Solución de problemas de detección de agentes UNIX/Linux en Operations Manager

  • Artículo

Este artículo le ayuda a solucionar errores comunes que se pueden encontrar durante el proceso de detección de equipos UNIX o Linux.

Versión original del producto: System Center Operations Manager
Número de KB original: 4490426

Para supervisar equipos UNIX o Linux en System Center Operations Manager (OpsMgr), primero deben detectarse los equipos y debe instalarse el agente de OpsMgr. El Asistente para equipos y Administración de dispositivos se usa para detectar e instalar agentes en equipos UNIX y Linux. Sin embargo, el proceso de detección puede producir un error debido a problemas de configuración, problemas de credenciales o privilegios, o problemas de resolución de nombres y redes.

Errores de certificado o errores de firma de certificados

La operación de comprobación de certificados firmados no se realizó correctamente

Cuando se produce un error en la comprobación del certificado, normalmente recibe un error similar al siguiente:

Error en la comprobación del agente. Detalles del error: el certificado de servidor en el equipo de destino (lx1.contoso.com:1270) tiene los errores siguientes:
No se pudo comprobar la revocación del certificado SSL. Es posible que no se pueda acceder al servidor usado para comprobar la revocación.
El certificado SSL contiene un nombre común (CN) que no coincide con el nombre de host.
Es posible que:

  1. El certificado de destino está firmado por otra entidad de certificación que no es de confianza para el servidor de administración.
  2. El destino tiene un certificado no válido, por ejemplo, su nombre común (CN) no coincide con el nombre de dominio completo (FQDN) usado para la conexión. El FQDN usado para la conexión es: lx1.contoso.com.
  3. Los servidores del grupo de recursos no se han configurado para confiar en certificados firmados por otros servidores del grupo.

  • Una causa común es que el valor de nombre común (CN) del certificado de agente no coincide con el nombre de dominio completo (FQDN) proporcionado o resuelto.

    Para comprobarlo, confirme que el nombre de host y el nombre de dominio del host del agente coinciden con el FQDN resuelto a través de DNS.

    Para ver los detalles básicos del certificado en el equipo UNIX o Linux, ejecute el siguiente comando:

    openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

    Al hacerlo, verá una salida similar a la siguiente:

    subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
    issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
    notBefore=Mar 25 05:21:18 2008 GMT
    notAfter=Mar 20 05:21:18 2029 GMT

    Use esta información para validar los nombres de host y las fechas, asegúrese de que coinciden con el nombre que resuelve el servidor de administración de Operations Manager.

    Si los nombres de host no coinciden, use una de las siguientes acciones para resolver el problema:

    • Si el nombre de host de UNIX o Linux es correcto, pero el servidor de administración de Operations Manager lo resuelve incorrectamente, modifique la entrada DNS para que coincida con el FQDN correcto o agregue una entrada al archivo hosts en el servidor de Operations Manager.
    • Si el nombre de host de UNIX o Linux es incorrecto, realice una de las siguientes acciones:
      • Cambie el nombre de host en el host UNIX o Linux al correcto y cree un nuevo certificado.
      • Cree un nuevo certificado con el nombre de host deseado.

    Para cambiar el nombre del certificado:

    Si el certificado se creó con un nombre incorrecto, puede cambiar el nombre de host y volver a crear el certificado y la clave privada. Para ello, ejecute el siguiente comando en el equipo UNIX o Linux:

    /opt/microsoft/scx/bin/tools/scxsslconfig -f -v

    La -f opción obliga a sobrescribir los archivos de /etc/opt/microsoft/scx/ssl.

    También puede cambiar el nombre de host y el nombre de dominio en el certificado mediante los -h modificadores y -d , como en el ejemplo siguiente:

    /opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

    Reinicie el agente ejecutando el siguiente comando:

    /opt/microsoft/scx/bin/tools/scxadmin -restart

    Para agregar una entrada al archivo hosts:

    Si el FQDN no está en DNS inverso, puede agregar una entrada al archivo de hosts ubicado en el servidor de administración para proporcionar la resolución de nombres. El archivo hosts se encuentra en la \Windows\System32\Drivers\etc carpeta . Una entrada en el archivo hosts es una combinación de la dirección IP y el FQDN.

    Por ejemplo, para agregar una entrada para el host denominado newhostname.newdomain.name con una dirección IP de 192.168.1.1, agregue lo siguiente al final del archivo hosts:

    192.168.1.1 newhostname.newdomain.name

  • Otra causa común de este error es que el certificado ha sido firmado por una entidad que no es de confianza, como cuando varios servidores de administración son miembros del grupo de recursos que se usa para la detección, pero la confianza del certificado no se ha configurado entre los servidores de administración.

