Agenti Operations Managera

Důležité

Tato verze Operations Manager dosáhla konce podpory, doporučujeme upgradovat na Operations Manager 2019.

V System Center Operations Manager Agent je služba, která je nainstalovaná na počítači, který hledá konfigurační data a proaktivně shromažďuje informace pro analýzu a vytváření sestav, měří stav monitorovaných objektů, jako je SQL Database nebo logický disk, a spouští úlohy na vyžádání operátorem nebo v reakci na podmínku. Díky tomu může Operations Manager monitorovat operační systémy Windows, Linux a UNIX a komponenty IT služeb, které jsou v nich nainstalované, jako je web nebo řadič domény Active Directory.

Agent Windows

Na monitorovaný počítač se systémem Windows je agent Operations Manager uveden jako služba Microsoft Monitoring Agent (MMA). Služba Microsoft Monitoring Agent shromažďuje data o událostech a výkonu a spouští úlohy a další pracovní postupy definované v sadě Management Pack. Dokonce i pokud služba nemůže komunikovat se serverem pro správu, kterému předává sestavy, zůstává nadále spuštěna a shromážděná data a události zařadí do fronty na disk monitorovaného počítače. Po obnovení připojení služba Microsoft Monitoring Agent odešle shromážděná data a události na server pro správu.

Poznámka

  • Služba Microsoft Monitoring Agent je občas označována jako služba stavu (Health Service).

Služba Microsoft Monitoring Agent běží také na serverech pro správu. Tato služba provádí na serveru pro správu monitorování pracovní postupů a spravuje přihlašovací údaje. Tato služba spouští pracovní postupy spuštěním procesu MonitoringHost.exe pomocí zadaných přihlašovacích údajů. Tyto procesy monitorují a shromažďují data protokolu událostí, data čítače výkonu, data rozhraní WMI (Windows Management Instrumentation) a spouští akce, např. skripty.

Komunikace mezi agenty a servery pro správu

Agent Operations Manageru odesílá výstrahy a data zjišťování na jemu přiřazený primární server pro správu, který zapisuje data do provozní databáze. Agent rovněž odesílá data událostí, výkonu a stavu na primární server pro správu pro tohoto agenta, který zapisuje data souběžně do provozní databáze a databáze datového skladu.

Agent odesílá data podle parametrů plánu pro každé pravidlo a monitorování. Pro optimalizovaná pravidla shromažďování dat jsou data přenášena pouze v případě, že se vzorek čítače liší od předchozího vzorku o zadanou toleranci, například 10 %. To pomáhá snížit zatížení sítě a objem dat uložený v provozní databázi.

Všichni agenti navíc v pravidelném intervalu (ve výchozím nastavení každých 60 sekund) odesílají na server pro správu paket dat – tzv. prezenční signál. Účelem prezenčního signálu je ověřit dostupnost agenta a komunikaci mezi agentem a serverem pro správu. Další informace o prezenčních signálech najdete v článku Způsob fungování prezenčních signálů v nástroji Operations Manager.

Pro každého agenta spustí nástroj Operations Manager sledovací proces služby stavu, který sleduje stav vzdálené služby Health Service z pohledu serveru pro správu. Agent se serverem pro správu komunikuje přes port TCP 5723.
Komunikace agenta se serverem pro správu

Agent systému Linux/UNIX

Architektura agenta pro systémy UNIX a Linux se výrazně liší od agenta pro Windows. Agent Windows má službu Health Service, která má na starost vyhodnocení stavu monitorovaného počítače. Agent UNIX a Linux nespustí službu Health Service, místo toho předává informace do Health Service na management server k vyhodnocení. Management server spustí všechny pracovní postupy, které sledují stav operačního systému definovaný v naší implementaci sad Management Pack systému UNIX a Linux:

  • Disk
  • Procesor
  • Paměť
  • Síťové adaptéry
  • Operační systém
  • Procesy
  • Soubory protokolu

