Operations Manager でのエージェントの接続に関する問題のトラブルシューティング
このガイドは、Operations Manager エージェントが System Center 2012 Operations Manager (OpsMgr 2012) 以降のバージョンの管理サーバーへの接続に問題がある問題のトラブルシューティングに役立ちます。
Operations Manager エージェントと管理サーバーとの通信方法の詳細については、「エージェントと管理サーバー間の エージェント と通信」を参照 してください。
元の製品バージョン: System Center 2012 Operations Manager
元の KB 番号: 10066
正常性サービスを確認する
Operations Manager で接続の問題が発生した場合は、まず、クライアント エージェントと管理サーバーの両方で正常性サービスがエラーなしで実行されていることを確認します。 サービスが実行されているかどうかを判断するには、次の手順に従います。
Windows キーを押しながら R キーを押します。
[ 実行 ] ボックスに「」と入力
services.mscし、Enter キーを押します。Microsoft Monitoring Agent サービスを探し、ダブルクリックして [プロパティ] ページを開きます。
注:
System Center 2012 Operations Manager では、サービス名は System Center Management です。
[スタートアップの種類] が [自動] に設定されていることを確認します。
[サービスの状態] に [開始] が表示されているかどうかを確認します。 開始されていなければ、[開始] をクリックします。
ウイルス対策の除外を確認する
Health Service が稼働している場合、次にウイルス対策の除外が適切に構成されていることを確認します。 Operations Manager に推奨されるウイルス対策除外の最新情報については、「 Operations Manager に関連するウイルス対策除外の推奨事項」を参照してください。
ネットワークの問題を確認する
Operations Manager では、エージェント コンピューターが管理サーバーの TCP ポート 5723 に正常に接続できる必要があります。 これが失敗した場合は、クライアント エージェントでイベント ID 21016 と 21006 を受け取る可能性があります。
TCP ポート 5723 に加えて、次のポートを有効にする必要があります。
- LDAP 用の TCP および UDP ポート 389
- Kerberos 認証用の TCP および UDP ポート 88
- ドメイン ネーム サービス (DNS) の TCP ポートと UDP ポート 53
さらに、ネットワーク経由で RPC 通信が正常に完了したことを確認する必要があります。 RPC 通信に関する問題は、通常、管理サーバーからエージェントをプッシュするときに発生します。 通常、RPC 通信の問題により、クライアント プッシュが失敗し、次のようなエラーが発生します。
Operation Manager サーバーは、コンピューター agent1.contoso.com で指定された操作を実行できませんでした。
操作: エージェントのインストール
アカウントのインストール: contoso\Agent_action
エラー コード: 800706BA
エラーの説明: RPC サーバーが使用できません
このエラーは通常、標準以外のエフェメラル ポートが使用されている場合、またはエフェメラル ポートがファイアウォールによってブロックされている場合に発生します。 たとえば、標準以外の高範囲 RPC ポートが構成されている場合、ネットワーク トレースには RPC ポート 135 への正常な接続が表示され、その後、15595 などの標準以外の RPC ポートを使用した接続試行が表示されます。 例を次に示します。
18748 MS エージェント TCP TCP: Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 MS エージェント TCP TCP:[SynReTransmit #18748] Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS エージェント TCP TCP:[SynReTransmit #18748] Flags=......S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
この例では、この標準以外の範囲のポート除外がファイアウォールで構成されていないため、パケットは破棄され、接続は失敗します。
Windows Vista 以降のバージョンでは、RPC のハイ レンジ ポートは 49152-65535 であるため、探す必要があります。 これが問題であるかどうかを確認するには、次のコマンドを実行して、どの RPC の高いポート範囲が構成されているかを確認します。
netsh int ipv4 show dynamicportrange tcp
IANA 標準によると、出力は次のようになります。
プロトコル tcp ダイナミック ポート範囲
---------------------------------
開始ポート: 49152
ポート数 : 16384
別の スタート ポートが表示される場合、問題は、これらのポート経由のトラフィックを許可するようにファイアウォールが正しく構成されていない可能性があります。 ファイアウォールの構成を変更するか、次のコマンドを実行して、高範囲ポートを既定値に戻すことができます。
