Udostępnij za pośrednictwem

Rozwiązywanie problemów z łącznością z agentem w programie Operations Manager

  • Artykuł

Ten przewodnik ułatwia rozwiązywanie problemów, które powodują, że agenci programu Operations Manager mają trudności z nawiązaniem połączenia z serwerem zarządzania w programie System Center 2012 Operations Manager (OpsMgr 2012) i nowszych wersjach.

Aby dowiedzieć się więcej na temat agenta programu Operations Manager i sposobu komunikowania się z serwerami zarządzania, zobacz Agenci i komunikacja między agentami i serwerami zarządzania.

Oryginalna wersja produktu: System Center 2012 Operations Manager
Oryginalny numer KB: 10066

Sprawdzanie usługi kondycji

Za każdym razem, gdy występują problemy z łącznością w programie Operations Manager, najpierw upewnij się, że Usługa kondycji działa bez błędów zarówno agenta klienta, jak i serwera zarządzania. Aby określić, czy usługa jest uruchomiona, wykonaj następujące kroki:

  1. Naciśnij systemu Windows+R.

  2. W polu Uruchom wpisz services.msc i naciśnij Enter.

  3. Znajdź usługę Microsoft Monitoring Agent , a następnie kliknij ją dwukrotnie, aby otworzyć stronę Właściwości .

    Uwaga 16.

    W programie System Center 2012 Operations Manager nazwa usługi to System Center Management.

  4. Upewnij się, że typ uruchamiania jest ustawiony na Wartość Automatyczna.

  5. Sprawdź, czy uruchomiono jest wyświetlany w obszarze Stan usługi. W przeciwnym razie kliknij przycisk Start.

Sprawdzanie wykluczeń oprogramowania antywirusowego

Jeśli Usługa kondycji jest uruchomiona, następną rzeczą jest potwierdzenie, że wykluczenia antywirusowe są prawidłowo skonfigurowane. Aby uzyskać najnowsze informacje na temat zalecanych wykluczeń oprogramowania antywirusowego dla programu Operations Manager, zobacz Zalecenia dotyczące wykluczeń oprogramowania antywirusowego, które odnoszą się do programu Operations Manager.

Sprawdzanie problemów z siecią

W programie Operations Manager komputer agenta musi mieć możliwość pomyślnego nawiązania połączenia z portem TCP 5723 na serwerze zarządzania. Jeśli to się nie powiedzie, prawdopodobnie otrzymasz identyfikator zdarzenia 21016 i 21006 na agencie klienta.

Oprócz portu TCP 5723 należy włączyć następujące porty:

  • Port TCP i UDP 389 dla protokołu LDAP
  • Port TCP i UDP 88 na potrzeby uwierzytelniania Kerberos
  • Port TCP i UDP 53 dla usługi nazw domen (DNS)

Ponadto należy upewnić się, że komunikacja RPC zakończyła się pomyślnie za pośrednictwem sieci. Problemy z komunikacją RPC zwykle manifestują się podczas wypychania agenta z serwera zarządzania. Problemy z komunikacją RPC zwykle powodują niepowodzenie wypychania klienta z błędem podobnym do następującego:

Serwer menedżera operacji nie może wykonać określonej operacji na komputerze agent1.contoso.com.

Operacja: Instalacja agenta
Konto instalacji: contoso\Agent_action
Kod błędu: 800706BA
Opis błędu: Serwer RPC jest niedostępny

Ten błąd występuje zwykle, gdy są używane nietypowe porty efemeryczne lub gdy porty efemeryczne są blokowane przez zaporę. Jeśli na przykład skonfigurowano niestandardowe porty RPC o niestandardowym zakresie, śledzenie sieci pokaże pomyślne połączenie z portem RPC 135, a następnie próbą połączenia przy użyciu niestandardowego portu RPC, takiego jak 15595. Poniżej przedstawiono przykład:

18748 MS Agent TCP TCP: Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 MS Agent TCP TCP:[SynReTransmit #18748] Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS Agent TCP TCP:[SynReTransmit #18748] Flags=...... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192

W tym przykładzie, ponieważ wykluczenie portów dla tego niestandardowego zakresu nie zostało skonfigurowane w zaporze, pakiety zostaną porzucone i połączenie zakończy się niepowodzeniem.

