Operations Manager-Agents

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

In System Center Operations Manager ist ein Agent ein auf einem Computer installierter Dienst, der nach Konfigurationsdaten sucht, proaktiv Informationen für Analyse und Berichterstellung sammelt, den Integritätsstatus überwachter Objekten wie z.B. einer SQL-Datenbank oder eines logischen Datenträgers erfasst und auf Anforderung eines Operators oder als Reaktion auf eine Bedingung Tasks ausführt. Mit einem Agent überwacht Operations Manager Windows-, Linux- und UNIX-Betriebssysteme und die Komponenten eines unter diesen Betriebssystemen installierten IT-Diensts, beispielsweise eine Website oder einen Active Directory-Domänencontroller.

Windows-Agent

Auf einem überwachten Windows-Computer wird der Operations Manager-Agent als MMA-Dienst (Microsoft Monitoring Agent) aufgelistet. Der Microsoft Monitoring Agent-Dienst sammelt Ereignis- und Leistungsdaten und führt Tasks sowie andere Workflows aus, die in einem Management Pack definiert sind. Wenn vom Dienst keine Kommunikation mit dem Verwaltungsserver hergestellt werden kann, an den die Daten gesendet werden sollen, wird der Dienst weiterhin ausgeführt, und die gesammelten Daten und Ereignisse werden auf dem Datenträger des überwachten Computers in eine Warteschlange geschrieben. Wenn die Verbindung wieder hergestellt wurde, werden die gesammelten Daten und Ereignisse vom Microsoft Monitoring Agent-Dienst an den Verwaltungsserver gesendet.

Hinweis

  • Der Microsoft Monitoring Agent-Dienst wird gelegentlich als Integritätsdienst bezeichnet.

Der Microsoft Monitoring Agent-Dienst wird auch auf Verwaltungsservern ausgeführt. Auf einem Verwaltungsserver werden vom Dienst Überwachungsworkflows ausgeführt und Anmeldeinformationen verwaltet. Zum Ausführen von Workflows werden vom Dienst mithilfe von angegebenen Anmeldeinformationen MonitoringHost.exe-Vorgänge initiiert. Von diesen Vorgängen werden Ereignisprotokolldaten, Leistungsindikatordaten und WMI-Daten (Windows Management Instrumentation) überwacht und gesammelt, und es werden Aktionen wie Skripts ausgeführt.

Kommunikation zwischen Agents und Verwaltungsservern

Der Operations Manager-Agent sendet Warnungs- und Ermittlungsdaten an den zugewiesenen primären Verwaltungsserver, der die Daten in die Betriebsdatenbank schreibt. Außerdem werden vom Agent Ereignis-, Leistungs- und Zustandsdaten an seinen primären Verwaltungsserver gesendet und von diesem simultan in die Betriebsdatenbank sowie in die Data Warehouse-Datenbank geschrieben.

Die Daten werden entsprechend den Zeitplanparametern für jede Regel und jeden Monitor gesendet. Bei optimierten Sammlungsregeln werden nur Daten übertragen, wenn ein Beispiel eines Indikators sich vom vorherigen Beispiel um eine angegebene Toleranz, z. B. 10 %, unterscheidet. Hierdurch lassen sich Netzwerkverkehr und Datenmenge in der Betriebsdatenbank reduzieren.

Zusätzlich wird von allen Agents ein Datenpaket, das als Taktbezeichnet wird, in regelmäßigen Abständen (standardmäßig alle 60 Sekunden) an den Verwaltungsserver gesendet. Mithilfe des Takts werden Verfügbarkeit des Agents und Kommunikation zwischen Agent und Verwaltungsserver überprüft. Weitere Informationen zu Takten finden Sie unter How Heartbeats Work in Operations Manager (Funktionsweise von Takten in Operations Manager).