netsh int ipv4 set dynamicport tcp start=49152 num=16384
レジストリを使用して RPC ダイナミック ポート範囲を構成することもできます。 詳細については、「 ファイアウォールで動作するように RPC 動的ポート割り当てを構成する方法」を参照してください。
すべてが正しく構成されていて、エラーが引き続き発生する場合は、次のいずれかの条件が原因である可能性があります。
DCOM は特定のポートに制限されています。 を実行
dcomcnfg.exeして確認するには、[マイ コンピューター>のプロパティ] [既定のプロトコル]> に移動し、カスタム設定がないことを確認します。WMI は、カスタム エンドポイントを使用するように構成されています。 WMI 用に構成された静的エンドポイントがある場合にチェックするには、 を実行
dcomcnfg.exeし、[My Computer DCOM Config Windows Management and Instrumentation Properties Endpoints]\(My Computer>DCOM ConfigWindows Management and Instrumentation>Properties>Endpoints\) > に移動し、カスタム設定がないことを確認します。エージェント コンピューターは、Exchange Server 2010 クライアント アクセス サーバーの役割を実行しています。 Exchange Server 2010 クライアント アクセス サービスは、ポート範囲を 6005 から 65535 に変更します。 大規模なデプロイに十分なスケーリングを提供するために、範囲が拡張されました。 結果を完全に理解せずに、これらのポート値を変更しないでください。
ポートとファイアウォールの要件の詳細については、「 ファイアウォール」を参照してください。 必要最小限のネットワーク接続速度については、同じ記事を参照してください。
注:
ネットワークの問題のトラブルシューティングは非常に大きな問題であるため、基になるネットワークの問題が Operations Manager でエージェントの接続の問題を引き起こしていると思われる場合は、ネットワーク エンジニアに相談することをお勧めします。 また、Windows Directory Services サポート チームから入手できる基本的な一般化されたネットワークトラブルシューティング情報については、「 NetMon を使用しないネットワークのトラブルシューティング」を参照してください。
ゲートウェイ サーバーで証明書の問題を確認する
Operations Manager では、クライアント エージェントと管理サーバー間で情報を交換する前に、相互認証を実行する必要があります。 認証プロセスをセキュリティで保護するために、プロセスは暗号化されます。 エージェントと管理サーバーが同じ Active Directory ドメイン、または信頼関係を確立した Active Directory ドメインに存在する場合、Active Directory によって提供される Kerberos v5 認証メカニズムを使用します。 エージェントと管理サーバーが同じ信頼境界内にない場合は、セキュリティで保護された相互認証要件を満たすために他のメカニズムを使用する必要があります。
Operations Manager では、これは各コンピューターに対して発行された X.509 証明書を使用して実現されます。 エージェントで監視されるコンピューターが多数ある場合、これらの証明書をすべて管理するための管理オーバーヘッドが高くなる可能性があります。 さらに、エージェントと管理サーバーの間にファイアウォールがある場合は、それらの間の通信を許可するために、ファイアウォール規則で複数の承認されたエンドポイントを定義して維持する必要があります。
管理オーバーヘッドを減らすために、Operations Manager にはゲートウェイ サーバーと呼ばれるオプションのサーバー ロールがあります。 ゲートウェイ サーバーはクライアント エージェントの信頼境界内にあり、必須の相互認証に参加できます。 ゲートウェイはエージェントと同じ信頼境界内にあるため、エージェントとゲートウェイ サーバーの間で Active Directory 用 Kerberos v5 プロトコルが使用され、各エージェントは認識されているゲートウェイ サーバーとのみ通信します。
ゲートウェイ サーバーは、クライアントの代わりに管理サーバーと通信します。 ゲートウェイ サーバーと管理サーバー間の必須のセキュリティで保護された相互認証をサポートするには、証明書を発行してインストールする必要がありますが、ゲートウェイと管理サーバーに対してのみ証明書をインストールする必要があります。 これにより、必要な証明書の数が減ります。 介在するファイアウォールの場合は、ファイアウォール規則で定義する必要がある承認されたエンドポイントの数も減ります。
ここでの重要な点は、クライアント エージェントと管理サーバーが同じ信頼境界内に存在しない場合、またはゲートウェイ サーバーを使用する場合は、エージェント接続が正常に機能するために必要な証明書をインストールして正しく構成する必要があるということです。 チェックする重要な点を次に示します。
ゲートウェイまたはエージェントが接続している管理サーバー上のローカル コンピューター>の個人用>証明書にゲートウェイ証明書が存在することを確認します。
ゲートウェイまたはエージェントが接続している管理サーバー上のローカル コンピューター>信頼されたルート証明機関>証明書にルート証明書が存在することを確認します。
ゲートウェイ サーバーのローカル コンピューター>信頼されたルート証明機関>証明書にルート証明書が存在することを確認します。
