Risolvere i problemi di individuazione dell'agente UNIX/Linux in Operations Manager

Questo articolo consente di risolvere gli errori comuni che possono verificarsi durante il processo di individuazione di computer UNIX o Linux.

Versione originale del prodotto: System Center Operations Manager
Numero KB originale: 4490426

Per monitorare i computer UNIX o Linux in System Center Operations Manager (OpsMgr), è necessario prima individuare i computer e installare l'agente OpsMgr. La Procedura guidata Computer e Gestione dispositivi viene usata per individuare e installare agenti nei computer UNIX e Linux. Tuttavia, il processo di individuazione potrebbe non riuscire a causa di problemi di configurazione, credenziali o privilegi o problemi di rete e di risoluzione dei nomi.

Errori del certificato o errori di firma del certificato

Operazione di verifica del certificato firmata non riuscita

Quando la verifica del certificato non riesce, in genere viene visualizzato un errore simile al seguente:

Verifica dell'agente non riuscita. Dettagli errore: il certificato del server nel computer di destinazione (lx1.contoso.com:1270) presenta gli errori seguenti:
Impossibile controllare la revoca del certificato SSL. Il server usato per verificare la revoca potrebbe non essere raggiungibile.
Il certificato SSL contiene un nome comune (CN) che non corrisponde al nome host.
È possibile che:

1. Il certificato di destinazione è firmato da un'altra autorità di certificazione non attendibile dal server di gestione.
2. La destinazione ha un certificato non valido, ad esempio il nome comune (CN) non corrisponde al nome di dominio completo (FQDN) usato per la connessione. Il nome di dominio completo usato per la connessione è: lx1.contoso.com.
3. I server nel pool di risorse non sono stati configurati per considerare attendibili i certificati firmati da altri server nel pool.

• Una causa comune è che il valore del nome comune (CN) del certificato dell'agente non corrisponde al nome di dominio completo (FQDN) fornito o risolto.

  Per verificarlo, verificare che il nome host e il nome di dominio dell'host dell'agente corrispondano al nome di dominio completo risolto tramite DNS.

  È possibile visualizzare i dettagli di base del certificato nel computer UNIX o Linux eseguendo il comando seguente:

  openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
  

  Quando si esegue questa operazione, verrà visualizzato un output simile al seguente:

  subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  notBefore=Mar 25 05:21:18 2008 GMT
  notAfter=Mar 20 05:21:18 2029 GMT

  Usare queste informazioni per convalidare i nomi host e le date, assicurarsi che corrispondano al nome risolto dal server di gestione di Operations Manager.

  Se i nomi host non corrispondono, usare una delle azioni seguenti per risolvere il problema:

  • Se il nome host UNIX o Linux è corretto ma il server di gestione di Operations Manager lo risolve in modo errato, modificare la voce DNS in modo che corrisponda al nome di dominio completo corretto o aggiungere una voce al file hosts nel server Operations Manager.
  • Se il nome host UNIX o Linux non è corretto, eseguire una delle operazioni seguenti:
    • Modificare il nome host nell'host UNIX o Linux in quello corretto e creare un nuovo certificato.
    • Creare un nuovo certificato con il nome host desiderato.

  Per modificare il nome nel certificato:

  Se il certificato è stato creato con un nome non corretto, è possibile modificare il nome host e ricreare il certificato e la chiave privata. A tale scopo, eseguire il comando seguente nel computer UNIX o Linux:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -v
  

  L'opzione -f forza la sovrascrittura dei file in /etc/opt/microsoft/scx/ssl.

  È anche possibile modificare il nome host e il nome di dominio nel certificato usando le -h opzioni e -d , come nell'esempio seguente:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>
  

  Riavviare l'agente eseguendo il comando seguente:

  /opt/microsoft/scx/bin/tools/scxadmin -restart
  

  Per aggiungere una voce al file hosts:

  Se il nome di dominio completo non è in DNS inverso, è possibile aggiungere una voce al file hosts che si trova nel server di gestione per fornire la risoluzione dei nomi. Il file hosts si trova nella \Windows\System32\Drivers\etc cartella . Una voce nel file hosts è una combinazione dell'indirizzo IP e del nome di dominio completo.

