疑難排解 System Center Operations Manager 代理程式的安裝

徵狀
System Center Operations Manager(SCOM) 代理程式可以從管理伺服器透過「遠端發送」部署至 Windows 電腦,也可以使用 MomAgent.msi 手動安裝至目標電腦。如果代理程式的安裝失敗,則根據錯誤的發生位置以及代理程式的部署方式,會有一些可以使用的疑難排解步驟。
解決方案

確認目標電腦符合支援的組態
疑難排解 Windows 電腦上 Operations Manager 代理程式安裝的初始步驟是確認潛在代理程式符合支援的軟硬體組態。下列各文章列出 Operations Manager 2007 和 2012 代理程式的需求:

Operations Manager 2007 R2 支援的組態

Operations Manager 2012 支援的組態

如果目標系統是 Unix/Linux 電腦,請確認其支援該發佈和該版本。請注意,有些 Operations Manager 2007 版本支援需要 R2 後版本的累積更新。下列文章具有支援的 Unix/Linux 版本:

System Center Operations Manager 2007 R2 跨平台監視管理組件

System Center Operations Manager 2012 支援的 Unix 和 Linux 作業系統版本

透過 Operations Manager 主控台中的 [探索精靈] 進行代理程式部署疑難排解
如果將透過從 Operations Manager 主控台進行探索來部署代理程式,則會從探索精靈中所指定的管理伺服器或閘道伺服器來安裝代理程式,以便管理代理程式,而非從在開啟時 Operations 主控台所連線的伺服器。因此,應該從執行精靈時所指定的管理伺服器或閘道進行任何測試,或應該在精靈執行期間指定不同的管理伺服器/閘道,以確認是否發生相同的錯誤。

  • 問題
    此精靈不會顯示要安裝的潛在代理程式清單。

    原因
    在初始探索期間,於精靈中指定的認證應該具有權限來搜尋 Active Directory 中是否有潛在的 Operations Manager 代理程式。如果這個帳戶無法連線至 Active Directory,則 [探索精靈] 將會失敗。

    出現的一般錯誤可能是:
    • 錯誤碼:800706BA
      錯誤描述:RPC 伺服器無法使用
    • 錯誤碼: 80070079
      MOM 伺服器無法在電腦 "name" 上執行指定的作業。旗號逾時期間已過期。
    • 錯誤碼: 80070643
      遠端電腦 "name" 的代理程式管理作業代理程式安裝失敗

    可能的解決方法:
    • 在探索期間,指定具有網域系統管理員權限而且是 Operations Manager Admins 群組成員的帳戶。
    • 如果 LDAP 查詢逾時,或無法解析 Active Directory 中的潛在代理程式,可以透過 Operations Manager 命令殼層執行探索。請參閱下節<透過 Operations Manager 命令殼層進行代理程式部署疑難排解>,以取得詳細資訊。

  • 問題
    在執行初始探索之後,預期的目標電腦不在潛在代理程式清單中。

    原因
    • 電腦在資料庫中已經識別為管理群組的一部分。
    • 電腦列在 Operations 主控台的 [擱置的動作] 下。

    可能的解決方法:
    • 如果目標電腦列在 Operations 主控台中 [管理] 空間的 [擱置的動作] 節點下,必須先核准或拒絕現有動作,才能執行新的動作。如果現有的安裝設定已經足夠,請從主控台核准擱置的安裝。如果現有的設定不正確,請拒絕擱置的動作,然後重新執行探索精靈。

  • 問題
    探索精靈會在嘗試安裝代理程式時發現下列其中一個錯誤:
    • 作業:代理程式安裝
      錯誤碼:800706D9
    • 錯誤描述:不明的錯誤 0xC000296E
    • 錯誤描述:不明的錯誤 0xC0002976
    • 錯誤碼: 80070643
      錯誤描述:安裝期間發生嚴重錯誤。


    原因
    • 先前指定要在探索精靈中執行代理程式安裝的帳戶,將需要具有遠端連線至目標電腦以及安裝 Windows 服務的權限。這需要本機系統管理員權限,因為有寫入至登錄的需求。
    • 管理伺服器電腦帳戶,或用於代理程式發送之帳戶上的群組原則限制可能會防止安裝成功。Active Directory 中的 [群組原則物件] 會防止管理伺服器電腦帳戶或使用者帳戶 (供 [探索精靈] 使用) 遠端存取目標電腦上的 Windows 資料夾、登錄、WMI 或系統管理共用,以防止成功部署 Operations Manager 代理程式。
    • Windows 防火牆正在封鎖管理伺服器與目標電腦之間的連接埠。
    • 目標電腦上的必要服務並未執行。


