排查 Operations Manager 中的代理连接问题

  • 项目

本指南可帮助你排查 Operations Manager 代理在 System Center 2012 Operations Manager (OpsMgr 2012) 及更高版本中连接到管理服务器时出现问题的问题。

若要详细了解 Operations Manager 代理及其如何与管理服务器通信,请参阅 代理代理和管理服务器之间的通信

原始产品版本: System Center 2012 Operations Manager
原始 KB 编号: 10066

检查运行状况服务

每当在 Operations Manager 中遇到连接问题时,首先请确保运行状况服务在客户端代理和管理服务器上运行时没有错误。 若要确定服务是否正在运行,请执行以下步骤:

  1. 按 Windows 键+R。

  2. 在“ 运行 ”框中,键入 services.msc 并按 Enter。

  3. 找到 Microsoft Monitoring Agent 服务,然后双击它以打开 “属性” 页。

    注意

    在 System Center 2012 Operations Manager 中,服务名称为 System Center Management

  4. 确保 “启动 类型”设置为 “自动”。

  5. 检查“ 已启动” 是否显示在 “服务状态”中。 否则,单击“启动”

检查防病毒排除项

如果运行状况服务已启动并运行,下一步是确认防病毒排除配置正确。 有关 Operations Manager 建议的防病毒排除项的最新信息,请参阅 与 Operations Manager) 相关的防病毒排除建议

检查网络问题

在 Operations Manager 中,代理计算机必须能够成功连接到管理服务器上的 TCP 端口 5723。 如果此操作失败,你可能会在客户端代理上收到事件 ID 21016 和 21006。

除了 TCP 端口 5723 外,还必须启用以下端口:

  • 用于 LDAP 的 TCP 和 UDP 端口 389
  • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88
  • 域名服务的 TCP 和 UDP 端口 53 (DNS)

此外,必须确保 RPC 通信通过网络成功完成。 从管理服务器推送代理时,通常会出现 RPC 通信问题。 RPC 通信问题通常会导致客户端推送失败,并出现类似于以下内容的错误:

Operation Manager 服务器无法在计算机上 agent1.contoso.com 执行指定的操作。

操作:代理安装
安装帐户:contoso\Agent_action
错误代码:800706BA
错误说明:RPC 服务器不可用

使用非标准临时端口或防火墙阻止临时端口时,通常会发生此错误。 例如,如果配置了非标准高范围 RPC 端口,则网络跟踪将显示与 RPC 端口 135 的成功连接,然后使用非标准 RPC 端口(如 15595)进行连接尝试。 示例如下:

18748 MS 代理 TCP TCP:Flags=CE....S.,SrcPort=52457,DstPort=15595,PayloadLen=0,Seq=1704157139,Ack=0,Win=8192
18750 MS 代理 TCP TCP:[SynReTransmit #18748] Flags=CE....S.,SrcPort=52457,DstPort=15595,PayloadLen=0,Seq=1704157139,Ack=0,
18751 MS 代理 TCP TCP:[SynReTransmit #18748] Flags=......S.,SrcPort=52457,DstPort=15595,PayloadLen=0,Seq=1704157139,Ack=0,Win=8192

在此示例中,由于此非标准范围的端口豁免未在防火墙上配置,因此会丢弃数据包,并且连接失败。

在 Windows Vista 及更高版本中,RPC 高范围端口为 49152-65535,因此这就是我们想要查找的内容。 若要验证此问题是否是你的问题,请运行以下命令以查看配置了哪些 RPC 高端口范围:

netsh int ipv4 show dynamicportrange tcp

根据 IANA 标准,输出应如下所示:

协议 tcp 动态端口范围
---------------------------------
启动端口:49152
端口数:16384

如果看到其他 启动端口,则问题可能是防火墙未正确配置为允许流量通过这些端口。 可以更改防火墙上的配置,或运行以下命令,将高范围端口设置回其默认值:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