  Ad esempio, per aggiungere una voce per l'host denominato newhostname.newdomain.name con un indirizzo IP 192.168.1.1, aggiungere quanto segue alla fine del file hosts:

  192.168.1.1 newhostname.newdomain.name

• Un'altra causa comune di questo errore è che il certificato è stato firmato da un'autorità non attendibile, ad esempio quando più server di gestione sono membri del pool di risorse usato per l'individuazione, ma l'attendibilità del certificato non è stata configurata tra i server di gestione.

  Per verificarlo, verificare che tutti i server di gestione nel pool di risorse usato per l'individuazione consideri attendibile il certificato dell'altro server.

  Per altre informazioni su come gestire i pool di risorse per computer UNIX e Linux, vedere Gestione dei pool di risorse per computer UNIX e Linux.

Il nome utente o la password non è corretto

È possibile che venga visualizzato l'errore durante il tentativo di individuazione degli agenti UNIX/Linux. L'errore può verificarsi durante il passaggio di verifica del certificato durante l'individuazione di un computer UNIX/Linux.

Possibili cause

• L'autenticazione di false base è impostata su in uno o più server di gestione nel pool di risorse UNIX/Linux quando l'agente UNIX/Linux non è aggiunto a un dominio e non può utilizzare l'autenticazione Kerberos. È possibile verificare le impostazioni di WinRM correnti eseguendo il comando seguente: winrm get winrm/config/client.
• Il nome utente o la password non è corretto.

Risoluzione

È possibile aggiornare la configurazione di WinRM nei server di gestione nel pool di risorse UNIX/Linux per consentire l'autenticazione di base eseguendo il comando seguente oppure è possibile impostare la configurazione tramite Criteri di gruppo:

winrm set winrm/config/client/auth @{Basic="true"}

Nota

Il comando precedente imposta un valore del Registro di sistema DWORD (32 bit) (AllowBasic) nella chiave del Registro di sistema seguente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WinRM\Client

AllowBasic consente valori 1 decimali (Abilitati) o 0 (Disabilitati).

Operazione di firma del certificato non riuscita

Possibili cause

• L'account utente specificato per l'individuazione non dispone di privilegi sufficienti per eseguire operazioni sui file coinvolte nella firma.
• I privilegi di elevazione sudo per l'account utente specificato per l'individuazione non sono stati configurati correttamente.

Risoluzione

Per risolvere il problema, verificare l'account utente controllando l'output di StdErr nei dettagli dell'errore per identificare la causa dell'errore. Verificare anche la configurazione dei privilegi sudo per l'account usato per la firma del certificato.

Errori di risoluzione dei nomi di rete

L'indirizzo di destinazione non è risolvibile

Questi problemi rientrano in genere in una delle categorie seguenti:

• Descrizione dell'errore

  Impossibile risolvere l'indirizzo IP dell'indirizzo <> IP nel nome

  Causa

  Questo errore si verifica quando è stato immesso un indirizzo IP per l'host per l'individuazione, ma l'indirizzo IP non è risolvibile con un nome in DNS (ricerca inversa).

  Risoluzione

  Per risolvere questo problema, la configurazione DNS (Correct Name Resolution) per la zona di ricerca inversa, assicurarsi che esista un mapping tra indirizzo IP e nome per l'host interessato.

• Descrizione dell'errore

  Impossibile risolvere il nome server.contoso.com all'indirizzo IP

  Causa

  Questo errore si verifica se è stato immesso un fqdn per l'host per l'individuazione, ma il nome non è risolvibile con l'indirizzo IP in DNS (ricerca diretta).

  Risoluzione

  Per risolvere questo problema, correggere la configurazione DNS (Name Resolution) per la ricerca diretta, assicurarsi che esista un mapping tra nome host e indirizzo IP per l'host.

