Operations Manager-agents

Belangrijk

Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.

In System Center Operations Manager is een agent een service die is geïnstalleerd op een computer die naar configuratiegegevens zoekt en proactief informatie verzamelt voor analyse en rapportage, de status meet van bewaakte objecten zoals een SQL-database of logische schijf, en taken uitvoert op aanvraag door een operator of als reactie op een voorwaarde. Hiermee kan Operations Manager Windows-, Linux- en UNIX-besturingssystemen bewaken en de onderdelen van een IT-service die erop is geïnstalleerd, zoals een website of een Active Directory-domeincontroller.

Windows-agent

Op een bewaakte Windows-computer wordt de Operations Manager-agent vermeld als de MMA-service (Microsoft Monitoring Agent). De Microsoft Monitoring Agent-service verzamelt gegevens over gebeurtenissen en prestaties, voert taken uit en andere werkstromen die in een management pack zijn gedefinieerd. Zelfs als de service niet kan communiceren met de beheerservice waaraan de service rapporteert, blijft deze actief en plaatst de verzamelde gegevens en gebeurtenissen in een wachtrij op de schijf van de bewaakte computer. Wanneer de verbinding wordt hersteld, verzendt de Microsoft Monitoring Agent-service de verzamelde gegevens en gebeurtenissen naar de beheerserver.

Notitie

• De Microsoft Monitoring Agent-service wordt ook soms de Health-service genoemd.

De Microsoft Monitoring Agent-service wordt ook uitgevoerd op beheerservers. Op een beheerserver voert de service bewakingswerkstromen uit en beheert de service referenties. Om werkstromen uit te voeren, initieert de service MonitoringHost.exe-processen met opgegeven referenties. Deze processen bewaken en verzamelen gebeurtenislogboekgegevens, prestatiemetergegevens, WMI-gegevens (Windows Management Instrumentation) en voert acties zoals scripts uit.

Communicatie tussen agents en beheerservers

De Operations Manager-agent verzendt waarschuwings- en detectiegegevens naar de toegewezen primaire beheerserver, die op zijn beurt de gegevens naar de operationele database schrijft. De agent verzendt ook gebeurtenis-, prestatie- en statusgegevens naar de primaire beheerserver van de betreffende agent. De beheerserver schrijft de gegevens tegelijkertijd naar de operationele database en de datawarehouse-database.

De agent verzendt gegevens conform de schemaparameters voor elke regel en monitor. Voor geoptimaliseerde verzamelingsregels worden gegevens alleen overgedragen als een steekproef van een prestatiemeteritem met een opgegeven tolerantie, bijvoorbeeld 10%, van de vorige steekproef afwijkt. Dit reduceert de hoeveelheid netwerkverkeer en het volume aan gegevens dat in de operationele database wordt opgeslagen.

Alle agents verzenden bovendien regelmatig (standaard elke 60 seconden) een gegevenspakket, heartbeat genaamd, naar de beheerserver. Het doel van de heartbeat is het valideren van de beschikbaarheid van de agent en de communicatie tussen de agent en de beheerserver. Zie Hoe heartbeats werken in Operations Manager voor meer informatie over heartbeats.

Voor elke agent wordt door Operations een health-service-watcher uitgevoerd, die de status van de externe health-service vanuit het perspectief van de beheerserver bewaakt. De agent communiceert met een beheerserver via TCP-poort 5723.

Linux-/UNIX-agent

De architectuur van de UNIX- en Linux-agent verschilt aanzienlijk van een Windows-agent. De Windows-agent heeft een Health-service die verantwoordelijk is voor het evalueren van de status van de bewaakte computer. De UNIX- en Linux-agent voert geen statusservice uit; In plaats daarvan wordt informatie doorgegeven aan de Health Service op een beheerserver om te worden geëvalueerd. Op de beheerserver worden alle werkstromen uitgevoerd om de status van het besturingssysteem te bewaken die zijn gedefinieerd in onze implementatie van de UNIX- en Linux-management packs:

• Schijf
• Processor
• Geheugen
• Netwerkadapters
• Besturingssysteem
• Processen
• Logboekbestanden

