Fehlerbehebung – Anwendungsserver

Anwendungsserverkonfiguration

Der Windows Dienst startet nicht

Wenn der Windows Dienst nicht startet oder startet und dann sofort stoppt, so deutet dies darauf hin, dass es ein Problem mit der Serverkonfiguration gibt.

Wenn der Serverdienst startet, werden einige Überprüfungen durchgeführt, darunter:

  • Geeigneter Zugriff auf die SQL Datenbank und erwartete Datenbank-Updates wurden installiert.
  • Es werden Verschlüsselungsschemaschlüssel auf dem Server für die Datensätze in der Datenbank aufbewahrt, die angeben, dass der Schlüssel dort aufbewahrt werden soll.
  • Der Serververbindungsmodus unterstützt den Blue Prism Authentifizierungsmodus.
  • Der Benutzer hat die erforderlichen Rechte, um den Listener auf dem Gerät zu starten.
  • Es ist eine gültige Lizenz installiert.

Führen Sie die nachfolgenden Schritte aus, um Problemursachen zu identifizieren:

  • Überprüfen Sie das Profil auf Warnmeldungen im BPServer.exe-Hilfsprogramm – Damit können Sie verschiedene Probleme erkennen, z. B. ob ein Serverdienst nicht für dieses Profil konfiguriert ist, ob ein Verschlüsselungszertifikat erforderlich ist, aber nicht gefunden wird, oder ob der Dienstanmeldebenutzer nicht über die erforderlichen Rechte zum Starten des Listeners verfügt.

  • Überprüfen Sie die Meldungen in der Ereignisanzeige – Damit können Sie verschiedene Probleme erkennen, z. B. ob das Serverdienstprofil nicht gefunden wird, ob sich der Server nicht bei der Datenbank authentifizieren kann, ob ein Verschlüsselungszertifikat erforderlich ist, aber Probleme damit aufgetreten sind, ob erwartete Verschlüsselungsschemas nicht im Dienstprofil gefunden werden oder ob das Dienstanmeldekonto nicht über die erforderlichen Rechte zum Starten des Listeners verfügt.

  • Versuchen Sie, den Dienst mit dem BPServer.exe-Hilfsprogramm zu starten – Die Verwendung dieses Hilfsprogramms auf diese Weise eignet sich nur zur Fehlerbehebung, weil dabei versucht wird, den Dienst im Kontext des aktuell angemeldeten Benutzers zu starten. Wenn der lokal angemeldete Benutzer andere Berechtigungen für das Dienstanmeldekonto besitzt, kann ein anderes Verhalten auftreten, als wenn der Dienst über die Dienstmanagementkonsole gestartet wird. Wenn der Dienst beispielsweise zum Verbinden mit SQL über die Windows Authentifizierung konfiguriert ist, benötigt der aktuell angemeldete Benutzer die erforderlichen minimalen Rechte für die Blue Prism Datenbank auf dem Ziel SQL Server.

Es wurde keine gültige Lizenz erkannt

Dienst kann nicht gestartet werden. System.NotSupportedException: Es wurde keine gültige Lizenz erkannt.

Es muss eine gültige Lizenz für die Umgebung konfiguriert sein, damit ein Blue Prism Server gestartet werden kann.

Ein neuer Lizenzschlüssel kann über die Blue Prism Benutzeroberfläche installiert werden. Es könnte erforderlich sein, einen Client zu verwenden, der über eine direkte Datenbankverbindung verfügt, um diese Aktion auszuführen.

Verschlüsselungsschlüssel konnten nicht aufgelöst werden

Dienst kann nicht gestartet werden. BluePrism.BPCoreLib.InvalidStateException: Die folgenden Verschlüsselungsschlüssel konnten nicht aufgelöst werden: 2018 Q2 Verschlüsselungsschema, Standard-Verschlüsselungsschema

Dieser Fehler bedeutet, dass es Verschlüsselungsschemaschlüssel gibt, von denen erwartet wurde, dass sie sich auf dem Server befinden, die aber nicht gefunden werden konnten. Der obige Fehler bedeutet, dass zwei Schemas nicht gefunden werden konnten, die lokal auf dem Blue Prism Server definiert sein sollten, mit den Namen: „2018 Q2 Verschlüsselungsschema“ und „Standard-Verschlüsselungsschema“.