Configurazione DNS: la risoluzione DNS di inoltro non corrisponde alla risoluzione DNS inversa

Descrizione dell'errore

In questo caso, in genere viene visualizzato un errore simile al seguente:

Nome host specificato NomeServer risolto nell'indirizzo IP 10.137.216.x. Il nome host ServerName.contoso.com restituito dalla ricerca inversa dell'indirizzo IP 192.168.x.x.x non corrisponde al nome host specificato. Verificare la configurazione DNS e riprovare.

Causa

La causa più comune è che i record per l'host nelle zone di ricerca DNS in avanti e inversa non corrispondono.

Risoluzione

Per risolvere questo problema, correggere i record nelle zone di ricerca diretta e inversa in DNS in modo che i nomi host e l'indirizzo IP corrispondano.

L'indirizzo di destinazione non è raggiungibile

Descrizione dell'errore

In questo caso, in genere viene visualizzato un errore simile al seguente:

Il client WinRM non può completare l'operazione entro il tempo specificato. Controllare se il nome del computer è valido ed è raggiungibile tramite l'eccezione di rete e firewall per il servizio Gestione remota Windows abilitato.

Possibili cause

• L'host non è raggiungibile a causa di risoluzione dei nomi non corretta, interruzione della rete o interruzione dell'host.
• Un firewall basato su rete o host blocca la connettività della porta TCP 1270 all'host di destinazione.

Risoluzione

Per risolvere questo problema, verificare che il server di gestione possa eseguire il ping dell'host dell'agente usando il relativo FQDN. Verificare inoltre che nessun firewall di rete o firewall host blocchi la porta TCP 1270.

Tipo discoveryResult.ErrorData imprevisto. Segnalazione di bug di file - Nome parametro: s

Descrizione dell'errore

Tipo DiscoveryResult.ErrorData imprevisto. Segnalare i bug dei file.
ErrorData: System.ArgumentNullException
Valore non può essere nullo.
Nome parametro: s
in System.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
in System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
in Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Causa

Questo errore si verifica perché le impostazioni proxy WinHTTP sono state configurate nei server di gestione nel pool di risorse UNIX o Linux e il nome di dominio completo dell'agente UNIX o Linux che si sta tentando di individuare non è incluso nell'elenco di bypass proxy WinHTTP.

Risoluzione

Per risolvere questo problema, aggiungere l'FQDN UNIX o Linux all'elenco di bypass proxy WinHTTP.

Nei server di gestione nel pool di risorse UNIX o Linux eseguire il comando seguente al prompt dei comandi con privilegi elevati per verificare la configurazione del proxy corrente:

netsh winhttp show proxy

Se è configurato un server proxy WinHTTP, aggiungere il nome di dominio completo del server che si sta tentando di individuare all'elenco di bypass eseguendo il comando seguente:

netsh winhttp set proxy proxy-server="<proxyserver:port>" bypass-list="*.ourdomain.com;*.yourdomain.com*;<serverFQDN>"

Dopo aver configurato l'elenco di bypass, verificare se l'individuazione dell'agente ha esito positivo.

Nota

È possibile eseguire il netsh winhttp reset proxy comando per disabilitare il proxy WinHTTP. Questo comando rimuoverà il server proxy e configurerà l'accesso diretto.

Tipo discoveryResult.ErrorData imprevisto. Segnalazione di bug di file - Nome parametro: lhs

Descrizione dell'errore

Individuazione non riuscita
Messaggio: Errore non specificato
Dettagli: tipo DiscoveryResult.ErrorData imprevisto. Segnalare i bug dei file.
ErrorData: System.ArgumentNullException
Valore non può essere nullo.
Nome parametro: lhs
in System.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
in System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
in Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Causa

Questo errore si verifica a causa dei file della shell omsagent nella cartella kit installati.

Risoluzione

Passare alla directory seguente in Esplora file:

C:\Programmi\Microsoft System Center\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits

Se sono elencati file omsagent, spostarli in una directory temporanea all'esterno dei file di System Center Operations Manager (SCOM).