还可以通过注册表配置 RPC 动态端口范围。 有关详细信息,请参阅 如何配置 RPC 动态端口分配以使用防火墙

如果所有内容似乎都配置正确,但你仍然遇到错误,则可能是由以下条件之一引起的:

  1. DCOM 已限制为特定端口。 若要验证,请运行 dcomcnfg.exe,转到 “我的计算机>属性>默认协议”,确保没有自定义设置。

  2. WMI 配置为使用自定义终结点。 若要检查是否为 WMI 配置了静态终结点,请运行 dcomcnfg.exe,转到“我的计算机>DCOM 配置>Windows 管理和检测>属性>终结点”,确保没有自定义设置。

  3. 代理计算机正在运行 Exchange Server 2010 客户端访问服务器角色。 Exchange Server 2010 客户端访问服务将端口范围更改为 6005 到 65535。 范围已扩展,以便为大型部署提供足够的缩放。 在完全了解后果的情况下,不要更改这些端口值。

有关端口和防火墙要求的详细信息,请参阅 防火墙。 还可以在同一篇文章中找到所需的最低网络连接速度。

注意

排查网络问题是一个非常大的问题,因此,如果怀疑基础网络问题导致 Operations Manager 中的代理连接问题,最好咨询网络工程师。 我们还可以从 Windows 目录服务支持团队获取一些基本的通用网络故障排除信息,请参阅 排查没有 NetMon 的网络问题。

检查网关服务器上的证书问题

Operations Manager 要求在客户端代理和管理服务器之间交换信息之前执行相互身份验证。 为了保护身份验证过程,该进程已加密。 当代理和管理服务器位于同一 Active Directory 域或已建立信任关系的 Active Directory 域中时,它们会利用 Active Directory 提供的 Kerberos v5 身份验证机制。 当代理和管理服务器不在同一信任边界内时,必须使用其他机制来满足安全相互身份验证要求。

在 Operations Manager 中,这是通过使用为每台计算机颁发的 X.509 证书来实现的。 如果有多个受代理监视的计算机,这可能会导致管理所有这些证书的管理开销较高。 此外,如果代理和管理服务器之间存在防火墙,则必须在防火墙规则中定义和维护多个授权终结点,以允许它们之间的通信。

为了减少管理开销,Operations Manager 具有一个名为“网关服务器”的可选服务器角色。 网关服务器位于客户端代理的信任边界内,可以参与强制相互身份验证。 由于网关与代理位于同一信任边界内,因此 Active Directory 的 Kerberos v5 协议在代理和网关服务器之间使用,因此每个代理仅与它所知道的网关服务器通信。

然后,网关服务器代表客户端与管理服务器通信。 若要支持网关服务器与管理服务器之间的强制安全相互身份验证,必须颁发和安装证书,但仅限网关和管理服务器。 这可以减少所需的证书数。 对于干预防火墙,它还减少了需要在防火墙规则中定义的授权终结点的数量。

此处的要点是,如果客户端代理和管理服务器不在同一信任边界内,或者如果使用网关服务器,则必须正确安装并配置必要的证书,才能使代理连接正常工作。 下面是检查的一些关键事项:

  • 确认网关证书存在于网关或代理所连接到的管理服务器上的 本地计算机>个人>证书 中。

  • 确认根证书存在于网关或代理连接到的管理服务器上的 本地计算机>受信任的根证书颁发机构>证书 中。

  • 确认根证书存在于网关服务器上的 本地计算机>受信任的根证书颁发机构>证书 中。

  • 确认网关证书存在于网关服务器上的 本地计算机>个人>证书 中。 确认网关证书存在于网关服务器上的 本地计算机>Operations Manager>证书 中。

  • 确认注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber 存在,并且具有“本地计算机/个人/证书”文件夹中的证书值 (,该值位于网关服务器上的 “序列号 ”字段中的详细信息) 反转。

  • 确认注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber 存在,并且具有“本地计算机/个人/证书”文件夹中的“ 序列号 ”字段中的证书 (值,) 网关或代理所连接到的管理服务器上将其反转。