Die in der Datenbank konfigurierten Verschlüsselungsschemadatensätze müssen überprüft werden und es muss sichergestellt werden, dass für jeden, bei dem der Schlüssel auf dem Server gespeichert wird, ein entsprechender Verschlüsselungsschemadatensatz auf dem Blue Prism Server erstellt wird. Ein Beispiel für den Vergleich der Einstellungen im Client mit den Einstellungen im Blue Prism Server-Konfigurationshilfsprogramm.

Das Konto, als das der Dienst ausgeführt wird, verfügt nicht über das Recht zum Erstellen von Diensten

Fehler wie der folgende bedeuten, dass das Konto, als das der Dienst ausgeführt wird, nicht über die erforderlichen Berechtigungen zum Konfigurieren des Diensts für die Überwachung der konfigurierten Einstellungen verfügt:

BluePrism.BPCoreLib.InvalidStateException: Beim Startversuch des Servers ist ein Fehler aufgetreten. Das Konto, als das der Dienst ausgeführt wird (AD\bpserverservice001), verfügt nicht über das Recht zum Erstellen von Diensten, die den Server-Namespace überwachen.

Diese Meldung wird häufig ausgelöst, wenn der Blue Prism Server als Benutzer gestartet wird, der nicht ein lokaler Administrator ist, oder wenn die Zugriffskontrollliste (Access Control List, ACL) nicht korrekt konfiguriert wurde.

Nutzen Sie eine der beiden Methoden, um das Problem zu beheben:

  • Verwenden Sie das Blue Prism Server-Konfigurationshilfsprogramm, um Berechtigungen für den konfigurierten Benutzer einzurichten, damit er den Dienst starten kann oder
  • Führen Sie den Befehl aus, der in der Ereignisanzeigemeldung bereitgestellt wird.

Es ist wichtig, dass die ACL-Berechtigung speziell für den Benutzer erstellt wird, der den Dienst starten wird, und dass sie entweder mit einer generischen URL konfiguriert wird, wenn keine Serverbindung angegeben ist, oder mit einer URL, die direkt an eine angegebene Serverbindung angepasst wird.

Fehler beim Prüfen der Dienste

Wenn dieser Fehler beim Bearbeiten des Blue Prism Serverprofils angezeigt wird, bedeutet das, dass ein Fehler aufgetreten ist, als überprüft wurde, ob der aktuell angemeldete Benutzer ein lokaler Administrator ist.

Das tritt bekanntermaßen auf, wenn ein lokales Benutzerkonto verwendet wird, um auf ein Gerät zuzugreifen, das ein Mitglied einer Active Directory Domäne ist, und wenn ein Domänencontroller nicht kontaktiert werden kann. Es muss unbedingt sichergestellt werden, dass ein Domänencontroller kontaktiert werden kann.

Verschlüsselungszertifikat kann nicht gefunden werden

Wenn das für die Verschlüsselung verwendete Zertifikat nicht abgerufen oder wiederhergestellt werden kann, wird die folgende Meldung angezeigt: Das Zertifikat für die Verschlüsselung der Serverkonfiguration kann nicht gefunden werden. Bitte fügen Sie das Zertifikat mit dem korrekten Fingerabdruck zum Zertifikatsspeicher hinzu.

In diesem Fall muss der Benutzer, der den Blue Prism Server konfiguriert, die Serverkonfigurationsprofile neu erstellen. Dazu muss die Datei Automate.config gelöscht werden unter: ProgramData\Blue Prism Limited\Automate V3. Eine neue Version der Datei Automate.config wird automatisch erstellt, wenn BPServer.exe gestartet wird. Ein Verschlüsselungsschema und neue Zertifikate können auf die neue Serverkonfigurationsdatei angewandt werden.

Service Principal Name (SPN)-Konfiguration für Kerberos-Authentifizierung

Überprüfen Sie, ob die DNS-Suche funktioniert

  1. Überprüfen Sie den Hostnamen des konfigurierten Blue Prism Servers auf dem Bildschirm „Verbindungskonfiguration“ im interaktiven Blue Prism Client.

  2. Führen Sie eine DNS-Weiterleitungssuche über den interaktiven Blue Prism Client durch: nslookup <BP Server hostname>

    Dadurch wird der FQDN zur Verwendung in der SPN-Registrierung zurückgegeben.

Wenn dies nicht funktioniert, wenden Sie sich bitte an Ihr internes IT-Team, um weitere Fehler zu beheben.