De UNIX- en Linux-agents voor Operations Manager bestaan uit een CIM Object Manager (CIM-server) en een set CIM-providers. CIM Object Manager is het serveronderdeel dat de WS-Management communicatie, verificatie, autorisatie en verzending van aanvragen naar de providers implementeert. De providers zijn de sleutel tot de CIM-implementatie in de agent, definiëren de CIM-klassen en -eigenschappen, maken contact met de kernel-API's om onbewerkte gegevens op te halen, formatteren de gegevens (bijvoorbeeld door delta's en gemiddelden te berekenen) en de aanvragen te verwerken die worden verzonden vanuit CIM Object Manager. De CIM Object Manager die wordt gebruikt in UNIX- en Linux-agents voor Operations Manager is van System Center Operations Manager 2007 R2 tot System Center 2012 SP1 de OpenPegasus-server. De providers die worden gebruikt voor het verzamelen en rapporteren van bewakingsgegevens zijn ontwikkeld door Microsoft. De broncode wordt vrijgegeven op CodePlex.com.

Dit is gewijzigd in System Center 2012 R2 Operations Manager, waar UNIX- en Linux-agents nu zijn gebaseerd op een volledig consistente implementatie van Open Management Infrastructure (OMI) als CIM Object Manager. In het geval van de UNIX-/Linux-agents voor Operations Manager, wordt OpenPegasus door OMI vervangen. Net als OpenPegasus is OMI een opensource, lichtgewicht en draagbare CIM Object Manager-implementatie, hoewel het lichter van gewicht en draagbaarder is dan OpenPegasus. Deze implementatie wordt nog steeds toegepast in System Center 2016 - Operations Manager en hoger.

De communicatie tussen de beheerserver en de UNIX- en Linux-agent is onderverdeeld in twee categorieën: agentonderhoud en statuscontrole. De beheerserver gebruikt twee protocollen om met de UNIX- of Linux-computer te communiceren:

• Secure Shell (SSH) en Secure Shell File Transfer Protocol (SFTP)

  Wordt gebruikt voor onderhoudstaken voor de agent, zoals het installeren, upgraden en verwijderen van agents.

• Webservicebeheer (WS-Management)

  Gebruikt voor alle bewakingsbewerkingen, inclusief de detectie van reeds geïnstalleerde agents.

Communicatie tussen de Operations Manager-beheerserver en UNIX- en Linux-agent maakt gebruik van WS-Man via HTTPS en de WinRM-interface. Alle onderhoudstaken voor de agent worden uitgevoerd via SSH op poort 22. Alle statusbewaking wordt uitgevoerd via WS-Management op poort 1270. De beheerserver vraagt de prestatie- en configuratiegegevens op via WS-Management voordat de gegevens voor de status worden geëvalueerd. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, worden geconfigureerd om voorgedefinieerde profielen te gebruiken overeenkomstig hun behoefte aan een niet-beschermd of beschermd account.

Notitie

Alle referenties waarnaar in dit artikel wordt verwezen, hebben betrekking op accounts die zijn gemaakt op de UNIX- of Linux-computer, niet op de Operations Manager-accounts die zijn geconfigureerd tijdens de installatie van Operations Manager. Neem contact op met uw systeembeheerder voor referenties en verificatiegegevens.

Ter ondersteuning van de nieuwe schaalbaarheidsverbeteringen met het aantal UNIX- en Linux-systemen dat System Center 2016 - Operations Manager en hoger per beheerserver kan bewaken, zijn de nieuwe Async Windows Management Infrastructure (MI) API's beschikbaar in plaats van WSMAN Sync-API's, die standaard worden gebruikt. Als u deze wijziging wilt inschakelen, moet u de nieuwe registersleutel UseMIAPI maken, zodat Operations Manager de nieuwe Async mi-API's kan gebruiken op beheerservers die Linux-/Unix-systemen bewaken.

1. Open het register Editor vanaf een opdrachtprompt met verhoogde bevoegdheid.
2. Maak registersleutel UseMIAPI onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Als u de oorspronkelijke configuratie wilt herstellen met behulp van de WSMAN Sync-API's, kunt u de registersleutel UseMIAPI verwijderen.

