Operations Manager エージェントOperations Manager agents

重要

このバージョンの Operations Manager はサポート終了に達したので、Operations Manager 2019 にアップグレードすることをお勧めします。This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

System Center Operations Manager では、エージェントは、構成データを検索し、分析とレポートのために情報を事前に収集し、SQL データベースや論理ディスクのような監視対象オブジェクトのヘルス状態を測定し、オペレーターによる要求または状況に応じてタスクを実行するために、コンピューターにインストールされるサービスです。In System Center Operations Manager, an agent is a service that is installed on a computer that looks for configuration data and proactively collects information for analysis and reporting, measures the health state of monitored objects like a SQL database or logical disk, and execute tasks on demand by an operator or in response to a condition. これにより、Operations Manager は Windows、Linux、および UNIX オペレーティング システムと、そこにインストールされている IT サービスのコンポーネント (Web サイトや Active Directory ドメイン コントローラーなど) を監視できます。It allows Operations Manager to monitor Windows, Linux, and UNIX operating systems and the components of an IT service installed on them, like a web site or an Active Directory domain controller.

Windows エージェントWindows agent

監視対象の Windows コンピューター上で、Operations Manager エージェントは、Microsoft Monitoring Agent サービスとしてリストされます。On a monitored Windows computer, the Operations Manager agent is listed as the Microsoft Monitoring Agent service. Microsoft Monitoring Agent サービスはイベントおよびパフォーマンス データを収集し、タスクと、管理パックで定義されている他のワークフローを実行します。The Microsoft Monitoring Agent service collects event and performance data, executes tasks, and other workflows defined in a management pack. このサービスは、報告先の管理サーバーと通信できなくなった場合でも稼働を続け、収集したデータやイベントを監視対象コンピューターのディスクに待機させておき、Even when the service is unable to communicate with the management server it reports to, the service continues to run and queues the collected data and events on the disk of the monitored computer. 接続が復旧し次第、それらのデータやイベントを管理サーバーに送信します。When the connection is restored, the Microsoft Monitoring Agent service sends collected data and events to the management server.

注意

Microsoft Monitoring Agent サービスは、「ヘルス サービス」と呼ばれることがあります。The Microsoft Monitoring Agent service is sometimes referred to as the health service.

Microsoft Monitoring Agent サービスは、管理サーバー上でも実行されます。The Microsoft Monitoring Agent service also runs on management servers. 管理サーバー上で、このサービスは、監視ワークフローを実行し、資格情報を管理します。On a management server, the service runs monitoring workflows and manages credentials. ワークフローを実行するために、このサービスでは、指定された資格情報を使用して MonitoringHost.exe プロセスを開始します。To run workflows, the service initiates MonitoringHost.exe processes using specified credentials. これらのプロセスでは、イベント ログ データ、パフォーマンス カウンター データ、Windows Management Instrumentation (WMI) データを監視および収集し、スクリプトなどのアクションを実行します。These processes monitor and collect event log data, performance counter data, Windows Management Instrumentation (WMI) data, and run actions such as scripts.

エージェントと管理サーバー間の通信Communication between agents and management servers

Operations Manager エージェントは、アラートと検出データを割り当てられているプライマリ管理サーバーに送信し、プライマリ管理サーバーは、そのデータをオペレーション データベースに書き込みます。The Operations Manager agent sends alert and discovery data to its assigned primary management server, which writes the data to the operational database. また、エージェントのイベント、パフォーマンス、状態に関するデータもエージェントからプライマリ管理サーバーに送信され、プライマリ管理サーバーがそれらのデータをオペレーション データベースとデータ ウェアハウス データベースに同時に書き込みます。The agent also sends events, performance, and state data to the primary management server for that agent, which writes the data to the operational and data warehouse databases simultaneously.

エージェントは、各ルールとモニターのスケジュール パラメーターに従ってデータを送信します。The agent sends data according to the schedule parameters for each rule and monitor. 最適化された収集ルールでは、カウンターのサンプルと前のサンプルとの差が、指定された許容範囲 (10% など) に達した場合にのみ、データが転送されます。For optimized collection rules, data is only transmitted if a sample of a counter differs from the previous sample by a specified tolerance, such as 10%. これにより、ネットワーク トラフィック、およびオペレーション データベースに保存されるデータの量を削減できます。This helps reduce network traffic and the volume of data stored in the operational database.

