Préparer System Center - Déploiement de Service Manager
Avant de commencer le déploiement de System Center - Service Manager, vous créez un groupe d’utilisateurs dans services de domaine Active Directory (AD DS) et vous créez ou identifiez un compte de domaine qui sera utilisé pendant le processus d’installation. Assurez-vous que le compte de domaine est membre des groupes appropriés nécessaires au bon fonctionnement de Service Manager. Gardez à l’esprit ce qui suit lorsque vous installez Service Manager et Operations Manager sur le même serveur :
Operations Manager peut partager le serveur de base de données avec Service Manager.
Un agent Operations Manager est installé automatiquement dans le cadre de Service Manager. Une fois le programme d’installation terminé, vous devez configurer manuellement l’agent à utiliser avec le serveur d’administration Operations Manager.
Pour vérifier que l’agent Operations Manager a été installé, ouvrez le Panneau de configuration et vérifiez que l’agent Operations Manager est présent.
Vous pouvez installer à la fois la console Operations Manager et la console Service Manager sur le même ordinateur. L’ordre dans lequel vous installez les consoles n’a pas d’importance.
N’essayez pas d’utiliser la même instance SQL Server Reporting Services (SSRS) pour Operations Manager et Service Manager.
Considérations relatives au compte avant d’exécuter le programme d’installation
Avant d’exécuter le programme d’installation pour Service Manager, passez en revue les sections suivantes pour vous assurer que les exigences requises pour installer Service Manager ont été remplies. Pendant l’installation, vous serez invité à fournir des utilisateurs ou des groupes de domaine pour différentes fonctions Service Manager. Passez en revue ces informations pour vous assurer que vous êtes prêt pour le processus d’installation.
Compte utilisé lors de l’installation de Service Manager
Cette section décrit les autorisations dont vous avez besoin lorsque vous installez un serveur d’administration Service Manager et des bases de données de console Service Manager et lorsque vous inscrivez le groupe d’administration Service Manager auprès du groupe d’administration de l’entrepôt de données dans Service Manager.
Remarque
Le compte que vous utilisez pour exécuter le programme d’installation est automatiquement créé dans Service Manager.
Sélectionnez l’onglet requis pour plus d’informations sur les autorisations dont vous avez besoin :
- Serveur d’administration Service Manager
- Console Service Manager
- Serveur d’administration de l’entrepôt de données
- SQL Server Reporting Services
- Inscription de Service Manager auprès de l’entrepôt de données
Vous avez besoin des autorisations suivantes lorsque vous installez un serveur d’administration Service Manager :
- Administrateur local sur l'ordinateur sur lequel vous exécutez l'installation
- Administrateur local sur l’ordinateur qui hébergera la base de données Service Manager s’il se trouve sur un ordinateur distant
- L'utilisateur connecté doit être un compte de domaine
- Rôle Sysadmin SQL Server sur l’instance SQL Server où la base de données Service Manager est en cours de création
Comptes requis lorsque vous installez Service Manager
Vous devrez fournir des informations d’identification pour les comptes dans le tableau suivant lors de l’installation des serveurs d’administration Service Manager et de l’entrepôt de données.
Remarque
Les comptes d’utilisateur et les comptes de groupe requis pour l’installation de Service Manager doivent résider dans l’unité d’organisation Utilisateurs dans services de domaine Active Directory (AD DS).
