- Überblick
- Anforderungen
- Installation
- Fragen und Antworten: Bereitstellungsvorlagen
- Konfigurieren der Maschinen
- Konfigurieren des externen Objektspeichers
- Konfigurieren des Lastausgleichs
- Konfigurieren des DNS
- Konfigurieren von Microsoft SQL-Servern
- Konfigurieren der Zertifikate
- HA-fähige Online-Produktionsinstallation mit mehreren Knoten
- HA-fähige Offline-Produktionsinstallation mit mehreren Knoten
- Herunterladen der Installationspakete
- install-uipath.sh-Parameter
- Aktivieren eines High Availability Add-ons für den Cluster
- Document Understanding-Konfigurationsdatei
- Hinzufügen eines dedizierten Agent-Knotens mit GPU-Unterstützung
- Verbinden einer Task Mining-Anwendung
- Hinzufügen eines dedizierten Agent-Knotens für Task Mining
- Hinzufügen eines dedizierten Agentenknotens für Automation Suite-Roboter
- Nach der Installation
- Clusterverwaltung
- Überwachung und Warnungen
- Migration und Upgrade
- Migrationsoptionen
- Schritt 1: Verschieben der Identitätsorganisationsdaten von einer eigenständigen in die Automation Suite
- Schritt 2: Wiederherstellen der eigenständigen Produktdatenbank
- Schritt 3: Sichern der Plattformdatenbank in der Automation Suite
- Schritt 4: Zusammenführen von Organisationen in der Automation Suite
- Schritt 5: Aktualisieren der migrierten Produktverbindungszeichenfolgen
- Schritt 6: Migrieren von eigenständigen Insights
- Schritt 7: Löschen des Standardmandanten
- B) Migration von einzelnen Mandanten
- Produktspezifische Konfiguration
- Best Practices und Wartung
- Fehlersuche und ‑behebung
- Fehlerbehebung bei Diensten während der Installation
- Deinstallieren des Clusters
- Löschen von Offline-Artefakten für mehr Speicherplatz
- So löschen Sie Redis-Daten
- So können Sie die Istio-Protokollierung aktivieren
- So werden Protokolle manuell bereinigt
- So löschen Sie alte Protokolle, die im sf-logs-Bucket gespeichert sind
- So deaktivieren Sie Streaming-Protokolle für das AI Center
- Fehlerbehebung bei fehlgeschlagenen Automation Suite-Installationen
- So löschen Sie Bilder aus dem alten Installationsprogramm nach dem Upgrade
- Automatisches Bereinigen von Longhorn-Snapshots
- Deaktivieren von TX-Prüfsummen-Offloading
- Umgang mit schwachen Verschlüsselungen in TLS 1.2
- Es kann keine Offlineinstallation auf RHEL 8.4 OS ausgeführt werden.
- Fehler beim Herunterladen des Pakets
- Die Offlineinstallation schlägt aufgrund fehlender binärer Dateien fehl
- Zertifikatproblem bei der Offlineinstallation
- Die erste Installation schlägt während des Longhorn-Setups fehl
- Validierungsfehler bei der SQL-Verbindungszeichenfolge
- Voraussetzungsprüfung für das Selinux-iscsid-Modul schlägt fehl
- Azure-Datenträger nicht als SSD markiert
- Fehler nach der Zertifikatsaktualisierung
- Virenschutz verursacht Probleme bei der Installation
- Automation Suite funktioniert nach Betriebssystem-Upgrade nicht
- Bei der Automation Suite muss „backlog_wait_time“ auf 0 gesetzt werden.
