共用方式為

針對 Operations Manager 中的代理程式連線性問題進行疑難排解

  • 發行項

本指南可協助您針對 Operations Manager 代理程式在 System Center 2012 Operations Manager (OpsMgr 2012) 和更新版本中連線到 Management 伺服器的問題進行疑難排解。

若要深入瞭解 Operations Manager 代理程式及其與管理伺服器通訊的方式,請參閱代理程式和管理伺服器之間的代理程式和通訊。

原始產品版本: System Center 2012 Operations Manager
原始 KB 編號: 10066

檢查健全狀況服務

每當 Operations Manager 遇到連線問題時,請先確定 健全狀況服務 在用戶端代理程式和管理伺服器上執行時不會發生錯誤。 若要判斷服務是否正在執行,請遵循下列步驟:

  1. 按 Windows 鍵+R。

  2. 在 [ 執行] 方塊中,輸入 services.msc 並按 Enter。

  3. 尋找Microsoft監視代理程式服務,然後按兩下以開啟 [屬性] 頁面。

    注意

    在 System Center 2012 Operations Manager 中,服務名稱為 System Center Management

  4. 請確定 [ 啟動 類型] 設定為 [ 自動]。

  5. 檢查 [已啟動] 是否顯示在 [服務狀態] 中。 否則,請按兩下 [ 開始]。

檢查防毒軟體排除項目

如果 健全狀況服務 已啟動並執行,下一件事就是確認已正確設定防毒排除專案。 如需 Operations Manager 建議的防毒排除專案最新資訊,請參閱 與 Operations Manager 相關的防毒排除建議。

檢查網路問題

在 Operations Manager 中,代理程式計算機必須能夠成功連線到管理伺服器上的 TCP 連接埠 5723。 如果失敗,您可能會在用戶端代理程式上收到事件標識碼 21016 和 21006。

除了 TCP 連接埠 5723 之外,還必須啟用下列埠:

  • LDAP 的 TCP 和 UDP 連接埠 389
  • 用於 Kerberos 驗證的 TCP 和 UDP 連接埠 88
  • 網域名稱服務的 TCP 和 UDP 連接埠 53 (DNS)

此外,您必須確保 RPC 通訊透過網路順利完成。 RPC 通訊的問題通常會在從管理伺服器推送代理程式時顯示出來。 RPC 通訊問題通常會導致用戶端推送失敗,並出現類似下列錯誤:

Operation Manager 伺服器無法在電腦 agent1.contoso.com 上執行指定的作業。

作業:代理程式安裝
安裝帳戶:contoso\Agent_action
錯誤碼:800706BA
錯誤描述:RPC 伺服器無法使用

當使用非標準暫時埠或防火牆封鎖暫時埠時,通常會發生此錯誤。 例如,如果已設定非標準高範圍 RPC 埠,則網路追蹤會顯示成功連線至 RPC 埠 135,後面接著使用非標準 RPC 埠的連線嘗試,例如 15595。 以下是一個範例:

18748 MS 代理程式 TCP TCP: Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 MS 代理程式 TCP TCP:[SynReTransmit #18748] Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS 代理程式 TCP TCP:[SynReTransmit #18748] Flags=......S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192

在此範例中,由於此非標準範圍的埠豁免未在防火牆上設定,因此會捨棄封包,且連線失敗。

在 Windows Vista 和更新版本中,RPC 高範圍埠是 49152-65535,因此這就是我們想要尋找的埠。 若要確認這是否為您的問題,請執行下列命令來查看已設定的 RPC 高端口範圍:

netsh int ipv4 show dynamicportrange tcp

根據 IANA 標準,輸出看起來應該像這樣:

通訊協定 tcp 動態埠範圍
---------------------------------
啟動埠:49152
埠數目:16384

如果您看到不同的 啟動埠,問題可能是防火牆未正確設定為允許透過這些埠的流量。 您可以在防火牆上變更組態,或執行下列命令,將高範圍埠設定回預設值:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

您也可以透過登錄設定 RPC 動態埠範圍。 如需詳細資訊,請參閱 如何設定 RPC 動態埠配置以使用防火牆

如果一切似乎都正確設定,而且您仍然遇到錯誤,可能是由下列其中一個條件所造成:

  1. DCOM 已限製為特定埠。 若要確認、執行 dcomcnfg.exe,請移至 [我的計算機>屬性>預設通訊協定],確定沒有自定義設定。

  2. WMI 已設定為使用自訂端點。 若要檢查您是否已針對WMI設定靜態端點,請執行 dcomcnfg.exe,請移至 [我的電腦>DCOM 設定>Windows 管理和檢測>屬性>端點],確定沒有自定義設定。

  3. 代理程式電腦正在執行 Exchange Server 2010 用戶端存取伺服器角色。 Exchange Server 2010 用戶端存取服務會將埠範圍變更為 6005 到 65535。 範圍已擴充,以提供足夠的大型部署調整。 請勿在不完全瞭解後果的情況下變更這些埠值。

如需埠和防火牆需求的詳細資訊,請參閱 防火牆。 您也可以在相同的文章中找到最低所需的網路連線速度。

注意

針對網路問題進行疑難解答是一個極其嚴重的問題,因此如果您懷疑基礎網路問題導致 Operations Manager 中的代理程式連線問題,最好諮詢網路工程師。 我們也提供一些基本、一般化網路疑難解答資訊,可從我們的 Windows Directory 服務支援小組取得,可在 沒有 NetMon 的網路進行疑難解答。

檢查閘道伺服器上的憑證問題

Operations Manager 要求在用戶端代理程式與管理伺服器之間執行相互驗證,才能在它們之間交換資訊。 若要保護驗證程式,會加密進程。 當代理程式和管理伺服器位於相同的 Active Directory 網域,或已建立信任關係的 Active Directory 網域中時,它們會使用 Active Directory 所提供的 Kerberos v5 驗證機制。 當代理程式與管理伺服器並非位於相同的信任界限內,則必須使用其他機制以滿足安全相互驗證的需求。

在 Operations Manager 中,這是透過使用針對每部電腦發行的 X.509 憑證來完成。 如果有許多代理程式監視的計算機,這可能會導致管理所有憑證的系統管理額外負荷。 此外,如果代理程式和管理伺服器之間有防火牆存在,則必須在防火牆規則內定義並維護多個授權端點,以容許其彼此進行通訊。

為了減少系統管理額外負荷,Operations Manager 具有稱為網關伺服器的選擇性伺服器角色。 網關伺服器位於用戶端代理程式的信任界限內,而且可以參與強制相互驗證。 因為閘道位於與代理程式相同的信任界限內,所以代理程式與閘道伺服器之間會使用 Active Directory 的 Kerberos v5 通訊協定,然後每個代理程式只會與它知道的閘道伺服器通訊。

閘道伺服器接著會代表用戶端與管理伺服器通訊。 若要支援閘道伺服器與管理伺服器之間的強制安全相互驗證,憑證必須發行並安裝,但僅適用於閘道和管理伺服器。 這會減少所需的憑證數目。 在介入防火牆的情況下,它也會減少防火牆規則中必須定義的授權端點數目。

此處的要點是,如果用戶端代理程式和管理伺服器不在相同的信任界限內,或是使用閘道伺服器,則必須正確安裝並設定必要的憑證,才能讓代理程式連線正常運作。 以下是要檢查的一些重要事項:

  • 確認閘道憑證存在於 閘道或代理程式所連線之管理伺服器上的本機電腦>個人>憑證 中。

  • 確認跟證書存在於閘道或代理程式所連線之管理伺服器上的本機電腦>受信任跟證書授權單位>憑證中。

  • 確認跟證書存在於閘道伺服器上的本機電腦>受信任跟證書授權單位>憑證中。

  • 確認閘道憑證存在於 閘道伺服器上的本機電腦>個人>憑證 中。 確認閘道憑證存在於閘道伺服器上的本機電腦>Operations Manager>憑證中。

  • 確認登錄值存在,並且具有憑證的值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber(從網關伺服器上的 [序號] 欄位中詳細數據內的 [本機計算機/個人/憑證] 資料夾反轉。

  • 確認登錄值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber存在,並且具有憑證的值(從 [序號] 字段中詳細數據內的 [本機計算機/個人/憑證] 資料夾,在網關或代理程式所連線的管理伺服器上反轉。

當憑證發生問題時,您可能會在 Operations Manager 事件記錄檔中收到下列事件標識碼:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

