Risolvere i problemi di connettività dell'agente in Operations Manager

  • Articolo

Questa guida consente di risolvere i problemi relativi alla connessione degli agenti di Operations Manager al server di gestione in System Center 2012 Operations Manager (OpsMgr 2012) e versioni successive.

Per altre informazioni sull'agente di Operations Manager e sul modo in cui comunicano con i server di gestione, vedere Agenti e comunicazione tra agenti e server di gestione.

Versione originale del prodotto: System Center 2012 Operations Manager
Numero KB originale: 10066

Controllare il servizio integrità

Ogni volta che si verificano problemi di connettività in Operations Manager, assicurarsi innanzitutto che il servizio integrità sia in esecuzione senza errori sia nell'agente client che nel server di gestione. Per determinare se il servizio è in esecuzione, seguire questa procedura:

  1. Premere il tasto Windows+R.

  2. Nella casella Esegui digitare services.msc e premere INVIO.

  3. Trovare il servizio Microsoft Monitoring Agent e quindi fare doppio clic su di esso per aprire la pagina Proprietà .

    Nota

    In System Center 2012 Operations Manager il nome del servizio è System Center Management.

  4. Assicurarsi che il tipo di avvio sia impostato su Automatico.

  5. Controllare se l'opzione Avviato è visualizzata nello stato del servizio. In caso contrario, fare clic su Avvia.

Controllare le esclusioni antivirus

Se il servizio integrità è attivo e in esecuzione, l'operazione successiva consiste nel verificare che le esclusioni antivirus siano configurate correttamente. Per le informazioni più recenti sulle esclusioni antivirus consigliate per Operations Manager, vedere Raccomandazioni per le esclusioni antivirus correlate a Operations Manager.

Controllare i problemi di rete

In Operations Manager il computer agente deve essere in grado di connettersi correttamente alla porta TCP 5723 nel server di gestione. In caso di esito negativo, si riceveranno probabilmente l'ID evento 21016 e 21006 nell'agente client.

Oltre alla porta TCP 5723, è necessario abilitare le porte seguenti:

  • Porta TCP e UDP 389 per LDAP
  • Porta TCP e UDP 88 per l'autenticazione Kerberos
  • Porta TCP e UDP 53 per DNS (Domain Name Service)

Inoltre, è necessario assicurarsi che le comunicazioni RPC vengano completate correttamente in rete. I problemi di comunicazione RPC si manifestano in genere quando si esegue il push di un agente dal server di gestione. I problemi di comunicazione RPC in genere causano l'esito negativo del push client con un errore simile al seguente:

Impossibile eseguire l'operazione specificata nel computer agent1.contoso.com.

Operazione: Installazione dell'agente
Installare l'account: contoso\Agent_action
Codice errore: 800706BA
Descrizione errore: il server RPC non è disponibile

Questo errore si verifica in genere quando vengono usate porte temporanee non standard o quando le porte temporanee vengono bloccate da un firewall. Ad esempio, se sono state configurate porte RPC a intervallo elevato non standard, una traccia di rete visualizzerà una connessione corretta alla porta RPC 135 seguita da un tentativo di connessione tramite una porta RPC non standard, ad esempio 15595. Di seguito è riportato un esempio:

18748 MS Agent TCP: Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192
18750 MS Agent TCP TCP:[SynReTransmit #18748] Flags=CE.... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0,
18751 MS Agent TCP:[SynReTransmit #18748] Flags=...... S., SrcPort=52457, DstPort=15595, PayloadLen=0, Seq=1704157139, Ack=0, Win=8192

In questo esempio, poiché l'esenzione dalla porta per questo intervallo non standard non è stata configurata nel firewall, i pacchetti vengono eliminati e la connessione non riesce.