また、すべてのエージェントは、 ハートビートと呼ばれるデータのパケットを管理サーバーに送信します。既定では、60 秒置きに送信します。Additionally, all agents send a packet of data, called a heartbeat, to the management server on a regular schedule, by default every 60 seconds. このハートビートは、エージェントの可用性、およびエージェントと管理サーバー間の通信をチェックするためのものです。The purpose of the heartbeat is to validate the availability of the agent and communication between the agent and the management server. ハートビートの詳細については、「 Operations Manager のハートビートのしくみ」を参照してください。For more information on heartbeats, see How Heartbeats Work in Operations Manager.

Operations Manager は、リモート ヘルス サービスの状態を監視サーバーの視点から監視する ヘルス サービス ウォッチャーをエージェントごとに実行します。For each agent, Operations Manager runs a health service watcher, which monitors the state of the remote Health Service from the perspective of the management server. エージェントは、TCP ポート 5723 経由で管理サーバーと通信します。The agent communicates with a management server over TCP port 5723.
エージェントと管理サーバー間の通信Agent to Management Server Communication

Linux/UNIX エージェントLinux/UNIX agent

UNIX および Linux エージェントのアーキテクチャは、Windows エージェントのものと大幅に異なります。The architecture of the UNIX and Linux agent differs from a Windows agent significantly. Windows エージェントには、監視対象コンピューターの正常性の評価を担当するヘルス サービスがあります。The Windows agent has a Health Service responsible for evaluating the health of the monitored computer. UNIX および Linux エージェントではヘルス サービスが実行されないため、情報は管理サーバーのヘルス サービスに渡され、評価されます。The UNIX and Linux Agent does not run a health service, instead it passes information to the Health Service on a management server to be evaluated. 管理サーバーではすべてのワークフローを実行し、UNIX および Linux 管理パックの実装で定義されているオペレーティング システムの正常性を監視します。The management server runs all of the workflows to monitor operating system health defined in our implementation of the UNIX and Linux management packs:

  • ディスクDisk
  • プロセッサProcessor
  • メモリMemory
  • ネットワーク アダプターNetwork adapters
  • オペレーティング システムOperating System
  • プロセス数Processes
  • ログ ファイルLog files

Operations Manager の UNIX および Linux エージェントは、CIM オブジェクト マネージャー (つまり、CIM サーバー) と、一連の CIM プロバイダーで構成されます。The UNIX and Linux agents for Operations Manager consist of a CIM Object Manager (that is, CIM Server), and a set of CIM Providers. CIM オブジェクト マネージャーは、WS-Management 通信、認証、承認およびプロバイダーへの要求のディスパッチを実装する "サーバー" コンポーネントです。The CIM Object Manager is the “server” component that implements the WS-Management communication, authentication, authorization, and dispatch of requests to the providers. CIM クラスとプロパティを定義し、カーネル API と連動して生データを取得し、データの書式設定を行い (差分と平均を計算するなど)、CIM オブジェクト マネージャーからディスパッチされた要求を処理するために、エージェントでの CIM 実装ではプロバイダーが重要になります。The providers are the key to the CIM implementation in the agent, defining the CIM classes and properties, interfacing with the kernel APIs to retrieve raw data, formatting the data (for example, calculating deltas and averages), and servicing the requests dispatched from the CIM Object Manager. System Center Operations Manager 2007 R2 から System Center 2012 SP1 まで、Operations Manager の UNIX および Linux エージェントで使用されていた CIM オブジェクト マネージャーは OpenPegasus サーバーです。From System Center Operations Manager 2007 R2 through System Center 2012 SP1, the CIM Object Manager used in the Operations Manager UNIX and Linux agents is the OpenPegasus server. 監視データの収集とレポートのために使用されるプロバイダーは Microsoft で開発され、CodePlex.com でオープンソース化されます。The providers used to collect and report monitoring data are developed by Microsoft, and open-sourced at CodePlex.com.
Operations Manager の Unix/Linux エージェントのソフトウェア アーキテクチャ