如需 Operations Manager 中憑證式驗證運作方式的詳細資訊,以及如何取得和設定適當憑證的指示,請參閱 Windows 計算機的驗證和數據加密。

檢查用戶端代理程式上是否有脫離的命名空間

當用戶端電腦有不符合用戶端所屬 Active Directory 網域 DNS 名稱的主要 DNS 後綴時,就會發生脫離命名空間。 例如,在名為 na.corp.contoso.com 的 Active Directory 網域中使用 corp.contoso.com 的主要 DNS 後綴的用戶端會使用脫離的命名空間。

當用戶端代理程式或管理伺服器有脫離的命名空間時,Kerberos 驗證可能會失敗。 雖然這是 Active Directory 問題,而不是 Operations Manager 問題,但它會影響代理程式連線能力。

如需詳細資訊,請參閱脫離命名空間

若要解決此問題,請使用下列其中一種方法:

方法 1

手動為受影響的計算機帳戶建立適當的服務主體名稱(SPN),並包含完整域名 (FQDN) 的主機 SPN,以及脫離的名稱後綴 (HOST/machine.disjointed_name_suffix.local)。 此外, DnsHostName 請更新計算機的 屬性,以反映脫離的名稱(machine.disjointed_name_suffix.local),並在 Active Directory 使用的 DNS 伺服器上的有效 DNS 區域中啟用屬性的註冊。

方法 2

更正脫離的命名空間。 若要這樣做,請變更受影響計算機屬性中的命名空間,以反映計算機所屬網域的 FQDN。 在環境中進行任何變更之前,請確定您完全了解執行這項作業的後果。 如需詳細資訊,請參閱 從脫離命名空間轉換至連續命名空間

檢查網路連線緩慢

如果用戶端代理程式在緩慢的網路連線中執行,可能會因為驗證發生硬式編碼逾時,而發生連線問題。 若要解決此問題,請安裝 System Center 2012 Operations Manager SP1 更新匯總 8 (假設您尚未在 System Center 2012 R2 Operations Manager 上),然後手動變更逾時值。

UR8 更新會將伺服器逾時增加為 20 秒,而用戶端逾時為 5 分鐘。

如需詳細資訊,請參閱 System Center 2012 Operations Manager Service Pack 1 的更新匯總 8。

注意

當用戶端代理程式與管理伺服器之間發生時間同步處理問題時,也可能會發生此問題。

檢查 OpsMgr 連接器問題

如果其他所有專案都取出,請檢查 Operations Manager 事件記錄檔中是否有 OpsMgr 連接器所產生的任何錯誤事件。 各種 OpsMgr 連接器事件的常見原因和解決方式如下。

用戶端代理程式上會出現事件標識碼 21006 和 21016

這些事件的範例:

來源:OpsMgr 連接器
日期:時間
事件標識碼:21006
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:OpsMgr 連接器無法連線到 <ManagementServer>:5723。 錯誤碼為 10060L(連線嘗試失敗,因為連線者在一段時間後未正確回應,或已建立的連線失敗,因為連線主機無法回應。 請確認有網路連線能力、伺服器正在執行,並已註冊其接聽埠,而且沒有防火牆封鎖目的地的流量。

記錄名稱:Operations Manager
來源:OpsMgr 連接器
日期:時間
事件標識碼:21016
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:OpsMgr 無法設定 ManagementServer 的 <通訊通道,> 而且沒有故障轉移主機。 當 ManagementServer> 可供使用且允許來自這部電腦的通訊時<,通訊將會繼續。

通常會產生這些事件標識碼,因為代理程式尚未收到設定。 新增代理程序之後,以及在設定代理程式之前,此事件很常見。 代理程式 Operations Manager 事件記錄檔中的事件 1210 表示代理程式已接收並套用組態。 建立通訊之後,您會收到此事件。

您可以使用下列步驟來針對此問題進行疑難解答:

  1. 如果未啟用手動安裝的代理程序自動核准,請確認代理程式已核准。

  2. 請確定已啟用下列埠以進行通訊:

    • 5723 和 TCP 和 UDP 連接埠 389 for LDAP。
    • 用於 Kerberos 驗證的 TCP 和 UDP 連接埠 88。
    • DNS 伺服器的 TCP 和 UDP 連接埠 53。

