Operations Manager-Agents
In System Center Operations Manager ist ein Agent ein Dienst, der auf einem Computer installiert ist, der nach Konfigurationsdaten sucht und proaktiv Informationen für Analysen und Berichte sammelt, den Integritätszustand überwachter Objekte wie einer SQL-Datenbank oder eines logischen Datenträgers erfasst und Aufgaben auf Anforderung eines Operators oder als Antwort auf eine Bedingung ausführt. Er ermöglicht Operations Manager die Überwachung von Windows‑, Linux‑ und UNIX-Betriebssystemen sowie der darauf installierten Komponenten eines IT-Dienstes wie eine Website oder eines Active Directory-Domänencontrollers.
Windows-Agent
Auf einem überwachten Windows-Computer wird der Operations Manager-Agent als MMA-Dienst (Microsoft Monitoring Agent) aufgelistet. Der Microsoft Monitoring Agent-Dienst erfasst Ereignis- und Leistungsdaten und führt Tasks und andere Workflows aus, die in einem Management Pack definiert sind. Selbst wenn der Dienst nicht mit dem Verwaltungsserver kommunizieren kann, an den er berichtet, läuft der Dienst weiter und stellt die gesammelten Daten und Ereignisse auf der Festplatte des überwachten Computers in eine Warteschlange. Wenn die Verbindung wiederhergestellt ist, sendet der Microsoft Monitoring Agent-Dienst gesammelte Daten und Ereignisse an den Verwaltungsserver.
Hinweis
- Der Microsoft Monitoring Agent-Dienst wird manchmal auch als Integritätsdienst bezeichnet.
Der Microsoft Monitoring Agent-Dienst wird auch auf Verwaltungsservern ausgeführt. Auf einem Verwaltungsserver führt der Dienst Überwachungsworkflows aus und verwaltet Anmeldeinformationen. Zum Ausführen von Workflows initiiert der Dienst MonitoringHost.exe-Prozesse mit angegebenen Anmeldeinformationen. Diese Prozesse überwachen und sammeln Ereignisprotokolldaten, Leistungsindikatordaten und Windows-Verwaltungsinstrumentationsdaten (WMI) und führen Aktionen wie Skripte aus.
Kommunikation zwischen Agents und verwalteten Servern
Der Operations Manager-Agent sendet Warnungs‑ und Erkennungsdaten an den ihm zugewiesenen primären Verwaltungsserver, der die Daten in die Betriebsdatenbank schreibt. Der Agent sendet außerdem Ereignisse, Leistung und Zustandsdaten an den primären Verwaltungsserver für diesen Agent, der die Daten gleichzeitig in die Betriebs- und Data Warehouse-Datenbanken schreibt.
Der Agent sendet Daten gemäß den Zeitplanparametern für jede Regel und jeden Überwachungsvorgang. Bei optimierten Erfassungsregeln werden Daten nur dann übertragen, wenn eine Stichprobe eines Zählers um eine bestimmte Toleranz, z. B. 10 %, von der vorherigen Stichprobe abweicht. Dies trägt dazu bei, den Netzwerkverkehr und die in der operativen Datenbank gespeicherte Datenmenge zu reduzieren.
Darüber hinaus senden alle Agents in regelmäßigen Abständen, standardmäßig alle 60 Sekunden, ein Datenpaket, Heartbeat genannt, an den Verwaltungsserver. Der Zweck des Heartbeat ist die Überprüfung der Verfügbarkeit des Agenten und der Kommunikation zwischen dem Agenten und dem Verwaltungsserver. Weitere Informationen über Heartbeats finden Sie unter Wie Heartbeats in Operations Manager funktionieren.
Für jeden Agent führt Operations Manager eine Integritätsdienstüberwachung aus, die den Status des Remote-Integritätsdiensts aus der Perspektive des Verwaltungsservers überwacht. Der Agent kommuniziert mit einem Verwaltungsserver über TCP-Port 5723.