W systemie Windows Vista i nowszych wersjach porty RPC o wysokim zakresie są 49152-65535, więc to, czego chcemy szukać. Aby sprawdzić, czy jest to problem, uruchom następujące polecenie, aby zobaczyć, jaki zakres portów RPC jest skonfigurowany:

netsh int ipv4 show dynamicportrange tcp

Zgodnie ze standardami IANA dane wyjściowe powinny wyglądać następująco:

Zakres portów dynamicznych tcp protokołu
---------------------------------
Początkowy port: 49152
Liczba portów: 16384

Jeśli widzisz inny port początkowy, problem może być taki, że zapora nie jest poprawnie skonfigurowana tak, aby zezwalała na ruch przez te porty. Konfigurację zapory można zmienić lub uruchomić następujące polecenie, aby ustawić porty o wysokim zakresie z powrotem na wartości domyślne:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

Można również skonfigurować zakres portów dynamicznych RPC za pośrednictwem rejestru. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować alokację portu dynamicznego RPC do pracy z zaporami).

Jeśli wszystko wydaje się być poprawnie skonfigurowane i nadal występuje błąd, może to być spowodowane przez jeden z następujących warunków:

  1. DcOM został ograniczony do określonego portu. Aby sprawdzić, uruchom polecenie dcomcnfg.exe, przejdź do pozycji Moje właściwości>komputera>Domyślne protokoły, upewnij się, że nie ma ustawienia niestandardowego.

  2. Usługa WMI jest skonfigurowana do używania niestandardowego punktu końcowego. Aby sprawdzić, czy masz statyczny punkt końcowy skonfigurowany dla usługi WMI, uruchom polecenie dcomcnfg.exe, przejdź do pozycji Mój komputer>DCOM Konfiguracja>punktów końcowych zarządzania systemem Windows i właściwości instrumentacji>>systemu Windows, upewnij się, że nie ma ustawienia niestandardowego.

  3. Na komputerze agenta jest uruchomiona rola serwera programu Exchange Server 2010 Client Access. Usługa dostępu klienta programu Exchange Server 2010 zmienia zakres portów na 6005 do 65535. Zakres został rozszerzony w celu zapewnienia wystarczającego skalowania dla dużych wdrożeń. Nie zmieniaj tych wartości portów bez pełnego zrozumienia konsekwencji.

Aby uzyskać więcej informacji na temat wymagań dotyczących portów i zapory, zobacz Zapory. Możesz również znaleźć minimalną wymaganą szybkość łączności sieciowej w tym samym artykule.

Uwaga 16.

Rozwiązywanie problemów z siecią jest bardzo dużym problemem, dlatego najlepiej skonsultować się z inżynierem sieci, jeśli podejrzewasz, że podstawowy problem z siecią powoduje problemy z łącznością agenta w programie Operations Manager. Mamy również kilka podstawowych, uogólnionych informacji dotyczących rozwiązywania problemów z siecią dostępnych w naszym zespole pomocy technicznej usług katalogowych Systemu Windows dostępnych w temacie Rozwiązywanie problemów z sieciami bez netMon.

Sprawdzanie problemów z certyfikatem na serwerze bramy

Program Operations Manager wymaga wzajemnego uwierzytelniania między agentami klienta i serwerami zarządzania przed wymianą informacji między nimi. Aby zabezpieczyć proces uwierzytelniania, proces jest szyfrowany. Gdy agent i serwer zarządzania znajdują się w tej samej domenie usługi Active Directory lub w domenach usługi Active Directory, które mają ustanowione relacje zaufania, korzystają z mechanizmów uwierzytelniania Kerberos w wersji 5 udostępnianych przez usługę Active Directory. Gdy agenci i serwery zarządzania nie znajdują się w tej samej granicy zaufania, należy użyć innych mechanizmów, aby spełnić wymagania bezpiecznego wzajemnego uwierzytelniania.

W programie Operations Manager jest to realizowane przy użyciu certyfikatów X.509 wystawionych dla każdego komputera. Jeśli istnieje wiele komputerów monitorowanych przez agentów, może to spowodować wysokie obciążenie administracyjne związane z zarządzaniem wszystkimi tymi certyfikatami. Ponadto, jeśli między agentami i serwerami zarządzania istnieje zapora, należy zdefiniować i zachować wiele autoryzowanych punktów końcowych w regułach zapory, aby umożliwić komunikację między nimi.