- Volume nicht bereitstellbar, da es nicht für Workloads bereit ist
- Automation Hub und Apps können mit Proxy-Setup nicht gestartet werden
- Fehler beim Hoch- oder Herunterladen von Daten im Objektspeicher
- Die Größenänderung eines PVC bewirkt keine Korrektur von Ceph
- Fehler beim Ändern der PVC-Größe
- Fehler beim Ändern der Größe von objectstore PVC
- Rook Ceph oder Looker-Pod hängen im Init-Status fest
- Fehler beim Anhängen eines StatefulSet-Volumes
- Fehler beim Erstellen persistenter Volumes
- Patch zur Rückgewinnung von Speicherplatz
- Sicherung aufgrund des Fehlers „TooManySnapshots“ fehlgeschlagen
- Alle Longhorn-Replikate sind fehlerhaft
- Festlegen eines Timeout-Intervalls für die Verwaltungsportale
- Aktualisieren Sie die zugrunde liegenden Verzeichnisverbindungen
- Die Authentifizierung funktioniert nach der Migration nicht
- kinit: KDC kann für Realm <AD Domain> beim Abrufen der ersten Anmeldeinformationen nicht gefunden werden
- Kinit: Keytab enthält keine geeigneten Schlüssel für *** beim Abrufen der ersten Anmeldeinformationen
- GSSAPI-Vorgang aufgrund eines ungültigen Statuscodes fehlgeschlagen
- Alarm für fehlgeschlagenen Kerberos-tgt-update-Auftrag erhalten
- SSPI-Anbieter: Server in Kerberos-Datenbank nicht gefunden
- Anmeldung eines AD-Benutzers aufgrund eines deaktivierten Kontos fehlgeschlagen
- ArgoCD-Anmeldung fehlgeschlagen
- Fehler beim Abrufen des Sandbox-Abbilds
- Pods werden nicht in der ArgoCD-Benutzeroberfläche angezeigt
- Redis-Testfehler
- RKE2-Server kann nicht gestartet werden
- Secret nicht im UiPath-Namespace gefunden
- ArgoCD wechselt nach der ersten Installation in den Status „In Bearbeitung“.
- Unerwartete Inkonsistenz; fsck manuell ausführen
- MongoDB-Pods in „CrashLoopBackOff“ oder ausstehende PVC-Bereitstellung nach Löschung
- MongoDB-Pod kann nicht von 4.4.4-ent auf 5.0.7-ent aktualisiert werden
- Fehlerhafte Dienste nach Clusterwiederherstellung oder Rollback
- Pods stecken in Init:0/X
- Prometheus im Zustand „CrashloopBackoff“ mit OOM-Fehler (Out-of-Memory)
- Fehlende Ceph-rook-Metriken in Überwachungs-Dashboards
- Pods können nicht mit FQDN in einer Proxy-Umgebung kommunizieren
- Document Understanding erscheint nicht auf der linken Leiste der Automation Suite
- Fehlerstatus beim Erstellen einer Datenbeschriftungssitzung
- Fehlerstatus beim Versuch, eine ML-Fähigkeit bereitzustellen
- Migrationsauftrag schlägt in ArgoCD fehl
- Die Handschrifterkennung mit dem Intelligent Form Extractor funktioniert nicht oder arbeitet zu langsam
- Verwenden des Automation Suite-Diagnosetools
- Verwenden des Automation Suite-Supportpakets
- Erkunden von Protokollen
Automation Suite-Installationsanleitung
Einrichten einer Kerberos-Authentifizierung
Um die Kerberos-Authentifizierung erfolgreich einzurichten, müssen die folgenden Voraussetzungen erfüllt sein:
Bevor Sie die Kerberos-Authentifizierung konfigurieren können, müssen Sie gemeinsam mit Ihren IT-Administratoren sicherstellen, dass der Automation Suite-Cluster auf Ihr AD zugreifen kann.
Die folgenden Anforderungen müssen erfüllt sein:
- Der Automation Suite-Cluster muss sich im selben Netzwerk wie die AD-Domäne befinden;
-
DNS muss im Netzwerk korrekt eingerichtet sein, damit der Automation Suite-Cluster die AD-Domänennamen auflösen kann.
