Udostępnij za pośrednictwem

Rozwiązywanie problemów z łącznością agenta w programie Operations Manager

  • Artykuł

Ten przewodnik ułatwia rozwiązywanie problemów z połączeniem agentów programu Operations Manager z serwerem zarządzania w programie System Center 2012 Operations Manager (OpsMgr 2012) i nowszych wersjach.

Aby dowiedzieć się więcej na temat agenta programu Operations Manager i sposobu komunikowania się z serwerami zarządzania, zobacz Agenty i komunikacja między agentami i serwerami zarządzania.

Oryginalna wersja produktu: System Center 2012 Operations Manager
Oryginalny numer KB: 10066

Sprawdzanie usługi kondycji

Zawsze, gdy występują problemy z łącznością w programie Operations Manager, najpierw upewnij się, że usługa kondycji jest uruchomiona bez błędów zarówno na agencie klienta, jak i na serwerze zarządzania. Aby ustalić, czy usługa jest uruchomiona, wykonaj następujące kroki:

  1. Naciśnij klawisz systemu Windows+R.

  2. W polu Uruchom wpisz services.msc i naciśnij klawisz Enter.

  3. Znajdź usługę Microsoft Monitoring Agent , a następnie kliknij ją dwukrotnie, aby otworzyć stronę Właściwości .

    Uwaga

    W programie System Center 2012 Operations Manager nazwa usługi to System Center Management.

  4. Upewnij się, że typ uruchamiania jest ustawiony na Wartość Automatyczna.

  5. Sprawdź, czy wartość Uruchomiono jest wyświetlana w obszarze Stan usługi. W przeciwnym razie kliknij przycisk Start.

Sprawdzanie wykluczeń programu antywirusowego

Jeśli usługa kondycji jest uruchomiona, następnym krokiem jest potwierdzenie, że wykluczenia antywirusowe są prawidłowo skonfigurowane. Aby uzyskać najnowsze informacje na temat zalecanych wykluczeń programu antywirusowego dla programu Operations Manager, zobacz Zalecenia dotyczące wykluczeń antywirusowych związanych z programem Operations Manager).

Sprawdzanie problemów z siecią

W programie Operations Manager komputer agenta musi mieć możliwość pomyślnego nawiązania połączenia z portem TCP 5723 na serwerze zarządzania. Jeśli to się nie powiedzie, prawdopodobnie otrzymasz identyfikator zdarzenia 21016 i 21006 dla agenta klienta.

Oprócz portu TCP 5723 należy włączyć następujące porty:

  • Port TCP i UDP 389 dla protokołu LDAP
  • Port TCP i UDP 88 na potrzeby uwierzytelniania Kerberos
  • Port TCP i UDP 53 dla usługi nazw domen (DNS)

Ponadto należy upewnić się, że komunikacja RPC zakończyła się pomyślnie za pośrednictwem sieci. Problemy z komunikacją RPC zwykle objawiają się podczas wypychania agenta z serwera zarządzania. Problemy z komunikacją RPC zwykle powodują niepowodzenie wypychania klienta z błędem podobnym do następującego:

Serwer programu Operation Manager nie może wykonać określonej operacji na komputerze agent1.contoso.com.

Operacja: Instalowanie agenta
Zainstaluj konto: contoso\Agent_action
Kod błędu: 800706BA
Opis błędu: Serwer RPC jest niedostępny

Ten błąd występuje zazwyczaj, gdy są używane niestandardowe porty efemeryczne lub gdy porty efemeryczne są blokowane przez zaporę. Jeśli na przykład skonfigurowano niestandardowe porty RPC wysokiego zakresu, ślad sieciowy pokaże pomyślne połączenie z portem RPC 135, a następnie próbę połączenia przy użyciu niestandardowego portu RPC, takiego jak 15595. Poniżej przedstawiono przykład:

18748 TCP agenta MS: Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 AGENT MS TCP:[SynReTransmit #18748] Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 AGENT MS TCP:[SynReTransmit #18748] Flags=...... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192

W tym przykładzie, ponieważ wykluczenie portów dla tego niestandardowego zakresu nie zostało skonfigurowane w zaporze, pakiety są porzucane, a połączenie kończy się niepowodzeniem.