Aby zmniejszyć obciążenie administracyjne, program Operations Manager ma opcjonalną rolę serwera o nazwie Serwer bramy. Serwery bramy znajdują się w granicach zaufania agentów klienta i mogą uczestniczyć w obowiązkowym wzajemnym uwierzytelnianiu. Ponieważ bramy znajdują się w tej samej granicy zaufania co agenci, protokół Kerberos w wersji 5 dla usługi Active Directory jest używany między agentami a serwerem bramy, a każdy agent komunikuje się tylko z serwerami bramy, o których jest świadomy.

Serwery bramy komunikują się następnie z serwerami zarządzania w imieniu klientów. Aby zapewnić obsługę obowiązkowego bezpiecznego wzajemnego uwierzytelniania między serwerem bramy a serwerami zarządzania, certyfikaty muszą być wystawiane i instalowane, ale tylko dla serwerów bramy i zarządzania. Zmniejsza to liczbę wymaganych certyfikatów. W przypadku interweniowanej zapory zmniejsza również liczbę autoryzowanych punktów końcowych, które należy zdefiniować w regułach zapory.

Na wynos polega to na tym, że jeśli agenci klienta i serwery zarządzania nie znajdują się w tej samej granicy zaufania lub jeśli jest używany serwer bramy, niezbędne certyfikaty muszą być zainstalowane i skonfigurowane poprawnie, aby łączność agenta działała prawidłowo. Oto kilka kluczowych kwestii do sprawdzenia:

  • Upewnij się, że certyfikat bramy istnieje w certyfikatach osobistych>komputera>lokalnego na serwerze zarządzania, z którym łączy się brama lub agent.

  • Upewnij się, że certyfikat główny istnieje w certyfikatach zaufanych głównych urzędów>certyfikacji komputera>lokalnego na serwerze zarządzania, z którym łączy się brama lub agent.

  • Upewnij się, że certyfikat główny istnieje w certyfikatach zaufanych głównych urzędów> certyfikacji komputera>lokalnego na serwerze bramy.

  • Upewnij się, że certyfikat bramy istnieje w certyfikatach osobistych>komputera>lokalnego na serwerze bramy. Upewnij się, że certyfikat bramy istnieje w certyfikatach programu Local Computer>Operations Manager>na serwerze bramy.

  • Upewnij się, że wartość HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber rejestru istnieje i ma wartość certyfikatu (z folderu Komputer lokalny/Osobisty/Certyfikaty w polu Numer seryjny) odwrócone w nim na serwerze bramy.

  • Upewnij się, że wartość HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber rejestru istnieje i ma wartość certyfikatu (z folderu Komputer lokalny/Osobisty/Certyfikaty w polu Numer seryjny) cofniętą w nim na serwerze zarządzania, z którym łączy się brama lub agent.

W dzienniku zdarzeń programu Operations Manager mogą pojawić się następujące identyfikatory zdarzeń, gdy występuje problem z certyfikatami:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

Aby uzyskać szczegółowe informacje na temat sposobu działania uwierzytelniania opartego na certyfikatach w programie Operations Manager, a także instrukcje dotyczące uzyskiwania i konfigurowania odpowiednich certyfikatów, zobacz Uwierzytelnianie i szyfrowanie danych dla komputerów z systemem Windows.

Sprawdzanie rozłącznej przestrzeni nazw na agencie klienta

Rozłączna przestrzeń nazw występuje, gdy komputer kliencki ma podstawowy sufiks DNS, który nie jest zgodny z nazwą DNS domeny usługi Active Directory, do którego należy klient. Na przykład klient używający podstawowego sufiksu DNS corp.contoso.com w domenie usługi Active Directory o nazwie na.corp.contoso.com używa rozłącznej przestrzeni nazw.

Jeśli agent klienta lub serwer zarządzania ma rozłączną przestrzeń nazw, uwierzytelnianie Kerberos może zakończyć się niepowodzeniem. Chociaż jest to problem z usługą Active Directory, a nie problem z programem Operations Manager, ma to wpływ na łączność agenta.

Aby uzyskać więcej informacji, zobacz Rozłączna przestrzeń nazw.

Aby rozwiązać ten problem, użyj jednej z następujących metod:

Metoda 1

Ręcznie utwórz odpowiednie nazwy główne usługi (SPN) dla kont komputerów, których dotyczy problem, i uwzględnij nazwę SPN hosta dla w pełni kwalifikowanej nazwy domeny (FQDN) wraz z rozłącznym sufiksem nazwy (HOST/machine.disjointed_name_suffix.local). Zaktualizuj DnsHostName również atrybut komputera, aby odzwierciedlał rozłączną nazwę (machine.disjointed_name_suffix.local) i włączyć rejestrację atrybutu w prawidłowej strefie DNS na serwerach DNS używanych przez usługę Active Directory.