    Para comprobarlo, confirme que todos los servidores de administración del grupo de recursos utilizados para la detección confían en el certificado del servidor.

    Para obtener más información sobre cómo administrar grupos de recursos para equipos UNIX y Linux, consulte Administración de grupos de recursos para equipos UNIX y Linux.

El nombre de usuario o la contraseña son incorrectos

Es posible que vea el error al intentar detectar agentes UNIX/Linux. El error puede producirse durante el paso de comprobación del certificado al detectar una máquina UNIX/Linux.

Posibles causas

  • La autenticación básica se establece false en en uno o varios servidores de administración del grupo de recursos UNIX/Linux cuando el agente UNIX/Linux no está unido a un dominio y no puede usar la autenticación Kerberos. Para comprobar la configuración actual de WinRM , ejecute el siguiente comando: winrm get winrm/config/client.
  • El nombre de usuario o la contraseña son incorrectos.

Resolución

Puede actualizar la configuración de WinRM en los servidores de administración del grupo de recursos UNIX/Linux para permitir la autenticación básica mediante la ejecución del siguiente comando, o bien puede establecer la configuración mediante directiva de grupo:

winrm set winrm/config/client/auth @{Basic="true"}

Nota:

El comando anterior establece un valor del Registro DWORD (32 bits) (AllowBasic) en la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WinRM\Client

AllowBasic permite 1 valores decimales (Habilitado) o 0 (Deshabilitado).

La operación de firma de certificados no se realizó correctamente

Posibles causas

  • La cuenta de usuario especificada para la detección no tiene privilegios suficientes para realizar operaciones de archivo implicadas en la firma.
  • Los privilegios de elevación de Sudo para la cuenta de usuario especificada para la detección no se configuraron correctamente.

Resolución

Para corregir el problema, compruebe la cuenta de usuario inspeccionando la salida de StdErr en los detalles del error para identificar la causa del error. Compruebe también la configuración de privilegios de sudo para la cuenta usada para la firma de certificados.

Errores de resolución de nombres de red

La dirección de destino no se puede resolver

Normalmente, estos problemas se dividen en una de las siguientes categorías:

  • Descripción del error

    No se pudo resolver la dirección IP de la dirección <> IP en el nombre

    Causa

    Este error se produce cuando se especificó una dirección IP para el host para la detección, pero la dirección IP no se puede resolver en un nombre en DNS (búsqueda inversa).

    Resolución

    Para corregir este problema, corrija la configuración de resolución de nombres (DNS) para la zona de búsqueda inversa, asegúrese de que existe una dirección IP para asignar nombres para el host afectado.

  • Descripción del error

    No se pudo resolver el nombre server.contoso.com en la dirección IP

    Causa

    Este error se produce si se especificó un FQDN para el host para la detección, pero el nombre no se puede resolver en la dirección IP en DNS (búsqueda directa).

    Resolución

    Para solucionar este problema, corrija la configuración de resolución de nombres (DNS) para la búsqueda directa, asegúrese de que existe un nombre de host para la asignación de direcciones IP para el host.

Configuración de DNS: la resolución de DNS reenviada no coincide con la resolución inversa de DNS

Descripción del error

En esta situación, normalmente recibe un error similar al siguiente:

El nombre de host servername proporcionado se resolvió en la dirección IP 10.137.216.x. El nombre de host ServerName.contoso.com devuelto por la búsqueda inversa de la dirección IP 192.168.x.x no coincidía con el nombre de host proporcionado. Compruebe la configuración de DNS e inténtelo de nuevo.

Causa

La causa más común es que los registros del host de las zonas de búsqueda dns inversa y de reenvío no coinciden.

Resolución

Para corregir este problema, corrija los registros de las zonas de búsqueda directa e inversa en DNS para que los nombres de host y la dirección IP coincidan.

No se puede acceder a la dirección de destino

Descripción del error

En esta situación, normalmente recibe un error similar al siguiente:

El cliente WinRM no puede completar la operación dentro del tiempo especificado. Compruebe si el nombre de la máquina es válido y es accesible a través de la excepción de red y firewall para el servicio de administración remota de Windows está habilitado.

Posibles causas

  • El host no es accesible debido a una resolución de nombres incorrecta, una interrupción de la red o una interrupción del host.
  • Un firewall basado en red o host bloquea la conectividad del puerto TCP 1270 con el host de destino.

Resolución

Para solucionar este problema, compruebe que el servidor de administración puede hacer ping al host del agente mediante su FQDN. Compruebe también que ningún firewall de red o firewall de host esté bloqueando el puerto TCP 1270.

