Puede crear Websphere Queue Manager pero no se conecta

Question

Necesito escribir un conector .Net en las colas de WebSphere MQ, así que instalé una versión de prueba de IBM WebSphere MQ en mi máquina con Windows 7. Inicialmente configuré algunas colas ficticias en MQ Explorer para jugar con el proceso de configuración y pude conectarme a esos gestores de colas y crear colas. He eliminado las colas ficticias y seguí el primer conjunto de instrucciones from Lesson 1.1 from IBM here donde he creado algunas colas desde la línea de comandos

fallé to run Lesson 1.2 debido a problemas de seguridad, y ahora no puede conectarse a cualquier gestores de colas MQ Explorer. cuando intento conectar me sale el mensaje de error

An unexpected error (2063) has occurred. (AMQ4999) 

• Soy administrador local en mi máquina.
• Yo mismo he añadido al grupo mqm que se creó
• me he encontrado el Explorador de MQ con y sin el 'Ejecutar como administrador' opción
• He desinstalado MQ y re-instalado que
• he reanudado varias veces

también he notado que cuando se crea un gestor de colas MQ Explorer, la última parte falla con AMQ8135: no autorizado. (ver salida a continuación)

¿Hay algo obvio que me falta?

¿Hay alguna manera de que puedo trabajar con lo que el problema es a mí mismo - no parecen los archivos de registro para darme alguna idea de dónde buscar

---

**************************************** 
* Command: "C:\Program Files (x86)\IBM\WebSphere MQ\bin\crtmqm" -sa QM1 
**************************************** 
There are 90 days left in the trial period for this copy of WebSphere MQ. 
WebSphere MQ queue manager created. 
Directory 'C:\Program Files (x86)\IBM\WebSphere MQ\qmgrs\QM1' created. 
The queue manager is associated with installation 'Installation2'. 
Creating or replacing default objects for queue manager 'QM1'. 
Default objects statistics : 74 created. 0 replaced. 0 failed. 
Completing setup. 
Setup completed. 
exitvalue = 0 
**************************************** 
* Command: "C:\Program Files (x86)\IBM\WebSphere MQ\bin\strmqm" QM1 
**************************************** 
There are 90 days left in the trial period for this copy of WebSphere MQ. 
WebSphere MQ queue manager 'QM1' starting. 
The queue manager is associated with installation 'Installation2'. 
5 log records accessed on queue manager 'QM1' during the log replay phase. 
Log replay for queue manager 'QM1' complete. 
Transaction manager state recovered for queue manager 'QM1'. 
WebSphere MQ queue manager 'QM1' started using V7.1.0.0. 
exitvalue = 0 
**************************************** 
* Command: "C:\Program Files (x86)\IBM\WebSphere MQ\bin\runmqsc" QM1 
* Input: DEFINE LISTENER('LISTENER.TCP') TRPTYPE(TCP) PORT(1414) CONTROL(QMGR) 
**************************************** 
5724-H72 (C) Copyright IBM Corp. 1994, 2011. ALL RIGHTS RESERVED. 
Starting MQSC for queue manager QM1. 
AMQ8135: Not authorized. 
No MQSC commands read. 
No commands have a syntax error. 
All valid MQSC commands were processed. 
exitvalue = 20 

Answer 1

Si tiene una versión de prueba reciente de WMQ, entonces está trabajando con un QMgr v7.1. A partir de v7.1, WMQ solo permitirá conexiones remotas sin privilegios. Para conectarse con una cuenta de administrador, será necesario deshabilitar las restricciones o, mejor aún, definir un nuevo canal para la conexión administrativa y autenticarlo.

Con Windows, el mayor problema es que WMQ autentica los ID de dominio y debe buscar sus grupos. Un problema muy común al ejecutar WMQ en un entorno corporativo es que intenta buscar un ID o grupo y no tiene los derechos de dominio para hacerlo. Las cuentas de dominio, incluso aquellas con derechos de administrador local, a menudo fallan porque no tienen acceso para consultar en el dominio SAM para buscar grupos. Hay una sección completa en el Infocenter here que describe los requisitos para las cuentas de Windows.

