操作管理器的客户端代理安装问题的疑难解答

本指南是做什么的?

用于诊断无法安装系统中心 2012年运营经理 (OpsMgr 2012 和 OpsMgr 2012 R2) 的客户端代理的问题。

它是谁?

管理员的系统中心 2012年运营经理帮助解决客户端代理安装问题。

它是如何工作的?

我们先问是否符合安装成功的必要先决条件。如果满足所有先决条件,没有问题,我们会带你通过一系列的特定于您的具体情况来解决此问题的步骤。

预计的完成时间:

15-30 分钟。

第一步: 验证目标计算机满足支持的配置

它不是常见的客户端安装问题造成的客户,而没有必要的前提条件。因此,业务经理代理任何相关安装问题故障排除的第一步是确认潜在的客户端计算机是否满足支持的硬件和软件配置。下列文章列出系统中心操作管理器 2007 (OpsMgr 2007) 客户端和系统中心 2012年运营经理 (OpsMgr 2012 和 OpsMgr 2012 R2) 客户端的要求:

操作管理器 2007 R2 支持的配置

业务经理 2012年支持的配置

如果目标系统是 Unix/Linux 计算机,验证的分布和版本支持。请注意,外表操作管理器 2007年某些版本的支持需要邮政 R2 累积更新。下列文章有 Unix/Linux 的支持的版本:

系统中心操作管理器 2007 R2 跨平台监控管理包

系统中心操作管理器 2012年支持 Unix 和 Linux 操作系统版本


这解决你的问题吗?

第一步: 验证目标计算机满足支持的配置

它不是常见的客户端安装问题造成的客户,而没有必要的前提条件。因此,业务经理代理任何相关安装问题故障排除的第一步是确认潜在的客户端计算机是否满足支持的硬件和软件配置。下列文章列出系统中心操作管理器 2007 (OpsMgr 2007) 客户端和系统中心 2012年运营经理 (OpsMgr 2012 和 OpsMgr 2012 R2) 客户端的要求:

操作管理器 2007 R2 支持的配置

业务经理 2012年支持的配置

如果目标系统是 Unix/Linux 计算机,验证的分布和版本支持。请注意,外表操作管理器 2007年某些版本的支持需要邮政 R2 累积更新。下列文章有 Unix/Linux 的支持的版本:

系统中心操作管理器 2007 R2 跨平台监控管理包

系统中心操作管理器 2012年支持 Unix 和 Linux 操作系统版本


这解决你的问题吗?

该向导不显示要安装的潜在代理列表

如果向导不显示列表的潜在代理安装,最有可能的问题是该帐户有访问 Active Directory 的麻烦。期间在最初发现在向导中指定的凭据应该有潜在的操作管理器代理,搜索 Active Directory 的权限,如果此帐户是不能连接到 Active Directory 然后发现向导将失败。

典型的错误包括以下内容:

  • 错误代码: 800706BA
    错误说明: RPC 服务器不可用。
  • 错误代码: 80070079
    MOM 服务器无法执行指定的操作,在"名称"的计算机上。信号量超时期限已过期。
  • 错误代码: 800706433
    代理管理操作代理安装失败,远程计算机"名称"

可能的解决方案:

在发现,过程中指定帐户有两个域的管理员权限,有业务经理管理员组的成员。

此外,如果 LDAP 查询超时,或者是不能够解决在 Active Directory 中的潜在代理,可以通过操作管理器命令外壳程序执行发现。选择"疑难解答代理部署通过操作管理器命令外壳程序"单选按钮的其他信息。


这解决你的问题吗?

通过 Operations Manager 控制台中的发现向导解决代理部署问题

如果将通过发现从作业管理器控制台部署代理,请注意将从管理服务器安装代理或网关服务器中发现向导来管理代理,指定时它打开操作控制台连接到服务器。因此,应从管理服务器进行任何测试或网关指定当运行该向导或不同的管理服务器/网关应指定在向导来查看是否出现同样的错误。


请选择您遇到的方案:

初始发现运行后,预期目标计算机不在潜在代理列表中

如果预定的目标计算机不处于潜在代理列表中最初发现运行后,计算机可能已经被确定在数据库中作为一部分的管理组,或在挂起的操作,在操作控制台中列出的计算机。

如果目标计算机在 '政府' 空间在操作控制台中的挂起的操作节点中列出的现有的行动必须批准或拒绝之前可以执行新的操作。如果现有安装设置已足够则从控制台批准挂起的安装。如果现有的设置不正确,拒绝挂起的操作,然后再次运行发现向导。


这解决你的问题吗?

