System Center Operations Manager エージェントのインストールのトラブルシューティング

現象
System Center Operations Manager(SCOM) エージェントは、管理サーバーから "リモート プッシュ" で Windows コンピューターに展開するか、MomAgent.msi を使用して手動で対象のコンピューターにインストールすることができます。エージェントのインストールが失敗した場合、エラーが発生している場所とエージェントの展開方法に応じて、使用可能な多くのトラブルシューティング手順があります。
解決方法

対象のコンピューターがサポートされる構成を満たしていることを確認する
Windows コンピューターへの Operations Manager エージェントのインストールのトラブルシューティングにおける最初の手順では、エージェントの候補がサポートされるハードウェアおよびソフトウェアの構成を満たしていることを確認します。以下の資料には、Operations Manager 2007 および 2012 エージェントの要件が記載されています。

Operations Manager 2007 R2 でサポートされている構成

System Center 2012 - Operations Manager のシステム要件

対象のシステムが Unix/Linux コンピューターである場合は、ディストリビューションとバージョンがサポートされていることを確認します。Operations Manager 2007 の一部のバージョンをサポートするには、R2 以降の累積的な更新プログラムが必要です。以下の資料には、サポートされるバージョンの Unix/Linux が記載されています。

System Center Operations Manager 2007 R2 クロスプラットフォームの監視管理パック

System Center Operations Manager 2012 - サポートされている UNIX および Linux オペレーティング システムのバージョン

Operations Manager コンソールでの検出ウィザードを使用したエージェントの展開の問題のトラブルシューティング
Operations Manager コンソールから検出を使用してエージェントを展開する場合、Operations Manager コンソールを開いたときに接続されたサーバーではなく、検出ウィザードでエージェントを管理するために指定した管理サーバーまたはゲートウェイ サーバーからエージェントがインストールされます。そのため、同じエラーが発生するかどうかを確認するには、ウィザードが実行されたときに指定した管理サーバーまたはゲートウェイからテストを実行するか、ウィザードの実行中に異なる管理サーバーまたはゲートウェイを指定する必要があります。

  • 問題:
    このウィザードにインストール可能なエージェントの一覧が表示されない。

    原因:
    初回の検出時にウィザードで指定した資格情報が、Active Directory で使用可能な Operations Manager エージェントを検索するためのアクセス許可を持っている必要があります。このアカウントで Active Directory に接続できない場合、検出ウィザードは失敗します。

    表示される典型的なエラーは以下のとおりです。
    • エラー コード: 800706BA
      エラーの説明: RPC サーバーを利用できません。
    • エラー コード: 80070079
      MOM サーバーは、コンピューター "名前" 上で指定のオペレーションを実行できませんでした。セマフォがタイムアウトしました。
    • エラー コード: 80070643
      リモート コンピューター "名前" での Agent Management Operation Agent のインストールに失敗しました

    使用可能な解決方法:
    • 検出中に、ドメイン管理者のアクセス許可を持ち、かつ Operations Manager Admin グループのメンバーになっているアカウントを指定します。
    • LDAP クエリがタイム アウトになるか、Active Directory 内の使用可能なエージェントを解決できない場合、Operations Manager のコマンド シェルを使用して検出を実行できます。詳細については、「Operations Manager コマンド シェルを使用したエージェントの展開のトラブルシューティング」を参照してください。

  • 問題:
    初回の検出を実行した後に、使用可能なエージェントの一覧に対象のコンピューターが表示されない。

    原因:
    • そのコンピューターはデータベースで管理グループの一部として既に識別されています。
    • そのコンピューターは Operations Manager コンソールで [保留中の操作] の一覧に表示されています。

    使用可能な解決方法:
    • 対象のコンピューターが Operations Manager コンソールの [管理] 領域の [保留中の操作] ノードの一覧に表示されている場合は、新しい操作を実行する前に、既存の操作を承認または拒否する必要があります。既存のインストールの設定で十分な場合は、コンソールから保留中のインストールを承認します。既存の設定が正しくない場合は、保留中の操作を拒否し、検出ウィザードをもう一度実行します。

