通过

排查 Operations Manager 中的代理连接性问题

  • 项目

本指南可帮助你排查 Operations Manager 代理连接到 System Center 2012 Operations Manager (OpsMgr 2012) 及更高版本中的管理服务器时出现问题的问题。

若要详细了解 Operations Manager 代理及其如何与管理服务器通信,请参阅代理与管理服务器之间的代理和通信。

原始产品版本: System Center 2012 Operations Manager
原始 KB 数: 10066

检查运行状况服务

每当在 Operations Manager 中遇到连接问题时,首先请确保运行状况服务在客户端代理和管理服务器上都未出错。 若要确定服务是否正在运行,请执行以下步骤:

  1. 按 Windows 键+R。

  2. “运行 ”框中,键入 services.msc 并按 Enter。

  3. 找到Microsoft监视代理服务,然后双击它以打开“属性”页。

    注意

    在 System Center 2012 Operations Manager 中,服务名称为 System Center Management

  4. 确保启动类型设置为“自动”。

  5. 检查“已启动”是否显示在服务状态。 否则,请单击“ 开始”。

检查防病毒排除项

如果运行状况服务已启动并运行,下一步是确认已正确配置防病毒排除项。 有关 Operations Manager 推荐的防病毒排除项的最新信息,请参阅 与 Operations Manager 相关的防病毒排除项的建议。

检查网络问题

在 Operations Manager 中,代理计算机必须能够成功连接到管理服务器上的 TCP 端口 5723。 如果失败,客户端代理上可能会收到事件 ID 21016 和 21006。

除了 TCP 端口 5723 之外,还必须启用以下端口:

  • 用于 LDAP 的 TCP 和 UDP 端口 389
  • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88
  • 域名服务的 TCP 和 UDP 端口 53 (DNS)

此外,必须确保 RPC 通信通过网络成功完成。 从管理服务器推送代理时,RPC 通信问题通常自行出现。 RPC 通信问题通常会导致客户端推送失败,并出现如下错误:

Operation Manager 服务器无法在计算机 agent1.contoso.com 上执行指定的操作。

操作:代理安装
安装帐户:contoso\Agent_action
错误代码:800706BA
错误说明:RPC 服务器不可用

使用非标准临时端口或防火墙阻止临时端口时,通常会发生此错误。 例如,如果配置了非标准高范围 RPC 端口,则网络跟踪将显示与 RPC 端口 135 的成功连接,然后是使用非标准 RPC 端口(如 15595)的连接尝试。 以下是一个示例:

18748 MS 代理 TCP TCP:Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 MS 代理 TCP TCP:[SynReTransmit #18748] Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS 代理 TCP TCP:[SynReTransmit #18748] Flags=......S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192

在此示例中,由于防火墙上未配置此非标准范围的端口豁免,因此会丢弃数据包,连接失败。

在 Windows Vista 及更高版本中,RPC 高范围端口为 49152-65535,因此这就是我们想要查找的内容。 若要验证此问题是否为问题,请运行以下命令以查看配置了哪些 RPC 高端口范围:

netsh int ipv4 show dynamicportrange tcp

根据 IANA 标准,输出应如下所示:

协议 tcp 动态端口范围
---------------------------------
启动端口:49152
端口数:16384

如果看到其他 启动端口,问题可能是防火墙未正确配置为允许通过这些端口的流量。 可以更改防火墙上的配置,或运行以下命令,将高范围端口设置回其默认值:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

还可以通过注册表配置 RPC 动态端口范围。 有关详细信息,请参阅如何配置与防火墙一起使用的 RPC 动态端口分配

如果一切似乎都配置正确,但仍遇到错误,则可能是由以下条件之一造成的:

  1. DCOM 仅限于特定端口。 若要验证、运行 dcomcnfg.exe,请转到 “我的计算机>属性>默认协议”,确保没有自定义设置。

  2. WMI 配置为使用自定义终结点。 若要检查是否为 WMI 配置了静态终结点,请运行dcomcnfg.exe,请转到“我的计算机>DCOM 配置>Windows 管理和检测>属性>终结点”,确保没有自定义设置。

  3. 代理计算机正在运行 Exchange Server 2010 客户端访问服务器角色。 Exchange Server 2010 客户端访问服务将端口范围更改为 6005 到 65535。 范围已扩展,为大型部署提供足够的缩放。 如果不完全了解后果,请不要更改这些端口值。

有关端口和防火墙要求的详细信息,请参阅 防火墙。 还可以在同一篇文章中找到所需的最低网络连接速度。

注意

排查网络问题是一个极其严重的问题,因此,如果怀疑基础网络问题导致 Operations Manager 中的代理连接问题,最好咨询网络工程师。 我们还提供一些基本、通用的网络故障排除信息,这些信息可从 Windows Directory Services 支持团队在没有 NetMon 的故障排除网络中获取。

检查网关服务器上的证书问题

Operations Manager 要求在客户端代理和管理服务器之间交换信息之前在相互身份验证。 若要保护身份验证过程,将加密该进程。 当代理和管理服务器驻留在同一 Active Directory 域或已建立信任关系的 Active Directory 域中时,它们将使用 Active Directory 提供的 Kerberos v5 身份验证机制。 当代理和管理服务器不在相同的信任边界内时,必须使用其他机制来满足安全相互身份验证要求。

在 Operations Manager 中,这是通过使用为每个计算机颁发的 X.509 证书来实现的。 如果有许多代理监视的计算机,这可能会导致管理所有这些证书的管理开销较高。 此外,如果代理与管理服务器之间存在防火墙,则必须在防火墙规则中定义和维护多个授权的端点,以允许在它们之间通信。

为了减少管理开销,Operations Manager 具有称为网关服务器的可选服务器角色。 网关服务器位于客户端代理的信任边界内,可以参与强制相互身份验证。 由于网关与代理位于同一信任边界内,因此 Active Directory 的 Kerberos v5 协议在代理和网关服务器之间使用,然后每个代理仅与它知道的网关服务器通信。

然后,网关服务器代表客户端与管理服务器通信。 若要支持网关服务器与管理服务器之间的强制安全相互身份验证,必须颁发并安装证书,但仅适用于网关和管理服务器。 这减少了所需的证书数。 在干预防火墙的情况下,它还减少了需要在防火墙规则中定义的授权终结点数。

此处的要点是,如果客户端代理和管理服务器不位于同一信任边界内,或者如果使用网关服务器,则必须正确安装并配置必要的证书,以便代理连接正常工作。 下面是要检查的一些关键事项:

  • 确认网关证书存在于网关或代理连接到的管理服务器上的本地计算机>个人>证书中。

  • 确认根证书存在于网关或代理连接到的管理服务器上的本地计算机>受信任的根证书颁发机构>证书中。

  • 确认根证书存在于网关服务器上的本地计算机>受信任的根证书颁发机构>证书中。

  • 确认网关服务器上的本地计算机>个人>证书中是否存在网关证书。 确认网关服务器上的本地计算机>Operations Manager>证书中存在网关证书。

  • 确认注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber存在并具有证书的值(来自网关服务器上的“序列号”字段中详细信息的“本地计算机/个人/证书”文件夹中)的值。

  • 确认注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber存在并具有证书的值(从“序列号”字段中详细信息的“本地计算机/个人/证书”文件夹)在连接网关或代理的管理服务器上反向显示。

当证书出现问题时,可能会在 Operations Manager 事件日志中收到以下事件 ID:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

有关 Operations Manager 中基于证书的身份验证功能以及有关如何获取和配置正确证书的说明的详细信息,请参阅 Windows 计算机的身份验证和数据加密。