发现向导在尝试安装代理时遇到错误

下面列出了发现向导试图安装代理时遇到的最常见的错误:

  • 操作: 代理安装
    错误代码: 800706 9
  • 错误描述: 未知的错误 0xC000296E
  • 错误描述: 未知的错误 0xC0002976
  • 错误代码: 80070643
    错误说明: 在安装过程中的致命错误。

可以有几个不同的原因,对这些类型的错误:

  • 以前指定履行代理安装发现向导中的帐户没有权限远程连接到目标计算机并安装 Windows 服务。这就需要本地管理员权限要求写入注册表。
  • 管理服务器的计算机帐户或帐户组策略限制用于代理推送,防止安装成功。在防止管理服务器的计算机帐户或使用发现向导,从远程访问的 Windows 文件夹、 注册表、 WMI 或管理共享在目标计算机上的用户帐户的 Active Directory 中的组策略对象可以防止运营经理代理成功部署。
  • Windows 防火墙将阻止管理服务器和目标计算机之间的端口。
  • 在目标计算机上所需的服务没有运行。
可能的解决方案:
  • 如果医师队伍ials 在向导中指定做不具有本地管理员权限,该帐户添加到本地管理员安全组在目标计算机上,或使用已经是该组的成员帐户。
  • 阻止在目标计算机上或执行安装的用户帐户上的组策略继承。
  • 如果代理安装失败时使用域帐户,以从管理服务器推送代理,使用 Windows 管理工具可以帮助发现潜在的问题。登录到问题凭据下的管理服务器尝试下列任务。如果该帐户没有权限登录到管理服务器,才能在凭据来测试从命令提示符下运行工具。

    "RUNAS /user: compmgmt.msc"。从操作菜单项,选择连接到另一台计算机。浏览或键入远程计算机名称。尝试打开事件查看器和眉毛任何事件日志。

    "RUNAS /user:services.msc"。从操作菜单项,选择连接到另一台计算机。浏览或键入远程计算机名称。尝试启动或停止后台打印程序或任何其他服务在目标计算机上。

    "RUNAS /user: regedt32.exe"。从文件 ' 菜单项,请选择连接网络注册表。浏览或键入远程计算机名称。尝试在远程计算机上打开"HKey_Local_Machine"。

    "RUNAS /user:Explorer.exe"。在地址栏中键入以下: \\admin$。
如果任何这些任务失败,请尝试使用不同的帐户,已知具有域管理员权限或 (目标计算机) 上的本地管理员权限。也尝试从成员服务器或工作站查看是否任务失败从多台计算机的相同任务。

注意未能连接到 admin$ 共享可能会阻止管理服务器将安装文件复制到目标。无法连接到目标位置上的 Windows 注册表,可能会导致运行状况服务安装不正确。未能连接到服务控制管理器将阻止安装程序正在启动服务。

  • 以下端口必须打开管理服务器和目标计算机之间:

    RPC 终结点映射端口号: 135 协议: TCP/UDP

    * RPC/DCOM 高 (2000年/2003年操作系统) 端口 1024年-5000 协议: TCP/UDP

    * RPC/DCOM 高 (2008 OS) 端口 49152 65535 协议: TCP/UDP

    NetBIOS 名称服务端口号: 137 协议: TCP/UDP

    NetBIOS 会话服务端口号: 139 协议: TCP/UDP

    通过 IP 端口号的 SMB: 445 协议: TCP

    妈妈通道端口号: 5723 协议: TCP/UDP
  • 以下服务必须已启用并运行目标计算机上:

    Netlogon

    远程注册表

    Windows 安装程序

    自动更新
下列文章提供了有关部署使用发现从管理服务器的操作管理器代理一些良好的背景:


这解决你的问题吗?

通过 Operations Manager 命令外壳解决代理部署问题

在某些情况下,自动发现的潜在代理商可能会非常大或非常复杂的 Active Directory 环境超时。其他情况下、 可能需要结合 LDAP 查询来运行自动发现、 这比 UI 中的要求更为严苛。在这些情况下,自动发现的计算机和远程安装的运营经理代理是可能通过业务经理命令外壳程序。

例如,下面的命令定义了一个 LDAP 查询并将它传递给新 WindowsDiscoveryConfiguration,从而创建 LDAP 基于 WindowsDiscoveryConfiguration:

$query = 新 LdapQueryDiscoveryCriteria — — LdapQuery:"(sAMAccountType=805306369)(name=srv1.contoso.com*)"–Domain:"contoso.com"$discoConfig = 新 WindowsDiscoveryConfiguration-LdapQueryDiscoveryCriteria: $query $query

