Устранение неполадок при обнаружении агента UNIX и Linux в Operations Manager

Эта статья поможет устранить распространенные ошибки, которые могут возникнуть во время процесса обнаружения компьютеров UNIX или Linux.

Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4490426

Чтобы отслеживать компьютеры UNIX или Linux в System Center Operations Manager (OpsMgr), необходимо сначала обнаружить компьютеры, а агент OpsMgr должен быть установлен. Мастер компьютеров и Управление устройствами используется для обнаружения и установки агентов на компьютерах UNIX и Linux. Однако процесс обнаружения может завершиться сбоем из-за проблем с конфигурацией, учетными данными или привилегиями, либо проблем с разрешением имен и сетью.

Ошибки сертификата или ошибки подписи сертификата

Операция проверки подписанных сертификатов не прошла успешно

При сбое проверки сертификата обычно возникает ошибка, похожая на следующую:

Сбой проверки агента. Сведения об ошибке. Сертификат сервера на конечном компьютере (lx1.contoso.com:1270) имеет следующие ошибки:
Не удалось проверить SSL-сертификат на отзыв. Сервер, используемый для проверки отзыва, может быть недоступен.
SSL-сертификат содержит общее имя (CN), которое не соответствует имени узла.
Возможно, что:

1. Конечный сертификат подписан другим центром сертификации, у которого нет доверенных отношений с сервером управления.
2. Пункт назначения имеет недопустимый сертификат, например его общее имя (CN) не соответствует полному доменному имени (FQDN), используемому для подключения. Полное доменное имя, используемое для подключения: lx1.contoso.com.
3. У серверов в пуле ресурсов не настроено доверие к сертификатам, подписанным другими серверами в пуле.

• Одна из распространенных причин заключается в том, что общее имя сертификата агента (CN) не соответствует предоставленному или разрешенного полного доменного имени (FQDN).

  Чтобы проверить это, убедитесь, что имя узла агента и доменное имя совпадают с полным доменным именем, разрешенным через DNS.

  Чтобы просмотреть основные сведения о сертификате на компьютере UNIX или Linux, выполните следующую команду:

  openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
  

  При этом вы увидите выходные данные, аналогичные следующим:

  subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  notBefore=Mar 25 05:21:18 2008 GMT
  notAfter=Mar 20 05:21:18 2029 GMT

  Используйте эти сведения для проверки имен узлов и дат, убедитесь, что они соответствуют имени, разрешаемого сервером управления Operations Manager.

  Если имена узлов не совпадают, используйте одно из следующих действий, чтобы устранить проблему:

  • Если имя узла UNIX или Linux правильно, но сервер управления Operations Manager разрешает его неправильно, измените запись DNS в соответствии с правильным полным доменным именем или добавьте запись в файл узлов на сервере Operations Manager.
  • Если неправильное имя узла UNIX или Linux, выполните одно из следующих действий:
    • Измените имя узла на узле UNIX или Linux на правильный и создайте новый сертификат.
    • Создайте сертификат с нужным именем узла.

  Чтобы изменить имя сертификата, выполните следующие действия.

  Если сертификат был создан с неправильным именем, его можно изменить и повторно создать сертификат и закрытый ключ. Для этого выполните следующую команду на компьютере, работающем под управления ОС UNIX или Linux:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -v
  

  Параметр -f принудительно перезаписывает файлы в файле /etc/opt/microsoft/scx/ssl.

  Вы также можете изменить имя узла и доменное имя сертификата с помощью -h параметров и -d параметров, как показано в следующем примере:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>
  

  Перезапустите агент, выполнив следующую команду.

  /opt/microsoft/scx/bin/tools/scxadmin -restart
  

  Чтобы добавить запись в файл узлов, выполните следующие действия.

  Если полное доменное имя не находится в обратном разрешении DNS, то для обеспечения разрешения имен можно добавить запись в файл "Hosts", расположенный на сервере управления. Файл узлов находится в папке \Windows\System32\Drivers\etc . Запись в файле Hosts представляет собой комбинацию IP-адреса и полного доменного имени.

