то ошибок не возникает. Максимум, до чего я доходил -- это отображение всего содержимого узла. Но стоит только попробовать зайти в какую-нибудь библиотеку или список -- всё, гудбай, "Ошибка: нет доступа".

Началось внезапно, после перезагрузки сервера. В эвентлогах ничего такого, что указывало бы на вероятную проблему, не находится. Разве что кричит про полный транзакшн-лог. Полагаю, это не имеет отношения к делу -- ведь с консоли сервера всё работает и открывается!

Прошу ткнуть носом :)

---

Бредить нужно в специально оборудованных местах

База MSSQL express или сервер MSSQL ?

После очистки места на диске проблема остаётся ?

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 2

Сервер MSSQL полноценный. Очистка ситуацию не исправила никак. Да и места, в целом, хватало.

---

Бредить нужно в специально оборудованных местах

Answer 3

Сервер MSSQL полноценный. Очистка ситуацию не исправила никак. Да и места, в целом, хватало.

---

Бредить нужно в специально оборудованных местах

iisreset делали ?

 
 Центр администрирования > Управление приложениями > Поставщики проверки подлинности  - что там ?

Пул приложений от какой учётной записи работает ?

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 4

1. iisreset делался не раз, да и сам сервер перегружал тоже не раз
2. "По умолчанию" и "Интрасеть". Тип проверки подлинности в обоих -- Windows. В первом пункте в качестве способа стоит Керберос, во втором -- NTLM (хмм... интересно, ни разу не заходил сюда)
3. Доменная запись. В группе администраторов на этом сервере. На базу соответствующие права даны. Пробовал и другие учётки (см. метод тыка) -- ничего не меняется.

Забыл добавить, что при входе на SharePoint-сайт выскакивает табличка с предложением ввести логин/пароль. Указание правильных учётных данных тут ничего не даёт -- снова два раза табличка и ошибка 401.1. Иногда на сайт пускает, но уже сам SharePoint говорит, что нет доступа.

---

Бредить нужно в специально оборудованных местах

Answer 5

1. iisreset делался не раз, да и сам сервер перегружал тоже не раз
2. "По умолчанию" и "Интрасеть". Тип проверки подлинности в обоих -- Windows. В первом пункте в качестве способа стоит Керберос, во втором -- NTLM (хмм... интересно, ни разу не заходил сюда)
3. Доменная запись. В группе администраторов на этом сервере. На базу соответствующие права даны. Пробовал и другие учётки (см. метод тыка) -- ничего не меняется.

Забыл добавить, что при входе на SharePoint-сайт выскакивает табличка с предложением ввести логин/пароль. Указание правильных учётных данных тут ничего не даёт -- снова два раза табличка и ошибка 401.1. Иногда на сайт пускает, но уже сам SharePoint говорит, что нет доступа.

---

Бредить нужно в специально оборудованных местах

Поменяйте kerberos на NTLM обычно помогает.

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 6

Вот же... вашу... Машу...
Глянул на другой ферме, как выглядит пункт 2. "Интрасеть" там вообще не фигуригует. В пункте "По умолчанию" стоит NTLM. Поставил на проблемном сервере в обоих пунктах NTLM -- всё заработало.

Огромное спасибо за наводку!

---

Бредить нужно в специально оборудованных местах

Answer 7

Всё оказалось не так радужно. С утра пришёл на работу -- SharePoint не пускает. В этот раз уже сам не пускает, а не IIS. То есть, сообщает, что нет доступа. Запрос логина/пароля на доступ к сайту не запрашивает. При этом в настройку узла пускает, а на сам узел -- нет.

---

Бредить нужно в специально оборудованных местах

Answer 8

Отыскал в логах вот такое:

PortalSiteMapProvider was unable to fetch root node, request URL: /sites/shkaf/default.aspx, message: Access is denied. (Exception from HRESULT: 0x80070005 (E_ACCESSDENIED)), stack trace: at Microsoft.SharePoint.Utilities.SPUtility.HandleAccessDenied(Exception ex) at Microsoft.SharePoint.SPGlobal.HandleUnauthorizedAccessException(UnauthorizedAccessException ex) at Microsoft.SharePoint.Library.SPRequest.GetWebMetainfo(String bstrUrl) at Microsoft.SharePoint.SPWeb.get_AllProperties() at Microsoft.SharePoint.Publishing.SiteCacheSettings..ctor(SPSite site) at Microsoft.SharePoint.Publishing.SiteCacheSettings.<>c__DisplayClass2.b__0() at Microsoft.SharePoint.SPSecurity.CodeToRunElevatedWrapper(Object state) at Microsoft.SharePoint.SPSecurity....

Гуглинг выдал одну ссылку. Прочёл внимательно. Нашёл кое-что ещё:

04/21/2009 12:47:56.68	OWSTIMER.EXE (0x0AF4)	0x15FC	Windows SharePoint Services	Topology	0	High	Updating identity type for application pool 'OfficeServerApplicationPool' to 'NetworkService'.
04/21/2009 12:47:56.68	OWSTIMER.EXE (0x0AF4)	0x15FC	Windows SharePoint Services	Topology	0	High	Identity type for application pool 'OfficeServerApplicationPool' updated to 'NetworkService'.

И вот тут, похоже, собака и порылась. Никак не могу выставить для OfficeServerApplicationPool идентити доменного пользователя. Через несколько секунд сбрасывает на NetworkService. Пока не сбросилось -- на сайт можно попасть :)

Погуглил. Нашёл решение (stsadm -o updatefarmcredentials и updateaccountpassword) -- не сработало. Куда копать дальше?

---

Бредить нужно в специально оборудованных местах

Answer 9

Аккаунт для OfficeServerApplicationPool как вводили ? domain\username ? IIS не пользовались ?

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 10

Да, domain\username
Теперь уже не пользуюсь :((( Кто ж знал...
Рецепт по ссылке не помог: в TaskManager какое-то время видно, что w3wp работает от имени пользователя, а через несколько секунд -- опять NETWORK SERVICE.

domain\username является членом группы IIS_WPG...

---

Бредить нужно в специально оборудованных местах

Answer 11

Да, domain\username
Теперь уже не пользуюсь :((( Кто ж знал...
Рецепт по ссылке не помог: в TaskManager какое-то время видно, что w3wp работает от имени пользователя, а через несколько секунд -- опять NETWORK SERVICE.

domain\username является членом группы IIS_WPG...

---

Бредить нужно в специально оборудованных местах

iisreset /force делали ?

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 12

Сейчас вот работают два процесса -- один от domain\username, второй от NETWORK SERVICE. Доступа на сайт по-прежнему нет :(

---

Бредить нужно в специально оборудованных местах

Answer 13

Остановите iis и заново запустите.

Ещё раз измените пользователя, а затем снова перезапустите iis

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 14

Всё уже поперепробовал, даже сервер ребутнул -- эффекта нет :(

---

Бредить нужно в специально оборудованных местах

Answer 15

Всё уже поперепробовал, даже сервер ребутнул -- эффекта нет :(

---

Бредить нужно в специально оборудованных местах

Временный вариант - добавить учётную запись network service в группу локальных администраторов сервера.

---

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

Answer 16

Сделал другой временный вариант (почему я сразу о нём не подумал?) -- перенёс сайт в пул SharedSerivces, работающий под "правильной" учёткой. Интересно, надолго его хватит или на нём тоже будет сбиваться учётка...

---

Бредить нужно в специально оборудованных местах

Answer 17

Описание больше походит на то, что пользователи были созданы в центре администрирования, а для сайта SharePoint не создавались. Т.е. пользователей нужно создавать и в том и в другом узле.