次の方法で共有

Operations Manager での UNIX/Linux エージェント検出のトラブルシューティング

  • [アーティクル]

この記事は、UNIX または Linux コンピューターの検出プロセス中に発生する可能性がある一般的なエラーのトラブルシューティングに役立ちます。

元の製品バージョン: System Center Operations Manager
元の KB 番号: 4490426

System Center Operations Manager (OpsMgr) で UNIX または Linux コンピューターを監視するには、まずコンピューターを検出し、OpsMgr エージェントをインストールする必要があります。 Computer および デバイス管理 ウィザードを使用して、UNIX および Linux コンピューターにエージェントを検出してインストールします。 ただし、構成の問題、認証情報または権限の問題、またはネットワークと名前解決の問題により、検出プロセスが失敗する可能性があります。

証明書エラーまたは証明書の署名エラー

署名された証明書の検証操作が成功しなかった

証明書の検証が失敗すると、通常、次のようなエラーが表示されます。

エージェントの検証に失敗しました。 エラーの詳細: 対象コンピューター (lx1.contoso.com:1270) のサーバー証明書には、次のエラーがあります。
SSL 証明書の失効を確認できませんでした。 失効の確認に使用されるサーバーに到達できない可能性があります。
SSL 証明書には、ホスト名と一致しない共通名 (CN) が含まれています。
次のことが可能です。

  1. 管理サーバーによって信頼されていない別の証明機関によって宛先証明書が署名されます。
  2. 宛先に無効な証明書があります。たとえば、その共通名 (CN) が、接続に使用される完全修飾ドメイン名 (FQDN) と一致していません。 接続に使用される FQDN は、lx1.contoso.com です。
  3. リソース プール内のサーバーは、プール内の他のサーバーによって署名された証明書を信頼するように構成されていません。

  • 一般的な原因の 1 つは、エージェント証明書の共通名 (CN) 値が、指定または解決された完全修飾ドメイン名 (FQDN) と一致しないということです。

    これを確認するには、エージェント ホストのホスト名とドメイン名が、DNS によって解決された FQDN と一致することを確認します。

    UNIX または Linux コンピューターで証明書の基本的な詳細を表示するには、次のコマンドを実行します。

    openssl x509 -noout -in /etc/opt/microsoft/scx/ssl/scx.pem -subject -issuer -dates

    これを行うと、次のような出力が表示されます。

    subject= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
    issuer= /DC=name/DC=newdomain/CN=newhostname/CN=newhostname.newdomain.name
    notBefore=Mar 25 05:21:18 2008 GMT
    notAfter=Mar 20 05:21:18 2029 GMT

    この情報を使用して、ホスト名と日付を検証し、Operations Manager 管理サーバーによって解決される名前と一致していることを確認します。

    ホスト名が一致しない場合は、次のいずれかのアクションを使用して問題を解決します。

    • UNIX または Linux のホスト名が正しいが、Operations Manager 管理サーバーで正しく解決されていない場合は、正しい FQDN に一致するように DNS エントリを変更するか、Operations Manager サーバー上の hosts ファイルにエントリを追加します。
    • UNIX または Linux ホスト名が正しくない場合は、次のいずれかの操作を行います。
      • UNIX または Linux ホストのホスト名を正しいものに変更し、新しい証明書を作成します。
      • 目的のホスト名を使用して新しい証明書を作成します。

    証明書の名前を変更するには:

    証明書が正しくない名前で作成された場合は、ホスト名を変更して証明書と秘密キーを再作成することができます。 これを行うには、UNIX または Linux コンピューターで、次のコマンドを実行します。

    /opt/microsoft/scx/bin/tools/scxsslconfig -f -v

    -f オプションを指定すると、/etc/opt/microsoft/scx/ssl 内のファイルが強制的に上書きされます。

    次の例のように、 -h スイッチと -d スイッチを使用して、証明書のホスト名とドメイン名を変更することもできます。

    /opt/microsoft/scx/bin/tools/scxsslconfig -f -h <hostname> -d <domain.name>

    次のコマンドを実行してエージェントを再起動します。

    /opt/microsoft/scx/bin/tools/scxadmin -restart

    hosts ファイルにエントリを追加するには:

    FQDN が 逆引き DNS にない場合は、名前解決を行う管理サーバー上にある hosts ファイルにエントリを追加します。 hosts ファイルは、 \Windows\System32\Drivers\etc フォルダーにあります。 hosts ファイル内のエントリは、IP アドレスと FQDN の組み合わせです。

    たとえば、ip アドレスが 192.168.1.1 の newhostname.newdomain.name という名前のホストのエントリを追加するには、hosts ファイルの末尾に次を追加します。

    192.168.1.1 newhostname.newdomain.name

  • このエラーのもう 1 つの一般的な原因は、複数の管理サーバーが検出に使用されるリソース プールのメンバーであるが、管理サーバー間で証明書の信頼が構成されていない場合など、信頼されていない機関によって証明書が署名されていることです。

    これを確認するには、検出に使用されるリソース プール内のすべての管理サーバーが、互いのサーバーの証明書を信頼していることを確認します。

    UNIX および Linux コンピューターのリソース プールを管理する方法の詳細については、「 UNIX および Linux コンピューターのリソース プールの管理を参照してください。

ユーザー名またはパスワードが間違っています

UNIX/Linux エージェントを検出しようとすると、エラーが表示されることがあります。 UNIX/Linux マシンの検出中に、証明書の検証手順中にエラーが発生する可能性があります。

考えられる原因

  • UNIX/Linux エージェントがドメインに参加せず、Kerberos 認証を使用できない場合、UNIX/Linux リソース プール内の 1 つ以上の管理サーバーで基本認証が false に設定されます。 次のコマンドを実行して、現在の WinRM 設定を確認できます: winrm get winrm/config/client
  • ユーザー名またはパスワードが正しくありません。

解像度

UNIX/Linux リソース プール内の管理サーバーの WinRM 構成を更新して、次のコマンドを実行して基本認証を許可するか、グループ ポリシーを使用して構成を設定できます。

winrm set winrm/config/client/auth @{Basic="true"}

Note

上記のコマンドは、次のレジストリ キーに DWORD (32 ビット) レジストリ値 (AllowBasic) を設定します。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WinRM\Client

AllowBasic では、 1 (有効) または 0 (無効) の 10 進値を使用できます。

証明書の署名操作が正常に完了しませんでした

考えられる原因

  • 検出に指定されたユーザー アカウントには、署名に関連するファイル操作を実行するための十分な特権がありません。
  • 検出用に指定されたユーザー アカウントの Sudo 昇格特権が正しく構成されませんでした。

解像度

この問題を解決するには、エラーの詳細で StdErr 出力を調べてエラーの原因を特定して、ユーザー アカウントを確認します。 また、証明書の署名に使用されるアカウントの sudo 特権の構成も確認します。

ネットワークの名前解決エラー

ターゲット アドレスが解決できない

通常、これらの問題は次のいずれかのカテゴリに分類されます。

  • エラーの説明

    IP アドレス <IP アドレス> 名前を解決できませんでした

    原因

    このエラーは、ホストの IP アドレスが検出のために入力されたが、IP アドレスが DNS 内の名前に解決できない (逆引き参照) 場合に発生します。

    解像度

    この問題を解決するには、逆引き参照ゾーンの名前解決 (DNS) 構成を正しく行い、影響を受けるホストに対して名前マッピングへの IP アドレスが存在することを確認します。

