共用方式為

針對 Operations Manager 中的代理程式連線問題進行疑難解答

  • 發行項

本指南可協助您針對 Operations Manager 代理程式連線到 System Center 2012 Operations Manager (OpsMgr 2012) 及更新版本中的管理伺服器時發生問題進行疑難解答。

若要深入瞭解 Operations Manager 代理程式及其與管理伺服器的通訊方式,請參閱代理程式與管理伺服器之間的代理程式與通訊

原始產品版本: System Center 2012 Operations Manager
原始 KB 編號: 10066

檢查健全狀況服務

每當您在 Operations Manager 中遇到連線問題時,請先確定健康情況服務正在執行,而不會在用戶端代理程式和管理伺服器上發生錯誤。 若要判斷服務是否正在執行,請遵循下列步驟:

  1. 按下 Windows 鍵+R。

  2. 在 [ 執行] 方 塊中,輸入 services.msc 並按 Enter。

  3. 尋找 Microsoft Monitoring Agent 服務,然後按兩下它以開啟 [ 屬性] 頁面。

    注意事項

    在 System Center 2012 Operations Manager 中,服務名稱為 System Center Management

  4. 請確定 [ 啟動 類型] 已設定為 [ 自動]

  5. 檢查 [ 已啟動 ] 是否顯示在 [服務狀態] 中。 否則,請按一下 [啟動]

檢查防病毒軟體排除專案

如果健全狀況服務已啟動並執行,接下來要確認已正確設定防病毒軟體排除專案。 如需 Operations Manager 建議防病毒軟體排除專案的最新資訊,請參閱與 Operations Manager) 相關的防病毒軟體排除 建議。

檢查網路問題

在 Operations Manager 中,代理程式計算機必須能夠成功連線到管理伺服器上的 TCP 連接埠 5723。 如果失敗,您可能會在用戶端代理程式上收到事件標識碼 21016 和 21006。

除了 TCP 連接埠 5723 之外,還必須啟用下列埠:

  • 適用於LDAP的TCP和UDP埠389
  • 用於 Kerberos 驗證的 TCP 和 UDP 連接埠 88
  • 功能變數名稱服務的 TCP 和 UDP 連接埠 53 (DNS)

此外,您必須確保透過網路順利完成 RPC 通訊。 從管理伺服器推送代理程式時,RPC 通訊的問題通常會自行顯示。 RPC 通訊問題通常會導致用戶端推送失敗,並出現類似下列的錯誤:

Operation Manager 伺服器無法在電腦 agent1.contoso.com 上執行指定的作業。

作業:代理程式安裝
安裝帳戶:contoso\Agent_action
錯誤碼:800706BA
錯誤描述:RPC 伺服器無法使用

此錯誤通常發生在使用非標準暫時埠時,或是當暫時埠遭到防火牆封鎖時。 例如,如果已設定非標準的高範圍 RPC 埠,網路追蹤會顯示成功連線到 RPC 埠 135,後面接著使用非標準 RPC 埠的連線嘗試,例如 15595。 以下為範例:

18748 MS Agent TCP TCP: Flags=CE....S.、SrcPort=52457、DstPort=15595、PayloadLen=0、Seq=1704157139、Ack=0、Win=8192
18750 MS Agent TCP TCP:[SynReTransmit #18748] Flags=CE....S.、SrcPort=52457、DstPort=15595、PayloadLen=0、Seq=1704157139、Ack=0、
18751 MS Agent TCP TCP:[SynReTransmit #18748] Flags=......S.、SrcPort=52457、DstPort=15595、PayloadLen=0、Seq=1704157139、Ack=0、Win=8192

在此範例中,因為未在防火牆上設定此非標準範圍的埠豁免,所以會卸除封包,而且聯機會失敗。

在 Windows Vista 和更新版本中,RPC 高範圍埠是 49152-65535,因此這是我們想要尋找的埠。 若要確認這是否為您的問題,請執行下列命令以查看已設定的 RPC 高端口範圍:

netsh int ipv4 show dynamicportrange tcp

根據 IANA 標準,輸出看起來應該像這樣:

通訊協定 tcp 動態埠範圍
---------------------------------
啟動埠:49152
埠數目:16384

如果您看到不同的 啟動埠,問題可能是防火牆未正確設定為允許流量通過這些埠。 您可以變更防火牆上的設定,或執行下列命令,將高範圍埠設定回其預設值:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

您也可以透過登錄設定 RPC 動態埠範圍。 如需詳細資訊,請參閱 如何設定 RPC 動態埠配置以使用防火牆

如果一切似乎都設定正確,而且您仍然遇到錯誤,可能是下列其中一種情況所造成:

  1. DCOM 已限製為特定埠。 若要確認,請執行 dcomcnfg.exe,移至 [我的計算機>屬性>預設通訊協定],確定沒有自定義設定。

  2. WMI 已設定為使用自訂端點。 若要檢查您是否已針對WMI設定靜態端點,dcomcnfg.exe請執行 ,移至 [我的計算機>DCOM> 設定Windows 管理和檢測>屬性>端點],確定沒有自定義設定。

  3. 代理程式電腦正在執行 Exchange Server 2010 Client Access 伺服器角色。 Exchange Server 2010 用戶端存取服務會將埠範圍變更為 6005 到 65535。 範圍已擴充,可為大型部署提供足夠的調整。 請勿在完全了解結果的情況下變更這些埠值。

如需埠和防火牆需求的詳細資訊,請參閱 防火牆。 您也可以在同一篇文章中找到所需的最低網路連線速度。

注意事項

針對網路問題進行疑難解答是一個非常大的問題,因此如果您懷疑基礎網路問題造成 Operations Manager 中的代理程式連線問題,最好洽詢網路工程師。 我們也有一些基本的一般化網路疑難解答資訊,可從 Windows Directory 服務支援小組取得,可在 不使用 NetMon 的網路疑難解答中取得

檢查閘道伺服器上的憑證問題

Operations Manager 要求在用戶端代理程式與管理伺服器之間交換資訊之前,先執行相互驗證。 為了保護驗證程式,程式會加密。 當代理程式和管理伺服器位於相同的 Active Directory 網域,或已建立信任關係的 Active Directory 網域中時,它們會使用 Active Directory 所提供的 Kerberos v5 驗證機制。 當代理程式和管理伺服器不在相同的信任界限內時,必須使用其他機制來滿足安全的相互驗證需求。

在 Operations Manager 中,這是透過使用針對每部計算機所簽發的 X.509 憑證來完成。 如果有許多代理程式監視的計算機,這可能會導致管理所有這些憑證的高系統管理額外負荷。 此外,如果代理程式和管理伺服器之間有防火牆,則必須在防火牆規則中定義和維護多個授權的端點,以允許它們之間的通訊。

為了降低系統管理額外負荷,Operations Manager 具有稱為網關伺服器的選擇性伺服器角色。 網關伺服器位於用戶端代理程式的信任界限內,而且可以參與必要的相互驗證。 因為閘道位於與代理程式相同的信任界限內,所以代理程式與閘道伺服器之間會使用 Active Directory 的 Kerberos v5 通訊協定,然後每個代理程式只會與它知道的閘道伺服器通訊。

閘道伺服器接著會代表用戶端與管理伺服器通訊。 若要支援閘道伺服器與管理伺服器之間的強制安全相互驗證,必須發行並安裝憑證,但僅適用於閘道和管理伺服器。 這會減少所需的憑證數目。 在介入防火牆的情況下,它也會減少必須在防火牆規則中定義的授權端點數目。

這裡的重點是,如果用戶端代理程式和管理伺服器不在相同的信任界限內,或使用閘道伺服器,就必須正確安裝和設定必要的憑證,代理程式連線才能正常運作。 以下是一些要檢查的重要事項:

  • 確認閘道憑證存在於閘道或代理程式所連接之管理伺服器上的本 機電腦>個人>憑證 中。

  • 確認跟證書存在於閘道或代理程式所連接之管理伺服器上的本機電腦>受信任跟證書>授權單位憑證中。

  • 確認跟證書存在於閘道伺服器上的本機電腦>受信任跟證書授權>單位憑證中。

  • 確認閘道憑證存在於閘道伺服器上的本 機電腦>個人>憑證 中。 確認閘道憑證存在於閘道伺服器上的 本機電腦>Operations Manager>憑證 中。

  • 確認登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber 存在,而且在 [ 序號 ] 字段的詳細數據中,具有來自 [本機計算機/個人/憑證] 資料夾的憑證 (值) 在網關伺服器上反轉。

  • 確認登錄值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber 存在,而且在 [ 序號 ] 字段的詳細數據中,具有來自 [本機計算機/個人/憑證] 資料夾的憑證 (值,) 在網關或代理程式所連線的管理伺服器上反轉。