检查客户端代理上的不连贯命名空间

当客户端计算机的主 DNS 后缀与客户端所属的 Active Directory 域的 DNS 名称不匹配时,会发生不相交的命名空间。 例如,在名为 na.corp.contoso.com 的 Active Directory 域中使用主 DNS 后缀的客户端使用不相交命名空间的 corp.contoso.com

当客户端代理或管理服务器具有不相交的命名空间时,Kerberos 身份验证可能会失败。 尽管这是 Active Directory 问题,而不是 Operations Manager 问题,但它确实会影响代理连接。

有关详细信息,请参阅不连续的命名空间

若要解决此问题,请使用以下方法之一:

方法 1

手动为受影响的计算机帐户创建适当的服务主体名称(SPN),并包含完全限定域名(FQDN)的主机 SPN 以及不相交的名称后缀(HOST/machine.disjointed_name_suffix.local)。 此外, DnsHostName 更新计算机的属性以反映非连续名称(machine.disjointed_name_suffix.local),并在 Active Directory 使用的 DNS 服务器上的有效 DNS 区域中启用属性注册。

方法 2

更正不相交的命名空间。 为此,请更改受影响计算机属性中的命名空间,以反映计算机所属域的 FQDN。 在环境中进行任何更改之前,请确保充分了解执行此操作的后果。 有关详细信息,请参阅 从不连续命名空间过渡到连续命名空间

检查有无网络连接缓慢

如果客户端代理在网络连接缓慢的情况下运行,则由于身份验证存在硬编码超时,它可能会遇到连接问题。 若要解决此问题,请安装 System Center 2012 Operations Manager SP1 更新汇总 8(假设你尚未在 System Center 2012 R2 Operations Manager 上),然后手动更改超时值。

UR8 更新将服务器超时增加到 20 秒,客户端超时增加到 5 分钟。

有关详细信息,请参阅 System Center 2012 Operations Manager Service Pack 1 的更新汇总 8。

注意

当客户端代理与管理服务器之间存在时间同步问题时,也可能出现此问题。

检查 OpsMgr 连接器问题

如果其他所有内容都已签出,请检查 Operations Manager 事件日志,了解 OpsMgr 连接器生成的任何错误事件。 下面列出了各种 OpsMgr 连接器事件的常见原因和解决方法。

事件 ID 21006 和 21016 显示在客户端代理上

这些事件的示例:

来源:OpsMgr 连接器
日期:时间
事件 ID:21006
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:OpsMgr 连接器无法连接到 <ManagementServer>:5723。 错误代码为 10060L(连接尝试失败,因为连接方在一段时间后未正确响应,或已建立的连接失败,因为连接主机未能响应。 请验证是否存在网络连接,服务器正在运行并注册了其侦听端口,并且没有防火墙阻止发到目标的流量。

日志名称: Operations Manager
来源:OpsMgr 连接器
日期:时间
事件 ID:21016
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:OpsMgr 无法将通信通道 <设置为 ManagementServer> ,并且没有故障转移主机。 当 ManagementServer> 可用且允许来自此计算机的通信时<,通信将恢复。

通常生成这些事件 ID,因为代理未收到配置。 添加新代理并在配置代理之前,此事件很常见。 代理 Operations Manager 事件日志中的事件 1210 指示代理接收并应用了配置。 建立通信后,你会收到此事件。

可以使用以下步骤来排查此问题:

  1. 如果未启用手动安装的代理的自动批准,请确认该代理已批准。

  2. 确保为通信启用以下端口:

    • 适用于 LDAP 的 5723 和 TCP 和 UDP 端口 389。
    • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88。
    • DNS 服务器的 TCP 和 UDP 端口 53。