  • エラーの説明

    名前 server.contoso.com を IP アドレスに解決できませんでした

    原因

    このエラーは、ホストの FQDN を検出用に入力したが、名前が DNS の IP アドレスに解決できない (前方参照) 場合に発生します。

    解像度

    この問題を解決するには、前方参照用の正しい名前解決 (DNS) 構成を使用して、ホストのホスト名と IP アドレスのマッピングが存在することを確認します。

DNS 構成: 前方 DNS 解決はリバース DNS 解決と一致しません

エラーの説明

この状況では、通常、次のようなエラーが表示されます。

指定されたホスト名 ServerName が 10.137.216.x の IP アドレスに解決されました。 IP アドレス 192.168.x.x の逆引き参照によって返されたホスト名 ServerName.contoso.com、指定されたホスト名と一致しませんでした。 DNS 構成を確認し、要求を再試行してください。

原因

最も一般的な原因は、前方 DNS 参照ゾーンと逆引き DNS 参照ゾーン内のホストのレコードが一致しないということです。

解像度

この問題を解決するには、DNS の前方参照ゾーンと逆引き参照ゾーンのレコードを修正して、ホスト名と IP アドレスが一致するようにします。

ターゲット アドレスに到達できない

エラーの説明

この状況では、通常、次のようなエラーが表示されます。

WinRM クライアントは、指定された時間内に操作を完了できません。 コンピューター名が有効で、ネットワーク経由で到達可能であり、Windows リモート管理サービスのファイアウォール例外が有効になっているかどうかを確認します。

考えられる原因

  • 名前解決、ネットワークの停止、またはホストの停止が正しくないため、ホストに到達できません。
  • ネットワークまたはホストベースのファイアウォールが、ターゲット ホストへの TCP ポート 1270 接続をブロックしています。

解像度

この問題を解決するには、管理サーバーが FQDN を使用してエージェント ホストに ping を実行できることを確認します。 また、ネットワーク ファイアウォールまたはホスト ファイアウォールが TCP ポート 1270 をブロックしていないことも確認します。

予期しない discoveryResult.ErrorData 型。 バグ レポートを提出してください - パラメーター名: s

エラーの説明

予期しない DiscoveryResult.ErrorData 型。 バグ報告を提出してください。
ErrorData: System.ArgumentNullException
値を null にすることはできません。
パラメーター名: s
at System.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
at System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
at Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

原因

このエラーは、UNIX または Linux リソース プールの管理サーバーで WinHTTP プロキシ設定が構成されており、検出しようとしている UNIX または Linux エージェントの FQDN が WinHTTP プロキシ バイパス リストに含まれていないために発生します。

解像度

この問題を解決するには、UNIX または Linux FQDN を WinHTTP プロキシ バイパス リストに追加します。

UNIX または Linux リソース プール内の管理サーバーで、管理者特権のコマンド プロンプトで次のコマンドを実行して、現在のプロキシ構成を確認します。

netsh winhttp show proxy

WinHTTP プロキシ サーバーが構成されている場合は、次のコマンドを実行して、検出しようとしているサーバーの FQDN をバイパス リストに追加します。

netsh winhttp set proxy proxy-server="<proxyserver:port>" bypass-list="*.ourdomain.com;*.yourdomain.com*;<serverFQDN>"

バイパス リストが構成されたら、エージェントの検出が成功したかどうかを確認します。

Note

netsh winhttp reset proxy コマンドを実行して、WinHTTP プロキシを無効にすることができます。 このコマンドを実行すると、プロキシ サーバーが削除され、直接アクセスが構成されます。

予期しない discoveryResult.ErrorData 型。 バグ レポートを提出してください - パラメーター名: lhs

エラーの説明

検出が成功しない
メッセージ: 未指定のエラー
詳細: 予期しない DiscoveryResult.ErrorData 型。 バグ報告を提出してください。
ErrorData: System.ArgumentNullException
値を null にすることはできません。
パラメーター名: lhs
at System.Activities.WorkflowApplication.Invoke(Activity activity, IDictionary'2 inputs, WorkflowInstanceExtensionManager extensions, TimeSpan timeout)
at System.Activities.WorkflowInvoker.Invoke(Activity workflow, IDictionary'2 inputs, TimeSpan timeout, WorkflowInstanceExtensionManager extensions)
at Microsoft.SystemCenter.CrossPlatform.ClientActions.DefaultDiscovery.InvokeWorkflow(IManagedObject managementActionPoint, DiscoveryTargetEndpoint criteria, IInstallableAgents installableAgents)

