Solución de problemas de detección de agentes UNIX/Linux en Operations Manager

Este artículo le ayuda a solucionar errores comunes que se pueden encontrar durante el proceso de detección de equipos UNIX o Linux.

Versión original del producto: System Center Operations Manager
Número de KB original: 4490426

Para supervisar equipos UNIX o Linux en System Center Operations Manager (OpsMgr), primero se deben detectar los equipos y se debe instalar el agente de OpsMgr. El Asistente para equipos y Administración de dispositivos se usa para detectar e instalar agentes en equipos UNIX y Linux. Sin embargo, el proceso de detección puede producir un error debido a problemas de configuración, problemas de credenciales o privilegios, o problemas de red y resolución de nombres.

Errores de certificado o errores de firma de certificados

La operación de comprobación de certificados firmada no se realizó correctamente

Cuando se produce un error en la comprobación del certificado, normalmente se recibe un error similar al siguiente:

Error de comprobación del agente. Detalle del error: el certificado de servidor en el equipo de destino (lx1.contoso.com:1270) tiene los siguientes errores:
No se pudo comprobar la revocación del certificado SSL. Es posible que el servidor usado para comprobar la revocación no sea accesible.
El certificado SSL contiene un nombre común (CN) que no coincide con el nombre de host.
Es posible que:

1. El certificado de destino está firmado por otra entidad de certificación que no es de confianza para el servidor de administración.
2. El destino tiene un certificado no válido, por ejemplo, su nombre común (CN) no coincide con el nombre de dominio completo (FQDN) usado para la conexión. El FQDN que se usa para la conexión es: lx1.contoso.com.
3. Los servidores del grupo de recursos no se han configurado para confiar en los certificados firmados por otros servidores del grupo.

• Una causa común es que el valor de nombre común (CN) del certificado de agente no coincide con el nombre de dominio completo (FQDN) proporcionado o resuelto.

  Para comprobarlo, confirme que el nombre de host y el nombre de dominio del host del agente coinciden con el FQDN resuelto a través de DNS.

  Para ver los detalles básicos del certificado en el equipo UNIX o Linux, ejecute el siguiente comando:

  openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
  

  Al hacerlo, verá una salida similar a la siguiente:

  subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  notBefore=Mar 25 05:21:18 2008 GMT
  notAfter=Mar 20 05:21:18 2029 GMT

  Use esta información para validar los nombres de host y las fechas, asegúrese de que coinciden con el nombre que resuelve el servidor de administración de Operations Manager.

  Si los nombres de host no coinciden, use una de las siguientes acciones para resolver el problema:

  • Si el nombre de host de UNIX o Linux es correcto, pero el servidor de administración de Operations Manager lo resuelve incorrectamente, modifique la entrada DNS para que coincida con el FQDN correcto o agregue una entrada al archivo hosts en el servidor de Operations Manager.
  • Si el nombre de host de UNIX o Linux es incorrecto, realice una de las siguientes acciones:
    • Cambie el nombre de host en el host UNIX o Linux por el correcto y cree un certificado nuevo.
    • Cree un certificado con el nombre de host deseado.

  Para cambiar el nombre en el certificado:

  Si el certificado se ha creado con un nombre incorrecto, puedes cambiar el nombre de host y volver a crear el certificado y la clave privada. Para ello, ejecuta el siguiente comando en el equipo UNIX o Linux:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -v
  

  La -f opción obliga a sobrescribir los archivos en /etc/opt/microsoft/scx/ssl.

  También puede cambiar el nombre de host y el nombre de dominio en el certificado mediante los -h modificadores y -d , como en el ejemplo siguiente:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>
  

  Ejecuta el comando siguiente para reiniciar el agente:

  /opt/microsoft/scx/bin/tools/scxadmin -restart
  

  Para agregar una entrada al archivo de hosts:

  Si el FQDN no está en DNS inverso, puede agregar una entrada al archivo de hosts ubicado en el servidor de administración para proporcionar resolución de nombres. El archivo hosts se encuentra en la \Windows\System32\Drivers\etc carpeta . Una entrada en el archivo de hosts es una combinación de la dirección IP y el FQDN.

  Por ejemplo, para agregar una entrada para el host denominado newhostname.newdomain.name con una dirección IP de 192.168.1.1, agrega lo siguiente al final del archivo de hosts:

  192.168.1.1 newhostname.newdomain.name

• Otra causa común de este error es que la entidad que no es de confianza ha firmado el certificado, como cuando varios servidores de administración son miembros del grupo de recursos que se usa para la detección, pero no se ha configurado la confianza de certificados entre los servidores de administración.