  Например, чтобы добавить запись для узла с именем newhostname.newdomain.name с IP-адресом 192.168.1.1, добавьте следующее в конец файла узлов:

  192.168.1.1 newhostname.newdomain.name

• Еще одна распространенная причина этой ошибки заключается в том, что сертификат подписан ненадежным центром, например если несколько серверов управления являются членами пула ресурсов, используемого для обнаружения, но доверие сертификатов не настроено между серверами управления.

  Чтобы проверить это, убедитесь, что все серверы управления в пуле ресурсов, используемые для проверки доверия друг другу к сертификату сервера.

  Дополнительные сведения об управлении пулами ресурсов для компьютеров UNIX и Linux см. в статье "Управление пулами ресурсов для компьютеров UNIX и Linux".

Неправильное имя пользователя или пароль

При попытке обнаружить агенты UNIX/Linux может возникнуть ошибка. Сбой может произойти во время проверки сертификата при обнаружении компьютера UNIX/Linux.

Возможные причины

• Обычная проверка подлинности устанавливается false на одном или нескольких серверах управления в пуле ресурсов UNIX/Linux, если агент UNIX/Linux не присоединен к домену и не может использовать проверку подлинности Kerberos. Чтобы проверить текущие параметры WinRM, выполните следующую команду: winrm get winrm/config/client
• Неправильно указано имя пользователя или пароль.

Решение

Конфигурацию WinRM можно обновить на серверах управления в пуле ресурсов UNIX/Linux, чтобы разрешить обычную проверку подлинности, выполнив следующую команду, или настроить конфигурацию с помощью групповой политики:

winrm set winrm/config/client/auth @{Basic="true"}

Примечание.

Следующая команда задает значение реестра DWORD (32-разрядная версия) (AllowBasic) в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WinRM\Client

AllowBasic разрешает ( 1 включено) или 0 (отключено) десятичные значения.

Операция подписания сертификата не выполнена

Возможные причины

• Учетная запись пользователя, указанная для обнаружения, имеет недостаточные привилегии для выполнения операций с файлами, участвующими в входе.
• Права на повышение прав sudo для учетной записи пользователя, указанной для обнаружения, не настроены правильно.

Решение

Чтобы устранить проблему, проверьте учетную запись пользователя, проверив выходные данные StdErr в сведениях об ошибке, чтобы определить причину сбоя. Также проверьте конфигурацию привилегий sudo для учетной записи, используемой для подписи сертификата.

Ошибки при разрешении имени сети

Целевой адрес не разрешается

Эти проблемы обычно относятся к одной из следующих категорий:

• Описание ошибки

  Не удалось разрешить IP-адрес IP-адреса <> на имя

  Причина

  Эта ошибка возникает при вводе IP-адреса узла для обнаружения, но IP-адрес не разрешается в DNS (обратный поиск).

  Решение

  Чтобы устранить эту проблему, правильная конфигурация разрешения имен (DNS) для зоны обратного поиска убедитесь, что IP-адрес с сопоставлением имен существует для затронутого узла.

• Описание ошибки

  Не удалось разрешить server.contoso.com имени в IP-адрес

  Причина

  Эта ошибка возникает, если полное доменное имя узла было введено для обнаружения, но имя не разрешено IP-адресу в DNS (поиск вперед).

  Решение

  Чтобы устранить эту проблему, правильная конфигурация разрешения имен (DNS) для прямого поиска убедитесь, что для узла существует имя узла с сопоставлением IP-адресов.

Конфигурация DNS: прямое разрешение DNS не совпадает с обратным разрешением DNS

Описание ошибки

В этой ситуации обычно возникает ошибка, похожая на следующую:

Предоставленное имя узла ServerName разрешено в IP-адрес 10.137.216.x. Имя узла ServerName.contoso.com, возвращаемое обратным поиском IP-адреса 192.168.x.x, не совпадает с указанным именем узла. Проверьте конфигурацию DNS и повторите запрос.