原因

このエラーは、インストールされている kits フォルダー内の omsagent シェル ファイルが原因で発生します。

解像度

エクスプローラーの次のディレクトリに移動します。

C:\Program Files\Microsoft System Center\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits

omsagent ファイルが一覧表示されている場合は、System Center Operations Manager (SCOM) ファイルの外部の一時ディレクトリに移動します。

例については、次のスクリーンショットを参照してください。

DownloadedKits フォルダー内の omsagent ファイルを示すスクリーンショット。

DownloadedKits フォルダーから移動したら、検出を再試行します。 これで検出は成功するはずです。

Note

検出は、別のエラーで失敗する可能性があります。 このエラーは、sudoers、接続など、より多くのトラブルシューティングが必要であることを示しています。

SSH 接続エラー

SSH の検出中に失敗しました。 終了コード: -1073479162

エラーの説明

標準出力:
標準エラー:
例外メッセージ:例外 (-1073479162) によって SSH コマンドが失敗しました。ターゲット マシンがアクティブに拒否したため、接続できませんでした。

考えられる原因

  • SSH デーモンがターゲット システムで実行されていません。
  • ネットワークまたはホストベースのファイアウォールによって、TCP ポート 22 での SSH 接続が妨げられます。

解像 度

  • SSH デーモンが実行されていることを確認します。
  • ネットワーク ファイアウォールまたはホスト ファイアウォールによって TCP ポート 22 がブロックされていないことを確認します。

SSH の検出中に失敗しました。 終了コード: -1073479118

エラーの説明

SSH の検出中に失敗しました。 終了コード: -1073479118
標準出力:
標準エラー:
例外メッセージ:例外 (-1073479118) が原因で SSH コマンドが失敗する - サーバーが切断メッセージを送信しました: タイプ 2 (プロトコル エラー: ルートの認証エラーが多すぎます)

考えられる原因

  • 検出用に指定されたユーザー アカウントは、SSH 経由でのサインインを許可されていません。
  • 検出用に指定されたユーザー アカウントが、無効なユーザー名またはパスワードで入力されました

解像 度

  • ユーザーが SSH 経由でサインインすることを許可されていることを確認します。
  • 入力資格情報を確認し、ユーザーがターゲット ホストで定義されていることを確認します。

SSH の検出中に失敗しました。 終了コード: 1

エラーの説明

SSH の検出中に失敗しました。 終了コード: 1
標準出力: Sudo パス: /usr/bin/
標準エラー: sudo: 申し訳ございません。sudo を実行するには tty が必要です
例外メッセージ:

原因

ユーザー資格情報の入力で sudo 昇格が選択されましたが、sudoers のユーザーに対してrequiretty オプションが無効になっていません

解像度

visudo コマンドを使用してターゲット ホスト上の sudoers ファイルを編集し、次の行を追加します。

既定値: <username>!requiretty

詳細については、「 sudo の昇格キーと SSH キーを構成する方法を参照してください。

SU パスワードが無効です

エラーの説明

.[?1034hopsuser@lx1:~> su - root -c 'sh /tmp/scx-opsuser/GetOSVersion.sh;EC=$?;rm -rf /tmp/scx-opsuser;exit $EC'
Password (パスワード):
exit
su: 正しくないパスワード
opsuser@lx1:~> 出口
logout

考えられる原因

ユーザー資格情報の入力で Su 昇格が選択されましたが、su 昇格に無効なルート パスワードが指定されました。

解像度

[昇格の構成] ダイアログで、ルートのパスワード入力を確認します。

SSH の検出中に失敗しました。 終了コード: -2147221248

  • エラーの説明

    SSH の検出中に失敗しました。 終了コード: -2147221248
    標準出力:
    標準エラー:ホームディレクトリ/ホーム/ユーザー名にchdirできませんでした:そのようなファイルやディレクトリはありません

