解决 Operations Manager 中的代理连接问题

本指南可帮助你解决 Operations Manager 代理在连接到 System Center 2012 Operations Manager (OpsMgr 2012) 及更高版本中的管理服务器时出现问题的问题。

若要了解有关 Operations Manager 代理及其与管理服务器通信的方式,请参阅 代理和 代理与管理服务器 之间的通信

原始产品版本:  System Center 2012 Operations Manager
原始 KB 编号:   10066

检查运行状况服务

每当在 Operations Manager 中遇到连接问题时,首先运行状况服务客户端代理和管理服务器上运行时没有错误。 若要确定服务是否正在运行,请按照以下步骤操作:

  1. 按Windows键+R。

  2. 在" 运行" 框中, services.msc 键入 并按 Enter。

  3. 找到 Microsoft Monitoring Agent 服务,然后双击它以打开"属性 " 页。

    备注

    在 System Center 2012 Operations Manager 中,服务名称是 System Center Management

  4. 确保"启动 类型" 设置为"自动 "。

  5. 检查服务 状态 中是否 显示"已启动"。 否则,单击“启动”。

检查防病毒排除项

如果运行状况服务正在运行,下一步就是确认防病毒排除项已正确配置。 有关 Operations Manager 建议的防病毒排除项的最新信息,请参阅推荐 Operations Manager) 的防病毒排除项。

检查网络问题

在 Operations Manager 中,代理计算机必须能够成功连接到管理服务器上 TCP 端口 5723。 如果失败,你很可能会在客户端代理上收到事件 ID 21016 和 21006。

除了 TCP 端口 5723 之外,还必须启用以下端口:

  • 用于 LDAP 的 TCP 和 UDP 端口 389
  • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88
  • 用于 DNS 服务的 TCP 和 UDP 端口 53 (DNS)

此外,必须确保 RPC 通信通过网络成功完成。 RPC 通信问题通常在从管理服务器推送代理时自行显示。 RPC 通信问题通常会导致客户端推送失败,并出现类似于以下的错误:

操作管理器服务器无法对计算机执行指定的 agent1.contoso.com。

操作:代理安装
安装帐户:contoso\Agent_action
错误代码:800706BA
错误描述:RPC 服务器不可用

此错误通常在使用非标准临时端口或临时端口被防火墙阻止时发生。 例如,如果已配置非标准高范围 RPC 端口,则网络跟踪将显示成功连接到 RPC 端口 135,然后尝试使用非标准 RPC 端口(如 15595)进行连接尝试。 示例如下:

18748 MS 代理 TCP TCP:Flags=CE...。S.,SrcPort=52457,DstPort=15595,PayloadLen=0,Seq=1704157139,Ack=0,Win=8192
18750 MS 代理 TCP TCP:[SynReTransmit #18748] Flags=CE....S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS 代理 TCP TCP:[SynReTransmit #18748] Flags=...S.,SrcPort=52457,DstPort=15595,PayloadLen=0,Seq=1704157139,Ack=0,Win=8192

本示例中,由于防火墙上未配置此非标准范围的端口免除,因此数据包会丢弃,连接将失败。

在 Windows Vista 和更高版本中,RPC 高范围端口为 49152-65535,因此我们要查找此端口。 若要验证这是否是您的问题,请运行以下命令以查看配置了哪些 RPC 高端口范围:

netsh int ipv4 show dynamicportrange tcp

根据 IANA 标准,输出应如下所示:

协议 tcp 动态端口范围
---------------------------------
启动端口 : 49152
端口数 : 16384

如果看到不同的 "开始端口",则问题可能是防火墙未正确配置为允许通过这些端口的流量。 您可以更改防火墙上的配置,或运行以下命令将高范围端口设置回其默认值:

netsh int ipv4 set dynamicport tcp start=49152 num=16383

您还可以通过注册表配置 RPC 动态端口范围。 有关详细信息,请参阅 如何配置 RPC 动态端口分配以使用防火墙

如果一切似乎都配置正确,但仍遇到错误,这可能是由以下条件之一导致的:

  1. DCOM 已限制为特定端口。 若要验证,请 dcomcnfg.exe 运行 ,转到"我的计算机 属性""默认协议 > > ", 确保没有自定义设置。

  2. WMI 配置为使用自定义终结点。 若要检查是否配置了 WMI 的静态终结点,请运行 ,转到我的计算机 dcomcnfg.exe > DCOM 配置 Windows Management and > Instrumentation 属性终结点,确保没有 > > 自定义设置。