Причина

Наиболее распространенной причиной является то, что записи узла в зонах подстановки вперед и обратного DNS не совпадают.

Решение

Чтобы устранить эту проблему, исправьте записи в зонах прямого и обратного подстановки в DNS, чтобы имена узлов и IP-адреса соответствовали.

Целевой адрес недоступен

Описание ошибки

В этой ситуации обычно возникает ошибка, похожая на следующую:

Клиент WinRM не может завершить операцию в течение указанного времени. Проверьте, является ли имя компьютера допустимым и доступным по сети, а также включено ли исключение брандмауэра для службы удаленного управления Windows.

Возможные причины

• Узел недоступен из-за неправильного разрешения имен, сбоя сети или сбоя узла.
• Брандмауэр на основе сети или узла блокирует подключение TCP-порта 1270 к целевому узлу.

Решение

Чтобы устранить эту проблему, убедитесь, что сервер управления может проверить связь узла агента с помощью полного доменного имени. Кроме того, убедитесь, что брандмауэры сети или брандмауэр узла блокируют TCP-порт 1270.

Непредвиденный тип discoveryResult.ErrorData. Отчет об ошибке файла — имя параметра: s

Описание ошибки

Непредвиденный тип DiscoveryResult.ErrorData. Отправьте отчет об ошибке.
ErrorData: System.ArgumentNullException
значение не может быть равно NULL.
Имя параметра: s
в System.Activity.WorkflowApplication.Invoke(действие действия, входные данные IDictionary'2, расширения WorkflowInstanceExtensionManager, время ожидания TimeSpan)
в System.Activity.WorkflowInvoker.Invoke(рабочий процесс действия, входные данные IDictionary'2, время ожидания TimeSpan, расширения WorkflowInstanceExtensionManager)
на сайте Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint, IInstallableAgents installableAgents)

Причина

Эта ошибка возникает, так как параметры прокси-сервера WinHTTP были настроены на серверах управления в пуле ресурсов UNIX или Linux, а полное доменное имя агента UNIX или Linux, которое вы пытаетесь обнаружить, не входит в список обхода прокси-сервера WinHTTP.

Решение

Чтобы устранить эту проблему, добавьте полное доменное имя UNIX или Linux в список обхода прокси-сервера WinHTTP.

На серверах управления в пуле ресурсов UNIX или Linux выполните следующую команду в командной строке с повышенными привилегиями, чтобы проверить текущую конфигурацию прокси-сервера:

netsh winhttp show proxy

Если прокси-сервер WinHTTP настроен, добавьте полное доменное имя сервера, который вы пытаетесь обнаружить в списке обхода, выполнив следующую команду:

netsh winhttp set proxy proxy-server="<proxyserver:port>" bypass-list="*.ourdomain.com;*.yourdomain.com*;<serverFQDN>"

После настройки списка обходов проверьте успешность обнаружения агента.

Примечание.

Чтобы отключить прокси-сервер WinHTTP, можно выполнить netsh winhttp reset proxy команду. Эта команда удаляет прокси-сервер и настраивает прямой доступ.

Непредвиденный тип discoveryResult.ErrorData. Отчет об ошибке файла — имя параметра: lhs

Описание ошибки

Обнаружение не выполнено успешно
Сообщение: неуказанный сбой
Сведения: тип Непредвиденного обнаруженияResult.ErrorData. Отправьте отчет об ошибке.
ErrorData: System.ArgumentNullException
значение не может быть равно NULL.
Имя параметра: lhs
в System.Activity.WorkflowApplication.Invoke(действие действия, входные данные IDictionary'2, расширения WorkflowInstanceExtensionManager, время ожидания TimeSpan)
в System.Activity.WorkflowInvoker.Invoke(рабочий процесс действия, входные данные IDictionary'2, время ожидания TimeSpan, расширения WorkflowInstanceExtensionManager)
на сайте Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint, IInstallableAgents installableAgents)

Причина

Эта ошибка возникает из-за файлов оболочки omsagent в папке установленных наборов.

