Agenci programu Operations Manager

W programie System Center Operations Manager agent to usługa zainstalowana na komputerze, który wyszukuje dane konfiguracji i aktywnie zbiera informacje na potrzeby analizy i raportowania, mierzy stan kondycji monitorowanych obiektów, takich jak baza danych SQL lub dysk logiczny, i wykonuje zadania na żądanie przez operatora lub w odpowiedzi na warunek. Umożliwia programowi Operations Manager monitorowanie systemów operacyjnych Windows, Linux i UNIX oraz składników usługi IT zainstalowanych na nich, takich jak witryna internetowa lub kontroler domeny usługi Active Directory.

Agent systemu Windows

Na monitorowanym komputerze z systemem Windows agent programu Operations Manager jest wymieniony jako usługa Microsoft Monitoring Agent (MMA). Usługa Microsoft Monitoring Agent zbiera dane dotyczące zdarzeń i wydajności, wykonuje zadania i realizuje inne przepływy pracy zdefiniowane w pakiecie administracyjnym. Nawet jeśli usługa nie może komunikować się z serwerem zarządzania, któremu podlega, nadal działa, a zebrane dane i zdarzenia umieszcza w kolejce na dysku monitorowanego komputera. Po przywróceniu połączenia usługa Microsoft Monitoring Agent wysyła zebrane dane i zdarzenia do serwera zarządzania.

Uwaga

• Usługa Microsoft Monitoring Agent jest czasami nazywana usługą zdrowia.

Usługa Microsoft Monitoring Agent działa również na serwerach zarządzania. Na serwerze zarządzania usługa zarządza poświadczeniami i uruchamia monitorujące przepływy pracy. Aby uruchamiać workflowy, usługa inicjuje procesy MonitoringHost.exe przy użyciu określonych poświadczeń. Te procesy monitorują i zbierają dane dziennika zdarzeń, dane licznika wydajności, dane instrumentacji zarządzania Windows (WMI) i uruchamiają akcje, takie jak skrypty.

Komunikacja między agentami a serwerami zarządzania

Agent Operations Manager wysyła dane dotyczące alertów i wykrywania do przypisanego serwera zarządzania głównego, który zapisuje te dane w operacyjnej bazie danych. Agent wysyła również dane o zdarzeniach, wydajności i stanie do swojego podstawowego serwera zarządzania, który jednocześnie zapisuje dane w operacyjnych bazach danych i bazach danych magazynu danych.

Agent wysyła dane zgodnie z parametrami harmonogramu dla każdej reguły i monitora. W przypadku zoptymalizowanych reguł zbierania dane są przesyłane tylko wtedy, gdy próbka licznika różni się od poprzedniej próbki o określoną tolerancję, na przykład 10%. Pomaga to ograniczyć ruch sieciowy i ilość danych przechowywanych w operacyjnej bazie danych.

Ponadto wszyscy agenci wysyłają pakiet danych, nazywany pulsem, do serwera zarządzania zgodnie z regularnym harmonogramem, domyślnie co 60 sekund. Celem pulsu jest zweryfikowanie dostępności agenta i komunikacji między agentem a serwerem zarządzania. Aby uzyskać więcej informacji na temat pulsów, zobacz jak działają pulsy w programie Operations Manager.

Dla każdego agenta program Operations Manager uruchamia nadzorcę usługi kondycji, który monitoruje stan zdalnej usługi kondycji z perspektywy serwera zarządzania. Agent komunikuje się z serwerem zarządzania za pośrednictwem portu TCP 5723.