  3. 此事件可能表示 Kerberos 驗證失敗。 檢查事件記錄檔中的 Kerberos 錯誤,並進行疑難解答。

  4. 檢查 DNS 後綴是否有不正確的網域。 例如,計算機會聯結至 contoso1.com ,但主要 DNS 後綴會設定為 contoso2.com

  5. 請確定預設功能變數名稱登錄機碼正確無誤。 若要確認,請確定下列登錄機碼符合您的功能變數名稱:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. 健全狀況服務的重複SPN也可能造成事件標識碼21016。 若要尋找重複的 SPN,請執行下列命令:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    如果已註冊重複的SPN,您必須移除未用於管理伺服器之帳戶的SPN健全狀況服務。

事件標識碼 20057 會出現在管理伺服器上

此事件的範例:

記錄名稱:Operations Manager
來源:OpsMgr 連接器
日期:時間
事件標識碼:20057
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:無法初始化目標 MSOMHSvc/******傳回的錯誤0x80090311(無法連絡任何授權單位進行驗證。 此錯誤可以套用至 Kerberos 或 SChannel 套件。

事件標識碼 21006、21016 和 20057 通常是由防火牆或網路問題導致無法透過必要埠進行通訊。 若要針對此問題進行疑難解答,請檢查用戶端代理程式與管理伺服器之間的防火牆。 必須開啟下列埠,才能啟用正確的驗證和通訊:

  • LDAP 的 TCP 和 UDP 連接埠 389。
  • 用於 Kerberos 驗證的 TCP 和 UDP 連接埠 88。

用戶端代理程式上會出現事件標識碼 2010 和 2003

這些事件的範例:

記錄名稱:Operations Manager
來源:HealthService
日期:數據
事件標識碼:2010
工作類別:健全狀況服務
層級:錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:健全狀況服務 無法連線到 Active Directory 以擷取管理組策略。 錯誤為未指定錯誤 (0x80004005)
事件 Xml:
<事件 xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系統>
<提供者名稱=「HealthService」 />
<EventID 限定符=“49152”>2010/<EventID>
<層級>2</層級>
<工作>1</任務>
<>關鍵詞0x80000000000000</關鍵詞>
<TimeCreated SystemTime=“2015-02-21T21:06:04.0000000000Z” />
<EventRecordID>84143</EventRecordID>
<通道Operations> Manager</通道>
<Computer>ComputerName</Computer>
<安全/>
</系統>
<EventData>
<數據>未指定錯誤</數據>
<數據>0x80004005</數據>
</EventData>
</事件>

記錄名稱:Operations Manager
來源:HealthService
日期:時間
事件標識碼:2003
工作類別:健全狀況服務
等級:資訊
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:未啟動任何管理群組。 這可能是因為目前未設定任何管理群組,或設定的管理群組無法啟動。 健全狀況服務 會等候 Active Directory 的原則設定管理群組執行。
事件 Xml:
<事件 xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系統>
<提供者名稱=「HealthService」 />
<EventID 限定符=“16384”>2003/<EventID>
<層級>4</層級>
<工作>1</任務>
<>關鍵詞0x80000000000000</關鍵詞>
<TimeCreated SystemTime=“2015-02-21T21:06:04.0000000000Z” />
<EventRecordID>84156</EventRecordID>
<通道Operations> Manager</通道>
<Computer>ComputerName</Computer>
<安全/>
</系統>
<EventData>
</EventData>
</事件>

如果代理程式使用 Active Directory 指派,事件記錄檔也會指出與 Active Directory 通訊時發生問題。

如果您看到這些事件記錄檔,請確認用戶端代理程式可以存取 Active Directory。 檢查防火牆、名稱解析和一般網路連線能力。

事件標識碼 20070 與事件標識碼 21016 結合

這些事件的範例:

記錄名稱:Operations Manager
來源:OpsMgr 連接器
日期:2014/6/13 下午 10:13:39
事件標識碼:21016
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 無法設定 ComputerName> 的<通訊通道,而且沒有故障轉移主機。 當 ComputerName> 可供使用且允許來自這部電腦的通訊時<,通訊將會繼續。