Per un esempio, vedere lo screenshot seguente:

Dopo che sono stati spostati dalla cartella DownloadedKits , riprovare l'individuazione. L'individuazione dovrebbe avere esito positivo.

Nota

L'individuazione potrebbe non riuscire con un errore diverso. L'errore indica che è necessaria una maggiore risoluzione dei problemi, ad esempio sudoer, connettività e così via.

Errori di connettività SSH

Errore durante l'individuazione SSH. Codice di uscita: -1073479162

Descrizione dell'errore

Output standard:
Errore standard:
Messaggio eccezione: un'eccezione (-1073479162) ha causato l'esito negativo del comando SSH. Non è stato possibile effettuare alcuna connessione perché il computer di destinazione l'ha rifiutata attivamente.

Possibili cause

• Il daemon SSH non è in esecuzione nel sistema di destinazione.
• Un firewall basato su rete o host impedisce le connessioni SSH sulla porta TCP 22.

Risoluzioni

• Verificare che il daemon SSH sia in esecuzione.
• Verificare che nessun firewall di rete o firewall host blocchi la porta TCP 22.

Errore durante l'individuazione SSH. Codice di uscita: -1073479118

Descrizione dell'errore

Errore durante l'individuazione SSH. Codice di uscita: -1073479118
Output standard:
Errore standard:
Messaggio eccezione: un'eccezione (-1073479118) ha causato l'esito negativo del comando SSH - Messaggio di disconnessione inviato dal server: tipo 2 (errore del protocollo: troppi errori di autenticazione per la radice)

Possibili cause

• L'account utente specificato per l'individuazione non è autorizzato ad accedere tramite SSH.
• L'account utente specificato per l'individuazione è stato input con un nome utente o una password non validi

Risoluzioni

• Verificare che all'utente sia consentito accedere tramite SSH.
• Verificare le credenziali di input e che l'utente sia definito nell'host di destinazione.

Errore durante l'individuazione SSH. Codice di uscita: 1

Descrizione dell'errore

Errore durante l'individuazione SSH. Codice di uscita: 1
Output standard: percorso Sudo: /usr/bin/
Errore standard: sudo: sorry, you must have a tty to run sudo (Errore standard: sudo: sorry, you must have a tty to run sudo)
Messaggio di eccezione:

Causa

L'elevazione sudo è stata selezionata nell'input delle credenziali utente, ma l'opzione requiretty non è stata disabilitata per l'utente nei sudoer.

Risoluzione

Modificare il file sudoers nell'host di destinazione usando il visudo comando e aggiungere la riga seguente:

Valori predefiniti: <username>!requiretty

Per altre informazioni, vedere Come configurare l'elevazione sudo e le chiavi SSH.

Password SU non valida

Descrizione dell'errore

. [?1034hopsuser@lx1:~> su - root -c 'sh /tmp/scx-opsuser/GetOSVersion.sh; EC=$?; rm -rf /tmp/scx-opsuser; uscire $EC'
Password:
Uscita
su: password non corretta
uscita opsuser@lx1:~>
Logout

Causa possibile

L'elevazione dei privilegi è stata selezionata nell'input delle credenziali utente, ma è stata fornita una password radice non valida per l'elevazione dei privilegi.

Risoluzione

Verificare l'input della password per la radice nella finestra di dialogo Configurazione elevazione elevazione.

Errore durante l'individuazione SSH. Codice di uscita: -2147221248

• Descrizione dell'errore

  Errore durante l'individuazione SSH. Codice di uscita: -2147221248
  Output standard:
  Errore standard: impossibile eseguire il chdir nella home directory /home/username: nessun file o directory di questo tipo

  Causa

  L'account utente specificato per l'individuazione non ha una home directory.

  Risoluzione

  Verificare che l'utente disponga di una home directory all'indirizzo: /home/ e che l'utente sia in grado di scrivere in questa directory.