Agent systemu Linux/UNIX

Architektura agenta systemów UNIX i Linux znacznie różni się od agenta systemu Windows. Agent systemu Windows ma usługę oceny kondycji odpowiedzialną za ocenę stanu zdrowia monitorowanego komputera. Agent systemu UNIX i Linux nie uruchamia usługi zdrowia; zamiast tego przekazuje informacje do usługi zdrowia do oceny na serwerze zarządzania. Serwer zarządzania uruchamia wszystkie przepływy pracy, aby monitorować kondycję systemu operacyjnego zdefiniowaną w naszej implementacji pakietów administracyjnych systemów UNIX i Linux:

• Dysk
• Procesor
• Pamięć
• Karty sieciowe
• System operacyjny
• Procesy
• Pliki dzienników

Agenci systemów UNIX i Linux dla programu Operations Manager składają się z menedżera obiektów modelu CIM (czyli serwera CIM) i zestawu dostawców modelu CIM. Menedżer obiektów modelu CIM to składnik serwera , który implementuje komunikację, uwierzytelnianie, autoryzację i wysyłanie żądań do dostawców za pomocą usługi WS-Management. Dostawcy są kluczowym elementem implementacji CIM w agencie, definiując klasy i właściwości CIM, łącząc się z API jądra w celu pobierania surowych danych, formatując te dane (na przykład obliczając różnice i średnie) oraz obsługując żądania wysyłane z Menedżera Obiektów CIM. Z programu System Center Operations Manager 2007 R2 do programu System Center 2012 SP1 program CIM Object Manager używany w agentach programu Operations Manager w systemach UNIX i Linux jest serwerem OpenPegasus. Dostawcy używani do zbierania i raportowania danych monitorowania są opracowywani przez firmę Microsoft i udostępniani jako open source na CodePlex.com.

To zmieniło się w programie System Center 2012 R2 Operations Manager, gdzie agenci systemów UNIX i Linux są teraz oparci na w pełni spójnej implementacji Open Management Infrastructure (OMI) jako menedżera obiektów CIM. W przypadku agentów programu Operations Manager dla systemu UNIX/Linux usługa OMI zastępuje usługę OpenPegasus. Podobnie jak OpenPegasus, OMI to implementacja typu open source, lekka i przenośna implementacja modelu CIM Object Manager — choć jest lżejsza w wadze i bardziej przenośna niż OpenPegasus. Ta implementacja jest nadal stosowana w programie System Center 2016 — Operations Manager i nowszych wersjach.

Komunikacja między serwerem zarządzania a agentem systemu UNIX i Linux jest podzielona na dwie kategorie: konserwacja agenta i monitorowanie kondycji. Serwer zarządzania używa dwóch protokołów do komunikowania się z komputerem z systemem UNIX lub Linux:

• Secure Shell (SSH) i Secure Shell File Transfer Protocol (SFTP)

  Służy do wykonywania zadań związanych z konserwacją agenta, takich jak instalowanie, aktualizowanie i usuwanie agentów.

• Web Services for Management (WS-Management)

  Używany do wszystkich operacji monitorowania, w tym do odnajdywania agentów, którzy już zostali zainstalowani.

Komunikacja między serwerem zarządzania programu Operations Manager a agentem systemu UNIX i Linux korzysta z protokołu WS-Man za pośrednictwem protokołu HTTPS i interfejsu WinRM. Wszystkie zadania konserwacji agenta są wykonywane za pośrednictwem protokołu SSH na porcie 22. Wszystkie monitorowanie kondycji odbywa się za pośrednictwem programu WS-MAN na porcie 1270. Serwer zarządzania żąda danych dotyczących wydajności i konfiguracji za pośrednictwem programu WS-MAN przed oceną danych w celu zapewnienia stanu kondycji. Wszystkie działania, takie jak konserwacja agentów, monitorowanie, zasady, zadania i przywracanie, są skonfigurowane do korzystania ze wstępnie zdefiniowanych profilów w zależności od ich potrzeby dotyczącej konta nieuprzywilejowanego lub uprzywilejowanego.

Uwaga

Wszystkie poświadczenia, o których mowa w tym artykule, dotyczą kont, które zostały ustanowione na komputerze z systemem UNIX lub Linux, a nie kont programu Operations Manager skonfigurowanych podczas instalacji programu Operations Manager. W sprawie informacji o poświadczeniach i uwierzytelnieniach należy skontaktować się z administratorem systemu.