Agenti systémů UNIX a Linux pro Operations Manager se skládají z CIM Object Manager (tj. serveru CIM) a sady poskytovatelů CIM. CIM Object Manager je součást "Server", která implementuje WS-Management komunikaci, ověřování, autorizaci a odesílání žádostí poskytovatelům. Poskytovatelé jsou klíčem k implementaci CIM v agentovi, definování tříd a vlastností CIM, propojení s rozhraními API pro načítání nezpracovaných dat, formátování dat (například výpočet rozdílů a průměrů) a údržba požadavků odeslaných z CIM Object Manager. Od System Center Operations Manageru 2007 R2 až po System Center 2012 SP1 je CIM Object Managerem, který se používá v agentech Operations Manageru pro UNIX a Linux, server OpenPegasus. Poskytovatele, kteří se používají ke shromažďování a generování sestav o datech monitorování, vyvíjí Microsoft. Jejich kód je Open Source a poskytuje se na serveru CodePlex.com.
Softwarová architektura agenta Operations Manageru pro UNIX/Linux

Tato změna v System Center 2012 R2 Operations Manager, kde agenti UNIX a Linux teď vycházejí z plně konzistentní implementace infrastruktury OMI (Open Management Infrastructure) jako jejich CIM Object Manager. V případě agentů Operations Manageru pro UNIX/Linux OMI nahrazuje OpenPegasus. Podobně jako OpenPegasus, OMI je open source, odlehčená a přenosná CIM Object Manager implementace – i když je světlejší a větší než OpenPegasus. Tato implementace se v nástroji System Center 2016-Operations Manager a novějších verzích stále aplikuje.
Aktualizovaná softwarová architektura agenta Operations Manageru pro UNIX/Linux

Komunikace mezi management server a agentem systému UNIX a Linux je rozdělena do dvou kategorií, údržby agentů a sledování stavu. Servery pro správu ke komunikaci s počítači UNIX nebo Linux používají dva protokoly:

  • SSH (Secure Shell) a SFTP (Secure Shell File Transfer Protocol).

    Používá se pro úkoly údržby agenta, třeba instalaci, upgrade a odebírání agentů.

  • Protokol WS-Management (Web Services for Management)

    Používá se k monitorování operací a zahrnuje zjišťování dříve nainstalovaných agentů.

Komunikace mezi Operations Manager management server a agentem UNIX a Linux používá WS-Man přes HTTPS a rozhraní WinRM. Všechny úkoly údržby agenta se dělají přes protokol SSH na portu 22. Veškeré monitorování stavu probíhá přes protokol WS-MAN na portu 1270. Server pro správu si prostřednictvím protokolu WS-MAN vyžádá data o výkonu a konfiguraci, pomocí kterých se určí stav. Pak tato data vyhodnotí. Všechny akce, například údržba agenta, monitorování, pravidla, úlohy a obnovení, jsou konfigurovány tak, aby používaly přednastavené profily v souladu s jejich požadavkem na neprivilegovaný nebo privilegovaný účet.

Poznámka

Všechna pověření uvedená v tomto článku se vztahují na účty, které byly vytvořeny v počítači se systémem UNIX nebo Linux, nikoli na účty Operations Manager, které jsou konfigurovány během instalace Operations Manager. Chcete-li získat přihlašovací údaje a informace o ověřování, obraťte se na správce systému.

Aby bylo možné podporovat nové vylepšení škálovatelnosti s počtem 2016 systémů UNIX a Linux, které se Operations Manager a novějším mohou monitorovat za management server, jsou k dispozici nová rozhraní API pro asynchronní správu Windows (MI), která se používají ve výchozím nastavení. Chcete-li povolit tuto změnu, je třeba vytvořit nový klíč registru UseMIAPI , který umožní Operations Manager používat nová rozhraní API pro asynchronní rozhraní API na serverech pro správu, které sledují systémy Linux/UNIX.

  1. Otevřete Editor registru z příkazového řádku se zvýšenými oprávněními.
  2. V části vytvořte klíč registru UseMIAPI HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup .

Pokud potřebujete obnovit původní konfiguraci pomocí rozhraní API pro synchronizaci se systémem WSMAN, můžete odstranit klíč registru UseMIAPI .

