Solución de problemas de conectividad del agente en Operations Manager

  • Artículo

Esta guía le ayuda a solucionar problemas por los que los agentes de Operations Manager tienen problemas para conectarse al servidor de administración en System Center 2012 Operations Manager (OpsMgr 2012) y versiones posteriores.

Para obtener más información sobre el agente de Operations Manager y cómo se comunican con los servidores de administración, consulte Agentes y comunicación entre agentes y servidores de administración.

Versión original del producto: System Center 2012 Operations Manager
Número de KB original: 10066

Comprobación del servicio de mantenimiento

Siempre que experimente problemas de conectividad en Operations Manager, asegúrese primero de que el servicio de mantenimiento se ejecuta sin errores tanto en el agente cliente como en el servidor de administración. Para determinar si el servicio se está ejecutando, siga estos pasos:

  1. Presione la tecla Windows+R.

  2. En el cuadro Ejecutar , escriba services.msc y presione Entrar.

  3. Busque el servicio Microsoft Monitoring Agent y haga doble clic en él para abrir la página Propiedades .

    Nota:

    En System Center 2012 Operations Manager, el nombre del servicio es System Center Management.

  4. Asegúrese de que el tipo de inicio está establecido en Automático.

  5. Compruebe si Se ha iniciado en Estado del servicio. En caso contrario, haga clic en Iniciar.

Comprobación de exclusiones de antivirus

Si el servicio de mantenimiento está en funcionamiento, lo siguiente es confirmar que las exclusiones de antivirus están configuradas correctamente. Para obtener la información más reciente sobre las exclusiones de antivirus recomendadas para Operations Manager, consulte Recomendaciones para exclusiones de antivirus relacionadas con Operations Manager).

Comprobación de problemas de red

En Operations Manager, el equipo del agente debe poder conectarse correctamente al puerto TCP 5723 en el servidor de administración. Si se produce un error, es probable que reciba el identificador de evento 21016 y 21006 en el agente cliente.

Además del puerto TCP 5723, se deben habilitar los siguientes puertos:

  • Puerto TCP y UDP 389 para LDAP
  • Puerto TCP y UDP 88 para la autenticación Kerberos
  • Puerto TCP y UDP 53 para el servicio de nombres de dominio (DNS)

Además, debe asegurarse de que las comunicaciones RPC se completen correctamente a través de la red. Los problemas con la comunicación RPC suelen manifestarse a sí mismos al insertar un agente desde el servidor de administración. Los problemas de comunicación RPC suelen hacer que la inserción de cliente produzca un error similar al siguiente:

El servidor de Operation Manager no pudo realizar la operación especificada en el equipo agent1.contoso.com.

Operación: Instalación del agente
Cuenta de instalación: contoso\Agent_action
Código de error: 800706BA
Descripción del error: El servidor RPC no está disponible

Este error suele producirse cuando se usan puertos efímeros no estándar o cuando un firewall bloquea los puertos efímeros. Por ejemplo, si se han configurado puertos RPC de rango alto no estándar, un seguimiento de red mostrará una conexión correcta al puerto RPC 135 seguido de un intento de conexión mediante un puerto RPC no estándar como 15595. A continuación puede ver un ejemplo:

18748 MS Agent TCP: Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 MS Agent TCP TCP:[SynReTransmit #18748] Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS Agent TCP TCP:[SynReTransmit #18748] Flags=...... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192

En este ejemplo, dado que la exención de puerto para este intervalo no estándar no se configuró en el firewall, se quitan los paquetes y se produce un error en la conexión.

En Windows Vista y versiones posteriores, los puertos de alto rango RPC son 49152-65535, por lo que es lo que queremos buscar. Para comprobar si este es el problema, ejecute el siguiente comando para ver qué intervalo de puertos rpc está configurado:

netsh int ipv4 show dynamicportrange tcp

De acuerdo con los estándares de IANA, la salida debe tener este aspecto:

Intervalo de puertos dinámicos tcp del protocolo
---------------------------------
Puerto de inicio: 49152
Número de puertos: 16384

Si ve un puerto de inicio diferente, el problema puede ser que el firewall no está configurado correctamente para permitir el tráfico a través de estos puertos. Puede cambiar la configuración en el firewall o ejecutar el siguiente comando para establecer los puertos de alto rango en sus valores predeterminados:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

También puede configurar el intervalo de puertos dinámicos rpc a través del Registro. Para obtener más información, consulte Configuración de la asignación dinámica de puertos RPC para que funcione con firewalls.