Aby zapewnić obsługę nowych ulepszeń skalowalności w zakresie liczby systemów UNIX i Linux, które System Center 2016 — Operations Manager oraz nowsze wersje mogą monitorować na każdy serwer zarządzania, dostępne są nowe asynchroniczne interfejsy API infrastruktury zarządzania systemem Windows (MI) zamiast domyślnie używanych interfejsów API synchronizacji WSMAN. Aby włączyć tę zmianę, należy utworzyć nowy klucz rejestru UseMIAPI , aby umożliwić programowi Operations Manager używanie nowych interfejsów API mi asynchronicznych na serwerach zarządzania monitorujących systemy Linux/Unix.

1. Otwórz Edytor rejestru z podwyższonym poziomem uprawnień, korzystając z wiersza polecenia.
2. Utwórz klucz rejestru UseMIAPI pod HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Jeśli musisz przywrócić oryginalną konfigurację przy użyciu interfejsów API synchronizacji WSMAN, możesz usunąć klucz rejestru UseMIAPI .

Zabezpieczenia agenta

Uwierzytelnianie na komputerze z systemem UNIX/Linux

W programie Operations Manager administrator systemu nie musi już podać hasła głównego komputera z systemem UNIX lub Linux na serwerze zarządzania. Teraz dzięki podniesieniu uprawnień konto nieuprzywilejowane może przyjąć tożsamość konta uprzywilejowanego na komputerze z systemem UNIX lub Linux. Proces podniesienia uprawnień przeprowadzają programy systemu UNIX „su” (superuser) i „sudo”, które wykorzystują poświadczenia dostarczane przez serwer zarządzania. W przypadku uprzywilejowanych operacji konserwacji agentów, które korzystają z protokołu SSH (takich jak odnajdywanie, wdrażanie, uaktualnianie, dezinstalacja i odzyskiwanie agentów), zapewnia się obsługę polecenia su, podniesienia uprawnień sudo oraz uwierzytelniania klucza SSH (z hasłem lub bez). W przypadku uprzywilejowanych operacji korzystających z protokołu WS-Management (takich jak wyświetlanie bezpiecznych plików dziennika) jest dodawana obsługa podniesienia uprawnień sudo (bez hasła).

Aby uzyskać szczegółowe instrukcje dotyczące określania poświadczeń i konfigurowania kont, zobacz How to Set Credentials for Accessing UNIX and Linux Computers (Jak ustawić poświadczenia na potrzeby uzyskiwania dostępu do komputerów z systemami UNIX i Linux).

Uwierzytelnianie z serwerem bramy

Serwery bramy służą do umożliwiania zarządzania komputerami przez agentów, które znajdują się poza granicą zaufania protokołu Kerberos grupy zarządzania. Ponieważ serwer bramy znajduje się w domenie, która nie jest zaufana przez domenę, w której znajduje się grupa zarządzania, należy użyć certyfikatów do ustanowienia tożsamości każdego komputera, agenta, serwera bramy i serwera zarządzania. To rozwiązanie spełnia wymaganie programu Operations Manager w celu wzajemnego uwierzytelniania.

Wymaga to żądania certyfikatów dla każdego agenta, który będzie raportować do serwera bramy i importować te certyfikaty na komputer docelowy przy użyciu narzędzia MOMCertImport.exe, które znajduje się w katalogu SupportTools nośnika instalacyjnego\ (amd64 lub x86). Musisz mieć dostęp do urzędu certyfikacji ( CA), który może być publicznym urzędem certyfikacji, takim jak VeriSign, lub możesz użyć usług certyfikatów firmy Microsoft.

Wdrażanie agenta

Agentów programu System Center Operations Manager można zainstalować przy użyciu jednej z następujących trzech metod. W większości instalacji stosuje się kombinację tych metod w celu zainstalowania różnych grup komputerów, stosownie do potrzeb.

