事件識別碼

本主題包含以下章節:

資料傳輸工作失敗,發生事件識別碼 81

事件識別碼 3002

許多 3004 事件與不需採取對應動作的事件一起記錄

3004 事件與無對應動作的事件一起記錄

事件識別碼 3006 未正確發生

定期發生事件識別碼 5000 和 5001

事件識別碼 9029

發生錯誤 10002

執行掃描導致事件識別碼 10004 發生

發生事件識別碼 10016

隨選掃描在 MOM 伺服器上產生 10096 和 10069 事件

代理程式安裝失敗,發生事件識別碼 11724

已封鎖代理程式傳入佇列資料提交,事件識別碼 21268 與 21269

事件識別碼 21711

已封鎖伺服器外寄資料處理序,事件識別碼 22061

事件識別碼 25100

代理程式被拒絕,事件識別碼 26017

如果集合資料庫和報告資料庫位於不同的系統,且 SQL Server Agent 服務 (以本機系統身份) 正在包含報告資料庫的伺服器上執行,則可在應用程式記錄中看到下列錯誤:

錯誤訊息

來源:DataTransformationServices

識別碼: 81

錯誤來源:Microsoft Data Transformation Services (DTS) 封裝

錯誤描述:封裝因步驟 DTSStep_DTSTransferObjectsTask_1 失敗而失敗。

錯誤碼: 80040428

\錯誤說明檔:sqldts80.hlp

錯誤說明內容識別碼:700

背景

如果在包含報告資料庫的伺服器上用來執行 SQL Server 代理程式的帳戶,沒有其他伺服器上的集合資料庫權限,則將發生此錯誤。此錯誤發生的原因通常是將 SQL Server 代理程式當成本機系統執行所致。

解決方案

建議您將 SQL Server Agent 服務帳戶當成網域使用者帳戶。如果您針對 Client Security 使用現有的 SQL Server 電腦,則您可能沒有使用網域使用者帳戶的 SQL Server Agent 服務。

為了讓 Client Security 正確運作,您必須將 SQL Server Agent 服務在報告資料庫上執行時所使用的帳戶權限,授予管理、集合和報告伺服器上的集合資料庫。這個動作可讓 Client Security DTS 帳戶存取集合資料庫。

若要授予權限,請執行下列動作:在管理、集合和報告伺服器上,將報告資料庫的 SQL Server Agent 服務執行時所使用的網域使用者帳戶,新增到 SQLServer2005MSSQLUser $computername$ MSSQLSERVER 群組。

如需 Client Security 之建議帳戶的詳細資訊,請參閱安裝和部署 Client Security (英文) (http://go.microsoft.com/fwlink/?LinkID=86650)。

在執行 Windows XP Service Pack 2 (SP2) 的電腦上安裝 Client Security 代理程式後,您可能會在事件檢視器的系統記錄中接收到下列錯誤:

錯誤訊息

事件識別碼 3002:Microsoft Forefront Client Security 即時保護代理程式發生錯誤且失敗。

使用者:NT AUTHORITY\SYSTEM

代理程式:OnAccessAgent

錯誤碼:0x80070032

錯誤描述:不支援這個要求。

背景

安裝 Client Security 代理程式後,先安裝 Windows XP Hotfix (KB914882) 再安裝代理程式元件。需要使用這個必要 Hotfix,才能在 Windows XP SP2 上執行 Client Security。但 clientsetup.exe 並未重新啟動用戶端系統,而這是 Hotfix 的必要動作。

解決方案

重新啟動受影響的用戶端電腦。

您可能從 Client Security 代理程式的即時保護元件中接收到大量偵測事件 (3004),包含不需採取對應動作的事件 (3005 或 3006)。

背景

如果 Windows 索引服務執行的磁碟位置有惡意程式碼,且沒有使用者登入電腦,則可能發生此事件。Client Security 代理程式的自動清除程序需要與桌面互動,但如果沒有使用者登入,則不可能進行互動。

解決方案

請通知使用者登入電腦並執行快速掃描。

您可能會定期看到記錄的「偵測到惡意程式碼」事件 (3004),不含對應的動作成功 (3005) 或失敗 (3006)。此外,3004 事件的狀態欄位顯示執行緒已暫停。

背景

當使用者嘗試透過 Microsoft Internet Explorer® 存取惡意程式碼時,就會呼叫 Client Security 代理程式來評估檔案。當代理程式偵測到惡意程式碼 (產生 3004 事件) 後,Internet Explorer 會在代理程式清除該檔案之前予以刪除,藉此略過 3005 事件。

解決方案

由於已移除惡意程式碼,所以系統管理員不需對這種情況採取動作。

在部份情況下,您可能會看到事件識別碼 3006 與下列資訊:

錯誤訊息

Microsoft Forefront Client Security 即時保護代理程式對間諜軟體或其他潛在的惡意軟體採取動作時發生錯誤。

錯誤碼:0x80508022

錯誤描述:若要完成移除間諜程式間諜軟體和其他潛在的垃圾軟體,請重新啟動電腦。

解決方案

重新啟動受影響的電腦。

您可能會看到錯誤,其中的事件識別碼 5000 後面接著資訊事件識別碼 5001。

背景

當它向 SpyNet 回報統計資料時,Antimalware Service 會產生此事件配對。如需 SpyNet 的詳細資訊,請參閱《Client Security 系統管理指南》的設定 SpyNet 報告 (http://go.microsoft.com/fwlink/?LinkId=86670)。

Bb643195.note(zh-tw,TechNet.10).gif附註
若在提交時出現任何個人身分資料,系統會提示使用者同意。如果沒有個人身分資料,且使用者已選擇使用 SpyNet 的選項,則不會出現提示。
解決方案

您可以忽略這些訊息。

開啟 MOM 系統管理員主控台或 MOM 操作員主控台時,可能會收到下列錯誤:「連線至伺服器時發生錯誤:servername」。

此外,事件識別碼 9029 會記錄在事件檢視器的應用程式記錄中。

背景

變更 MOM 動作帳戶的密碼後,可能發生會此錯誤。

解決方案

使用 MOM 工具 SetActionAccount.exe,通知 MOM 新密碼。可在下列位置的 Client Security 安裝資料夾中找到 SetActionAccount.exe 工具:

Client Security\Server\Microsoft Operations Manager 2005

工具使用下列命令列語法:

SetActionAccount.exe <configname> <options>

選項 結果

-query

傳回目前的動作帳戶設定。

-set domain  username [password]

變更動作帳戶,將其設定為指定的帳戶。使用電腦名稱來取代本機帳戶的網域。

Bb643195.note(zh-tw,TechNet.10).gif附註
configname 是管理群組名稱且必須指定。此外,您必須重新啟動 MOM 服務,所作的任何變更才會生效。
Bb643195.note(zh-tw,TechNet.10).gif重要事項
若安裝期間授予指定的帳戶權限不足,也可能在安裝程序中發生事件識別碼 9029。如需詳細資訊,請參閱安裝問題

緊接著完成 Client Security 安裝後,但在執行設定精靈前,您可能會在事件檢視器的系統記錄中看到下列錯誤:

錯誤訊息

事件類型:錯誤

事件來源:FcsMs

事件類別目錄:無

事件識別碼:10002

日期:2007/2/27

時間:上午 9:27:24

使用者:不適用

電腦:B3TSTX106

描述:

Management Server Service 無法匯入更新的反惡意程式碼定義。回報此錯誤的元件傳回下列的詳細資料:

無法開啟登入所要求的資料庫 "OnePoint"。登入失敗。

詳細資料也可能包含下列句子:「找不到預存程序 'fcs_Get_AM_Version_Information'。」

背景

由於未完整設定 Client Security 安裝,所以發生錯誤 10002。

解決方案

針對初次作業,啟動 Client Security 主控台,執行設定精靈。

當您嘗試在 Client Security 代理程式上執行 SSA 掃描時,掃描失敗並記錄事件識別碼 10004,其中包含下列文字:

錯誤訊息

Forefront Client Security 狀態評估服務無法存取安裝目錄。

將不會執行掃描。

背景

當 Client Security 狀態評估服務無法在登錄中讀取安裝路徑時,會發生此錯誤。

解決方案

在登錄中,針對 Security 狀態評估服務輸入正確的安裝資料夾。

更正登錄資訊
  1. 在受影響的 Client Security 代理程式上,尋找 FcsSas.exe 檔案的位置。

  2. 依序按一下 [開始]、[執行],鍵入 regedit,再按一下 [確定]。

  3. 瀏覽到登錄中的下列位置:HKEY_LOCAL_MACHINE\Software\Microsoft\Microsoft Forefront\Client Security\1.0\SSA

  4. 如果 InstallDir 遺失,請按一下 [編輯],選取 [新增],然後選取 [字串值]。在右窗格中鍵入 InstallDir,然後按下 ENTER

  5. 在右窗格中,按兩下 [InstallDir]。

  6. 在 [編輯字串] 對話方塊的 [數值資料] 方塊中,輸入 FcsSas.exe 檔案的路徑,包括最後的 " \ ",再按一下 [確定]。

在報告伺服器的系統記錄中,您可能會看到事件識別碼 10016 與下列類似資訊:

錯誤訊息

應用程式特定設定的權限設定無法將 COM 伺服器應用程式的本機啟用權限,透過 CLSID

{BA126AD1-2166-11D1-B1D0-00805FC1270E}

授予給使用者 NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20)。您可以使用元件服務系統管理工具修改此安全性權限。

背景

"NETWORK SERVICE" 帳戶在 DCOM 中沒有啟用權限。

解決方案
解決 10016 錯誤
  1. 在 [系統管理工具] 中,開啟 [元件服務]。

  2. 在樹狀目錄中,依序展開 [元件服務]、[電腦] 及 [我的電腦],再按一下 [DCOM 設定]。

  3. 在右窗格中,於標示為 [netman] 的 COM 應用程式上按一下滑鼠右鍵,再按一下 [內容]。

  4. 按一下 [安全性] 索引標籤,按一下 [啟動和啟用權限] 下的 [編輯],再按一下 [啟動權限] 方塊的 [新增]。

  5. 在 [選取使用者、電腦或群組] 方塊中,鍵入 network service,然後按一下 [確定]。

  6. 在 [NETWORK SERVICE 的權限] 下,針對 [遠端啟動]、[本機啟用] 和 [遠端啟用] 選取 [允許] 核取方塊。按一下 [確定] 關閉剩餘的對話方塊。

在區隔集合伺服器與 Client Security 主控台的拓撲中安裝 Client Security 時,執行隨選掃描會導致集合伺服器發生兩個失敗的事件。第一個是事件 10096,會出現下列錯誤:「建立程序失敗,結果 = '9'」。第二個是事件 10069,會出現下列錯誤:「從登錄 '2' 讀取字串時發生錯誤」。

背景

Client Security 代理程式不會自動安裝在集合伺服器上。然而,由於集合伺服器執行 MOM,因此會將其視為受管理電腦,並受限於針對「所有受管理電腦」所進行的任何動作。掃描的反惡意程式碼部份將產生其中一組錯誤,而安全性狀態評估 (SSA) 掃描將產生其中的第二組錯誤。

解決方案

您可以忽略這些錯誤。

Client Security 代理程式安裝可能失敗,事件記錄會記錄包含下列文字的錯誤:「產品:Forefront Client Security -- 安裝作業失敗。」

解決方案

若要判斷失敗的原因,請在用戶端電腦的 Client Security 安裝資料夾中,開啟 clientsetup.log 檔案。若未在執行 clientsetup.exe 時指定自訂安裝位置,記錄檔將位於下列位置:

%Program Files%\Microsoft Forefront\Client Security\Client\Logs

clientsetup.log 檔案列出失敗的適當代理程式元件的記錄檔。

MOM 代理程式可能會定期記錄下列事件 (以列示的順序):

錯誤訊息

事件識別碼 21268:已封鎖代理程式傳入佇列資料提交。這可能表示佇列的空間不足或無法使用,所以無法接受資料。

事件識別碼 21269:代理程式傳入佇列現在有足夠的空間或可以處理新資料。

背景

在高負載或無法將網路連線到 MOM 伺服器時,可能會發生這組事件。

MOM 代理程式會累積事件和警示,以傳給佇列中的 MOM 伺服器。一般而言,當代理程式能與 MOM 伺服器通訊時,則不會完全填滿佇列。然而,當代理程式與其 MOM 伺服器中斷連線一段很長的時間,或累積大量的事件或警示時,佇列可能會滿溢。發生這種情況時,您可能會看到上述事件。

Bb643195.note(zh-tw,TechNet.10).gif附註
請注意,如果這種情況持續很長的時間,Client Security 事件和警示 (來自用戶端) 可能會遺失。
解決方案

調查事件的發生原因。如果用戶端電腦已中斷網路連線一段很長的時間 (例如電腦的使用者正在度假),則可能會遺失部份警示或事件。

您可以調整代理程式的佇列大小參數。如此可讓代理程式無法與 MOM 伺服器通訊時,保留更多的暫存資料。您應該設定此值,如此您便不會再定期收到代理程式佇列滿溢事件。預設值是 3,000 KB,所以若加倍成 6,000 KB,則可延長一倍的時間,佇列才會滿溢。