证书出现问题时,可能会在 Operations Manager 事件日志中收到以下事件 ID:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

有关基于证书的身份验证在 Operations Manager 中如何运行的详细信息,以及如何获取和配置正确的证书的说明,请参阅 Windows 计算机的身份验证和数据加密

检查客户端代理上的不连续命名空间

当客户端计算机的主 DNS 后缀与客户端所属的 Active Directory 域的 DNS 名称不匹配时,会发生不连续的命名空间。 例如,在名为 na.corp.contoso.com 的 Active Directory 域中使用 DNS 后缀 corp.contoso.com 的 客户端使用不连续命名空间。

当客户端代理或管理服务器具有不连续的命名空间时,Kerberos 身份验证可能会失败。 虽然这是 Active Directory 问题,而不是 Operations Manager 问题,但它确实会影响代理连接。

有关详细信息,请参阅 Disjoint 命名空间

若要解决此问题,请使用以下方法之一:

方法 1

手动为受影响的计算机帐户创建相应的服务主体名称 (SPN) ,并将完全限定的域名 (FQDN) 的主机 SPN 与不相交的名称后缀 (HOST/machine.disjointed_name_suffix.local) 。 此外, DnsHostName 更新计算机的 属性,以反映 (machine.disjointed_name_suffix.local) 不相交的名称,并在 Active Directory 使用的 DNS 服务器上的有效 DNS 区域中启用属性注册。

方法 2

更正不连续的命名空间。 为此,请更改受影响计算机属性中的命名空间,以反映计算机所属域的 FQDN。 在环境中进行任何更改之前,请确保完全了解执行此操作的后果。 有关详细信息,请参阅 从不连续命名空间转换为连续命名空间

检查网络连接速度缓慢

如果客户端代理通过慢速网络连接运行,则它可能会遇到连接问题,因为身份验证存在硬编码超时。 若要解决此问题,请安装 System Center 2012 Operations Manager SP1 更新汇总 8 (假设尚未使用 System Center 2012 R2 Operations Manager) ,然后手动更改超时值。

UR8 更新将服务器超时增加到 20 秒,将客户端超时增加到 5 分钟。

有关详细信息,请参阅 System Center 2012 Operations Manager Service Pack 1 的更新汇总 8

注意

当客户端代理和管理服务器之间存在时间同步问题时,也可能会出现此问题。

检查 OpsMgr 连接器问题

如果所有其他事件都已签出,检查 Operations Manager 事件日志,了解 OpsMgr 连接器生成的任何错误事件。 下面列出了各种 OpsMgr 连接器事件的常见原因和解决方法。

客户端代理上显示事件 ID 21006 和 21016

这些事件的示例:

源:OpsMgr 连接器
日期:时间
事件 ID:21006
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:OpsMgr 连接器无法连接到 <ManagementServer>:5723。 错误代码为 10060L (连接尝试失败,因为连接方在一段时间后未正确响应,或建立连接失败,因为连接的主机无法响应。) 。 请验证是否存在网络连接、服务器正在运行并已注册其侦听端口,以及是否有防火墙阻止流向目标的流量。

日志名称:Operations Manager
源:OpsMgr 连接器
日期:时间
事件 ID:21016
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:OpsMgr 无法设置到 <ManagementServer 的> 通信通道,并且没有故障转移主机。 当 ManagementServer> 可用并且允许来自此计算机的通信时<,通信将恢复。

通常,由于代理未收到配置,因此会生成这些事件 ID。 在添加新代理之后和配置代理之前,此事件很常见。 代理的 Operations Manager 事件日志中的事件 1210 指示代理已接收并应用配置。 建立通信后,会收到此事件。

可以使用以下步骤来排查此问题:

  1. 如果未对手动安装的代理启用自动审批,请确认代理已批准。

  2. 确保为通信启用了以下端口:

    • 用于 LDAP 的 5723 和 TCP 和 UDP 端口 389。
    • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88。
    • DNS 服务器的 TCP 和 UDP 端口 53。