Tipo discoveryResult.ErrorData inesperado. Informe de errores de archivo: nombre del parámetro: s

Descripción del error

Tipo DiscoveryResult.ErrorData inesperado. Informe de errores de archivo.
ErrorData: System.ArgumentNullException
El valor no puede ser nulo.
Nombre del parámetro: s
at System.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
at System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
at Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Causa

Este error se produce porque la configuración del proxy WinHTTP se ha configurado en los servidores de administración del grupo de recursos unix o Linux y el FQDN del agente UNIX o Linux que está intentando detectar no se incluye en la lista de omisión del proxy WinHTTP.

Resolución

Para solucionar este problema, agregue el FQDN de UNIX o Linux a la lista de omisión de proxy WinHTTP.

En los servidores de administración del grupo de recursos de UNIX o Linux, ejecute el siguiente comando en un símbolo del sistema con privilegios elevados para comprobar la configuración del proxy actual:

netsh winhttp show proxy

Si se configura un servidor proxy WinHTTP, agregue el FQDN del servidor que está intentando detectar en la lista de omisión mediante la ejecución del siguiente comando:

netsh winhttp set proxy proxy-server="<proxyserver:port>" bypass-list="*.ourdomain.com;*.yourdomain.com*;<serverFQDN>"

Una vez configurada la lista de omisión, compruebe si la detección del agente se ha realizado correctamente.

Nota:

Puede ejecutar el netsh winhttp reset proxy comando para deshabilitar el proxy WinHTTP. Este comando quitará el servidor proxy y configurará el acceso directo.

Tipo discoveryResult.ErrorData inesperado. Informe de errores de archivo: nombre del parámetro: lhs

Descripción del error

Detección no correcta
Mensaje: Error no especificado
Detalles: Tipo DiscoveryResult.ErrorData inesperado. Informe de errores de archivo.
ErrorData: System.ArgumentNullException
El valor no puede ser nulo.
Nombre del parámetro: lhs
at System.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
at System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
at Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Causa

Este error se produce debido a los archivos de shell omsagent de la carpeta de kits instalada.

Resolución

Vaya al directorio siguiente en Explorador de archivos:

C:\Archivos de programa\Microsoft System Center\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits

Si aparecen archivos omsagent, muévalos a un directorio temporal fuera de los archivos de System Center Operations Manager (SCOM).

Vea la captura de pantalla siguiente para obtener un ejemplo:

Captura de pantalla que muestra los archivos omsagent en la carpeta DownloadedKits.

Después de moverlos de la carpeta DownloadedKits , vuelva a intentar la detección. La detección debe realizarse correctamente ahora.

Nota:

La detección puede producir un error diferente. El error indica que se necesita más solución de problemas, como sudoers, conectividad, etc.

Errores de conectividad SSH

Error durante la detección de SSH. Código de salida: -1073479162

Descripción del error

Salida estándar:
Error estándar:
Mensaje de excepción: una excepción (-1073479162) hizo que se produjera un error en el comando SSH: no se pudo realizar ninguna conexión porque la máquina de destino la rechazó activamente.

Posibles causas

  • El demonio SSH no se está ejecutando en el sistema de destino.
  • Un firewall basado en red o host impide las conexiones SSH en el puerto TCP 22.

Soluciones

  • Compruebe que el demonio SSH se está ejecutando.
  • Compruebe que ningún firewall de red o firewall de host esté bloqueando el puerto TCP 22.

Error durante la detección de SSH. Código de salida: -1073479118

Descripción del error

Error durante la detección de SSH. Código de salida: -1073479118
Salida estándar:
Error estándar:
Mensaje de excepción: una excepción (-1073479118) provocó un error en el comando SSH: mensaje de desconexión enviado por el servidor: tipo 2 (error de protocolo: demasiados errores de autenticación para la raíz)

Posibles causas

  • No se permite que la cuenta de usuario especificada para la detección inicie sesión a través de SSH.
  • La cuenta de usuario especificada para la detección se especificó con un nombre de usuario o contraseña no válidos.

Soluciones

  • Compruebe que el usuario tiene permiso para iniciar sesión a través de SSH.
  • Compruebe las credenciales de entrada y que el usuario esté definido en el host de destino.

Error durante la detección de SSH. Código de salida: 1

Descripción del error

Error durante la detección de SSH. Código de salida: 1
Salida estándar: Ruta de acceso de Sudo: /usr/bin/
Error estándar: sudo: lo sentimos, debe tener un tty para ejecutar sudo
Mensaje de excepción:

Causa

La elevación de Sudo se seleccionó en la entrada de credenciales de usuario, pero la requiretty opción no se deshabilitó para el usuario en sudoers.