Beveiliging van agents

Verificatie op de UNIX-/Linux-computer

In Operations Manager hoeft de systeembeheerder niet langer het hoofdwachtwoord van de UNIX- of Linux-computer op te geven aan de beheerserver. Nu kan door uitbreiding van bevoegdheden een niet-beschermd account de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het proces van uitbreiding van bevoegdheden wordt uitgevoerd door de UNIX-programma's su (superuser) en sudo, die gebruikmaken van de referenties die worden geleverd door de beheerserver. Voor beschermde agentonderhoudsbewerkingen die gebruikmaken van SSH (zoals detectie, implementatie, upgrades, installatie ongedaan maken en agentherstel), wordt ondersteuning van su, sudo-uitbreiding en ondersteuning voor SSH-sleutelverificatie geboden. Voor beschermde WS-Management-bewerkingen (zoals het bekijken van beveiligde logbestanden), wordt ondersteuning toegevoegd voor sudo-uitbreiding (zonder wachtwoord).

Zie voor gedetailleerde instructies voor het opgeven van referenties en het configureren van accounts Referenties instellen voor toegang tot UNIX- en Linux-Computers.

Authenticatie met gatewayserver

Gatewayservers worden gebruikt om agentbeheer mogelijk te maken van computers die zich buiten de kerberos-vertrouwensgrens van een beheergroep bevinden. Omdat de gatewayserver zich in een domein bevindt dat niet wordt vertrouwd door het domein waarin de beheergroep zich bevindt, moeten certificaten worden gebruikt om de identiteit, agent, gatewayserver en beheerserver van elke computer vast te stellen. Op deze manier wordt aan de vereiste van Operations Manager voor wederzijdse verificatie voldaan.

Hiervoor moet u certificaten aanvragen voor elke agent die rapporteert aan een gatewayserver en deze certificaten importeren in de doelcomputer met behulp van het hulpprogramma MOMCertImport.exe, dat zich bevindt op de map SupportTools\ (amd64 of x86) van het installatiemedium. U moet toegang hebben tot een certificeringsinstantie (CA), wat een openbare CA kan zijn, zoals VeriSign, of u kunt Microsoft Certificate Services gebruiken.

Implementatie van agents

System Center Operations Manager-agents kunnen worden geïnstalleerd met behulp van een van de volgende drie methoden. De meeste installaties maken zo nodig gebruik van een combinatie van deze methoden voor het installeren van verschillende sets computers.

Notitie

• U kunt MMA niet installeren op een computer waarop operations manager-beheerserver, gatewayserver, operations-console, operationele database, webconsole, System Center Essentials of System Center Service Manager is geïnstalleerd, omdat de ingebouwde versie van MMA al is geïnstalleerd.
• U kunt alleen MMA of Log Analytics-agent (VM-extensieversie) gebruiken.

• De detectie en installatie van een of meer agents vanaf de Operations-console. Dit is de meestgebruikte vorm van installeren. Een beheerserver moet de computer kunnen verbinden met RPC. Het actie-account van de beheerserver of een andere opgegeven referentie moet over beheerdersrechten beschikken voor toegang tot de doelcomputer.
• Opname in de installatiekopie. Dit is een handmatige installatie naar een basisinstallatiekopie die wordt gebruikt voor het voorbereiden van andere computers. In dit geval kan Active Directory-integratie worden gebruikt om de computer na de eerste keer opstarten automatisch toe te wijzen aan een beheerserver.
• Handmatige installatie. Deze methode wordt gebruikt wanneer de agent niet kan worden geïnstalleerd door een van de andere methoden, bijvoorbeeld wanneer remote procedure call (RPC) niet beschikbaar is vanwege een firewall. De installatie wordt handmatig op de agent uitgevoerd of geïmplementeerd met een bestaand hulpprogramma voor softwaredistributie.

Agents die zijn geïnstalleerd met behulp van de detectiewizard, kunnen worden beheerd vanuit de Operations-console, zoals het bijwerken van agentversies, het toepassen van patches en het configureren van de beheerserver waaraan de agent rapporteert.

Als u de agent installeert met een handmatige methode, moeten updates op de agent ook handmatig worden uitgevoerd. U kunt Active Directory-integratie gebruiken om agents toe te wijzen aan beheergroepen. Zie Active Directory en Operations Manager integreren voor meer informatie.