Metoda 2

Popraw rozłączną przestrzeń nazw. W tym celu zmień przestrzeń nazw we właściwościach komputera, którego dotyczy problem, aby odzwierciedlała nazwę FQDN domeny, do której należy komputer. Przed wprowadzeniem jakichkolwiek zmian w środowisku upewnij się, że masz pełną świadomość konsekwencji tego działania. Aby uzyskać więcej informacji, zobacz Przejście z rozłącznej przestrzeni nazw do ciągłej przestrzeni nazw.

Sprawdzanie wolnych połączeń sieciowych

Jeśli agent klienta działa w wolnym połączeniu sieciowym, może wystąpić problemy z łącznością z powodu faktu, że istnieje zakodowany limit czasu uwierzytelniania. Aby rozwiązać ten problem, zainstaluj pakiet zbiorczy aktualizacji programu System Center 2012 Operations Manager z dodatkiem SP1 (przy założeniu, że nie jesteś jeszcze w programie System Center 2012 R2 Operations Manager), a następnie ręcznie zmień wartość limitu czasu.

Aktualizacja UR8 zwiększa limit czasu serwera do 20 sekund, a limit czasu klienta do 5 minut.

Aby uzyskać więcej informacji, zobacz Pakiet zbiorczy aktualizacji 8 dla programu System Center 2012 Operations Manager z dodatkiem Service Pack 1.

Uwaga 16.

Ten problem może również wystąpić, gdy występują problemy z synchronizacją czasu między agentem klienta a serwerem zarządzania.

Sprawdzanie problemów z łącznikiem programu OpsMgr

Jeśli wszystkie inne elementy są wyewidencjonowane, sprawdź dziennik zdarzeń programu Operations Manager pod kątem zdarzeń generowanych przez łącznik programu OpsMgr. Poniżej wymieniono typowe przyczyny i rozwiązania dotyczące różnych zdarzeń łącznika programu OpsMgr.

Identyfikator zdarzenia 21006 i 21016 są wyświetlane na agencie klienta

Przykłady tych zdarzeń:

Źródło: Łącznik programu OpsMgr
Data: godzina
Identyfikator zdarzenia: 21006
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis: Łącznik programu OpsMgr nie może nawiązać <połączenia z serwerem zarządzania>:5723. Kod błędu to 10060L (próba połączenia nie powiodła się, ponieważ połączona strona nie odpowiedziała prawidłowo po upływie określonego czasu lub nawiązano połączenie nie powiodło się, ponieważ połączony host nie odpowiedział). Sprawdź, czy istnieje łączność sieciowa, serwer jest uruchomiony i zarejestrował port nasłuchiwania, a zapory nie blokują ruchu do miejsca docelowego.

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: godzina
Identyfikator zdarzenia: 21016
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis: Program OpsMgr nie może skonfigurować kanału komunikacji z <serwerem ManagementServer> i nie ma hostów trybu failover. Komunikacja zostanie wznowiona, gdy <serwer ManagementServer> jest dostępny, a komunikacja z tym komputerem jest dozwolona.

Zazwyczaj te identyfikatory zdarzeń są generowane, ponieważ agent nie otrzymał konfiguracji. Po dodaniu nowego agenta i skonfigurowaniu go to zdarzenie jest wspólne. Zdarzenie 1210 w dzienniku zdarzeń programu Operations Manager agenta wskazuje, że agent odebrał i zastosował konfigurację. To zdarzenie jest odbierane po nawiązaniu komunikacji.

Aby rozwiązać ten problem, możesz wykonać następujące czynności:

  1. Jeśli automatyczne zatwierdzanie ręcznie zainstalowanych agentów nie jest włączone, upewnij się, że agent jest zatwierdzony.

  2. Upewnij się, że następujące porty są włączone do komunikacji:

    • 5723 i TCP i UDP port 389 dla protokołu LDAP.
    • Port TCP i UDP 88 na potrzeby uwierzytelniania Kerberos.
    • Port TCP i UDP 53 dla serwera DNS.

  3. To zdarzenie może potencjalnie wskazywać, że uwierzytelnianie Kerberos kończy się niepowodzeniem. Sprawdź błędy protokołu Kerberos w dziennikach zdarzeń i rozwiąż problemy.