ゲートウェイ証明書がゲートウェイ サーバー上の ローカル コンピューター>の個人用>証明書 に存在することを確認します。 ゲートウェイ証明書がゲートウェイ サーバーの ローカル コンピューター>Operations Manager>証明書 に存在することを確認します。
レジストリ値
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumberが存在し、([ シリアル番号 ] フィールドの詳細内の [ローカル コンピューター/個人/証明書] フォルダーから) 証明書の値がゲートウェイ サーバー上で逆になっていることを確認します。レジストリ値
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumberが存在し、ゲートウェイまたはエージェントが接続している管理サーバー上の証明書の値 ([ シリアル番号 ] フィールドの詳細内の [ローカル コンピューター/個人用/証明書] フォルダーから) が逆になっていることを確認します。
証明書に問題がある場合、Operations Manager イベント ログに次のイベント ID が表示される場合があります。
- 20050
- 20057
- 20066
- 20068
- 20069
- 20072
- 20077
- 21007
- 21021
- 21002
- 21036
Operations Manager での証明書ベースの認証機能の詳細と、適切な証明書を取得して構成する方法の手順については、「 Windows コンピューターの認証とデータ暗号化」を参照してください。
クライアント エージェントで不整合な名前空間を確認する
不整合な名前空間は、クライアント コンピューターに、クライアントが属する Active Directory ドメインの DNS 名と一致しないプライマリ DNS サフィックスがある場合に発生します。 たとえば、na.corp.contoso.com という名前の Active Directory ドメインで corp.contoso.com のプライマリ DNS サフィックスを使用するクライアントは、不整合な名前空間を使用しています。
クライアント エージェントまたは管理サーバーに不整合な名前空間がある場合、Kerberos 認証が失敗する可能性があります。 これは Active Directory の問題であり、Operations Manager の問題ではありませんが、エージェントの接続に影響します。
詳細については、「 名前空間の不整合」を参照してください。
この問題を解決するには、次のいずれかの方法を使用します。
方法 1
影響を受けるコンピューター アカウントに適切なサービス プリンシパル名 (SPN) を手動で作成し、完全修飾ドメイン名 (FQDN) のホスト SPN と、不整合な名前サフィックス (HOST/machine.disjointed_name_suffix.local) を含めます。 また、コンピューターの属性を DnsHostName 更新して、不整合な名前 (machine.disjointed_name_suffix.local) を反映し、Active Directory が使用する DNS サーバー上の有効な DNS ゾーン内の属性の登録を有効にします。
方法 2
不整合な名前空間を修正します。 これを行うには、影響を受けるコンピューターのプロパティの名前空間を、コンピューターが属するドメインの FQDN を反映するように変更します。 環境に変更を加える前に、これを行った結果を十分に認識していることを確認してください。 詳細については、「 不整合な名前空間から連続する名前空間への移行」を参照してください。
低速なネットワーク接続を確認する
クライアント エージェントが低速ネットワーク接続を介して実行されている場合は、認証のタイムアウトがハードコーディングされているため、接続の問題が発生する可能性があります。 この問題を解決するには、System Center 2012 Operations Manager SP1 更新プログラムロールアップ 8 をインストールし (System Center 2012 R2 Operations Manager をまだ使用していない場合)、タイムアウト値を手動で変更します。
UR8 更新プログラムは、サーバーのタイムアウトを 20 秒に、クライアントのタイムアウトを 5 分に増やします。
詳細については、「 System Center 2012 Operations Manager Service Pack 1 の更新プログラムロールアップ 8」を参照してください。
注:
この問題は、クライアント エージェントと管理サーバーの間に時刻同期の問題がある場合にも発生する可能性があります。
OpsMgr コネクタの問題を確認する
他のすべてがチェックアウトされた場合は、OpsMgr コネクタによって生成されたすべてのエラー イベントについて Operations Manager イベント ログをチェックします。 さまざまな OpsMgr コネクタ イベントの一般的な原因と解決策を次に示します。
クライアント エージェントにイベント ID 21006 と 21016 が表示される
これらのイベントの例:
ソース: OpsMgr コネクタ
日付: 時刻
イベント ID: 21006
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明: OpsMgr コネクタを ManagementServer>:5723 に<接続できませんでした。 エラー コードは 10060L です (接続されたパーティが一定期間後に適切に応答しなかったために接続試行が失敗したか、接続されたホストが応答に失敗したために確立された接続が失敗しました)。 ネットワーク接続があり、サーバーが実行されており、リッスンポートが登録されており、宛先へのトラフィックをブロックするファイアウォールがないことを確認してください。