  Para comprobarlo, confirme que todos los servidores de administración del grupo de recursos usados para la detección confían en el certificado del otro servidor.

  Para obtener más información sobre cómo administrar grupos de recursos para equipos UNIX y Linux, consulte Administración de grupos de recursos para equipos UNIX y Linux.

El nombre de usuario o la contraseña son incorrectos

Es posible que vea el error al intentar detectar agentes de UNIX/Linux. El error puede producirse durante el paso de comprobación del certificado al detectar una máquina UNIX/Linux.

Causas posibles:

• La autenticación básica se establece false en en uno o varios servidores de administración del grupo de recursos UNIX/Linux cuando el agente UNIX/Linux no está unido a un dominio y no puede usar la autenticación Kerberos. Para comprobar la configuración actual de WinRM , ejecute el siguiente comando: winrm get winrm/config/client.
• El nombre de usuario o la contraseña son incorrectos.

Resolución

Puede actualizar la configuración de WinRM en los servidores de administración del grupo de recursos de UNIX/Linux para permitir la autenticación básica mediante la ejecución del siguiente comando, o bien puede establecer la configuración a través de la directiva de grupo:

winrm set winrm/config/client/auth @{Basic="true"}

Nota:

El comando anterior establece un valor del Registro DWORD (32 bits) (AllowBasic) en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WinRM\Client

AllowBasic permite 1 valores decimales (Habilitado) o 0 (Deshabilitado).

La operación de firmado de certificados no se realizó correctamente

Causas posibles:

• La cuenta de usuario especificada para la detección no tiene privilegios suficientes para realizar operaciones de archivo implicadas en la firma.
• Los privilegios de elevación de Sudo para la cuenta de usuario especificada para la detección no se han configurado correctamente.

Resolución

Para corregir el problema, compruebe la cuenta de usuario inspeccionando la salida de StdErr en los detalles del error para identificar la causa del error. Compruebe también la configuración de privilegios de sudo para la cuenta usada para la firma de certificados.

Errores de resolución de nombres de red

La dirección de destino no se puede resolver.

Estos problemas normalmente se dividen en una de las siguientes categorías:

• Descripción del error

  No se pudo resolver la dirección IP de dirección <> IP al nombre

  Causa

  Este error se produce cuando se especificó una dirección IP para el host para la detección, pero la dirección IP no se puede resolver en un nombre en DNS (búsqueda inversa).

  Resolución

  Para corregir este problema, corrija la configuración de resolución de nombres (DNS) para la zona de búsqueda inversa, asegúrese de que existe una dirección IP a la asignación de nombres para el host afectado.

• Descripción del error

  No se pudo resolver el nombre server.contoso.com a la dirección IP

  Causa

  Este error se produce si se especificó un FQDN para el host para la detección, pero el nombre no se puede resolver en la dirección IP en DNS (búsqueda directa).

  Resolución

  Para corregir este problema, corrija la configuración de resolución de nombres (DNS) para la búsqueda directa, asegúrese de que existe un nombre de host en la asignación de direcciones IP para el host.

Configuración de DNS: la resolución DNS de reenvío no coincide con la resolución inversa de DNS

Descripción del error

En esta situación, normalmente recibirá un error similar al siguiente:

El nombre de host proporcionado ServerName se resolvió en la dirección IP de 10.137.216.x. El nombre de host ServerName.contoso.com devuelto por la búsqueda inversa de la dirección IP 192.168.x.x.x no coincide con el nombre de host proporcionado. Compruebe la configuración de DNS y vuelva a intentar la solicitud.

Causa

La causa más común es que los registros del host en las zonas de búsqueda de DNS hacia delante e inverso no coinciden.

Resolución

Para corregir este problema, corrija los registros de las zonas de búsqueda directa e inversa en DNS para que los nombres de host y la dirección IP coincidan.

La dirección de destino no es accesible

Descripción del error

En esta situación, normalmente recibirá un error similar al siguiente:

El cliente de WinRM no puede completar la operación en el tiempo especificado. Compruebe si el nombre de la máquina es válido y es accesible a través de la red y si la excepción de firewall para el servicio Administración remota de Windows está habilitado.

Causas posibles:

• El host no es accesible debido a una resolución de nombres incorrecta, una interrupción de red o una interrupción del host.
• Un firewall basado en red o host bloquea la conectividad del puerto TCP 1270 al host de destino.

Resolución

Para corregir este problema, compruebe que el servidor de administración puede hacer ping al host del agente mediante su FQDN. Compruebe también que no hay firewalls de red ni firewall de host que bloquee el puerto TCP 1270.