Si todo parece estar configurado correctamente y sigue experimentando el error, puede deberse a una de las condiciones siguientes:

  1. DCOM se ha restringido a un puerto determinado. Para comprobar, ejecute dcomcnfg.exe, vaya a Propiedades de mi equipo>>Protocolos predeterminados, asegúrese de que no hay ninguna configuración personalizada.

  2. WMI está configurado para usar un punto de conexión personalizado. Para comprobar si tiene un punto de conexión estático configurado para WMI, ejecute dcomcnfg.exe, vaya a My Computer DCOM Config Windows Management and Instrumentation Properties Endpoints ( Mi equipo>DCOM Config>Windows Management and Instrumentation>Properties>Endpoints), asegúrese de que no hay ninguna configuración personalizada.

  3. El equipo del agente ejecuta el rol de servidor de acceso de cliente Exchange Server 2010. El servicio de acceso de cliente Exchange Server 2010 cambia el intervalo de puertos a 6005 a 65535. El intervalo se ha ampliado para proporcionar un escalado suficiente para implementaciones de gran tamaño. No cambie estos valores de puerto sin comprender completamente las consecuencias.

Para obtener más información sobre los requisitos de puerto y firewall, consulte Firewalls. También puede encontrar las velocidades de conectividad de red mínimas necesarias en el mismo artículo.

Nota:

La solución de problemas de red es un problema extremadamente grande, por lo que es mejor consultar a un ingeniero de red si sospecha que un problema de red subyacente está causando problemas de conectividad del agente en Operations Manager. También tenemos información básica y generalizada de solución de problemas de red disponible en nuestro equipo de soporte técnico de Windows Directory Services disponible en Solución de problemas de redes sin NetMon.

Comprobación de problemas de certificado en el servidor de puerta de enlace

Operations Manager requiere que se realice la autenticación mutua entre los agentes cliente y los servidores de administración antes del intercambio de información entre ellos. Para proteger el proceso de autenticación, el proceso se cifra. Cuando el agente y el servidor de administración residen en el mismo dominio de Active Directory o en dominios de Active Directory que han establecido relaciones de confianza, usan los mecanismos de autenticación Kerberos v5 proporcionados por Active Directory. Cuando los agentes y los servidores de administración no se encuentran dentro del mismo límite de confianza, se deben usar otros mecanismos para satisfacer el requisito de autenticación mutua segura.

En Operations Manager, esto se logra mediante el uso de certificados X.509 emitidos para cada equipo. Si hay muchos equipos supervisados por agentes, esto puede dar lugar a una alta sobrecarga administrativa para administrar todos esos certificados. Además, si hay un firewall entre los agentes y los servidores de administración, se deben definir y mantener varios puntos de conexión autorizados en las reglas de firewall para permitir la comunicación entre ellos.

Para reducir la sobrecarga administrativa, Operations Manager tiene un rol de servidor opcional denominado servidor de puerta de enlace. Los servidores de puerta de enlace se encuentran dentro del límite de confianza de los agentes cliente y pueden participar en la autenticación mutua obligatoria. Dado que las puertas de enlace se encuentran dentro del mismo límite de confianza que los agentes, el protocolo Kerberos v5 para Active Directory se usa entre los agentes y el servidor de puerta de enlace y, a continuación, cada agente se comunica solo con los servidores de puerta de enlace que conoce.

A continuación, los servidores de puerta de enlace se comunican con los servidores de administración en nombre de los clientes. Para admitir la autenticación mutua segura obligatoria entre el servidor de puerta de enlace y los servidores de administración, se deben emitir e instalar certificados, pero solo para los servidores de administración y puerta de enlace. Esto reduce el número de certificados necesarios. En el caso de un firewall intermedio, también reduce el número de puntos de conexión autorizados que deben definirse en las reglas de firewall.

El punto de referencia aquí es que si los agentes de cliente y los servidores de administración no se encuentran dentro del mismo límite de confianza, o si se usa un servidor de puerta de enlace, los certificados necesarios deben instalarse y configurarse correctamente para que la conectividad del agente funcione correctamente. Estas son algunas cosas clave que debe comprobar:

  • Confirme que el certificado de puerta de enlace existe enCertificadospersonales> de equipo> local en el servidor de administración al que se conecta la puerta de enlace o el agente.