當憑證發生問題時,您可能會在 Operations Manager 事件記錄檔中收到下列事件標識碼:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

如需 Operations Manager 中憑證型驗證如何運作的詳細資訊,以及如何取得和設定適當憑證的指示,請參閱 Windows 計算機的驗證和數據加密

檢查用戶端代理程式上是否有脫離的命名空間

當用戶端電腦的主要 DNS 後綴不符合用戶端所屬 Active Directory 網域的 DNS 名稱時,就會發生脫離的命名空間。 例如,在名為 na.corp.contoso.com 的 Active Directory 網域中,使用 corp.contoso.com 的主要 DNS 後綴的用戶端會使用脫離的命名空間。

當用戶端代理程式或管理伺服器具有脫離的命名空間時,Kerberos 驗證可能會失敗。 雖然這是 Active Directory 問題,而不是 Operations Manager 問題,但它確實會影響代理程式連線能力。

如需詳細資訊,請參閱 脫離命名空間

若要解決此問題,請使用下列其中一種方法:

方法 1

針對受影響的計算機帳戶手動建立適當的服務主體名稱 (SPN) ,並包含完整域名的主機 SPN (FQDN) 以及脫離的名稱後綴 (HOST/machine.disjointed_name_suffix.local) 。 同時更新 DnsHostName 計算機的 屬性,以反映 machine.disjointed_name_suffix.local) ( 脫離的名稱,並在 Active Directory 所使用之 DNS 伺服器上的有效 DNS 區域中啟用屬性的註冊。

方法 2

更正脫離的命名空間。 若要這樣做,請變更受影響計算機屬性中的命名空間,以反映計算機所屬網域的 FQDN。 在環境中進行任何變更之前,請確定您已完全瞭解這樣做的後果。 如需詳細資訊,請參閱 從脫離命名空間轉換為連續命名空間

檢查網路連線緩慢

如果用戶端代理程式在緩慢的網路連線中執行,它可能會遇到連線問題,因為驗證有硬式編碼的逾時。 若要解決此問題,請安裝 System Center 2012 Operations Manager SP1 更新匯總 8 (假設您尚未使用 System Center 2012 R2 Operations Manager) ,然後手動變更逾時值。

UR8 更新會將伺服器逾時增加到 20 秒,並將用戶端逾時增加到 5 分鐘。

如需詳細資訊,請參閱 System Center 2012 Operations Manager Service Pack 1 的更新匯總 8

注意事項

當用戶端代理程式與管理伺服器之間發生時間同步處理問題時,也會發生此問題。

檢查 OpsMgr 連接器問題

如果其他所有專案都簽出,請查看 Operations Manager 事件記錄檔中是否有 OpsMgr 連接器所產生的任何錯誤事件。 以下列出各種 OpsMgr 連接器事件的常見原因和解決方法。

事件標識碼 21006 和 21016 會出現在用戶端代理程式上

這些事件的範例:

來源:OpsMgr 連接器
日期:時間
事件標識碼:21006
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:OpsMgr 連接器無法連線到 <ManagementServer>:5723。 錯誤碼為 10060L (連線嘗試失敗,因為連線方在一段時間後未正確回應,或已建立的連線失敗,因為連線的主機無法回應。) 。 請確認有網路連線、伺服器正在執行並已註冊其接聽埠,而且沒有任何防火牆會封鎖目的地的流量。

記錄檔名稱:Operations Manager
來源:OpsMgr 連接器
日期:時間
事件標識碼:21016
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:OpsMgr 無法設定與 <ManagementServer> 的通訊通道,而且沒有故障轉移主機。 當 ManagementServer> 可用且允許來自這部電腦的通訊時<,將會繼續通訊。

通常會產生這些事件標識碼,因為代理程式尚未收到設定。 加入新的代理程式並設定之前,這個事件很常見。 代理程式 Operations Manager 事件記錄檔中的事件 1210 指出代理程式已接收並套用組態。 建立通訊之後,您會收到此事件。

您可以使用下列步驟來針對此問題進行疑難解答:

  1. 如果未啟用手動安裝代理程式的自動核准,請確認代理程式已核准。

  2. 請確定已啟用下列埠以進行通訊:

    • 適用於LDAP的5723和TCP和UDP埠389。
    • 用於 Kerberos 驗證的 TCP 和 UDP 連接埠 88。
    • DNS 伺服器的 TCP 和 UDP 連接埠 53。

  3. 此事件可能表示 Kerberos 驗證失敗。 檢查事件記錄檔中的 Kerberos 錯誤並進行疑難解答。

  4. 檢查 DNS 後綴是否有不正確的網域。 例如,計算機已加入 contoso1.com ,但主要 DNS 後綴設定為 contoso2.com

  5. 請確定預設功能變數名稱登錄機碼正確無誤。 若要確認,請確定下列登錄機碼符合您的功能變數名稱:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. 健全狀況服務的重複SPN也可能造成事件標識碼21016。 若要尋找重複的 SPN,請執行下列命令:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    如果註冊了重複的SPN,您必須針對未用於管理伺服器健全狀況服務的帳戶移除SPN。

事件標識碼 20057 會出現在管理伺服器上

此事件的範例:

記錄檔名稱:Operations Manager
來源:OpsMgr 連接器
日期:時間
事件標識碼:20057
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:無法初始化目標 MSOMHSvc/****** 傳回的錯誤0x80090311 (无法连络任何授权单位进行验证。) 。 此錯誤可能適用於 Kerberos 或 SChannel 套件。

事件標識碼 21006、21016 和 20057 通常是因為防火牆或網路問題導致無法透過必要埠進行通訊。 若要針對此問題進行疑難解答,請檢查用戶端代理程式與管理伺服器之間的防火牆。 必須開啟下列埠,才能啟用正確的驗證和通訊:

  • 適用於LDAP的TCP和UDP埠389。
  • 用於 Kerberos 驗證的 TCP 和 UDP 連接埠 88。

事件標識碼 2010 和 2003 會出現在用戶端代理程式上

這些事件的範例:

記錄檔名稱:Operations Manager
來源:HealthService
日期:數據
事件標識碼:2010
工作類別:健全狀況服務
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:健全狀況服務無法連線到 Active Directory 以擷取管理組策略。 此錯誤為未指定的錯誤 (0x80004005)
事件 Xml:
<事件 xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系統>
<提供者名稱=「HealthService」 />
<EventID Qualifiers=“49152”>2010/<EventID>
<層級>2</層級>
<工作>1</任務>
<關鍵詞>0x80000000000000</關鍵詞>
<TimeCreated SystemTime=“2015-02-21T21:06:04.0000000000Z” />
<EventRecordID>84143</EventRecordID>
<通道 Operations Manager</通道>>
<計算機電腦>名稱</計算機>
<安全/>
</系統>
<EventData>
<數據>未指定的錯誤</數據>
<數據>0x80004005</數據>
</EventData>
</事件>

記錄檔名稱:Operations Manager
來源:HealthService
日期:時間
事件標識碼:2003
工作類別:健全狀況服務
層級:資訊
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:未啟動任何管理群組。 這可能是因為目前未設定任何管理群組,或設定的管理群組無法啟動。 健全狀況服務會等候 Active Directory 中的原則設定管理群組以執行。
事件 Xml:
<事件 xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系統>
<提供者名稱=「HealthService」 />
<EventID Qualifiers=“16384”>2003/<EventID>
<層級>4</層級>
<工作>1</任務>
<關鍵詞>0x80000000000000</關鍵詞>
<TimeCreated SystemTime=“2015-02-21T21:06:04.0000000000Z” />
<EventRecordID>84156</EventRecordID>
<通道 Operations Manager</通道>>
<計算機電腦>名稱</計算機>
<安全/>
</系統>
<EventData>
</EventData>
</事件>

如果代理程式使用 Active Directory 指派,事件記錄檔也會指出與 Active Directory 通訊時發生問題。

如果您看到這些事件記錄檔,請確認用戶端代理程式可以存取 Active Directory。 檢查防火牆、名稱解析和一般網路連線能力。

事件標識碼 20070 與事件標識碼 21016 合併

這些事件的範例:

記錄檔名稱:Operations Manager
來源:OpsMgr 連接器
日期:6/13/2014 下午 10:13:39
事件標識碼:21016
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 無法設定與 <ComputerName> 的通訊通道,而且沒有故障轉移主機。 當 ComputerName> 可用且允許從這部電腦進行通訊時<,就會繼續通訊。

記錄檔名稱:Operations Manager
來源:OpsMgr 連接器
日期:2014 年 6 月 13 日下午 10:13:37
事件標識碼:20070
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 連接器已連線到 <ComputerName>,但連線在驗證發生後立即關閉。 此錯誤的最可能原因是代理程式未獲授權與伺服器通訊,或伺服器尚未收到設定。 檢查伺服器上的事件記錄檔是否有 20000 個事件,指出未核准的代理程式正在嘗試連線。

當您看到這些事件時,它會指出已發生驗證,但連線已關閉。 這通常是因為尚未設定代理程式。 若要確認這一點,請檢查管理伺服器上是否收到事件標識碼 20000 不屬於此管理群組的裝置嘗試存取此健康情況服務

如果用戶端代理程式卡在 [擱置 中] 狀態,且控制台中看不到,則也會發生這些事件記錄檔。

若要確認,請執行下列命令來檢查是否列出代理程式以進行手動核准:

Get-SCOMPendingManagement

若是如此,您可以執行下列命令手動核准代理程序來解決此問題:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

事件標識碼 21023 會出現在用戶端代理程式上,而事件標識碼 29120、29181 和 21024 則會出現在管理伺服器上

以下包含這些事件的一些範例。

記錄檔名稱:Operations Manager
來源:OpsMgr 連接器
事件標識碼:21023
工作類別:無
層級:資訊
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 沒有管理群組 GroupName> 的設定<,而且正在向設定服務要求新的設定。

記錄檔名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:29120
工作類別:無
層級:警告
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 管理組態服務無法 (Xml 組態檔或管理元件要求) 處理組態要求,因為發生下列例外狀況

記錄檔名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:29181
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務因為下列例外狀況而無法執行 'GetNextWorkItem' 引擎工作專案

記錄檔名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:29181
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務因為下列例外狀況而無法執行 'LocalHealthServiceDirtyNotification' 引擎工作專案

記錄檔名稱:Operations Manager
來源:OpsMgr 管理設定
事件標識碼:21024
工作類別:無
層級:資訊
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 的組態對於管理群組 <GroupName> 而言可能已過期,且已向設定服務要求更新的設定。 目前 (過期) 狀態 Cookie 是 “5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3”

記錄檔名稱:Operations Manager
來源:OpsMgr 連接器
事件標識碼:29181
工作類別:無
層級:錯誤
關鍵詞:傳統
使用者:N/A
計算機: <ComputerName>
描述:
OpsMgr 管理設定服務因為下列例外狀況而無法執行 'DeltaSynchronization' 引擎工作專案

當差異同步處理程式無法在其設定的逾時時間範圍內建置設定 30 秒時,就會發生這些事件。 當有大型實例空間時,就會發生這種情況。

若要解決此問題,請增加所有管理伺服器上的逾時。 若要這樣做,請使用下列其中一種方法:

方法 1

  1. 建立下列檔案的備份複本:

    磁碟驅動器:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. 使用下列變更增加 中的逾時值 ConfigService.config

    找出 <OperationTimeout DefaultTimeoutSeconds="30">,將 30 變更為 300
    找出 <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />,將 180 變更為 300

  3. 重新啟動組態服務。

在大部分情況下,這應該允許足夠的時間讓同步處理程式完成。

方法 2

  1. 安裝 System Center 2012 R2 Operations Manager 的 更新匯總 3 或更新版本。

  2. 在執行 System Center 2012 R2 Operations Manager 的伺服器上新增下列登錄值,以設定逾時:

    • 登錄子機碼: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • DWORD 名稱: CommandTimeoutSeconds
    • DWORD 值: nn

    注意事項

    佔位元 nn 的預設值為 30 秒。 您可以變更此值來控制差異同步處理的逾時。

其他 OpsMgr 連接器事件標識碼

其他 OpsMgr 連接器錯誤事件和對應的疑難解答建議如下所列:

事件 描述 其他資訊
20050 無法載入指定的憑證,因為指定的增強密鑰使用方式不符合 OpsMgr 需求。 憑證必須具有下列使用類型:%n %n 伺服器驗證 (1.3.6.1.5.5.7.3.1) %n 用戶端驗證 (1.3.6.1.5.5.7.3.2) %n 確認憑證上的物件標識碼。
20057 無法初始化目標 %1 的安全性內容 傳回的錯誤為 %2 (%3) 。 此錯誤可能適用於 Kerberos 套件或 SChannel 套件。 檢查是否有重複或不正確的SPN。
20066 指定了與相互驗證搭配使用的憑證。 不過,找不到該憑證。 此健全狀況服務的通訊能力可能會受到影響。 檢查憑證。
20068 登錄中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 指定的憑證無法用於驗證,因為憑證不包含可用的私鑰,或因為私鑰不存在。 錯誤為 %1 (%2) 。 檢查遺漏或未關聯的私鑰。 調查憑證。 重新匯入憑證,或建立新的憑證並匯入。
20069 無法載入指定的憑證,因為 KeySpec 必須AT_KEYEXCHANGE 檢查憑證。 檢查憑證上的物件標識碼。
20070 連接至 %1 的 OpsMgr 連接器。 不過,在驗證發生之後,聯機會立即關閉。 此錯誤的最可能原因是代理程式未獲授權與伺服器通訊,或伺服器尚未收到設定。 檢查伺服器上的事件記錄檔是否有 20000 個事件。 這些表示未核准的代理程式嘗試連線。 發生驗證,但連線已關閉。 確認埠已開啟,並檢查代理程式等待核准。
20071 連接至 %1 的 OpsMgr 連接器。 不過,聯機會立即關閉,而不會發生驗證。 此錯誤的最可能原因是無法驗證此代理程式或伺服器。 檢查伺服器和代理程式上的事件記錄檔,以取得指出驗證失敗的事件。 驗證失敗。 檢查防火牆和埠 5723。 代理程式計算機必須能夠連線到管理伺服器上的埠 5723。 另請確認 TCP & 適用於 LDAP 的 UDP 連接埠 389、Kerberos 的埠 88 和 DNS 的埠 53 可供使用。
20072 遠端憑證 %1 不受信任。 錯誤為 %2 (%3) 。 檢查憑證是否位於信任的存放區中。
20077 登錄中指定的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 憑證無法用於驗證,因為無法查詢憑證的屬性資訊。 特定錯誤為 %2 (%3) 。%n %n。 這通常表示憑證未包含任何私鑰。 請仔細檢查,以確定憑證包含私鑰。 私鑰遺失或未關聯。 調查憑證。 重新匯入憑證,或建立新的憑證並匯入。
21001 OpsMgr 連接器無法連線至 %1,因為相互驗證失敗。 確認SPN已在伺服器上正確註冊,而且如果伺服器位於不同的網域中,則兩個網域之間有完全信任關係。 檢查SPN註冊。
21005 OpsMgr 連接器無法解析 %1 的IP。 錯誤碼為 %2 (%3) 。 請確認 DNS 在您的環境中正常運作。 這通常是名稱解析問題。 檢查 DNS。
21006 OpsMgr 連接器無法連線到 %1:%2。 錯誤碼為 %3 (%4) 。 請確認有網路連線、伺服器正在執行並已註冊其接聽埠,而且沒有任何防火牆封鎖目的地的流量。 這可能是一般連線問題。 檢查防火牆,並確認埠 5723 已開啟。
21007 OpsMgr 連接器無法建立與 %1 的相互驗證連線,因為它不在信任的網域中。 未建立信任。 確認憑證已就緒且已正確設定。
21016 OpsMgr 無法將通道設定為 %1,而且沒有故障轉移主機。 當 %1 可用且已啟用此電腦的通訊時,通訊將會繼續。 這通常表示驗證失敗。 確認代理程式已核准進行監視,且所有埠都已開啟。
21021 無法載入或建立憑證。 此健全狀況服務將無法與其他健康情況服務通訊。 如需詳細資訊,請在事件記錄檔中尋找先前的事件。 檢查憑證。
21022 未指定憑證。 除非這些健康服務位於與此網域具有信任關係的網域中,否則此健全狀況服務將無法與其他健康情況服務通訊。 如果此健康情況服務必須與不受信任網域中的健全狀況服務通訊,請設定憑證。 檢查憑證。
21035 使用 %1 服務類別註冊這部電腦的 SPN 失敗,錯誤為 「%2」。這可能會導致此健全狀況服務的 Kerberos 驗證失敗。 這表示SPN註冊發生問題。 調查SPN以進行 Kerberos 驗證。
21036 在登錄中指定的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 憑證無法用於驗證。 錯誤為 %1 (%2) 。 這通常是遺漏或未關聯的私鑰。 調查憑證。 重新匯入憑證,或建立新的憑證並匯入憑證。