Linux/UNIX-Agent
Die Architektur des UNIX‑ und Linux-Agents unterscheidet sich erheblich von einem Windows-Agent. Der Windows-Agent verfügt über eine Integritätsdienst, die für die Bewertung des Zustands des überwachten Computers verantwortlich ist. Der UNIX- und Linux-Agent führt keinen Integritätsdienst aus. Stattdessen werden Informationen an die Integritätsdienst auf einem Verwaltungsserver übergeben, um ausgewertet zu werden. Der Verwaltungsserver führt alle Workflows aus, um die Integrität des Betriebssystems zu überwachen, die in unserer Implementierung der UNIX‑ und Linux-Management Packs definiert sind:
- Datenträger
- Prozessor
- Arbeitsspeicher
- Netzwerkadapter
- Betriebssystem
- Prozesse
- Protokolldateien
Die UNIX‑ und Linux-Agents für Operations Manager bestehen aus einem CIM-Objekt-Manager (d. h. CIM Server) und einer Reihe von CIM-Anbietern. Der CIM-Objekt-Manager ist die „Serverkomponente“, die die Kommunikation, Authentifizierung und Autorisierung für WS-Management sowie die Verteilung von Anforderungen an die Anbieter implementiert. Die Anbieter sind der Schlüssel zur CIM-Implementierung im Agenten, indem sie die CIM-Klassen und ‑Eigenschaften definieren, Schnittstellen mit den Kernel-APIs zum Abrufen von Rohdaten bereitstellen, die Daten formatieren (wie etwa Deltas und Durchschnittswerte berechnen) und die vom CIM-Objekt-Manager gesendeten Anfragen bearbeiten. Von System Center Operations Manager 2007 R2 bis System Center 2012 SP1 ist der CIM-Objekt-Manager, der in Operations Manager-Agents für UNIX und Linux verwendet wird, der OpenPegasus-Server. Die zum Sammeln und Berichten von Überwachungsdaten verwendeten Anbieter werden von Microsoft entwickelt und bei CodePlex.com open-sourced.
Dies änderte sich in System Center 2012 R2 Operations Manager, wo UNIX‑ und Linux-Agents nun auf einer vollständig konsistenten Implementierung von Open Management Infrastructure (OMI) als ihrem CIM-Objekt-Manager basieren. Im Falle der Operations Manager-UNIX/Linux-Agents ersetzt OMI OpenPegasus. Wie OpenPegasus ist OMI eine Open-Source‑, leichtgewichtige und portable CIM-Objekt-Manager-Implementierung – allerdings ist sie leichter und portierbarer als OpenPegasus. Diese Implementierung wird weiterhin in System Center 2016 – Operations Manager und höher angewendet.
Die Kommunikation zwischen dem Verwaltungsserver und dem UNIX‑ und Linux-Agent ist in zwei Kategorien unterteilt: Agent-Wartung und Systemüberwachung. Der Verwaltungsserver verwendet zwei Protokolle für die Kommunikation mit dem UNIX‑ oder Linux-Computer:
Secure Shell (SSH) und Secure Shell File Transfer Protocol (SFTP)
Wird für Agent-Wartungsaufgaben wie Installieren, Aktualisieren und Entfernen von Agents verwendet.
Web Services for Management (WS-Management)
Wird für alle Überwachungsvorgänge verwendet und enthält die Ermittlung von Agents, die bereits installiert wurden.
Die Kommunikation zwischen dem Operations Manager-Verwaltungsserver und dem UNIX‑ und Linux-Agent findet mit WS-Man über HTTPS und die WinRM-Schnittstelle statt. Alle Agent-Wartungsaufgaben werden über SSH auf Port 22 ausgeführt. Die gesamte Systemüberwachung erfolgt über WS-MAN an Port 1270. Der Verwaltungsserver fordert Leistungs‑ und Konfigurationsdaten über WS-MAN an, bevor die Daten ausgewertet werden, um den Integritätsstatus bereitzustellen. Alle Aktionen, z. B. Agentwartung, Monitore, Regeln, Aufgaben und Wiederherstellungen, werden so konfiguriert, dass vordefinierte Profile entsprechend ihrer Anforderung für ein nicht privilegiertes oder privilegiertes Konto verwendet werden.
Hinweis
Alle in diesem Artikel erwähnten Anmeldedaten beziehen sich auf Konten, die auf dem UNIX‑ oder Linux-Computer eingerichtet wurden, nicht auf die Operations Manager-Konten, die während der Installation von Operations Manager konfiguriert werden. Wenden Sie sich an Ihre Systemadministration, um Anmeldeinformationen und Authentifizierungsinformationen zu erhalten.