  • Confirme que el certificado raíz existe enCertificados de entidades >de certificación raíz de confianzadel equipo> local en el servidor de administración al que se conecta la puerta de enlace o el agente.

  • Confirme que el certificado raíz existe enCertificados de entidades >de certificación raíz de confianzadel equipo> local en el servidor de puerta de enlace.

  • Confirme que el certificado de puerta de enlace existe enCertificadospersonales>de equipo> local en el servidor de puerta de enlace. Confirme que el certificado de puerta de enlace existe enCertificados deOperations Manager> del equipo> local en el servidor de puerta de enlace.

  • Confirme que el valor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber del Registro existe y tiene el valor del certificado (de la carpeta Equipo local,Personal/Certificados dentro de los detalles del campo Número de serie ) invertido en él en el servidor de puerta de enlace.

  • Confirme que el valor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber del Registro existe y que tiene el valor del certificado (de la carpeta Equipo local/Personal/Certificados dentro de los detalles del campo Número de serie ) invertido dentro de él en el servidor de administración al que se conecta la puerta de enlace o el agente.

Es posible que reciba los siguientes identificadores de evento en el registro de eventos de Operations Manager cuando haya un problema con los certificados:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

Para obtener más información sobre cómo funciona la autenticación basada en certificados en Operations Manager, así como instrucciones sobre cómo obtener y configurar los certificados adecuados, consulte Autenticación y cifrado de datos para equipos Windows.

Comprobación de un espacio de nombres separado en el agente cliente

Un espacio de nombres separado se produce cuando el equipo cliente tiene un sufijo DNS principal que no coincide con el nombre DNS del dominio de Active Directory al que pertenece el cliente. Por ejemplo, un cliente que usa un sufijo DNS principal de corp.contoso.com en un dominio de Active Directory denominado na.corp.contoso.com usa un espacio de nombres separado.

Cuando el agente cliente o el servidor de administración tienen un espacio de nombres separado, se puede producir un error en la autenticación Kerberos. Aunque se trata de un problema de Active Directory y no de Operations Manager, sí afecta a la conectividad del agente.

Para obtener más información, vea Espacio de nombres separado.

Para resolver el problema, use uno de los métodos siguientes:

Método 1

Cree manualmente los nombres de entidad de seguridad de servicio (SPN) adecuados para las cuentas de equipo afectadas e incluya el SPN de host para el nombre de dominio completo (FQDN) junto con el sufijo de nombre separado (HOST/machine.disjointed_name_suffix.local). Actualice también el DnsHostName atributo del equipo para que refleje el nombre separado (machine.disjointed_name_suffix.local) y habilite el registro para el atributo en una zona DNS válida en los servidores DNS que usa Active Directory.

Método 2

Corrija el espacio de nombres separado. Para ello, cambie el espacio de nombres en las propiedades del equipo afectado para reflejar el FQDN del dominio al que pertenece el equipo. Asegúrese de que es totalmente consciente de las consecuencias de hacerlo antes de realizar cambios en su entorno. Para obtener más información, vea Transición de un espacio de nombres separado a un espacio de nombres contiguo.

Comprobación de una conexión de red lenta

Si el agente cliente se ejecuta a través de una conexión de red lenta, puede encontrar problemas de conectividad debido al hecho de que hay un tiempo de espera codificado de forma rígida para la autenticación. Para resolver este problema, instale el paquete acumulativo de actualizaciones 8 de System Center 2012 Operations Manager SP1 (suponiendo que aún no esté en System Center 2012 R2 Operations Manager) y, a continuación, cambie manualmente el valor de tiempo de espera.

La actualización UR8 aumenta el tiempo de espera del servidor a 20 segundos y el tiempo de espera del cliente a 5 minutos.

Para obtener más información, vea Paquete acumulativo de actualizaciones 8 para System Center 2012 Operations Manager Service Pack 1.

Nota:

Este problema también puede producirse cuando hay problemas de sincronización de tiempo entre el agente cliente y el servidor de administración.

Comprobación de problemas del conector de OpsMgr

Si todo lo demás se desprotegerá, compruebe el registro de eventos de Operations Manager para ver si hay eventos de error generados por el conector de OpsMgr. A continuación se enumeran las causas comunes y las resoluciones de varios eventos del conector de OpsMgr.