W systemie Windows Vista i nowszych wersjach porty wysokiego zakresu RPC to 49152-65535, więc tego właśnie chcemy szukać. Aby sprawdzić, czy jest to twój problem, uruchom następujące polecenie, aby zobaczyć, jaki zakres portów RPC jest skonfigurowany:

netsh int ipv4 show dynamicportrange tcp

Zgodnie ze standardami IANA dane wyjściowe powinny wyglądać następująco:

Zakres portów dynamicznych protokołu tcp
---------------------------------
Port początkowy: 49152
Liczba portów: 16384

Jeśli widzisz inny port startowy, problem może polegać na tym, że zapora nie jest poprawnie skonfigurowana tak, aby zezwalała na ruch przez te porty. Konfigurację zapory można zmienić lub uruchomić następujące polecenie, aby przywrócić domyślne wartości portów wysokiego zakresu:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

Zakres portów dynamicznych RPC można również skonfigurować za pośrednictwem rejestru. Aby uzyskać więcej informacji, zobacz How to configure RPC dynamic port allocation to work with firewalls (Jak skonfigurować dynamiczną alokację portów RPC do pracy z zaporami).

Jeśli wszystko wydaje się być poprawnie skonfigurowane i nadal występuje błąd, może to być spowodowane jednym z następujących warunków:

  1. Model DCOM został ograniczony do określonego portu. Aby sprawdzić, uruchom polecenie dcomcnfg.exe, przejdź do pozycji Mojewłaściwości>komputera>Domyślne protokoły, upewnij się, że nie ma żadnych ustawień niestandardowych.

  2. Usługa WMI jest skonfigurowana do używania niestandardowego punktu końcowego. Aby sprawdzić, czy dla usługi WMI skonfigurowano statyczny punkt końcowy, uruchom polecenie dcomcnfg.exe, przejdź do pozycji Mój komputer>DCOM Config>Windows Management and InstrumentationPropertiesEndpoints (Konfiguracja komputera z systemem Windows iwłaściwości> instrumentacji>) — upewnij się, że nie ma żadnych ustawień niestandardowych.

  3. Na komputerze agenta jest uruchomiona rola serwera dostępu klienta Exchange Server 2010. Usługa dostępu klienta Exchange Server 2010 zmienia zakres portów na od 6005 do 65535. Zakres został rozszerzony w celu zapewnienia wystarczającego skalowania dla dużych wdrożeń. Nie zmieniaj tych wartości portów bez pełnego zrozumienia konsekwencji.

Aby uzyskać więcej informacji na temat wymagań dotyczących portów i zapory, zobacz Zapory. Minimalną wymaganą szybkość łączności sieciowej można również znaleźć w tym samym artykule.

Uwaga

Rozwiązywanie problemów z siecią jest bardzo dużym problemem, dlatego najlepiej skonsultować się z inżynierem sieci, jeśli podejrzewasz, że podstawowy problem z siecią powoduje problemy z łącznością agenta w programie Operations Manager. Dysponujemy również podstawowymi, uogólnionymi informacjami dotyczącymi rozwiązywania problemów z siecią dostępnymi w naszym zespole pomocy technicznej usług Windows Directory Services dostępnym na stronie Rozwiązywanie problemów z sieciami bez programu NetMon.

Sprawdzanie problemów z certyfikatami na serwerze bramy

Program Operations Manager wymaga przeprowadzenia wzajemnego uwierzytelniania między agentami klienta i serwerami zarządzania przed wymianą informacji między nimi. Aby zabezpieczyć proces uwierzytelniania, proces jest szyfrowany. Gdy agent i serwer zarządzania znajdują się w tej samej domenie usługi Active Directory lub w domenach usługi Active Directory, które mają ustanowione relacje zaufania, korzystają z mechanizmów uwierzytelniania Kerberos v5 udostępnianych przez usługę Active Directory. Gdy agenci i serwery zarządzania nie znajdują się w tej samej granicy zaufania, inne mechanizmy muszą być używane do spełnienia wymagań bezpiecznego uwierzytelniania wzajemnego.

W programie Operations Manager jest to realizowane przy użyciu certyfikatów X.509 wystawionych dla każdego komputera. Jeśli istnieje wiele komputerów monitorowanych przez agenta, może to spowodować wysokie obciążenie administracyjne związane z zarządzaniem wszystkimi tymi certyfikatami. Ponadto w przypadku zapory między agentami a serwerami zarządzania należy zdefiniować i utrzymać wiele autoryzowanych punktów końcowych w regułach zapory, aby umożliwić komunikację między nimi.