  3. 此事件可能指示 Kerberos 身份验证失败。 检查事件日志中的 Kerberos 错误并进行故障排除。

  4. 检查 DNS 后缀是否具有不正确的域。 例如,计算机已加入 contoso1.com 但主 DNS 后缀设置为 contoso2.com

  5. 确保默认域名注册表项正确无误。 若要验证,请确保以下注册表项与域名匹配:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. 运行状况服务重复的 SPN 也可能导致事件 ID 21016。 若要查找重复的 SPN,请运行以下命令:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    如果注册了重复的 SPN,则必须删除未用于管理服务器运行状况服务的帐户的 SPN。

事件 ID 20057 显示在管理服务器上

此事件的示例:

日志名称:Operations Manager
源:OpsMgr 连接器
日期:时间
事件 ID:20057
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:无法初始化目标 MSOMHSvc/******返回的错误0x80090311 (无法联系授权机构进行身份验证。) 。 此错误可能适用于 Kerberos 或 SChannel 包。

事件 ID 21006、21016 和 20057 通常是由防火墙或网络问题引起的,这些防火墙或网络问题阻止通过所需端口进行通信。 若要解决此问题,检查客户端代理和管理服务器之间的防火墙。 必须打开以下端口才能启用正确的身份验证和通信:

  • 用于 LDAP 的 TCP 和 UDP 端口 389。
  • 用于 Kerberos 身份验证的 TCP 和 UDP 端口 88。

客户端代理上显示事件 ID 2010 和 2003

这些事件的示例:

日志名称:Operations Manager
源:HealthService
日期:数据
事件 ID: 2010
任务类别:运行状况服务
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:运行状况服务无法连接到 Active Directory 以检索管理组策略。 错误为“未指定错误” (0x80004005)
事件 Xml:
<Event xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系统警报>
<提供程序名称=“HealthService” />
<EventID 限定符=“49152”>2010/<EventID>
<级别>2</级别>
<任务>1</任务>
<关键字>0x80000000000000</关键字>
<TimeCreated SystemTime=“2015-02-21T21:06:04.000000000Z” />
<EventRecordID>84143</EventRecordID>
<通道>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<安全/>
</系统>
<EventData>
<数据>未指定错误</数据>
<数据>0x80004005</数据>
</EventData>
</事件>

日志名称:Operations Manager
源:HealthService
日期:时间
事件 ID:2003
任务类别:运行状况服务
级别:信息
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:未启动任何管理组。 这可能是因为当前未配置管理组或配置的管理组无法启动。 运行状况服务将等待 Active Directory 中的策略配置管理组运行。
事件 Xml:
<Event xmlns=“http://schemas.microsoft.com/win/2004/08/events/event”>
<系统警报>
<提供程序名称=“HealthService” />
<EventID 限定符=“16384”>2003/<EventID>
<级别>4</级别>
<任务>1</任务>
<关键字>0x80000000000000</关键字>
<TimeCreated SystemTime=“2015-02-21T21:06:04.000000000Z” />
<EventRecordID>84156</EventRecordID>
<通道>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<安全/>
</系统>
<EventData>
</EventData>
</事件>

如果代理正在使用 Active Directory 分配,事件日志也会指示与 Active Directory 通信时出现问题。

如果看到这些事件日志,请确认客户端代理可以访问 Active Directory。 检查防火墙、名称解析和常规网络连接。

事件 ID 20070 与事件 ID 21016 结合使用

这些事件的示例:

日志名称:Operations Manager
源:OpsMgr 连接器
日期:2014/6/13 下午 10:13:39
事件 ID:21016
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
OpsMgr 无法设置到 <ComputerName> 的通信通道,并且没有故障转移主机。 当 ComputerName> 可用且允许来自此计算机的通信时<,通信将恢复。