ログ名: Operations Manager
ソース: OpsMgr コネクタ
日付: 時刻
イベント ID: 21016
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明: OpsMgr が ManagementServer> への通信チャネルを<設定できず、フェールオーバー ホストがありません。 ManagementServer> が使用可能で、このコンピューターからの通信が許可されると<、通信が再開されます。
通常、これらのイベント ID は、エージェントが構成を受信していないために生成されます。 新しいエージェントが追加され、構成される前に、このイベントが一般的になります。 エージェントの Operations Manager イベント ログのイベント 1210 は、エージェントが構成を受信して適用したことを示します。 このイベントは、通信が確立された後に受け取ります。
次の手順を使用して、この問題のトラブルシューティングを行うことができます。
手動でインストールされたエージェントの自動承認が有効になっていない場合は、エージェントが承認されていることを確認します。
通信に対して次のポートが有効になっていることを確認します。
- 5723 および TCP および UDP ポート 389 for LDAP。
- Kerberos 認証用の TCP および UDP ポート 88。
- DNS サーバーの TCP ポートと UDP ポート 53。
このイベントは、Kerberos 認証が失敗していることを示している可能性があります。 イベント ログで Kerberos エラーを確認し、トラブルシューティングを行います。
DNS サフィックスに正しくないドメインがあるかどうかを確認します。 たとえば、コンピューターは contoso1.com に参加していますが、プライマリ DNS サフィックスは contoso2.com に設定されています。
既定のドメイン名レジストリ キーが正しいことを確認します。 確認するには、次のレジストリ キーがドメイン名と一致していることを確認します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainNameHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain
正常性サービスの SPN が重複すると、イベント ID 21016 が発生する可能性もあります。 重複する SPN を見つけるには、次のコマンドを実行します。
setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>重複する SPN が登録されている場合は、管理サーバー Health Service に使用されていないアカウントの SPN を削除する必要があります。
管理サーバーにイベント ID 20057 が表示される
このイベントの例:
ログ名: Operations Manager
ソース: OpsMgr コネクタ
日付: 時刻
イベント ID: 20057
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:ターゲット MSOMHSvc/******のセキュリティ コンテキストを初期化できませんでした。返されるエラーは0x80090311です (認証に対して権限を問い合わせませんでした)。 このエラーは、Kerberos パッケージまたは SChannel パッケージに適用できます。
イベント ID 21006、21016、20057 は、通常、必要なポート経由の通信を妨げているファイアウォールまたはネットワークの問題によって発生します。 この問題をトラブルシューティングするには、クライアント エージェントと管理サーバーの間のファイアウォールをチェックします。 正しい認証と通信を有効にするには、次のポートを開く必要があります。
- LDAP 用の TCP および UDP ポート 389。
- Kerberos 認証用の TCP および UDP ポート 88。
クライアント エージェントにイベント ID 2010 と 2003 が表示される
これらのイベントの例:
ログ名: Operations Manager
ソース: HealthService
日付: データ
イベント ID: 2010
タスク カテゴリ: Health Service
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明: Health Service は Active Directory に接続して管理グループ ポリシーを取得できません。 エラーが未指定のエラー (0x80004005)
Event Xml:
<イベント xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<システム>
<プロバイダー名="HealthService" />
<EventID 修飾子="49152">2010/<EventID>
<レベル>2</レベル>
<タスク>1</タスク>
<キーワード>0x80000000000000</キーワード>
<TimeCreated SystemTime="2015-02-21T21:06:04.000000000Z" />
<EventRecordID>84143</EventRecordID>
<チャネル>Operations Manager</チャネル>