Überprüfen Sie, ob die SPN korrekt registriert wurde

  1. Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie den Befehl setspn -L ACCOUNT_NAME aus.

    Hier werden die SPNs aufgeführt, die für das Konto registriert sind, das Sie während der SPN-Registrierung angegeben haben.

  2. Bestätigen Sie, dass die zurückgegebene SPN mit der registrierten SPN identisch ist, die im folgenden Format vorliegen sollte: <service class>/<host>:<port>/<service name>

    Dabei gilt:

    • Serviceklasse ist HTTP. Dies sollte NICHT in HTTPS geändert werden.
    • Host ist der FQDN des Blue Prism Anwendungsservers, zum Beispiel appserver.bpdomain.local
    • Port ist der Port, auf dem der Blue Prism Anwendungsserver ausgeführt wird. Standard = 8199
    • Servicename ist der BP Server

Es ist wichtig, dass die SPN genau wie in der SPN-Konfiguration beschrieben konfiguriert ist, um korrekt zu funktionieren. SPNs sollten in der Active Directory-Gesamtstruktur eindeutig sein, aber unter bestimmten Umständen können Duplikate vorhanden sein. Um nach doppelten Einträgen zu suchen, können Sie setspn -F -Q */BPserver verwenden. Dadurch werden alle SPN-Einträge in der Gesamtstruktur aufgelistet, die „BPserver“ enthalten. Wenn mehr als ein Eintrag vorhanden ist, kann dieser durch Ausführen des Befehls setspn -D SPN_NAME ACCOUNT_NAME entfernt werden.

Kerberos-Servicetickets überprüfen

Wenn die SPN für das richtige Konto registriert ist, sollte es möglich sein, klist aus einer nicht erhöhten Befehlszeile zu verwenden, um zu überprüfen, ob ein Kerberos-Serviceticket erhalten werden kann.

Dies kann erfolgen durch:

  • Löschen der Kerberos-Tickets mithilfe von klist-Löschen.
  • Wenn Sie klist get SPN_NAME ausführen, z. B. klist get HTTP/appserver.bpdomain.local:8199/BPServer auf dem Client-Computer, um die folgende Ausgabe zu erhalten.

Beispiel Kerberos-Serviceticket:

Kopieren 
Client: testuser @ BPDOMAIN.LOCAL
                    Server: HTTP/appserver.bpdomain.local:8199/BPServer @ BPDOMAIN.LOCAL
                    KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
                    Ticket Flags 0x40a10000 -> forwardable renewable pre_authent ok_as_delegate
                    name_canonicalize
                    Start Time: 1/11/2022 12:00:00 (local)
                    End Time:  1/12/2022 22:00:00 (local)
                    Renew Time: 1/18/2022 12:00:00 (local)
                    Session Key Type: RSADSI RC4-HMAC(NT)
                    Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
                Kdc Called: dc1.bpdomain.local

Das Kerberos-Serviceticket kann im obigen Beispiel im Abschnitt „Server:“ identifiziert werden. Wenn ein Kerberos-Serviceticket für die registrierte SPN NICHT zurückgegeben wird, überprüfen Sie bitte, ob die vorherigen Schritte korrekt befolgt wurden.

Wenn Sie die obigen Schritte befolgt haben und immer noch kein Kerberos-Ticket für die registrierte SPN zurückgeben können, müssen Sie sich an Ihr internes IT-Team wenden, um weitere Untersuchungen durchzuführen, da die Windows Kerberos-Authentifizierung nicht wie erwartet funktioniert.

Wenn Sie erfolgreich ein Kerberos-Serviceticket für die registrierte SPN zurückgeben können, das Problem aber nicht behoben wurde, lesen Sie bitte den Abschnitt unten.

RC4-Verschlüsselung

Im obigen Beispiel hat das Kerberos-Serviceticket einen Basisverschlüsselungstyp von RC4, der als anfällige Verschlüsselung gilt und nicht zur Verwendung empfohlen wird.

In einigen Umgebungen können RC4-Tickets generiert werden. Möglicherweise wurden jedoch Regeln aktiviert, die den Client daran hindern, ein solches Kerberos-Ticket zu akzeptieren und zu verwenden.