    原因

    検出に指定されたユーザー アカウントにホーム ディレクトリがありません。

    解像度

    ユーザーがホーム ディレクトリ (/home/) を持っており、ユーザーがこのディレクトリに書き込むことができることを確認します。

  • エラーの説明

    SSH の検出中に失敗しました。 終了コード: -2147221248
    標準出力:
    標準エラー: ルートのパスワード:
    例外メッセージ:操作がタイムアウトしました

    原因

    ユーザー資格情報の入力で Sudo 昇格が選択されました。 ただし、検出に指定されたユーザー アカウントが、パスワードなしの sudo 昇格を使用するように正しく構成されていないか、検出で使用されるユーザー アカウントに必要な sudo 昇格特権が付与されていません。

    解像度

    sudo 昇格構成のドキュメントを確認し、sudo のユーザー構成を確認します。 パスワードレス sudo を構成する必要があることに注意してください。

WSMan 接続エラー

エージェントが要求に応答しましたが、WSMan 接続に失敗しました。原因: アクセスが拒否されました

考えられる原因

  • エージェントがインストールされ、エージェント証明書が署名されています。 ただし、エージェントの検証用に指定されたユーザー資格情報が無効です。
  • 検出用に指定されたユーザー アカウントは SSH キーを使用して認証するように構成されましたが、エージェントの検証に指定されたユーザー資格情報が無効です。
  • UNIX 側でアクセス許可の問題または PAM 構成が正しくありません。

解像度

この問題を修正するには、次の手順に従ってください。

  1. エージェント検証のユーザー名とパスワードが正しく入力されていること、およびユーザーがターゲット ホスト上の有効なユーザーであることを確認します。

  2. 問題が解決しない場合は、sudo の昇格が正しく構成されていることを確認します。

  3. UNIX/Linux コンピューターのメッセージ ログも確認します。 たとえば、AIX では、 /var/adm/messagesの下にログがあります。 その他のオペレーティング システムでは、場所が異なる場合があります。

    次のような行を探します。

    Sep 3 14:49:07 server auth|security:debug /opt/microsoft/scx/bin/omiserver PAM: pam_authenticate: エラー認証に失敗しました。

    メッセージ ログに同様の行が表示される場合は、PAM 構成ファイルに OMIServer に関する情報が見つからないことを意味します。 PAM 構成ファイルは、 /etc/pam.d/ ディレクトリまたは /etc/pam.conf ファイルにあります。

    OMIServer に関する情報を PAM 構成ファイルに追加し直す最も簡単な方法は、そのコンピューターに SCX エージェントを最初から再インストールすることです。 それが簡単にできない場合は、OMI に関連する行を作業コンピューターから非稼働コンピューターにコピーできます。

WSMan のみの検出が 192.168.x.x で失敗しました

考えられる原因

  • Discovery Type オプションは Only computers with an installed agent and signed certificate target host has the agent installed. ただし、ターゲット ホスト証明書は署名されていません。 WSMan のみの検出オプションを使用するには、エージェントをインストールし、証明書を手動で署名する必要があります。
  • Discovery Type オプションは Only computers with an installed agent and signed certificate に設定されましたが、ターゲット ホストには現在 UNIX/Linux エージェントがインストールされていません。
  • Discovery Type オプションは Only computers with an installed agent and signed certificate に設定されましたが、UNIX/Linux エージェントは現在実行されていません。
  • Discovery Type オプションは エージェントと署名付き証明書を持つコンピューター以外に設定されましたがターゲット ホストに到達できない、ネットワークまたはホストベースのファイアウォールによって接続が妨げられるか、UNIX/Linux エージェントが現在ダウンしています。

解像 度

  • 証明書に手動で署名します。
  • UNIX/Linux エージェントがインストールされていることを確認します。
  • 検出ウィザードで証明書の署名を実行できるようにするにはすべてのコンピューターを検出するオプションを変更します。
  • UNIX/Linux エージェントが実行されていること、およびターゲット ホストに到達可能であることを確認します。
  • ネットワーク ファイアウォールまたはホスト ファイアウォールが TCP ポート 1270 へのアクセスを妨げていることを確認します。

