Ошибка обнаружения контроллеров домена в SCOM 2016 Discovery Wizard "Discovery failed. There were no computers discovered that met your criteria … Computer verification failure 0x80070005. Access is denied"

При централизованном развёртывании агентов мониторинга System Center 2016 Operations Manager (SCOM) на множество серверных систем в доменной инфраструктуре можно столкнуться с проблемой невозможности обнаружения серверов с ролью контроллера домена Active Directory. Работа мастера "Computer and Device Management Wizard" при явном указании списка контроллеров домена и учётной записи администратора домена может заканчиваться сообщением "Discovery failed … There were no computers discovered that met your criteria".

Большинство классических причин проблемы обнаружения можно найти, перейдя по ссылке, указанной в сообщении. Однако в некоторых ситуациях помогает предварительный анализ алертов, генерируемых самим SCOM, а также сопутствующих событий в Event-логах на сервере SCOM и на той системе, которую мастер развёртывания пытается опросить.

Например, в нашей ситуации, в SCOM был обнаружен алерт с ошибкой обнаружения следующего вида:

Alert: An error occurred during computer verification from the discovery wizard
Source: SCOM10.holding.com
Path: SCOM10.holding.com
Description: Computer verification failure for Machine Name: DC01.holding.com is 0x80070005. Access is denied.

Этот алерт был сгенерирован на базе ассоциированного события 11551 в event-логе "Operations Manager" на сервере SCOM:

Log Name: Operations Manager 
Source: Health Service Modules 
Event Number: 11551 
Logging Computer: SCOM10.holding.com 
Description: Computer verification failure for Machine Name: DC01.holding.com is 0x80070005. Access is denied.

Проверяем сопутствующие события в event-логе контроллера домена и в журнале "Security" обнаруживаем сообщение 4822 следующего вида:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Event ID:      4822
Task Category: Credential Validation
Level:         Information
Keywords:      Audit Failure
Computer:      DC01.holding.com
Description:   NTLM authentication failed because the account was a member of the Protected User group.
Account Name:  admin-petya
Device Name:   SCOM10
Error Code:    0xC000006E

В данном случае, по описанию события, очевидным становится то, что проблема связана с возникновением ошибки NTLM аутентификации для учётной записи доменного администратора. И связана эта ошибка может быть с тем, что используемая при обнаружении в SCOM учётная запись администратора включена в домене в специальную группу безопасности "Protected Users". А на членов этой группы, в свою очередь, распространяется ряд ограничений, усиливающих уровень безопасности, в том числе и запрет использования устаревшего протокола аутентификации NTLM.

Для решения этой проблемы, на время развёртывания агентов SCOM на контроллеры домена, потребуется исключить учётную запись администратора домена из группы "Protected Users", либо использовать отдельную учётную запись, которая включена в группу "Domain admins", но не включена при этом в "Protected Users".