• Descrizione dell'errore

  Errore durante l'individuazione SSH. Codice di uscita: -2147221248
  Output standard:
  Errore standard: password della radice:
  Messaggio eccezione:Timeout dell'operazione

  Causa

  L'elevazione sudo è stata selezionata nell'input delle credenziali utente. Tuttavia, l'account utente specificato per l'individuazione non è configurato correttamente per l'uso dell'elevazione sudo senza password o i privilegi di elevazione sudo necessari non sono stati concessi per l'account utente usato nell'individuazione.

  Risoluzione

  Esaminare la documentazione sulla configurazione dell'elevazione sudo e verificare la configurazione utente per sudo. Si noti che sudo senza password deve essere configurato.

Errori di connettività WSMan

L'agente ha risposto alla richiesta, ma la connessione WSMan non è riuscita a causa di: Accesso negato

Possibili cause

• L'agente è installato e il certificato dell'agente è stato firmato. Tuttavia, le credenziali utente fornite per la verifica dell'agente non sono valide.
• L'account utente specificato per l'individuazione è stato configurato per l'autenticazione con una chiave SSH, ma le credenziali utente specificate per la verifica dell'agente non sono valide.
• Si è verificato un problema di autorizzazione o una configurazione PAM non corretta sul lato UNIX.

Risoluzione

Per correggere il problema, attenersi alla seguente procedura:

1. Verificare che il nome utente e la password per la verifica dell'agente siano stati inseriti correttamente e che l'utente sia un utente valido nell'host di destinazione.

2. Se il problema persiste, verificare che l'elevazione sudo sia stata configurata correttamente.

3. Controllare anche il log dei messaggi nel computer UNIX/Linux. Ad esempio, in AIX è possibile trovare il log in /var/adm/messages. In altri sistemi operativi, la posizione può variare.

   Cercare righe come le seguenti:

   Set 3 14:49:07 server auth|security:debug /opt/microsoft/scx/bin/omiserver PAM: pam_authenticate: errore Autenticazione non riuscita.

   Se nel log dei messaggi vengono visualizzate righe simili, significa che il file di configurazione PAM non contiene informazioni su OMIServer. Il file di configurazione PAM è disponibile nella /etc/pam.d/ directory o nel /etc/pam.conf file.

   Il modo più semplice per aggiungere di nuovo le informazioni su OMIServer al file di configurazione PAM consiste nel reinstallare l'agente SCX da zero nel computer. Se questo non è facilmente possibile, è possibile copiare le righe relative a OMI da un computer funzionante al computer non funzionante.

Individuazione solo WSMan non riuscita per 192.168.x.x

Possibili cause

• L'opzione Tipo di individuazione è stata impostata su Solo i computer con un agente installato e un certificato firmato e l'host di destinazione ha installato l'agente. Tuttavia, il certificato host di destinazione non è stato firmato. Per usare l'opzione di individuazione solo WSMan, l'agente deve essere installato e il certificato deve essere firmato manualmente.
• L'opzione Tipo di individuazione è stata impostata su Solo i computer con un agente installato e un certificato firmato, ma l'host di destinazione non ha l'agente UNIX/Linux attualmente installato.
• L'opzione Tipo di individuazione è stata impostata su Solo i computer con un agente installato e un certificato firmato, ma l'agente UNIX/Linux non è attualmente in esecuzione.
• L'opzione Tipo di individuazione è stata impostata su Solo i computer con un agente installato e un certificato firmato, ma l'host di destinazione non è raggiungibile, un firewall basato su rete o host impedisce la connettività o l'agente UNIX/Linux è attualmente inattivo.

Risoluzioni

• Firmare manualmente il certificato.
• Verificare che l'agente UNIX/Linux sia stato installato.
• Modificare l'opzione Individua tutti i computer per consentire all'Individuazione guidata di eseguire la firma del certificato.
• Verificare che l'agente UNIX/Linux sia in esecuzione e che l'host di destinazione sia raggiungibile.
• Verificare che nessun firewall di rete o firewall host impedisca l'accesso sulla porta TCP 1270.