El identificador de evento 21006 y 21016 aparece en el agente cliente

Ejemplos de estos eventos:

Origen: Conector de OpsMgr
Fecha: Hora
Identificador de evento: 21006
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción: El conector de OpsMgr no pudo conectarse a <ManagementServer>:5723. El código de error es 10060L (error en un intento de conexión porque la parte conectada no respondió correctamente después de un período de tiempo o se produjo un error en la conexión establecida porque el host conectado no ha respondido). Compruebe que hay conectividad de red, que el servidor se está ejecutando y que ha registrado su puerto de escucha y que no hay firewalls que bloqueen el tráfico al destino.

Nombre del registro: Operations Manager
Origen: Conector de OpsMgr
Fecha: Hora
Identificador de evento: 21016
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción: OpsMgr no pudo configurar un canal de comunicaciones en <ManagementServer> y no hay hosts de conmutación por error. La comunicación se reanudará cuando <ManagementServer> esté disponible y se permita la comunicación desde este equipo.

Normalmente, estos identificadores de evento se generan porque el agente no ha recibido la configuración. Después de agregar un nuevo agente y antes de configurarlo, este evento es común. El evento 1210 en el registro de eventos de Operations Manager del agente indica que el agente recibió y aplicó la configuración. Recibirá este evento una vez establecida la comunicación.

Puede usar los pasos siguientes para solucionar este problema:

  1. Si no está habilitada la aprobación automática para los agentes instalados manualmente, confirme que el agente está aprobado.

  2. Asegúrese de que los siguientes puertos están habilitados para la comunicación:

    • 5723 y el puerto TCP y UDP 389 para LDAP.
    • Puerto TCP y UDP 88 para la autenticación Kerberos.
    • Puerto TCP y UDP 53 para el servidor DNS.

  3. Este evento puede indicar que se produce un error en la autenticación Kerberos. Compruebe si hay errores de Kerberos en los registros de eventos y solucione problemas.

  4. Compruebe si el sufijo DNS tiene un dominio incorrecto. Por ejemplo, el equipo se une a contoso1.com , pero el sufijo DNS principal se establece en contoso2.com.

  5. Asegúrese de que las claves predeterminadas del Registro de nombres de dominio son correctas. Para comprobarlo, asegúrese de que las siguientes claves del Registro coinciden con el nombre de dominio:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. Un SPN duplicado para el servicio de mantenimiento también puede provocar el identificador de evento 21016. Para buscar el SPN duplicado, ejecute el siguiente comando:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    Si se registran SPN duplicados, debe quitar el SPN de la cuenta que no se usa para el servicio de mantenimiento del servidor de administración.

El identificador de evento 20057 aparece en el servidor de administración

Ejemplo de este evento:

Nombre del registro: Operations Manager
Origen: Conector de OpsMgr
Fecha: hora
Identificador de evento: 20057
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción: no se pudo inicializar el contexto de seguridad para MSOMHSvc/******El error devuelto es 0x80090311(No se pudo establecer contacto con ninguna autoridad para la autenticación). Este error se puede aplicar al paquete Kerberos o SChannel.

Los identificadores de evento 21006, 21016 y 20057 suelen deberse a firewalls o problemas de red que impiden la comunicación a través de los puertos necesarios. Para solucionar este problema, compruebe los firewalls entre el agente cliente y el servidor de administración. Los puertos siguientes deben estar abiertos para habilitar la autenticación y la comunicación correctas:

  • Puerto TCP y UDP 389 para LDAP.
  • Puerto TCP y UDP 88 para la autenticación Kerberos.