Hinweis: Es ist wichtig, dass der Automation Suite-Cluster die ADdomain names
auflösen kann. Sie können dies überprüfen, indem Sienslookup <AD domain name>
auf der Hostmaschine ausführen.
Generieren von Parametern für standardmäßige Kerberos-Keytabs und Benutzernamen
Option 1: Durch Ausführen des Skripts (empfohlen)
- Melden Sie sich mit Ihrem AD-Administratorkonto auf einer mit einer Windows-Domäne verbundenen Maschine an.
- Führen Sie das Skript keytab-creator.ps1 als Administrator aus.
- Geben Sie die folgenden Werte in das Skript ein:
Service Fabric FQDN
. Zum Beispiel:uipath-34i5ui35f.westeurope.cloudapp.azure.com
.AD domain FQDN
. Zum Beispiel:TESTDOMAIN.LOCAL
.- Ein AD-Benutzerkonto. Sie können ein vorhandenes Konto verwenden, z. B.
sAMAccountName
, oder dem Skript erlauben, ein neues zu erstellen.
<KERB_DEFAULT_USERNAME>
und <KERB_DEFAULT_KEYTAB>
, die für die Kerberos-Einrichtung erforderlich sind.
Option 2: Manuell
<KERB_DEFAULT_USERNAME>
und <KERB_DEFAULT_KEYTAB>
für dieses Konto wie folgt ab:
Um den UiPath®-Cluster so zu konfigurieren, dass eine Verbindung zu SQL über die integrierte Windows-Authentifizierung/Kerberos hergestellt wird, müssen Sie einige zusätzliche Schritte durchführen:
- Der SQL-Server muss der AD-Domäne beitreten;
- Der Automation Suite-Cluster muss sich im selben Netzwerk wie der SQL-Server befinden;
- Der Automation Suite-Cluster kann die Domänennamen der AD- und SQL-Server auflösen;
- Der AD-Benutzer muss Zugriff auf den SQL-Server und DB-Berechtigungen haben.
Um eine neue Anmeldung im SQL Server Management Studio zu erstellen, führen Sie die folgenden Schritte aus:
a. Navigieren Sie im Bereich Objekt-Explorer zu Sicherheit > Anmeldungen.
b. Klicken Sie mit der rechten Maustaste auf den Ordner Anmeldungen und wählen Sie Neue Anmeldung aus. Das Fenster Anmeldung - Neu wird angezeigt.
c. Wählen Sie die Option Windows-Authentifizierung. Das Fenster wird entsprechend aktualisiert.
d. Geben Sie im Feld Anmeldename die Benutzerdomäne ein, die Sie als Dienstkonto verwenden möchten.
e. Wählen Sie in der Liste Standardsprache die Option Deutsch aus.
f. Klicken Sie auf OK. Ihre Konfigurationen werden gespeichert.
Wenn das Dienstkonto bereits erstellt und dem Abschnitt Sicherheit >-Anmeldungen des SQL Servers hinzugefügt wurde, überprüfen Sie, ob die Standardsprache dieses SQL-Kontos auf Englisch festgelegt ist. Ist dies nicht der Fall, nehmen Sie bitte die erforderlichen Anpassungen vor.
db_owner
ausstatten, wie in der folgenden Abbildung zu sehen ist.
db_owner
mit der UiPath®-Anmeldung nicht erlauben, gewähren Sie die folgenden Berechtigungen:
-
db_datareader
-
db_datawriter
-
db_ddladmin
-
EXECUTE
-Berechtigung fürdbo
-Schema
EXECUTE
muss wie folgt mithilfe des SQL-Befehls GRANT EXECUTE
gewährt werden:
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
USE UiPath
GO
GRANT EXECUTE ON SCHEMA::dbo TO [domain\)\)user]
GO
Integrated Security=True
verwenden, müssen Sie für jede UiPath®-Anwendung wie folgt eine eindeutige Keytab erstellen. Diese wird für diese Anwendung als <KERB_APP_KEYTAB>
bezeichnet.