    可能的解決方法
    • 如果精靈中指定的認證沒有本機系統管理員權限,請將帳戶新增至目標電腦上的本機 Administrators 安全性群組,或使用已為該群組成員的帳戶。
    • 封鎖目標電腦上的群組原則繼承或執行安裝的使用者帳戶。

    • 如果代理程式安裝在使用網域帳戶從管理伺服器發送代理程式時失敗,則使用 Windows 系統管理工具可能有助於識別潛在問題。使用有問題的認證登入管理伺服器,並嘗試執行下列工作。如果帳戶沒有登入管理伺服器的權限,則可以使用要從命令提示字元測試的認證來執行工具。
      • "RUNAS /user:<使用者名稱> compmgmt.msc"。從 [動作] 功能表項目中,選取 [連線到另一台電腦]。瀏覽或輸入遠端電腦名稱。嘗試開啟事件檢視器,並瀏覽任何事件記錄檔。
      • "RUNAS /user:<使用者名稱>services.msc"。從 [動作] 功能表項目中,選取 [連線到另一台電腦]。瀏覽或輸入遠端電腦名稱。嘗試啟動或停止目標電腦上的列印多工緩衝處理器或任何其他服務。
      • "RUNAS /user:<使用者名稱> regedt32.exe"。從 [檔案] 功能表項目中,選取 [連線網路登錄]。瀏覽或輸入遠端電腦名稱。嘗試開啟遠端機器上的 "HKey_Local_Machine"。
      • "RUNAS /user:<使用者名稱>Explorer.exe"。在 [網址] 列中輸入下列命令:\\admin$

        如果其中任何工作失敗,請嘗試使用已知具有 [網域系統管理員] 或 [本機系統管理員] (在目標電腦上) 權限的不同帳戶。也請從成員伺服器或工作站嘗試相同的工作,以確認來自多部機器的工作失敗。
        連線至 admin$ 共用失敗,可能會防止管理伺服器將設定檔案複製至目標。連線至目標上的 Windows 登錄失敗,可能導致未正確地安裝健康情況服務。連線至服務控制管理員失敗,將防止安裝程式啟動服務。
    • 必須在管理伺服器與目標電腦之間開啟下列連接埠:
      • RPC 端點對應程式連接埠號碼:135 通訊協定:TCP/UDP
      • *RPC/DCOM 高連接埠 (2000/2003 OS) 連接埠 1024-5000 通訊協定:TCP/UDP
      • *RPC/DCOM 高連接埠 (2008 OS) 連接埠 49152-65535 通訊協定:TCP/UDP
      • NetBIOS 名稱服務連接埠號碼:137 通訊協定:TCP/UDP
      • NetBIOS 工作階段服務連接埠號碼:139 通訊協定:TCP/UDP
      • SMB over IP 連接埠號碼:445 通訊協定:TCP
      • MOM 通道連接埠號碼:5723 通訊協定:TCP/UDP
    • 必須在目標電腦上啟用並執行下列服務:
      • Netlogon
      • 遠端登錄
      • Windows Installer
      • 自動更新

下列各文章提供使用從管理伺服器進行探索來部署 Operations Manager 代理程式的一些不錯背景:

如何使用代理程式設定精靈部署 Operations Manager 2007 代理程式
OpsMgr 2007 中的電腦探索運作方式
OpsMgr 2007 中的代理程式探索及發送疑難排解
主控台型代理程式部署疑難排解表
在 SCOM 2012 中管理探索和代理程式

透過 Operations Manager 命令殼層進行代理程式部署疑難排解
在部分情況下,自動探索潛在代理程式可能會因 Active Directory 環境過大或太複雜而逾時。其他情況可能需要使用限制超過 UI 中可用查詢的 LDAP 查詢來執行自動探索。在這些情況下,您可以透過 Operations Manager 命令殼層自動探索電腦以及遠端安裝 Operations Manager 代理程式。下列部落格文章提供這項作業所需的語法:

透過 Powershell 探索 Windows 電腦

透過詳細資訊 Windows Installer 記錄進行代理程式部署疑難排解
如果在安裝期間於遠端電腦上安裝代理程式失敗,則可能會在管理伺服器的下列預設位置中建立詳細資訊 Windows Installer 記錄:

C:\Program Files\System Center Operations Manager <版本>\AgentManagement\AgentLogs

其中 <版本> 是 2007 或 2012

記錄可以用來判斷是否發生特定錯誤,以及可能適用於進一步疑難排解目標電腦上的 Operations Manager 代理程式安裝。

尋找記錄中具有字串 "Return Value 3" 的第一個項目。前面幾行通常指出 Windows Installer 發現的錯誤。格式通常為形式 "function / description of error / error return code",而且可以指出權限問題、遺漏檔案或其他需要變更的設定。範例:

  • 錯誤訊息
    ConvertStringSecurityDescriptorToSecurityDescriptor 失敗: 87

    可能原因
    安裝帳戶沒有目標電腦上安全性記錄檔的權限

  • 錯誤訊息
    ModifyEventLogAccessForNetworkService():無法授與 SecurityLog 的讀取權:0x00000057

    可能原因:
    安裝帳戶沒有目標電腦上安全性記錄檔的權限

  • 錯誤訊息
    無法開啟資料庫檔案。系統錯誤 -2147024629

    可能原因
    安裝帳戶沒有系統 TEMP 資料夾的權限

可能有許多的錯誤可以記錄在這裡。可以在 TechNet 或線上知識庫上進一步研究其他個別錯誤。

進行 Operations Manager 代理程式手動安裝疑難排解
如果無法透過 [探索精靈] 將 Operations Manager 代理程式部署至遠端電腦,則需要手動安裝代理程式。這可以透過在命令列中使用 MomAgent.msi 檔案來執行。下列參考說明可用來執行手動安裝的各種參數和組態選項:

如何在命令列中使用 MOMAgent.msi 部署 Operations Manager 2007 代理程式
Windows 代理程式安裝 MSI 使用案例和命令
在 Operations Manager 2007 中處理手動代理程式安裝

如何使用命令列部署 Operations Manager 2012 代理程式

在 Operations Manager 2012 中處理手動代理程式安裝

在 Operations Manager 2012 中使用 MOMAgent 命令管理代理程式的範例

如果透過手動安裝部署代理程式,則也需要手動部署未來的 Service Pack 更新或累積更新。System Center 組態管理服務不會將手動安裝的電腦指定為可遠端管理,而且升級它們的選項將不會呈現在 Operations 主控台中。

其他在手動安裝代理程式期間的重要考量:

  • 如果網域或本機使用者正在執行安裝,則帳戶需要是 Vista 或更新作業系統中本機 Administrators 安全性群組的成員。在 Vista 之前的作業系統中,已是 "Power Users" 安全性群組成員的使用者具有安裝服務所需的權限。
  • 如果正在透過組態管理員部署代理程式,則需要以 Localsystem (預設值) 身分或在本機系統管理員的內容下執行組態管理員代理程式服務帳戶。

在 Windows Installer 安裝記錄檔中,可以識別防止手動安裝代理程式的錯誤。下列命令可以用來啟用 Operations Manager 代理程式安裝的詳細資訊 Windows Installer 記錄:
msiexec.exe /i "MOMAgent.msi" /l*v "C:\Agent\MOMAgent_install.log"

或者,下列文章說明如何在 Windows 電腦上全域啟用詳細資訊 Windows Installer 記錄:
如何啟用 Windows Installer 記錄

記錄可以用來判斷是否發生特定錯誤,以及可能適用於進一步疑難排解目標電腦上的 Operations Manager 代理程式安裝。

尋找記錄中具有字串 "Return Value 3" 的第一個項目。前面幾行通常指出 Windows Installer 發現的錯誤。格式通常為形式 "function / description of error / error return code",而且可以指出權限問題、遺漏檔案或其他需要變更的設定。

範例:

  • 錯誤訊息
    ConvertStringSecurityDescriptorToSecurityDescriptor 失敗: 87

    可能原因
    安裝帳戶沒有目標電腦上安全性記錄檔的權限

  • 錯誤訊息
    ModifyEventLogAccessForNetworkService():無法授與 SecurityLog 的讀取權:0x00000057

    可能原因:
    安裝帳戶沒有目標電腦上安全性記錄檔的權限

  • 錯誤訊息
    無法開啟資料庫檔案。系統錯誤 -2147024629

    可能原因
    安裝帳戶沒有系統 TEMP 資料夾的權限

可能有許多的錯誤可以記錄在這裡。其他個別錯誤可以在下列位置進行進一步研究: TechNet線上知識庫

其他相關資訊
本文適用於所有 System Center Operations Manager 2007 (OpsMgr 2007) 版本和所有 System Center 2012 Operations Manager (OpsMgr 2012) 版本。
注意 :本文屬於「快速發佈」文章,係由 Microsoft 技術支援或組織內部直接建立。 本文所包含的資訊是為了回應新問題而依現況提供。 因此為了迅速對外發佈,文章內容可能含有印刷錯誤,而且可能會在不另行通知的情況下進行修改。 如需其他考量事項,請參閱使用規定
內容

文章識別碼:2566152 - 最後檢閱時間:10/06/2015 16:48:00 - 修訂: 1.0

Microsoft System Center Operations Manager 2007, Microsoft System Center Operations Manager 2007 R2, Microsoft System Center Operations Manager 2007 Service Pack 1, Microsoft System Center 2012 Operations Manager, Microsoft System Center 2012 Operations Manager Service Pack 1

  • kbtshoot KB2566152
意見反應