Устранение неполадок обнаружения агентов UNIX/Linux в Operations Manager

Эта статья поможет устранить распространенные ошибки, которые могут возникнуть в процессе обнаружения компьютеров UNIX или Linux.

Исходная версия продукта: System Center Operations Manager
Исходный номер базы знаний: 4490426

Для мониторинга компьютеров UNIX или Linux в System Center Operations Manager (OpsMgr) необходимо сначала обнаружить компьютеры и установить агент OpsMgr. Мастер компьютеров и Управление устройствами используется для обнаружения и установки агентов на компьютерах UNIX и Linux. Однако процесс обнаружения может завершиться ошибкой из-за проблем с конфигурацией, учетными данными или привилегиями, а также из-за проблем с разрешением сети и имен.

Ошибки сертификата или ошибки подписи сертификатов

Операция проверки подписанного сертификата не завершилась успешной

При сбое проверки сертификата обычно возникает сообщение об ошибке следующего вида:

Сбой проверки агента. Сведения об ошибке. Сертификат сервера на конечном компьютере (lx1.contoso.com:1270) имеет следующие ошибки:
Не удалось проверить SSL-сертификат на отзыв. Сервер, используемый для проверка для отзыва, может оказаться недоступным.
SSL-сертификат содержит общее имя (CN), которое не соответствует имени узла.
Возможно, что:

1. Сертификат назначения подписывается другим центром сертификации, не доверенным сервером управления.
2. Назначение имеет недопустимый сертификат, например его общее имя (CN) не соответствует полному доменному имени (FQDN), используемому для подключения. Полное доменное имя, используемое для подключения: lx1.contoso.com.
3. Серверы в пуле ресурсов не настроены для доверия сертификатам, подписанным другими серверами в пуле.

• Одна из распространенных причин заключается в том, что общее имя сертификата агента (CN) не совпадает с предоставленным или разрешенным полным доменным именем (FQDN).

  Чтобы убедиться в этом, убедитесь, что имя узла и доменное имя узла агента соответствуют полному доменному имени, разрешенным через DNS.

  Основные сведения о сертификате можно просмотреть на компьютере UNIX или Linux, выполнив следующую команду:

  openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates
  

  После этого вы увидите следующие выходные данные:

  subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
  notBefore=Mar 25 05:21:18 2008 GMT
  notAfter=Mar 20 05:21:18 2029 GMT

  Используйте эти сведения, чтобы проверить имена узлов и даты, чтобы убедиться, что они соответствуют именам, разрешаемым сервером управления Operations Manager.

  Если имена узлов не совпадают, выполните одно из следующих действий, чтобы устранить проблему:

  • Если имя узла UNIX или Linux верно, но сервер управления Operations Manager разрешает его неправильно, измените запись DNS в соответствии с правильным полным доменным именем или добавьте запись в файл hosts на сервере Operations Manager.
  • Если имя узла UNIX или Linux неверно, выполните одно из следующих действий:
    • Измените имя узла на узле UNIX или Linux на правильное и создайте новый сертификат.
    • Создайте сертификат с нужным именем узла.

  Чтобы изменить имя сертификата, выполните следующие действия:

  Если сертификат был создан с неправильным именем, можно изменить имя узла и повторно создать сертификат и закрытый ключ. Для этого выполните следующую команду на компьютере UNIX или Linux:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -v
  

  Параметр -f принудительно перезаписывает файлы в /etc/opt/microsoft/scx/ssl.

  Вы также можете изменить имя узла и доменное имя сертификата с помощью -h параметров и -d , как показано в следующем примере:

  /opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>
  

  Перезапустите агент, выполнив следующую команду:

  /opt/microsoft/scx/bin/tools/scxadmin -restart
  

  Чтобы добавить запись в файл hosts, выполните следующие действия:

  Если полное доменное имя отсутствует в обратном DNS, можно добавить запись в файл hosts, расположенный на сервере управления, чтобы предоставить разрешение имен. Файл hosts находится в папке \Windows\System32\Drivers\etc . Запись в файле hosts — это сочетание IP-адреса и полного доменного имени.