Решение

Перейдите к следующему каталогу в проводник:

C:\Program Files\Microsoft System Center\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits

Если перечислены файлы omsagent, переместите их во временный каталог за пределами файлов System Center Operations Manager (SCOM).

См. следующий снимок экрана:

После перемещения из папки DownloadedKits повторите обнаружение. Обнаружение должно завершиться успешно.

Примечание.

Обнаружение может завершиться ошибкой с другой ошибкой. Ошибка указывает на необходимость устранения неполадок, таких как sudoers, подключение и т. д.

Ошибки подключения SSH

Ошибка во время обнаружения SSH. Код выхода: -1073479162

Описание ошибки

Стандартные выходные данные:
Стандартная ошибка:
Сообщение об исключении: исключение (-1073479162) привело к сбою команды SSH. Подключение не может быть сделано, так как целевой компьютер активно отказался от него.

Возможные причины

• Управляющая программа SSH не запущена в целевой системе.
• Брандмауэр на основе сети или узла запрещает подключения SSH через TCP-порт 22.

Резолюций

• Убедитесь, что запущена управляющая программа SSH.
• Убедитесь, что брандмауэры сети или брандмауэр узла не блокируют TCP-порт 22.

Ошибка во время обнаружения SSH. Код выхода: -1073479118

Описание ошибки

Ошибка во время обнаружения SSH. Код выхода: -1073479118
Стандартные выходные данные:
Стандартная ошибка:
Сообщение об исключении: исключение (-1073479118) привело к сбою команды SSH — сервер отправил сообщение об отключении сервера: тип 2 (ошибка протокола: слишком много сбоев проверки подлинности для корневого каталога)

Возможные причины

• Учетная запись пользователя, указанная для обнаружения, не разрешена для входа через SSH.
• Для учетной записи пользователя, указанной для обнаружения, было введено недопустимое имя пользователя или пароль.

Резолюций

• Убедитесь, что пользователь может войти через SSH.
• Убедитесь, что входные учетные данные и что пользователь определен на целевом узле.

Ошибка во время обнаружения SSH. Код выхода: 1

Описание ошибки

Ошибка во время обнаружения SSH. Код выхода: 1
Стандартный выход: путь Sudo: /usr/bin/
Стандартная ошибка: sudo: к сожалению, вы должны иметь tty для запуска sudo
Сообщение об исключении:

Причина

Повышение прав sudo было выбрано в вводе учетных данных пользователя, однако requiretty параметр не был отключен для пользователя в sudoers.

Решение

Измените файл sudoers на целевом узле с помощью visudo команды и добавьте следующую строку:

Значения по умолчанию: <username>!requiretty

Дополнительные сведения см. в разделе "Настройка повышения прав sudo и ключей SSH".

Недопустимый пароль SU

Описание ошибки

. [?1034hopsuser@lx1:~> su - root -c 'sh /tmp/scx-opsuser/GetOSVersion.sh; EC=$?; rm -rf /tmp/scx-opsuser; exit $EC'
Пароль:
exit
su: неверный пароль
opsuser@lx1:~> выход
Выход

Возможная причина

В вводе учетных данных пользователя выбрано повышение прав пользователя, однако недопустимый корневой пароль был предоставлен для повышения прав su.

Решение

Проверьте входные данные пароля для корневого каталога в диалоговом окне конфигурации повышения прав.

Ошибка во время обнаружения SSH. Код выхода: -2147221248

• Описание ошибки

  Ошибка во время обнаружения SSH. Код выхода: -2147221248
  Стандартные выходные данные:
  Стандартная ошибка: не удалось выполнить chdir к домашнему каталогу /home/username: нет такого файла или каталога

  Причина

  Учетная запись пользователя, указанная для обнаружения, не имеет домашнего каталога.