Resolución

Edite el archivo sudoers en el host de destino mediante el visudo comando y agregue la línea siguiente:

Valores predeterminados: <username>!requiretty

Para obtener más información, consulte Cómo configurar la elevación de sudo y las claves SSH.

Contraseña de SU no válida

Descripción del error

. [?1034hopsuser@lx1:~> su - root -c 'sh /tmp/scx-opsuser/GetOSVersion.sh; EC=$?; rm -rf /tmp/scx-opsuser; exit $EC'
Contraseña:
Salida
su: contraseña incorrecta
opsuser@lx1:~> salir
Cerrar sesión

Causa posible

La elevación su se seleccionó en la entrada de credencial de usuario, pero se proporcionó una contraseña raíz no válida para la elevación de su.

Resolución

Compruebe la entrada de contraseña para la raíz en el cuadro de diálogo De configuración de elevación.

Error durante la detección de SSH. Código de salida: -2147221248

  • Descripción del error

    Error durante la detección de SSH. Código de salida: -2147221248
    Salida estándar:
    Error estándar: No se pudo chdir en el directorio principal /home/username: No se ha producido ningún archivo o directorio de este tipo.

    Causa

    La cuenta de usuario especificada para la detección no tiene un directorio principal.

    Resolución

    Compruebe que el usuario tiene un directorio principal en : /home/ y que el usuario puede escribir en este directorio.

  • Descripción del error

    Error durante la detección de SSH. Código de salida: -2147221248
    Salida estándar:
    Error estándar: contraseña de la raíz:
    Mensaje de excepción: tiempo de espera agotado de la operación

    Causa

    La elevación de Sudo se seleccionó en la entrada de credenciales de usuario. Sin embargo, la cuenta de usuario especificada para la detección no está configurada correctamente para usar la elevación de sudo sin contraseña o no se concedieron los privilegios de elevación de sudo necesarios para la cuenta de usuario usada en la detección.

    Resolución

    Revise la documentación de configuración de elevación de sudo y compruebe la configuración del usuario para sudo. Tenga en cuenta que se debe configurar sudo sin contraseña.

Errores de conectividad de WSMan

El agente respondió a la solicitud, pero se produjo un error en la conexión WSMan debido a: Acceso denegado

Posibles causas

  • El agente está instalado y el certificado del agente se ha firmado. Sin embargo, la credencial de usuario proporcionada para la comprobación del agente no es válida.
  • La cuenta de usuario especificada para la detección se configuró para autenticarse con una clave SSH, pero la credencial de usuario proporcionada para la comprobación del agente no es válida.
  • Hay un problema de permisos o una configuración de PAM incorrecta en unix.

Resolución

Para resolver el problema, siga estos pasos:

  1. Compruebe que el nombre de usuario y la contraseña para la comprobación del agente se han introducido correctamente y que el usuario es un usuario válido en el host de destino.

  2. Si el problema persiste, compruebe que la elevación de sudo se ha configurado correctamente.

  3. Compruebe también el registro de mensajes en el equipo UNIX/Linux. Por ejemplo, en AIX, puede encontrar el registro en /var/adm/messages. En otros sistemas operativos, la ubicación puede variar.

    Busque líneas como las siguientes:

    Sep 3 14:49:07 server auth|security:debug /opt/microsoft/scx/bin/omiserver PAM: pam_authenticate: error de autenticación.

    Si ve líneas similares en el registro de mensajes, significa que falta información sobre OMIServer en el archivo de configuración de PAM. El archivo de configuración de PAM se puede encontrar en el /etc/pam.d/ directorio o en el /etc/pam.conf archivo.

    La manera más sencilla de volver a agregar la información sobre OMIServer al archivo de configuración de PAM es reinstalar el agente SCX desde cero en ese equipo. Si no es fácil, puede copiar las líneas que pertenecen a OMI desde un equipo en funcionamiento al equipo que no funciona.

Error de detección de WSMan solo para 192.168.x.x

Posibles causas

  • La opción Tipo de detección se estableció en Solo los equipos con un agente instalado y un certificado firmado y el host de destino tiene instalado el agente. Sin embargo, no se ha firmado el certificado de host de destino. Para usar la opción de detección solo WSMan, el agente debe instalarse y el certificado debe firmarse manualmente.
  • La opción Tipo de detección se estableció en Solo los equipos con un agente instalado y un certificado firmado, pero el host de destino no tiene instalado actualmente el agente UNIX/Linux.
  • La opción Tipo de detección se estableció en Solo equipos con un agente instalado y un certificado firmado, pero el agente UNIX/Linux no se está ejecutando actualmente.
  • La opción Tipo de detección se estableció en Solo equipos con un agente instalado y un certificado firmado, pero el host de destino no es accesible, una red o firewall basado en host impide la conectividad o el agente UNIX/Linux está actualmente inactivo.