  4. Sprawdź, czy sufiks DNS ma nieprawidłową domenę. Na przykład komputer jest przyłączony do contoso1.com , ale podstawowy sufiks DNS jest ustawiony na contoso2.com.

  5. Upewnij się, że domyślne klucze rejestru nazw domen są poprawne. Aby sprawdzić, upewnij się, że następujące klucze rejestru są zgodne z nazwą domeny:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. Zduplikowana nazwa SPN dla Usługa kondycji może również spowodować zdarzenie o identyfikatorze 21016. Aby znaleźć zduplikowaną nazwę SPN, uruchom następujące polecenie:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    Jeśli zarejestrowane są zduplikowane nazwy SPN, należy usunąć nazwę SPN dla konta, które nie jest używane dla serwera zarządzania Usługa kondycji.

Na serwerze zarządzania jest wyświetlany identyfikator zdarzenia 20057

Przykład tego zdarzenia:

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: godzina
Identyfikator zdarzenia: 20057
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis: Nie można zainicjować kontekstu zabezpieczeń dla docelowego MSOMHSvc/****** Zwrócony błąd jest 0x80090311(Nie można skontaktować się z urzędem w celu uwierzytelnienia). Ten błąd może dotyczyć pakietu Kerberos lub SChannel.

Identyfikatory zdarzeń 21006, 21016 i 20057 są zwykle spowodowane przez zapory lub problemy sieciowe uniemożliwiające komunikację przez wymagane porty. Aby rozwiązać ten problem, sprawdź zapory między agentem klienta i serwerem zarządzania. Aby umożliwić poprawne uwierzytelnianie i komunikację, należy otworzyć następujące porty:

  • Tcp i UDP port 389 dla protokołu LDAP.
  • Port TCP i UDP 88 na potrzeby uwierzytelniania Kerberos.

Identyfikator zdarzenia 2010 i 2003 są wyświetlane na agencie klienta

Przykłady tych zdarzeń:

Nazwa dziennika: Operations Manager
Źródło: HealthService
Data: dane
Identyfikator zdarzenia: 2010
Kategoria zadania: Usługa kondycji
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis: Usługa kondycji nie może nawiązać połączenia z usługą Active Directory w celu pobrania zasad grupy zarządzania. Błąd jest nieokreślony (0x80004005)
Plik XML zdarzenia:
<Zdarzenie xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<Zadania systemowe>
<Nazwa dostawcy="HealthService" />
<EventID Qualifiers="49152">2010/<EventID>
<Poziom>2</poziom>
<Zadanie>1</Zadanie>
<Słowa kluczowe>0x80000000000000</słowa kluczowe>
<TimeCreated SystemTime="2015-02-21T21:06:04.0000000000Z" />
<EventRecordID>84143</EventRecordID>
<Channel>Operations Manager</Channel>
<ComputerName>/ComputerName</Computer>
<Bezpieczeństwo/>
</System>
<EventData>
<Nieokreślony>błąd</dane>
<Dane>0x80004005</dane>
</EventData>
</Zdarzenie>

Nazwa dziennika: Operations Manager
Źródło: HealthService
Data: godzina
Identyfikator zdarzenia: 2003
Kategoria zadania: Usługa kondycji
Poziom: Informacje
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis: Nie uruchomiono żadnych grup zarządzania. Może to być spowodowane tym, że nie skonfigurowano żadnych grup zarządzania lub nie można uruchomić skonfigurowanej grupy zarządzania. Usługa kondycji będzie czekać na zasady z usługi Active Directory konfigurując grupę zarządzania do uruchomienia.
Plik XML zdarzenia:
<Zdarzenie xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<Zadania systemowe>
<Nazwa dostawcy="HealthService" />
<EventID Qualifiers="16384">2003/<EventID>
<Poziom 4</poziom>>
<Zadanie>1</Zadanie>
<Słowa kluczowe>0x80000000000000</słowa kluczowe>
<TimeCreated SystemTime="2015-02-21T21:06:04.0000000000Z" />
<EventRecordID>84156</EventRecordID>
<Channel>Operations Manager</Channel>
<ComputerName>/ComputerName</Computer>
<Bezpieczeństwo/>
</System>
<EventData>
</EventData>
</Zdarzenie>

Jeśli agent używa przypisania usługi Active Directory, dzienniki zdarzeń będą również wskazywać problem podczas komunikacji z usługą Active Directory.

Jeśli te dzienniki zdarzeń są widoczne, upewnij się, że agent klienta może uzyskać dostęp do usługi Active Directory. Sprawdź zapory, rozpoznawanie nazw i ogólną łączność sieciową.