  Решение

  Убедитесь, что у пользователя есть домашний каталог: /home/ и что пользователь может записать в этот каталог.

• Описание ошибки

  Ошибка во время обнаружения SSH. Код выхода: -2147221248
  Стандартные выходные данные:
  Стандартная ошибка: пароль корневого каталога:
  Сообщение об исключении:время ожидания операции

  Причина

  В вводе учетных данных пользователя выбрано повышение прав sudo. Тем не менее учетная запись пользователя, указанная для обнаружения, не настроена для использования повышения прав sudo без пароля, или необходимые привилегии на повышение прав sudo не были предоставлены для учетной записи пользователя, используемой при обнаружении.

  Решение

  Ознакомьтесь с документацией по настройке повышения прав sudo и проверьте конфигурацию пользователя для sudo. Обратите внимание, что без пароля необходимо настроить sudo.

Ошибки подключения WSMan

Агент ответил на запрос, но подключение WSMan завершилось ошибкой из-за того, что доступ запрещен.

Возможные причины

• Агент установлен, а сертификат агента подписан. Однако учетные данные пользователя, предоставленные для проверки агента, недопустимы.
• Учетная запись пользователя, указанная для обнаружения, настроена для проверки подлинности с помощью ключа SSH, но учетные данные пользователя, предоставленные для проверки агента, недопустимы.
• На стороне UNIX возникла проблема с разрешением или неправильная конфигурация PAM.

Решение

Для устранения данной проблемы выполните следующие действия:

1. Убедитесь, что имя пользователя и пароль для проверки агента были вводимы правильно, и что пользователь является допустимым пользователем на целевом узле.

2. Если проблема сохранится, убедитесь, что повышение прав sudo настроено правильно.

3. Также проверьте журнал сообщений на компьютере UNIX/Linux. Например, в AIX можно найти журнал в разделе /var/adm/messages. В других операционных системах расположение может отличаться.

   Найдите такие строки, как показано ниже.

   3 сентября 14:49:07 проверка подлинности сервера|security:debug/opt/microsoft/scx/bin/omiserver PAM: pam_authenticate: ошибка проверки подлинности завершилась ошибкой.

   Если в журнале сообщений отображаются похожие строки, это означает, что файл конфигурации PAM отсутствует сведения о OMIServer. Файл конфигурации PAM можно найти в каталоге /etc/pam.d/ /etc/pam.conf или файле.

   Самый простой способ добавить сведения о OMIServer обратно в файл конфигурации PAM — переустановить агент SCX с нуля на этом компьютере. Если это невозможно, можно скопировать строки, относящиеся к OMI, с рабочего компьютера на нерабочий компьютер.

Ошибка обнаружения WSMan только для 192.168.x.x

Возможные причины

• Параметр "Тип обнаружения" был установлен только на компьютерах с установленным агентом и подписанным сертификатом , а целевой узел установлен агент. Однако сертификат целевого узла не подписан. Чтобы использовать параметр обнаружения только WSMan, агент должен быть установлен, а сертификат должен быть подписан вручную.
• Параметр "Тип обнаружения" был установлен только на компьютерах с установленным агентом и подписанным сертификатом, но целевой узел в данный момент не установлен агент UNIX/Linux.
• Параметр "Тип обнаружения" был установлен только на компьютерах с установленным агентом и подписанным сертификатом, но агент UNIX/Linux в настоящее время не запущен.
• Параметр "Тип обнаружения" был установлен только на компьютерах с установленным агентом и подписанным сертификатом, но целевой узел недоступен, сетевой или хост-брандмауэр предотвращает подключение или агент UNIX/Linux в настоящее время недоступен.

