Dépannage – Serveur d'applications

Configuration du serveur d'applications

Le service Windows ne peut pas démarrer

Si le service Windows ne démarre pas ou démarre et s'arrête immédiatement, cela indique qu'il y a un problème au niveau de la configuration du serveur.

Lorsque le service de serveur démarre, un certain nombre de vérifications ont lieu. Cela comprend, mais ne se limite pas à :

  • L'installation d'un accès approprié à la base de données SQL et les mises à jour de BD attendues ont été installées.
  • Les clés du schéma de cryptage sont conservées sur le serveur pour ces enregistrements dans la base de données qui indiquent que la clé devrait y être conservée.
  • Le mode de connexion du serveur prend en charge le mode d'authentification Blue Prism.
  • L'utilisateur a des droits appropriés pour démarrer l'écouteur sur l'appareil.
  • Une licence valide est installée.

Afin d'identifier la cause des problèmes, les étapes suivantes devraient être suivies :

  • Vérifier le profil pour les messages d'avertissement dans la fonctionnalité BPServer.exe : cela mettra en évidence des problèmes, par exemple si un service de serveur n'est pas configuré pour ce profil ou un certificat de cryptage est nécessaire mais introuvable, ou si l'utilisateur de connexion au service n'a pas les droits appropriés pour démarrer l'écouteur.

  • Vérifier les messages dans l'observateur d'événements : cela mettra en évidence des problèmes, par exemple si le profil du service de serveur ne peut pas être trouvé ; si le serveur ne peut pas s'authentifier auprès de la base de données ; si un certificat de cryptage est nécessaire, mais qu'il pose des problèmes ; si les schémas de cryptage ne peuvent pas être trouvés dans le profil du service ou si le compte de connexion au service n'a pas les droits appropriés pour démarrer l'écouteur.

  • Essayer de démarrer le service en utilisant la fonctionnalité BPServer.exe : utiliser cette fonctionnalité de cette manière ne convient que pour de la résolution de problèmes, car il tente de démarrer le service dans le contexte de l'utilisateur actuellement connecté. Si l'utilisateur connecté localement a des permissions différentes pour le compte de connexion au service, le comportement vu ici peut différer par rapport au cas où le service est démarré à partir de la console du gestionnaire des services. Par exemple, si le service est configuré pour se connecter à SQL avec une authentification Windows, il faudra que l'utilisateur actuellement connecté ait des droits minimum appropriés pour la base de données Blue Prism sur le SQL Server cible.

Une licence valide n'a pas pu être détectée

Le service ne peut pas être démarré. System.NotSupportedException : une licence valide n'a pas pu être détectée.

Une licence valide doit être configurée pour l'environnement afin qu'un serveur Blue Prism puisse démarrer.

Une nouvelle clé de licence peut être installée via l'interface utilisateur Blue Prism. Il peut être nécessaire d'utiliser un client ayant une connexion directe à la base de données pour réaliser cette action.

Les clés de chiffrement n'ont pas pu être résolues

Le service ne peut pas être démarré. BluePrism.BPCoreLib.InvalidStateException : les clés de cryptage suivantes n'ont pas pu être résolues : 2018 Q2 schéma de cryptage, schéma de cryptage par défaut

Cette erreur indique qu'il est attendu que des clés de schéma de cryptage figurent sur le serveur, mais qu'elles ne peuvent pas être trouvées. L'erreur ci-dessus indique que deux schémas, nommés « 2018 Q2 Schéma de cryptage » et « Schéma de cryptage par défaut », qui devraient être définis localement, ne peuvent pas être trouvés sur le serveur Blue Prism.

Il est nécessaire de vérifier les enregistrements du schéma de cryptage configuré dans la base de données et de s'assurer que pour chacun d'entre eux ayant un emplacement de clé du serveur, un enregistrement du schéma de cryptage approprié a été créé sur le serveur Blue Prism. Un exemple de comparaison des réglages dans le client par rapport aux réglages dans la fonctionnalité de configuration du serveur Blue Prism.

Le compte qui s'exécute en tant que service n'a pas le droit de créer des services

Des erreurs comme celle qui suit indiquent que le compte exécuté par le service n'a pas les permissions appropriées pour configurer le service à écouter sur les réglages configurés :

BluePrism.BPCoreLib.InvalidStateException : une erreur s'est produite en essayant de démarrer le serveur. Le compte exécuté en tant que service (AD\bpserverservice001) n'a pas le droit de créer des services qui écoutent sur l'espace de noms du serveur.

C'est un message courant lorsque le serveur Blue Prism est démarré en tant qu'utilisateur qui n'est pas un administrateur local ou si la liste de contrôle d'accès (LCA) n'a pas été configurée correctement.

Pour résoudre ce problème, soit :

  • Vous utilisez la fonctionnalité de configuration du serveur Blue Prism pour configurer les permissions afin que l'utilisateur configuré démarre le service, ou
  • Vous exécutez la commande fournie dans le message de l'observateur d'événements.

