ibm-mq - 可以创建 Websphere Queue Manager 但不能连接

Question

我需要为 WebSphere MQ 队列编写一个 .Net 连接器，所以我在我的 Windows 7 机器上安装了 IBM WebSphere MQ 的试用版。我最初在 MQ Explorer 中设置了一些虚拟队列来进行设置过程，我能够连接到这些队列管理器并创建队列。我删除了那些虚拟队列并遵循了第一组说明 from Lesson 1.1 from IBM here我从命令行创建了一些队列

我失败了 to run Lesson 1.2由于安全问题，我现在无法连接到 MQ Explorer 中的任何队列管理器。当我尝试连接时收到错误消息

An unexpected error (2063) has occurred. (AMQ4999)

我是我机器上的本地管理员。

我已将自己添加到创建的 mqm 组

我已经在使用和不使用“以管理员身份运行”选项的情况下运行了 MQ Explorer

我已经卸载了 MQ 并重新安装了它

我重启了好几次

我还注意到，当我在 MQ Explorer 中创建队列管理器时，最后一部分失败并显示 AMQ8135:未授权。 (见下面的输出)

有什么明显的我遗漏了吗？

有什么方法可以让我自己找出问题所在 - 日志文件似乎不知道在哪里查看

****************************************
* Command: "C:\Program Files (x86)\IBM\WebSphere MQ\bin\crtmqm"  -sa  QM1
****************************************
There are 90 days left in the trial period for this copy of WebSphere MQ.
WebSphere MQ queue manager created.
Directory 'C:\Program Files (x86)\IBM\WebSphere MQ\qmgrs\QM1' created.
The queue manager is associated with installation 'Installation2'.
Creating or replacing default objects for queue manager 'QM1'.
Default objects statistics : 74 created. 0 replaced. 0 failed.
Completing setup.
Setup completed.
exitvalue = 0
****************************************
* Command: "C:\Program Files (x86)\IBM\WebSphere MQ\bin\strmqm" QM1
****************************************
There are 90 days left in the trial period for this copy of WebSphere MQ.
WebSphere MQ queue manager 'QM1' starting.
The queue manager is associated with installation 'Installation2'.
5 log records accessed on queue manager 'QM1' during the log replay phase.
Log replay for queue manager 'QM1' complete.
Transaction manager state recovered for queue manager 'QM1'.
WebSphere MQ queue manager 'QM1' started using V7.1.0.0.
exitvalue = 0
****************************************
* Command: "C:\Program Files (x86)\IBM\WebSphere MQ\bin\runmqsc" QM1
* Input: DEFINE LISTENER('LISTENER.TCP') TRPTYPE(TCP) PORT(1414) CONTROL(QMGR)
****************************************
5724-H72 (C) Copyright IBM Corp. 1994, 2011.  ALL RIGHTS RESERVED.
Starting MQSC for queue manager QM1.
AMQ8135: Not authorized.
No MQSC commands read.
No commands have a syntax error.
All valid MQSC commands were processed.
exitvalue = 20

Answer 1

如果您有 WMQ 的最新试用版，那么您正在使用 v7.1 QMgr。从 v7.1 开始，WMQ 将只允许非特权远程连接。为了与管理员帐户连接，有必要禁用限制，或者更好的是，为管理连接定义一个新 channel 并对其进行身份验证。

对于 Windows，最大的问题是 WMQ 验证域 ID 并且必须查找它们的组。在企业环境中运行 WMQ 时，一个非常常见的问题是它尝试查找 ID 或组，但没有域权限这样做。域帐户，即使是具有本地管理员权限的帐户，也经常失败，因为他们无权在域 SAM 中进行查询以进行组查找。信息中心有一个完整的部分 here描述 Windows 帐户的要求。

此问题的一种解决方法 仅适用于开发环境 是创建一个本地管理员帐户，然后使用该帐户登录并创建 QMgr。或者确保默认帐户MUSR_MQADMIN具有本地管理员权限和登录权限。同样，您必须实际使用该帐户登录才能执行此操作，因为这样就不需要在 Active Directory 中查找帐户，因为它都访问本地 SAM 数据库。再说一遍，这只是为了开发!在生产环境中，您希望使用真实的域帐户并授予其正确的访问权限以进行 SAM 查找，但不要使其成为本地管理员，如上面链接的信息中心部分所述。

假设您已经成功创建了 QMgr，接下来创建一个新 channel 并授权它接受您的 本地 使用管理员帐户的连接:

runmqsc
* Define the channel, anyone connecting runs as MUSR_MQADMIN
DEFINE CHL('DOTNET.SVRCONN')  CHLTYPE(SVRCONN) MCAUSER('MUSR_MQADMIN@hostname')

* Override default block-list - channel now allows ANYBODY
SET CHLAUTH('DOTNET.SVRCONN') TYPE(BLOCKUSER) USERLIST('nobody')

* Block access from ALL IP addresses
SET CHLAUTH('DOTNET.SVRCONN') TYPE(ADDRESSMAP) ADDRESS('*') USERSRC(NOACCESS) WARN(NO) ACTION(ADD)

* Allow access from local host only
SET CHLAUTH('DOTNET.SVRCONN') TYPE(ADDRESSMAP) ADDRESS('127.0.0.1') USERSRC(CHANNEL) ACTION(ADD) 

END

现在您有一个仅接受本地连接的 channel ，将它们映射到管理帐户，然后覆盖阻止管理帐户远程连接的安全性。使用管理员帐户意味着不需要队列或 QMgr 授权，并且作为本地管理员的帐户意味着没有域查找问题。 MCAUSER('MUSR_MQADMIN)将每个远程 ID 转换为本地管理员 ID，以便 WMQ 不需要查找远程 ID。映射规则仅限制与本地主机的连接。任何可以连接到 channel 的人都将拥有本地管理员，并且能够远程执行操作系统代码，因此如果您想接受来自其他用户的连接，建议使用证书对其进行身份验证。