Von Operations Manager wird für jeden Agent ein Integritätsdienstwatcherausgeführt, um den Zustand des Remoteintegritätsdiensts aus der Perspektive des Verwaltungsservers zu überwachen. Der Agent kommuniziert über TCP-Port 5723 mit einem Verwaltungsserver.
Kommunikation zwischen Agent und Verwaltungsserver

Linux/UNIX-Agent

Die Architektur des Agents für UNIX und Linux unterscheidet sich erheblich von der Architektur eines Windows-Agents. Der Windows-Agent verfügt über einen Integritätsdienst, der für die Auswertung der Integrität des überwachten Computers zuständig ist. Der Agent für UNIX und Linux führt selbst keinen Integritätsdienst aus, sondern übergibt Informationen zur Auswertung an den Integritätsdienst eines Verwaltungsservers. Der Verwaltungsserver führt sämtliche Workflows für die Überwachung der Integrität des Betriebssystems aus, die in unserer Implementierung der UNIX- und Linux-Management Packs definiert sind:

  • Datenträger
  • Prozessor
  • Arbeitsspeicher
  • Netzwerkadapter
  • Betriebssystem
  • Prozesse
  • Protokolldateien

Die UNIX- und Linux-Agents für Operations Manager bestehen aus einem CIM-Objekt-Manager (d.h. einem CIM-Server) und einer Reihe von CIM-Anbietern. Der CIM-Objekt-Manager ist die „Serverkomponente“, die die Kommunikation, Authentifizierung und Autorisierung für WS-Management sowie die Verteilung von Anforderungen an die Anbieter implementiert. Die Anbieter sind das Schlüsselelement der CIM-Implementierung im Agent. Sie definieren die CIM-Klassen und -Eigenschaften, stellen die Schnittstelle mit den Kernel-APIs zum Abrufen von Rohdaten her, formatieren die Daten (z.B. durch Berechnen von Delta- und Durchschnittswerten) und verarbeiten die Anforderungen, die vom CIM-Objekt-Manager verteilt werden. Von System Center Operations Manager 2007 R2 bis System Center 2012 SP1 wird der OpenPegasus-Server als CIM-Objekt-Manager in den Operations Manager-Agents für UNIX und Linux verwendet. Die für die Sammlung und Berichterstellung von Überwachungsdaten verwendeten Anbieter werden von Microsoft entwickelt und im Open Source-Format auf CodePlex.com bereitgestellt.
Softwarearchitektur des Operations Manager-Agents für UNIX/Linux

In System Center 2012 R2 Operations Manager erfolgte eine wichtige Änderung: UNIX- und Linux-Agents basieren jetzt auf einer vollständig konsistenten Implementierung der Open Management Infrastructure (OMI) als CIM-Objekt-Manager. Im Fall der Operations Manager-Agents für UNIX/Linux wird OpenPegasus durch OMI ersetzt. Genau wie OpenPegasus ist OMI eine Open Source-basierte, schlanke und portierbare CIM-Objekt-Manager-Implementierung – OMI ist allerdings schlanker und besser portierbar als OpenPegasus. Diese Implementierung wird in System Center 2016 – Operations Manager und höher weiterhin verwendet.
Aktualisierte Softwarearchitektur des Operations Manager-Agents für UNIX/Linux

Die Kommunikation zwischen dem Verwaltungsserver und dem UNIX- und Linux-Agent ist in zwei Kategorien unterteilt: Agent-Wartung und Integritätsüberwachung. Der Verwaltungsserver verwendet zwei Protokolle, um mit einem UNIX- oder Linux-Computer zu kommunizieren:

  • Secure Shell (SSH) und Secure Shell File Transfer Protocol (SFTP)

    Für Agent-Wartungstasks wie z.B. das Installieren, Aktualisieren und Entfernen von Agents.

  • Web Services for Management (WS-Management)

    WS-Management wird für alle Überwachungsvorgänge und zum Ermitteln von bereits installierten Agents verwendet.