Aby zmniejszyć obciążenie administracyjne, program Operations Manager ma opcjonalną rolę serwera o nazwie Serwer bramy. Serwery bramy znajdują się w granicach zaufania agentów klienta i mogą uczestniczyć w obowiązkowym wzajemnym uwierzytelnianiu. Ponieważ bramy znajdują się w tej samej granicach zaufania co agenci, protokół Kerberos v5 dla usługi Active Directory jest używany między agentami a serwerem bramy, a następnie każdy agent komunikuje się tylko z serwerami bramy, o których jest świadomy.

Następnie serwery bramy komunikują się z serwerami zarządzania w imieniu klientów. Aby obsługiwać obowiązkowe bezpieczne wzajemne uwierzytelnianie między serwerem bramy a serwerami zarządzania, certyfikaty muszą być wystawiane i instalowane, ale tylko dla bramy i serwerów zarządzania. Zmniejsza to liczbę wymaganych certyfikatów. W przypadku interweniującej zapory zmniejsza również liczbę autoryzowanych punktów końcowych, które muszą być zdefiniowane w regułach zapory.

Na wynos jest to, że jeśli agenci klienta i serwery zarządzania nie znajdują się w tej samej granicy zaufania lub jeśli jest używany serwer bramy, niezbędne certyfikaty muszą być zainstalowane i skonfigurowane poprawnie, aby łączność agenta działała prawidłowo. Oto kilka kluczowych elementów do sprawdzenia:

  • Upewnij się, że certyfikat bramy istnieje wcertyfikatach osobistych> komputera >lokalnegona serwerze zarządzania, z którym łączy się brama lub agent.

  • Upewnij się, że certyfikat główny istnieje wcertyfikatachzaufanych głównych urzędów> certyfikacji komputera> lokalnego na serwerze zarządzania, z którym łączy się brama lub agent.

  • Upewnij się, że certyfikat główny istnieje w certyfikatachzaufanych głównych urzędów> certyfikacji komputera >lokalnegonaserwerze bramy.

  • Upewnij się, że certyfikat bramy istnieje wcertyfikatach osobistych> komputera >lokalnegona serwerze bramy. Upewnij się, że certyfikat bramy istnieje w certyfikatach programu Local Computer>Operations Manager> naserwerze bramy.

  • Upewnij się, że wartość HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber rejestru istnieje i ma wartość certyfikatu (z folderu Komputer lokalny/Osobiste/Certyfikaty w obszarze szczegółów w polu Numer seryjny ) odwróconego w nim na serwerze bramy.

  • Upewnij się, że wartość HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber rejestru istnieje i ma wartość certyfikatu (z folderu Komputer lokalny/Osobiste/Certyfikaty w obszarze szczegółów w polu Numer seryjny ) na serwerze zarządzania, z którym łączy się brama lub agent.

W dzienniku zdarzeń programu Operations Manager mogą zostać wyświetlone następujące identyfikatory zdarzeń w przypadku wystąpienia problemu z certyfikatami:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

Aby uzyskać szczegółowe informacje na temat sposobu działania uwierzytelniania opartego na certyfikatach w programie Operations Manager, a także instrukcje dotyczące uzyskiwania i konfigurowania odpowiednich certyfikatów, zobacz Uwierzytelnianie i szyfrowanie danych dla komputerów z systemem Windows.

Sprawdzanie rozłączanej przestrzeni nazw w agencie klienta

Rozłączana przestrzeń nazw występuje, gdy komputer kliencki ma podstawowy sufiks DNS, który nie jest zgodny z nazwą DNS domeny usługi Active Directory, do której należy klient. Na przykład klient używający podstawowego sufiksu DNS corp.contoso.com w domenie usługi Active Directory o nazwie na.corp.contoso.com używa rozłącznej przestrzeni nazw.

Jeśli agent klienta lub serwer zarządzania ma rozłączną przestrzeń nazw, uwierzytelnianie kerberos może zakończyć się niepowodzeniem. Chociaż jest to problem z usługą Active Directory, a nie problem z programem Operations Manager, ma to wpływ na łączność agenta.

Aby uzyskać więcej informacji, zobacz Disjoint Namespace (Rozłączana przestrzeń nazw).

Aby rozwiązać ten problem, użyj jednej z następujących metod:

Metoda 1

Ręcznie utwórz odpowiednie nazwy główne usługi (SPN) dla kont komputerów, których dotyczy problem, i dołącz nazwę SPN hosta dla w pełni kwalifikowanej nazwy domeny (FQDN) wraz z sufiksem nazw rozłącznych (HOST/machine.disjointed_name_suffix.local). Zaktualizuj DnsHostName również atrybut komputera, aby odzwierciedlał rozłączną nazwę (machine.disjointed_name_suffix.local) i włączał rejestrację atrybutu w prawidłowej strefie DNS na serwerach DNS używanych przez usługę Active Directory.