<Computer>ComputerName</Computer>
<セキュリティ/>
</システム>
<EventData>
<データ>指定なしエラー</データ>
<データ>0x80004005</データ>
</EventData>
</イベント>
ログ名: Operations Manager
ソース: HealthService
日付: 時刻
イベント ID: 2003
タスク カテゴリ: Health Service
レベル: 情報
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明: 管理グループは開始されませんでした。 これは、管理グループが現在構成されていないか、構成された管理グループの開始に失敗したためである可能性があります。 Health Service は、管理グループの実行を構成する Active Directory からのポリシーを待機します。
Event Xml:
<イベント xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<システム>
<プロバイダー名="HealthService" />
<EventID 修飾子="16384">2003/<EventID>
<レベル>4</レベル>
<タスク>1</タスク>
<キーワード>0x80000000000000</キーワード>
<TimeCreated SystemTime="2015-02-21T21:06:04.000000000Z" />
<EventRecordID>84156</EventRecordID>
<チャネル>Operations Manager</チャネル>
<Computer>ComputerName</Computer>
<セキュリティ/>
</システム>
<EventData>
</EventData>
</イベント>
エージェントが Active Directory 割り当てを使用している場合、イベント ログは Active Directory との通信に問題があることを示します。
これらのイベント ログが表示される場合は、クライアント エージェントが Active Directory にアクセスできることを確認します。 ファイアウォール、名前解決、一般的なネットワーク接続を確認します。
イベント ID 20070 とイベント ID 21016 の組み合わせ
これらのイベントの例:
ログ名: Operations Manager
ソース: OpsMgr コネクタ
日付: 2014 年 6 月 13 日午後 10:13:39
イベント ID: 21016
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr は ComputerName> への通信チャネルを<設定できず、フェールオーバー ホストがありません。 ComputerName> が使用可能で、このコンピューターからの通信が許可されると<、通信が再開されます。
ログ名: Operations Manager
ソース: OpsMgr コネクタ
日付: 2014 年 6 月 13 日午後 10:13:37
イベント ID: 20070
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
ComputerName> に<接続されている OpsMgr コネクタが、認証が発生した直後に接続が閉じられました。 このエラーの最も可能性の高い原因は、エージェントがサーバーとの通信を許可されていないか、サーバーが構成を受け取っていないということです。 サーバー上のイベント ログに 20000 個のイベントがあるかどうかを確認します。承認されていないエージェントが接続を試みていることを示します。
これらのイベントが表示されると、認証が発生したが、接続が閉じられたことを示します。 これは通常、エージェントが構成されていないために発生します。 これを確認するために、イベント ID 20000 この管理グループに属していないデバイスがこの正常性サービスにアクセスしようとしたかどうかをチェック、管理サーバーで受信します。
これらのイベント ログは、クライアント エージェントが 保留中 の状態でスタックしていて、コンソールに表示されない場合にも発生する可能性があります。
確認するには、次のコマンドを実行して、エージェントが手動承認のために一覧表示されているかどうかをチェックします。
Get-SCOMPendingManagement
その場合は、次のコマンドを実行してエージェントを手動で承認することで、これを解決できます。
Get-SCOMPendingManagement| Approve-SCOMPendingManagement
クライアント エージェントにイベント ID 21023 が表示され、イベント ID 29120、29181、21024 が管理サーバーに表示されます
これらのイベントの例をいくつか次に示します。
ログ名: Operations Manager
ソース: OpsMgr コネクタ
イベント ID: 21023
タスク カテゴリ: なし
レベル: 情報
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr には管理グループ <GroupName> の構成がなく、構成サービスに新しい構成が要求されています。
ログ名: Operations Manager
ソース: OpsMgr 管理構成
イベント ID: 29120
タスク カテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr Management Configuration Service は、次の例外が原因で構成要求 (Xml 構成ファイルまたは管理パック要求) を処理できませんでした