Identyfikator zdarzenia 20070 połączony z identyfikatorem zdarzenia 21016

Przykłady tych zdarzeń:

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: 13.06.2014 10:13:39
Identyfikator zdarzenia: 21016
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Program OpsMgr nie może skonfigurować kanału komunikacyjnego na <wartość ComputerName> i nie ma hostów trybu failover. Komunikacja zostanie wznowiona, gdy <komputer ComputerName> jest dostępny, a komunikacja z tego komputera jest dozwolona.

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: 13.06.2014 10:13:37
Identyfikator zdarzenia: 20070
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Łącznik programu OpsMgr połączony z <parametrem ComputerName>, ale połączenie zostało zamknięte natychmiast po uwierzytelnieniu. Najbardziej prawdopodobną przyczyną tego błędu jest to, że agent nie ma autoryzacji do komunikowania się z serwerem lub serwer nie otrzymał konfiguracji. Sprawdź dziennik zdarzeń na serwerze pod kątem obecności zdarzeń 20000, wskazując, że agenci, którzy nie są zatwierdzani, próbują nawiązać połączenie.

Gdy zobaczysz te zdarzenia, oznacza to, że uwierzytelnianie nastąpiło, ale połączenie zostało zamknięte. Dzieje się tak zwykle, ponieważ agent nie został skonfigurowany. Aby to sprawdzić, sprawdź, czy urządzenie o identyfikatorze zdarzenia 20000 Urządzenie, które nie jest częścią tej grupy zarządzania, próbowało uzyskać dostęp do tej usługi kondycji, jest odbierane na serwerze zarządzania.

Te dzienniki zdarzeń mogą również wystąpić, jeśli agenci klienta utknęli w stanie Oczekiwanie i nie są widoczne w konsoli programu .

Aby sprawdzić, uruchom następujące polecenie, aby sprawdzić, czy agenci są wymienieni na potrzeby ręcznego zatwierdzania:

Get-SCOMPendingManagement

Jeśli tak, możesz rozwiązać ten problem, uruchamiając następujące polecenie, aby ręcznie zatwierdzić agentów:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

Identyfikator zdarzenia 21023 jest wyświetlany na agencie klienta, a na serwerze zarządzania jest wyświetlany identyfikator zdarzenia 29120, 29181 i 21024

Poniżej przedstawiono kilka przykładów tych zdarzeń.

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Identyfikator zdarzenia: 21023
Kategoria zadania: Brak
Poziom: Informacje
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Program OpsMgr nie ma konfiguracji dla grupy <zarządzania GroupName> i żąda nowej konfiguracji z usługi konfiguracji.

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programem OpsMgr
Identyfikator zdarzenia: 29120
Kategoria zadania: Brak
Poziom: Ostrzeżenie
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Usługa konfiguracji zarządzania programu OpsMgr nie może przetworzyć żądania konfiguracji (plik konfiguracji XML lub żądanie pakietu zarządzania) z powodu następującego wyjątku

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programem OpsMgr
Identyfikator zdarzenia: 29181
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Usługa konfiguracji zarządzania programem OpsMgr nie może wykonać elementu roboczego aparatu "GetNextWorkItem" z powodu następującego wyjątku

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programem OpsMgr
Identyfikator zdarzenia: 29181
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Usługa konfiguracji zarządzania programem OpsMgr nie może wykonać elementu roboczego "LocalHealthServiceDirtyNotification" z powodu następującego wyjątku

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programem OpsMgr
Zdarzenie o identyfikatorze 21024:
Kategoria zadania: Brak
Poziom: Informacje
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Konfiguracja programu OpsMgr może być nieaktualna dla grupy <zarządzania GroupName> i zażądała zaktualizowanej konfiguracji z usługi konfiguracji. Bieżący (nieaktualny) plik cookie stanu to "5dae442500c9d3f8f7a883e8383851994,906af60d48ed417fb1860b23ed67dd71:001662A3"

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Identyfikator zdarzenia: 29181
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: Klasyczne
Użytkownik: Nie dotyczy
Komputer: <ComputerName>
Opis rozwiązania:
Usługa konfiguracji zarządzania programem OpsMgr nie może wykonać elementu roboczego aparatu DeltaSynchronization z powodu następującego wyjątku

Te zdarzenia mogą wystąpić, gdy proces synchronizacji różnicowej nie może skompilować konfiguracji w skonfigurowanym przedziale czasu 30 sekund. Taka sytuacja może wystąpić, gdy istnieje duża przestrzeń wystąpienia.