Zabezpečení agenta

Ověřování na počítači se systémem UNIX nebo Linux

V Operations Manager již není nutné, aby správce systému poskytoval do management server kořenové heslo počítače se systémem UNIX nebo Linux. Nyní může neprivilegovaný účet pomocí zvýšení oprávnění převzít identitu privilegovaného účtu počítače se systémem UNIX nebo Linux. Proces zvýšení oprávnění je prováděn pomocí programů su (superuživatel) a sudo systému UNIX, které používají přihlašovací údaje předané serverem pro správu. Při operacích údržby privilegovaného agenta využívajících protokol SSH (například zjišťování, nasazení, upgrady, odinstalace a obnovení agenta) je možné použít ověřování se zvýšením oprávnění su nebo sudo a ověření pomocí klíče SSH (s heslem nebo bez něj). Nově je také možné u privilegovaných operací WS-Management (například zobrazení zabezpečených souborů protokolů) využít zvýšení oprávnění sudo (bez hesla).

Podrobné pokyny, jak zadávat přihlašovací údaje a konfigurovat účty, najdete v tématu Nastavení přihlašovacích údajů pro přístup k počítačům se systémem UNIX a Linux.

Ověřování pomocí serveru brány

Servery brány se používají k tomu, aby bylo možné spravovat agenty počítačů, které jsou mimo hranice vztahu důvěryhodnosti protokolu Kerberos skupiny pro správu. Vzhledem k tomu, že se server brány nachází v doméně, která není doménou, ve které se nachází skupina pro správu, považována za důvěryhodnou, je nutné pomocí certifikátů pro každý počítač stanovit identitu, agenta, server brány a server pro správu. Toto nastavení splňuje požadavek nástroje Operations Manager na vzájemné ověřování.

To vyžaduje, abyste požádali o certifikáty pro každého agenta, který bude hlásit serveru brány, a naimportujte tyto certifikáty do cílového počítače pomocí nástroje pro MOMCertImport.exe, který se nachází v adresáři instalačního média SupportTools \ (amd64 nebo x86). Musíte mít přístup k certifikační autoritě (CA), která může být veřejná certifikační autoritou, jako je například VeriSign, nebo můžete použít certifikační službu společnosti Microsoft.

Nasazení agenta

Agenty System Center Operations Manager mohou být nainstalovány pomocí jedné z následujících tří metod. Většina instalací využívá jejich kombinaci. Díky tomu je možné nainstalovat různé sady počítačů tak, aby vyhovovaly potřebám.

Poznámka

  • MMA nejde nainstalovat na počítač, kde je nainstalovaná Operations Manager management server, server brány, konzola Operations Console, provozní databáze, Webová konzola, System Center Essentials nebo System Center Service Manager, protože mají už nainstalovanou integrovanou verzi MMA.
  • Můžete použít jenom MMA nebo agenta Log Analytics (verze rozšíření virtuálního počítače).
  • Zjišťování a instalace jednoho nebo více agentů z konzoly Operations Console. Toto je nejběžnější forma instalace. Server pro správu musí mít možnost se připojit k počítači pomocí protokolu RPC. Zároveň účet akce serveru pro správu nebo jiné poskytnuté přihlašovací údaje musí mít přístup pro správu cílového počítače.
  • Zahrnutí do instalační image. Toto je ruční instalace základní image, která se používá k přípravě jiných počítačů. V tomto případě je možné použít integraci Active Directory, pomocí které se počítač po prvním spuštění automaticky přiřadí k serveru pro správu.
  • Ruční instalace. Tato metoda se používá v případě, že se agent nedá nainstalovat jednou z ostatních metod. To se může stát třeba v případě, že brána firewall neumožňuje využít vzdálené volání procedur (RPC). Instalační program se ručně spouští v agentovi nebo nasazuje prostřednictvím existujícího nástroje pro distribuci softwaru.

Agenty nainstalované pomocí průvodce zjišťováním lze spravovat pomocí konzole Operations Console – například lze aktualizovat verze agentů, použít opravy a nakonfigurovat server pro správu, k němuž se agent hlásí.