これは、System Center 2012 R2 Operations Manager で変更され、現在、UNIX および Linux エージェントは、CIM オブジェクト マネージャーとして Open Management Infrastructure (OMI) の完全に一貫した実装に基づいています。This changed in System Center 2012 R2 Operations Manager, where UNIX and Linux agents are now based on a fully consistent implementation of Open Management Infrastructure (OMI) as their CIM Object Manager. Operations Manager の UNIX/Linux エージェントの場合、OpenPegasus は OMI に置き換えられます。In the case of the Operations Manager UNIX/Linux agents, OMI is replacing OpenPegasus. OpenPegasus と同様に、OMI はオープンソースの軽量かつポータブルな CIM オブジェクト マネージャーの実装です (OpenPegasus より軽量でよりポータブルではありますが)。Like OpenPegasus, OMI is an open-source, lightweight, and portable CIM Object Manager implementation – though it is lighter in weight and more portable than OpenPegasus. この実装は引き続き、System Center 2016 - Operations Manager 以降で適用されます。This implementation continues to be applied in System Center 2016 - Operations Manager and later.
Operations Manager の UNIX/Linux エージェントの更新されたソフトウェア アーキテクチャ

管理サーバーと UNIX および Linux エージェント間の通信は、2 つのカテゴリ (エージェントのメンテナンスとび正常性の監視) に分けられます。Communication between the management server and the UNIX and Linux agent is split into two categories, agent maintenance and health monitoring. 管理サーバーは以下の 2 つのプロトコルを使用して UNIX または Linux コンピューターと通信します。The management server uses two protocols to communicate with the UNIX or Linux computer:

  • Secure Shell (SSH) と Secure Shell ファイル転送プロトコル (SFTP)Secure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

    エージェントのインストール、アップグレード、削除などのエージェントのメンテナンス タスクに使用されます。Used for agent maintenance tasks such as installing, upgrading, and removing agents.

  • Web Services for Management (WS-Management)Web Services for Management (WS-Management)

    すべての監視操作に使用され、インストール済みのエージェントの検出も含みます。Used for all monitoring operations and include the discovery of agents that were already installed.

Operations Manager 管理サーバーと UNIX および Linux エージェント間の通信では、WS-Man over HTTPS と WinRM インターフェイスを使用します。Communication between the Operations Manager management server and UNIX and Linux agent uses WS-Man over HTTPS and the WinRM interface. すべてのエージェントのメンテナンス タスクは、ポート 22 で SSH 経由で実行されます。All agent maintenance tasks are performed over SSH on port 22. すべての正常性の監視はポート 1270 で WS-MAN 経由で実行されます。All health monitoring is performed over WS-MAN on port 1270. 管理サーバーは、データを評価して正常性の状態を示す前に、WS-MAN 経由でパフォーマンスと構成データを要求します。The management server requests performance and configuration data via WS-MAN before evaluating the data to provide health status. エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

注意

この記事で言及するすべての資格情報は、Operations Manager のインストール中に構成された Operations Manager アカウントではなく、UNIX または Linux コンピューター上で設定されたアカウントに関連しています。All credentials referred to in this article pertain to accounts that have been established on the UNIX or Linux computer, not to the Operations Manager accounts that are configured during the installation of Operations Manager. 資格情報および認証情報についてはシステム管理者に問い合わせてください。Contact your system administrator for credentials and authentication information.

System Center 2016 - Operations Manager 以降で管理サーバーごとに監視可能な UNIX および Linux システムの数を拡張する新たな機能改善をサポートするため、既定で使用される WSMAN Sync API の代わりに新しい Async Windows Management Infrastructure (MI) API を利用できます。To support the new scalability improvements with the number of UNIX and Linux systems System Center 2016 - Operations Manager and later can monitor per management server, the new Async Windows Management Infrastructure (MI) APIs are available instead of WSMAN Sync APIs, which is in use by default. この変更を有効にするには、新しいレジストリ キー UseMIAPI を作成し、Linux/Unix システムを監視する管理サーバーで新しい Async MI API を使用するように Operations Manager を有効にする必要があります。To enable this change, you need to create the new registry key UseMIAPI to enable Operations Manager to use the new Async MI APIs on management servers monitoring Linux/Unix systems.