Generieren von Parametern für Kerberos Anwendungs-Keytabs und Benutzernamen
Option 1: Durch Ausführen des Skripts (empfohlen)
- Führen Sie das Skript service-keytab-creator.ps1 aus .
- Geben Sie die folgenden Werte in das Skript ein:
AD domain FQDN
. Zum Beispiel:TESTDOMAIN.LOCAL
.- Der Benutzername und das Kennwort eines AD-Benutzerkontos. Zum Beispiel das AD-Benutzerkonto
sAMAccountName
und dessen Kennwort.
<KERB_APP_USERNAME>
und <KERB_APP_KEYTAB>
, die von Kerberos benötigt werden.
Option 2: Manuell
Führen Sie das folgende Skript manuell aus:
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
# Generate keytab file and output it in the desired path
ktpass /princ <AD username>@<AD domain in cap> /pass <AD user password> /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /out <path to keytab file> -setpass
# Converts AD user's keytab file to base 64
[Convert]::ToBase64String([System.IO.File]::ReadAllBytes("<path to the generated keytab file>"))
<AD username>
wird der <KERB_APP_USERNAME>
sein, der dem <KERB_APP_KEYTAB>
entspricht.
In diesem Abschnitt wird erläutert, wie Sie die Automation Suite als Kerberos-Client für den LDAP- oder SQL-Zugriff konfigurieren können.
<KERB_DEFAULT_KEYTAB>
als Kerberos-Client auf eine der folgenden Arten:
- Konfigurieren der Kerberos-Authentifizierung über das interaktive Installationsprogramm
- Konfigurieren der Kerberos-Authentifizierung über cluster_config.json
-
Hinweis: Wenn Sie verschiedene Dienste so einrichten möchten, dass sie unter ihrem eigenen AD-Konto laufen und als dieses AD-Konto auf SQL zugreifen, können Sie
ad_username
mit<KERB_APP_USERNAME>
unduser_keytab
als<KERB_APP_KEYTAB>
im Konfigurationsabschnitt des Dienstes angeben.
- In der Datei
cluster_config.json
setzen Sie den Parameterkerberos_auth_config.enabled
auftrue
. - Wenn Sie Kerberos für den SQL-Zugriff verwenden möchten, konfigurieren Sie
sql_connection_string_template
,sql_connection_string_template_jdbc
undsql_connection_string_template_odbc
mit dem Flag für integrierte Sicherheit. - Wenn Sie einen anderen AD-Benutzer pro Dienst einrichten möchten, führen Sie die folgenden Schritte aus:
- Führen Sie nach der Aktualisierung von
cluster_config.json
das Installationsskript aus, um die Konfiguration zu aktualisieren. Weitere Informationen finden Sie unter Verwalten von Produkten.
Beispiel für die Aktualisierung des Orchestrators und der Plattform zur Verwendung der Kerberos-Authentifizierung
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
"kerberos_auth_config": {
"enabled" : true,
"ticket_lifetime_in_hour" : 8,
"ad_domain": "PLACEHOLDER - INSERT ACTIVE DIRECTORY DOMAIN ",
"default_ad_username": "PLACEHOLDER - INSERT KERB_DEFAULT_USERNAME",
"default_user_keytab": "PLACEHOLDER - INSERT KERB_DEFAULT_KEYTAB"
},
"sql_connection_string_template": "PLACEHOLDER",
"sql_connection_string_template_jdbc": "PLACEHOLDER",
"sql_connection_string_template_odbc": "PLACEHOLDER",
"orchestrator": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Orchestrator;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for Orchestrator",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for Orchestrator"
}
"testautomation": {
"enabled": true
},
"updateserver": {
"enabled": true
}
},
"platform": {
"sql_connection_str": "Server=tcp:sfdev1804627-c83f074b-sql.database.windows.net,1433;Initial Catalog=AutomationSuite_Platform;Persist Security Info=False;Integrated Security=true;MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;Max Pool Size=100;",
"kerberos_auth_config": {
"ad_username": "PLACEHOLDER - INSERT KERB_APP_USERNAME for platform",
"user_keytab": "PLACEHOLDER - INSERT KERB_APP_KEYTAB for platform"
}
}
Dienstgruppen und Dienste
cluster_config.json
-Datei oder in der ArgoCD-Benutzeroberfläche.
