Operations Lab.

System Center 2012 SP1 Operations Manager で Windows サーバーに対する Agent の PUSH インストールに失敗したときのメモ。

一度失敗した場合、再度検出する必要はない

「エージェントで管理」するサーバーを新規で追加する場合、「管理」→「デバイスの管理」→「エージェントで管理」を右クリックし、検出ウィザードでサーバーを検出させると思いますが、一度検出したサーバー（で、エージェントの PUSH インストールに失敗したサーバー）は、 検出ウィザードから PUSH インストールを再試行することができません。

検出ウィザードは、言葉通り SCOM 上で新しい管理対象を検出し、さらにエージェントをインストールしようとします。検出ウィザードで、管理対象へのエージェントのインストールステップまで進んでいる場合は、すでに SCOM 上で管理対象としての検出が完了しているため、新規の検出対象として表示されません。

既に検出済みのサーバーに対して、エージェントのインストールを再試行する場合は、「管理」→「デバイスの管理」→「保留の管理」に保留中のサーバー（エージェントの PUSH インストール失敗など、検出されているが管理対象として組み込まれていないサーバー）が表示されますので、そちらからエージェントのインストールを再試行することができます。

エージェントの PUSH インストールに失敗した際に見直す項目

少し古いですが、以下の記事が参考になります。

• SCOM エージェントのプッシュインストールが失敗する場合に確認すべきポイントについて

チェックポイント

• 必要なサービスが起動している
• 管理サーバー上でターゲットサーバーの名前（FQDN）を解決できる
• ターゲットサーバー上で必要な通信が許可されている

ターゲットサーバー上で起動すべきサービス

• Netlogon
• Remote Registry
• Windows Installer （手動）
• Windows Update

ターゲットサーバー上で有効化する Windows Firewall ルール

開放すべきポートの情報は、上記のページや SCOM の Requirements ページに記載されていますので、個別にルールを追加する場合はそれらを参考にすれば OK です。

• システム要件: System Center 2012 R2 Operations Manager
• システム要件: System Center 2012 SP1 Operations Manager

Windows Firewall 既定のルールで代用する場合は、あまり情報がありませんが、通信要件を参考に以下のルールを有効化すると概ね上手くいきました。（本来必要な範囲より多めに解放される気がしますので、完全な閉域環境以外では十分注意してください。）

• Netlogon サービス (NP 受信)
• Netlogon サービス Authz (RPC)
• COM+ ネットワーク アクセス (DCOM-受信)
• COM+ リモート管理 (DCOM-受信)
• Windows Management Instrumentation (DCOM 受信)
• Windows Management Instrumentation (WMI 受信)
• Windows Management Instrumentation (非同期受信)

※上記サービスは、Windows Server 2012 R2 の場合

PowerShell で設定する場合は、

Get-NetFirewallRule Netlogon-*,ComPlus*,WMI-* | ? Direction -eq Inbound | Set-NetFirewallRule -Enabled True

もしくは、（1 ルールずつ設定する場合）

Get-NetFirewallRule -Name Netlogon-NamedPipe-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name Netlogon-TCP-RPC-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name ComPlusNetworkAccess-DCOM-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name ComPlusRemoteAdministration-DCOM-In | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name WMI-RPCSS-In-TCP | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name WMI-WINMGMT-In-TCP | Set-NetFirewallRule -Enabled True
Get-NetFirewallRule -Name WMI-ASYNC-In-TCP | Set-NetFirewallRule -Enabled True