Comptes utilisés lors de l’installation d’un serveur d’administration Service Manager
Compte | autorisations | Utilisation dans Service Manager |
---|---|---|
Administrateurs de groupe d'administration | - Doit être un utilisateur ou un groupe de domaine. Important : le compte d’utilisateur connecté à l’ordinateur pendant l’installation d’un serveur d’administration Service Manager initial est automatiquement ajouté à ce groupe. |
- Ajouté au rôle d’utilisateur Administrateurs de Service Manager. |
Compte de services Service Manager | - Doit être un utilisateur ou un groupe de domaine. - Doit être membre des administrateurs locaux. - Doit disposer d’une connexion en tant que service. Pour définir ces autorisations, utilisez l’attribution des droits utilisateur des paramètres>de sécurité locaux.> Facultatif : - Refuser l’ouverture de session en tant que tâche de traitement par lots - Refuser la connexion via les services Bureau à distance. |
- Devient le compte de système opérationnel. - Affecté au compte d’ouverture de session du service d’accès aux données System Center. - Affecté au compte d’ouverture de session pour le service System Center Management Configuration. - Devient membre des rôles de base de données sdk_users et configsvc_users pour la base de données Service Manager. - Si vous modifiez les informations d’identification de ces deux services, vérifiez que le nouveau compte dispose d’une connexion SQL dans la base de données ServiceManager et que ce compte est membre du groupe Builtin\Administrators. |
Compte de flux de travail | - Doit être un utilisateur ou un groupe de domaine. - Doit disposer des autorisations nécessaires pour envoyer un e-mail et avoir une boîte aux lettres sur le serveur SMTP (Simple Mail Transfer Protocol) (requis pour la fonctionnalité Incident de messagerie). - Doit être membre du groupe de sécurité local Utilisateurs. - Doit être fait membre du rôle d’utilisateur Administrateurs de Service Manager pour Notifications par e-mail pour fonctionner correctement. Doit être un utilisateur ou un groupe de domaine. - Doit être membre des administrateurs locaux. - Doit disposer d’une connexion en tant que service. Pour définir ces autorisations, utilisez l’attribution des droits utilisateur des paramètres>de sécurité locaux.> Facultatif : -Refuser l’ouverture de session en tant que tâche de traitement par lots -Refuser l’ouverture de session via les services Bureau à distance. |
- Ce compte est utilisé pour tous les flux de travail et est fait membre du rôle d’utilisateur Flux de travail Service Manager. |
Bonnes pratiques de sécurité pour les comptes
Lorsque vous affectez des comptes Active Directory à utiliser avec des comptes d’identification Service Manager, il est recommandé d’utiliser des comptes de service. Nous vous déconseillons formellement d'utiliser des comptes d'utilisateur Active Directory associés à des personnes en particulier.
Pour plus d’informations sur les meilleures pratiques de sécurité, téléchargez une copie du Guide de sécurité Windows Server, qui fait désormais partie du Kit de ressources de gestion de la conformité de la sécurité Windows Server.
Comptes utilisés lors de l’installation d’un serveur d’administration d’entrepôt de données
Compte | autorisations | Utilisation dans Service Manager |
---|---|---|
Administrateurs de groupe d'administration | - Doit être un utilisateur ou un groupe de domaine. | - Ajouté au rôle d’utilisateur administrateurs de l’entrepôt de données. |
Compte de services Service Manager | - Doit être un utilisateur ou un groupe de domaine. - Doit être membre des administrateurs locaux sur le serveur d’administration de l’entrepôt de données. - Doit être le même compte que celui que vous avez utilisé pour le compte de services du serveur d’administration Service Manager. |
- Devient le compte d’identification du système d’entrepôt de données. - Affecté au compte de service du Kit de développement logiciel (SDK) ServiceManager. - Affecté au compte de configuration ServiceManager. - Devient membre des rôles de base de données sdk_users et configsvc_users pour la base de données DWDataMart. - Devient membre du rôle de base de données db_datareader pour la base de données DWRepository. - Devient membre du rôle de base de données configsvc_users pour la base de données Service Manager. |