您必須先啟用設定變更,才能調整代理程式的佇列大小。

啟用代理程式設定變更
  1. 在管理伺服器上,開啟 [MOM 系統管理員主控台]。

  2. 在樹狀目錄中,展開 [系統管理] 並按一下 [通用設定]。

  3. 在 [詳細資料] 窗格中,按兩下 [管理伺服器] 並按一下 [檢查活動訊號] 索引標籤。

  4. 在 [掃描代理程式活動訊號間隔時間] 方塊中輸入 602,再按一下 [確定]。

調整代理程式的佇列大小
  1. 在 MOM 系統管理員主控台的樹狀目錄中,展開 [系統管理] 並按一下 [通用設定]。

  2. 在 [詳細資料] 窗格中,按兩下 [代理程式] 並按一下 [暫存位置] 索引標籤。

  3. 在 [磁碟空間上限] 方塊中輸入所要的佇列大小,再按一下 [確定]。

變更代理程式佇列大小後,解決 MOM 操作員主控台的警示並監視未來是否發生警示。若再次出現警示,請進一步增加佇列大小。

部署 Client Security 的第二個代理程式後,可能會在應用程式記錄中看到事件識別碼 21711:

錯誤訊息

此管理群組的受管理電腦數量,比指定的 MOM 管理授權數量多 x 部。

其中 x 是您目前已部署的用戶端數量減一。

背景

未針對任何特定的用戶端授權數設定 Client Security 所提供的 MOM 伺服器安裝。

解決方案
排除錯誤
  1. 開啟 MOM 系統管理員主控台。作法是:在 MOM 伺服器上,按一下 [開始],指向 [所有程式],指向 [Microsoft Operations Manager 2005],再按一下 [系統管理員主控台]。

  2. 展開 [系統管理] 節點並選取 [通用設定]。

  3. 在右窗格中,按兩下 [授權]。

  4. 在 [授權] 索引標籤的 [所購買的授權數量] 下,輸入您管理的用戶端電腦數量,再按一下 [確定]。

在 MOM 伺服器上,您會看到下列事件:

錯誤訊息

事件識別碼 22061:已封鎖伺服器外寄資料處理序。這可能表示通訊或資料庫處理發生問題。

背景

當集合 (OnePoint) 資料庫無法使用,或無法處理其佇列中的資料要求量時,會發生此事件。進行大量資料輸入,或未在資料庫中進行大量未完成的插入動作時,可能會發生這種情況。

用戶端代理程式提交給 Client Security 資料庫的資料會先儲存在 MOM 伺服器的佇列中,再寫入資料庫。若此佇列已滿,伺服器就無法再接受代理程式的事件和警示。

解決方案

若是在伺服器上執行一般作業時發生這種情況,則建議您將 SQL Server 資料庫移到速度更快的磁碟,或新增其他處理器以擴充 MOM 伺服器或執行 SQL Server 電腦的處理能力。

此外,也可以調整 MOM 伺服器的傳入佇列大小。您應該調整此佇列的大小,如此您便不會再接收到此錯誤。預設大小是 30 MB,將佇列增加到 100 MB 有助於減少佇列問題。

調整 MOM 伺服器的傳入佇列大小
  1. 在管理伺服器上,開啟 [MOM 系統管理員主控台]。

  2. 在樹狀目錄中,展開 [系統管理] 並按一下 [通用設定]。

  3. 在 [詳細資料] 窗格中,按兩下 [管理伺服器] 並按一下 [暫存位置] 索引標籤。

  4. 在 [磁碟空間上限] 欄位中輸入新值,再按一下 [確定]。

變更伺服器佇列大小後,解決 MOM 操作員主控台的警示並監視未來是否發生警示。若再次出現警示,請進一步增加佇列大小。

如需 MOM 事件的詳細資訊,請參閱監視 MOM (英文) (http://go.microsoft.com/fwlink/?LinkId=86549)。

事件識別碼 25100 透過 DCOM 記錄。事件包含下列錯誤:「DCOM 遇到錯誤『登入失敗:不明的使用者名稱或錯誤密碼。』。」

背景

此錯誤表示必須更新資料存取伺服器 (DAS) 帳戶。

解決方案
變更 DAS 帳戶資訊
  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [元件服務]。

  2. 在樹狀目錄中,依序展開 [元件服務]、[電腦]、[我的電腦] 及 [COM+ 應用程式],在 [Microsoft Operations Manager 資料存取伺服器] 上按一下滑鼠右鍵,再按一下 [內容]。

  3. 按一下 [識別] 索引標籤,輸入正確的密碼,再按一下 [確定]。

如需更新 Client Security 服務帳戶密碼的詳細資訊,請參閱《Client Security 系統管理指南》的更新服務帳戶密碼 (http://go.microsoft.com/fwlink/?LinkId=86743)。

在用戶端系統上安裝 Client Security 代理程式後,一開始您會看到 (在應用程式記錄中) 代理程式拒絕事件,並出現事件識別碼 26017。此外也會產生 MOM 警示,您可在 MOM 操作員主控台中檢視該警示。

解決方案

在 [管理伺服器] 內容的 [代理程式安裝] 索引標籤上,確認已清除 [拒絕新的手動代理程式安裝] 核取方塊,然後重新啟動 MOM 服務。

顯示: