Operations Manager 2007 エージェントがインストールされたドメイン コントローラー上で、ヘルス サービスが構成ファイルを処理せず、30 分ごとにイベント 7022 および 1220 が記録される

適用対象: Microsoft System Center Operations Manager 2007

現象


ドメイン コントローラー上に Microsoft System Center Operations Manager 2007 エージェントをインストールした後、ヘルス サービスが構成ファイルを処理しません。また、ドメイン コントローラー上のアプリケーション ログには、30 分ごとに以下のようなイベントが記録されます。

イベント 1

イベント 2

この問題は、Default Action Account としての管理者権限を持たないアカウントを構成する際に発生します。

原因


System Center Operations Manager 2007 エージェントは、Privileged Monitoring Account という名前の実行プロファイルを使用して、ヘルス サービス構成を処理します。既定では、Privileged Monitoring Account プロファイルはローカル システム アカウントを使用します。


ドメイン コントローラー上の Default Action Account としてドメイン ユーザーを使用するようにエージェントを構成すると、インストール時にヘルス サービス ロックダウン ツール (HSLockdown.exe) が自動的に実行されます。ヘルス サービス ロックダウン ツールは、NT AUTHORITY\SYSTEM セキュリティ プリンシパルへのヘルス サービス アクセスを拒否します。

この場合、NT AUTHORITY\Authenticated Users セキュリティ プリンシパルのみが、ヘルス サービスへのアクセスを許可されます。ただし、Active Directory が強化されているか、エージェントが正しく構成されていない場合、ローカル システム アカウントは Authenticated Users セキュリティ プリンシパルを介して認証を行うことができません。そのため、エージェントはヘルス サービスの構成情報を処理できません。

解決方法


この問題を解決するには、次のいずれかの方法を使用します。

方法 1: Privileged Monitoring Account プロファイルを構成する

影響を受けるドメイン コントローラー上で管理者権限を持つドメイン ユーザーを使用するように Privileged Monitoring Account プロファイルを構成します。これを実行するには、以下の手順を実行します。
  1. SCOM 2007 コンソールを開き、[管理] をクリックします。
  2. [セキュリティ] の下にある [実行アカウント] を右クリックし、[実行アカウントの作成] をクリックします。これにより、実行アカウントの作成ウィザードが起動します。
  3. [実行アカウントの種類] ボックスで [Windows] を選択します。表示名を入力し、[次へ] をクリックします。
  4. ドメイン コントローラー上の Administrators グループのメンバーであるアカウントのユーザー名とパスワードを入力し、[作成] をクリックします。
  5. 実行アカウントが作成された後、[実行プロファイル] ビューを開き、[Privileged Monitoring Account] をダブルクリックします。
  6. [実行アカウント] タブをクリックします。
  7. [新規] をクリックします。
  8. 手順 2. ~ 4. で作成した実行アカウントをクリックします。
  9. コンピューターの一覧でドメイン コントローラーをクリックして、[OK] をクリックします。
  10. 影響を受けるドメイン コントローラーごとに手順 7. ~ 9. を繰り返します。
  11. [実行プロファイルのプロパティ] ダイアログ ボックスで [OK] をクリックします。
  12. 影響を受けるドメイン コントローラー上で、OpsMgr ヘルス サービスを再起動します。

方法 2: HSLockdown.exe を実行してアクセス許可を構成する

影響を受けるドメイン コントローラー上で HSLockdown.exe を実行して、拒否リストから NT Authority\SYSTEM を削除します。これを実行するには、以下の手順を実行します。

  1. ドメイン コントローラー上でコマンド プロンプトを開き、エージェント ソフトウェアインストールされているフォルダーを開きます。既定では、エージェントは次のフォルダーにインストールされています。
    C:\Program Files\System Center Operations Manager 2007
  2. 以下のコマンドを入力し、Enter キーを押します。
    hslockdown "Management_Group _Name" /R "NT AUTHORITY\SYSTEM"
    このコマンドで、Management_Group _Name の部分は、エージェントがメンバーである Operations Manager 2007 管理グループの名前です。名前にスペースが含まれる場合は、引用符を使用します。
  3. OpsMgr ヘルス サービスを再起動します。
  4. 影響を受けるドメイン コントローラーごとに手順 1. ~ 3. を繰り返します。

関連情報


HSLockdown.exe の詳細については、以下のマイクロソフト TechNet Web サイトを参照してください。