Metoda 2

Popraw rozłączną przestrzeń nazw. W tym celu zmień przestrzeń nazw we właściwościach komputera, którego dotyczy problem, aby odzwierciedlić nazwę FQDN domeny, do której należy komputer. Przed wprowadzeniem jakichkolwiek zmian w środowisku upewnij się, że masz pełną świadomość konsekwencji tego działania. Aby uzyskać więcej informacji, zobacz Przejście z rozłącznej przestrzeni nazw do ciągłej przestrzeni nazw.

Sprawdzanie powolnego połączenia sieciowego

Jeśli agent klienta działa przez powolne połączenie sieciowe, może napotkać problemy z łącznością ze względu na fakt, że istnieje zakodowany na stałe limit czasu uwierzytelniania. Aby rozwiązać ten problem, zainstaluj program System Center 2012 Operations Manager SP1 Update Rollup 8 (zakładając, że nie masz jeszcze programu System Center 2012 R2 Operations Manager), a następnie ręcznie zmień wartość limitu czasu.

Aktualizacja ur8 zwiększa limit czasu serwera do 20 sekund, a limit czasu klienta do 5 minut.

Aby uzyskać więcej informacji, zobacz Pakiet zbiorczy aktualizacji 8 dla dodatku Service Pack 1 programu System Center 2012 Operations Manager.

Uwaga

Ten problem może również wystąpić, gdy występują problemy z synchronizacją czasu między agentem klienta a serwerem zarządzania.

Sprawdzanie problemów z łącznikami programu OpsMgr

Jeśli wszystko inne zostanie wyewidencjonowane, sprawdź dziennik zdarzeń programu Operations Manager pod kątem zdarzeń błędów wygenerowanych przez łącznik programu OpsMgr. Poniżej wymieniono typowe przyczyny i rozwiązania różnych zdarzeń łącznika programu OpsMgr.

Identyfikator zdarzenia 21006 i 21016 są wyświetlane w agencie klienta

Przykłady tych zdarzeń:

Źródło: Łącznik programu OpsMgr
Data: godzina
Identyfikator zdarzenia: 21006
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis: Łącznik programu OpsMgr nie może nawiązać połączenia z serwerem <Zarządzania>:5723. Kod błędu to 10060L (Próba połączenia nie powiodła się, ponieważ połączona strona nie odpowiedziała prawidłowo po upływie określonego czasu lub nawiązane połączenie nie powiodło się, ponieważ połączony host nie odpowiedział). Sprawdź, czy istnieje łączność sieciowa, serwer jest uruchomiony i zarejestrował swój port nasłuchiwania, a żadne zapory nie blokują ruchu do miejsca docelowego.

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: godzina
Identyfikator zdarzenia: 21016
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis: Program OpsMgr nie może skonfigurować kanału komunikacji z <serwerem zarządzania> i nie ma hostów trybu failover. Komunikacja zostanie wznowiona, gdy <serwer zarządzania> jest dostępny i komunikacja z tego komputera jest dozwolona.

Zazwyczaj te identyfikatory zdarzeń są generowane, ponieważ agent nie otrzymał konfiguracji. Po dodaniu nowego agenta i przed jego skonfigurowaniem to zdarzenie jest typowe. Zdarzenie 1210 w dzienniku zdarzeń programu Operations Manager agenta wskazuje, że agent odebrał i zastosował konfigurację. To zdarzenie jest odbierane po nawiązaniu komunikacji.

Aby rozwiązać ten problem, możesz wykonać następujące czynności:

  1. Jeśli automatyczne zatwierdzanie dla ręcznie zainstalowanych agentów nie jest włączone, upewnij się, że agent został zatwierdzony.

  2. Upewnij się, że następujące porty są włączone do komunikacji:

    • 5723 oraz port TCP i UDP 389 dla protokołu LDAP.
    • Port TCP i UDP 88 na potrzeby uwierzytelniania kerberos.
    • Port TCP i UDP 53 dla serwera DNS.

  3. To zdarzenie może potencjalnie wskazywać, że uwierzytelnianie Kerberos kończy się niepowodzeniem. Sprawdź błędy protokołu Kerberos w dziennikach zdarzeń i rozwiąż problemy.

  4. Sprawdź, czy sufiks DNS ma nieprawidłową domenę. Na przykład komputer jest przyłączony do contoso1.com ale podstawowy sufiks DNS jest ustawiony na contoso2.com.