  1. 管理者特権のコマンド プロンプトからレジストリ エディターを開きます。Open the Registry Editor from an elevated command prompt.
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup の下にレジストリ キー UseMIAPI を作成します。Create registry key UseMIAPI under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

WSMAN Sync API を使用する元の構成を復元する必要がある場合は、この UseMIAPI レジストリ キーを削除します。If you need to restore the original configuration using the WSMAN Sync APIs, you can delete the UseMIAPI registry key.

エージェントのセキュリティAgent security

UNIX/Linux コンピューターでの認証Authentication on UNIX/Linux computer

Operations Manager では、システム管理者が UNIX または Linux コンピューターのルート パスワードを管理サーバーに入力する必要がなくなりました。In Operations Manager, the system administrator is no longer required to provide the root password of the UNIX or Linux computer to the management server. 昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su のサポート、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) のサポートが追加されます。For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

資格情報の指定およびアカウントの構成方法の詳細については、「Unix および Linux コンピューターにアクセスするための資格情報を設定する方法」を参照してください。For detailed instructions for specifying credentials and configuring accounts, see How to Set Credentials for Accessing UNIX and Linux Computers.

ゲートウェイ サーバーでの認証Authentication with gateway server

ゲートウェイ サーバーを使用して、管理グループの Kerberos 信頼境界の外部にあるコンピューターのエージェント管理を実現します。Gateway servers are used to enable agent-management of computers that are outside the Kerberos trust boundary of a management group. ゲートウェイ サーバーは管理グループのあるドメインによって信頼されないドメインにあるため、各コンピューターの ID、エージェント、ゲートウェイ サーバー、管理サーバーを確立するため証明書を使用する必要があります。Because the gateway server resides in a domain that is not trusted by the domain that the management group is in, certificates must be used to establish each computer's identity, agent, gateway server, and management server. これは、Operations Manager の相互認証に必要です。This arrangement satisfies the requirement of Operations Manager for mutual authentication.

これには、ゲートウェイ サーバーにレポートを行う各エージェントの証明書を要求してから、MOMCertImport.exe ツールを使用してその証明書をターゲット コンピューターにインポートする必要があります。ツールは、インストール メディアの SupportTools\ (amd64 または x86) ディレクトリに格納されています。This requires you to request certificates for each agent that will report to a gateway server and import those certificates into the target computer using the MOMCertImport.exe tool, which is located on the installation media SupportTools\ (amd64 or x86) directory. 証明機関 (CA) にアクセスする必要があります。これは、VeriSign などの公的 CA でも構いません。または、Microsoft 証明書サービスを使用することもできます。You need to have access to a certification authority (CA) which can be a public CA such as VeriSign, or you can use Microsoft Certificate Services.

エージェントの展開Agent deployment

System Center Operations Manager Agents は、次の 3 つの方法のいずれかを使用してインポートできます。System Center Operations Manager Agents may be installed by using one of the following three methods. ほとんどのインストールでこれらの方法を組み合わせて使用し、必要に応じて、さまざまなコンピューター セットをインストールします。Most installations use a combination of these methods to install different sets of computers, as appropriate.