Altri errori

L'attività non può essere eseguita su uno o più oggetti perché la destinazione dell'attività non corrisponde a nessuna delle classi dell'oggetto

Causa

In un gruppo di gestione di System Center 2012 Operations Manager, ciò può verificarsi se i Management Pack UNIX/Linux importati sono versioni di Operations Manager 2007 R2.

Risoluzione

Importare le versioni di System Center 2012 dei Management Pack del sistema operativo UNIX/Linux.

L'agente è installato e il computer è già monitorato da Operations Manager

Causa

L'host di destinazione è già stato individuato in questo gruppo di gestione.

Risoluzione

Non è richiesta alcuna azione. L'aggiornamento o la migrazione dell'agente a un pool di risorse alternativo può essere eseguito dalla visualizzazione Server UNIX/Linux nel riquadro Amministrazione della console operatore.

Impossibile trovare un'istanza dell'agente supportata corrispondente nei Management Pack importati

Descrizione dell'errore

Impossibile trovare un'istanza dell'agente supportata corrispondente nei Management Pack importati. Importare i Management Pack per questa piattaforma per individuare il computer.

Possibili cause

• L'host di destinazione esegue un sistema operativo non supportato.
• Il Management Pack corretto per il sistema operativo dell'host di destinazione non è stato importato.
• Il Management Pack corretto per il sistema operativo è stato importato di recente, ma non è ancora stato caricato completamente.

Risoluzioni

• Verificare che l'host di destinazione esegua un sistema operativo supportato.
• Importare il Management Pack per il sistema operativo e la versione dell'host di destinazione.
• Se il Management Pack è stato importato, potrebbe essere ancora in fase di caricamento. Attendere alcuni minuti ed eseguire di nuovo l'individuazione.

Impossibile enumerare i tipi di agente installabili. Il pool di risorse associato potrebbe essere ancora in fase di inizializzazione

Descrizione dell'errore

Impossibile enumerare i tipi di agente installabili. È possibile che il pool di risorse associato sia ancora in fase di inizializzazione. Se è stato selezionato un pool di risorse appena creato, attendere alcuni minuti prima di usarlo.

Possibili cause

• Il pool di risorse usato nell'individuazione non è integro, ad esempio la maggior parte dei server membri è offline.
• Il pool di risorse usato nell'individuazione è stato creato di recente, ma non è stato completamente inizializzato.

Risoluzione

Se il pool di risorse usato nell'individuazione è stato creato di recente, ripetere l'individuazione dopo alcuni minuti per consentire l'inizializzazione del pool. In caso contrario, controllare il registro eventi di Operations Manager nei server che sono membri del pool di risorse usato per l'individuazione per individuare le indicazioni sull'origine del problema.

Impossibile copiare il nuovo agente nel computer

Descrizione dell'errore

Messaggio: Impossibile copiare un nuovo agente nel computer
Dettagli:
Impossibile copiare il kit. Codice di uscita: -1073479144
Output standard:
Errore standard:
Messaggio eccezione: un'eccezione (-1073479144) ha causato l'esito negativo del comando SSH

Causa

Le versioni dell'agente file non corrispondono tra il database e il repository dell'agente.

Risoluzioni

• Verificare che gli agenti non riusciti non riescano a causa della mancata corrispondenza della versione. In caso contrario, applicare altri passaggi per la risoluzione dei problemi.
• Provare ad aggiornare di nuovo gli agenti non riusciti. In genere, l'elenco degli agenti non riusciti diventa più breve e più breve durante ogni iterazione dell'aggiornamento.
• Riavviare il servizio integrità in tutti i membri del pool di risorse Linux o in un altro pool per la gestione di computer Unix o Linux. Controllare la %ProgramFiles%\Microsoft System Center 2012 R2\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits cartella se i nomi dei file sono corretti. Ricordarsi di chiudere e riaprire l'Individuazione guidata.

Ulteriori informazioni

Per altre informazioni, vedere il forum di supporto technet o contattare supporto tecnico Microsoft.