記錄名稱:Operations Manager
來源:OpsMgr 連接器
日期:2014/6/13 下午 10:13:37
事件標識碼:20070
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
連線到 <ComputerName> 的 OpsMgr 連接器,但在驗證發生後立即關閉連線。 發生此錯誤最可能的原因是代理程式未取得授權,無法與伺服器通訊,或是伺服器尚未接收到設定。 請檢查伺服器的事件記錄檔是否有 20000 事件,此類事件會指出未核准的代理程式正在嘗試連線。

當您看到這些事件時,表示發生驗證,但連線已關閉。 這通常會因為尚未設定代理程序而發生。 若要確認這一點,請檢查事件標識碼 20000 此管理群組中不屬於此管理群組的裝置是否嘗試存取此健康情況服務

如果用戶端代理程式卡在 置中狀態,而且控制台中看不到,也會發生這些事件記錄檔。

若要確認,請執行下列命令來檢查代理程式是否已列出以進行手動核准:

Get-SCOMPendingManagement

若是如此,您可以執行下列命令來手動核准代理程序來解決此問題:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

事件標識碼 21023 會出現在用戶端代理程式上,而事件標識碼 29120、29181 和 21024 則出現在管理伺服器上

以下包含這些事件的一些範例。

記錄名稱:Operations Manager
來源:OpsMgr 連接器
事件標識碼:21023
工作分類:無
等級:資訊
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 沒有管理群組 <GroupName> 的組態,而且正在向組態服務要求新的組態。

記錄名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:29120
工作分類:無
層級:警告
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務無法處理設定要求 (XML 設定檔或管理元件要求),因為發生下列例外狀況

記錄名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:29181
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務因為下列例外狀況而無法執行 'GetNextWorkItem' 引擎工作專案

記錄名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:29181
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務因為下列例外狀況而無法執行 'LocalHealthServiceDirtyNotification' 引擎工作專案

記錄名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:21024
工作分類:無
等級:資訊
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 的組態可能已過期,管理群組 <GroupName> 已要求更新組態。 目前(過期)狀態 Cookie 是 “5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3”

記錄名稱:Operations Manager
來源:OpsMgr 連接器
事件標識碼:29181
工作分類:無
層級: 錯誤
關鍵字:傳統
使用者: N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務因為下列例外狀況而無法執行 'DeltaSynchronization' 引擎工作專案

當差異同步處理程式無法在設定的逾時時間範圍內建置組態 30 秒時,就會發生這些事件。 當有大型實例空間時,可能會發生這種情況。

若要解決此問題,請增加所有管理伺服器上的逾時。 若要這樣做,請使用下列其中一種方法:

方法 1

  1. 建立下列檔案的備份複本:

    Drive:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. 使用下列變更來增加 中的 ConfigService.config 逾時值:

    找出 <OperationTimeout DefaultTimeoutSeconds="30">,將 30 變更300
    找出 <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />,將 180 變更300

  3. 重新啟動組態服務。

在大部分情況下,這應該允許足夠的時間讓同步處理程式完成。

方法 2

  1. 安裝 System Center 2012 R2 Operations Manager 的更新匯總 3 或更新版本。

  2. 在執行 System Center 2012 R2 Operations Manager 的伺服器上新增下列登錄值,以設定逾時:

    • 登錄子機碼: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • DWORD 名稱: CommandTimeoutSeconds
    • DWORD 值: nn

    注意

    佔位元 nn 的預設值為 30 秒。 您可以變更此值來控制差異同步處理的逾時。

其他 OpsMgr 連接器事件 ID

下列列出其他 OpsMgr 連接器錯誤事件和對應的疑難解答建議:

活動 描述 詳細資訊
20050 無法載入指定的憑證,因為指定的增強密鑰使用方式不符合 OpsMgr 需求。 憑證必須具有下列使用類型: %n %n 伺服器驗證 (1.3.6.1.5.5.5.7.3.1)%n 用戶端驗證 (1.3.6.1.5.5.7.3.2)%n 確認憑證上的物件標識碼。
20057 無法初始化目標 %1 的安全性內容:傳回的錯誤為 %2(%3)。 此錯誤可以套用至 Kerberos 套件或 SChannel 套件。 檢查是否有重複或不正確的SPN。
20066 已指定用於相互驗證的憑證。 不過,找不到該憑證。 此 健全狀況服務 通訊的能力可能會受到影響。 檢查憑證。
20068 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 登錄中指定的憑證無法用於驗證,因為憑證不包含可使用的私鑰,或因為私鑰不存在。 錯誤為 %1(%2)。 檢查遺失或未關聯的私鑰。 調查憑證。 重新匯入憑證,或建立新的憑證並匯入。
20069 無法載入指定的憑證,因為 KeySpec 必須AT_KEYEXCHANGE 檢查憑證。 檢查憑證上的物件標識碼。
20070 連線至 %1 的 OpsMgr 連接器。 不過,在驗證發生之後,聯機會立即關閉。 此錯誤最有可能的原因是代理程式未獲授權與伺服器通訊,或伺服器尚未收到組態。 檢查伺服器上的事件記錄檔中是否有 20000 個事件。 這些表示未核准的代理程式正嘗試連線。 發生驗證,但連線已關閉。 確認埠已開啟,並檢查代理程式擱置核准。
20071 連線至 %1 的 OpsMgr 連接器。 不過,聯機會立即關閉,而不會發生驗證。 此錯誤最有可能的原因是無法驗證此代理程式或伺服器。 檢查伺服器和代理程式上的事件記錄檔,以取得指出驗證失敗的事件。 驗證失敗。 檢查防火牆和埠 5723。 代理程式計算機必須能夠連線到管理伺服器上的埠 5723。 同時確認LDAP的TCP和UDP埠389、Kerberos的埠88和 DNS 的埠 53 可供使用。
20072 遠端憑證 %1 不受信任。 錯誤為 %2(%3)。 檢查憑證是否位於信任的存放區中。
20077 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 登錄中指定的憑證無法用於驗證,因為無法查詢憑證以取得屬性資訊。 特定錯誤為 %2(% 3)。%n %n。 這通常表示憑證中未包含任何私鑰。 請仔細檢查以確定憑證包含私鑰。 缺少或未關聯的私鑰。 調查憑證。 重新匯入憑證,或建立新的憑證並匯入。
21001 OpsMgr 連接器無法連線到 %1,因為相互驗證失敗。 確認SPN已在伺服器上正確註冊,而且,如果伺服器位於不同的網域中,則這兩個網域之間有完全信任關係。 檢查SPN註冊。
21005 OpsMgr 連接器無法解析 %1 的IP。 錯誤碼為 %2(%3)。 請確認 DNS 在您的環境中正常運作。 這通常是名稱解析問題。 檢查 DNS。
21006 OpsMgr 連接器無法連線到 %1:%2。 錯誤碼為 %3(%4)。 請確認有網路連線能力、伺服器正在執行且已註冊其接聽埠,而且沒有封鎖目的地流量的防火牆。 這可能是一般連線問題。 檢查防火牆,並確認埠 5723 已開啟。
21007 OpsMgr 連接器無法建立與 %1 的相互驗證連線,因為它不在信任的網域中。 未建立信任。 確認憑證已就緒且已正確設定。
21016 OpsMgr 無法將通道設定為 %1,而且沒有故障轉移主機。 當 %1 可用且啟用此電腦的通訊時,通訊將會繼續。 這通常表示驗證失敗。 確認代理程式已核准進行監視,且所有埠都已開啟。
21021 無法載入或建立憑證。 此 健全狀況服務 將無法與其他健康情況服務通訊。 如需詳細資訊,請在事件記錄檔中尋找先前的事件。 檢查憑證。
21022 未指定憑證。 除非這些健康狀態服務位於與此網域有信任關係的網域中,否則此 健全狀況服務 將無法與其他健康狀態服務通訊。 如果此健康情況服務必須與不受信任的網域中的健康情況服務通訊,請設定憑證。 檢查憑證。
21035 使用 %1 服務類別註冊此電腦的 SPN 失敗,錯誤 %2。這可能會導致 Kerberos 驗證失敗,或從此 健全狀況服務 失敗。 這表示SPN註冊發生問題。 調查SPN以進行 Kerberos 驗證。
21036 登錄 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 中指定的憑證無法用於驗證。 錯誤為 %1(%2)。 這通常是遺失或未關聯的私鑰。 調查憑證。 重新匯入憑證,或建立新的憑證並加以匯入。