  3. 此事件可能指示 Kerberos 身份验证失败。 检查事件日志中的 Kerberos 错误并排除故障。

  4. 检查 DNS 后缀是否具有不正确的域。 例如,计算机已 加入 contoso1.com, 但主 DNS 后缀设置为 contoso2.com

  5. 确保默认域名注册表项正确。 若要验证,请确保以下注册表项与域名匹配:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. 运行状况服务的重复 SPN 也可能导致事件 ID 21016。 若要查找重复的 SPN,请运行以下命令:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    如果注册了重复的 SPN,则必须删除未用于管理服务器运行状况服务帐户的 SPN。

事件 ID 20057 显示在管理服务器上

此事件的示例:

日志名称: Operations Manager
来源:OpsMgr 连接器
日期:时间
事件 ID:20057
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:无法初始化目标 MSOMHSvc/******返回的错误0x80090311(无法联系颁发机构进行身份验证)。 此错误可以应用于 Kerberos 或 SChannel 包。

事件 ID 21006、21016 和 20057 通常是由防火墙或网络问题引起的,这些问题阻止通过所需的端口进行通信。 若要解决此问题,请检查客户端代理与管理服务器之间的防火墙。 必须打开以下端口才能启用正确的身份验证和通信:

  • 用于 LDAP 的 TCP 和 UDP 端口 389。
  • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88。

事件 ID 2010 和 2003 显示在客户端代理上

这些事件的示例:

日志名称: Operations Manager
源: HealthService
日期:数据
事件 ID:2010
任务类别: 运行状况服务
级别:错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:运行状况服务无法连接到 Active Directory 以检索管理组策略。 错误为“未指定”错误(0x80004005)
事件 Xml:
<事件 xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系统>
<提供程序名称=“HealthService” />
<EventID 限定符=“49152”>2010/<EventID>
<级别>2</级别>
<任务>1</任务>
<>关键字0x80000000000000</关键字>
<TimeCreated SystemTime=“2015-02-21T21:06:04.000000000Z” />
<EventRecordID>84143</EventRecordID>
<Channel>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<安全/>
</系统>
<EventData>
<数据>未指定错误</数据>
<数据>0x80004005</数据>
</EventData>
</事件>

日志名称: Operations Manager
源: HealthService
日期:时间
事件 ID:2003
任务类别: 运行状况服务
级别:信息
关键字:经典
用户:无
计算机: <ComputerName>
说明:未启动管理组。 这可能是因为当前未配置管理组或配置的管理组无法启动。 运行状况服务将等待 Active Directory 中的策略配置管理组运行。
事件 Xml:
<事件 xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系统>
<提供程序名称=“HealthService” />
<EventID 限定符=“16384”>2003/<EventID>
<级别>4</级别>
<任务>1</任务>
<>关键字0x80000000000000</关键字>
<TimeCreated SystemTime=“2015-02-21T21:06:04.000000000Z” />
<EventRecordID>84156</EventRecordID>
<Channel>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<安全/>
</系统>
<EventData>
</EventData>
</事件>

如果代理正在使用 Active Directory 分配,则事件日志还会指示与 Active Directory 通信时出现问题。

如果看到这些事件日志,请确认客户端代理可以访问 Active Directory。 检查防火墙、名称解析和常规网络连接。

事件 ID 20070 与事件 ID 21016 结合使用

这些事件的示例:

日志名称: Operations Manager
来源:OpsMgr 连接器
日期:2014/6/13 下午 10:13:39
事件 ID:21016
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:
OpsMgr 无法设置到 <ComputerName> 的通信通道,并且没有故障转移主机。 当 ComputerName> 可用且允许来自此计算机的通信时<,通信将恢复。

日志名称: Operations Manager
来源:OpsMgr 连接器
日期:2014/6/13 下午 10:13:37
事件 ID:20070
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:
连接到 ComputerName> 的 OpsMgr 连接器<,但在身份验证发生后立即关闭连接。 此错误最可能的原因是:代理无权与服务器通信,或者服务器未收到配置。 检查服务器上的事件日志,看是否有 20000 个事件,这表示未认可的代理正在尝试连接。