  • 問題:
    エージェントのインストール試行中に、検出ウィザードで次のいずれかのエラーが発生する。
    • 操作: エージェントのインストール
      エラー コード: 800706D9
    • エラーの説明: 不明なエラー 0xC000296E
    • エラーの説明: 不明なエラー 0xC0002976
    • エラー コード: 80070643
      エラーの説明: インストール中に致命的なエラーが発生しました。


    原因:
    • 検出ウィザードでエージェントのインストールを実行するために前に指定されたアカウントには、対象のコンピューターにリモートから接続して Windows サービスをインストールするためのアクセス許可が必要になります。レジストリに書き込む必要があるため、この操作を行うにはローカル管理者のアクセス許可が必要です。
    • 管理サーバー コンピューター アカウントまたはエージェントのプッシュに使用されるアカウントのグループ ポリシーの制限が、正常なインストールの妨害になっている可能性があります。管理サーバー コンピューター アカウントまたは検出ウィザードで使用されるユーザー アカウントが対象のコンピューターの Windows フォルダー、レジストリ、WMI、または管理共有にリモートからアクセスすることが、Active Directory 内のグループ ポリシー オブジェクトによって防止されているために、Operations Manager エージェントを正常に展開できません。
    • Windows ファイアウォールが、管理サーバーと対象のコンピューターの間のポートをブロックしています。
    • 対象のコンピューター上で必要なサービスが実行されていません。


    使用可能な解決方法:
    • ウィザードで指定した資格情報がローカル管理者のアクセス許可を持っていない場合は、対象のコンピューターでローカルの Administrators セキュリティ グループにそのアカウントを追加するか、既にそのグループのメンバーになっているアカウントを使用します。
    • 対象のコンピューターでまたはインストールを実行するユーザー アカウントでグループ ポリシーの継承をブロックします。

    • ドメイン アカウントを使用して管理サーバーからエージェントをプッシュするときにエージェントのインストールが失敗する場合は、Windows 管理ツールを使用して潜在的な問題を特定することができます。問題の資格情報で管理サーバーにログオンし、次のタスクを実行してみます。アカウントが管理サーバーにログオンするアクセス許可を持っていない場合は、コマンド プロンプトからテスト対象の資格情報を使用してツールを実行することができます。
      • "RUNAS /user:<ユーザー名> compmgmt.msc"。[操作] メニューの [別のコンピューターへ接続] を選択します。リモート コンピューター名を参照するか入力します。イベント ビューアーを開いて、いずれかのイベント ログを参照します。
      • "RUNAS /user:<ユーザー名>services.msc"。[操作] メニューの [別のコンピューターへ接続] を選択します。リモート コンピューター名を参照するか入力します。対象のコンピューター上で印刷スプーラーまたは他のサービスを開始または停止してみます。
      • "RUNAS /user:<ユーザー名> regedt32.exe"。[ファイル] メニューの [ネットワーク レジストリへの接続] をクリックします。リモート コンピューター名を参照するか入力します。リモート マシンで "HKey_Local_Machine" を開いてみます。
      • "RUNAS /user:<ユーザー名>Explorer.exe"。アドレス バーに次のアドレスを入力します。\\admin$

        これらのいずれかのタスクが失敗する場合は、対象のコンピューター上で Domain Administrators またはローカル Administrator のアクセス許可を持っていることがわかっている別のアカウントを使用してみます。さらに、メンバー サーバーまたはワークステーションから同じタスクを実行し、複数のコンピューターでタスクが失敗するかどうかを確認します。
        admin$ 共有に接続できないために、管理サーバーがセットアップ ファイルを対象のコンピューターにコピーできないことがあります。対象のコンピューター上の Windows レジストリに接続できないために、正常性サービスを正常にインストールできない可能性があります。サービス コントロール マネージャーに接続できないと、セットアップでサービスを開始できません。
    • 管理サーバーと対象のコンピューターの間で以下のポートが開かれている必要があります。
      • RPC エンドポイント マッパー ポート番号: 135 プロトコル: TCP/UDP
      • *RPC/DCOM 特権ポート (2000/2003 OS) ポート 1024 ~ 5000 プロトコル: TCP/UDP
      • *RPC/DCOM 特権ポート (2008 OS) ポート 49152 ~ 65535 プロトコル: TCP/UDP
      • NetBIOS ネーム サービス ポート番号: 137 プロトコル: TCP/UDP
      • NetBIOS セッション サービス ポート番号: 139 プロトコル: TCP/UDP
      • SMB over IP ポート番号: 445 プロトコル: TCP
      • MOM チャネル ポート番号: 5723 プロトコル: TCP/UDP
    • 対象のコンピューターで、次のサービスを有効にして実行する必要があります。
      • Netlogon
      • リモート レジストリ
      • Windows インストーラー
      • 自動更新