  3. 代理计算机正在运行 Exchange Server 2010 客户端访问服务器角色。 The Exchange Server Client Access service changes the port range to 6005 through 65535. 扩展了范围,为大型部署提供了足够的扩展。 如果不充分了解后果,请不要更改这些端口值。

有关端口和防火墙要求的信息,请参阅 防火墙。 还可以在同一篇文章中查找所需的最低网络连接速度。

备注

网络问题疑难解答是一个非常大的问题,因此,如果您怀疑基础网络问题导致 Operations Manager 中的代理连接问题,最好咨询网络工程师。 我们还从我们的 Windows Directory Services 支持团队提供了一些基本的一般网络疑难解答信息,请参阅在没有 NetMon的情况下对网络进行故障排除。

检查网关服务器的证书问题

Operations Manager 要求在客户端代理和管理服务器之间交换信息之前执行相互身份验证。 若要保护身份验证过程,请加密该过程。 当代理和管理服务器驻留在同一 Active Directory 域中或已建立信任关系的 Active Directory 域中时,他们将使用 Active Directory 提供的 Kerberos v5 身份验证机制。 当代理和管理服务器不在同一信任边界内时,必须使用其他机制来满足安全的相互身份验证要求。

在 Operations Manager 中,这是通过使用为每台计算机颁发的 X.509 证书完成的。 如果有许多代理监视的计算机,则可能会导致管理所有这些证书时产生高管理开销。 此外,如果代理和管理服务器之间存在防火墙,则必须在防火墙规则中定义和维护多个授权终结点,以允许它们之间的通信。

为了减少管理开销,Operations Manager 具有一个称为网关服务器的可选服务器角色。 网关服务器位于客户端代理的信任边界内,可以参与强制相互身份验证。 由于网关与代理位于相同的信任边界内,因此在代理和网关服务器之间使用适用于 Active Directory 的 Kerberos v5 协议,然后每个代理仅与它注意到的网关服务器通信。

然后网关服务器代表客户端与管理服务器通信。 为了支持网关服务器和管理服务器之间的强制安全相互身份验证,必须颁发和安装证书,但只能为网关和管理服务器颁发和安装证书。 这将减少所需的证书数量。 如果中间有防火墙,它还可以减少需要在防火墙规则中定义的授权终结点的数量。

此处的一个要点是,如果客户端代理和管理服务器不在同一信任边界内,或者使用了网关服务器,则必须正确安装和配置必要的证书,代理连接正常运行。 下面是一些需要检查的关键内容:

  • 确认网关证书存在于网关或代理所连接到的管理服务器上本地计算机 > > 个人证书中。

  • 确认根证书存在于网关或代理所连接到的管理服务器上本地计算机受信任根证书颁发 > > 机构中的证书中。

  • 确认根证书存在于网关服务器上本地 计算机 > 受信任根 证书 > 颁发机构中。

  • 确认网关证书存在于网关服务器上本地 计算机 > > 个人证书中。 确认网关证书存在于网关服务器上本地 计算机 > 操作 > 管理器证书中。

  • 确认注册表值存在,并且网关服务器上"序列号"字段) 中详细信息中"本地计算机/个人/证书"文件夹中具有证书 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber (的值。

  • 确认注册表值存在,并且具有来自"本地计算机/个人/证书"文件夹中"序列号"字段详细信息中的证书 (的值) 该详细信息在网关或代理所连接的管理服务器上反向显示。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber

当证书存在问题时,您可能会在 Operations Manager 事件日志中收到以下事件 ID:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

有关基于证书的身份验证在 Operations Manager 中如何工作以及如何获取和配置正确证书的说明,请参阅 Authentication and Data Encryption for Windows Computers。

检查客户端代理上的脱节命名空间

当客户端计算机的主 DNS 后缀与客户端所属的 Active Directory 域的 DNS 名称不匹配时,会发生脱节命名空间。 例如,在名为 corp.contoso.com 的 Active Directory 域中使用主 DNS 后缀 na.corp.contoso.com 使用脱节命名空间。

当客户端代理或管理服务器具有脱节命名空间时,Kerberos 身份验证可能会失败。 虽然这是 Active Directory 问题,而不是 Operations Manager 问题,但它确实会影响代理连接。

有关详细信息,请参阅脱 节命名空间

若要解决此问题,请使用下列方法之一:

方法 1

为受影响的计算机帐户手动创建适当的服务主体名称 (SPN) ,并包括完全限定域名 (FQDN) 的主机 SPN 以及脱节名称后缀 (HOST/machine.disjointed_name_suffix.local) 。 此外,更新计算机的属性以反映脱节名称 DnsHostName (machine.disjointed_name_suffix.local) 并启用 Active Directory 使用的 DNS 服务器上有效 DNS 区域中属性的注册。