Uwaga

• Nie można zainstalować programu MMA na komputerze, na którym jest już zainstalowany serwer zarządzania programu Operations Manager, serwer bramy, konsola operacji, operacyjna baza danych, konsola sieci Web, System Center Essentials lub System Center Service Manager, ponieważ mają one już zainstalowaną swoją wbudowaną wersję programu MMA.
• Możesz używać albo agenta MMA, albo agenta analizy dzienników (wersja rozszerzenia VM).

• Odkrywanie i instalowanie jednego lub więcej agentów z konsoli operacyjnej. Jest to najpowszechniejsza forma instalacji. Serwer zarządzania musi mieć możliwość połączenia z komputerem za pomocą RPC. Ponadto konto działania serwera zarządzania lub inne podane poświadczenia muszą mieć dostęp administracyjny do komputera docelowego.
• Uwzględnienie w obrazie instalacji. Jest to ręczna instalacja na obrazie podstawowym używanym do przygotowania innych komputerów. W takim przypadku można zastosować integrację z usługą Active Directory, aby automatycznie przypisać komputer do serwera zarządzania przy pierwszym uruchomieniu.
• Instalacja ręczna. Tę metodę stosuje się, gdy agenta nie można zainstalować jedną z pozostałych metod, na przykład gdy zdalne wywołanie procedury (RPC) jest niedostępne ze względu na zaporę. Konfiguracja jest uruchamiana ręcznie na agencie lub wdrażana za pomocą istniejącego narzędzia do dystrybucji oprogramowania.

Agenty instalowane przy użyciu kreatora odnajdywania mogą być zarządzane z poziomu konsoli operacyjnej, co obejmuje aktualizowanie wersji agentów, stosowanie poprawek i konfigurowanie serwera zarządzania, do którego agent raportuje.

Podczas instalowania agenta przy użyciu metody ręcznej aktualizacje agenta muszą być również wykonywane ręcznie. Do przypisywania agentów do grup zarządzania będzie można używać integracji z usługą Active Directory. Aby uzyskać więcej informacji, zobacz Integrowanie usług Active Directory i Operations Manager.

Wybierz wymaganą kartę, aby dowiedzieć się więcej o wdrażaniu agentów w systemach Windows oraz UNIX i LINUX:

Wdrażanie agenta w systemie Windows

Odnajdywanie systemu Windows wymaga, aby porty TCP 135 (RPC), zakres RPC i TCP 445 (SMB) pozostały otwarte i że usługa SMB jest włączona na komputerze agenta.

• Po odnalezieniu urządzenia docelowego można wdrożyć na nim agenta. Instalacja agenta wymaga:
• Otwieranie portów RPC rozpoczynających się od mapera punktu końcowego TCP 135 i portu bloku komunikatów serwera (SMB) TCP/UDP 445.
• Włączenie udostępniania plików i drukarek dla sieci Microsoft Networks i klienta dla usług Microsoft Networks. (Gwarantuje to, że port SMB jest aktywny).
• W przypadku włączenia tych ustawień zasady grupy Zapory systemu Windows dla wyjątku Zezwalaj na administrację zdalną oraz wyjątku Zezwalaj na udostępnianie plików i drukarek muszą być skonfigurowane, aby zezwalać na niepożądane komunikaty przychodzące z adresów IP i podsieci dla serwerów zarządzania podstawowego i pomocniczego agenta.
• Konto z uprawnieniami administratora lokalnego na komputerze docelowym.
• Instalator Windows 3.1. Aby zainstalować, zobacz artykuł 893803 w bazie wiedzy Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322
• Microsoft Core XML Services (MSXML) 6 na nośniku instalacyjnym produktu Operations Manager w katalogu podrzędnym \msxml. Agent wypychający instaluje MSXML 6 na urządzeniu docelowym, jeśli nie jest już zainstalowany.