Compte de rapports | - Doit être un compte de domaine. - Doit disposer d’une connexion en tant que service. Pour définir ces autorisations, utilisez l’attribution des droits utilisateur des paramètres>de sécurité locaux.> Facultatif : - Refuser l’ouverture de session en tant que tâche de traitement par lots - Refuser la connexion via les services Bureau à distance. |
- Utilisé par SQL Server Reporting Services (SSRS) pour accéder à la base de données DWDataMart pour obtenir des données pour la création de rapports. - Devient membre du rôle de base de données db_datareader pour la base de données DWDataMart. - Devient membre du rôle de base de données reportuser pour la base de données DWDatamart. |
Compte Analysis Services | - Doit être un compte de domaine. - Doit disposer d’une connexion en tant que service. Pour définir ces autorisations, utilisez l’attribution des droits utilisateur des paramètres>de sécurité locaux.> Facultatif : - Refuser l’ouverture de session en tant que tâche de traitement par lots - Refuser la connexion via les services Bureau à distance. |
- Utilisé pour communiquer avec des datamarts. - Le compte est ajouté en tant que rôle d’administrateur dans la base de données de serveur Analysis Services (DWASDataBase) pour le traitement de base de données et la lecture de cube. |
Informations d’identification utilisées lors de l’inscription d’un groupe d’administration Service Manager auprès du groupe d’administration de l’entrepôt de données
Dans le cadre du processus d’installation, vous inscrivez le groupe d’administration Service Manager auprès du groupe d’administration de l’entrepôt de données. Pendant ce processus, vous serez invité à fournir des informations d’identification. Les informations d'identification du compte que vous fournissez doivent être un compte de domaine. De plus, vous devrez fournir un compte détenteur des autorisations suivantes :
- Doit être membre du rôle d’utilisateur Administrateur dans les groupes d’administration Service Manager et d’entrepôt de données.
- Doit être membre du groupe d'administrateurs Utilisateurs locaux sur le serveur d'administration d'entrepôt de données.
Comptes requis pour créer des connecteurs
Lorsque vous créez des connecteurs, vous êtes invité à indiquer les informations d’identification que le connecteur utilisera pour effectuer sa fonction. Le code suivant décrit les autorisations dont ce compte aura besoin et décrit les meilleures pratiques en matière de haute sécurité.
Les comptes de connecteur pour Operations Manager, Orchestrator, SCVMM et AD nécessitent l’ouverture de session en tant que service.
Pour définir ces autorisations, utilisez l’affectation des droits utilisateur des paramètres>de sécurité locaux .>
Facultatif :
- Interdire l’ouverture de session en tant que tâche
- Interdire l’ouverture de session par les services Bureau à distance
Sélectionnez l’onglet requis pour afficher les autorisations et les bonnes pratiques :
- Connecteur d’alerte Operations Manager
- Connecteur CI Operations Manager
- Connecteur Active Directory
- Connecteur Configuration Manager
autorisations | Bonnes pratiques |
---|---|
- Doit être un compte de domaine. - Doit être membre du groupe de sécurité local Utilisateurs sur le serveur d’administration Service Manager. - Doit être administrateur Operations Manager. |
Compte de domaine spécifiquement créé à cet effet, qui se trouve uniquement dans le groupe de sécurité local Utilisateurs et dans un rôle d’utilisateur Administrateur dans Operations Manager et dans un rôle d’utilisateur Opérateur avancé dans Service Manager. |
Préparer les ordinateurs pour le déploiement de Service Manager
Pour préparer les ordinateurs pour le déploiement de Service Manager, procédez comme suit :
Vérifiez qu’aucune partie Operations Manager n’est installée sur les ordinateurs qui hébergent Service Manager ou l’entrepôt de données.
Créez un groupe Active Directory d’utilisateurs qui sera affecté au rôle des administrateurs Service Manager de l’entrepôt de données et des groupes d’administration Service Manager. Par exemple, créez le groupe SM_Admins.
Remarque
Ce groupe d’utilisateurs doit se trouver dans le même domaine que Service Manager. Les utilisateurs d’un autre domaine( même les domaines enfants) ne sont pas pris en charge.
Créez les comptes nécessaires pour Service Manager.
Remarque
Les comptes Service Manager doivent se trouver dans le même domaine que celui dans lequel Service Manager se trouve. Les comptes d’un autre domaine, même les domaines enfants, ne sont pas pris en charge.