El identificador de evento 2010 y 2003 aparece en el agente cliente

Ejemplos de estos eventos:

Nombre del registro: Operations Manager
Origen: HealthService
Fecha: datos
Identificador de evento: 2010
Categoría de tarea: Servicio de mantenimiento
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción: El servicio de mantenimiento no puede conectarse a Active Directory para recuperar la directiva de grupo de administración. El error es Unspecified error (0x80004005)
Xml de evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<Sistema>
<Provider Name="HealthService" />
<EventID Qualifiers="49152">2010/<EventID>
<Nivel>2</Nivel>
<Tarea>1</Tarea>
<>Palabras clave 0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-02-21T21:06:04.00000000Z" />
<EventRecordID>84143</EventRecordID>
<Channel>Operations Manager</Channel>
<NombreDeEquipo></Equipo>
<Seguridad/>
</Sistema>
<EventData>
<Error>o datos no especificados<>
<Datos>0x80004005< o datos>
</EventData>
</Evento>

Nombre del registro: Operations Manager
Origen: HealthService
Fecha: hora
Identificador de evento: 2003
Categoría de tarea: Servicio de mantenimiento
Nivel: Información
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción: no se han iniciado grupos de administración. Esto puede deberse a que no hay grupos de administración configurados actualmente o a que no se pudo iniciar un grupo de administración configurado. El servicio de mantenimiento esperará a que se ejecute la directiva de Active Directory que configura un grupo de administración.
Xml de evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<Sistema>
<Provider Name="HealthService" />
<EventID Qualifiers="16384">2003/<EventID>
<Nivel>4</Nivel>
<Tarea>1</Tarea>
<>Palabras clave 0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-02-21T21:06:04.00000000Z" />
<EventRecordID>84156</EventRecordID>
<Channel>Operations Manager</Channel>
<NombreDeEquipo></Equipo>
<Seguridad/>
</Sistema>
<EventData>
</EventData>
</Evento>

Si el agente usa la asignación de Active Directory, los registros de eventos también indicarán un problema al comunicarse con Active Directory.

Si ve estos registros de eventos, confirme que el agente cliente puede acceder a Active Directory. Compruebe los firewalls, la resolución de nombres y la conectividad de red general.

Id. de evento 20070 combinado con id. de evento 21016

Ejemplos de estos eventos:

Nombre del registro: Operations Manager
Origen: Conector de OpsMgr
Fecha: 13/6/2014 10:13:39 PM
Identificador de evento: 21016
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
OpsMgr no pudo configurar un canal de comunicaciones en <ComputerName> y no hay hosts de conmutación por error. La comunicación se reanudará cuando <ComputerName> esté disponible y se permita la comunicación desde este equipo.

Nombre del registro: Operations Manager
Origen: Conector de OpsMgr
Fecha: 13/6/2014 10:13:37 PM
Identificador de evento: 20070
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
El conector de OpsMgr conectado a <ComputerName>, pero la conexión se cerró inmediatamente después de que se produjera la autenticación. La causa más probable de este error es que el agente no está autorizado para comunicarse con el servidor o que el servidor no ha recibido la configuración. Compruebe el registro de eventos en el servidor para ver si hay 20000 eventos, lo que indica que los agentes que no están aprobados están intentando conectarse.

Cuando se ven estos eventos, indica que se produjo la autenticación, pero después se cerró la conexión. Esto suele ocurrir porque el agente no se ha configurado. Para comprobar esto, compruebe si el identificador de evento 20000 Un dispositivo que no forma parte de este grupo de administración ha intentado acceder a este servicio de mantenimiento se recibe en el servidor de administración.

Estos registros de eventos también pueden producirse si los agentes cliente están bloqueados en un estado Pendiente y no están visibles en la consola.

Para comprobarlo, ejecute el siguiente comando para comprobar si los agentes aparecen para la aprobación manual:

Get-SCOMPendingManagement

Si es así, puede resolverlo ejecutando el siguiente comando para aprobar manualmente los agentes:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

El identificador de evento 21023 aparece en el agente cliente, mientras que el identificador de evento 29120, 29181 y 21024 aparece en el servidor de administración.

A continuación se incluyen algunos ejemplos de estos eventos.

Nombre del registro: Operations Manager
Origen: Conector de OpsMgr
Identificador de evento: 21023
Categoría de tarea: Ninguno
Nivel: Información
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
OpsMgr no tiene ninguna configuración para el grupo <de administración GroupName> y solicita una nueva configuración al servicio de configuración.

Nombre del registro: Operations Manager
Origen: Configuración de administración de OpsMgr
Identificador de evento: 29120
Categoría de tarea: Ninguno
Nivel: Advertencia
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
El servicio de configuración de administración de OpsMgr no pudo procesar la solicitud de configuración (archivo de configuración XML o solicitud del módulo de administración) debido a la siguiente excepción.