ログ名: Operations Manager
ソース: OpsMgr 管理構成
イベント ID: 29181
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr Management Configuration Service が、次の例外のために 'GetNextWorkItem' エンジンの作業項目を実行できませんでした
ログ名: Operations Manager
ソース: OpsMgr 管理構成
イベント ID: 29181
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr 管理構成サービスが、次の例外のために 'LocalHealthServiceDirtyNotification' エンジンの作業項目を実行できませんでした
ログ名: Operations Manager
ソース: OpsMgr 管理構成
イベント ID: 21024
タスク カテゴリ: なし
レベル: 情報
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr の構成は、管理グループ <GroupName> の古い場合があり、構成サービスに更新された構成を要求しています。 current(out-of-date) state cookie is "5dae4442500c9d3f8f7a883e83851994,906af60d417fb1860b23ed67dd71:001662A3"
ログ名: Operations Manager
ソース: OpsMgr コネクタ
イベント ID: 29181
タスク カテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: <ComputerName>
説明:
OpsMgr Management Configuration Service は、次の例外により、"DeltaSynchronization" エンジン作業項目を実行できませんでした
これらのイベントは、デルタ同期プロセスが構成されたタイムアウト期間内に構成を 30 秒で構築できない場合に発生する可能性があります。 これは、インスタンス領域が大きい場合に発生する可能性があります。
この問題を解決するには、すべての管理サーバーでタイムアウトを増やします。 これを行うには、次のいずれかの方法を使用します。
方法 1
次のファイルのバックアップ コピーを作成します。
Drive:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config
タイムアウト値を増やします。
ConfigService.config次の変更を行います。を見つけて
<OperationTimeout DefaultTimeoutSeconds="30">、30 を 300 に変更します。
を見つけて<Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />、180 を 300 に変更します。構成サービスを再起動します。
ほとんどの場合、同期プロセスが完了するのに十分な時間が必要です。
方法 2
System Center 2012 R2 Operations Manager の 更新プログラムロールアップ 3 以降をインストールします。
System Center 2012 R2 Operations Manager を実行しているサーバーに次のレジストリ値を追加して、タイムアウトを構成します。
- レジストリ サブキー:
HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service - DWORD 名:
CommandTimeoutSeconds - DWORD 値: nn
注:
プレースホルダー nn の既定値は 30 秒です。 この値を変更して、差分同期のタイムアウトを制御できます。
- レジストリ サブキー:
その他の OpsMgr Connector イベント ID
その他の OpsMgr Connector エラー イベントと、対応するトラブルシューティングの提案を次に示します。
| イベント | 説明 | 詳細情報 |
|---|---|---|
| 20050 | 指定された拡張キー使用法が OpsMgr 要件を満たしていないため、指定された証明書を読み込めませんでした。 証明書には、%n %n サーバー認証 (1.3.6.1.5.5.7.3.1)%n クライアント認証 (1.3.6.1.5.5.7.3.2)%n が必要です。 | 証明書のオブジェクト識別子を確認します。 |
| 20057 | ターゲット %1 のセキュリティ コンテキストを初期化できませんでした。返されるエラーは %2(%3) です。 このエラーは、Kerberos パッケージまたは SChannel パッケージに適用できます。 | 重複または正しくない SPN がないか確認します。 |
| 20066 | 相互認証で使用する証明書が指定されました。 ただし、その証明書が見つかりませんでした。 この Health Service の通信機能が影響を受ける可能性があります。 | 証明書を確認します。 |
| 20068 | レジストリで HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 指定されている証明書は、証明書に使用可能な秘密キーが含まれていないか、秘密キーが存在しないため、認証に使用できません。 エラーは %1(%2) です。 |
秘密キーが見つからないか、関連付けられていないか確認します。 証明書を調査します。 証明書を再インポートするか、新しい証明書を作成してインポートします。 |