In Windows Vista e versioni successive, le porte rpc ad intervallo elevato sono 49152-65535, quindi è quello che vogliamo cercare. Per verificare se si tratta del problema, eseguire il comando seguente per visualizzare l'intervallo di porte RPC elevato configurato:

netsh int ipv4 show dynamicportrange tcp

Secondo gli standard IANA, l'output dovrebbe essere simile al seguente:

Intervallo di porte tcp dinamico del protocollo
---------------------------------
Porta di avvio: 49152
Numero di porte : 16384

Se viene visualizzata una porta di avvio diversa, il problema potrebbe essere che il firewall non è configurato correttamente per consentire il traffico attraverso queste porte. È possibile modificare la configurazione nel firewall o eseguire il comando seguente per ripristinare i valori predefiniti delle porte di intervallo elevato:

netsh int ipv4 set dynamicport tcp start=49152 num=16384

È anche possibile configurare l'intervallo di porte dinamiche RPC tramite il Registro di sistema. Per altre informazioni, vedere Come configurare l'allocazione dinamica delle porte RPC per l'uso con i firewall.

Se tutto sembra essere configurato correttamente e si verifica ancora l'errore, può essere causato da una delle condizioni seguenti:

  1. DCOM è stato limitato a una determinata porta. Per verificare, eseguire dcomcnfg.exe, passare aProtocolli predefinitiproprietà>computer> personale, assicurarsi che non sia presente alcuna impostazione personalizzata.

  2. WMI è configurato per l'uso di un endpoint personalizzato. Per verificare se è stato configurato un endpoint statico per WMI, eseguire dcomcnfg.exe, passare a My ComputerDCOM Config>Windows Management and InstrumentationPropertiesEndpoints (Endpoint delleproprietà> di strumentazione > e gestione configurazione DCOM del computer> personale), assicurarsi che non sia presente alcuna impostazione personalizzata.

  3. Il computer agente esegue il ruolo del server accesso client Exchange Server 2010. Il servizio Accesso client Exchange Server 2010 modifica l'intervallo di porte da 6005 a 65535. L'intervallo è stato espanso per offrire scalabilità sufficiente per distribuzioni di grandi dimensioni. Non modificare questi valori di porta senza comprenderne completamente le conseguenze.

Per altre informazioni sui requisiti di porta e firewall, vedere Firewall. È anche possibile trovare le velocità minime di connettività di rete richieste nello stesso articolo.

Nota

La risoluzione dei problemi di rete è un problema estremamente grande, quindi è consigliabile consultare un tecnico di rete se si sospetta che un problema di rete sottostante stia causando problemi di connettività dell'agente in Operations Manager. Sono disponibili anche alcune informazioni di base e generalizzate sulla risoluzione dei problemi di rete disponibili dal team di supporto di Windows Directory Services disponibili in Risoluzione dei problemi delle reti senza NetMon.

Controllare i problemi relativi ai certificati nel server gateway

Operations Manager richiede che venga eseguita l'autenticazione reciproca tra gli agenti client e i server di gestione prima dello scambio di informazioni tra di essi. Per proteggere il processo di autenticazione, il processo viene crittografato. Quando l'agente e il server di gestione risiedono nello stesso dominio di Active Directory o nei domini di Active Directory con relazioni di trust stabilite, usano i meccanismi di autenticazione Kerberos v5 forniti da Active Directory. Quando gli agenti e i server di gestione non si trovano all'interno dello stesso limite di attendibilità, è necessario usare altri meccanismi per soddisfare il requisito di autenticazione reciproca sicura.

In Operations Manager questa operazione viene eseguita tramite l'uso di certificati X.509 emessi per ogni computer. Se sono presenti molti computer monitorati dall'agente, ciò può comportare un sovraccarico amministrativo elevato per la gestione di tutti questi certificati. Inoltre, se è presente un firewall tra gli agenti e i server di gestione, è necessario definire e gestire più endpoint autorizzati nelle regole del firewall per consentire la comunicazione tra di essi.