Die Kommunikation zwischen dem Operations Manager-Verwaltungsserver und dem UNIX- und Linux-Agent erfolgt mithilfe von WS-Man über HTTPS und die WinRM-Schnittstelle. Alle Agent-Wartungstasks werden über SSH an Port 22 ausgeführt. Die Integritätsüberwachung wird über WS-MAN an Port 1270 ausgeführt. Der Verwaltungsserver fordert Leistungs- und Konfigurationsdaten über WS-MAN an und wertet die Daten dann aus, um den Integritätsstatus bereitzustellen. Alle Aktionen wie z. B. Agentwartung, Monitore, Regeln, Tasks und Wiederherstellungen sind entsprechend ihrer jeweiligen Anforderung nach einem privilegierten oder nicht privilegierten Konto für die Verwendung vordefinierter Profile konfiguriert.

Hinweis

Alle in diesem Artikel erwähnten Anmeldeinformationen gehören zu Konten, die auf dem UNIX- oder Linux-Computer eingerichtet wurden. Sie gehören nicht zu den Operations Manager-Konten, die während der Installation von Operations Manager konfiguriert werden. Wenden Sie sich an Ihren Systemadministrator, um Anmelde- und Authentifizierungsinformationen zu erhalten.

Um die neuen Skalierbarkeitsverbesserungen im Hinblick auf die Anzahl von UNIX- und Linux-Systemen, die von System Center 2016 – Operations Manager und höher pro Verwaltungsserver überwacht werden können, zu unterstützen, stehen die neuen asynchronen Windows MI-APIs (Management Infrastructure) anstelle der standardmäßig verwendeten WSMAN-Synchronisierungs-APIs zur Verfügung. Um diese Änderung zu aktivieren, müssen Sie den neuen Registrierungsschlüssel UseMIAPI erstellen, damit Operations Manager zur Verwendung der neuen asynchronen MI-APIs auf Verwaltungsservern aktiviert wird, die Linux-/Unix-Systeme überwachen.

  1. Öffnen Sie den Registrierungs-Editor über eine Eingabeaufforderung mit erhöhten Rechten.
  2. Erstellen Sie den Registrierungsschlüssel UseMIAPI unter .

Wenn Sie die ursprüngliche Konfiguration mithilfe der WSMAN-Synchronisierung-APIs wiederherstellen müssen, können Sie den UseMIAPI-Registrierungsschlüssel löschen.

Agentsicherheit

Authentifizierung auf einem UNIX- oder Linux-Computer

In Operations Manager muss der Systemadministrator nun nicht mehr das Stammkennwort für den UNIX- oder Linux-Computer auf dem Verwaltungsserver angeben. Durch eine Erhöhung der Rechte kann nun von einem nicht privilegierten Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer angenommen werden. Die Erhöhung der Rechte wird unter Verwendung der Anmeldeinformationen, die vom Verwaltungsserver bereitgestellt werden, mithilfe der UNIX-Programme „su“ („Superuser“) und „sudo“ ausgeführt. Für Agentwartungsvorgänge mit erhöhten Rechten, von denen SSH verwendet wird (z. B. Ermittlung, Bereitstellung, Upgrades, Deinstallation und Agentwiederherstellung), werden „su“, die Erhöhung der Rechte mithilfe von „sudo“ und die SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) unterstützt. Für WS-Management-Vorgänge mit erhöhten Rechten (z. B. Anzeigen von sicheren Protokolldateien) wird nun zusätzlich die Erhöhung der Rechte mithilfe von „sudo“ (ohne Kennwort) unterstützt.

Weitere Anweisungen zum Angeben von Anmeldeinformationen und Konfigurieren von Konten finden Sie unter Festlegen von Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.

Authentifizierung mit Gatewayserver

Mithilfe von Gatewayservern wird die Agent-Verwaltung von Computern aktiviert, die sich außerhalb der Kerberos-Vertrauensgrenzen einer Verwaltungsgruppe befinden. Da sich der Gatewayserver in einer Domäne befindet, die für die Domäne mit der Verwaltungsgruppe als nicht vertrauenswürdig gilt, müssen Identität, Agent, Gateway- und Verwaltungsserver jedes Computers mithilfe von Zertifikaten ermittelt werden. Mit dieser Vorgehensweise ist die Operations Manager-Anforderung einer gegenseitigen Authentifizierung erfüllt.

