Operations Manager-ügynökök

Fontos

A Operations Manager ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a Operations Manager 2019-re.

System Center Operations Manager az ügynök egy olyan szolgáltatás, amely konfigurációs adatokat keres, és proaktív módon gyűjti az elemzéshez és jelentéskészítéshez szükséges adatokat, méri a figyelt objektumok állapotát, például egy SQL-adatbázist vagy logikai lemezt, valamint az operátor által igény szerint végrehajtja a feladatokat, vagy egy feltételre reagálva. Az ügynökök segítségével az Operations Manager képes figyelni a Windows, a Linux és a UNIX operációs rendszereket, valamint az ezekre telepített informatikai szolgáltatások összetevőit, például webhelyeket vagy Active Directory tartományvezérlőket.

Windows-ügynök

A figyelt Windows rendszerű számítógépeken a Operations Manager ügynök szerepel a Microsoft monitoring Agent (MMA) szolgáltatásban. A Microsoft Monitoring Agent szolgáltatás gyűjti az eseményeket és a teljesítményadatokat, illetve végrehajtja a feladatokat és a felügyeleti csomagban meghatározott más munkafolyamatokat. Még ha a szolgáltatás nem is tud kommunikálni a felügyeleti kiszolgálóval és jelentéseket küldeni, akkor is tovább fut, és a figyelt számítógép lemezén várakoztatja a gyűjtött adatokat és eseményeket. Ha a kapcsolat helyreáll, a Microsoft Monitoring Agent szolgáltatás elküldi az összegyűjtött adatokat és eseményeket a felügyeleti kiszolgálónak.

Megjegyzés

  • A Microsoft Monitoring Agentet állapotfigyelő szolgáltatásnak is nevezik.

A Microsoft Monitoring Agent felügyeleti kiszolgálókon is fut. A felügyeleti kiszolgálókon a szolgáltatás felügyeleti munkafolyamatokat futtat és hitelesítő adatokat kezel. A munkafolyamatok futtatásához a szolgáltatás megadott hitelesítő adatok használatával kezdeményez MonitoringHost.exe folyamatokat. Ezek a folyamatok figyelik és gyűjtik az eseménynapló és a teljesítményszámláló adatait, illetve a Windows Management Instrumentation (WMI) adatait, valamint műveleteket, például parancsprogramokat futtatnak.

Az ügynökök és a felügyeleti kiszolgálók közötti kommunikáció

Az Operations Manager-ügynök riasztási és felderítési adatokat küld a hozzárendelt elsődleges felügyeleti kiszolgálóra, amely az adatokat az operatív adatbázisba írja. Az ügynök emellett a hozzá tartozó esemény-, teljesítmény- és állapotadatokat is továbbítja az elsődleges felügyeleti kiszolgálóra, amely az adatokat egyidejűleg az operatív és az adatraktár-adatbázisba írja.

Az ügynök az adatokat az egyes szabályok és figyelők ütemezési paramétereinek megfelelően küldi. A gyűjtési szabályok optimalizálása érdekében az adatok csak akkor továbbítódnak, ha egy adott számlálóból vett minta meghatározott mértékben, például 10%-kal eltér az előző mintától. Ez elősegíti a hálózati forgalom, valamint az operatív adatbázisban tárolt adatok mennyiségének csökkentését.

Emellett az ügynökök a szívverésként ismert adatcsomagot is továbbítják rendszeres időközönként (alapértelmezés szerint 60 másodpercenként) a felügyeleti kiszolgálónak. A szívverés célja az ügynök rendelkezésre állásának, illetve az ügynök és a felügyeleti kiszolgáló közötti kommunikációnak az érvényesítése. A szívveréssel kapcsolatban további tájékoztatásért lásd: A szívverések működése az Operations Manager programban.

Az Operations Manager minden ügynökhöz futtat egy állapotfigyelő szolgáltatást, amely a távoli állapotfigyelő szolgáltatás állapotát figyeli a felügyeleti kiszolgáló szemszögéből. Az ügynök a 5723-as TCP-porton kommunikál a felügyeleti kiszolgálóval.
Kommunikáció az ügynök és a felügyeleti kiszolgáló között

Linux-/UNIX-ügynök

A UNIX-és Linux-ügynök architektúrája jelentősen eltér a Windows-ügynöktől. A Windows-ügynök esetében az állapotfigyelő szolgáltatás felelős a figyelt számítógép állapotának ellenőrzéséért. A UNIX-és Linux-ügynök nem futtat állapotfigyelő szolgáltatást, hanem átadja az adatokat a felügyeleti kiszolgáló Állapotfigyelő szolgáltatás a kiértékeléshez. A felügyeleti kiszolgáló az összes munkafolyamatot futtatja a UNIX és Linux felügyeleti csomagok megvalósításában meghatározott operációsrendszer-állapot figyelésére:

  • Lemez
  • Processzor
  • Memória
  • Hálózati adapterek
  • Operációs rendszer
  • Folyamatok
  • Naplófájlok

A Operations Manager UNIX-és Linux-ügynökei egy CIM Objektumkezelő (azaz CIM-kiszolgáló) és egy CIM-szolgáltatóból állnak. A CIM Objektumkezelő a "kiszolgáló" összetevő, amely megvalósítja a kérelmeknek a szolgáltatók számára történő WS-Management kommunikációját, hitelesítését, engedélyezését és küldését. A szolgáltatók az ügynök CIM-implementációjának kulcsa, a CIM-osztályok és-tulajdonságok meghatározása, a kernel API-k és a nyers adatok beolvasása, az adatok formázása (például a különbözetek és az átlagok kiszámítása) és a CIM Objektumkezelő elküldött kérelmek karbantartása. A System Center Operations Manager 2007 R2 és a System Center 2012 SP1 közötti verziókban az Operations Manager UNIX- és Linux-ügynökei az OpenPegasus kiszolgálót használták CIM objektumkezelőként. A figyelési adatok gyűjtésére és jelentésére használt szolgáltatókat a Microsoft fejlesztette ki, ezek nyílt forráskóddal elérhetők a CodePlex.com webhelyen.
Az Operations Manager UNIX-/Linux-ügynökének szoftveres architektúrája

Ez a System Center 2012 R2 Operations Manager módosult, ahol a UNIX-és Linux-ügynökök mostantól a nyílt felügyeleti infrastruktúra (a (z) CIM Objektumkezelőnak teljes mértékben konzisztens implementációján alapulnak. Az Operation Manager UNIX-/Linux-ügynökeinél az OMI váltja fel az OpenPegasust. A OpenPegasus-hez hasonlóan a (z) egy nyílt forráskódú, könnyű és hordozható CIM Objektumkezelő implementáció is, bár a súlya és a OpenPegasus-nál könnyebben hordozható. Ezt a megvalósítást továbbra is alkalmazza a System Center 2016 – Operations Manager és újabb verziókban.
Az Operations Manager UNIX-/Linux-ügynökének új szoftveres architektúrája

A felügyeleti kiszolgáló és a UNIX-és Linux-ügynök közötti kommunikáció két kategóriára oszlik, az ügynökök karbantartására és állapotának figyelésére. A felügyeleti kiszolgálók két protokollt használnak a UNIX vagy Linux rendszerű számítógépekkel való kommunikációra:

  • Secure Shell (SSH) és Secure Shell File Transfer Protocol (SFTP)

    Az ügynök karbantartásával kapcsolatos feladatokra használatos (például az ügynök telepítése, frissítése vagy eltávolítása).

  • Web Services for Management (WS-Management)

    Ez használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.

A Operations Manager felügyeleti kiszolgáló és a UNIX-és Linux-ügynök közötti kommunikáció a HTTPS-en és a WinRM-felületen WS-Mant használ. Az ügynök karbantartási feladatai a 22-es porton, SSH protokollal zajlanak. Az állapotfigyelés a WS-MAN protokollal, az 1270-es porton történik. A felügyeleti kiszolgáló a WS-MAN segítségével lekéri a teljesítmény- és konfigurációs adatokat, kiértékeli az adatokat, és meghatározza az állapotot. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.

Megjegyzés

A jelen cikkben említett összes hitelesítő adat a UNIX vagy Linux rendszerű számítógépen létesített fiókra vonatkozik, nem a Operations Manager telepítésekor konfigurált Operations Manager fiókokra. A hitelesítő adatokért és a hitelesítéssel kapcsolatos információkért lépjen kapcsolatba a rendszergazdával.

Az új skálázhatósági fejlesztéseknek a UNIX és Linux rendszerű System Center 2016-Operations Manager és újabb rendszerekkel történő figyelésének támogatása érdekében felügyeleti kiszolgálónként az új aszinkron Windows Management Infrastructure (MI) API-k WSMAN szinkronizálási API-k helyett elérhetők, amely alapértelmezés szerint használatban van. Ennek a módosításnak az engedélyezéséhez létre kell hoznia az új beállításkulcs- usemapi , amely lehetővé teszi, hogy a Operations Manager az új aszinkron API-kat használja a felügyeleti kiszolgálókon a Linux/Unix rendszereken.

  1. Nyissa meg a Beállításszerkesztőt egy rendszergazda jogú parancssorból.
  2. Hozza létre a usemapi beállításkulcsot HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup .

Ha a WSMAN Sync API-k használatával szeretné visszaállítani az eredeti konfigurációt, törölheti a usemapi beállításkulcsot.

Az ügynök biztonságossága

Hitelesítés UNIX vagy Linux rendszerű számítógépen

Operations Manager a rendszergazdának már nem kell megadnia a UNIX vagy Linux rendszerű számítógép rendszergazdai jelszavát a felügyeleti kiszolgálónak. Egy nem rendszer-jogosultságú fiók jogosultságiszint-emeléssel felveheti egy rendszer-jogosultságú fiók identitását a UNIX vagy Linux rendszerű számítógépen. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják. Azon kiemelt ügynök-karbantartási műveletek esetén, amelyek SSH-t használnak (pl. felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása. A rendszer-jogosultságú WS-Management műveletekhez (pl. biztonságos naplófájlok megtekintése) hozzá lett adva a sudo jogosultságiszint-emelés (jelszó nélkül).

A hitelesítő adatok megadásáról és a fiókok konfigurálásáról a következő cikkben olvashat részletes útmutatást: How to Set Credentials for Accessing UNIX and Linux Computers (A UNIX- és Linux-számítógépek elérésére használható hitelesítő adatok beállítása).

Hitelesítés az átjárókiszolgálóval

Az átjárókiszolgáló a felügyeleti csoport Kerberos megbízhatósági tartományán kívül eső számítógépek ügynök általi felügyeletének engedélyezésére szolgál. Mivel az átjárókiszolgáló a felügyeleti csoport tartománya által nem megbízhatónak ítélt tartományban van, a számítógépek azonosságát, ügynökét, átjárókiszolgálóját és felügyeleti kiszolgálóját tanúsítványok használatával kell megadni. Ezzel biztosítható az Operations Manager kölcsönös hitelesítésre vonatkozó követelménye.

Ehhez meg kell kérnie minden olyan ügynök tanúsítványát, amely egy átjárókiszolgáló számára jelentést küld, és ezeket a tanúsítványokat a célszámítógépen a MOMCertImport.exe eszköz használatával importálja, amely a telepítési adathordozó SupportTools \ (amd64 vagy x86) könyvtárában található. Hozzá kell férnie egy olyan hitelesítésszolgáltatóhoz (CA), amely lehet nyilvános HITELESÍTÉSSZOLGÁLTATÓ, például a VeriSign, vagy használhatja a Microsoft tanúsítványszolgáltatásokat.

Ügynök telepítése

System Center Operations Manager ügynökök a következő három módszer egyikének használatával telepíthetők. A legtöbb esetben ezek kombinációját használják, hiszen a különböző számítógépeknél más-más módszerre lehet szükség.

Megjegyzés

  • Az MMA-t nem telepítheti egy számítógépre, ahol a Operations Manager felügyeleti kiszolgáló, az átjárókiszolgáló, az operatív konzol, az operatív adatbázis, a webkonzol, a System Center Essentials vagy a System Center Service Manager telepítve van – mivel az MMA beépített verziója már telepítve van.
  • Csak az MMA vagy a log Analytics-ügynök használható (VM-bővítmény verziója).
  • Az ügynökök felderítése és telepítése az operatív konzolról. Ez a leggyakoribb telepítési megoldás. A felügyeleti kiszolgálónak RPC protokollal csatlakoznia kell a számítógéphez, és a felügyeleti kiszolgáló műveleti vagy más fiókjának rendszergazdai hozzáféréssel kell rendelkeznie a kérdéses számítógéphez.
  • Felvétel a telepítési rendszerképbe. Ez egy más számítógépek előkészítésére szolgáló alapképet használó manuális telepítési megoldás. Ebben az esetben az Active Directory-integráció segítségével beállíthatja, hogy a rendszer automatikusan egy felügyeleti kiszolgálóhoz rendelje a számítógépet az első indításkor.
  • Manuális telepítés. Ez a módszer akkor jöhet szóba, ha a többi megoldás nem használható, például akkor, ha a távoli eljáráshívás (RPC) tűzfal miatt nem érhető el. Ilyenkor manuálisan kell elindítani az ügynök telepítését, vagy egy meglévő szoftverterjesztési eszköz segítségével kell központilag telepíteni az ügynököt.

A Felderítés varázsló használatával telepített ügynökök felügyelhetők az operatív konzolról, így például frissíthető az ügynökök verziója, telepíthetők a javítások, valamint beállítható az a felügyeleti kiszolgáló, amelynek az ügynök a jelentéseket küldi.

Ha az ügynököt kézzel telepíti, akkor annak frissítését is kézzel kell elvégezni. Az Active Directory-integrációval is lehetősége lesz hozzárendelni az ügynököket a felügyeleti csoportokhoz. További információk: Az Active Directory és az Operations Manager integrációja.

Az ügynök központi telepítése Windows-rendszerekre

A Windows-rendszerek felderítéséhez nyitva kell lennie a TCP 135-ös (RPC), az RPC-tartományba tartozó, valamint a TCP 445-ös (SMB) portoknak, illetve az ügynökszámítógépen engedélyezni kell az SMB szolgáltatást.

  • A céleszközökre a felderítésük után telepíteni lehet az ügynököt. Az ügynök telepítéséhez a következőkre van szükség:
  • A távoli eljáráshívás (RPC) portjainak megnyitása, kezdve a végpontleképező 135-ös TCP-porttal, valamint a kiszolgálói üzenetblokk (SMB) 445-ös TCP/UDP-portjának megnyitása.
  • A Fájl- és nyomtatómegosztás Microsoft Networkshöz és a Microsoft Networks ügyfél szolgáltatás engedélyezése. (Ez gondoskodik róla, hogy az SMB-port aktív legyen.)
  • Ha engedélyezve vannak a Windows tűzfal csoportházirend-beállításai, a Távfelügyeleti kivétel engedélyezése és a Fájl- és nyomtatómegosztási kivétel engedélyezése elemnél a „Kéretlen bejövő üzenetek engedélyezése a következő címről” értékként meg kell adni az ügynököt kezelő elsődleges és másodlagos felügyeleti kiszolgáló IP-címét és alhálózatát.
  • A célszámítógépen helyi rendszergazdai jogokkal rendelkező fiók.
  • Windows Installer 3.1. A telepítéséhez tekintse meg a Microsoft Tudásbázis https://go.microsoft.com/fwlink/?LinkId=86322 893803. cikkét.
  • Microsoft Core XML Services (MSXML) 6, amely megtalálható az Operations Manager telepítő adathordozójának\msxml alkönyvtárában. A leküldéses ügynök telepítése az MSXML 6-os verzióját telepíti a céleszköz, ha még nincs telepítve.

Az ügynök telepítése Unix- és Linux-rendszerekre

System Center Operations Manager a felügyeleti kiszolgáló két protokollt használ a UNIX vagy Linux rendszerű számítógéppel való kommunikációra:

  • A Secure Shell (SSH) az ügynökök telepítésére, frissítésére és eltávolítására használatos.
  • A Web Services for Management (WS-Management) használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.

A használt protokoll a felügyeleti kiszolgálón igényelt művelettől vagy információtól függ. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.

Megjegyzés

Az ebben a részben említett összes hitelesítő adat a UNIX vagy Linux rendszerű számítógépen létesített fiókra vonatkozik, nem arra az Operations Manager-fiókra, amelyet az Operations Manager telepítése során konfigurált. A hitelesítő adatokért és a hitelesítéssel kapcsolatos információkért lépjen kapcsolatba a rendszergazdával.

Egy nem kiemelt fiók a jogosultságiszint-emelés segítségével felveheti egy kiemelt fiók identitását a UNIX vagy Linux rendszerű számítógépen. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják. Azon kiemelt ügynök-karbantartási műveletek esetében, amelyek SSH-t használnak (például felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása. A kiemelt WS-Management műveletekhez (például biztonságos naplófájlok megtekintése) támogatott a sudo jogosultságiszint-emelés (jelszó nélkül).

Active Directory-alapú ügynök-hozzárendelése

System Center Operations Manager lehetővé teszi, hogy kihasználja a Active Directory Domain Services (AD DS) beruházásának előnyeit azáltal, hogy lehetővé teszi, hogy az ügynök által felügyelt számítógépeket hozzárendelje a felügyeleti csoportokhoz. Ezt a funkciót általában a kiszolgáló üzembe helyezési folyamatának részeként, az ügynök központi telepítésével együtt végzik el. Amikor a számítógép először csatlakozik a hálózathoz, az Operations Manager-ügynök lekéri az Active Directoryból az elsődleges és feladatátvételi felügyeletikiszolgáló-hozzárendelést, és automatikusan elindítja a számítógép figyelését.

A számítógépek hozzárendelése a felügyeleti csoportokhoz az AD DS segítségével:

  • Az AD DS-tartománynak Windows 2008 natív vagy magasabb működési szinten kell lennie.
  • Az ügynökkel felügyelt számítógépeknek és a felügyelt kiszolgálóknak ugyanahhoz a tartományhoz vagy két mindkét irányból megbízható tartományhoz kell csatlakozniuk.

Megjegyzés

Ha az ügynök megállapítja, hogy tartományvezérlőre van telepítve, nem kérdezi le a konfigurációs adatokat az Active Directorytól. Ez biztonsági okokból van így. Az Active Directory-integráció a tartományvezérlőkön alapértelmezés szerint le van tiltva, mivel az ügynök a helyi rendszerfiók alatt fut. A tartományvezérlőn a helyi rendszerfiók tartományi rendszergazdai jogosultságokkal rendelkezik; Ezért észleli a Active Directoryban regisztrált összes felügyeleti kiszolgáló szolgáltatás csatlakozási pontját, a tartományvezérlő biztonsági csoportjának tagsága alapján. Ennek eredményeképpen az ügynök az összes felügyeleti csoport összes felügyeleti kiszolgálójára csatlakozni próbál. Ez váratlan eredménnyel járhat, ami biztonsági kockázatnak számít.

Az ügynökök hozzárendelése egy szolgáltatáskapcsolati pont (SCP) segítségével történik. Ez olyan Active Directory-objektum, amely közzéteszi az ügyfélalkalmazások által a szolgáltatások kötéséhez használható adatokat. Ezt egy olyan tartományi rendszergazda hozza létre, amely a MOMADAdmin.exe parancssori eszközt futtatja egy Operations Manager felügyeleti csoport AD DS tárolójának létrehozásához az általa felügyelt számítógépek tartományában. A MOMADAdmin.exe futtatásakor megadott AD DS biztonsági csoport olvasási és gyermekobjektum-törlési jogosultságot kap a tárolóra. Az SCP kapcsolódási adatokat tartalmaz a felügyeleti kiszolgálóhoz, beleértve a kiszolgáló teljes tartománynevét és portszámát is. Az Operations Manager-ügynökök az SCP-k lekérdezésével képesek automatikusan felfedezni a felügyeleti kiszolgálókat. Az öröklés nincs letiltva, és mivel az ügynök olvashatja az AD-ban regisztrált integrációs információkat, ha kikényszeríti a Mindenki csoport Active Directory gyökércsomópontjának minden objektumára vonatkozó olvasási jogosítványát, az az AD-integráció működését jelentősen befolyásolhatja, sőt akadályozhatja is. Ha explicit módon kikényszeríti az öröklést a teljes címtárra azzal, hogy a Mindenki csoport számára olvasási jogosultságot biztosít, akkor ezt az öröklést az OperationsManager nevű legfelsőbb szintű AD-integrációs csomópontnál és az összes gyermekobjektumnál kell letiltania. Ha ezt nem teszi meg, az AD-integráció nem fog megfelelően működni, és nem lesznek elérhetőek megbízható és konzisztens elsődleges és feladatátvételi ügynök-hozzárendelések sem. Továbbá ha több felügyeleti csoport is van, akkor mindkét csoport minden ügynöke többhelyű lesz.

Ez a funkció kiválóan alkalmas elosztott felügyeleti csoportokat használó rendszerekben az ügynökök hozzárendelésének szabályozására: megakadályozható vele, hogy az ügynökök olyan felügyeleti kiszolgálóknak jelentsenek, amelyek dedikált erőforráskészletként vagy másodlagos adatközpontok üzemi tartalékaként működnek, így elkerülhető, hogy az ügynökök a normál működés részeként feladatátvételt hajtsanak végre.

Az ügynök-hozzárendelés konfigurációját egy Operations Manager-rendszergazda végzi azzal, hogy az Ügynök-hozzárendelés és Feladatátvétel varázsló segítségével hozzárendeli a számítógépeket egy elsődleges és egy másodlagos felügyeleti kiszolgálóhoz.

Megjegyzés

Az operatív konzolról telepített ügynökök esetében a rendszer letiltja az Active Directory-integrációt. A MOMAgent.msi segítségével, kézzel telepített ügynökök esetében alapesetben engedélyezve van az Active Directory-integráció.

Következő lépések