Aby rozwiązać ten problem, zwiększ limit czasu na wszystkich serwerach zarządzania. Aby to zrobić, użyj jednej z następujących metod:

Metoda 1

  1. Utwórz kopię zapasową następującego pliku:

    Dysk:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. Zwiększ wartości limitu czasu w pliku ConfigService.config , wykonując następujące zmiany:

    Znajdź <OperationTimeout DefaultTimeoutSeconds="30">pozycję , zmień wartość 30 na 300.
    Znajdź <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />, zmień wartość 180 na 300.

  3. Uruchom ponownie usługę Konfiguracji.

W większości przypadków powinno to pozwolić na ukończenie procesu synchronizacji wystarczająco dużo czasu.

Metoda 2

  1. Zainstaluj pakiet zbiorczy aktualizacji 3 lub nowszy dla programu System Center 2012 R2 Operations Manager.

  2. Dodaj następującą wartość rejestru na serwerze z uruchomionym programem System Center 2012 R2 Operations Manager, aby skonfigurować limit czasu:

    • Podklucz rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • Nazwa DWORD: CommandTimeoutSeconds
    • Wartość DWORD: nn

    Uwaga 16.

    Wartość domyślna symbolu zastępczego nn to 30 sekund. Możesz zmienić tę wartość, aby kontrolować limit czasu synchronizacji różnicowej.

Inne identyfikatory zdarzeń łącznika programu OpsMgr

Poniżej wymieniono inne zdarzenia błędów łącznika programu OpsMgr i odpowiednie sugestie dotyczące rozwiązywania problemów:

Wydarzenie Opis Więcej informacji
20050 Nie można załadować określonego certyfikatu, ponieważ określone użycie klucza rozszerzonego nie spełnia wymagań programu OpsMgr. Certyfikat musi mieć następujące typy użycia: %n %n Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1)%n Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2)%n Potwierdź identyfikator obiektu w certyfikacie.
20057 Nie można zainicjować kontekstu zabezpieczeń dla elementu docelowego %1 Zwrócony błąd: %2(%3). Ten błąd może dotyczyć pakietu Kerberos lub pakietu SChannel. Sprawdź zduplikowane lub nieprawidłowe nazwy SPN.
20066 Określono certyfikat do użycia z uwierzytelnianiem wzajemnym. Nie można jednak odnaleźć tego certyfikatu. Prawdopodobnie będzie to miało wpływ na możliwość komunikowania się z tym Usługa kondycji. Sprawdź certyfikat.
20068 Nie można użyć certyfikatu określonego w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings do uwierzytelniania, ponieważ certyfikat nie zawiera użytecznego klucza prywatnego lub ponieważ klucz prywatny nie jest obecny. Błąd: %1(%2). Sprawdź, czy brakuje lub nie skojarzono klucza prywatnego. Zbadaj certyfikat. Ponownie zaimportuj certyfikat lub utwórz nowy certyfikat i zaimportuj go.
20069 Nie można załadować określonego certyfikatu, ponieważ element KeySpec musi być AT_KEYEXCHANGE Sprawdź certyfikat. Sprawdź identyfikator obiektu w certyfikacie.
20070 Łącznik programu OpsMgr połączony z użytkownikiem %1. Połączenie zostało jednak zamknięte natychmiast po uwierzytelnieniu. Najbardziej prawdopodobną przyczyną tego błędu jest to, że agent nie ma autoryzacji do komunikowania się z serwerem lub że serwer nie otrzymał konfiguracji. Sprawdź dziennik zdarzeń na serwerze pod kątem obecności zdarzeń 20000. Wskazują one, że agenci, którzy nie są zatwierdzani, próbują nawiązać połączenie. Uwierzytelnianie nastąpiło, ale połączenie zostało zamknięte. Upewnij się, że porty są otwarte i sprawdź, czy agent oczekuje na zatwierdzenie.
20071 Łącznik programu OpsMgr połączony z użytkownikiem %1. Połączenie zostało jednak zamknięte natychmiast bez uwierzytelniania. Najbardziej prawdopodobną przyczyną tego błędu jest niepowodzenie uwierzytelniania tego agenta lub serwera. Sprawdź dziennik zdarzeń na serwerze i na agencie pod kątem zdarzeń wskazujących niepowodzenie uwierzytelniania. Uwierzytelnianie nie powiodło się. Sprawdź zapory i port 5723. Komputer agenta musi mieć możliwość nawiązania połączenia z portem 5723 na serwerze zarządzania. Upewnij się również, że port TCP i UDP 389 dla protokołu LDAP, port 88 dla protokołu Kerberos i port 53 dla systemu DNS są dostępne.
20072 Certyfikat zdalny %1 nie był zaufany. Błąd: %2(%3). Sprawdź, czy certyfikat znajduje się w zaufanym magazynie.
20077 Nie można użyć certyfikatu określonego w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings do uwierzytelniania, ponieważ nie można odpytować certyfikatu pod kątem informacji o właściwości. Określony błąd: %2(%3).%n %n. Zazwyczaj oznacza to, że żaden klucz prywatny nie został dołączony do certyfikatu. Sprawdź dwukrotnie, aby upewnić się, że certyfikat zawiera klucz prywatny. Brakuje lub nie skojarzono klucza prywatnego. Zbadaj certyfikat. Ponownie zaimportuj certyfikat lub utwórz nowy certyfikat i zaimportuj go.
21001 Łącznik programu OpsMgr nie może nawiązać połączenia z użytkownikiem %1, ponieważ wzajemne uwierzytelnianie nie powiodło się. Sprawdź, czy nazwa SPN jest poprawnie zarejestrowana na serwerze i czy jeśli serwer znajduje się w oddzielnej domenie, istnieje relacja pełnego zaufania między dwiema domenami. Sprawdź rejestrację nazwy SPN.
21005 Łącznik programu OpsMgr nie może rozpoznać adresu IP dla użytkownika %1. Kod błędu: %2(%3). Sprawdź, czy system DNS działa poprawnie w danym środowisku. Zazwyczaj jest to problem z rozpoznawaniem nazw. Sprawdź usługę DNS.
21006 Łącznik programu OpsMgr nie może nawiązać połączenia z użytkownikiem %1:%2. Kod błędu: %3 (%4). Sprawdź, czy istnieje łączność sieciowa, czy serwer jest uruchomiony i zarejestrował port nasłuchiwania oraz czy nie ma zapór blokujących ruch do miejsca docelowego. Prawdopodobnie jest to ogólny problem z łącznością. Sprawdź zapory i upewnij się, że port 5723 jest otwarty.
21007 Łącznik programu OpsMgr nie może utworzyć wzajemnie uwierzytelnionego połączenia z użytkownikiem %1, ponieważ nie znajduje się w zaufanej domenie. Nie ustalono zaufania. Upewnij się, że certyfikat jest w miejscu i został poprawnie skonfigurowany.
21016 Program OpsMgr nie może skonfigurować kanału komunikacji do użytkownika %1 i nie ma hostów trybu failover. Komunikacja zostanie wznowiona po udostępnieniu programu %1 i włączeniu komunikacji z tego komputera. Zwykle oznacza to niepowodzenie uwierzytelniania. Upewnij się, że agent został zatwierdzony do monitorowania i że wszystkie porty są otwarte.
21021 Nie można załadować ani utworzyć certyfikatu. Ta Usługa kondycji nie będzie mogła komunikować się z innymi usługami zdrowia. Poszukaj poprzednich zdarzeń w dzienniku zdarzeń, aby uzyskać więcej szczegółów. Sprawdź certyfikat.
21022 Nie określono certyfikatu. Ta Usługa kondycji nie będzie mogła komunikować się z innymi usługami kondycji, chyba że te usługi kondycji znajdują się w domenie, która ma relację zaufania z tą domeną. Jeśli ta usługa kondycji musi komunikować się z usługami kondycji w niezaufanych domenach, skonfiguruj certyfikat. Sprawdź certyfikat.
21035 Rejestracja głównej nazwy usługi dla tego komputera z klasą usługi %1 nie powiodła się z powodu błędu %2. Może to spowodować niepowodzenie uwierzytelniania Kerberos do lub z tego Usługa kondycji. Oznacza to problem z rejestracją głównej nazwy usługi. Zbadaj nazwy SPN na potrzeby uwierzytelniania Kerberos.
21036 Nie można użyć certyfikatu określonego w rejestrze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings do uwierzytelniania. Błąd: %1(%2). Zazwyczaj jest to brak lub niezwiązany klucz prywatny. Zbadaj certyfikat. Zaimportuj ponownie certyfikat lub utwórz nowy certyfikat i zaimportuj go.