Il est important de s'assurer que la permission LCA est créée spécifiquement pour l'utilisateur qui démarrera le service et qu'elle est configurée soit avec une URL générique si aucune liaison de serveur n'est indiquée, ou une URL qui s'aligne directement avec une liaison de serveur spécifiée.

Erreur lors de la vérification des services

Si cette erreur se produit lors de la modification du profil du serveur Blue Prism, cela indique qu'une erreur s'est produite en validant si l'utilisateur actuellement connecté est un administrateur local.

Cela se produit généralement quand un compte d'utilisateur local est utilisé pour accéder à un appareil qui est membre d'un domaine Active Directory et qu'il est impossible de joindre un contrôleur de domaine. Il est nécessaire de s'assurer qu'un contrôleur de domaine soit joignable.

Le certificat de cryptage est introuvable

S'il est impossible d'accéder au certificat utilisé pour le cryptage ou de le restaurer, le message suivant s'affiche : Le certificat utilisé pour le cryptage de la configuration du serveur est introuvable. Veuillez ajouter le certificat avec la bonne empreinte de pouce dans le magasin de certificats.

Dans ce cas, l'utilisateur qui configure le serveur Blue Prism devra recréer les profils de configuration du serveur. Pour ce faire, supprimez le fichier Automate.config qui se trouve ici : ProgramData\Blue Prism Limited\Automate V3. Un nouveau fichier Automate.config sera créé automatiquement lors de l'exécution du fichier BPServer.exe. Un schéma de cryptage et un nouveau certificat pourront alors être appliqués au nouveau fichier de configuration du serveur.

Configuration du nom de principal du service (SPN) pour l'authentification Kerberos

Vérifier que la recherche DNS fonctionne

  1. Vérifiez le nom d'hôte du serveur Blue Prism configuré sur l'écran Configuration de la connexion dans le client interactif Blue Prism.

  2. Effectuer une recherche DNS à partir du client interactif Blue Prism : nslookup <nom d'hôte du serveur Blue Prism>

    Cela renverra le nom de domaine explicite à utiliser dans l'enregistrement du SPN.

Si cela ne fonctionne pas, veuillez contacter votre équipe informatique interne pour un dépannage plus approfondi.

Vérifier que le SPN a été correctement enregistré

  1. Ouvrez Invite de commande en tant qu'administrateur et exécutez la commande setspn -L ACCOUNT_NAME.

    Cela affichera la liste des SPN enregistrés pour le compte que vous avez spécifié lors de l'enregistrement du SPN.

  2. Confirmez que le SPN renvoyé est le même que celui enregistré, qui doit être au format suivant : <classe du service>/<hôte>:<port>/<nom du service>

    Où :

    • classe du service est HTTP. Cela ne doit PAS être modifié par HTTPS.
    • hôte est le nom de domaine explicite du serveur d'applications Blue Prism, par exemple appserver.bpdomain.local.
    • port est le port sur lequel le serveur d'applications Blue Prism s'exécute. Par défaut = 8199.
    • nom du service est le serveur Blue Prism.

Il est important que le SPN soit configuré exactement comme indiqué dans la configuration du SPN pour fonctionner correctement. Les SPN doivent être uniques dans la forêt Active Directory, mais dans certaines circonstances, des doublons peuvent exister. Pour vérifier les entrées en double, vous pouvez utiliser setspn -F -Q */BPserver. Cela répertoriera toutes les entrées de SPN dans la forêt qui contiennent « BPserver ». S'il y a plusieurs entrées, elles peuvent être supprimées en exécutant la commande setspn -D SPN_NAME ACCOUNT_NAME.

Vérifier les tickets de service Kerberos

Si le SPN est enregistré sur le bon compte, il doit être possible d'utiliser la klist d'une ligne de commande non élevée pour vérifier qu'un ticket de service Kerberos peut être obtenu.

Cela peut être fait en :

  • purgeant des tickets Kerberos à l'aide de la purge klist.
  • exécutant klist get SPN_NAME, par exemple, klist get HTTP/appserver.bpdomain.local:8199/BPServer sur la machine cliente pour obtenir la sortie ci-dessous.

Exemple de ticket de service Kerberos :

Copier 
Client: testuser @ BPDOMAIN.LOCAL
                    Server: HTTP/appserver.bpdomain.local:8199/BPServer @ BPDOMAIN.LOCAL
                    KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
                    Ticket Flags 0x40a10000 -> forwardable renewable pre_authent ok_as_delegate
                    name_canonicalize
                    Start Time: 1/11/2022 12:00:00 (local)
                    End Time:  1/12/2022 22:00:00 (local)
                    Renew Time: 1/18/2022 12:00:00 (local)
                    Session Key Type: RSADSI RC4-HMAC(NT)
                    Cache Flags: 0x200 -> DISABLE-TGT-DELEGATION
                Kdc Called: dc1.bpdomain.local

Le ticket de service Kerberos peut être identifié en consultant la section « Server: » dans l'exemple ci-dessus. Si AUCUN ticket de service Kerberos n'est renvoyé pour le SPN enregistré, veuillez vérifier que les étapes précédentes ont été suivies correctement.

