排除 System Center Operations Manager 代理安装故障

症状
System Center Operations Manager (SCOM) 代理可通过“远程推移”从管理服务器部署到 Windows 计算机上,也可以使用 MomAgent.msi 手动安装在目标计算机上。如果代理安装失败,则可以按照许多故障排除步骤操作,具体视错误发生位置和代理的部署方式而定。
解决方案

验证目标计算机是否符合支持的配置要求
在 Windows 计算机上排除 Operations Manager 代理安装故障的第一步是,验证潜在的代理是否符合支持的硬件和软件配置要求。以下文章列出了对 Operations Manager 2007 和 2012 代理的要求:

Operations Manager 2007 R2 支持的配置

Operations Manager 2012 支持的配置

如果目标系统是 Unix/Linux 计算机,请验证是否同时支持分发和版本。请注意,必须获得 post-R2 累积更新,才能支持一些 Operations Manager 2007 版本。下列文章介绍了支持的 Unix/Linux 版本:

System Center Operations Manager 2007 R2 跨平台监视管理包

System Center Operations Manager 2012 支持的 Unix 和 Linux 操作系统版本

通过 Operations Manager 控制台中的发现向导排除代理部署故障
如果代理将通过 Operations Manager 控制台中的发现方式进行部署,则代理会从发现向导中指定的用来管理代理的管理服务器或网关服务器进行安装,而不是从其打开时操作控制台连接到的服务器进行安装。因此,所有测试都应从运行向导时指定的管理服务器或网关中进行,或者应在向导期间指定其他管理服务器/网关,以查看是否出现相同错误。

  • 问题
    向导不显示要安装的潜在代理列表。

    原因
    向导在初始发现期间指定的凭据应具有搜索 Active Directory 寻找潜在 Operations Manager 代理的权限。如果此帐户无法连接到 Active Directory,则发现向导会发生故障。

    显示的典型错误可能包括:
    • 错误代码:800706BA
      错误说明:RPC 服务器不可用。
    • 错误代码: 80070079
      MOM 服务器无法执行计算机“名称”上指定的操作。信号灯超时时间已到。
    • 错误代码: 80070643
      代理管理操作代理安装因远程计算机“名称”而失败

    可能的解决方案:
    • 在发现过程中,指定既拥有域管理员权限且是 Operations Manager 管理员组成员的帐户。
    • 如果 LDAP 查询超时或无法解析 Active Directory 中的潜在代理,则可以通过 Operations Manager 命令行界面执行发现操作。有关详细信息,请参阅以下“通过 Operations Manager 命令行界面排除代理部署故障”部分。

  • 问题
    在初始发现运行后,预期目标计算机不在潜在代理列表中。

    原因
    • 计算机可能已经在数据库中被标识为管理组的一部分。
    • 计算机被列在操作控制台的“挂起的操作”下方。

    可能的解决方案:
    • 如果目标计算机被列在操作控制台中“管理”空间的“挂起的操作”节点内,则必须先批准或拒绝现有操作,然后才可以执行新的操作。如果现有安装设置已足够,则从控制台批准挂起的安装。如果现有设置不正确,请拒绝挂起的操作,然后再次运行发现向导。

  • 问题
    发现向导在尝试安装代理时遇到下列错误之一:
    • 操作:代理安装
      错误代码:800706D9
    • 错误说明:未知错误 0xC000296E
    • 错误说明:未知错误 0xC0002976
    • 错误代码: 80070643
      错误说明:安装时发生严重错误。


    原因
    • 先前指定用来在发现向导中执行代理安装的帐户需要获得远程连接到目标计算机并安装 Windows 服务的权限。由于要求写入注册表,因此需要本地管理员权限。
    • 对管理服务器计算机帐户或用于代理推送的帐户施加的组策略限制会阻止成功安装。Active Directory 中的组策略对象可令管理服务器计算机帐户或发现向导使用的用户帐户无法远程访问目标计算机上 Windows 文件夹、注册表、WMI 或管理共享,进而会阻止成功部署 Operations Manager 代理。
    • Windows 防火墙屏蔽的是管理服务器和目标计算机之间的端口。
    • 目标计算机上所需的服务无法正常运行。


    可能的解决方案
    • 如果在向导中指定的凭据没有本地管理员权限,请将帐户添加到目标计算机上的本地管理员安全组,或者使用已经是该组成员的帐户。
    • 阻止目标计算机上的组策略继承或执行安装的用户帐户。