Una solución para esto para entornos dev solo es crear una cuenta de administrador local, luego iniciar sesión con eso y crear el QMgr. O asegúrese de que la cuenta predeterminada MUSR_MQADMIN tenga derechos de administrador local y derechos de inicio de sesión. Una vez más, debe iniciar sesión con la cuenta para que esto funcione porque de esa manera nunca es necesario buscar una cuenta en Active Directory porque todo golpea en la base de datos SAM local. ¡De nuevo, esto es solo para el desarrollo!En producción, querrá usar una cuenta de dominio real y otorgarle los derechos de acceso correctos para realizar búsquedas SAM, pero NO convertirlo en un administrador local, como se describe en la sección del Centro de información que se encuentra arriba.

Suponiendo que usted ha tenido éxito en la creación de la QMGR, junto crear un nuevo canal y lo autoriza a aceptar sus conexiones locales utilizando la cuenta de administrador:

runmqsc 
* Define the channel, anyone connecting runs as MUSR_MQADMIN 
DEFINE CHL('DOTNET.SVRCONN') CHLTYPE(SVRCONN) MCAUSER('MUSR_MQADMIN@hostname') 

* Override default block-list - channel now allows ANYBODY 
SET CHLAUTH('DOTNET.SVRCONN') TYPE(BLOCKUSER) USERLIST('nobody') 

* Block access from ALL IP addresses 
SET CHLAUTH('DOTNET.SVRCONN') TYPE(ADDRESSMAP) ADDRESS('*') USERSRC(NOACCESS) WARN(NO) ACTION(ADD) 

* Allow access from local host only 
SET CHLAUTH('DOTNET.SVRCONN') TYPE(ADDRESSMAP) ADDRESS('127.0.0.1') USERSRC(CHANNEL) ACTION(ADD) 

END 

Ahora usted tienen un canal que aceptará locales SOLAMENTE conexiones, asigne estas a una cuenta administrativa y luego anule la seguridad que impide que las cuentas administrativas se conecten de forma remota. El uso de la cuenta de administrador significa que no se requieren autorizaciones QMgr ni cola y que la cuenta sea un administrador local significa que no hay problemas de búsqueda de dominio. El MCAUSER('MUSR_MQADMIN) convierte cada ID remota en la ID de administrador local para que WMQ no necesite buscar los ID remotos. La regla de asignación restringe las conexiones al host local solamente. Cualquiera que pueda conectarse al canal tendrá el administrador local en la caja con la capacidad de ejecutar de forma remota el código del sistema operativo, por lo que si quisiera aceptar conexiones de otros usuarios, sería recomendable autenticarlos con certificados.

Answer 2

Es posible que desee leer este publicado por T.Rob here. También otros mensajes relacionados con la seguridad de él, son muy útiles.

Answer 3

Tuve un problema similar. Mi oficina dektop está ejecutando Windows XP 32 bits y mi proyecto requiere que instale Websphere MQ 7 (WMQ) en local. Con derechos de administrador local en mi PC, pude instalar WMQ sin la configuración de opciones del controlador de dominio y agregar quemanager, pero no pude agregar ninguna cola local. Al revisar los registros de errores, descubrí que mi ID de usuario no tiene suficiente permiso.

Así que la solución es - verifique que su ID de inicio de sesión sea parte del grupo Administradores de su dominio. Vaya a control -> cuentas de usuario para verificar su identificación de usuario. Si tiene derechos de administrador local en su PC, puede agregar su ID de usuario como parte del grupo Administrador. Ahora elimine el administrador de colas creado anteriormente. Reinicie WMQ & create queuemanager nuevamente. Ahora debería ver todas las opciones para agregar colas locales, temas, etc. en el nuevo gestor de colas creado.

Answer 4

Se ha producido un error inesperado (2063). (AMQ4999)

puede ocurrir También el error anterior debido al problema de permisos, consulte con el permiso Grupos y añadir los usuarios