Резолюций

• Подписыв сертификат вручную.
• Убедитесь, что агент UNIX/Linux установлен.
• Измените параметр "Обнаружение всех компьютеров ", чтобы разрешить мастеру обнаружения выполнять подпись сертификата.
• Убедитесь, что агент UNIX/Linux запущен и доступен целевой узел.
• Убедитесь, что брандмауэры сети или брандмауэр узла не препятствуют доступу через TCP-порт 1270.

Другие ошибки

Задача не может быть выполнена для объектов, так как целевой объект задачи не соответствует ни одному из классов объекта.

Причина

В группе управления System Center 2012 Operations Manager это может произойти, если импортированные пакеты управления UNIX/Linux являются версиями Operations Manager 2007 R2.

Решение

Импортируйте версии System Center 2012 пакетов управления операционной системой UNIX/Linux.

Агент установлен, и компьютер уже отслеживается Operations Manager

Причина

Целевой узел уже обнаружен в этой группе управления.

Решение

Предпринимать какие-либо действия не требуется. Обновление или миграция агента в альтернативный пул ресурсов можно выполнить из представления серверов UNIX/Linux в области администрирования консоли управления.

Не удалось найти соответствующий поддерживаемый экземпляр агента в импортированных пакетах управления

Описание ошибки

Не удалось найти подходящий экземпляр поддерживаемого агента ни в одном импортированном пакете управления. Импортируйте пакеты управления для этой платформы, чтобы обнаружить этот компьютер.

Возможные причины

• Целевой узел работает под управлением неподдерживаемой операционной системы.
• Правильный пакет управления для операционной системы целевого узла не импортирован.
• Правильный пакет управления для операционной системы недавно импортирован, но еще не загружен.

Резолюций

• Убедитесь, что целевой узел работает поддерживаемой операционной системой.
• Импортируйте пакет управления для операционной системы и версии целевого узла.
• Если пакет управления был импортирован, он по-прежнему может быть загружен. Подождите несколько минут и повторите обнаружение.

Не удается перечислить типы устанавливаемых агентов. Связанный пул ресурсов по-прежнему может инициализироваться

Описание ошибки

Не удается перечислить типы устанавливаемых агентов. Возможно, связанный пул ресурсов по-прежнему инициализируется. Если выбран недавно созданный пул ресурсов, подождите несколько минут, прежде чем использовать его.

Возможные причины

• Пул ресурсов, используемый в обнаружении, не является работоспособным, например, большинство серверов-членов находятся в автономном режиме.
• Пул ресурсов, используемый в обнаружении, был недавно создан, но он не полностью инициализирован.

Решение

Если пул ресурсов, используемый в обнаружении, был недавно создан, повторите обнаружение через несколько минут, чтобы пул инициализировать. В противном случае проверьте журнал событий Operations Manager на серверах, являющихся членами пула ресурсов, используемых для обнаружения для указания источника проблемы.

Не удается скопировать новый агент на этот компьютер

Описание ошибки

Сообщение: не удается скопировать новый агент на этот компьютер
Сведения.
Не удалось скопировать набор. Код выхода: -1073479144
Стандартные выходные данные:
Стандартная ошибка:
Сообщение об исключении: исключение (-1073479144) привело к сбою команды SSH

Причина

Несоответствие версий агента файлов между базой данных и репозиторием агента.

Резолюций

• Убедитесь, что сбой всех агентов происходит из-за несоответствия версий. В противном случае выполните другие действия по устранению неполадок.
• Повторите попытку обновления неудачных агентов. Обычно список неудачных агентов становится короче и короче во время каждой итерации обновления.
• Перезапустите служба работоспособности на всех членах пула ресурсов Linux или другого пула для управления компьютерами Unix или Linux. Проверьте папку, %ProgramFiles%\Microsoft System Center 2012 R2\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits правильно ли имена файлов. Не забудьте закрыть и повторно открыть мастер обнаружения.

Дополнительная информация

Дополнительные сведения см. на форуме технической поддержки TechNet или обратитесь к служба поддержки Майкрософт.