その他のエラー

タスクのターゲットがオブジェクトのどのクラスにも一致しないため、オブジェクトに対してタスクを実行できません

原因

System Center 2012 Operations Manager 管理グループでは、インポートされた UNIX/Linux 管理パックが Operations Manager 2007 R2 バージョンの場合に発生する可能性があります。

解像度

System Center 2012 バージョンの UNIX/Linux オペレーティング システム管理パックをインポートします。

エージェントがインストールされ、コンピューターが Operations Manager によって既に監視されている

原因

ターゲット ホストは、この管理グループで既に検出されています。

解像度

必要なアクションはありません。 エージェントのアップグレードまたは代替リソース プールへの移行は、オペレーション コンソールの [管理] ウィンドウの UNIX/Linux サーバー ビューから実行できます。

インポートされた管理パックでサポートされている一致するエージェント インスタンスを見つけられなかった

エラーの説明

インポートされた管理パックに、条件に一致するサポートされているエージェント インスタンスが見つかりませんでした。 このコンピューターを検出するには、このプラットフォーム用の管理パックをインポートしてください。

考えられる原因

  • ターゲット ホストが、サポートされていないオペレーティング システムを実行しています。
  • ターゲット ホストのオペレーティング システムの正しい管理パックがインポートされていません。
  • オペレーティング システムの適切な管理パックは最近インポートされましたが、まだ完全には読み込まれていません。

解像 度

  • ターゲット ホストがサポートされているオペレーティング システムを実行していることを確認します。
  • ターゲット ホストのオペレーティング システムとバージョンの管理パックをインポートします。
  • 管理パックがインポートされた場合、まだ読み込まれている可能性があります。 数分待ってから、検出を再実行します。

インストール可能なエージェントの種類を列挙できません。 関連付けられているリソース プールがまだ初期化中である可能性があります

エラーの説明

インストール可能なエージェントの種類を列挙できません。 関連付けられているリソース プールはまだ初期化中の可能性があります。 新しく作成されたリソース プールを選択した場合は、数分待ってから使用してください。

考えられる原因

  • 検出に使用されるリソース プールは正常ではありません。たとえば、メンバー サーバーの大部分がオフラインです。
  • 検出に使用されたリソース プールは最近作成されましたが、完全には初期化されていません。

解像度

検出に使用されたリソース プールが最近作成された場合は、数分後に検出を再試行して、プールの初期化を許可します。 それ以外の場合は、検出に使用されるリソース プールのメンバーであるサーバー上の Operations Manager イベント ログで、問題の原因を示します。

このコンピューターに新しいエージェントをコピーできません

エラーの説明

メッセージ: このコンピューターに新しいエージェントをコピーできません
詳細:
キットをコピーできませんでした。 終了コード: -1073479144
標準出力:
標準エラー:
例外メッセージ: 例外 (-1073479144) によって SSH コマンドが失敗しました

原因

ファイル エージェントのバージョンがデータベースとエージェント リポジトリの間で一致しません。

解像 度

  • バージョンの不一致が原因で、失敗したエージェントがすべて失敗していることを確認します。 それ以外の場合は、他のトラブルシューティング手順を適用します。
  • 失敗したエージェントをもう一度更新してみてください。 通常、失敗したエージェントの一覧は、更新のイテレーションのたびに短くなります。
  • Unix または Linux マシンを管理するために、Linux リソース プールまたはその他のプールのすべてのメンバーでヘルス サービスを再起動します。 ファイル名が正しい場合は、 %ProgramFiles%\Microsoft System Center 2012 R2\Operations Manager\Server\AgentManagement\UnixAgents\DownloadedKits フォルダーを確認します。 探索ウィザードを閉じてから再度開きます。

詳細

詳細については、TechNet サポート フォーラムを参照するかMicrosoft サポートにお問い合わせください。