Vérifiez que les instances langage SQL (SQL) utilisées pour les bases de données Service Manager utilisent le numéro de port 1433.
Si vous installez les bases de données sur un ordinateur distant exécutant Microsoft SQL Server, l’utilisateur qui exécute le programme d’installation doit être un utilisateur de domaine disposant d’autorisations d’administrateur local sur l’ordinateur SQL Server.
Sur les ordinateurs qui hébergeront la console Service Manager, sous Options Internet, paramètres réseau local (LAN), sélectionnez Ignorer le serveur proxy pour les adresses locales.
Ouvrez un navigateur, puis entrez les deux URL suivantes :
http://<computer hosting SSRS>/reports
http://<computer hosting SSRS>/reportserver
Si une tentative de connexion échoue ou retourne une erreur( par exemple, erreur HTTP 404.0 introuvable), effectuez les étapes de la procédure pour configurer le serveur de rapports. Sinon, poursuivez l’installation de Service Manager.
Configurer le serveur de rapports
En utilisant un compte disposant de droits d’administrateur, connectez-vous à l’ordinateur qui hébergera SQL Server Reporting Services (SSRS).
Sélectionnez Démarrer, pointez sur Programmes, pointez sur Microsoft SQL Server 2008, pointez sur Outils de configuration, puis sélectionnez Gestionnaire de configuration de Reporting Services.
Dans la boîte de dialogue Connexion de configuration De Reporting Services, vérifiez que les informations du nom du serveur et de l’instance du serveur de rapports sont correctes, puis sélectionnez Se connecter.
Dans le volet Connexion, sélectionnez URL des services Web.
Dans la zone Répertoire virtuel du service web Report Server, dans la zone de texte Répertoire virtuel, vérifiez que l’entrée est ReportServer, puis sélectionnez Appliquer.
Dans le volet Connexion, sélectionnez l’URL du Gestionnaire de rapports.
Dans la zone Identification du site du Gestionnaire de rapports, dans la zone de texte Répertoire virtuel, vérifiez que l’entrée lit les rapports, puis sélectionnez Appliquer.
Dans le volet Connexion , sélectionnez l’entrée supérieure (
<server>\\<instance>
).Dans la zone Serveur de rapports actuel, sélectionnez Arrêter, puis sélectionnez Démarrer.
Important
Lorsque vous installez System Center Service Manager avec SQL Server Reporting Services (SSRS) 2017 ou version ultérieure, les rapports Service Manager ne sont pas déployés, un événement 33410 se produit et affiche les détails de l’échec du déploiement. Consultez les informations suivantes pour la cause et la résolution de ce problème.
SSRS 2017 version 14.0.600.1274 et versions ultérieures inclut un nouveau paramètre avancé AllowedResourceExtensionsForUpload. Ce paramètre restreint l’ensemble d’extensions de fichiers de ressources qui peuvent être chargées sur le serveur de rapports. Ce problème se produit parce que la création de rapports Service Manager utilise des extensions qui ne sont pas incluses dans l’ensemble par défaut dans AllowedResourceExtensionsForUpload.
Pour résoudre ce problème, ajoutez *.* à la liste des extensions. Effectuez les étapes suivantes :
- Démarrez SQL Server Management Studio, puis connectez-vous à une instance de serveur de rapports utilisée par Service Manager.
- Cliquez avec le bouton droit sur le nom du serveur de rapports, sélectionnez Propriétés, puis sélectionnez Avancé.
- Recherchez le paramètre AllowedResourceExtensionsForUpload , ajoutez *.* à la liste des extensions, puis sélectionnez OK.
- Redémarrez SSRS.
Étapes suivantes
Pour en savoir plus sur les problèmes qui affectent les performances et l’extensibilité dans Service Manager, passez en revue planification des performances et de l’extensibilité. Il suggère également des bonnes pratiques pour obtenir de bonnes performances à l’aide de configurations matérielles suggérées.