Um die neuen Skalierbarkeitsverbesserungen bei der Anzahl der UNIX‑ und Linux-Systeme zu unterstützen, die System Center 2016 – Operations Manager und höher pro Verwaltungsserver überwachen kann, sind die neuen asynchronen APIs der Windows-Verwaltungsinfrastruktur (MI) anstelle der standardmäßig verwendeten WSMAN-Sync-APIs verfügbar. Um diese Änderung zu aktivieren, müssen Sie den neuen Registrierungsschlüssel UseMIAPI erstellen, damit Operations Manager zur Verwendung der neuen asynchronen MI-APIs auf Verwaltungsservern aktiviert wird, die Linux/Unix-Systeme überwachen.
- Öffnen Sie den Registrierungs-Editor über eine Eingabeaufforderung mit erhöhten Rechten.
- Erstellen Sie den Registrierungsschlüssel UseMIAPI unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup
.
Wenn Sie die ursprüngliche Konfiguration mithilfe der WSMAN-Sync-APIs wiederherstellen müssen, können Sie den Registrierungsschlüssel UseMIAPI löschen.
Agentsicherheit
Authentifizierung auf UNIX/Linux-Computern
In Operations Manager ist der Systemadmin nicht mehr erforderlich, um das Stammkennwort des UNIX- oder Linux-Computers auf dem Verwaltungsserver bereitzustellen. Durch Elevation kann nun ein nicht privilegiertes Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer annehmen. Der Erhöhungsprozess wird von den UNIX-Programmen „su“ (Superuser) und „sudo“ durchgeführt, die die Anmeldeinformationen verwenden, die der Verwaltungsserver bereitstellt. Für privilegierte Wartungsvorgänge von Agents, die SSH verwenden (z. B. Erkennung, Bereitstellung, Upgrades, Deinstallation und Wiederherstellung von Agents), wird Unterstützung für su, Sudo-Rechteerweiterung und SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) bereitgestellt. Für privilegierte WS-Management-Vorgänge (z. B. das Anzeigen sicherer Protokolldateien) wird Unterstützung für die sudo-Rechteerweiterung (ohne Kennwort) hinzugefügt.
Ausführliche Anweisungen zum Angeben von Anmeldeinformationen und zum Konfigurieren von Konten finden Sie unter Festlegen von Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.
Authentifizierung mit Gatewayserver
Gatewayserver werden verwendet, um die Agentverwaltung von Computern zu aktivieren, die sich außerhalb der Kerberos-Vertrauensgrenze einer Verwaltungsgruppe befinden. Da sich der Gatewayserver in einer Domäne befindet, der die Domäne, in der sich die Verwaltungsgruppe befindet, nicht vertraut, müssen Zertifikate verwendet werden, um die Identität jedes Computers, Agents, Gatewayservers und Verwaltungsservers festzustellen. Diese Anordnung erfüllt die Anforderung von Operations Manager für die gegenseitige Authentifizierung.
Dazu müssen Sie Zertifikate für jeden Agent anfordern, der an einen Gatewayserver berichtet, und diese Zertifikate mithilfe des Tools „MOMCertImport.exe“, das sich im Verzeichnis „SupportTools\ (amd64 or x86)“ auf dem Installationsmedium befindet, in den Zielcomputer importieren. Sie müssen Zugriff auf eine Zertifizierungsstelle (ZS) haben, die eine öffentliche Zertifizierungsstelle wie VeriSign sein kann, oder Sie können Microsoft Certificate Services verwenden.
Agent-Bereitstellung
System Center Operations Manager-Agents können mithilfe einer der folgenden drei Methoden installiert werden. Bei den meisten Installationen wird zum Installieren verschiedener Gruppen von Computern je nach Bedarf eine Kombination dieser Methoden verwendet.
Hinweis
- Sie können MMA nicht auf einem Computer installieren, auf dem Operations Manager-Verwaltungsserver, -Gatewayserver, -Betriebskonsole, -Betriebsdatenbank, -Webkonsole, System Center Essentials oder System Center Service Manager installiert ist, weil in diesem Fall bereits die integrierte Version von MMA installiert ist.
- Sie können nur MMA oder den Log Analytics-Agent (Version der VM-Erweiterung) verwenden.
- Die Erkennung und Installation von einem oder mehreren Agenten über die Operations-Konsole. Dies ist die häufigste Form der Installation. Ein Verwaltungsserver muss in der Lage sein, den Computer mit RPC zu verbinden, und entweder das Aktionskonto des Verwaltungsservers oder andere bereitgestellte Anmeldeinformationen müssen administrativen Zugriff auf den Zielcomputer haben.