    • 如果使用域帐户从管理服务器推送代理时出现代理安装故障,使用 Windows 管理工具可以帮助识别潜在问题。使用相关凭据登录管理服务器,然后尝试执行下列任务。如果帐户无权登录管理服务器,可使用要通过命令提示符进行测试的凭据运行工具。
      • "RUNAS /user:<username> compmgmt.msc".在“操作”菜单项中,选择“连接到另一台计算机”。浏览或键入远程计算机名称。尝试打开事件查看器,然后浏览任意事件日志。
      • "RUNAS /user:<username>services.msc".在“操作”菜单项中,选择“连接到另一台计算机”。浏览或键入远程计算机名称。尝试启动或停止打印后台处理程序或目标计算机上的其他任何服务。
      • "RUNAS /user:<username> regedt32.exe".在“文件”菜单项中,选择“连接网络注册表”。浏览或键入远程计算机名称。尝试在远程计算机上打开“HKey_Local_Machine”。
      • "RUNAS /user:<username>Explorer.exe".在地址栏中键入以下内容:\\admin$

        如果其中任何一个任务失败,请尝试使用其他已知拥有域管理员或本地管理员(在目标计算机上)权限的帐户。也可以从成员服务器或工作站尝试执行相同任务,查看任务在多台计算机上是否出现故障。
        无法连接到 admin$ 共享可能会阻止管理服务器将安装程序文件复制到目标位置。无法连接到目标位置上的 Windows 注册表可能会导致运行状况服务安装不正确。无法连接到服务控制管理器会阻止安装程序启动服务。
    • 下列端口必须在管理服务器和目标计算机之间打开:
      • RPC 终结点映射程序端口号:135 协议:TCP/UDP
      • *RPC/DCOM 高端口 (2000/2003 OS) 端口 1024-5000 协议:TCP/UDP
      • *RPC/DCOM 高端口 (2008 OS) 端口 49152-65535 协议:TCP/UDP
      • NetBIOS 名称服务端口号:137 协议:TCP/UDP
      • NetBIOS 会话服务端口号:139 协议:TCP/UDP
      • SMB 经由 IP 端口号:445 协议:TCP
      • MOM 通道端口号:5723 协议:TCP/UDP
    • 以下服务必须在目标计算机上启用和运行:
      • Netlogon
      • 远程注册表
      • Windows Installer
      • 自动更新

以下文章充分介绍了从管理服务器使用发现部署 Operations Manager 代理的背景知识:

如何使用代理安装向导部署 Operations Manager 2007 代理
计算机发现在 OpsMgr 2007 中的工作方式?
OpsMgr 2007 中的代理发现和推送故障排除
基于控制台的代理部署故障排除表
管理 SCOM 2012 中的发现和代理

通过 Operations Manager 命令行界面排除代理部署故障
在某些情况下,潜在代理的自动发现可能会因庞大或复杂的 Active Directory 环境而超时。在另一些情况下,可能需要结合 LDAP 查询来运行自动发现,这比 UI 中的要求更为严苛。在这些情况下,自动发现计算机和远程安装 Operations Manager 代理可能要借助 Operations Manager 命令行界面。以下博客文章介绍了这样做所需的语法:

通过 PowerShell 发现 Windows 计算机

通过详细的 Windows Installer 日志记录排除代理部署故障
如果远程计算机上的代理安装在安装过程中出现故障,则可能会在以下默认位置的管理服务器上创建详细的 Windows Installer 日志:

C:\Program Files\System Center Operations Manager <version>\AgentManagement\AgentLogs

其中,<version> 是 2007 或 2012

日志可用于确定是否遇到特定错误,在进一步排除目标计算机上的 Operations Manager 代理安装故障时可能会有所帮助。

查看日志中带有字符串“Return Value 3”的第一个条目。前面几行通常会指示 Windows Installer 遇到的错误。格式的表现形式通常是“函数 / 错误说明 / 错误返回码”,并且可以显示权限问题、丢失的文件或者需要更改的其他设置。示例:

  • 错误消息
    ConvertStringSecurityDescriptorToSecurityDescriptor 失败: 87

    可能的原因
    安装帐户没有权限访问目标计算机上的安全日志

  • 错误消息
    ModifyEventLogAccessForNetworkService():无法授予对 SecurityLog 的读取访问权限:0x00000057