Dies erfordert, dass Sie Zertifikate für jeden Agent anfordern, der Berichte für einen Gatewayserver erstellt, und diese Zertifikate mit dem Tool „MOMCertImport.exe“ auf den Zielcomputer importieren. Sie finden das Tool auf dem Installationsmedium im Verzeichnis „SupportTools\(amd64 oder x86)“. Sie benötigen Zugang zu einer Zertifizierungsstelle. Hierbei kann es sich um eine öffentliche Zertifizierungsstelle wie z.B. VeriSign handeln, oder Sie verwenden die Zertifikatdienste von Microsoft.

Agent-Bereitstellung

System Center Operations Manager-Agents können mit einer der drei folgenden Methoden installiert werden. Bei den meisten Installationen wird zum Installieren verschiedener Gruppen von Computern je nach Bedarf eine Kombination dieser Methoden verwendet.

Hinweis

  • Sie können MMA nicht auf einem Computer installieren, auf dem Operations Manager-Verwaltungsserver, -Gatewayserver, -Betriebskonsole, -Betriebsdatenbank, -Webkonsole, System Center Essentials oder System Center Service Manager installiert ist, weil in diesem Fall bereits die integrierte Version von MMA installiert ist.
  • Sie können nur MMA oder den Log Analytics-Agent (Version der VM-Erweiterung) verwenden.
  • Ermittlung und Installation eines oder mehrerer Agents über die Betriebskonsole. Dies ist die häufigste Form der Installation. Ein Verwaltungsserver muss in der Lage sein, über einen Remoteprozeduraufruf (Remote Procedure Call, RPC) eine Verbindung mit dem Computer herzustellen, und entweder das Aktionskonto des Verwaltungsservers oder ein anderes Konto mit bereitgestellten Anmeldeinformationen muss über Administratorzugriff auf den Zielcomputer verfügen.
  • Als Bestandteil des Installationsimages. Dies ist eine manuelle Installation in einem Basisimage, das für die Vorbereitung anderer Computer verwendet wird. In diesem Fall kann die Active Directory-Integration verwendet werden, um den Computer beim ersten Start automatisch zu einem Verwaltungsserver zuzuweisen.
  • Manuelle Installation: Diese Methode wird verwendet, wenn der Agent nicht mit einer der anderen Methoden installiert werden kann. Dies ist beispielsweise dann der Fall, wenn ein Remoteprozeduraufruf aufgrund einer Firewall nicht verfügbar ist. Das Setup wird manuell auf dem Agent ausgeführt oder über ein vorhandenes Softwareverteilungstool bereitgestellt.

Agents, die mithilfe des Ermittlungs-Assistenten installiert wurden, können über die Betriebskonsole verwaltet werden. Zur Verwaltung gehören u. a. Agentversionsupdates, die Anwendung von Patches oder die Konfiguration des Verwaltungsservers, an den vom Agent Informationen gesendet werden.

Für einen mit der manuellen Methode installierten Agent sind nur manuelle Updates möglich. Zum Zuweisen von Agents zu Verwaltungsgruppen können Sie die Active Directory-Integration verwenden. Weitere Informationen finden Sie unter Integration von Active Directory und Operations Manager.

Agent-Bereitstellung auf einem Windows-System

Für die Ermittlung eines Windows-System müssen TCP-Port 135 (RPC), der RPC-Portbereich und TCP-Port 445 (SMB) offen bleiben und der SMB-Dienst auf dem Agent-Computer aktiviert sein.

  • Nach der Ermittlung eines Zielgeräts kann die Bereitstellung eines entsprechenden Agents erfolgen. Für die Agent-Installation ist Folgendes erforderlich:
  • Öffnen der RPC-Ports, beginnend mit der Endpunktzuordnung TCP 135, und des SMB-Ports (Server Message Block) TCP/UDP 445.
  • Aktivieren der Dienste „Datei- und Druckerfreigabe für Microsoft-Netzwerke“ und „Client für Microsoft-Netzwerke“. (Dadurch wird sichergestellt, dass der SMB-Port aktiv ist.)
  • Falls aktiviert, müssen die Windows-Firewall-Gruppenrichtlinieneinstellungen für die Optionen „Remoteverwaltungsausnahme zulassen“ und „Ausnahme für Datei- und Druckerfreigabe zulassen“ unter „Unerbetene eingehende Nachrichten zulassen von:“ auf die IP-Adresse und Subnetze des primären und sekundären Verwaltungsservers für den Agent festgelegt werden.
  • Ein Benutzerkonto mit lokalen Administratorrechten auf dem Zielcomputer.
  • Windows Installer 3.1 Informationen zur Installation finden Sie im Microsoft Knowledge Base-Artikel 893803 https://go.microsoft.com/fwlink/?LinkId=86322.
  • Microsoft Core XML Services (MSXML) 6 im Unterverzeichnis „\msxml“ des Operations Manager-Produktinstallationsmediums. Wenn MSXML 6 auf dem Zielgerät noch nicht vorhanden ist, werden die Dienste per Push-Agent-Installation installiert.

Agent-Bereitstellung auf UNIX- und Linux-Systemen

In System Center Operations Manager verwendet der Verwaltungsserver zwei Protokolle, um mit einem UNIX- oder Linux-Computer zu kommunizieren:

  • Secure Shell (SSH) zum Installieren, Aktualisieren und Entfernen von Agents.
  • Web Services for Management (WS-Management) für alle Überwachungsvorgänge und zum Ermitteln bereits installierter Agents.

Das verwendete Protokoll ist von den Aktionen bzw. Informationen abhängig, die auf dem Verwaltungsserver angefordert werden. Alle Aktionen wie z. B. Agentwartung, Monitore, Regeln, Tasks und Wiederherstellungen sind entsprechend ihrer jeweiligen Anforderung nach einem privilegierten oder nicht privilegierten Konto für die Verwendung vordefinierter Profile konfiguriert.

Hinweis

Alle in diesem Thema erwähnten Anmeldeinformationen betreffen Konten, die auf dem UNIX- oder Linux-Computer eingerichtet wurden. Sie betreffen nicht die Operations Manager-Konten, die während der Installation von Operations Manager konfiguriert werden. Wenden Sie sich an Ihren Systemadministrator, um Anmelde- und Authentifizierungsinformationen zu erhalten.

Durch eine Erhöhung der Rechte kann ein nicht privilegiertes Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer annehmen. Die Erhöhung der Rechte wird unter Verwendung der Anmeldeinformationen, die vom Verwaltungsserver bereitgestellt werden, mithilfe der UNIX-Programme „su“ („Superuser“) und „sudo“ ausgeführt. Für Agent-Wartungsvorgänge mit erhöhten Rechten, von denen SSH verwendet wird (z.B. Ermittlung, Bereitstellung, Upgrades, Deinstallation und Agent-Wiederherstellung), werden „su“, die Erhöhung der Rechte mithilfe von „sudo“ und die SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) bereitgestellt. Für WS-Management-Vorgänge mit erhöhten Rechten (z.B. Anzeigen von sicheren Protokolldateien) wird zusätzlich die Erhöhung der Rechte mithilfe von „sudo“ (ohne Kennwort) unterstützt.

Active Directory-basierte Agent-Zuweisung

Mit System Center Operations Manager können Sie von Ihrer Investition in die Active Directory Domain Services (AD DS) profitieren, indem Sie mit Agents verwaltete Computer über AD DS zu Verwaltungsgruppen zuweisen. Dieses Feature wird häufig in Zusammenhang mit dem Agent verwendet, der im Rahmen des Buildprozesses einer Serverbereitstellung bereitgestellt wurde. Wenn der Computer zum ersten Mal online geschaltet wird, fragt der Operations Manager-Agent Active Directory nach der primären und Failover-Verwaltungsserverzuweisung und beginnt automatisch mit der Überwachung des Computers.

So weisen Sie einer Verwaltungsgruppe unter Verwendung von AD DS Computer zu

  • Die Funktionsebenen der AD DS-Domänen müssen Windows 2008 (einheitlich) oder höher entsprechen.
  • Mit Agents verwaltete Computer sowie alle Verwaltungsserver müssen sich in derselben Domäne oder in Domänen mit bidirektionaler Vertrauensstellung befinden.