  5. Upewnij się, że domyślne klucze rejestru nazw domen są poprawne. Aby sprawdzić, upewnij się, że następujące klucze rejestru są zgodne z twoją nazwą domeny:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. Zduplikowana nazwa SPN dla usługi kondycji może również powodować zdarzenie o identyfikatorze 21016. Aby znaleźć zduplikowaną nazwę SPN, uruchom następujące polecenie:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    Jeśli są zarejestrowane zduplikowane nazwy SPN, należy usunąć nazwę SPN dla konta, które nie jest używane dla usługi kondycji serwera zarządzania.

Identyfikator zdarzenia 20057 jest wyświetlany na serwerze zarządzania

Przykład tego zdarzenia:

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: godzina
Identyfikator zdarzenia: 20057
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:Nie można zainicjować kontekstu zabezpieczeń dla docelowego elementu MSOMHSvc/****** Zwrócony błąd to 0x80090311(Nie można skontaktować się z żadnym urzędem w celu uwierzytelnienia). Ten błąd może dotyczyć protokołu Kerberos lub pakietu SChannel.

Identyfikatory zdarzeń 21006, 21016 i 20057 są zwykle spowodowane przez zapory lub problemy z siecią, które uniemożliwiają komunikację za pośrednictwem wymaganych portów. Aby rozwiązać ten problem, sprawdź zapory między agentem klienta a serwerem zarządzania. Następujące porty muszą być otwarte, aby umożliwić poprawne uwierzytelnianie i komunikację:

  • Port TCP i UDP 389 dla protokołu LDAP.
  • Port TCP i UDP 88 na potrzeby uwierzytelniania kerberos.

Identyfikator zdarzenia 2010 i 2003 są wyświetlane w agencie klienta

Przykłady tych zdarzeń:

Nazwa dziennika: Operations Manager
Źródło: HealthService
Data: dane
Identyfikator zdarzenia: 2010
Kategoria zadania: Usługa kondycji
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis: Usługa kondycji nie może nawiązać połączenia z usługą Active Directory w celu pobrania zasad grupy zarządzania. Błąd to Nieokreślony błąd (0x80004005)
Kod XML zdarzenia:
<Xmlns="http://schemas.microsoft.com/win/2004/08/events/event" zdarzenia>
<System>
<Nazwa dostawcy="HealthService" />
<EventID Qualifiers="49152">2010/<EventID>
<Poziom>2</Poziom>
<Zadanie>1</zadanie>
< >Słowa kluczowe 0x80000000000000</słowa kluczowe>
<TimeCreated SystemTime="2015-02-21T21:06:04.000000000Z" />
<EventRecordID>84143</EventRecordID>
<Channel>Operations Manager</Channel>
<ComputerName></Computer>
<Zabezpieczeń/>
</System>
<Eventdata>
<Nieokreślony>błąd</Dane>
<0x80004005< danych>/dane>
</Eventdata>
</Zdarzenie>

Nazwa dziennika: Operations Manager
Źródło: HealthService
Data: godzina
Identyfikator zdarzenia: 2003
Kategoria zadania: Usługa kondycji
Poziom: informacje
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis: Nie uruchomiono żadnych grup zarządzania. Może to być spowodowane tym, że obecnie nie skonfigurowano żadnych grup zarządzania lub nie można uruchomić skonfigurowanej grupy zarządzania. Usługa kondycji będzie czekać na uruchomienie zasad z usługi Active Directory konfigurujących grupę zarządzania.
Kod XML zdarzenia:
<Xmlns="http://schemas.microsoft.com/win/2004/08/events/event" zdarzenia>
<System>
<Nazwa dostawcy="HealthService" />
<EventID Qualifiers="16384">2003/<EventID>
<Poziom>4</Poziom>
<Zadanie>1</zadanie>
< >Słowa kluczowe 0x80000000000000</słowa kluczowe>
<TimeCreated SystemTime="2015-02-21T21:06:04.000000000Z" />
<EventRecordID>84156</EventRecordID>
<Channel>Operations Manager</Channel>
<ComputerName></Computer>
<Zabezpieczeń/>
</System>
<Eventdata>
</Eventdata>
</Zdarzenie>

Jeśli agent używa przypisania usługi Active Directory, dzienniki zdarzeń będą również wskazywać na problem z komunikacją z usługą Active Directory.

Jeśli są widoczne te dzienniki zdarzeń, upewnij się, że agent klienta może uzyskać dostęp do usługi Active Directory. Sprawdź zapory, rozpoznawanie nazw i ogólną łączność sieciową.