    可能的原因:
    安装帐户没有权限访问目标计算机上的安全日志

  • 错误消息
    无法打开数据库文件。系统错误 - 2147024629

    可能的原因
    安装帐户没有权限访问系统 TEMP 文件夹

此处记录有许多可能的错误。您可以在 TechNet 或联机知识库中进一步研究其他个别错误。

手动安装 Operations Manager 代理的故障排除
如果无法通过发现向导将 Operations Manager 代理部署到远程计算机,需要手动安装代理。这可以通过命令行使用 MomAgent.msi 文件来执行。以下引用文章介绍了可用于执行手动安装的各种开关和配置选项:

如何通过命令行使用 MOMAgent.msi 来部署 Operations Manager 2007 代理
Windows 代理安装 MSI 用例和命令
在 Operations Manager 2007 中处理手动代理安装

如何使用命令行来部署 Operations Manager 2012 代理

在 Operations Manager 2012 中处理手动代理安装

在 Operations Manager 2012 中使用 MOMAgent 命令来管理代理的示例

如果代理是通过手动安装进行部署,则将来的 Service Pack 更新程序或累积更新也将需要手动部署。已手动安装的计算机不会被 System Center Configuration Management 服务指定为可远程管理的计算机,升级选项也不会出现在操作控制台中。

在手动安装代理过程中需考虑的其他关键注意事项:

  • 如果由域或本地用户执行安装,则帐户需要是 Vista 或更高版本操作系统中本地管理员安全组的成员。在 Vista 以前的操作系统中,作为“Power Users”安全组成员的用户拥有安装服务所需的权限。
  • 如果代理要通过配置管理器来部署,则配置管理器代理服务帐户将需要作为 Localsystem(默认设置)来运行或在本地管理员环境下运行。

阻止手动安装代理的错误可以通过 Windows Installer 安装日志识别。以下命令可用于对 Operations Manager 代理安装启用详细的 Windows Installer 日志记录:
msiexec.exe /i "MOMAgent.msi" /l*v "C:\Agent\MOMAgent_install.log"

或者,您可以参阅以下文章,了解如何在 Windows 计算机上全局启用详细的 Windows Installer 日志记录:
如何启用 Windows Installer 日志记录

日志可用于确定是否遇到特定错误,在进一步排除目标计算机上的 Operations Manager 代理安装故障时可能会有所帮助。

查看日志中带有字符串“Return Value 3”的第一个条目。前面几行通常会指示 Windows Installer 遇到的错误。格式的表现形式通常是“函数 / 错误说明 / 错误返回码”,并且可以显示权限问题、丢失的文件或者需要更改的其他设置。

示例:

  • 错误消息
    ConvertStringSecurityDescriptorToSecurityDescriptor 失败: 87

    可能的原因
    安装帐户没有权限访问目标计算机上的安全日志

  • 错误消息
    ModifyEventLogAccessForNetworkService():无法授予对 SecurityLog 的读取访问权限:0x00000057

    可能的原因:
    安装帐户没有权限访问目标计算机上的安全日志

  • 错误消息
    无法打开数据库文件。系统错误 - 2147024629

    可能的原因
    安装帐户没有权限访问系统 TEMP 文件夹

此处记录有许多可能的错误。您可以在 TechNet联机知识库中进一步研究其他个别错误。

更多信息
本文适用于 System Center Operations Manager 2007 (OpsMgr 2007) 和 System Center 2012 Operations Manager (OpsMgr 2012) 的所有版本。
注意:本篇“快速发布”文章是从 Microsoft 支持组织直接创建的。 文中包含的信息按原样提供,用于响应紧急问题。 由于发布仓促,材料可能包含印刷错误,并且可能随时修订,恕不另行通知。 有关其他注意事项,请参阅使用条款
属性

文章 ID:2566152 - 上次审阅时间:10/06/2015 16:48:00 - 修订版本: 1.0

Microsoft System Center Operations Manager 2007, Microsoft System Center Operations Manager 2007 R2, Microsoft System Center Operations Manager 2007 Service Pack 1, Microsoft System Center 2012 Operations Manager, Microsoft System Center 2012 Operations Manager Service Pack 1

  • kbtshoot KB2566152
反馈