Operations Lab.

Archive for 1月 2016

System Center Operations Manager で Agent のインストールに失敗した場合

leave a comment »

System Center 2012 SP1 Operations Manager で Windows サーバーに対する Agent の PUSH インストールに失敗したときのメモ。

一度失敗した場合、再度検出する必要はない

「エージェントで管理」するサーバーを新規で追加する場合、「管理」→「デバイスの管理」→「エージェントで管理」を右クリックし、検出ウィザードでサーバーを検出させると思いますが、一度検出したサーバー(で、エージェントの PUSH インストールに失敗したサーバー)は、 検出ウィザードから PUSH インストールを再試行することができません。

検出ウィザードは、言葉通り SCOM 上で新しい管理対象を検出し、さらにエージェントをインストールしようとします。検出ウィザードで、管理対象へのエージェントのインストールステップまで進んでいる場合は、すでに SCOM 上で管理対象としての検出が完了しているため、新規の検出対象として表示されません。

既に検出済みのサーバーに対して、エージェントのインストールを再試行する場合は、「管理」→「デバイスの管理」→「保留の管理」に保留中のサーバー(エージェントの PUSH インストール失敗など、検出されているが管理対象として組み込まれていないサーバー)が表示されますので、そちらからエージェントのインストールを再試行することができます。

img002671

エージェントの PUSH インストールに失敗した際に見直す項目

少し古いですが、以下の記事が参考になります。

チェックポイント

  • 必要なサービスが起動している
  • 管理サーバー上でターゲットサーバーの名前(FQDN)を解決できる
  • ターゲットサーバー上で必要な通信が許可されている

ターゲットサーバー上で起動すべきサービス

  • Netlogon
  • Remote Registry
  • Windows Installer (手動)
  • Windows Update

ターゲットサーバー上で有効化する Windows Firewall ルール

開放すべきポートの情報は、上記のページや SCOM の Requirements ページに記載されていますので、個別にルールを追加する場合はそれらを参考にすれば OK です。

Windows Firewall 既定のルールで代用する場合は、あまり情報がありませんが、通信要件を参考に以下のルールを有効化すると概ね上手くいきました。(本来必要な範囲より多めに解放される気がしますので、完全な閉域環境以外では十分注意してください。)

  • Netlogon サービス (NP 受信)
  • Netlogon サービス Authz (RPC)
  • COM+ ネットワーク アクセス (DCOM-受信)
  • COM+ リモート管理 (DCOM-受信)
  • Windows Management Instrumentation (DCOM 受信)
  • Windows Management Instrumentation (WMI 受信)
  • Windows Management Instrumentation (非同期受信)

※上記サービスは、Windows Server 2012 R2 の場合

PowerShell で設定する場合は、

Get-NetFirewallRule Netlogon-*,ComPlus*,WMI-* | ? Direction -eq Inbound | Set-NetFirewallRule -Enabled True

もしくは、(1 ルールずつ設定する場合)

Get-NetFirewallRule -Name Netlogon-NamedPipe-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name Netlogon-TCP-RPC-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name ComPlusNetworkAccess-DCOM-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name ComPlusRemoteAdministration-DCOM-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name WMI-RPCSS-In-TCP | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name WMI-WINMGMT-In-TCP | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name WMI-ASYNC-In-TCP | Set-NetFirewallRule -Enabled True
広告