  Например, чтобы добавить запись для узла с именем newhostname.newdomain.name с IP-адресом 192.168.1.1, добавьте следующую запись в конец файла hosts:

  192.168.1.1 newhostname.newdomain.name

• Другая распространенная причина этой ошибки заключается в том, что сертификат подписан ненадежным центром, например, если несколько серверов управления являются членами пула ресурсов, используемого для обнаружения, но доверие сертификата не настроено между серверами управления.

  Чтобы проверить это, убедитесь, что все серверы управления в пуле ресурсов, используемом для обнаружения, доверяют сертификату друг друга.

  Дополнительные сведения об управлении пулами ресурсов для компьютеров UNIX и Linux см. в разделе Управление пулами ресурсов для компьютеров UNIX и Linux.

Неправильное имя пользователя или пароль

При попытке обнаружить агенты UNIX/Linux может возникнуть ошибка. Сбой может произойти на этапе проверки сертификата при обнаружении компьютера UNIX/Linux.

Возможные причины

• Обычная проверка подлинности имеет значение false на одном или нескольких серверах управления в пуле ресурсов UNIX/Linux, если агент UNIX/Linux не присоединен к домену и не может использовать проверку подлинности Kerberos. Чтобы проверить текущие параметры WinRM , выполните следующую команду: winrm get winrm/config/client.
• Неверное имя пользователя или пароль.

Решение

Вы можете обновить конфигурацию WinRM на серверах управления в пуле ресурсов UNIX/Linux, чтобы разрешить обычную проверку подлинности, выполнив следующую команду, или настроить конфигурацию с помощью групповая политика:

winrm set winrm/config/client/auth @{Basic="true"}

Примечание.

Приведенная выше команда задает значение реестра DWORD (32-разрядная версия) (AllowBasic) в следующем разделе реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WinRM\Client

AllowBasic допускает десятичные 1 значения (включено) или 0 (отключено).

Операция подписывания сертификата не была успешной

Возможные причины

• Учетная запись пользователя, указанная для обнаружения, имеет недостаточные права для выполнения операций с файлами, связанных с подписью.
• Права на повышение прав sudo для учетной записи пользователя, указанной для обнаружения, настроены неправильно.

Решение

Чтобы устранить проблему, проверьте учетную запись пользователя, проверив выходные данные StdErr в сведениях об ошибке, чтобы определить причину сбоя. Также проверьте конфигурацию привилегий sudo для учетной записи, используемой для подписи сертификата.

Ошибки разрешения сетевых имен

Целевой адрес не разрешается

Эти проблемы обычно относятся к одной из следующих категорий:

• Описание ошибки

  Не удалось разрешить IP-адрес <> в имя

  Причина

  Эта ошибка возникает, когда ip-адрес узла был введен для обнаружения, но IP-адрес не разрешается в dns-имени (обратный поиск).

  Решение

  Чтобы устранить эту проблему, настройте правильную конфигурацию разрешения имен (DNS) для зоны обратного просмотра, убедитесь, что для затронутого узла существует сопоставление IP-адресов с именем.

• Описание ошибки

  Не удалось разрешить server.contoso.com имени в IP-адрес

  Причина

  Эта ошибка возникает, если полное доменное имя узла было введено для обнаружения, но имя не разрешается в IP-адрес в DNS (прямая проверка).

  Решение

  Чтобы устранить эту проблему, настройте правильную конфигурацию разрешения имен (DNS) для прямого просмотра, убедитесь, что для узла существует сопоставление имени узла с IP-адресом.