Identyfikator zdarzenia 20070 w połączeniu z identyfikatorem zdarzenia 21016

Przykłady tych zdarzeń:

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: 13.06.2014 22:13:39
Identyfikator zdarzenia: 21016
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Program OpsMgr nie może skonfigurować kanału komunikacji z <programem ComputerName> i nie ma hostów trybu failover. Komunikacja zostanie wznowiona, gdy <jest dostępna nazwa komputera> i komunikacja z tego komputera jest dozwolona.

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Data: 13.06.2014 22:13:37
Identyfikator zdarzenia: 20070
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Łącznik OpsMgr jest połączony z programem <ComputerName>, ale połączenie zostało zamknięte natychmiast po uwierzytelnieniu. Najbardziej prawdopodobną przyczyną tego błędu jest to, że agent nie jest autoryzowany do komunikacji z serwerem lub serwer nie otrzymał konfiguracji. Sprawdź dziennik zdarzeń na serwerze pod kątem obecności zdarzeń 20000, wskazując, że agenci, którzy nie są zatwierdzone, próbują nawiązać połączenie.

Po wyświetleniu tych zdarzeń oznacza to, że nastąpiło uwierzytelnianie, ale połączenie zostało zamknięte. Zwykle dzieje się tak, ponieważ agent nie został skonfigurowany. Aby to sprawdzić, sprawdź, czy na serwerze zarządzania jest odbierany identyfikator zdarzenia 20000 Urządzenie, które nie jest częścią tej grupy zarządzania, które próbowało uzyskać dostęp do tej usługi kondycji .

Te dzienniki zdarzeń mogą również wystąpić, jeśli agenci klienta są zablokowani w stanie Oczekiwanie i nie są widoczni w konsoli programu .

Aby sprawdzić, uruchom następujące polecenie, aby sprawdzić, czy agenci są wymienini do ręcznego zatwierdzenia:

Get-SCOMPendingManagement

Jeśli tak, możesz rozwiązać ten problem, uruchamiając następujące polecenie, aby ręcznie zatwierdzić agentów:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

Identyfikator zdarzenia 21023 jest wyświetlany na agencie klienta, a identyfikator zdarzenia 29120, 29181 i 21024 na serwerze zarządzania

Poniżej przedstawiono przykłady tych zdarzeń.

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Identyfikator zdarzenia: 21023
Kategoria zadania: Brak
Poziom: informacje
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Program OpsMgr nie ma konfiguracji dla grupy <zarządzania GroupName> i żąda nowej konfiguracji z usługi konfiguracji.

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programu OpsMgr
Identyfikator zdarzenia: 29120
Kategoria zadania: Brak
Poziom: Ostrzeżenie
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Usługa konfiguracji zarządzania programu OpsMgr nie może przetworzyć żądania konfiguracji (plik konfiguracji XML lub żądanie pakietu administracyjnego) z powodu następującego wyjątku

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programu OpsMgr
Identyfikator zdarzenia: 29181
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Usługa konfiguracji zarządzania programu OpsMgr nie mogła wykonać elementu roboczego aparatu "GetNextWorkItem" z powodu następującego wyjątku

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programu OpsMgr
Identyfikator zdarzenia: 29181
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Usługa konfiguracji zarządzania programu OpsMgr nie mogła wykonać elementu roboczego aparatu "LocalHealthServiceDirtyNotification" z powodu następującego wyjątku

Nazwa dziennika: Operations Manager
Źródło: Konfiguracja zarządzania programu OpsMgr
Identyfikator zdarzenia: 21024
Kategoria zadania: Brak
Poziom: informacje
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Konfiguracja programu OpsMgr może być nieaktualna dla grupy <zarządzania GroupName> i zażądała zaktualizowanej konfiguracji z usługi konfiguracji. Bieżący (nieaktualny) plik cookie stanu to "5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3"

Nazwa dziennika: Operations Manager
Źródło: Łącznik programu OpsMgr
Identyfikator zdarzenia: 29181
Kategoria zadania: Brak
Poziom: Błąd
Słowa kluczowe: klasyczne
Użytkownik: N/A
Komputer: <Nazwa komputera>
Opis:
Usługa konfiguracji zarządzania programu OpsMgr nie mogła wykonać elementu roboczego aparatu "DeltaSynchronization" z powodu następującego wyjątku

Te zdarzenia mogą wystąpić, gdy proces synchronizacji różnicowej nie może skompilować konfiguracji w skonfigurowanym oknie limitu czasu wynoszącym 30 sekund. Może to wystąpić, gdy jest duże miejsce na wystąpienie.