日志名称:Operations Manager
源:OpsMgr 连接器
日期:6/13/2014 10:13:37 PM
事件 ID:20070
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
连接到 ComputerName> 的 OpsMgr 连接器<,但身份验证发生后,连接立即关闭。 此错误的最可能原因是代理无权与服务器通信,或者服务器未收到配置。 检查服务器上的事件日志中是否存在 20000 个事件,指示未批准的代理正在尝试连接。

看到这些事件时,表示身份验证已发生,但连接已关闭。 这通常是因为尚未配置代理。 若要验证这一点,检查是否在管理服务器上收到不属于此管理组的事件 ID 20000 A 设备尝试访问此运行状况服务

如果客户端代理停滞在 “挂起” 状态并在控制台中不可见,则也会发生这些事件日志。

若要验证,请运行以下命令以检查是否列出了要手动审批的代理:

Get-SCOMPendingManagement

如果是这样,可以通过运行以下命令来手动批准代理来解决此问题:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

事件 ID 21023 显示在客户端代理上,而事件 ID 29120、29181 和 21024 显示在管理服务器上

下面是这些事件的一些示例。

日志名称:Operations Manager
源:OpsMgr 连接器
事件 ID:21023
任务类别:无
级别:信息
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
OpsMgr 没有针对管理组 <GroupName> 的配置,并且正在从配置服务请求新配置。

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:29120
任务类别:无
级别:警告
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务无法处理配置请求 (Xml 配置文件或管理包请求)

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:29181
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务无法执行“GetNextWorkItem”引擎工作项

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:29181
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr Management 配置服务无法执行“LocalHealthServiceDirtyNotification”引擎工作项

日志名称:Operations Manager
源:OpsMgr 管理配置
事件 ID:21024
任务类别:无
级别:信息
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
对于管理组 <GroupName,OpsMgr> 的配置可能已过期,并且已从配置服务请求更新的配置。 当前 (过期) 状态 Cookie 为“5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3”

日志名称:Operations Manager
源:OpsMgr 连接器
事件 ID:29181
任务类别:无
级别:错误
关键字:经典
用户:不适用
计算机: <ComputerName>
说明:
由于以下异常,OpsMgr 管理配置服务无法执行“DeltaSynchronization”引擎工作项

当增量同步进程在其配置的 30 秒超时时段内无法生成配置时,可能会发生这些事件。 当实例空间较大时,可能会发生这种情况。

若要解决此问题,请增加所有管理服务器上的超时。 为此,请使用以下方法之一:

方法 1

  1. 创建以下文件的备份副本:

    Drive:\Program Files\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. 使用以下更改增加 中的 ConfigService.config 超时值:

    找到 <OperationTimeout DefaultTimeoutSeconds="30">,将 30 更改为 300
    找到 <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />,将 180 更改为 300

  3. 重启配置服务。

在大多数情况下,这应该有足够的时间完成同步过程。

方法 2

  1. 为 System Center 2012 R2 Operations Manager 安装 更新汇总 3 或更高版本。

  2. 在运行 System Center 2012 R2 Operations Manager 的服务器上添加以下注册表值,以配置超时:

    • 注册表子项: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • DWORD 名称: CommandTimeoutSeconds
    • DWORD 值: nn

    注意

    占位符 nn 的默认值为 30 秒。 可以更改此值以控制增量同步的超时。

其他 OpsMgr 连接器事件 ID

下面列出了其他 OpsMgr 连接器错误事件和相应的故障排除建议:

事件 说明 更多信息
20050 无法加载指定的证书,因为指定的增强型密钥用法不符合 OpsMgr 要求。 证书必须具有以下使用类型:%n %n 服务器身份验证 (1.3.6.1.5.5.7.3.1) %n 客户端身份验证 (1.3.6.1.5.7.3.2) %n 确认证书上的对象标识符。
20057 未能初始化目标 %1 的安全上下文 返回的错误为 %2 (%3) 。 此错误可能适用于 Kerberos 包或 SChannel 包。 检查 SPN 是否重复或不正确。
20066 已指定用于相互身份验证的证书。 但是,找不到该证书。 此运行状况服务通信的能力可能会受到影响。 检查证书。
20068 注册表中指定的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 证书不能用于身份验证,因为证书不包含可用私钥或私钥不存在。 错误为 %1 (%2) 。 检查私钥是否缺失或未关联。 调查证书。 重新导入证书,或创建新证书并导入。
20069 无法加载指定的证书,因为 KeySpec 必须AT_KEYEXCHANGE 检查证书。 检查证书上的对象标识符。
20070 连接到 %1 的 OpsMgr 连接器。 但是,身份验证发生后,连接立即关闭。 此错误的最可能原因是代理无权与服务器通信,或者服务器未收到配置。 检查服务器上的事件日志是否存在 20000 个事件。 这些指示未批准的代理正在尝试连接。 身份验证发生,但连接已关闭。 确认端口处于打开状态,检查代理等待审批。
20071 连接到 %1 的 OpsMgr 连接器。 但是,连接已立即关闭,但未发生身份验证。 此错误的最可能原因是无法对此代理或服务器进行身份验证。 检查服务器和代理上的事件日志,了解指示身份验证失败的事件。 身份验证失败。 检查防火墙和端口 5723。 代理计算机必须能够访问管理服务器上的端口 5723。 另请确认 TCP & 用于 LDAP 的 UDP 端口 389、Kerberos 的端口 88 和 DNS 的端口 53 可用。
20072 远程证书 %1 不受信任。 错误为 %2 (%3) 。 检查证书是否位于受信任的存储区中。
20077 注册表中指定的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 证书不能用于身份验证,因为无法查询证书的属性信息。 特定错误为 %2 (%3) .%n %n。 这通常意味着证书中不包含私钥。 请双击检查,以确保证书包含私钥。 私钥缺失或未关联。 调查证书。 重新导入证书,或创建新证书并导入。
21001 OpsMgr 连接器无法连接到 %1,因为相互身份验证失败。 验证 SPN 是否已在服务器上正确注册,并且如果服务器位于单独的域中,则这两个域之间是否存在完全信任关系。 检查 SPN 注册。
21005 OpsMgr 连接器无法解析 %1 的 IP。 错误代码为 %2 (%3) 。 请验证 DNS 在你的环境中是否正常工作。 这通常是名称解析问题。 检查 DNS。
21006 OpsMgr 连接器无法连接到 %1:%2。 错误代码为 %3 (%4) 。 请验证是否存在网络连接、服务器是否正在运行并已注册其侦听端口,以及是否有防火墙阻止发向目标的流量。 这可能是一个常规连接问题。 检查防火墙并确认端口 5723 已打开。
21007 OpsMgr 连接器无法创建与 %1 的相互身份验证的连接,因为它不在受信任的域中。 未建立信任。 确认证书已到位且配置正确。
21016 OpsMgr 无法设置到 %1 的通信通道,并且没有故障转移主机。 当 %1 可用并启用来自此计算机的通信时,通信将恢复。 这通常表示身份验证失败。 确认代理已批准进行监视,并且所有端口都已打开。
21021 无法加载或创建证书。 此运行状况服务将无法与其他运行状况服务通信。 在事件日志中查找以前的事件以了解更多详细信息。 检查证书。
21022 未指定证书。 除非这些运行状况服务位于与此域具有信任关系的域中,否则此运行状况服务将无法与其他运行状况服务通信。 如果此运行状况服务必须与不受信任的域中的运行状况服务通信,请配置证书。 检查证书。
21035 使用“%1”服务类注册此计算机的 SPN 失败,出现错误“%2”。这可能会导致此运行状况服务的 Kerberos 身份验证失败。 这表示 SPN 注册存在问题。 调查用于 Kerberos 身份验证的 SPN。
21036 注册表中指定的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings 证书不能用于身份验证。 错误为 %1 (%2) 。 这通常是丢失或未关联的私钥。 调查证书。 重新导入证书,或创建新证书并将其导入。