另一个示例,下面的命令定义会发现特定计算机的名称基于 WindowsDiscoveryConfiguration。在这里我们示例中,找到了 client1.contoso.com 和 client2.contoso.com。

$discoConfig = 新 WindowsDiscoveryConfiguration ComputerName:"的 srv1.contoso.com"、"的 srv2.contoso.com"

也还有很多更多,你可以指定定义 WindowsDiscoveryConfiguration 时。以下命令指定发现模块使用特定凭证,对每个发现的 Windows 计算机执行验证,并限制用于 Windows 服务器的发现对象类型。ComputerType 参数可以是工作站、服务器或两者兼备。PerformVerification 开关用于直接搜索验证应返回唯一可用的计算机。

# 提示输入凭据用于执行发现。

$creds = 获取凭据

# 定义 WindowsDiscoveryConfiguration

$discoConfig = 新 WindowsDiscoveryConfiguration — — 计算机名:"的 srv3.contoso.com"、"的 srv4.contoso.com"— — PerformVerification: $true — — ActionAccount: $creds ComputerType:"服务器"

# 选择用来运行发现的管理服务器。

$managementServer = 获取开始管理服务器 — — 根: $true

# 开始发现过程。

$discoResult = 开始发现 — — 开始管理服务器: $managementServer — — WindowsDiscoveryConfiguration: $discoConfig

# 检查发现过程发现你所指定的 Windows 计算机。

$discoResult.CustomMonitoringObjects

#最后但并非最不重要的发现的计算机上安装代理。

安装代理 — — 开始管理服务器: $managementServer — — AgentManagedComputer: $discoResult.CustomMonitoringObjects


这解决你的问题吗?

通过详细的 Windows Installer 日志记录解决代理部署问题

如果远程计算机上的代理安装失败在安装过程中,Windows 安装程序日志可能会创建以下默认位置中的管理服务器上:

C:\Program Files\System 中心业务经理 \AgentManagement\AgentLogs

2007 或 2012 年 <版本> 在哪里

可以使用日志来确定是否存在一个特定的错误遇到和可能有助于进一步排除故障的操作管理器代理在目标计算机上安装。

寻找具有字符串返回值 3 在日志中的第一个条目。前几行通常会指示 Windows 安装程序遇到错误。格式通常会在函数的形式 / 错误的说明 / 错误返回代码,可以指示权限问题,丢失的文件或需要更改其他设置。

例子:

  • 错误消息: ConvertStringSecurityDescriptorToSecurityDescriptor 失败: 87
    可能的原因: 安装帐户在目标计算机上没有对安全日志的权限。
  • 错误消息: ModifyEventLogAccessForNetworkService(): 不能向 SecurityLog 授予读取访问权限: 0x00000057
    可能的原因: 安装帐户在目标计算机上没有对安全日志的权限。
  • 错误消息: 无法打开数据库文件。系统错误-2147024629
    可能的原因: 安装帐户到系统 TEMP 文件夹没有权限。

有许多可能的错误,在这里,可以被记录和其他个人的错误,你发现可以进一步研究的TechNetMicrosoft 知识库


这解决你的问题吗?

手动安装 Operations Manager 代理的故障排除

在不能将运营经理客户端代理部署到远程计算机通过发现向导的情况下,代理将需要手动安装。这可以通过使用MomAgent.msi文件的命令行执行。以下引用描述各种开关和配置选项可用于执行手动安装:

如果通过手动安装部署代理,请注意未来 Service Pack 更新或累积更新将需要手动以及部署会。由系统中心配置管理服务作为控制和远程管理,则不将指定计算机已手动安装和升级他们的选项不会出现在操作控制台中。

在手动安装代理期间占其他关键事项,包括:

  • 如果域或本地用户,正在执行安装,该帐户需要是在 Vista 或更高版本操作系统的本地管理员安全组的成员。被"超级用户"安全组的成员的用户在 Vista 之前的操作系统,安装服务所需的权限。
  • 如果代理被部署在配置管理器通过,配置管理器代理服务帐户需要来作为本地系统 (这是默认值) 或本地管理员的上下文下运行。

这解决你的问题吗?

恭喜!