Aby rozwiązać ten problem, zwiększ limit czasu na wszystkich serwerach zarządzania. W tym celu użyj jednej z następujących metod:

Metoda 1

  1. Utwórz kopię zapasową następującego pliku:

    Dysk:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. Zwiększ wartości limitu czasu w ConfigService.config programie, stosując następujące zmiany:

    Zlokalizuj <OperationTimeout DefaultTimeoutSeconds="30">, zmień wartość od 30 do 300.
    Zlokalizuj <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />wartość , zmień wartość 180 na 300.

  3. Uruchom ponownie usługę konfiguracji.

W większości przypadków powinno to dać wystarczająco dużo czasu na ukończenie procesu synchronizacji.

Metoda 2

  1. Zainstaluj pakiet zbiorczy aktualizacji 3 lub nowszy dla programu System Center 2012 R2 Operations Manager.

  2. Dodaj następującą wartość rejestru na serwerze z uruchomionym programem System Center 2012 R2 Operations Manager, aby skonfigurować limit czasu:

    • Podklucz rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • Nazwa DWORD: CommandTimeoutSeconds
    • Wartość DWORD: nn

    Uwaga

    Wartość domyślna symbolu zastępczego nn wynosi 30 sekund. Możesz zmienić tę wartość, aby kontrolować limit czasu synchronizacji różnicowej.

Inne identyfikatory zdarzeń łącznika programu OpsMgr

Poniżej wymieniono inne zdarzenia błędów łącznika programu OpsMgr i odpowiednie sugestie dotyczące rozwiązywania problemów:

Zdarzenie Opis Więcej informacji
20050 Nie można załadować określonego certyfikatu, ponieważ określone użycie rozszerzonego klucza nie spełnia wymagań programu OpsMgr. Certyfikat musi mieć następujące typy użycia: %n %n Uwierzytelnianie serwera (1.3.6.1.5.5.7.3.1)%n Uwierzytelnianie klienta (1.3.6.1.5.5.7.3.2)%n Potwierdź identyfikator obiektu certyfikatu.
20057 Nie można zainicjować kontekstu zabezpieczeń dla obiektu docelowego %1 Zwrócony błąd to %2(%3). Ten błąd może dotyczyć pakietu Kerberos lub pakietu SChannel. Sprawdź, czy nie ma zduplikowanych lub niepoprawnych nazw SPN.
20066 Określono certyfikat do użycia z uwierzytelnianiem wzajemnym. Nie można jednak odnaleźć tego certyfikatu. Prawdopodobnie wpłynie to na możliwość komunikowania się z tą usługą kondycji. Sprawdź certyfikat.
20068 Certyfikatu określonego w rejestrze pod HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings adresem nie można użyć do uwierzytelniania, ponieważ certyfikat nie zawiera użytecznego klucza prywatnego lub ponieważ klucz prywatny nie jest obecny. Błąd to %1(%2). Sprawdź brakujący lub nieskojarzony klucz prywatny. Zbadaj certyfikat. Zaimportuj ponownie certyfikat lub utwórz nowy certyfikat i zaimportuj go.
20069 Nie można załadować określonego certyfikatu, ponieważ parametr KeySpec musi być AT_KEYEXCHANGE Sprawdź certyfikat. Sprawdź identyfikator obiektu w certyfikacie.
20070 Łącznik programu OpsMgr połączony z użytkownikiem %1. Połączenie zostało jednak zamknięte natychmiast po uwierzytelnieniu. Najbardziej prawdopodobną przyczyną tego błędu jest to, że agent nie jest autoryzowany do komunikacji z serwerem lub że serwer nie otrzymał konfiguracji. Sprawdź dziennik zdarzeń na serwerze pod kątem obecności zdarzeń 20000. Wskazują one, że agenci, którzy nie są zatwierdzone, próbują nawiązać połączenie. Nastąpiło uwierzytelnienie, ale połączenie zostało zamknięte. Upewnij się, że porty są otwarte i sprawdź agenta oczekującego na zatwierdzenie.
20071 Łącznik programu OpsMgr połączony z użytkownikiem %1. Połączenie zostało jednak natychmiast zamknięte bez uwierzytelniania. Najbardziej prawdopodobną przyczyną tego błędu jest niepowodzenie uwierzytelniania tego agenta lub serwera. Sprawdź dziennik zdarzeń na serwerze i w agencie pod kątem zdarzeń wskazujących na niepowodzenie uwierzytelniania. Uwierzytelnianie nie powiodło się. Sprawdź zapory i port 5723. Komputer agenta musi mieć możliwość osiągnięcia portu 5723 na serwerze zarządzania. Upewnij się również, że port TCP & UDP 389 dla protokołu LDAP, port 88 dla protokołu Kerberos i port 53 dla systemu DNS są dostępne.
20072 Certyfikat zdalny %1 nie był zaufany. Błąd to %2(%3). Sprawdź, czy certyfikat znajduje się w zaufanym magazynie.
20077 Certyfikatu określonego w rejestrze pod HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings adresem nie można użyć do uwierzytelniania, ponieważ nie można odpytywać certyfikatu o informacje o właściwości. Konkretny błąd to %2(%3).%n %n. Zwykle oznacza to, że żaden klucz prywatny nie został dołączony do certyfikatu. Sprawdź dokładnie, czy certyfikat zawiera klucz prywatny. Brak lub nieskojarzony klucz prywatny. Zbadaj certyfikat. Zaimportuj ponownie certyfikat lub utwórz nowy certyfikat i zaimportuj go.
21001 Łącznik programu OpsMgr nie może nawiązać połączenia z użytkownikiem %1, ponieważ uwierzytelnianie wzajemne nie powiodło się. Sprawdź, czy nazwa SPN jest poprawnie zarejestrowana na serwerze i czy jeśli serwer znajduje się w osobnej domenie, istnieje relacja pełnego zaufania między dwiema domenami. Sprawdź rejestrację nazwy SPN.
21005 Łącznik programu OpsMgr nie może rozpoznać adresu IP dla %1. Kod błędu to %2(%3). Sprawdź, czy system DNS działa poprawnie w twoim środowisku. Zwykle jest to problem z rozpoznawaniem nazw. Sprawdź system DNS.
21006 Łącznik programu OpsMgr nie może nawiązać połączenia z użytkownikiem %1:%2. Kod błędu to %3(%4). Sprawdź, czy istnieje łączność sieciowa, czy serwer jest uruchomiony i zarejestrował swój port nasłuchiwania oraz czy nie ma zapór blokujących ruch do miejsca docelowego. Prawdopodobnie jest to ogólny problem z łącznością. Sprawdź zapory i upewnij się, że port 5723 jest otwarty.
21007 Łącznik programu OpsMgr nie może utworzyć wzajemnie uwierzytelnionego połączenia z użytkownikiem %1, ponieważ nie znajduje się ono w zaufanej domenie. Nie ustanowiono zaufania. Upewnij się, że certyfikat jest w miejscu i jest poprawnie skonfigurowany.
21016 Program OpsMgr nie może skonfigurować kanału komunikacji do %1 i nie ma hostów trybu failover. Komunikacja zostanie wznowiona po udostępnieniu elementu %1 i włączeniu komunikacji z tego komputera. Zwykle oznacza to błąd uwierzytelniania. Upewnij się, że agent został zatwierdzony do monitorowania i że wszystkie porty są otwarte.
21021 Nie można załadować ani utworzyć certyfikatu. Ta usługa kondycji nie będzie w stanie komunikować się z innymi usługami kondycji. Poszukaj poprzednich zdarzeń w dzienniku zdarzeń, aby uzyskać więcej szczegółów. Sprawdź certyfikat.
21022 Nie określono certyfikatu. Ta usługa kondycji nie będzie w stanie komunikować się z innymi usługami kondycji, chyba że te usługi kondycji znajdują się w domenie, która ma relację zaufania z tą domeną. Jeśli ta usługa kondycji musi komunikować się z usługami kondycji w domenach niezaufanych, skonfiguruj certyfikat. Sprawdź certyfikat.
21035 Rejestracja nazwy SPN dla tego komputera z klasą usługi "%1" nie powiodła się z powodu błędu "%2". Może to spowodować niepowodzenie uwierzytelniania Kerberos w tej usłudze kondycji lub z tej usługi kondycji. Oznacza to problem z rejestracją nazwy SPN. Zbadaj nazwy SPN pod kątem uwierzytelniania kerberos.
21036 Certyfikatu określonego w rejestrze pod HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings adresem nie można użyć do uwierzytelniania. Błąd to %1(%2). Zazwyczaj jest to brakujący lub nieskojarzony klucz prywatny. Zbadaj certyfikat. Zaimportuj ponownie certyfikat lub utwórz nowy certyfikat i zaimportuj go.