Selecteer het vereiste tabblad voor meer informatie over agentimplementatie in Windows- en UNIX- en LINUX-systemen:

Implementatie van de agent op een Windows-systeem

Detectie van een Windows-systeem vereist dat de poorten TCP 135 (RPC), RPC-bereik en TCP 445 (SMB) open blijven en dat de SMB-service is ingeschakeld op de agentcomputer.

• Nadat een doelapparaat is gedetecteerd, kan hierop een agent worden geïmplementeerd. Voor de installatie van de agent is het volgende vereist:
• Het openen van RPC-poorten, te beginnen met eindpunttoewijzer TCP 135 en de SMB-poort (Server Message Block) TCP/UDP 445.
• Het inschakelen van bestands- en printerdeling voor Microsoft-netwerken en de client voor Microsoft-netwerken. (Dit zorgt ervoor dat de SMB-poort actief is.)
• Als groepsbeleidinstellingen voor Windows Firewall zijn ingeschakeld, moeten de instellingen voor Uitzondering voor extern beheer toestaan en Uitzondering voor bestands- en printerdeling toestaan voor niet-aangevraagde binnenkomende berichten worden ingesteld op Niet-aangevraagde binnenkomende berichten toestaan van: het IP-adres van de subnetten voor de primaire en secundaire beheerservers voor de agent.
• Een account met lokale beheerrechten op de doelcomputer.
• Windows Installer 3.1. Zie het artikel 893803 in de Microsoft Knowledge Base om te installeren https://go.microsoft.com/fwlink/?LinkId=86322
• Microsoft Core XML Services (MSXML) 6 op de productinstallatiemedia van Operations Manager in de submap \msxml. Met de push-agentinstallatie wordt MSXML 6 op het doelapparaat geïnstalleerd als dit nog niet is geïnstalleerd.

Implementatie van de agent op UNIX- en Linux-systemen

In System Center Operations Manager gebruikt de beheerserver twee protocollen om te communiceren met de UNIX- of Linux-computer:

• Secure Shell (SSH) voor het installeren, upgraden en verwijderen van agents.
• Webservicebeheer (WS-Management) voor alle bewakingsbewerkingen, inclusief de detectie van reeds geïnstalleerde agents.

Welk protocol wordt gebruikt, hangt af van de actie of gegevens waarom op de beheerserver wordt gevraagd. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, worden geconfigureerd om voorgedefinieerde profielen te gebruiken overeenkomstig hun behoefte aan een niet-beschermd of beschermd account.

Notitie

Alle in deze sectie genoemde referenties hebben betrekking op accounts die zijn gemaakt op de UNIX- of Linux-computer, niet op de Operations Manager-accounts die bij de installatie van Operations Manager worden geconfigureerd. Neem contact op met uw systeembeheerder voor referenties en verificatiegegevens.

Door uitbreiding van bevoegdheden kan een niet-beschermd account de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het proces van uitbreiding van bevoegdheden wordt uitgevoerd door de UNIX-programma's su (superuser) en sudo, die gebruikmaken van de referenties die worden geleverd door de beheerserver. Voor beschermde agentonderhoudsbewerkingen die gebruikmaken van SSH (zoals detectie, implementatie, upgrades, installatie ongedaan maken en agentherstel), wordt ondersteuning van su, sudo-uitbreiding en SSH-sleutelverificatie geboden. Voor beschermde WS-Management-bewerkingen (zoals het bekijken van beveiligde logbestanden), wordt ondersteuning geboden voor sudo-uitbreiding (zonder wachtwoord).

Toewijzing van agents via Active Directory

Met System Center Operations Manager kunt u profiteren van uw investering in Active Directory Domain Services (AD DS) door deze te gebruiken voor het toewijzen van door agents beheerde computers aan beheergroepen. Deze functie wordt vaak gebruikt met de agent die is geïmplementeerd als onderdeel van het buildproces van een serverimplementatie. Wanneer de computer voor het eerst online gaat, vraagt de Operations Manager-agent Active Directory naar de toewijzing voor de primaire en failover-beheerserver en wordt het bewaken van de computer automatisch gestart.

Computers toewijzen aan beheergroepen met AD DS:

• Het functionaliteitsniveau van AD DS-domeinen moet Windows 2008 (native modus) of hoger zijn
• Door agents beheerde computers en alle beheerservers moeten zich in hetzelfde domein bevinden of in domeinen met een tweerichtingsvertrouwensrelatie.