Soluciones

  • Firme manualmente el certificado.
  • Compruebe que se ha instalado el agente UNIX/Linux.
  • Cambie la opción a Detectar todos los equipos para permitir que el Asistente para detección realice la firma del certificado.
  • Compruebe que el agente UNIX/Linux se está ejecutando y que se puede acceder al host de destino.
  • Compruebe que ningún firewall de red o firewall de host impide el acceso en el puerto TCP 1270.

Otros errores

La tarea no se puede ejecutar en los objetos porque el destino de la tarea no coincide con ninguna de las clases del objeto.

Causa

En un grupo de administración de System Center 2012 Operations Manager, esto puede ocurrir si los módulos de administración unix/Linux importados son versiones de Operations Manager 2007 R2.

Resolución

Importe las versiones de System Center 2012 de los módulos de administración del sistema operativo UNIX/Linux.

El agente está instalado y Operations Manager ya está supervisando el equipo.

Causa

El host de destino ya se ha detectado en este grupo de administración.

Resolución

No se requiere ninguna acción. La actualización o migración del agente a un grupo de recursos alternativo se puede realizar desde la vista Servidores UNIX/Linux en el panel Administración de la consola del operador.

No se pudo encontrar una instancia de agente compatible coincidente en los módulos de administración importados

Descripción del error

No se pudo encontrar una instancia de agente compatible coincidente en los módulos de administración importados. Importe los módulos de administración de esta plataforma para detectar este equipo.

Posibles causas

  • El host de destino ejecuta un sistema operativo no compatible.
  • No se ha importado el módulo de administración correcto para el sistema operativo del host de destino.
  • Recientemente se ha importado el módulo de administración correcto para el sistema operativo, pero aún no se ha cargado por completo.

Soluciones

  • Confirme que el host de destino ejecuta un sistema operativo compatible.
  • Importe el módulo de administración para el sistema operativo y la versión del host de destino.
  • Si se importó el módulo de administración, puede que todavía se esté cargando. Espere unos minutos y vuelva a ejecutar la detección.

No se pueden enumerar los tipos de agente instalables. Es posible que el grupo de recursos asociado todavía esté inicializando

Descripción del error

No se pueden enumerar los tipos de agente instalables. Es posible que el grupo de recursos asociado todavía se esté inicializando. Si ha seleccionado un grupo de recursos recién creado, espere unos minutos antes de usarlo.

Posibles causas

  • El grupo de recursos usado en la detección no es correcto, por ejemplo, la mayoría de los servidores miembros están sin conexión.
  • El grupo de recursos usado en la detección se creó recientemente, pero no se ha inicializado por completo.

Resolución

Si el grupo de recursos usado en la detección se creó recientemente, vuelva a intentar la detección después de varios minutos para permitir que el grupo se inicialice. De lo contrario, compruebe el registro de eventos de Operations Manager en los servidores que son miembros del grupo de recursos que se usan para la detección para obtener indicaciones del origen del problema.

No se puede copiar un agente nuevo en este equipo

Descripción del error

Mensaje: No se puede copiar un agente nuevo en este equipo
Detalles:
No se pudo copiar el kit. Código de salida: -1073479144
Salida estándar:
Error estándar:
Mensaje de excepción: una excepción (-1073479144) provocó un error en el comando SSH

Causa

Las versiones del agente de archivos no coinciden entre la base de datos y el repositorio del agente.

Soluciones

  • Compruebe que todos los agentes con errores producen errores debido a la falta de coincidencia de versión. De lo contrario, aplique otros pasos de solución de problemas.
  • Intente actualizar los agentes con errores de nuevo. Normalmente, la lista de agentes con errores es más corta y más corta durante cada iteración de actualización.
  • Reinicie el servicio de mantenimiento en todos los miembros del grupo de recursos de Linux u otro grupo para administrar máquinas Unix o Linux. Compruebe la %ProgramFiles%\Microsoft System Center 2012 R2\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits carpeta si los nombres de archivo son correctos. No olvide cerrar y volver a abrir el Asistente para detección.

Más información

Para obtener más ayuda, consulte nuestro foro de soporte técnico de TechNet o póngase en contacto con Soporte técnico de Microsoft.