| 20069 | KeySpec をAT_KEYEXCHANGEする必要があるため、指定した証明書を読み込めませんでした | 証明書を確認します。 証明書のオブジェクト識別子を確認します。 |
| 20070 | %1 に接続されている OpsMgr コネクタ。 ただし、認証が発生した直後に接続が閉じられました。 このエラーの最も可能性の高い原因は、エージェントがサーバーとの通信を許可されていないか、サーバーが構成を受け取っていないということです。 サーバー上のイベント ログで、20000 イベントが存在するかどうかを確認します。 これらは、承認されていないエージェントが接続しようとしていることを示します。 | 認証が行われましたが、接続が閉じられました。 ポートが開かれていることを確認し、エージェントチェック承認待ちであることを確認します。 |
| 20071 | %1 に接続されている OpsMgr コネクタ。 ただし、認証が行われずに接続がすぐに閉じられました。 このエラーの最も可能性の高い原因は、このエージェントまたはサーバーの認証に失敗することです。 サーバーとエージェントのイベント ログで、認証に失敗したことを示すイベントを確認します。 | 認証に失敗しました。 ファイアウォールとポート 5723 を確認します。 エージェント コンピューターは、管理サーバーのポート 5723 に到達できる必要があります。 また、TCP & LDAP の場合は UDP ポート 389、Kerberos の場合はポート 88、DNS の場合はポート 53 が使用可能であることを確認します。 |
| 20072 | リモート証明書 %1 が信頼されていませんでした。 エラーは %2(%3) です。 | 証明書が信頼されたストアに存在するかどうかを確認します。 |
| 20077 | レジストリで HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 指定されている証明書は、プロパティ情報を照会できないため、認証に使用できません。 特定のエラーは %2(%3).%n %n です。 これは通常、証明書に秘密キーが含まれていないことを意味します。 証明書に秘密キーが含まれていることを確認するには、ダブルチェックしてください。 |
秘密キーが見つからないか、関連付けられていない。 証明書を調査します。 証明書を再インポートするか、新しい証明書を作成してインポートします。 |
| 21001 | 相互認証に失敗したため、OpsMgr コネクタを %1 に接続できませんでした。 SPN がサーバーに正しく登録されていることと、サーバーが別のドメインにある場合、2 つのドメイン間に完全な信頼関係があることを確認します。 | SPN 登録を確認します。 |
| 21005 | OpsMgr コネクタで %1 の IP を解決できませんでした。 エラー コードは %2(%3) です。 お使いの環境で DNS が正しく動作していることを確認してください。 | これは通常、名前解決の問題です。 DNS を確認します。 |
| 21006 | OpsMgr コネクタを %1:%2 に接続できませんでした。 エラー コードは %3(%4) です。 ネットワーク接続があること、サーバーが実行されていること、そのリッスン ポートが登録されていること、および宛先へのトラフィックをブロックしているファイアウォールがないことを確認してください。 | これは、一般的な接続の問題である可能性があります。 ファイアウォールを確認し、ポート 5723 が開かれていることを確認します。 |
| 21007 | OpsMgr コネクタは、信頼されたドメインにないため、%1 への相互認証接続を作成できません。 | 信頼が確立されていません。 証明書が正しく構成されていることを確認します。 |
| 21016 | OpsMgr で通信チャネルを %1 に設定できず、フェールオーバー ホストがありません。 %1 が使用可能で、このコンピューターからの通信が有効になっていると、通信が再開されます。 | これは通常、認証エラーを示します。 エージェントが監視の承認を受け、すべてのポートが開かれていることを確認します。 |
| 21021 | 証明書を読み込んだり作成したりすることはできません。 この正常性サービスは、他の正常性サービスと通信できません。 詳細については、イベント ログで以前のイベントを探します。 | 証明書を確認します。 |
| 21022 | 証明書が指定されませんでした。 この正常性サービスは、これらの正常性サービスがこのドメインと信頼関係を持つドメイン内にある場合を除き、他の正常性サービスと通信できません。 この正常性サービスが信頼されていないドメインの正常性サービスと通信する必要がある場合は、証明書を構成してください。 | 証明書を確認します。 |
| 21035 | "%1" サービス クラスでのこのコンピューターの SPN の登録がエラー "%2" で失敗しました。これにより、この Health Service 間の Kerberos 認証が失敗する可能性があります。 | これは、SPN 登録に関する問題を示します。 Kerberos 認証の SPN を調査します。 |
| 21036 | のレジストリ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings で指定されている証明書を認証に使用することはできません。 エラーは %1(%2) です。 |
通常、これは秘密キーがないか関連付けられていない秘密キーです。 証明書を調査します。 証明書を再インポートするか、新しい証明書を作成してインポートします。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示