Конфигурация DNS: перенаправление разрешения DNS не соответствует обратному разрешению DNS

Описание ошибки

В этой ситуации обычно появляется сообщение об ошибке следующего вида:

Предоставленное имя узла ServerName разрешается в IP-адрес 10.137.216.x. Имя узла, ServerName.contoso.com возвращенное обратным поиском IP-адреса 192.168.x.x.x, не соответствует указанному имени узла. Проверьте конфигурацию DNS и повторите запрос.

Причина

Наиболее распространенной причиной является то, что записи для узла в зонах прямого и обратного поиска DNS не совпадают.

Решение

Чтобы устранить эту проблему, исправьте записи в зонах прямого и обратного просмотра в DNS, чтобы имена узлов и IP-адреса совпадали.

Целевой адрес недостижим.

Описание ошибки

В этой ситуации обычно появляется сообщение об ошибке следующего вида:

Клиент WinRM не может завершить операцию в течение указанного времени. Убедитесь, что имя компьютера является допустимым и доступно по сети, и включено ли исключение брандмауэра для службы удаленного управления Windows.

Возможные причины

• Узел недоступен из-за неправильного разрешения имен, сбоя сети или сбоя узла.
• Сетевой брандмауэр или брандмауэр на основе узла блокирует подключение TCP-порта 1270 к целевому узлу.

Решение

Чтобы устранить эту проблему, убедитесь, что сервер управления может проверить связь с узлом агента, используя полное доменное имя. Также убедитесь, что ни сетевые брандмауэры, ни брандмауэр узла не блокируют TCP-порт 1270.

Непредвиденный тип discoveryResult.ErrorData. Файл отчета об ошибке — имя параметра: s

Описание ошибки

Непредвиденный тип DiscoveryResult.ErrorData. Отправьте отчет об ошибке.
ErrorData: System.ArgumentNullException
Значение не может иметь значение NULL.
Имя параметра: s
в system.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
в System.Activity.WorkflowInvoker.Invoke(Рабочий процесс действия, входные данные IDictionary'2, время ожидания TimeSpan, расширения WorkflowInstanceExtensionManager)
в Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Причина

Эта ошибка возникает из-за того, что параметры прокси-сервера WinHTTP настроены на серверах управления в пуле ресурсов UNIX или Linux, а полное доменное имя агента UNIX или Linux, которое вы пытаетесь обнаружить, не входит в список обхода прокси-сервера WinHTTP.

Решение

Чтобы устранить эту проблему, добавьте полное доменное имя UNIX или Linux в список обхода прокси-сервера WinHTTP.

На серверах управления в пуле ресурсов UNIX или Linux выполните следующую команду в командной строке с повышенными привилегиями, чтобы проверить текущую конфигурацию прокси-сервера:

netsh winhttp show proxy

Если настроен прокси-сервер WinHTTP, добавьте полное доменное имя сервера, который вы пытаетесь обнаружить, в список обхода, выполнив следующую команду:

netsh winhttp set proxy proxy-server="<proxyserver:port>" bypass-list="*.ourdomain.com;*.yourdomain.com*;<serverFQDN>"

После настройки списка обходов проверка, если обнаружение агента прошло успешно.

Примечание.

Вы можете выполнить команду, netsh winhttp reset proxy чтобы отключить прокси-сервер WinHTTP. Эта команда удалит прокси-сервер и настроит прямой доступ.

Непредвиденный тип discoveryResult.ErrorData. Файл отчета об ошибке — имя параметра: lhs

Описание ошибки

Обнаружение не выполнено
Сообщение: Неуказанным сбоем
Сведения: тип непредвиденных данных DiscoveryResult.ErrorData. Отправьте отчет об ошибке.
ErrorData: System.ArgumentNullException
Значение не может иметь значение NULL.
Имя параметра: lhs
в system.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
в System.Activity.WorkflowInvoker.Invoke(Рабочий процесс действия, входные данные IDictionary'2, время ожидания TimeSpan, расширения WorkflowInstanceExtensionManager)
в Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

Причина

Эта ошибка возникает из-за файлов оболочки omsagent в папке установленных комплектов.