方法 2

更正脱节命名空间。 为此,请更改受影响的计算机属性中的命名空间以反映计算机所属域的 FQDN。 在环境中做出任何更改之前,请确保您完全了解执行此操作的后果。 有关详细信息,请参阅从脱节 命名空间转换到连续命名空间

检查网络连接是否缓慢

如果客户端代理在慢速网络连接中运行,则可能会遇到连接问题,因为存在硬编码的身份验证超时。 若要解决此问题,请安装 System Center 2012 Operations Manager SP1 更新汇总 8 (假定您尚未使用 System Center 2012 R2 Operations Manager) ,然后手动更改超时值。

UR8 更新将服务器超时时间增加至 20 秒,将客户端超时增加至 5 分钟。

有关详细信息,请参阅Update Rollup 8 for System Center 2012 Operations Manager Service Pack 1。

备注

当客户端代理和管理服务器之间出现时间同步问题时,也会出现此问题。

检查 OpsMgr 连接器问题

如果其他所有内容都签出,请检查 Operations Manager 事件日志中是否有 OpsMgr 连接器生成的任何错误事件。 下面列出了各种 OpsMgr 连接器事件的常见原因和解决方法。

客户端代理上显示事件 ID 21006 和 21016

这些事件的示例:

源:OpsMgr 连接器
日期:时间
事件 ID:21006
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:OpsMgr 连接器无法连接到 <ManagementServer> :5723。 错误代码为 10060L (连接尝试失败,因为连接方在一段时间后没有正确响应,或者建立的连接失败,因为连接的主机无法响应。) 。 请确认存在网络连接,服务器正在运行,并且已注册其侦听端口,并且没有防火墙阻止到目标的流量。

日志名称:Operations Manager
源:OpsMgr 连接器
日期:时间
事件 ID:21016
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:OpsMgr 无法设置到 的通信通道,并且 <ManagementServer> 没有故障转移主机。 通信将在可用 <ManagementServer> 时恢复,并且允许来自此计算机的通信。

通常,由于代理尚未收到配置,因此会生成这些事件 ID。 在添加新代理之后和配置它之前,此事件很常见。 代理的 Operations Manager 事件日志中的事件 1210 指示代理已接收和应用的配置。 建立通信后,您将收到此事件。

可以使用以下步骤来解决此问题:

  1. 如果未启用手动安装的代理的自动审批,请确认代理已获得批准。

  2. 确保为通信启用以下端口:

    • 5723 和 TCP 和 UDP 端口 389(对于 LDAP)。
    • TCP 和 UDP 端口 88 用于 Kerberos 身份验证。
    • TCP 和 UDP 端口 53 用于 DNS 服务器。
  3. 此事件可能指示 Kerberos 身份验证失败。 检查事件日志中的 Kerberos 错误并排除故障。

  4. 检查 DNS 后缀的域是否不正确。 例如,计算机已加入 contoso1.com 但主 DNS 后缀设置为 contoso2.com。

  5. 确保默认域名注册表项正确无误。 若要验证,请确保以下注册表项与域名匹配:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain
  6. 重复的 SPN 运行状况服务也会导致事件 ID 21016。 若要查找重复的 SPN,请运行以下命令:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>
    

    如果注册了重复的 SPN,则必须删除未用于管理服务器帐户的 SPN 运行状况服务。

管理服务器上出现事件 ID 20057

此事件的示例:

日志名称:Operations Manager
源:OpsMgr 连接器
日期:时间
事件 ID:20057
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:未能初始化目标 MSOMHSvc/***的安全上下文。返回0x80090311 (无法联系任何颁发机构进行身份验证。) 。 此错误可能适用于 Kerberos 或 SChannel 程序包。

事件 ID 21006、21016 和 20057 通常是由阻止通过所需端口通信的防火墙或网络问题导致的。 若要解决此问题,请检查客户端代理和管理服务器之间的防火墙。 必须打开以下端口才能启用正确的身份验证和通信:

  • TCP 和 UDP 端口 389,用于 LDAP。
  • TCP 和 UDP 端口 88 用于 Kerberos 身份验证。

客户端代理上显示事件 ID 2010 和 2003

这些事件的示例:

日志名称:Operations Manager
源:HealthService
日期:数据
事件 ID:2010
任务类别:运行状况服务
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:运行状况服务 Active Directory 以检索管理组策略。 错误为 Unspecified 错误 (0x80004005)
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="HealthService" />
<EventID Qualifiers="49152">2010/<EventID>
<Level>2</Level>
<Task>1</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-02-21T21:06:04.000000000Z" />
<EventRecordID>84143</EventRecordID>
<Channel>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<Security />
</System>
<EventData>
<Data>未指定的错误</Data>
<Data>0x80004005</Data>
</EventData>
</Event>