Tipo discoveryResult.ErrorData inesperado. Informe de errores de archivo: nombre del parámetro: s

Descripción del error

Tipo DiscoveryResult.ErrorData inesperado. Envíe un informe de errores.
ErrorData: System.ArgumentNullException
Value cannot be null.
Nombre del parámetro: s
at System.Activities.WorkflowApplication.Invoke(Activity Activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
at System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
en Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Causa

Este error se produce porque la configuración del proxy WinHTTP se ha configurado en los servidores de administración del grupo de recursos unix o Linux y el FQDN del agente UNIX o Linux que intenta detectar no se incluye en la lista de omisión de proxy WinHTTP.

Resolución

Para corregir este problema, agregue el FQDN de UNIX o Linux a la lista de omisión de proxy WinHTTP.

En los servidores de administración del grupo de recursos de UNIX o Linux, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados para comprobar la configuración actual del proxy:

netsh winhttp show proxy

Si se configura un servidor proxy WinHTTP, agregue el FQDN del servidor que está intentando detectar en la lista de omisión ejecutando el siguiente comando:

netsh winhttp set proxy proxy-server="<proxyserver:port>" bypass-list="*.ourdomain.com;*.yourdomain.com*;<serverFQDN>"

Una vez configurada la lista de omisión, compruebe si la detección del agente se ha realizado correctamente.

Nota:

Puede ejecutar el netsh winhttp reset proxy comando para deshabilitar el proxy WinHTTP. Este comando quitará el servidor proxy y configurará el acceso directo.

Tipo discoveryResult.ErrorData inesperado. Informe de errores de archivo: nombre del parámetro: lhs

Descripción del error

Detección no correcta
Mensaje: Error no especificado
Detalles: Tipo discoveryResult.ErrorData inesperado. Envíe un informe de errores.
ErrorData: System.ArgumentNullException
Value cannot be null.
Nombre de parámetro: lhs
at System.Activities.WorkflowApplication.Invoke(Activity Activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
at System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
en Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Causa

Este error se produce debido a archivos de shell omsagent en la carpeta kits instalados.

Resolución

Vaya al siguiente directorio en Explorador de archivos:

C:\Archivos de programa\Microsoft System Center\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits

Si se muestran archivos omsagent, muévalos a un directorio temporal fuera de los archivos de System Center Operations Manager (SCOM).

Consulte la captura de pantalla siguiente para obtener un ejemplo:

Después de moverlos desde la carpeta DownloadedKits , vuelva a intentar la detección. La detección debería realizarse correctamente ahora.

Nota:

La detección puede producir un error diferente. El error indica que se necesita más solución de problemas, como sudoers, conectividad, etc.

Errores de conectividad SSH

Error durante la detección de SSH. Código de salida 1073479162

Descripción del error

Salida estándar:
Error estándar:
Mensaje de excepción: una excepción (-1073479162) provocó un error en el comando SSH: no se pudo realizar ninguna conexión porque la máquina de destino la rechazó activamente.

Causas posibles:

• El demonio SSH no se ejecuta en el sistema de destino.
• Un firewall basado en red o host impide las conexiones SSH en el puerto TCP 22.

Resoluciones

• Compruebe que el demonio ssh se está ejecutando.
• Compruebe que ningún firewall de red o firewall de host esté bloqueando el puerto TCP 22.

Error durante la detección de SSH. Código de salida: 1073479118

Descripción del error

Error durante la detección de SSH. Código de salida: 1073479118
Salida estándar:
Error estándar:
Mensaje de excepción: una excepción (-1073479118) provocó un error en el comando SSH: mensaje de desconexión enviado por el servidor: tipo 2 (error de protocolo: demasiados errores de autenticación para la raíz)

Causas posibles:

• No se permite que la cuenta de usuario especificada para la detección inicie sesión a través de SSH.
• La cuenta de usuario especificada para la detección se ingresó con un nombre de usuario o contraseña no válidos

Resoluciones

• Compruebe que el usuario puede iniciar sesión a través de SSH.
• Compruebe las credenciales de entrada y que el usuario esté definido en el host de destino.

Error durante la detección de SSH. Código de salida: 1

Descripción del error

Error durante la detección de SSH. Código de salida: 1
Salida estándar: Ruta de acceso de Sudo: /usr/bin/
Error estándar: sudo: lo sentimos, debe tener un tty para ejecutar sudo
Mensaje de excepción:

Causa

La elevación de Sudo se seleccionó en la entrada de credenciales de usuario, pero la requiretty opción no estaba deshabilitada para el usuario en sudoers.

