The Will Will Web

最近花了些時間研究 SCOM 2007 R2 ( System Center Operation Manager )，在加入伺服器進行監控前都要透過「探索精靈」先將電腦加入到 SCOM 中，但偏偏有幾台主機就是無法成功加入監控，研究了一會兒才發現原來是防火牆沒有正確開啟導致，尤其是要透過 SCOM 遠端進行 代理程式 (Agent) 安裝時更需要特別開啟遠端系統管理，否則將無法正確安裝成功。

首先，我們要先將即將被監控的主機開啟 [具有進階安全性的 Windows 防火牆] 介面 ( wf.msc )，並選取 [輸入規則] 然後找到三項 [遠端系統管理] 的項目，並進行啟用規則，如下圖示：

如果為了安全起見，你還可以修改這些啟用規則的 [內容] / [進階] 頁籤，並將 [設定檔] 的 [私人] 與 [公用] 取消選取，以避免不可預期的安全風險。( 例如短暫時間內脫離網域之類的 )

如果都設定正常，那麼在執行探索精靈時就會非常順利，以下是執行過程：

相關連結

• Using a Firewall with Operations Manager 2007 [ TechNet ]
• 搭配使用防火牆與 Operations Manager 2007 [ TechNet ]
• System Center Operations Manager Firewall Requirements
• System Center Operations Manager Firewall Requirements
• Ports required for SCOM agent push-install
• SCOM Agent requirements and firewall ports

剛在設定 SCOM ( System Center Operation Manager ) 的監控時，發現監控網域主控站的 DNS 服務時一直會出現重大錯誤的警示，而這個監控項目是 DNS 2008 External Resolution Monitor，找了一下資料才將此問題解決，原來是預設的監控規則有點問題，導致查詢不斷顯示錯誤，但事實上 DNS 服務卻是正常運行的。

首先，我們先看錯誤發生的圖示（點圖可放大）：

修正此問題的方法如下：

1. 開啟「撰寫中」頁籤，在左側選單選取 [撰寫中] / [管理組件物件] / [監視] ，並在右邊視窗的 [尋找] 輸入 External Resolution Monitor 進行篩選：

2. 我們要將預設的監視物件進行覆寫(override)，所以要針對所有物件進行覆寫：

3. 再輸入 DNS 搜尋，並選取 DNS Server 項目

4. 由於該監控是透過 nslookup 工具進行外部 DNS 網域查詢，而且僅查詢 NS 紀錄，該 DNS MP 預設的 www.microsoft.com 網域並無 NS 紀錄，所以才會導致此錯誤，我們只要將數值修改成 microsoft.com 即可查到正確的 NS 紀錄。如下圖示：

相關連結

• DNS MP External Resolution Monitor always in a critical state?