日志名称:Operations Manager
源:HealthService
日期:时间
事件 ID:2003
任务类别:运行状况服务
级别:信息
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:未启动任何管理组。 这可能是因为当前未配置管理组或已配置的管理组启动失败。 此运行状况服务将等待配置管理组的 Active Directory 中的策略运行。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="HealthService" />
<EventID Qualifiers="16384">2003/<EventID>
<Level>4</Level>
<Task>1</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2015-02-21T21:06:04.000000000Z" />
<EventRecordID>84156</EventRecordID>
<Channel>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<Security />
</System>
<EventData>
</EventData>
</Event>

如果代理正在使用 Active Directory 分配,则事件日志还将指示与 Active Directory 通信出现问题。

如果看到这些事件日志,请确认客户端代理可以访问 Active Directory。 检查防火墙、名称解析和常规网络连接。

事件 ID 20070 与事件 ID 21016 结合使用

这些事件的示例:

日志名称:Operations Manager
源:OpsMgr 连接器
日期:6/13/2014 10:13:39 PM
事件 ID:21016
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
OpsMgr 无法设置到 的通信通道 <ComputerName> ,并且没有故障转移主机。 通信将在可用 <ComputerName> 时恢复,并且允许来自此计算机的通信。

日志名称:Operations Manager
源:OpsMgr 连接器
日期:6/13/2014 10:13:37 PM
事件 ID:20070
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
OpsMgr 连接器连接到 <ComputerName> ,但在身份验证发生后立即关闭连接。 导致此错误的最可能原因是代理无权与服务器通信,或者服务器尚未收到配置。 检查服务器上是否存在 20000 个事件的事件日志,指示未批准的代理正在尝试连接。

当你看到这些事件时,它指示身份验证已发生,但随后连接已关闭。 这通常是因为尚未配置代理。 若要验证这一点,请检查管理服务器上是否收到事件 ID 20000 未属于此管理组的设备已尝试访问此运行状况服务。

如果客户端代理卡在"挂起"状态且在控制台中不可见,则也会发生这些事件日志。

若要验证,请运行以下命令,检查是否列出了代理进行手动审批:

Get-SCOMPendingManagement

如果是这样,可以通过运行以下命令手动批准代理来解决此问题:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

事件 ID 21023 出现在客户端代理上,而事件 ID 29120、29181 和 21024 显示在管理服务器上

下面包含这些事件的一些示例。

日志名称:Operations Manager
源:OpsMgr 连接器
事件 ID:21023
任务类别:无
级别:信息
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
OpsMgr 没有配置管理组 <GroupName> ,并且正在从配置服务请求新配置。

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:29120
任务类别:无
级别:警告
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务 (Xml 配置文件或管理包请求) 配置请求

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:29181
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务无法执行"GetNextWorkItem"引擎工作项

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:29181
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务无法执行"LocalHealthServiceDirtyNotification"引擎工作项

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:21024
任务类别:无
级别:信息
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
OpsMgr 的配置对于管理组可能已过期,并且已请求从配置服务 <GroupName> 更新配置。 当前的 (过期) 状态 Cookie 为"5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3"

日志名称:Operations Manager
源:OpsMgr 连接器
事件 ID:29181
任务类别:无
级别:错误
关键字:经典
用户:N/A
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务未能执行"DeltaSynchronization"引擎工作项

当增量同步进程无法在 30 秒的配置超时时段内生成配置时,可能会发生这些事件。 当存在较大的实例空间时,可能会发生这种情况。

若要解决此问题,请增加所有管理服务器的超时。 为此,请使用下列方法之一:

方法 1

  1. 制作以下文件的备份副本:

    Drive:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. 通过以下更改增加 ConfigService.config 中的超时值:

    找到 <OperationTimeout DefaultTimeoutSeconds="30"> ,将 30 更改为 300
    找到 <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" /> ,将 180 更改为 300

  3. 重新启动配置服务。

在大多数情况下,这应该留出足够的时间来完成同步过程。

方法 2

  1. 安装适用于 System Center 2012 R2 Operations Manager 的更新汇总3或更高版本。

  2. 在运行 2012 R2 Operations Manager 的服务器上添加System Center注册表值以配置超时:

    • 注册表子项: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • DWORD 名称: CommandTimeoutSeconds
    • DWORD 值 :nn

    备注

    占位符 nn 的默认值为 30 秒。 可以更改此值以控制增量同步的超时。

其他 OpsMgr 连接器事件 ID

下面列出了其他 OpsMgr 连接器错误事件和相应的疑难解答建议:

事件 说明 更多信息
20050 指定的证书无法加载,因为指定的增强型密钥用法不符合 OpsMgr 要求。 证书必须具有以下使用类型:%n 服务器身份验证 (1.3.6.1.5.5.7.3.1) %n 客户端身份验证 (1.3.6.1.5.5.7.3.2) %n 确认证书上的对象标识符。
20057 初始化目标 %1 的安全上下文失败 返回的错误为 %2 (%3) 。 此错误可能适用于 Kerberos 程序包或 SChannel 程序包。 检查 SNS 是否重复或不正确。
20066 指定了用于相互身份验证的证书。 但是,找不到该证书。 此通信运行状况服务可能会受到影响。 检查证书。
20068 注册表中指定的 证书不能用于身份验证,因为证书不包含可用私钥或 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 私钥不存在。 错误为 %1 (%2) 。 检查缺少的私钥或未关联的私钥。 调查证书。 重新导入证书,或创建新的证书并导入。
20069 无法加载指定的证书,因为必须加载 keySpec AT_KEYEXCHANGE 检查证书。 检查证书上的对象标识符。
20070 连接到 %1 的 OpsMgr 连接器。 但是,身份验证发生后立即关闭连接。 导致此错误的最可能原因是代理无权与服务器通信,或者服务器尚未收到配置。 检查服务器上是否存在 20000 个事件的事件日志。 这些指示未批准的代理正在尝试连接。 身份验证发生,但连接已关闭。 确认端口已打开,并检查代理等待审批。
20071 连接到 %1 的 OpsMgr 连接器。 但是,连接立即关闭,未发生身份验证。 导致此错误的最可能原因是无法对此代理或服务器进行身份验证。 检查服务器和代理上的事件日志,了解指示身份验证失败的事件。 身份验证失败。 检查防火墙和端口 5723。 代理计算机必须能够访问管理服务器上端口 5723。 还要确认 TCP & UDP 端口 389(对于 LDAP)、端口 88(对于 Kerberos)和端口 53(对于 DNS)是否可用。
20072 远程证书 %1 不可信。 错误为 %2 (%3) 。 检查证书是否位于受信任存储中。
20077 注册表中指定的证书不能用于身份验证,因为无法查询证书 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 的属性信息。 特定错误为 %2 (%3) .%n % n。 这通常意味着证书中不包含任何私钥。 请仔细检查以确保证书包含私钥。 缺少或未关联的私钥。 调查证书。 重新导入证书,或创建新的证书并导入。
21001 OpsMgr 连接器无法连接到 %1,因为相互身份验证失败。 验证服务器上是否正确注册了 SPN,如果服务器位于单独的域中,两个域之间是否具有完全信任关系。 检查 SPN 注册。
21005 OpsMgr 连接器无法解析 %1 的 IP。 错误代码为 %2 (%3) 。 请验证 DNS 是否在你的环境中正常工作。 这通常是名称解析问题。 检查 DNS。
21006 OpsMgr 连接器无法连接到 %1:%2。 错误代码为 %3 (%4) 。 请确认存在网络连接、服务器正在运行且已注册其侦听端口,以及没有防火墙阻止到目标的流量。 这很可能是一个常规连接问题。 检查防火墙并确认端口 5723 已打开。
21007 OpsMgr 连接器无法创建与 %1 的相互身份验证连接,因为它不在受信任的域中。 未建立信任。 确认证书已就位且配置正确。
21016 OpsMgr 无法将通信通道设置为 %1,并且没有故障转移主机。 当 %1 可用并启用来自此计算机的通信时,通信将恢复。 这通常表示身份验证失败。 确认代理已批准进行监视,并且所有端口都打开。
21021 无法加载或创建任何证书。 此运行状况服务将无法与其他运行状况服务通信。 有关详细信息,请查找事件日志中以前的事件。 检查证书。
21022 未指定任何证书。 此运行状况服务无法与其他运行状况服务通信,除非这些运行状况服务与此域具有信任关系的域中。 如果此运行状况服务必须与不受信任的域中的运行状况服务通信,请配置证书。 检查证书。
21035 此计算机的 SPN 注册"%1"服务类失败,出现错误"%2"。 这可能会导致在此服务器进行 Kerberos 身份验证运行状况服务失败。 这表示 SPN 注册存在问题。 调查 Kerberos 身份验证的 SNS。
21036 注册表中指定的 证书不能用于 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 身份验证。 错误为 %1 (%2) 。 这通常是缺少的或未关联的私钥。 调查证书。 重新导入证书,或创建一个新证书并导入它。