  • オペレーション コンソールからの 1 つまたは複数のエージェントの検出とインストール。The discovery and installation of one or more agents from the Operations console. これが最も一般的なインストール形式です。This is the most common form of installation. 管理サーバーは RPC を使用してコンピューターを接続できる必要があり、管理サーバーのアクション アカウントまたは他の指定された資格情報にターゲット コンピューターへの管理アクセス権がある必要があります。A management server must be able to connect the computer with RPC, and either the management server Action Account or other provided credentials must have administrative access to the target computer.
  • インストール イメージへの組み込み。Inclusion in the installation image. これは、他のコンピューターの準備に使用される基本イメージへの手動インストールです。This is a manual installation to a base image that is used for the preparation of other computers. この場合、Active Directory 統合を使用して、初期スタートアップ時に管理サーバーにコンピューターを自動的に割り当てることができます。In this case, Active Directory integration may be used to automatically assign the computer to a management server upon the initial startup.
  • 手動インストール。Manual installation. エージェントを他のいずれかの方法でインストールできない場合 (ファイアウォールが原因でリモート プロシージャ コール (RPC) が使用できない場合など) は、この方法を使用します。This method is used when the agent cannot be installed by one of the other methods—for example, when remote procedure call (RPC) is unavailable because of a firewall. セットアップをエージェントで手動で実行するか、または既存のソフトウェア配布ツールを使用して展開します。The setup is manually run on the agent or deployed through an existing software distribution tool.

検出ウィザードを使用してインストールしたエージェントは、オペレーション コンソールで管理できます。たとえば、エージェントのバージョンの更新、パッチの適用、エージェントの報告先の管理サーバーの構成などを行うことができます。Agents that are installed by using the Discovery Wizard can be managed from the Operations console, such as updating agent versions, applying patches, and configuring the management server that the agent reports to.

エージェントを手動でインストールした場合は、エージェントの更新も手動で行う必要があります。When you install the agent using a manual method, updates to the agent must also be performed manually. エージェントの管理グループへの割り当てには、Active Directory 統合を使用できます。You will be able to use Active Directory integration to assign agents to management groups. 詳細については、「Active Directory と Operations Manager の統合」を参照してください。For more information, see Integrating Active Directory and Operations Manager.

Windows システムへのエージェントの展開Agent deployment to Windows system

Windows システムを検出するには、TCP 135 (RPC)、RPC 範囲、および TCP 445 (SMB) ポートが開いた状態で、SMB サービスがエージェント コンピューターで有効になっている必要があります。Discovery of a Windows system requires that the TCP 135 (RPC), RPC range, and TCP 445 (SMB) ports remain open and that the SMB service is enabled on the agent computer.

  • ターゲット デバイスを検出したら、それに対してエージェントを展開できます。After a target device has been discovered, an agent can be deployed to it. エージェント インストールで必要な操作は次のとおりです。Agent installation requires:
  • エンドポイント マッパー TCP 135 およびサーバー メッセージ ブロック (SMB) ポート TCP/UDP 445 以降の、RPC ポートを開く。Opening RPC ports beginning with endpoint mapper TCP 135 and the Server Message Block (SMB) port TCP/UDP 445.
  • Microsoft ネットワーク用ファイルとプリンター共有および Microsoft ネットワーク用クライアント サービスを有効にするEnabling the File and Printer Sharing for Microsoft Networks and the Client for Microsoft Networks services. (これで、SMB ポートがアクティブになります)。(This ensures that the SMB port is active.)
  • 有効になっている場合、Windows ファイアウォール グループ ポリシー設定で、[リモート管理の例外を許可する] および [ファイルとプリンターの共有の例外を許可する] の [要請されない着信メッセージを許可するアドレス] をエージェントのプライマリおよびセカンダリ管理サーバーの IP アドレスとサブネットに設定する必要があります。If enabled, Windows Firewall Group Policy settings for Allow remote administration exception and Allow file and printer sharing exception must be set to Allow unsolicited incoming messages from to the IP address and subnets for the primary and secondary management servers for the agent.
  • ターゲット コンピューターでローカル管理者の権限があるアカウント。An account that has local administrator rights on the target computer.
  • Windows Installer 3.1。Windows Installer 3.1. インストール方法については、Microsoft サポート技術情報の記事 893803 https://go.microsoft.com/fwlink/?LinkId=86322 を参照してください To install, see article 893803 in the Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322
  • \msxml サブディレクトリにある Operations Manager 製品のインストール メディアの Microsoft Core XML Services (MSXML) 6。Microsoft Core XML Services (MSXML) 6 on the Operations Manager product installation media in the \msxml sub directory. MSXML 6 が対象となるデバイスにまだインストールされていない場合は、プッシュ エージェント インストールでインストールします。Push agent installation installs MSXML 6 on the target device if it is not already installed.