Wdrażanie agenta w systemie UNIX i Linux

W programie System Center Operations Manager serwer zarządzania używa dwóch protokołów do komunikowania się z komputerem z systemem UNIX lub Linux:

• Secure Shell (SSH) na potrzeby instalowania, uaktualniania i usuwania agentów.
• Usługi zarządzania sieciowego (WS-Management) dla wszystkich operacji monitorowania, obejmujące wykrywanie agentów, którzy zostali już zainstalowani.

To, który protokół zostaje użyty, zależy od tego, jakiego działania lub jakich informacji żąda się na serwerze zarządzania. Wszystkie działania, takie jak konserwacja agentów, monitory, zasady, zadania i odzyskiwania, są skonfigurowane pod kątem korzystania ze wstępnie zdefiniowanych profilów zgodnie z ich wymaganiem dotyczącym konta nieuprzywilejowanego lub uprzywilejowanego.

Uwaga

Wszystkie poświadczenia określone w tej sekcji odnoszą się do kont, które zostały ustanowione na komputerze z systemem UNIX lub Linux, a nie do kont programu Operations Manager skonfigurowanych podczas instalacji programu Operations Manager. W sprawie informacji o poświadczeniach i uwierzytelnieniach należy skontaktować się z administratorem systemu.

W wyniku podniesienia uprawnień konto nieuprzywilejowane może przyjąć tożsamość uprzywilejowanego konta na komputerze z systemem UNIX lub Linux. Proces podniesienia uprawnień przeprowadzają programy systemu UNIX „su” (superuser) i „sudo”, które wykorzystują poświadczenia dostarczane przez serwer zarządzania. W przypadku uprzywilejowanych operacji konserwacji agenta korzystających z protokołu SSH (takich jak odnajdywanie, wdrażanie, uaktualnienia, odinstalowywanie i odzyskiwanie agenta), zapewniana jest obsługa uwierzytelniania za pomocą klucza su, podniesienia uprawnień sudo i uwierzytelniania klucza SSH (z hasem lub bez hasła). W przypadku uprzywilejowanych operacji zarządzania WS (takich jak wyświetlanie bezpiecznych plików dziennika) obsługiwana jest obsługa podniesienia uprawnień sudo (bez hasła).

Przypisanie agenta usługi Active Directory

Program System Center Operations Manager pozwala w pełni wykorzystać inwestycję w usługi domenowe Active Directory Domain Services (AD DS), umożliwiając ich używanie do przypisywania komputerów zarządzanych przez agentów do grup zarządzania. Ta funkcja jest często używana z agentem wdrożonym w ramach procesu kompilacji wdrożenia serwera. Gdy komputer łączy się z siecią po raz pierwszy, agent programu Operations Manager wysyła zapytanie do usługi Active Directory pod kątem przypisania serwera zarządzania podstawowego i zapasowego oraz automatycznie rozpoczyna monitorowanie komputera.

Aby przypisać komputery do grup zarządzania przy użyciu usług AD DS:

• Poziom funkcjonalności domen usług AD DS musi być natywny dla systemu Windows 2008 lub nowszy
• Komputery zarządzane przez agenta i wszystkie serwery zarządzania muszą znajdować się w tej samej domenie lub w dwukierunkowych zaufanych domenach.

Uwaga

Agent, który określa, że jest zainstalowany na kontrolerze domeny, nie będzie wysyłać zapytań do usługi Active Directory w celu uzyskania informacji o konfiguracji. Jest to ze względów bezpieczeństwa. Integracja z usługą Active Directory jest domyślnie wyłączona na kontrolerach domeny, ponieważ agent działa na koncie systemu lokalnego. Konto systemu lokalnego na kontrolerze domeny ma uprawnienia administratora domeny; w związku z tym wykrywa wszystkie punkty połączenia usługi serwera zarządzania, które są zarejestrowane w usłudze Active Directory, niezależnie od członkostwa w grupie zabezpieczeń kontrolera domeny. W związku z tym agent próbuje nawiązać połączenie ze wszystkimi serwerami zarządzania we wszystkich grupach zarządzania. Wyniki mogą być nieprzewidywalne, co stanowi zagrożenie bezpieczeństwa.