Nombre del registro: Operations Manager
Origen: Configuración de administración de OpsMgr
Identificador de evento: 29181
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
El servicio de configuración de administración de OpsMgr no pudo ejecutar el elemento de trabajo del motor "GetNextWorkItem" debido a la siguiente excepción.

Nombre del registro: Operations Manager
Origen: Configuración de administración de OpsMgr
Identificador de evento: 29181
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
El servicio de configuración de administración de OpsMgr no pudo ejecutar el elemento de trabajo del motor "LocalHealthServiceDirtyNotification" debido a la siguiente excepción.

Nombre del registro: Operations Manager
Origen: Configuración de administración de OpsMgr
Identificador de evento: 21024
Categoría de tarea: Ninguno
Nivel: Información
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
La configuración de OpsMgr puede estar obsoleta para el grupo <de administración GroupName> y ha solicitado la configuración actualizada del servicio de configuración. La cookie de estado current(out-of-date) es "5dae442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3"

Nombre del registro: Operations Manager
Origen: Conector de OpsMgr
Identificador de evento: 29181
Categoría de tarea: Ninguno
Nivel: Error
Palabras clave: Clásico
Usuario: N/A
Equipo: <NombreDeEquipo>
Descripción:
El servicio de configuración de administración de OpsMgr no pudo ejecutar el elemento de trabajo del motor "DeltaSynchronization" debido a la siguiente excepción.

Estos eventos pueden producirse cuando el proceso de sincronización diferencial no puede compilar la configuración en su ventana de tiempo de espera configurada de 30 segundos. Esto puede ocurrir cuando hay un espacio de instancia grande.

Para resolver este problema, aumente el tiempo de espera en todos los servidores de administración. Para ello, use uno de los métodos siguientes:

Método 1

  1. Realice una copia de seguridad del archivo siguiente:

    Unidad:\Archivos de programa\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. Aumente los valores de tiempo de espera en ConfigService.config con los siguientes cambios:

    Busque <OperationTimeout DefaultTimeoutSeconds="30">, cambie 30 a 300.
    Busque <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />, cambie 180 a 300.

  3. Reinicie el servicio de configuración.

En la mayoría de los casos, esto debería permitir tiempo suficiente para que se complete el proceso de sincronización.

Método 2

  1. Instale el paquete acumulativo de actualizaciones 3 o posterior para System Center 2012 R2 Operations Manager.

  2. Agregue el siguiente valor del Registro en el servidor que ejecuta System Center 2012 R2 Operations Manager para configurar el tiempo de espera:

    • Subclave: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • Nombre DWORD: CommandTimeoutSeconds
    • Valor DWORD: nn

    Nota:

    El valor predeterminado del marcador de posición nn es 30 segundos. Puede cambiar este valor para controlar el tiempo de espera para la sincronización diferencial.

Otros identificadores de eventos del conector de OpsMgr

A continuación se enumeran otros eventos de error del conector de OpsMgr y las sugerencias de solución de problemas correspondientes:

Evento Descripción Más información
20050 No se pudo cargar el certificado especificado porque el uso mejorado de clave especificado no cumple los requisitos de OpsMgr. El certificado debe tener los siguientes tipos de uso: %n %n Autenticación de servidor (1.3.6.1.5.5.7.3.1)%n Autenticación de cliente (1.3.6.1.5.5.7.3.2)%n Confirme el identificador de objeto en el certificado.
20057 No se pudo inicializar el contexto de seguridad para el destino %1 El error devuelto es %2(%3). Este error se puede aplicar al paquete Kerberos o al paquete SChannel. Compruebe si hay SPN duplicados o incorrectos.
20066 Se especificó un certificado para su uso con la autenticación mutua. Sin embargo, no se encontró ese certificado. Es probable que la capacidad de comunicación de este servicio de mantenimiento se vea afectada. Compruebe el certificado.
20068 El certificado especificado en el registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings no se puede usar para la autenticación porque el certificado no contiene una clave privada utilizable o porque la clave privada no está presente. El error es %1(%2). Compruebe si falta una clave privada o no asociada. Investigue el certificado. Vuelva a importar el certificado o cree un nuevo certificado e impórtelo.
20069 No se pudo cargar el certificado especificado porque keySpec debe estar AT_KEYEXCHANGE Compruebe el certificado. Compruebe el identificador de objeto en el certificado.
20070 Conector de OpsMgr conectado a %1. Sin embargo, la conexión se cerró inmediatamente después de que se produjera la autenticación. La causa más probable de este error es que el agente no está autorizado para comunicarse con el servidor o que el servidor no ha recibido la configuración. Compruebe el registro de eventos en el servidor para ver si hay 20000 eventos. Estos indican que los agentes que no están aprobados están intentando conectarse. Se produjo la autenticación, pero se cerró la conexión. Confirme que los puertos están abiertos y compruebe que el agente está pendiente de aprobación.
20071 Conector de OpsMgr conectado a %1. Sin embargo, la conexión se cerró inmediatamente sin que se produjera la autenticación. La causa más probable de este error es un error al autenticar este agente o el servidor. Compruebe el registro de eventos en el servidor y en el agente en busca de eventos que indiquen un error de autenticación. Error en la autenticación. Compruebe los firewalls y el puerto 5723. El equipo del agente debe poder acceder al puerto 5723 en el servidor de administración. Confirme también que tcp & puerto UDP 389 para LDAP, puerto 88 para Kerberos y puerto 53 para DNS están disponibles.
20072 El certificado remoto %1 no era de confianza. El error es %2(%3). Compruebe si el certificado se encuentra en el almacén de confianza.
20077 El certificado especificado en el Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings no se puede usar para la autenticación porque no se puede consultar el certificado para obtener información de propiedad. El error específico es %2(%3).%n %n. Esto normalmente significa que no se incluyó ninguna clave privada con el certificado. Compruebe que el certificado contiene una clave privada. Falta una clave privada o no asociada. Investigue el certificado. Vuelva a importar el certificado o cree un nuevo certificado e impórtelo.
21001 El conector de OpsMgr no se pudo conectar a %1 porque se produjo un error de autenticación mutua. Compruebe que el SPN está registrado correctamente en el servidor y que, si el servidor está en un dominio independiente, hay una relación de plena confianza entre los dos dominios. Compruebe el registro de SPN.
21005 El conector de OpsMgr no pudo resolver la dirección IP de %1. El código de error es %2(%3). Compruebe que DNS funciona correctamente en su entorno. Normalmente se trata de un problema de resolución de nombres. Compruebe DNS.
21006 El conector de OpsMgr no se pudo conectar a %1:%2. El código de error es %3(%4). Compruebe que hay conectividad de red, que el servidor se está ejecutando y que ha registrado su puerto de escucha y que no hay firewalls que bloqueen el tráfico al destino. Es probable que se trate de un problema de conectividad general. Compruebe los firewalls y confirme que el puerto 5723 está abierto.
21007 El conector de OpsMgr no puede crear una conexión mutuamente autenticada a %1 porque no está en un dominio de confianza. No se establece una confianza. Confirme que el certificado está en su lugar y está configurado correctamente.
21016 OpsMgr no pudo configurar un canal de comunicaciones en %1 y no hay hosts de conmutación por error. La comunicación se reanudará cuando %1 esté disponible y la comunicación desde este equipo esté habilitada. Esto suele indicar un error de autenticación. Confirme que el agente se aprobó para la supervisión y que todos los puertos están abiertos.
21021 No se pudo cargar ni crear ningún certificado. Este servicio de mantenimiento no podrá comunicarse con otros servicios de mantenimiento. Busque eventos anteriores en el registro de eventos para obtener más detalles. Compruebe el certificado.
21022 No se especificó ningún certificado. Este servicio de mantenimiento no podrá comunicarse con otros servicios de mantenimiento a menos que esos servicios de mantenimiento estén en un dominio que tenga una relación de confianza con este dominio. Si este servicio de mantenimiento tiene que comunicarse con los servicios de mantenimiento en dominios que no son de confianza, configure un certificado. Compruebe el certificado.
21035 Error al registrar un SPN para este equipo con la clase de servicio "%1" con el error "%2". Esto puede hacer que se produzca un error en la autenticación Kerberos hacia o desde este servicio de mantenimiento. Esto indica un problema con el registro de SPN. Investigue los SPN para la autenticación Kerberos.
21036 El certificado especificado en el Registro en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings no se puede usar para la autenticación. El error es %1(%2). Normalmente, esta es una clave privada que falta o no está asociada. Investigue el certificado. Vuelva a importar el certificado o cree un nuevo certificado e impórelo.