- Einbindung in das Installations-Image. Dies ist eine manuelle Installation auf einem Basis-Image, das für die Vorbereitung anderer Computer verwendet wird. In diesem Fall kann die Active Directory-Integration verwendet werden, um den Computer beim ersten Start automatisch einem Verwaltungsserver zuzuweisen.
- Manuelle Installation: Diese Methode wird verwendet, wenn der Agent nicht mit einer der anderen Methoden installiert werden kann. Dies ist beispielsweise dann der Fall, wenn ein Remoteprozeduraufruf aufgrund einer Firewall nicht verfügbar ist. Das Setup wird manuell auf dem Agenten ausgeführt oder über ein vorhandenes Softwareverteilungsprogramm bereitgestellt.
Agents, die mit dem Ermittlungs-Assistenten installiert sind, können über die Betriebskonsole verwaltet werden, z. B. über das Aktualisieren von Agent-Versionen, Anwenden von Patches und Konfigurieren des Verwaltungsservers, an den der Agent berichtet.
Wenn Sie den Agent mit einer manuellen Methode installieren, müssen Updates für den Agent auch manuell ausgeführt werden. Sie können die Active Directory-Integration verwenden, um Agents Verwaltungsgruppen zuzuweisen. Weitere Informationen finden Sie unter Integrieren von Active Directory und Operations Manager.
Wählen Sie die gewünschte Registerkarte, um mehr über die Bereitstellung von Agenten auf Windows-, UNIX- und LINUX-Systemen zu erfahren:
Für die Erkennung eines Windows-Systems müssen die Ports TCP 135 (RPC), RPC-Bereich und TCP 445 (SMB) geöffnet bleiben und der SMB-Dienst muss auf dem Agent-Computer aktiviert sein.
- Nachdem ein Zielgerät erkannt wurde, kann ein Agent dafür bereitgestellt werden. Die Agent-Installation erfordert:
- Öffnen von RPC-Ports, beginnend mit der Endpunktzuordnung TCP 135 und dem Server Message Block (SMB)-Port TCP/UDP 445.
- Aktivieren der Datei- und Druckerfreigabe für Microsoft-Netzwerke und der Dienste für Clients für Microsoft-Netzwerke. (Dadurch wird sichergestellt, dass der SMB-Port aktiv ist.)
- Wenn dies aktiviert ist, müssen die Windows-Firewall-Gruppenrichtlinieneinstellungen für die „Ausnahme für Remoteverwaltung zulassen“ und „Ausnahme für Datei- und Druckerfreigabe zulassen“ auf „Nicht angeforderte eingehende Nachrichten von der IP-Adresse und den Subnetzen für die primären und sekundären Verwaltungsserver für den Agent zulassen“ gesetzt werden.
- Ein Konto mit lokalen Administrationsrechten auf dem Zielcomputer.
- Windows Installer 3.1. Informationen zur Installation finden Sie im Artikel 893803 in der Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322
- Microsoft Core XML Services (MSXML) 6 auf dem Installationsmedium des Operations Manager-Produkts im Unterverzeichnis „\msxml“. Die Push-Agent-Installation installiert MSXML 6 auf dem Zielgerät, falls es noch nicht installiert ist.
Active Directory-Agent-Zuweisung
Mit System Center Operations Manager können Sie Ihre Investition in Active Directory Domain Services (AD DS) nutzen, da Sie damit von Agenten verwaltete Computer Verwaltungsgruppen zuweisen können. Diese Funktion wird häufig verwendet, wenn der Agent als Teil eines Server-Bereitstellungsprozesses bereitgestellt wird. Wenn der Computer zum ersten Mal online geht, fragt der Operations Manager-Agent Active Directory nach seiner primären und Failover-Verwaltungsserver-Zuweisung ab und beginnt automatisch mit der Überwachung des Computers.
Computer mithilfe von AD DS Verwaltungsgruppen zuweisen:
- Die Funktionsebene von AD DS-Domänen muss Windows 2008 nativ oder höher sein.
- Von Agents verwaltete Computer und alle Verwaltungsserver müssen sich in der gleichen Domäne oder in bidirektional vertrauenswürdigen Domänen befinden.