Nainstalujete-li agenta pomocí manuální metody, bude nutné aktualizace agenta provádět také manuálně. Pomocí integrace služby Active Directory budete moci přiřadit agenty ke skupinám pro správu. Další informace najdete v tématu Integrace služby Active Directory a nástroje Operations Manager.

Nasazení agenta na systém s Windows

Zjišťování systému Windows vyžaduje, aby zůstaly otevřené porty TCP 135 (RPC), rozsah RPC a porty TCP 445 (SMB) a na počítači agenta byla povolená služba SMB.

  • Po zjištění cílového zařízení lze do zařízení nasadit agenta. Instalace agenta vyžaduje:
  • Otevřít porty RPC začínající mapovačem koncových bodů TCP 135 a portem TCP/UDP 445 protokolu SMB (Server Message Block).
  • Povolit služby sdílení souborů a tiskáren v sítích Microsoft a klienta sítě Microsoft. (Díky tomu bude port SMB aktivní.)
  • Když se tyto služby povolí, musí se v nastavení zásad skupiny brány firewall systému Windows u možností Povolit výjimky pro vzdálenou správu a Povolit výjimku pro sdílení souborů a tiskáren vybrat možnost Povolené zdroje nevyžádaných příchozích zpráv a nastavit IP adresa a podsíť pro primární a sekundární servery pro správu pro agenta.
  • Účet, který má oprávnění místní správy pro cílový počítač.
  • Instalační službu systému Windows 3.1. Informace o instalaci najdete v článku 893803 znalostní báze Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322 .
  • Služby Microsoft Core XML Services (MSXML) 6 na instalačním médiu Operations Manageru v podadresáři \msxml. Instalace agenta push nainstaluje na cílovém zařízení službu MSXML 6, pokud ještě není nainstalovaná.

Nasazení agenta na systém UNIX a Linux

V System Center Operations Manager management server používá ke komunikaci s počítačem se systémem UNIX nebo Linux dva protokoly:

  • Secure Shell (SSH) k instalaci, upgradu a odebírání agentů.
  • Webové služby pro správu (WS-Management) k monitorování operací a zahrnutí zjišťování dříve nainstalovaných agentů.

Použitý protokol závisí na akci nebo informacích, které jsou požadovány na serveru pro správu. Všechny akce, například údržba agenta, monitorování, pravidla, úlohy a obnovení, jsou konfigurovány tak, aby používaly přednastavené profily v souladu s jejich požadavkem na neprivilegovaný nebo privilegovaný účet.

Poznámka

Všechny přihlašovací údaje zmiňované v této části patří k účtům, které se vytvořily na počítači se systémem UNIX nebo Linux, ne k účtům Operations Manageru, které se nastavily při jeho instalaci. Chcete-li získat přihlašovací údaje a informace o ověřování, obraťte se na správce systému.

Neprivilegovaný účet může pomocí zvýšení oprávnění převzít identitu privilegovaného účtu počítače se systémem UNIX nebo Linux. Proces zvýšení oprávnění je prováděn pomocí programů su (superuživatel) a sudo systému UNIX, které používají přihlašovací údaje předané serverem pro správu. Při operacích údržby privilegovaného agenta využívajících protokol SSH (třeba zjišťování, nasazování, upgrady, odinstalace a obnovení agenta) je možné použít ověřování se zvýšením oprávnění su nebo sudo a ověření pomocí klíče SSH (s heslem nebo bez něj). U privilegovaných operací WS-Management (třeba zobrazení zabezpečených souborů protokolů) je navíc možné využít zvýšení oprávnění sudo (bez hesla).

Přiřazení agenta Active Directory

System Center Operations Manager vám umožní využít investici do Active Directory Domain Services (služba AD DS), protože ji můžete použít k přiřazení počítačů spravovaných agentem skupinám pro správu. Tato funkce se obvykle používá ve spojení s agenty nasazenými jako součást procesu sestavení nasazení serveru. Když se počítač poprvé převede do režimu online, agent Operations Manageru se zeptá služby Active Directory na přiřazení agenta k primárnímu serveru pro správu a serveru pro správu s funkcí převzetí služeb při selhání a automaticky začne počítač monitorovat.