Si vous avez suivi les étapes ci-dessus et que vous n'êtes toujours pas en mesure de renvoyer un ticket Kerberos pour le SPN enregistré, vous devez contacter votre équipe informatique interne pour enquêter davantage, car l'authentification Windows Kerberos ne fonctionne pas comme prévu.

Si vous parvenez à renvoyer un ticket de service Kerberos pour le SPN enregistré, mais que le problème n'est pas résolu, veuillez consulter la section ci-dessous.

Chiffrement RC4

Dans l'exemple ci-dessus, le ticket de service Kerberos a un type de chiffrement de base RC4 qui est considéré comme un chiffrement vulnérable et dont l'utilisation n'est pas recommandée.

Dans certains environnements, des tickets RC4 peuvent être générés, mais des règles empêchant le client d'accepter et d'utiliser un tel ticket Kerberos peuvent avoir été activées.

Si vous voyez que des tickets RC4 sont générés comme dans l'exemple ci-dessus, veuillez contacter vos équipes informatiques internes pour vous assurer que le mécanisme d'authentification Kerberos du compte de service peut utiliser RC4, ou que le chiffrement AES est activé. Le type d'authentification Kerberos peut être identifié en consultant la section Type de chiffrement KerbTicket dans l'exemple ci-dessus.

Connexion au serveur d'applications

Les erreurs de connexion d'un périphérique Blue Prism au serveur d'applications peuvent être causées par un grand nombre de facteurs. Il est fortement recommandé que les éléments suivants soient vérifiés :

  • Le service de serveur Blue Prism est démarré.
  • L'adresse utilisée pour le service de serveur peut être résolue (c.-à-d. via DNS) et cette connectivité réseau n’est pas empêchée. (par exemple, vérifiez que les pare-feux sont configurés de façon appropriée).
  • L’appareil qui se connecte est configuré avec les bons réglages :
    • Le mode de connexion au serveur et le port correspondent à ceux définis sur le serveur.
    • Si le serveur est configuré avec une liaison d'adresse, que l'appareil se connecte en utilisant cette adresse.
  • Si le serveur est configuré pour utiliser le chiffrement de transport, l’autorité de certification qui a délivré le certificat de serveur doit être approuvée par l’appareil de connexion.

Se connecter à la base de données

Passez en revue la section sur la résolution de problèmes Connectivité à la base de données pour des conseils de connectivité généraux.

Lors du dépannage, considérez que le compte utilisé pour s'authentifier avec SQL dépendra du mode d'authentification SQL qui a été configuré sur la connexion utilisée par le serveur :

  • Authentification SQL : les identifiants spécifiés pour la connexion seront utilisés.
  • Authentification Windows : le contexte du service de serveur sera utilisé. Si le service est démarré à partir de la console services Windows, ce sera le compte de connexion service ; si le service est démarré directement par BPServer.exe, ce sera l'utilisateur actuellement connecté.

La base de données n'existe pas

Le service ne peut pas être démarré. BluePrism.BPCoreLib.InvalidStateException : connexion non valide : le serveur est indisponible

La base de données 'BP_Prod_Native' n'existe pas

Cette erreur indique que la base de données ne peut pas être trouvée.

Vérifiez que le serveur de base de données et le nom de la base de données sont corrects. Si une base de données Blue Prism n'a pas encore été créée, un utilisateur ayant les permissions SQL appropriées peut le réaliser en utilisant l'action Créer une base de données dans le produit ou manuellement en utilisant un CreateScript.sql.

Permissions incorrectes

Le service ne peut pas être démarré. BluePrism.BPCoreLib.InvalidStateException : connexion non valide : le serveur est indisponible

Ne peut pas ouvrir la base de données "BP_Prod_Native" demandée par la connexion. La connexion a échoué.

Cette erreur indique que l'utilisateur utilisé pour s'authentifier sur la base de données n'a pas les permissions pour y accéder.

L'utilisateur devra obtenir au moins des permissions SQL sur la base de données cible qui correspondent à ou dépassent les permissions minimales.

Identifiants incorrects

Le service ne peut pas être démarré. BluePrism.BPCoreLib.InvalidStateException : connexion non valide : le serveur est indisponible

Impossible de déterminer si la base de données existe - La connexion a échoué pour l'utilisateur

Cette erreur indique que les identifiants de l'utilisateur utilisés pour accéder à la base de données sont incorrects (par exemple, un nom d'utilisateur ou un mot de passe non valide).

Vérifiez les identifiants utilisateur utilisés et que les permissions SQL de l'utilisateur sur la base de données cible correspondent à ou dépassent les permissions minimales.