UNIX および Linux システムへのエージェントの展開Agent deployment to UNIX and Linux system

System Center Operations Manager では、管理サーバーは次の 2 つのプロトコルを使用して UNIX または Linux コンピューターと通信します。In System Center Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • Secure Shell (SSH) (エージェントをインストール、アップグレード、および削除する場合)。Secure Shell (SSH) for installing, upgrading, and removing agents.
  • Web Services for Management (WS-Management) (すべての監視操作に使用され、インストール済みのエージェントの検出も含む)。Web Services for Management (WS-Management) for all monitoring operations and include the discovery of agents that were already installed.

使用されるプロトコルは、管理サーバーで求められる操作または情報によって決まります。The protocol that is used depends on the action or information that is requested on the management server. エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

注意

このセクションで言及するすべての資格情報は、Operations Manager のインストール中に構成された Operations Manager アカウントではなく、UNIX または Linux コンピューター上で設定されたアカウントに関連しています。All credentials referred to in this section pertain to accounts that have been established on the UNIX or Linux computer, not to the Operations Manager accounts that are configured during the installation of Operations Manager. 資格情報および認証情報についてはシステム管理者に問い合わせてください。Contact your system administrator for credentials and authentication information.

昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。By elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and SSH key authentication (with or without passphrase) is provided. 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) がサポートされます。For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is supported.

Active Directory エージェントの割り当てActive Directory agent assignment

System Center Operations Manager では、エージェントで管理されたコンピューターを管理グループに割り当てるために使用できるようにすることで、Active Directory Domain Services (AD DS) を利用できます。System Center Operations Manager allows you to take advantage of your investment in Active Directory Domain Services (AD DS) by enabling you to use it to assign agent-managed computers to management groups. この機能は一般的に、サーバーの展開ビルド プロセスの一部として展開されるエージェントと組み合わせて使用されます。This feature is commonly used in conjunction with the agent deployed as part of a server deployment build process. コンピューターが初めてオンラインになったときに、Operations Manager エージェントはそのプライマリおよびフェールオーバー管理サーバーの割り当てを Active Directory に照会し、コンピューターの監視を自動的に開始します。When the computer comes online for the first time, the Operations Manager agent queries Active Directory for its primary and failover management server assignment and automatically starts monitoring the computer.

AD DS を使用して管理グループにコンピューターを割り当てるには、次の手順を実行します。To assign computers to management groups by using AD DS:

  • AD DS ドメインの機能レベルは、Windows 2008 ネイティブ以上である必要があります。The functional level of AD DS domains must be Windows 2008 native or higher
  • エージェントで管理されたコンピューターとすべての管理サーバーは、同じドメインまたは双方向に信頼関係のあるドメインに存在する必要があります。Agent-managed computers and all management servers must be in the same domain or in two-way trusted domains.

注意

ドメイン コントローラーにインストールされていることがわかっているエージェントは、構成情報を Active Directory に照会しません。An agent that determines it is installed on a domain controller will not query Active Directory for configuration information. これはセキュリティ上の理由によるものです。This is for security reasons. エージェントはローカル システム アカウントで実行されるため、ドメイン コントローラーでは Active Directory 統合が既定で無効になります。Active Directory Integration is disabled by default on domain controllers because the agent runs under the Local System account. ドメイン コントローラーのローカル システム アカウントにはドメイン管理者権限があります。したがって、ドメイン コントローラーのセキュリティ グループ メンバーシップに関係なく、Active Directory に登録されている管理サーバー サービスの接続ポイントはすべて検出されます。The Local System account on a domain controller has Domain Administrator rights; therefore, it detects all Management Server Service Connection Points that are registered in Active Directory, regardless of the domain controller’s security group membership. そのため、エージェントは、すべての管理グループ内のすべての管理サーバーへの接続を試みます。As a result, the agent tries to connect to all management servers in all management groups. 結果を予測できない可能性があるため、セキュリティ上のリスクを伴います。The results can be unpredictable, thus presenting a security risk.