Wenn Sie sehen, dass RC4-Tickets wie im obigen Beispiel generiert werden, wenden Sie sich bitte an Ihre internen IT-Teams, um sicherzustellen, dass der Kerberos-Authentifizierungsmechanismus des Dienstkontos RC4 verwenden kann oder die AES-Verschlüsselung aktiviert ist. Der Kerberos-Authentifizierungstyp kann identifiziert werden, indem Sie den Abschnitt „KerbTicket-Verschlüsselungstyp“ im obigen Beispiel überprüfen.

Anwendungsserververbindung

Fehler bei der Verbindung eines Blue Prism Geräts mit dem Anwendungsserver können durch zahlreiche Faktoren verursacht werden. Wir empfehlen ausdrücklich, Folgendes zu überprüfen:

  • Der Blue Prism Serverdienst wurde gestartet.
  • Die für den Serverdienst verwendete Adresse ist auflösbar (d. h. per DNS) und die Netzwerkverbindung wird nicht verhindert. (Überprüfen Sie z. B. die Konfiguration von Firewalls.)
  • Das sich verbindende Gerät wurde korrekt konfiguriert:
    • Der Serververbindungsmodus und Port stimmen mit den Einstellungen auf dem Server überein.
    • Das Gerät verwendet ggf. die Adresse, die in der Adressbindung des Servers festgelegt wurde.
  • Verwendet der Server Transportverschlüsselung, muss das sich verbindende Gerät der Zertifizierungsstelle vertrauen, die das Serverzertifikat ausgestellt hat.

Mit Datenbank verbinden

Im Abschnitt für die Fehlerbehebung zur Datenbankverbindung finden Sie allgemeine Verbindungstipps.

Beachten Sie bei der Fehlerbehebung, dass das Konto, das zur Authentifizierung mit SQL verwendet wird, vom SQL Authentifizierungsmodus abhängt, der für die Verbindung vom Server konfiguriert wurde:

  • SQL Authentifizierung – Die bei der Verbindung angegebenen Anmeldedaten werden verwendet.
  • Windows Authentifizierung – Der Kontext des Serverdiensts wird verwendet. Wenn Sie den Dienst über die Windows Dienstkonsole starten, wird das das Dienstanmeldekonto sein. Wenn Sie den Dienst direkt über BPServer.exe starten, ist das der aktuell angemeldete Benutzer.

Datenbank ist nicht vorhanden

Dienst kann nicht gestartet werden. BluePrism.BPCoreLib.InvalidStateException: Ungültige Verbindung: Server ist nicht erreichbar

Datenbank 'BP_Prod_Native' ist nicht vorhanden

Dieser Fehler bedeutet, dass die Datenbank nicht gefunden wird.

Überprüfen Sie, ob der Datenbankserver und Datenbankname korrekt sind. Wenn noch keine Blue Prism Datenbank erstellt wurde, kann ein Benutzer mit den erforderlichen SQL Berechtigungen dazu die Aktion „Datenbank erstellen“ in Blue Prism verwenden oder manuell ein CreateScript.sql einsetzen.

Inkorrekte Berechtigungen

Dienst kann nicht gestartet werden. BluePrism.BPCoreLib.InvalidStateException: Ungültige Verbindung: Server ist nicht erreichbar

Bei der Anmeldung angefragte Datenbank "BP_Prod_Native" kann nicht geöffnet werden. Die Anmeldung ist fehlgeschlagen.

Dieser Fehler bedeutet, dass der Benutzer, der bei der Datenbankauthentifizierung verwendet wurde, nicht über die erforderlichen Zugriffsberechtigungen dafür verfügt.

Dem Benutzer müssen mindestens SQL Berechtigungen für die Zieldatenbank gewährt werden, die die minimalen Berechtigungen erfüllen oder übertreffen.

Inkorrekte Anmeldedaten

Dienst kann nicht gestartet werden. BluePrism.BPCoreLib.InvalidStateException: Ungültige Verbindung: Server ist nicht erreichbar

Es kann nicht festgestellt werden, ob die Datenbank vorhanden ist – Anmeldung für Benutzer fehlgeschlagen

Dieser Fehler bedeutet, dass die Benutzeranmeldedaten, mit denen auf die Datenbank zugegriffen wurde, inkorrekt sind (z. B. Benutzername oder Passwort ungültig).

Überprüfen Sie die verwendeten Benutzeranmeldedaten und stellen Sie sicher, dass die SQL Berechtigungen des Benutzers für die Zieldatenbank die minimalen Berechtigungen erfüllen oder übertreffen.