Hinweis
Ein Agent, der feststellt, dass er auf einem Domänencontroller installiert ist, stellt keine Abfrage an Active Directory nach Konfigurationsinformationen. Dies geschieht aus Sicherheitsgründen. Die Active Directory-Integration ist auf Domänencontrollern standardmäßig deaktiviert, da der Agent unter dem lokalen Systemkonto ausgeführt wird. Das lokale Systemkonto auf einem Domänencontroller verfügt über Domänenadministratorrechte und erkennt daher alle Verbindungspunkte des Verwaltungsserverdienstes, die in Active Directory registriert sind, unabhängig von der Mitgliedschaft des Domänencontrollers in einer Sicherheitsgruppe. Daher versucht der Agent, eine Verbindung mit allen Verwaltungsservern in allen Verwaltungsgruppen herzustellen. Die Ergebnisse können unvorhersehbar sein und somit ein Sicherheitsrisiko darstellen.
Die Zuweisung von Agents erfolgt über einen Dienstverbindungspunkt (SCP), ein Active Directory-Objekt zur Veröffentlichung von Informationen, das Clientanwendungen verwenden können, um sich an einen Dienst zu binden. Dies wird von einem Domänenadministrator erstellt, der das Befehlszeilentool MOMADAdmin.exe ausführt, um einen AD DS-Container für eine Operations Manager-Verwaltungsgruppe in den Domänen der verwalteten Computer zu erstellen. Die AD DS-Sicherheitsgruppe, die beim Ausführen von MOMADAdmin.exe angegeben wird, erhält untergeordnete Lese‑ und Löschberechtigungen für den Container. Der SCP enthält Verbindungsinformationen zum Verwaltungsserver, einschließlich des FQDN und der Portnummer des Servers. Operations Manager-Agents können Verwaltungsserver automatisch entdecken, indem sie SCPs abfragen. Die Vererbung ist nicht deaktiviert, und da ein Agent die in AD registrierten Integrationsinformationen lesen kann, wird die AD-Integrationsfunktionalität stark beeinträchtigt und im Wesentlichen unterbrochen, wenn Sie die Vererbung für die Gruppe „Alle“ erzwingen, um alle Objekte auf der Stammebene in Active Directory zu lesen. Wenn Sie explizit die Vererbung innerhalb des gesamten Verzeichnisses erzwingen, indem Sie der Gruppe „Jeder“ Leseberechtigung erteilen, müssen Sie diese Vererbung im AD-Integrationscontainer auf oberster Ebene, OperationsManager, und für alle untergeordneten Objekte blockieren. Wenn Sie dies nicht tun, funktioniert die AD-Integration nicht wie vorgesehen und Sie erhalten keine zuverlässige und konsistente primäre und Failover-Zuweisung für bereitgestellte Agents. Wenn Sie über mehr als eine Verwaltungsgruppe verfügen, sind außerdem alle Agents in beiden Verwaltungsgruppen mehrfach vernetzt.
Diese Funktion eignet sich gut zur Steuerung der Agentzuweisung in einer verteilten Verwaltungsgruppenbereitstellung, um zu verhindern, dass Agents an Verwaltungsserver berichten, die für Ressourcenpools oder Verwaltungsserver in einem sekundären Rechenzentrum in einer Betriebsbereitschaftskonfiguration vorgesehen sind, um ein Agent-Failover während des normalen Betriebs zu verhindern.
Die Konfiguration der Agentzuweisung wird von einer in der Operations Manager-Administration tätigen Person verwaltet, der mithilfe des Assistenten für Agentzuweisung und Failover Computer einem primären und einem sekundären Verwaltungsserver zuweist.
Hinweis
Die Active Directory-Integration ist für Agents deaktiviert, die über die Betriebskonsole installiert wurden. Standardmäßig ist die Active Directory-Integration für Agents aktiviert, die manuell mit „MOMAgent.msi“ installiert werden.
Nächste Schritte
Informationen zum Installieren des Windows-Agents über die Betriebskonsole finden Sie unter Installieren des Agents mithilfe des Ermittlungs-Assistenten unter Windows. Informationen zum Installieren des Agents über die Befehlszeile finden Sie unter Manuelles Installieren des Windows-Agents mithilfe von „MOMAgent.msi“.
Informationen zum Installieren von Linux und UNIX über die Betriebskonsole finden Sie unter Installieren des Agent auf UNIX und Linux mit dem Ermittlungs-Assistenten.
Informationen zum Erstellen des Containers in Active Directory, zum Konfigurieren der Agent-Failover-Zuweisung und zum Verwalten der Konfiguration finden Sie unter Konfigurieren und Verwenden der Active Directory-Integration für die Agentzuweisung.