Przypisanie agenta odbywa się przy użyciu punktu połączenia z usługą (SCP), który jest obiektem usługi Active Directory do publikowania informacji, których aplikacje klienckie mogą używać do powiązania z usługą. Jest to tworzone przez administratora domeny z uruchomionym narzędziem wiersza polecenia MOMADAdmin.exe w celu utworzenia kontenera usług AD DS dla grupy zarządzania programu Operations Manager w domenach zarządzanych przez nią komputerów. Grupa zabezpieczeń usług AD DS określona podczas uruchamiania MOMADAdmin.exe ma przyznane uprawnienia do odczytu i usuwania elementów podrzędnych w kontenerze. Punkt Sterowania Połączeniem zawiera informacje o połączeniu z serwerem zarządzania, w tym FQDN serwera i numer portu. Agenci programu Operations Manager mogą automatycznie odnajdywać serwery zarządzania, zapytując o SCP. Dziedziczenie nie jest wyłączone i dlatego, że agent może odczytać informacje o integracji zarejestrowane w usłudze AD, jeśli wymusisz dziedziczenie dla grupy Wszyscy do odczytu wszystkich obiektów na poziomie głównym w usłudze Active Directory, będzie to miało poważny wpływ i zasadniczo przerywa działanie integracji usługi AD. Jeśli wymusisz jawne dziedziczenie w całym katalogu, udzielając uprawnień do odczytu dla grupy 'Wszyscy', musisz zablokować to dziedziczenie w kontenerze integracji usługi AD najwyższego poziomu o nazwie OperationsManager oraz wszystkich obiektach podrzędnych.  Jeśli tego nie zrobisz, integracja z Active Directory nie będzie działać zgodnie z założeniami, a ty nie będziesz mieć niezawodnego i spójnego przypisania podstawowego i awaryjnego przełączania dla wdrożonych agentów. Ponadto, jeśli masz więcej niż jedną grupę zarządzania, wszyscy agenci w obu grupach zarządzania będą również w wielu domach. 

Ta funkcja dobrze sprawdza się w przypadku kontrolowania przypisania agenta we wdrożeniu rozproszonej grupy zarządzania, aby uniemożliwić agentom raportowanie do serwerów zarządzania przeznaczonych dla pul zasobów lub serwerów zarządzania w pomocniczym centrum danych w konfiguracji rezerwy ciepłej, aby zapobiec przełączeniu agenta w tryb failover podczas normalnego działania.

Konfiguracja przypisania agenta jest zarządzana przez administratora programu Operations Manager przy użyciu Kreatora przypisania agenta i trybu failover w celu przypisania komputerów do podstawowego serwera zarządzania i pomocniczego serwera zarządzania.

Uwaga

Integracja usługi Active Directory jest wyłączona dla agentów zainstalowanych w konsoli Operacje. Domyślnie integracja usługi Active Directory jest włączona dla agentów zainstalowanych ręcznie przy użyciu MOMAgent.msi.

Następne kroki

• Aby dowiedzieć się, jak zainstalować agenta systemu Windows z poziomu konsoli Operacje, zobacz Instalowanie agenta w systemie Windows przy użyciu Kreatora odnajdywania, lub aby zainstalować agenta z wiersza polecenia, zobacz Instalowanie agenta systemu Windows ręcznie przy użyciu MOMAgent.msi.

• Aby dowiedzieć się, jak zainstalować systemy Linux i UNIX z poziomu konsoli operacyjnej, zobacz Instalowanie agenta w systemach UNIX i Linux przy użyciu Kreatora Odnajdywania.

• Aby dowiedzieć się, jak utworzyć kontener w usłudze Active Directory, skonfigurować tryb failover dla agenta i zarządzać konfiguracją, zobacz Jak skonfigurować i używać integracji usługi Active Directory do przypisywania agenta.