Notitie

Een agent die vaststelt dat deze is geïnstalleerd op een domeincontroller, kan geen query's uitvoeren op Active Directory voor configuratiegegevens. Dit is omwille van veiligheidsredenen. Active Directory-integratie wordt standaard op domeincontrollers uitgeschakeld omdat de agent wordt uitgevoerd onder het lokale systeemaccount. Het lokale systeemaccount op een domeincontroller heeft domeinbeheerdersrechten; daarom worden alle verbindingspunten van de beheerserverservice gedetecteerd die zijn geregistreerd in Active Directory, ongeacht het lidmaatschap van de beveiligingsgroep van de domeincontroller. Als gevolg hiervan probeert de agent verbinding te maken met alle beheerservers in alle beheergroepen. De resultaten kunnen onvoorspelbaar zijn en dus een beveiligingsrisico vormen.

Toewijzing van agents wordt uitgevoerd met een Service Connection Point (SCP). Dit is een Active Directory-object voor de publicatie van gegevens die clienttoepassingen kunnen gebruiken om zich met een service te verbinden. Dit wordt gemaakt door een domeinbeheerder die het opdrachtregelprogrammaMOMADAdmin.exe uitvoert om een AD DS-container te maken voor een Operations Manager-beheergroep in de domeinen van de computers die worden beheerd. De AD DS-beveiligingsgroep die wordt opgegeven bij het uitvoeren vanMOMADAdmin.exe krijgt de machtigingen Lezen en Onderliggend verwijderen voor de container. Het SCP bevat verbindingsgegevens met de beheerserver, waaronder de FQDN-naam en het poortnummer van de server. Operations Manager-agents kunnen beheerservers automatisch detecteren door SCP's op te vragen. Overname is niet uitgeschakeld en omdat een agent de integratiegegevens die zijn geregistreerd in AD kan lezen, heeft dit ernstige gevolgen en onderbreekt dit de ad-integratiefunctionaliteit als u overname voor de groep Iedereen afdwingt om alle objecten op het hoofdniveau in Active Directory te lezen. Als u overname expliciet afdwingt in de hele map door de groep Iedereen leesmachtigingen te verlenen, moet u deze overname blokkeren in de AD-integratiecontainer op het hoogste niveau, met de naam OperationsManager, en alle onderliggende objecten.  Als u dit niet doet, werkt AD-integratie niet zoals ontworpen en hebt u geen betrouwbare en consistente primaire en failovertoewijzing voor geïmplementeerde agents. Als u daarnaast meer dan één beheergroep hebt, worden alle agents in beide beheergroepen multihomed. 

Deze functie werkt goed voor het beheren van toewijzing van agents bij een implementatie van een gedistribueerde beheergroep. Hiermee wordt voorkomen dat agents rapporteren aan beheerservers die zijn toegewezen aan resourcegroepen of beheerservers in een secundair datacenter in een warme stand-byconfiguratie om failover van agents te voorkomen tijdens normaal bedrijf.

De configuratie van agenttoewijzing wordt beheerd door een Operations Manager-beheerder, die de wizard Agenttoewijzing en failover gebruikt om computers toe te wijzen aan een primaire en secundaire beheerserver.

Notitie

Active Directory-integratie wordt uitgeschakeld voor agents die zijn geïnstalleerd vanuit de Operations-console. Active Directory-integratie wordt standaard ingeschakeld voor agents die handmatig worden geïnstalleerd met MOMAgent.msi.

Volgende stappen

• Zie Agent in Windows installeren met de wizard Detectie voor meer informatie over het installeren van de Windows-agent vanuit de Operations-console. Zie Windows-agent handmatig installeren met MOMAgent.msi voor informatie over het installeren van de agent vanaf de opdrachtprompt.

• Zie Agent installeren op UNIX en Linux met behulp van de wizard Detectie voor meer informatie over het installeren van Linux en UNIX vanuit de Operations-console.

• Raadpleeg Active Directory-integratie configureren en gebruiken voor agenttoewijzing voor meer informatie over het maken van de container in Active Directory, het configureren van failovertoewijzing van de agent en het beheren van de configuratie.