Přiřazení počítačů ke skupinám pro správu pomocí služeb AD DS:

  • Funkční úroveň domén AD DS musí být nativní režim systému Windows 2008 nebo novějšího.
  • Počítače spravované agenty a všechny servery pro správu musí být součástí jedné domény nebo oboustranně důvěryhodných domén.

Poznámka

Agent, který zjistí, že je nainstalovaný na řadiči domény, se nebude dotazovat služby Active Directory na informace o konfiguraci. Důvodem je zabezpečení. Integrace služby Active Directory je na řadičích domény standardně vypnutá, protože agent běží pod účtem Local System. Místní systémový účet na řadiči domény má práva správce domény. Proto detekuje všechny spojovací body služby serveru pro správu, které jsou zaregistrované ve službě Active Directory bez ohledu na členství ve skupině zabezpečení řadiče domény. V důsledku toho se agent pokusí připojit ke všem serverům pro správu ve všech skupinách pro správu. Výsledek může být nepředvídatelný, takže představuje bezpečnostní riziko.

Agent se přiřazuje přes bod připojení služby (SCP). To je objekt Active Directory, který slouží k publikování informací, které klientské aplikace můžou použít pro svázání se službou. To je vytvořeno správcem domény, který spouští nástroj MOMADAdmin.exe příkazového řádku pro vytvoření kontejneru služba AD DS pro skupinu pro správu Operations Manager v doménách počítačů, které spravuje. Skupině zabezpečení služeb AD DS, která se určí při spuštění souboru MOMADAdmin.exe, se udělí oprávnění ke čtení a odstraňování podřízených objektů pro daný kontejner. Spojovací bod služby obsahuje informace o připojení k management server, včetně plně kvalifikovaného názvu domény serveru a čísla portu. Pomocí dotazování na SCP můžou agenti Operations Manageru automaticky zjišťovat servery pro správu. Dědičnost není zakázaná, a protože agent může číst informace o integraci zaregistrované ve službě AD, pokud se vynucením dědičnosti pro skupinu Everyone načtou všechny objekty na kořenové úrovni ve službě Active Directory, bude to mít vážný vliv na funkci integrace služby Active Directory a v podstatě to znamená její přerušení. Pokud explicitně vynutíte dědičnost pro celý adresář tím, že udělíte skupině Everyone oprávnění ke čtení, musíte tento vztah dědičnosti zakázat v kontejneru integrace služby Active Directory s názvem OperationsManager na nejvyšší úrovni a všechny podřízené objekty. Pokud to neuděláte, integrace služby Active Directory nebude fungovat tak, jak má, a nebude mít spolehlivé a konzistentní přiřazení nasazených agentů k primárnímu serveru a serveru s funkcí převzetí služeb při selhání. Pokud kromě toho máte náhodou více než jednu skupinu pro správu, budou všichni agenti v obou skupinách pro správu také vícedomí.

Tato funkce dobře slouží k řízení přiřazení agentů v distribuovaném nasazení skupiny pro správu, aby se agenti nemohli hlásit serverům pro správu umístěným ve vyhrazených fondech zdrojů nebo serverům v sekundárním datacentru, které jsou nakonfigurované na záložní pohotovostní režim. Díky tomu agenti nebudou za normálního provozu převádět svoje služby na jiné počítače.

Konfiguraci přiřazení agenta spravuje správce Operations Manageru, který používá průvodce přiřazením agenta a převzetím služeb při selhání k přiřazení počítačů k primárnímu serveru pro správu a sekundárnímu serveru pro správu.

Poznámka

Integrace služby Active Directory je zakázána pro agenty nainstalované z konzole Operations Console. Integrace služby Active Directory je ve výchozím nastavení povolená pro agenty nainstalované ručně pomocí souboru MOMAgent.msi.

Další kroky