Resolución

Edite el archivo sudoers en el host de destino mediante el visudo comando y agregue la línea siguiente:

Valores predeterminados: <username>!requiretty

Para obtener más información, consulte Configuración de la elevación de sudo y las claves SSH.

Contraseña de SU no válida

Descripción del error

. [?1034hopsuser@lx1:~> su - root -c 'sh /tmp/scx-opsuser/GetOSVersion.sh; EC=$?; rm -rf /tmp/scx-opsuser; exit $EC'
Contraseña:
exit
su: contraseña incorrecta
opsuser@lx1:~> salir
logout

Causa posible

La elevación su se seleccionó en la entrada de credenciales de usuario, pero se proporcionó una contraseña raíz no válida para la elevación su.

Resolución

Compruebe la entrada de contraseña para la raíz en el cuadro de diálogo Configuración de elevación.

Error durante la detección de SSH. Código de salida: 2147221248

• Descripción del error

  Error durante la detección de SSH. Código de salida: 2147221248
  Salida estándar:
  Error estándar: No se pudo chdir al directorio principal /home/username: no se pudo realizar este tipo de archivo o directorio

  Causa

  La cuenta de usuario especificada para la detección no tiene un directorio principal.

  Resolución

  Compruebe que el usuario tiene un directorio principal en: /home/ y que el usuario puede escribir en este directorio.

• Descripción del error

  Error durante la detección de SSH. Código de salida: 2147221248
  Salida estándar:
  Error estándar: contraseña de raíz:
  Mensaje de excepción: Se agota el tiempo de espera de la operación

  Causa

  La elevación de Sudo se seleccionó en la entrada de credenciales de usuario. Sin embargo, la cuenta de usuario especificada para la detección no está configurada correctamente para usar la elevación de sudo sin contraseña o no se concedieron los privilegios de elevación de sudo necesarios para la cuenta de usuario usada en la detección.

  Resolución

  Revise la documentación de configuración de elevación de sudo y compruebe la configuración del usuario para sudo. Tenga en cuenta que el sudo sin contraseña debe configurarse.

Errores de conectividad de WSMan

El agente respondió a la solicitud, pero se produjo un error en la conexión WSMan debido a: Acceso denegado

Causas posibles:

• El agente está instalado y el certificado del agente se ha firmado. Sin embargo, la credencial de usuario proporcionada para la comprobación del agente no es válida.
• La cuenta de usuario especificada para la detección se configuró para autenticarse con una clave SSH, pero la credencial de usuario proporcionada para la comprobación del agente no es válida.
• Hay un problema de permiso o una configuración incorrecta de PAM en el lado UNIX.

Resolución

Para resolver el problema, siga estos pasos:

1. Compruebe que el nombre de usuario y la contraseña de la comprobación del agente se han introducido correctamente y que el usuario es un usuario válido en el host de destino.

2. Si el problema persiste, compruebe que la elevación de sudo se ha configurado correctamente.

3. Compruebe también el registro de mensajes en el equipo UNIX/Linux. Por ejemplo, en AIX, puede encontrar el registro en /var/adm/messages. En otros sistemas operativos, la ubicación puede variar.

   Busque líneas como las siguientes:

   3 de septiembre de 14:49:07 server auth|security:debug /opt/microsoft/scx/bin/omiserver PAM: pam_authenticate: error de autenticación.

   Si ve líneas similares en el registro de mensajes, significa que falta información sobre el archivo de configuración de PAM sobre OMIServer. El archivo de configuración de PAM se puede encontrar en el /etc/pam.d/ directorio o en el /etc/pam.conf archivo .

   La manera más fácil de agregar la información sobre OMIServer al archivo de configuración de PAM es volver a instalar el agente SCX desde cero en ese equipo. Si esto no es posible fácilmente, puede copiar las líneas relativas a OMI desde un equipo de trabajo al equipo que no funciona.

Error de detección solo de WSMan para 192.168.x.x

Causas posibles:

• La opción Tipo de detección se estableció en Solo equipos con un agente instalado y certificado firmado y el host de destino tiene instalado el agente. Sin embargo, el certificado de host de destino no se ha firmado. Para usar la opción de detección solo WSMan, el agente debe estar instalado y el certificado debe estar firmado manualmente.
• La opción Tipo de detección se estableció en Solo equipos con un agente instalado y certificado firmado, pero el host de destino no tiene instalado actualmente el agente UNIX/Linux.
• La opción Tipo de detección se estableció en Solo equipos con un agente instalado y un certificado firmado, pero el agente UNIX/Linux no se está ejecutando actualmente.
• La opción Tipo de detección se estableció en Solo equipos con un agente instalado y certificado firmado, pero el host de destino no es accesible, un firewall basado en red o host impide la conectividad o el agente UNIX/Linux está actualmente inactivo.

Resoluciones

• Firmar manualmente el certificado.
• Compruebe que se ha instalado el agente UNIX/Linux.
• Cambie la opción a Detectar todos los equipos para permitir que el Asistente para detección realice la firma del certificado.
• Compruebe que el agente UNIX/Linux se está ejecutando y que el host de destino es accesible.
• Compruebe que ningún firewall de red o firewall de host impida el acceso en el puerto TCP 1270.

Otros errores

No se puede ejecutar la tarea en los objetos porque el destino de la tarea no coincide con ninguna de las clases del objeto

Causa

En un grupo de administración de System Center 2012 Operations Manager, esto puede ocurrir si los módulos de administración de UNIX/Linux importados son versiones de Operations Manager 2007 R2.

Resolución

Importe las versiones de System Center 2012 de los módulos de administración del sistema operativo UNIX/Linux.

El agente está instalado y el equipo ya está supervisado por Operations Manager.

Causa

El host de destino ya se ha detectado en este grupo de administración.

Resolución

No hace falta realizar ninguna acción. La actualización o migración del agente a un grupo de recursos alternativo se puede realizar desde la vista Servidores UNIX/Linux en el panel Administración de la consola del operador.

No se pudo encontrar una instancia de agente compatible coincidente en los módulos de administración importados

Descripción del error

No se ha podido encontrar una instancia de agente compatible coincidente en los módulos de administración importados. Importe los módulos de administración para esta plataforma para que detecte este equipo.

Causas posibles:

• El host de destino ejecuta un sistema operativo no compatible.
• No se ha importado el módulo de administración correcto para el sistema operativo del host de destino.
• El módulo de administración correcto para el sistema operativo se ha importado recientemente, pero aún no se ha cargado completamente.

Resoluciones

• Confirme que el host de destino ejecuta un sistema operativo compatible.
• Importe el módulo de administración para el sistema operativo y la versión del host de destino.
• Si se importó el módulo de administración, es posible que siga cargando. Espere unos minutos y vuelva a ejecutar la detección.

No se pueden enumerar los tipos de agente instalables. Es posible que el grupo de recursos asociado todavía se inicialice.

Descripción del error

No se pueden enumerar los tipos de agente instalables. Es posible que el grupo de recursos asociado siga inicializándose. Si ha seleccionado un grupo de recursos recién creado, espere unos minutos antes de usarlo.

Causas posibles:

• El grupo de recursos usado en la detección no es correcto, por ejemplo, la mayoría de los servidores miembros están sin conexión.
• El grupo de recursos usado en la detección se creó recientemente, pero no se ha inicializado completamente.

Resolución

Si el grupo de recursos usado en la detección se creó recientemente, vuelva a intentar la detección después de varios minutos para permitir que el grupo se inicialice. De lo contrario, compruebe el registro de eventos de Operations Manager en los servidores que son miembros del grupo de recursos usado para la detección para obtener indicaciones del origen del problema.

No se puede copiar el nuevo agente en este equipo

Descripción del error

Mensaje: No se puede copiar el nuevo agente en este equipo
Detalles:
No se pudo copiar el kit. Código de salida: 1073479144
Salida estándar:
Error estándar:
Mensaje de excepción: una excepción (-1073479144) provocó un error en el comando SSH.

Causa

Las versiones del agente de archivos no coinciden entre la base de datos y el repositorio del agente.

Resoluciones

• Compruebe que todos los agentes con errores no coinciden debido a un error de coincidencia de versiones. De lo contrario, aplique otros pasos de solución de problemas.
• Intente actualizar los agentes con errores de nuevo. Normalmente, la lista de agentes con errores se vuelve más corta y corta durante cada iteración de actualización.
• Reinicie el Servicio de mantenimiento en todos los miembros del grupo de recursos de Linux u otro grupo para administrar máquinas Unix o Linux. Compruebe la carpeta si los %ProgramFiles%\Microsoft System Center 2012 R2\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits nombres de archivo son correctos. Recuerde cerrar y volver a abrir el Asistente para detección.

Más información

Para obtener más ayuda, consulte nuestro foro de soporte técnico de TechNet o póngase en contacto con Soporte técnico de Microsoft.