エージェントの割り当ては、クライアント アプリケーションがサービスへのバインドに使用できる情報を公開するための Active Directory オブジェクトである、サービス接続ポイント (SCP) を使用して行われます。Agent assignment is accomplished by using a Service Connection Point (SCP), which is an Active Directory object for publishing information that client applications can use to bind to a service. これは、MOMADAdmin.exe コマンドライン ツールを実行し、管理対象コンピューターのドメインに Operations Manager の管理グループ用の AD DS コンテナーを作成するドメイン管理者により作成されます。This is created by a domain administrator running the MOMADAdmin.exe command-line tool to create an AD DS container for an Operations Manager management group in the domains of the computers it manages. MOMADAdmin.exe の実行時に指定した AD DS セキュリティ グループには、そのコンテナーの子に対する読み取りアクセス許可と削除アクセス許可が付与されます。The AD DS security group that is specified when running MOMADAdmin.exe is granted Read and Delete Child permissions to the container. SCP には、サーバーの FQDN とポート番号を含む、管理サーバーへの接続情報が含まれます。The SCP contains connection information to the management server, including the server’s FQDN and port number. Operations Manager エージェントは、SCP を照会して、自動的に管理サーバーを検出できます。Operations Manager agents can automatically discover management servers by querying for SCPs. 継承は無効になっています。エージェントは AD に登録されている統合情報を読めるため、Active Directory のルート レベルにあるすべてのオブジェクトを読むための継承を Everyone グループに強制した場合、AD 統合機能が深刻な影響を受け、実質的に中断となります。Inheritance is not disabled, and because an agent can read the integration information registered in AD, if you force inheritance for the Everyone group to read all objects at the root level in Active Directory, this will severely affect and essentially interrupt AD Integration functionality. Everyone グループに読み取りアクセス許可を与えることでディレクトリ全体に継承を明示的に強制する場合、上位の AD 統合コンテナー (OperationsManager) とすべての子オブジェクトでこの継承をブロックする必要があります。If you explicitly force inheritance throughout the entire directory by granting the Everyone group read permissions, you must block this inheritance at the top-level AD Integration container, named OperationsManager, and all child objects.  それを行わなかった場合、AD 統合は予想どおりに機能しません。展開されたエージェントのプライマリおよびフェールオーバーの割り当てに信頼性と一貫性がなくなります。  If you fail to do this, AD Integration will not work as designed and you will not have reliable and consistent primary and failover assignment for agents deployed. さらに、管理グループが複数ある場合、両方の管理グループのすべてのエージェントがマルチホームになります。Additionally, if you happen to have more than one management group, all agents in both management groups will be multi-homed as well. 

この機能は、分散管理グループ展開でエージェントの割り当てを制御する場合に適しています。リソース プール専用の管理サーバーまたはウォーム スタンバイ構成のセカンダリ データ センター内の管理サーバーにエージェントがレポートしないようにすることで、通常の操作中でのエージェントのフェールオーバーを防ぐことができます。This feature works well for controlling agent assignment in a distributed management group deployment, to prevent agents from reporting to management servers that are dedicated to resource pools or management servers in a secondary data center in a warm-standby configuration to prevent agent failover during normal operation.

エージェント割り当ての構成は、エージェントの割り当てとフェールオーバー ウィザードを使用し、プライマリ管理サーバーおよびセカンダリ管理サーバーにコンピューターを割り当てる Operations Manager 管理者により管理されます。Configuration of agent assignment is managed by an Operations Manager administrator using the Agent Assignment and Failover Wizard to assign computers to a primary management server and secondary management server.

注意

Active Directory 統合は、オペレーション コンソールからインストールされたエージェントに対しては無効にされています。Active Directory Integration is disabled for agents that were installed from the Operations console. Active Directory 統合は、既定では MOMAgent.msi を使用して手動でインストールされたエージェントに対して有効にされます。By default, Active Directory Integration is enabled for agents installed manually using MOMAgent.msi.

次のステップNext steps