以下の資料には、管理サーバーからの検出を使用した Operations Manager エージェントの展開に関するいくつかの役に立つ背景知識が記載されています。

エージェント セットアップ ウィザードを使用した Operations Manager 2007 エージェントの展開方法
OpsMgr 2007 でのコンピューターの検出の機能 (英語情報)
OpsMgr 2007 でのエージェントの検出およびプッシュのトラブルシューティング (英語情報)
コンソール ベースのエージェントの展開のトラブルシューティングの表
検出とエージェントの管理

Operations Manager コマンド シェルを使用したエージェントの展開のトラブルシューティング
状況によっては、Active Directory 環境が非常に大きいかまたは複雑なために、使用可能なエージェントの自動検出がタイムアウトになることがあります。また、UI で使用可能な自動検出よりも制限を厳しくした LDAP クエリを使用して自動検出を実行しなければならない場合もあります。これらの場合、Operations Manager コマンド シェルを使用して、コンピューターの自動検出および Operations Manager エージェントのリモート インストールを行うことができます。以下のブログ投稿には、この操作に必要な構文が示されています。

Powershell による Windows コンピューターの検出 (英語情報)

詳細な Windows インストーラー ログを使用したエージェントの展開のトラブルシューティング
インストール中にリモート コンピューターへのエージェントのインストールに失敗する場合は、管理サーバーで以下の既定の場所に詳細な Windows インストーラー ログが作成されることがあります。

C:\Program Files\System Center Operations Manager <バージョン>\AgentManagement\AgentLogs

上記の <バージョン> は 2007 または 2012 です。

このログを使用して特定のエラーが発生したかどうかを確認し、対象のコンピューター上での Operations Manager エージェントのインストールの詳しいトラブルシューティングに役立てることができます。

ログ内で文字列 "Return Value 3" が含まれる最初のエントリを探します。その前にある数行は通常、Windows インストーラーで発生したエラーを示しています。一般的に、"機能 / エラーの説明 / エラーのリターン コード" という形式になっており、アクセス許可の問題、見つからないファイル、または変更する必要がある他の設定を示すことがあります。例:

  • エラー メッセージ:
    ConvertStringSecurityDescriptorToSecurityDescriptor failed (ConvertStringSecurityDescriptorToSecurityDescriptor に失敗しました):87

    考えられる原因:
    インストール アカウントが、対象のコンピューター上のセキュリティ ログにアクセスする権限を持っていません

  • エラー メッセージ:
    ModifyEventLogAccessForNetworkService():Could not grant read access to SecurityLog (SecurityLog に対する読み取りアクセス権を付与できませんでした): 0x00000057

    考えられる原因:
    インストール アカウントが、対象のコンピューター上のセキュリティ ログにアクセスする権限を持っていません

  • エラー メッセージ:
    Cannot open database file (データベース ファイルを開くことができません).System error -2147024629 (システム エラー -2147024629)

    考えられる原因:
    インストール アカウントがシステムの TEMP フォルダーに対するアクセス許可を持っていません

この場所に記録される可能性がある、原因として考えられるエラーは数多くあります。その他の個別のエラーについて、詳細は TechNet またはオンラインのサポート技術情報で参照できます。

Operations Manager エージェントの手動インストールのトラブルシューティング
検出ウィザードを使用して、Operations Manager エージェントをリモート コンピューターに展開できない場合は、エージェントを手動でインストールする必要があります。この手順は、MomAgent.msi ファイルを使用して、コマンド ラインから実行できます。以下の参考資料には、手動インストールを実行するために使用できるさまざまなスイッチおよび構成オプションの説明が記載されています。