Per ridurre il sovraccarico amministrativo, Operations Manager dispone di un ruolo server facoltativo denominato Server gateway. I server gateway si trovano all'interno del limite di attendibilità degli agenti client e possono partecipare all'autenticazione reciproca obbligatoria. Poiché i gateway si trovano all'interno dello stesso limite di attendibilità degli agenti, il protocollo Kerberos v5 per Active Directory viene usato tra gli agenti e il server gateway e ogni agente comunica solo con i server gateway di cui è a conoscenza.

I server gateway comunicano quindi con i server di gestione per conto dei client. Per supportare l'autenticazione reciproca sicura obbligatoria tra il server gateway e i server di gestione, i certificati devono essere rilasciati e installati, ma solo per il gateway e i server di gestione. In questo modo si riduce il numero di certificati necessari. Nel caso di un firewall interveniente, riduce anche il numero di endpoint autorizzati che devono essere definiti nelle regole del firewall.

In questo caso, se gli agenti client e i server di gestione non si trovano entro lo stesso limite di attendibilità o se viene usato un server gateway, i certificati necessari devono essere installati e configurati correttamente per il corretto funzionamento della connettività dell'agente. Ecco alcuni aspetti chiave da controllare:

  • Verificare che il certificato gateway esista neicertificatipersonali> del computer> locale nel server di gestione a cui si connette il gateway o l'agente.

  • Verificare che il certificato radice esista neicertificati autorità > dicertificazione radice attendibilidel computer> locale nel server di gestione a cui si connette il gateway o l'agente.

  • Verificare che il certificato radice esista neicertificati autorità > dicertificazione radice attendibilidel computer> locale nel server gateway.

  • Verificare che il certificato gateway esista neicertificatipersonali> del computer> locale nel server gateway. Verificare che il certificato gateway esista neicertificatidi Operations Manager> del computer> locale nel server gateway.

  • Verificare che il valore HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber del Registro di sistema esista e che il valore del certificato (dalla cartella Computer locale/Personale/Certificati all'interno dei dettagli nel campo Numero di serie ) sia invertito al suo interno nel server gateway.

  • Verificare che il valore HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings\ChannelCertificateSerialNumber del Registro di sistema esista e che il valore del certificato (dalla cartella Computer locale/Personale/Certificati all'interno dei dettagli nel campo Numero di serie ) sia invertito al suo interno nel server di gestione a cui si connette il gateway o l'agente.

Quando si verifica un problema con i certificati, nel registro eventi di Operations Manager potrebbero essere visualizzati gli ID evento seguenti:

  • 20050
  • 20057
  • 20066
  • 20068
  • 20069
  • 20072
  • 20077
  • 21007
  • 21021
  • 21002
  • 21036

Per informazioni dettagliate sul funzionamento dell'autenticazione basata su certificati in Operations Manager e istruzioni su come ottenere e configurare i certificati appropriati, vedere Autenticazione e crittografia dei dati per computer Windows.

Verificare la presenza di uno spazio dei nomi non contiguo nell'agente client

Uno spazio dei nomi disgiunto si verifica quando il computer client ha un suffisso DNS primario che non corrisponde al nome DNS del dominio di Active Directory a cui appartiene il client. Ad esempio, un client che usa un suffisso DNS primario di corp.contoso.com in un dominio di Active Directory denominato na.corp.contoso.com usa uno spazio dei nomi disgiunto.

Quando l'agente client o il server di gestione ha uno spazio dei nomi non contiguo, l'autenticazione Kerberos può non riuscire. Anche se si tratta di un problema di Active Directory e non di Operations Manager, influisce sulla connettività dell'agente.

Per altre informazioni, vedere Spazio dei nomi disgiunto.

Per risolvere il problema, usare uno dei metodi seguenti:

Metodo 1

Creare manualmente i nomi dell'entità servizio appropriati per gli account computer interessati e includere il nome SPN host per il nome di dominio completo (FQDN) insieme al suffisso del nome non contiguo (HOST/machine.disjointed_name_suffix.local). Aggiornare anche l'attributo DnsHostName per il computer in modo che rifletta il nome disgiunto (machine.disjointed_name_suffix.local) e abilitare la registrazione per l'attributo in una zona DNS valida nei server DNS usati da Active Directory.

Metodo 2

Correggere lo spazio dei nomi non contiguo. A tale scopo, modificare lo spazio dei nomi nelle proprietà del computer interessato in modo da riflettere il nome di dominio completo del dominio a cui appartiene il computer. Assicurarsi di essere pienamente consapevoli delle conseguenze di questa operazione prima di apportare modifiche all'ambiente. Per altre informazioni, vedere Transizione da uno spazio dei nomi disgiunto a uno spazio dei nomi contiguo.

Verificare la presenza di una connessione di rete lenta

Se l'agente client è in esecuzione in una connessione di rete lenta, potrebbero verificarsi problemi di connettività a causa del timeout hardcoded per l'autenticazione. Per risolvere questo problema, installare System Center 2012 Operations Manager SP1 Update Rollup 8 (presupponendo che non si sia già in System Center 2012 R2 Operations Manager) e quindi modificare manualmente il valore di timeout.

L'aggiornamento UR8 aumenta il timeout del server a 20 secondi e il timeout del client a 5 minuti.

Per altre informazioni, vedere Aggiornamento cumulativo 8 per System Center 2012 Operations Manager Service Pack 1.

Nota

Questo problema può verificarsi anche quando si verificano problemi di sincronizzazione dell'ora tra l'agente client e il server di gestione.

Verificare la presenza di problemi del connettore OpsMgr

Se tutti gli altri elementi vengono estratti, controllare nel registro eventi di Operations Manager eventuali eventi di errore generati dal connettore OpsMgr. Di seguito sono elencate le cause e le risoluzioni comuni per vari eventi del connettore OpsMgr.

L'ID evento 21006 e 21016 viene visualizzato nell'agente client

Esempi di questi eventi:

Origine: OpsMgr Connector
Data: Ora
ID evento: 21006
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione: Il connettore OpsMgr non è riuscito a connettersi a <ManagementServer>:5723. Il codice di errore è 10060L (tentativo di connessione non riuscito perché la parte connessa non ha risposto correttamente dopo un periodo di tempo o la connessione stabilita non è riuscita perché l'host connesso non è riuscito a rispondere). Verificare che sia presente connettività di rete, che il server sia in esecuzione e abbia registrato la porta di ascolto e che non siano presenti firewall che bloccano il traffico verso la destinazione.

Nome log: Operations Manager
Origine: OpsMgr Connector
Data: Ora
ID evento: 21016
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione: OpsMgr non è riuscito a configurare un canale di comunicazione con <ManagementServer> e non sono presenti host di failover. La comunicazione riprenderà quando <ManagementServer> è disponibile e la comunicazione da questo computer è consentita.

In genere questi ID evento vengono generati perché l'agente non ha ricevuto la configurazione. Dopo l'aggiunta di un nuovo agente e prima della configurazione, questo evento è comune. L'evento 1210 nel registro eventi di Operations Manager dell'agente indica che l'agente ha ricevuto e applicato la configurazione. Questo evento viene ricevuto dopo l'avvio della comunicazione.

Per risolvere il problema, è possibile seguire questa procedura:

  1. Se l'approvazione automatica per gli agenti installati manualmente non è abilitata, verificare che l'agente sia approvato.

  2. Assicurarsi che le porte seguenti siano abilitate per la comunicazione:

    • 5723 e porta TCP e UDP 389 per LDAP.
    • Porta TCP e UDP 88 per l'autenticazione Kerberos.
    • Porta TCP e UDP 53 per il server DNS.

  3. Questo evento può potenzialmente indicare che l'autenticazione Kerberos ha esito negativo. Verificare la presenza di errori Kerberos nei log eventi e risolvere i problemi.

  4. Controllare se il suffisso DNS ha un dominio non corretto. Ad esempio, il computer viene aggiunto a contoso1.com ma il suffisso DNS primario è impostato su contoso2.com.

  5. Verificare che le chiavi del Registro di sistema dei nomi di dominio predefinite siano corrette. Per verificare, assicurarsi che le chiavi del Registro di sistema seguenti corrispondano al nome di dominio:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultDomainName
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

  6. Un nome SPN duplicato per il servizio integrità può anche causare l'ID evento 21016. Per trovare il nome SPN duplicato, eseguire il comando seguente:

    setspn -F -Q MSOMHSvc/<fully qualified name of the management server in the event>

    Se vengono registrati nomi SPN duplicati, è necessario rimuovere il nome SPN per l'account che non viene usato per il servizio integrità del server di gestione.

L'ID evento 20057 viene visualizzato nel server di gestione

Esempio di questo evento:

Nome log: Operations Manager
Origine: OpsMgr Connector
Data: ora
ID evento: 20057
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione: non è stato possibile inizializzare il contesto di sicurezza per MSOMHSvc/******L'errore restituito è 0x80090311(non è stato possibile contattare alcuna autorità per l'autenticazione). Questo errore può essere applicato al pacchetto Kerberos o SChannel.

Gli ID evento 21006, 21016 e 20057 sono in genere causati da firewall o problemi di rete che impediscono la comunicazione sulle porte richieste. Per risolvere questo problema, controllare i firewall tra l'agente client e il server di gestione. Per abilitare l'autenticazione e la comunicazione corrette, è necessario aprire le porte seguenti:

  • Porta TCP e UDP 389 per LDAP.
  • Porta TCP e UDP 88 per l'autenticazione Kerberos.

L'ID evento 2010 e 2003 viene visualizzato nell'agente client

Esempi di questi eventi:

Nome log: Operations Manager
Origine: HealthService
Data: dati
ID evento: 2010
Categoria attività: Servizio integrità
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione: il servizio integrità non può connettersi ad Active Directory per recuperare i criteri di gruppo di gestione. Errore non specificato (0x80004005)
Xml evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<Sistema>
<Provider Name="HealthService" />
<EventID Qualifiers="49152">2010/<EventID>
<Livello>2</Livello>
<Attività>1</Attività>
<Parole chiave>0x80000000000000</Parole chiave>
<TimeCreated SystemTime="2015-02-21T21:06:04.0000000000Z" />
<EventRecordID>84143</EventRecordID>
<Channel>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<Sicurezza/>
</Sistema>
<EventData>
<Errore/dati non specificati< dei dati>>
<Dati>0x80004005</Dati>
</EventData>
</Evento>

Nome log: Operations Manager
Origine: HealthService
Data: ora
ID evento: 2003
Categoria attività: Servizio integrità
Livello: Informazioni
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione: non sono stati avviati gruppi di gestione. Ciò può essere dovuto al fatto che non sono attualmente configurati gruppi di gestione o non è stato possibile avviare un gruppo di gestione configurato. Il servizio integrità attenderà l'esecuzione dei criteri da Active Directory che configura un gruppo di gestione.
Xml evento:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<Sistema>
<Provider Name="HealthService" />
<EventID Qualifiers="16384">2003/<EventID>
<Livello>4</Livello>
<Attività>1</Attività>
<Parole chiave>0x80000000000000</Parole chiave>
<TimeCreated SystemTime="2015-02-21T21:06:04.0000000000Z" />
<EventRecordID>84156</EventRecordID>
<Channel>Operations Manager</Channel>
<Computer>ComputerName</Computer>
<Sicurezza/>
</Sistema>
<EventData>
</EventData>
</Evento>

Se l'agente usa l'assegnazione di Active Directory, i log eventi indicheranno anche un problema di comunicazione con Active Directory.

Se vengono visualizzati questi log eventi, verificare che l'agente client possa accedere ad Active Directory. Controllare i firewall, la risoluzione dei nomi e la connettività di rete generale.

ID evento 20070 combinato con ID evento 21016

Esempi di questi eventi:

Nome log: Operations Manager
Origine: OpsMgr Connector
Data: 13/6/2014 22:13:39
ID evento: 21016
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
OpsMgr non è riuscito a configurare un canale di comunicazione su <ComputerName> e non sono presenti host di failover. La comunicazione riprenderà quando <ComputerName> è disponibile e la comunicazione da questo computer è consentita.

Nome log: Operations Manager
Origine: OpsMgr Connector
Data: 13/6/2014 22:13:37
ID evento: 20070
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
Il connettore OpsMgr è connesso a <ComputerName>, ma la connessione è stata chiusa immediatamente dopo l'autenticazione. La causa più probabile di questo errore è che l'agente non è autorizzato a comunicare con il server o che il server non ha ricevuto la configurazione. Controllare la presenza di 20000 eventi nel registro eventi nel server, indicando che gli agenti non approvati stanno tentando di connettersi.

Quando vengono visualizzati questi eventi, indica che si è verificata l'autenticazione ma che la connessione è stata chiusa. Ciò si verifica in genere perché l'agente non è stato configurato. Per verificarlo, verificare se l'ID evento 20000 Un dispositivo che non fa parte di questo gruppo di gestione ha tentato di accedere a questo servizio di integrità viene ricevuto nel server di gestione.

Questi log eventi possono verificarsi anche se gli agenti client sono bloccati in uno stato In sospeso e non sono visibili nella console.

Per verificare, eseguire il comando seguente per verificare se gli agenti sono elencati per l'approvazione manuale:

Get-SCOMPendingManagement

In tal caso, è possibile risolvere questo errore eseguendo il comando seguente per approvare manualmente gli agenti:

Get-SCOMPendingManagement| Approve-SCOMPendingManagement

L'ID evento 21023 viene visualizzato nell'agente client, mentre l'ID evento 29120, 29181 e 21024 viene visualizzato nel server di gestione

Di seguito sono riportati alcuni esempi di questi eventi.

Nome log: Operations Manager
Origine: OpsMgr Connector
ID evento: 21023
Categoria attività: nessuna
Livello: Informazioni
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
OpsMgr non ha alcuna configurazione per il gruppo <di gestione GroupName> e richiede una nuova configurazione al servizio di configurazione.

Nome log: Operations Manager
Origine: Configurazione della gestione di OpsMgr
ID evento: 29120
Categoria attività: nessuna
Livello: Avviso
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
Il servizio Configurazione gestione OpsMgr non è riuscito a elaborare la richiesta di configurazione (file di configurazione XML o richiesta del Management Pack) a causa dell'eccezione seguente

Nome log: Operations Manager
Origine: Configurazione della gestione di OpsMgr
ID evento: 29181
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
Il servizio Configurazione gestione OpsMgr non è riuscito a eseguire l'elemento di lavoro del motore 'GetNextWorkItem' a causa dell'eccezione seguente

Nome log: Operations Manager
Origine: Configurazione della gestione di OpsMgr
ID evento: 29181
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
Il servizio Configurazione gestione OpsMgr non è riuscito a eseguire l'elemento di lavoro del motore 'LocalHealthServiceDirtyNotification' a causa dell'eccezione seguente

Nome log: Operations Manager
Origine: Configurazione della gestione di OpsMgr
ID evento: 21024
Categoria attività: nessuna
Livello: Informazioni
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
La configurazione di OpsMgr potrebbe non essere aggiornata per il gruppo <di gestione GroupName> e ha richiesto la configurazione aggiornata dal servizio di configurazione. Il cookie di stato current(out-of-date) è "5dae4442500c9d3f8f7a883e83851994,906af60d48ed417fb1860b23ed67dd71:001662A3"

Nome log: Operations Manager
Origine: OpsMgr Connector
ID evento: 29181
Categoria attività: nessuna
Livello: Errore
Parole chiave: classico
Utente: N/D
Computer: <ComputerName>
Descrizione:
Il servizio Configurazione gestione OpsMgr non è riuscito a eseguire l'elemento di lavoro del motore "DeltaSynchronization" a causa dell'eccezione seguente

Questi eventi possono verificarsi quando il processo di sincronizzazione differenziale non può compilare la configurazione entro la finestra di timeout configurata di 30 secondi. Ciò può verificarsi quando è presente uno spazio di istanza di grandi dimensioni.

Per risolvere questo problema, aumentare il timeout in tutti i server di gestione. A tale scopo, usare uno dei metodi seguenti:

Metodo 1

  1. Creare una copia di backup del file seguente:

    Unità:\Programmi\System Center 2012\Operations Manager\Server\ConfigService.Config

  2. Aumentare i valori di timeout in ConfigService.config con le modifiche seguenti:

    Individuare <OperationTimeout DefaultTimeoutSeconds="30">, modificare da 30 a 300.
    Individuare <Operation Name="GetEntityChangeDeltaList" TimeoutSeconds="180" />, modificare da 180 a 300.

  3. Riavviare il servizio di configurazione.

Nella maggior parte dei casi, questo dovrebbe consentire un tempo sufficiente per il completamento del processo di sincronizzazione.

Metodo 2

  1. Installare l'aggiornamento cumulativo 3 o versione successiva per System Center 2012 R2 Operations Manager.

  2. Aggiungere il valore del Registro di sistema seguente nel server che esegue System Center 2012 R2 Operations Manager per configurare il timeout:

    • Sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\Software\Microsoft Operations Manager\3.0\Config Service
    • Nome DWORD: CommandTimeoutSeconds
    • Valore DWORD: nn

    Nota

    Il valore predefinito per il segnaposto nn è 30 secondi. È possibile modificare questo valore per controllare il timeout per la sincronizzazione differenziale.

Altri ID evento del connettore OpsMgr

Di seguito sono elencati altri eventi di errore del connettore OpsMgr e i suggerimenti per la risoluzione dei problemi corrispondenti:

Evento Descrizione Ulteriori informazioni
20050 Impossibile caricare il certificato specificato perché l'utilizzo avanzato delle chiavi specificato non soddisfa i requisiti di OpsMgr. Il certificato deve avere i tipi di utilizzo seguenti: %n %n Autenticazione server (1.3.6.1.5.5.7.3.1)%n Autenticazione client (1.3.6.1.5.5.7.3.2)%n Confermare l'identificatore dell'oggetto nel certificato.
20057 Impossibile inizializzare il contesto di sicurezza per la destinazione %1 L'errore restituito è %2(%3). Questo errore può essere applicato al pacchetto Kerberos o al pacchetto SChannel. Verificare la presenza di nomi SPN duplicati o non corretti.
20066 È stato specificato un certificato per l'uso con l'autenticazione reciproca. Non è stato tuttavia possibile trovare il certificato. La possibilità per questo servizio integrità di comunicare sarà probabilmente influenzata. Controllare il certificato.
20068 Il certificato specificato nel Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings in non può essere usato per l'autenticazione perché il certificato non contiene una chiave privata utilizzabile o perché la chiave privata non è presente. L'errore è %1(%2). Verificare la presenza di una chiave privata mancante o non associate. Analizzare il certificato. Reimportare il certificato o creare un nuovo certificato e importare.
20069 Impossibile caricare il certificato specificato perché KeySpec deve essere AT_KEYEXCHANGE Controllare il certificato. Controllare l'identificatore dell'oggetto nel certificato.
20070 Connettore OpsMgr connesso a %1. Tuttavia, la connessione è stata chiusa immediatamente dopo l'autenticazione. La causa più probabile di questo errore è che l'agente non è autorizzato a comunicare con il server o che il server non ha ricevuto la configurazione. Controllare la presenza di 20000 eventi nel registro eventi nel server. Questi elementi indicano che gli agenti non approvati stanno provando a connettersi. L'autenticazione si è verificata ma la connessione è stata chiusa. Verificare che le porte siano aperte e controllare l'agente in attesa di approvazione.
20071 Connettore OpsMgr connesso a %1. Tuttavia, la connessione è stata chiusa immediatamente senza che si verifichi l'autenticazione. La causa più probabile di questo errore è un errore di autenticazione dell'agente o del server. Controllare il registro eventi nel server e nell'agente per individuare gli eventi che indicano un errore di autenticazione. L'autenticazione non è riuscita. Controllare i firewall e la porta 5723. Il computer agente deve essere in grado di raggiungere la porta 5723 nel server di gestione. Verificare inoltre che TCP & porta UDP 389 per LDAP, la porta 88 per Kerberos e la porta 53 per DNS siano disponibili.
20072 Il certificato remoto %1 non è attendibile. L'errore è %2(%3). Controllare se il certificato si trova nell'archivio attendibile.
20077 Il certificato specificato nel Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings in non può essere utilizzato per l'autenticazione perché non è possibile eseguire query sul certificato per ottenere informazioni sulla proprietà. L'errore specifico è %2(%3).%n %n. Ciò significa in genere che non è stata inclusa alcuna chiave privata nel certificato. Verificare che il certificato contenga una chiave privata. È presente una chiave privata mancante o non collegata. Analizzare il certificato. Reimportare il certificato o creare un nuovo certificato e importare.
21001 Il connettore OpsMgr non è riuscito a connettersi a %1 perché l'autenticazione reciproca non è riuscita. Verificare che l'SPN sia registrato correttamente nel server e che, se il server si trova in un dominio separato, esista una relazione di attendibilità completa tra i due domini. Controllare la registrazione spn.
21005 Il connettore OpsMgr non è riuscito a risolvere l'IP per %1. Il codice di errore è %2(%3). Verificare che DNS funzioni correttamente nell'ambiente. Si tratta in genere di un problema di risoluzione dei nomi. Controllare DNS.
21006 Il connettore OpsMgr non è riuscito a connettersi a %1:%2. Il codice di errore è %3(%4). Verificare che sia presente connettività di rete, che il server sia in esecuzione e abbia registrato la porta di ascolto e che non siano presenti firewall che bloccano il traffico verso la destinazione. Si tratta probabilmente di un problema di connettività generale. Controllare i firewall e verificare che la porta 5723 sia aperta.
21007 Il connettore OpsMgr non può creare una connessione autenticata reciprocamente a %1 perché non si trova in un dominio attendibile. Un trust non viene stabilito. Verificare che il certificato sia in vigore e che sia configurato correttamente.
21016 OpsMgr non è riuscito a configurare un canale di comunicazione su %1 e non sono presenti host di failover. La comunicazione riprenderà quando %1 è disponibile e la comunicazione da questo computer è abilitata. Indica in genere un errore di autenticazione. Verificare che l'agente sia stato approvato per il monitoraggio e che tutte le porte siano aperte.
21021 Non è stato possibile caricare o creare alcun certificato. Questo servizio integrità non sarà in grado di comunicare con altri servizi sanitari. Per altri dettagli, cercare gli eventi precedenti nel registro eventi. Controllare il certificato.
21022 Non è stato specificato alcun certificato. Questo servizio integrità non sarà in grado di comunicare con altri servizi sanitari a meno che tali servizi sanitari non si trovino in un dominio che ha una relazione di trust con questo dominio. Se il servizio integrità deve comunicare con i servizi sanitari in domini non attendibili, configurare un certificato. Controllare il certificato.
21035 Registrazione di un nome SPN per il computer con la classe di servizio "%1" non riuscita con errore "%2". Ciò potrebbe causare l'esito negativo dell'autenticazione Kerberos da o verso questo servizio integrità. Questo indica un problema con la registrazione spn. Esaminare i nomi SPN per l'autenticazione Kerberos.
21036 Il certificato specificato nel Registro di sistema HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings in non può essere usato per l'autenticazione. L'errore è %1(%2). Si tratta in genere di una chiave privata mancante o non collegata. Analizzare il certificato. Importare di nuovo il certificato o crearne uno nuovo e importarlo.