Dienstgruppenname für
cluster_config.json |
Dienstgruppenname für ArgoCD |
Enthaltene Dienste |
---|---|---|
|
|
Orchestrator, Webhooks |
|
|
Identität, License Accountant (LA), Audit, Standort, License Resource Manager (LRM), Organisationsverwaltungsdienst (OMS) |
|
|
Automation Hub, Task Mining |
|
|
Test Manager |
|
|
Automation Ops |
|
|
AI Center |
|
|
Document Understanding |
|
|
Insights |
|
|
Data Service |
|
|
Automation Suite-Roboter |
|
|
Process Mining |
Informationen zum Aktualisieren der Kerberos-Authentifizierung über das CLI-Tool finden Sie unter Aktualisieren der Kerberos-Authentifizierung.
Damit die Kerberos-Authentifizierung bei der Anmeldung in der Automation Suite verwendet werden kann, müssen Sie die Automation Suite-Hosteinstellungen weiter konfigurieren.
Führen Sie die folgenden Schritte aus, um die Kerberos-Authentifizierung vollständig zu entfernen:
- Wenn Sie Kerberos zum Konfigurieren der AD-Integration verwendet haben, konfigurieren Sie AD mit der Option Benutzername und Kennwort neu, indem Sie die Anweisungen unter Konfigurieren der Active Directory-Integration befolgen.
- Wenn Sie die integrierte SQL-Authentifizierung verwendet haben, konfigurieren Sie die SQL-Verbindungszeichenfolgen so, dass Benutzer-ID und Kennwortverwendet werden.
- Deaktivieren Sie die Kerberos-Authentifizierung wie folgt:
- Gehen Sie zur ArgoCD-Benutzeroberfläche, suchen Sie die Anwendung UiPath, klicken Sie in der oberen linken Ecke auf die Schaltfläche APP DETAILS und gehen Sie dann zur Registerkarte PARAMETERS.
- Klicken Sie auf BEARBEITENund legen Sie
global.kerberosAuthConfig.enabled
auffalse
fest.
Führen Sie die folgenden Schritte aus, um die integrierte SQL-Authentifizierung zu entfernen:
- Konfigurieren Sie die SQL-Verbindungszeichenfolgen so, dass Benutzer-ID und Kennwortverwendet werden.
- Wenn Sie die integrierte SQL-Authentifizierung für alle Dienste deaktivieren möchten, legen Sie
global.kerberosAuthConfig.enabled
in ArgoCD auffalse
fest, nachdem Sie alle Verbindungszeichenfolgen geändert haben
Wenn beim Konfigurieren von Kerberos Probleme auftreten, finden Sie weitere Informationen unter Fehlerbehebung bei der Authentifizierung.
- Voraussetzungen
- Sicherstellen, dass der Automation Suite-Cluster auf Ihr AD zugreifen kann
- Konfigurieren des AD-Dienstkontos für die Kerberos-Authentifizierung
- Optional: Voraussetzungen der SQL-Authentifizierung
- Konfigurieren der Automation Suite als Kerberos-Client
- Konfigurieren der Kerberos-Authentifizierung über das interaktive Installationsprogramm
- Konfigurieren der Kerberos-Authentifizierung über cluster_config.json
- Aktualisieren der Kerberos-Authentifizierung über das CLI-Tool
- Konfigurieren der Active Directory-Integration
- Deaktivieren der Kerberos-Authentifizierung
- Kerberos-Authentifizierung vollständig entfernen
- Entfernen der integrierten SQL-Authentifizierung
- Kerberos-Fehlerbehebung