Hinweis

Ein auf einem Domänencontroller installierter Agent fragt Active Directory nicht nach Konfigurationsinformationen ab. Dies geschieht aus Sicherheitsgründen. Die Active Directory-Integration ist auf Domänencontrollern standardmäßig deaktiviert, da der Agent in einem lokalen Systemkonto ausgeführt wird. Das lokale Systemkonto auf einem Domänencontroller verfügt über Domänenadministratorrechte und erkennt daher alle in Active Directory registrierten Verwaltungsserver-Dienstverbindungspunkte, unabhängig von der Mitgliedschaft des Domänencontrollers in der Sicherheitsgruppe. Aus diesem Grund versucht der Agent, mit allen Verwaltungsservern in allen Verwaltungsgruppen eine Verbindung herzustellen. Die Ergebnisse sind nicht vorhersehbar und stellen daher ein Sicherheitsrisiko dar.

Die Agent-Zuweisung erfolgt über einen Dienstverbindungspunkt (Service Connection Point, SCP), bei dem es sich um ein Active Directory-Objekt für die Veröffentlichung von Informationen handelt, die Clientanwendungen zur Bindung an einen Dienst verwenden können. Dieser wird von einem Domänenadministrator erstellt, der das Befehlszeilenprogramm MOMADAdmin.exe ausführt, um einen AD DS-Container für eine Operations Manager-Verwaltungsgruppe in den Domänen der zu verwalteten Computer zu erstellen. Der AD DS-Sicherheitsgruppe, die beim Ausführen von MOMADAdmin.exe angegeben wird, werden untergeordnete Lese- und Löschberechtigungen für den Container gewährt. Der Dienstverbindungspunkt enthält Informationen zur Verbindung mit dem Verwaltungsserver, einschließlich des vollqualifizierten Domänennamens und der Portnummer des Servers. Operations Manager-Agents können Verwaltungsserver durch Abfragen von SCPs automatisch ermitteln. Die Vererbung ist nicht deaktiviert. Wenn Sie die Vererbung für die Gruppe „Jeder“ erzwingen, um in Active Directory alle Objekte auf der Stammebene lesen zu können, wird die Funktionalität der AD-Integration schwerwiegend beeinträchtigt und praktisch unterbrochen, da ein Agent die in AD registrierten Integrationsinformationen lesen kann. Wenn Sie explizit die Vererbung innerhalb des gesamten Verzeichnisses erzwingen, indem Sie der Gruppe „Jeder“ Leseberechtigung erteilen, müssen Sie diese Vererbung im AD-Integrationscontainer auf oberster Ebene, OperationsManager, und für alle untergeordneten Objekte blockieren.  Wenn Sie diese Einstellung nicht vornehmen, funktioniert die AD-Integration nicht so wie vorgesehen, und Sie erhalten keine zuverlässigen und konsistenten primären bzw. Failover-Zuweisungen für bereitgestellte Agents. Sollten Sie zufällig mehr als eine Verwaltungsgruppe haben, sind alle Agents beider Gruppen mehrfach vernetzt. 

Dieses Feature funktioniert gut für die Steuerung der Agent-Zuweisung in einer verteilten Verwaltungsgruppenbereitstellung, um zu verhindern, dass Agents Berichte an speziell für Ressourcenpools zuständige Verwaltungsserver oder an Verwaltungsserver in einem sekundären Rechenzentrum in einer Konfiguration mit betriebsbereiten Standbyservern senden. Dadurch wiederum wird ein Agent-Failover während des normalen Betriebs verhindert.

Das Konfigurieren der Agentzuweisung wird von einem Administrator von Operations Manager mithilfe des Agentzuordnungs- und Failover-Assistenten verwaltet, um Computern primären und sekundären Verwaltungsservern zuzuweisen.

Hinweis

Die Active Directory-Integration ist für Agents, die über die Betriebskonsole installiert wurden, deaktiviert. Standardmäßig ist die Active Directory-Integration für manuell mit "MOMAgent.msi" installierte Agents aktiviert.

Nächste Schritte