コマンド ラインから MOMAgent.msi を使用して Operations Manager 2007 エージェントを展開する方法
Windows エージェント インストール MSI の使用事例およびコマンド (英語情報)
Operations Manager 2007 におけるエージェントの手動インストールの処理

コマンド ラインを使ってエージェントをインストールする

エージェントの手動インストール プロセス

MOMAgent コマンドを使用してエージェントを管理する例

手動インストールを使用してエージェントを展開する場合は、その後の Service Pack の更新プログラムまたは累積的な更新プログラムも手動で展開する必要があります。手動でインストールされたコンピューターは、System Center Configuration Management サービスによってリモートで管理可能なコンピューターとして指定されず、それらをアップグレードするためのオプションがオペレーション コンソールに表示されません。

エージェントを手動でインストールする際には、他にも次の点に注意する必要があります。

  • ドメイン ユーザーまたはローカル ユーザーとしてインストールを実行している場合、Vista 以降のオペレーティング システムでは、そのアカウントがローカル Administrators セキュリティ グループのメンバーになっている必要があります。Vista より前のオペレーティング システムでは、"Power Users" セキュリティ グループのメンバーになっているユーザーが、サービスをインストールするために必要なアクセス許可を持っています。
  • Configuration Manager を介してエージェントが展開される場合、Configuration Manager エージェント サービス アカウントを Localsystem として実行するか (既定の設定)、ローカル管理者のコンテキストで実行する必要があります。

エージェントの手動インストールを妨害しているエラーは、Windows インストーラーのセットアップ ログで確認できます。以下のコマンドを使用すると、Operations Manager エージェントのインストールの詳細な Windows インストーラーのログ記録を有効にすることができます。
msiexec.exe /i "MOMAgent.msi" /l*v "C:\Agent\MOMAgent_install.log"

別の方法としては、以下の資料に、Windows コンピューター上でグローバルに詳細な Windows インストーラーのログ記録を有効にする方法が記載されています。
Windows インストーラーのログの記録を有効にする方法

このログを使用して特定のエラーが発生したかどうかを確認し、対象のコンピューター上での Operations Manager エージェントのインストールの詳しいトラブルシューティングに役立てることができます。

ログ内で文字列 "Return Value 3" が含まれる最初のエントリを探します。その前にある数行は通常、Windows インストーラーで発生したエラーを示しています。一般的に、"機能 / エラーの説明 / エラーのリターン コード" という形式になっており、アクセス許可の問題、見つからないファイル、または変更する必要がある他の設定を示すことがあります。

例:

  • エラー メッセージ:
    ConvertStringSecurityDescriptorToSecurityDescriptor failed (ConvertStringSecurityDescriptorToSecurityDescriptor に失敗しました):87

    考えられる原因:
    インストール アカウントが、対象のコンピューター上のセキュリティ ログにアクセスする権限を持っていません

  • エラー メッセージ:
    ModifyEventLogAccessForNetworkService():Could not grant read access to SecurityLog (SecurityLog に対する読み取りアクセス権を付与できませんでした): 0x00000057

    考えられる原因:
    インストール アカウントが、対象のコンピューター上のセキュリティ ログにアクセスする権限を持っていません

  • エラー メッセージ:
    Cannot open database file (データベース ファイルを開くことができません).System error -2147024629 (システム エラー -2147024629)

    考えられる原因:
    インストール アカウントがシステムの TEMP フォルダーに対するアクセス許可を持っていません

この場所に記録される可能性がある、原因として考えられるエラーは数多くあります。その他の個別のエラーについて、詳細は TechNet またはオンラインのサポート技術情報で参照できます。

詳細
この資料は、すべてのバージョンの System Center Operations Manager 2007 (OpsMgr 2007) とすべてのバージョンの System Center 2012 Operations Manager (OpsMgr 2012) に適用されます。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:2566152 - 最終更新日: 10/06/2015 16:47:00 - リビジョン: 1.0

Microsoft System Center Operations Manager 2007, Microsoft System Center Operations Manager 2007 R2, Microsoft System Center Operations Manager 2007 Service Pack 1, Microsoft System Center 2012 Operations Manager, Microsoft System Center 2012 Operations Manager Service Pack 1

  • kbtshoot KB2566152
フィードバック