业务经理客户端安装问题得到解决。

抱歉

看来我们不能通过使用本指南来解决你的问题。为解决这一问题的更多帮助请参阅我们的支持论坛的 TechNet或与Microsoft 支持部门联系。

错误代码 800706BA-RPC 服务器不可用

在运营经理的代理计算机必须能够成功到达并连接到管理服务器上的 TCP 端口 5723。如果这是否则你很可能会收到事件 ID 21016 和事件 ID 21006 客户端代理上。

除了 TCP 端口 5723,还必须启用以下端口:

  • LDAP 的 TCP 和 UDP 端口 389
  • TCP 和 UDP 端口 Kerberos 身份验证的 88
  • TCP 和 UDP 端口 53 为 DNS

除了以上所述,我们还必须确保 RPC 通信通过网络成功完成。如果有问题的 RPC 通信它通常会显现时从 OpsMgr 管理服务器推送代理。RPC 通信问题通常会导致客户端推送失败,并类似于以下内容的错误:

操作管理器服务器无法执行指定的操作,在计算机 agent1.contoso.com。。

操作: 代理英索尔

安装帐户: contoso\Agent_action

错误代码: 800706BA

错误说明: RPC 服务器不可用

当正在使用任何非标准的短暂端口,或在防火墙处阻塞短暂端口通常会发生这种情况。例如,如果已配置非标准高范围 RPC 端口,同时推送代理的网络跟踪会显示成功连接到 RPC 端口 135 依次使用非标准的 RPC 端口,例如 15595,如下所示的连接尝试。

18748 MS 代理 TCP TCP: 标志 = CE...在美国,SrcPort = 52457,DstPort = 15595,PayloadLen = 0,Seq = 1704157139,Ack = 0,赢 = 8192 18750 MS 代理 TCP TCP: [SynReTransmit #18748] 标志 = CE...在美国,SrcPort = 52457,DstPort = 15595,PayloadLen = 0,Seq = 1704157139,Ack = 0,18751 MS 代理 TCP TCP: [SynReTransmit #18748] 标志 =...在美国,SrcPort = 52457,DstPort = 15595,PayloadLen = 0,Seq = 1704157139,Ack = 0,赢 = 8192

在此示例中,因为端口豁免此非标准的范围不在防火墙上配置的数据包会被丢弃,则连接会失败。

在 Windows Vista 中或以上 RPC 高范围端口是 49152-65535,这就是我们要去寻找。若要验证这是否是您的问题,请运行以下命令查看配置什么 RPC 高端口范围:

Netsh int ipv4 显示 dynamicportrange tcp

根据 IANA 标准,它应该看起来像这样:

协议 tcp 动态端口范围

---------------------------------

开始端口: 49152

端口数: 16384

如果你看到一个不同的开始端口然后问题可能是,防火墙未正确配置为允许这些端口上的通信。您可以更改在防火墙上的配置或您可以运行下面的命令以高范围端口将重新设置为它们的默认值:

Netsh int ipv4 设置 dynamicport tcp 开始 = 49152 num = 16383

请注意,您还可以配置通过注册表的 RPC 动态端口范围。请参阅以下文章详细信息:

154596-如何配置与防火墙一起使用的 RPC 动态端口分配

如果一切似乎都正确配置,但是你仍然出现上面的错误,它可能是以下条件之一的真实:

  1. DCOM 一直限于某些端口。若要验证,打开 dcomcnfg.exe 和导线对 dcomcnfg-> 我的电脑 –> 属性 –> 默认协议,并确保有不有自定义设置。
  2. WMI 配置为使用自定义的终结点。要检查是否你有一个静态的终结点配置为 WMI、 开放 dcomcnfg.exe 和导线对 dcomcnfg-> 我的电脑 –> DCOM 配置-> Windows 管理和仪器仪表 –> 属性-> 终结点,并确保没有自定义设置在这里。
  3. 代理计算机在运行 Exchange 2010 CAS 角色。Exchange 2010 客户端访问服务更改此端口范围为 6005 到 65535。的范围扩大了,提供足够的扩展余地,对于大型部署。请不要更改这些端口值不完全了解这样做的后果。

更多的信息

有关港口和防火墙的详细信息要求请参阅防火墙中下面的文档:

准备您的环境系统中心 2012 R2 运营经理

您也可以在同一文档中的最低所需的网络连接速度。

最后的笔记

网络问题的疑难解答是一个极大的问题本身,所以,最好去请教网络工程师,如果你怀疑一个潜在的网络问题造成您的代理操作管理器中连接问题。我们也有一些基本的广义网络故障排除信息可从我们的 Windows 目录服务在这里支持团队可用:

没有 NetMon 网络故障排除


这解决你的问题吗?


属性

文章 ID:10147 - 上次审阅时间:2016年1月13日 - 修订版本: 2

反馈