SCOM Event ID 1102: Überwachung von Domain Controllern

Problematik: Nachdem der SCOM Agent auf einem Domain Controller verteilt wurde, werden keine Überwachungsberichte auf dem SCOM gelistet.

Auf dem Domain Controller häufen sich die EventIDs 1102 “HealthService“ mit der Fehlermeldung:

Rule/Monitor "Microsoft.SystemCenter.xxxxxx.xxxxx" running for instance "dc1.Lab19.local" with id:"" cannot be initialized and will not be loaded. Management group "SCOM"

Lösung:

Dieses Problem tritt auf, wenn dem lokalen Systemaccount Berechtigungen fehlen.

Überprüft werden kann dies über das Tool HSLockdown. Nähere Informationen zum Tool finden Sie unter [1].

Öffnen Sie hierfür die CMD als Administrator.

Navigieren Sie in den Ordner %windir%\Program Files\Microsoft Monitoring Agent\Agent

Und setzen Sie den Befehl HSLockdown.exe /L ab.

Wie in dem nachfolgenden Bild zu sehen ist, sind die Berechtigungen für den Account “NT AUTHORITY\SYSTEM” auf “Denied” gesetzt.

SCOM Event ID 1102.PNG

Berechtigungen gewähren können Sie über den folgenden Befehl:

HSLockdown.exe /A “NT AUTHORITY\SYSTEM”

SCOM Event ID 1102_2.PNG

Anschließend muss noch der Dienst “Microsoft Monitoring Agent” neu gestartet werden und der Domain Controller sollte wieder überwacht werden können.

[1] https://docs.microsoft.com/en-us/system-center/scom/manage-security-overview-hslockdown?view=sc-om-2019


UNSERE NÄCHSTEN SCHULUNGEN