看到这些事件时,它指示身份验证已发生,但连接已关闭。 这通常是因为尚未配置代理。 若要验证这一点,请检查是否在管理服务器上收到不属于此管理组的事件 ID 20000 A 设备是否尝试访问此运行状况服务

如果客户端代理停滞在 挂起 状态且控制台中不可见,则也会发生这些事件日志。

若要验证,请运行以下命令,检查是否已列出代理以供手动批准:

Get-SCOMPendingManagement

如果是这样,可以通过运行以下命令来手动批准代理来解决此问题:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

事件 ID 21023 显示在客户端代理上,而事件 ID 29120、29181 和 21024 显示在管理服务器上

下面提供了这些事件的一些示例。

日志名称: Operations Manager
来源:OpsMgr 连接器
事件 ID:21023
任务类别:无
级别:信息
关键字:经典
用户:无
计算机: <ComputerName>
说明:
OpsMgr 没有针对管理组 GroupName <> 的配置,并且正在从配置服务请求新配置。

日志名称: Operations Manager
来源:OpsMgr 管理配置
事件 ID:29120
任务类别:无
级别: 警告
关键字:经典
用户:无
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务无法处理配置请求(Xml 配置文件或管理包请求)

日志名称: Operations Manager
来源:OpsMgr 管理配置
事件 ID:29181
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务未能执行“GetNextWorkItem”引擎工作项

日志名称: Operations Manager
来源:OpsMgr 管理配置
事件 ID:29181
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务未能执行“LocalHealthServiceDirtyNotification”引擎工作项

日志名称: Operations Manager
来源:OpsMgr 管理配置
事件 ID 21024:
任务类别:无
级别:信息
关键字:经典
用户:无
计算机: <ComputerName>
说明:
对于管理组 GroupName,OpsMgr <>的配置可能已过时,并且已从配置服务请求更新的配置。 当前状态 Cookie 为“5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3”

日志名称: Operations Manager
来源:OpsMgr 连接器
事件 ID:29181
任务类别:无
级别: 错误
关键字:经典
用户:无
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务未能执行“DeltaSynchronization”引擎工作项

当增量同步进程在其配置的超时时段内无法生成配置 30 秒时,可能会发生这些事件。 当存在大型实例空间时,可能会发生这种情况。

若要解决此问题,请增加所有管理服务器上的超时。 为此,请使用以下方法之一:

方法 1

  1. 创建以下文件的备份副本:

    Drive:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. 通过以下更改增加超时值 ConfigService.config

    找到<OperationTimeout DefaultTimeoutSeconds="30">,将 30 更改为 300
    找到<Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />,将 180 更改为 300

  3. 重启配置服务。

在大多数情况下,这应该有足够的时间完成同步过程。

方法 2

  1. 安装 System Center 2012 R2 Operations Manager 的更新汇总 3 或更高版本。

  2. 在运行 System Center 2012 R2 Operations Manager 的服务器上添加以下注册表值以配置超时:

    • 注册表子项: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • DWORD 名称: CommandTimeoutSeconds
    • DWORD 值: nn

    注意

    占位符 nn 的默认值为 30 秒。 可以更改此值来控制增量同步的超时。

其他 OpsMgr 连接器事件 ID

下面列出了其他 OpsMgr 连接器错误事件和相应的故障排除建议:

事件 说明 详细信息
20050 无法加载指定的证书,因为指定的增强型密钥用法不符合 OpsMgr 要求。 证书必须具有以下使用类型:%n %n 服务器身份验证(1.3.6.1.5.5.5.7.3.1)%n 客户端身份验证(1.3.6.1.5.5.7.3.2)%n 确认证书上的对象标识符。
20057 未能初始化目标 %1 的安全上下文:返回的错误为 %2(%3)。 此错误适用于 Kerberos 包或 SChannel 包。 检查是否存在重复或不正确的 SPN。
20066 指定了用于相互身份验证的证书。 但是,找不到该证书。 此运行状况服务通信能力可能会受到影响。 检查证书。
20068 注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 中指定的证书不能用于身份验证,因为证书不包含可用私钥或私钥不存在。 错误为 %1(%2)。 检查缺少的或未关联的私钥。 调查证书。 重新导入证书,或创建新的证书并导入。
20069 无法加载指定的证书,因为 KeySpec 必须AT_KEYEXCHANGE 检查证书。 检查证书上的对象标识符。
20070 连接到 %1 的 OpsMgr 连接器。 但是,身份验证发生后立即关闭连接。 此错误的最可能原因是代理无权与服务器通信或服务器未收到配置。 检查服务器上的事件日志中是否存在 20000 个事件。 这些指示未批准的代理正在尝试连接。 身份验证发生,但连接已关闭。 确认端口已打开并检查代理等待审批。
20071 连接到 %1 的 OpsMgr 连接器。 但是,在没有身份验证的情况下立即关闭连接。 此错误的最可能原因是无法对此代理或服务器进行身份验证。 检查服务器上和代理上的事件日志,了解指示身份验证失败的事件。 身份验证失败。 检查防火墙和端口 5723。 代理计算机必须能够访问管理服务器上的端口 5723。 此外,还确认 TCP 和 UDP 端口 389(对于 LDAP),适用于 Kerberos 的端口 88 和 DNS 的端口 53 可用。
20072 远程证书 %1 不受信任。 错误为 %2(%3)。 检查证书是否位于受信任的存储中。
20077 注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 中指定的证书不能用于身份验证,因为无法查询证书以获取属性信息。 特定错误为 %2(%3)。%n %n。 这通常意味着证书中不包含任何私钥。 请仔细检查以确保证书包含私钥。 缺少或未关联的私钥。 调查证书。 重新导入证书,或创建新的证书并导入。
21001 由于相互身份验证失败,OpsMgr 连接器无法连接到 %1。 验证 SPN 是否已在服务器上正确注册,并且如果服务器位于单独的域中,则这两个域之间存在完全信任关系。 检查 SPN 注册。
21005 OpsMgr 连接器无法解析 %1 的 IP。 错误代码为 %2(%3)。 请验证 DNS 在你的环境中是否正常工作。 这通常是名称解析问题。 检查 DNS。
21006 OpsMgr 连接器无法连接到 %1:%2。 错误代码为 %3(%4)。 请验证是否存在网络连接、服务器正在运行并注册了其侦听端口,并且没有阻止发向目标的流量的防火墙。 这可能是一般连接问题。 检查防火墙并确认端口 5723 已打开。
21007 OpsMgr 连接器无法创建与 %1 的相互身份验证的连接,因为它不在受信任的域中。 未建立信任。 确认证书已到位,并已正确配置。
21016 OpsMgr 无法将通信通道设置为 %1,并且没有故障转移主机。 当 %1 可用且启用来自此计算机的通信时,通信将恢复。 这通常表示身份验证失败。 确认代理已批准进行监视,并且所有端口都已打开。
21021 无法加载或创建证书。 此运行状况服务将无法与其他运行状况服务通信。 在事件日志中查找以前的事件以获取更多详细信息。 检查证书。
21022 未指定证书。 除非这些运行状况服务位于与此域具有信任关系的域中,否则此运行状况服务将无法与其他运行状况服务通信。 如果此运行状况服务必须与不受信任的域中的运行状况服务通信,请配置证书。 检查证书。
21035 注册此计算机的 SPN 时,“%1”服务类失败,出现错误“%2”。这可能会导致 Kerberos 身份验证在此运行状况服务失败。 这表示 SPN 注册出现问题。 调查 KERberos 身份验证的 SPN。
21036 注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 中指定的证书不能用于身份验证。 错误为 %1(%2)。 这通常是缺失或未关联的私钥。 调查证书。 重新导入证书,或创建新证书并将其导入。