System Center 2016 Operations Manager: The health service blocked access to the windows credential NT AUTHORITY\SYSTEM because it is not authorized on management group

После развёртывания агента System Center 2016 Operations Manager (SCOM) на контроллере домена Active Directory с ОС Windows Server 2012 R2 или Windows Server 2016 было замечено, что агент не может подключиться к серверу управления SCOM.

В консоли Operations Manager установленный агент отображался как неактивный:

При попытке перезапуска службы агента на контроллере домена в логе "Operations Manager" сначала фиксировалась ошибка 7017:

Log Name:      Operations Manager
Source:        HealthService
Event ID:      7017
Task Category: Health Service
Level:         Error
Computer:      KOM-DC01.holding.com
Description:   The health service blocked access to the windows credential NT AUTHORITY\SYSTEM because it is not authorized on management group KOM-MG01. You can run the HSLockdown tool to change which credentials are authorized.

Затем, в этом же логе появлялось множество схожих ошибок запуска процессов обнаружения:

Log Name:      Operations Manager
Source:        HealthService
Event ID:      1102
Task Category: Health Service
Level:         Error
Computer:      KOM-DC01.holding.com
Description:   Rule/Monitor "Microsoft.SystemCenter.DiscoveryHealthServiceCommunication" running for instance "KOM-DC01.holding.com" with id:"{20B36926-4BB8-623D-EAD5-C6101CC3B179}" cannot be initialized and will not be loaded. Management group "KOM-MG01"

Проблема описана в заметке Кевина Холмана "Deploying SCOM 2016 Agents to Domain controllers – some assembly required" и её решение связано с применением утилиты Health Service Lockdown Tool (HSLockdown.exe), подробней о которой можно почитать в статье "Microsoft Learn - Control Access by Using the Health Service Lockdown Tool in Operations Manager".

На контроллере домена после установки агента SCOM требуется выполнить конфигурацию службы агента следующими командами:

cd /d "C:\Program Files\Microsoft Monitoring Agent\Agent"
HSLockdown.exe /A "NT AUTHORITY\SYSTEM"
net stop "Microsoft Monitoring Agent"
net start "Microsoft Monitoring Agent"

После этого агент должен ожить в консоли SCOM.

В комментариях к выше упомянутой статье К.Холмана можно найти информацию о том, что подобную конфигурацию агента SCOM на контроллерах домена нужно делать и в случае использования System Center 2019/2022 Operations Manager.