Решение

В проводник перейдите в следующий каталог:

C:\Program Files\Microsoft System Center\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits

Если в списке есть файлы omsagent, переместите их во временный каталог за пределами файлов System Center Operations Manager (SCOM).

Пример см. на следующем снимку экрана:

После перемещения из папки DownloadedKits повторите попытку обнаружения. Обнаружение должно завершиться успешно.

Примечание.

Обнаружение может завершиться ошибкой с другой ошибкой. Эта ошибка указывает на необходимость устранения дополнительных неполадок, таких как sudoers, подключение и т. д.

Ошибки подключения по протоколу SSH

Сбой во время обнаружения SSH. Код выхода: -1073479162

Описание ошибки

Стандартные выходные данные:
Стандартная ошибка:
Сообщение об исключении. Исключение (-1073479162) привело к сбою команды SSH. Подключение не могло быть установлено, так как целевой компьютер отказался от него.

Возможные причины

• Управляющая программа SSH не выполняется в целевой системе.
• Брандмауэр на основе сети или узла предотвращает SSH-подключения через TCP-порт 22.

Решения

• Убедитесь, что управляющая программа SSH запущена.
• Убедитесь, что ни сетевые брандмауэры, ни брандмауэр узла не блокируют TCP-порт 22.

Сбой во время обнаружения SSH. Код выхода: -1073479118

Описание ошибки

Сбой во время обнаружения SSH. Код выхода: -1073479118
Стандартные выходные данные:
Стандартная ошибка:
Сообщение об исключении: исключение (-1073479118) привело к сбою команды SSH . Сервер отправил сообщение об отключении: тип 2 (ошибка протокола: слишком много ошибок проверки подлинности для корневого каталога)

Возможные причины

• Учетная запись пользователя, указанная для обнаружения, не может выполнять вход через SSH.
• Учетная запись пользователя, указанная для обнаружения, была введена с недопустимым именем пользователя или паролем.

Решения

• Убедитесь, что пользователь имеет разрешение на вход через SSH.
• Убедитесь, что входные учетные данные определены на целевом узле.

Сбой во время обнаружения SSH. Код выхода: 1

Описание ошибки

Сбой во время обнаружения SSH. Код выхода: 1
Стандартный выход: путь к Sudo: /usr/bin/
Стандартная ошибка: sudo: к сожалению, для запуска sudo необходимо иметь tty
Сообщение об исключении:

Причина

Повышение прав sudo было выбрано в вводе учетных данных пользователя, однако requiretty параметр не был отключен для пользователя в sudoers.

Решение

Измените файл sudoers на целевом узле с помощью visudo команды и добавьте следующую строку:

Значения по умолчанию: <имя_пользователя>!requiretty

Дополнительные сведения см. в статье Настройка ключей SSH и повышения прав sudo.

Недопустимый пароль su

Описание ошибки

. [?1034hopsuser@lx1:~> su - root -c 'sh /tmp/scx-opsuser/GetOSVersion.sh; EC=$?; rm -rf /tmp/scx-opsuser; exit $EC'
Пароль:
Выход
su: неправильный пароль
opsuser@lx1:~> выход
Выход

Возможная причина

При вводе учетных данных пользователя было выбрано повышение уровня su, однако для повышения прав пользователя был указан недопустимый пароль корневого пользователя.

Решение

Проверьте ввод пароля для root в диалоговом окне Конфигурация повышения прав.

Сбой во время обнаружения SSH. Код выхода: -2147221248

• Описание ошибки

  Сбой во время обнаружения SSH. Код выхода: -2147221248
  Стандартные выходные данные:
  Стандартная ошибка: не удалось выполнить chdir в домашний каталог /home/username: нет такого файла или каталога

  Причина

  Учетная запись пользователя, указанная для обнаружения, не имеет домашнего каталога.

  Решение

  Убедитесь, что у пользователя есть домашний каталог по адресу :home/ и что пользователь может записывать данные в этот каталог.

• Описание ошибки

  Сбой во время обнаружения SSH. Код выхода: -2147221248
  Стандартные выходные данные:
  Стандартная ошибка: пароль корня:
  Сообщение об исключении:Истекло время ожидания операции

  Причина

  При вводе учетных данных пользователя было выбрано повышение прав sudo. Однако учетная запись пользователя, указанная для обнаружения, неправильно настроена для использования повышения прав sudo без пароля или необходимые привилегии на повышение sudo не были предоставлены учетной записи пользователя, используемой при обнаружении.

  Решение

  Ознакомьтесь с документацией по настройке повышения прав sudo и проверьте конфигурацию пользователя для sudo. Обратите внимание, что необходимо настроить sudo без пароля.

Ошибки подключения WSMan

Агент ответил на запрос, но подключение WSMan завершилось сбоем из-за: Доступ запрещен

Возможные причины

• Агент установлен и сертификат агента подписан. Однако учетные данные пользователя, предоставленные для проверки агента, недопустимы.
• Учетная запись пользователя, указанная для обнаружения, настроена для проверки подлинности с помощью ключа SSH, но учетные данные пользователя, предоставленные для проверки агента, недопустимы.
• На стороне UNIX возникла проблема с разрешениями или неправильная конфигурация PAM.

Решение

Для устранения данной проблемы выполните следующие действия:

1. Убедитесь, что имя пользователя и пароль для проверки агента были введены правильно и что пользователь является допустимым пользователем на целевом узле.

2. Если проблема не исчезнет, убедитесь, что повышение прав sudo настроено правильно.

3. Кроме того, проверка журнал сообщений на компьютере UNIX/Linux. Например, в AIX журнал можно найти в разделе /var/adm/messages. В других операционных системах расположение может отличаться.

   Найдите следующие строки:

   3 сентября 14:49:07 проверка подлинности сервера|security:debug /opt/microsoft/scx/bin/omiserver PAM: pam_authenticate: ошибка Проверка подлинности завершилась ошибкой.

   Если в журнале сообщений отображаются похожие строки, это означает, что в файле конфигурации PAM отсутствуют сведения о OMIServer. Файл конфигурации PAM можно найти в каталоге /etc/pam.d//etc/pam.conf или в файле .

   Самый простой способ добавить сведения о OMIServer в файл конфигурации PAM — переустановить агент SCX с нуля на этом компьютере. Если это не так просто, можно скопировать строки, относящиеся к OMI, с рабочего компьютера на нерабочий компьютер.

Не удалось обнаружить только WSMan для 192.168.x.x

Возможные причины

• Для параметра Тип обнаружения задано значение Только компьютеры с установленным агентом и подписанным сертификатом , а на целевом узле установлен агент. Однако сертификат целевого узла не подписан. Чтобы использовать параметр обнаружения только WSMan, необходимо установить агент, а сертификат должен быть подписан вручную.
• Для параметра Тип обнаружения задано значение Только компьютеры с установленным агентом и подписанным сертификатом, но на целевом узле в настоящее время не установлен агент UNIX/Linux.
• Для параметра Тип обнаружения задано значение Только компьютеры с установленным агентом и подписанным сертификатом, но агент UNIX/Linux в настоящее время не работает.
• Для параметра Тип обнаружения задано значение Только компьютеры с установленным агентом и подписанным сертификатом, но целевой узел недоступен, сетевой брандмауэр или брандмауэр на основе узла препятствует подключению или агент UNIX/Linux в настоящее время отключен.

Решения

• Подпишите сертификат вручную.
• Убедитесь, что агент UNIX/Linux установлен.
• Измените параметр Обнаружение всех компьютеров , чтобы разрешить мастеру обнаружения выполнять подписывание сертификатов.
• Убедитесь, что агент UNIX/Linux запущен и что целевой узел доступен.
• Убедитесь, что никакие сетевые брандмауэры или брандмауэр узла не запрещают доступ через TCP-порт 1270.

Другие ошибки

Задача не может быть выполнена для объектов, так как целевой объект задачи не соответствует ни одному из классов объекта

Причина

В группе управления System Center 2012 Operations Manager это может произойти, если импортированные пакеты управления UNIX/Linux являются версиями Operations Manager 2007 R2.

Решение

Импортируйте версии System Center 2012 пакетов управления операционной системой UNIX/Linux.

Агент установлен, и компьютер уже отслеживается Operations Manager

Причина

Целевой узел уже обнаружен в этой группе управления.

Решение

Не требуется выполнять никаких действий. Обновление агента или миграцию в альтернативный пул ресурсов можно выполнить из представления Серверы UNIX/Linux в области Администрирование консоли управления.

Не удалось найти соответствующий поддерживаемый экземпляр агента в импортированных пакетах управления

Описание ошибки

Не удалось найти соответствующий поддерживаемый экземпляр агента в импортированных пакетах управления. Импортируйте пакеты управления для этой платформы, чтобы обнаружить этот компьютер.

Возможные причины

• Целевой узел работает под управлением неподдерживаемой операционной системы.
• Правильный пакет управления для операционной системы целевого узла не импортирован.
• Правильный пакет управления для операционной системы недавно импортирован, но еще не полностью загружен.

Решения

• Убедитесь, что на целевом узле установлена поддерживаемая операционная система.
• Импортируйте пакет управления для операционной системы и версии целевого узла.
• Если пакет управления был импортирован, он может по-прежнему загружаться. Подождите несколько минут и повторно запустите обнаружение.

Не удается перечислить типы устанавливаемых агентов. Связанный пул ресурсов может по-прежнему инициализироваться

Описание ошибки

Не удается перечислить типы устанавливаемых агентов. Связанный пул ресурсов может по-прежнему инициализироваться. Если вы выбрали только что созданный пул ресурсов, подождите несколько минут, прежде чем использовать его.

Возможные причины

• Пул ресурсов, используемый при обнаружении, не работоспособен, например, большинство рядовых серверов находятся в автономном режиме.
• Пул ресурсов, используемый при обнаружении, был недавно создан, но он не полностью инициализирован.

Решение

Если пул ресурсов, используемый при обнаружении, был недавно создан, повторите попытку обнаружения через несколько минут, чтобы пул инициализировался. В противном случае проверка журнал событий Operations Manager на серверах, которые являются членами пула ресурсов, используемого для обнаружения, для указания источника проблемы.

Не удается скопировать новый агент на этот компьютер

Описание ошибки

Сообщение: Не удается скопировать новый агент на этот компьютер
Детали:
Не удалось скопировать комплект. Код выхода: -1073479144
Стандартные выходные данные:
Стандартная ошибка:
Сообщение об исключении: исключение (-1073479144) привело к сбою команды SSH

Причина

Несоответствие версий файлового агента между базой данных и репозиторием агента.

Решения

• Убедитесь, что все неисправные агенты не работают из-за несоответствия версий. В противном случае примените другие действия по устранению неполадок.
• Повторите попытку обновления агентов, которые завершили сбой. Обычно список неудачных агентов становится все короче и короче во время каждой итерации обновления.
• Перезапустите службу работоспособности на всех членах пула ресурсов Linux или другого пула для управления компьютерами Unix или Linux. Проверьте правильность имен файлов в %ProgramFiles%\Microsoft System Center 2012 R2\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits папке. Не забудьте закрыть и снова открыть мастер обнаружения.

Дополнительная информация

Дополнительные сведения см. на нашем форуме поддержки TechNet или обратитесь к служба поддержки Майкрософт.