准备 System Center - Service Manager 部署
在开始部署 System Center - Service Manager 之前,请在 Active Directory 域服务 (AD DS)中创建一组用户,并创建或标识将在安装过程中使用的域帐户。 确保域帐户是适当操作 Service Manager 所需的相应组的成员。 在同一服务器上安装 Service Manager 和 Operations Manager 时,请记住以下几点:
Operations Manager 可与 Service Manager 共享数据库服务器。
Operations Manager 代理作为 Service Manager 的一部分自动安装。 安装程序完成后,必须手动配置代理以用于 Operations Manager 管理服务器。
若要验证 Operations Manager 代理是否已安装,请打开控制面板并验证 Operations Manager 代理是否存在。
可以在同一台计算机上安装 Operations Manager 控制台和 Service Manager 控制台。 安装主机的顺序并不重要。
不要尝试对 Operations Manager 和 Service Manager 使用相同的 SQL Server Reporting Services (SSRS) 实例。
运行安装程序之前,帐户注意事项
在运行 Service Manager 安装程序之前,请查看以下部分,以确保满足安装 Service Manager 所需的要求。 在安装过程中,系统会提示为各种 Service Manager 函数提供域用户或组。 查看此信息,确保已准备好完成设置过程。
安装 Service Manager 时使用的帐户
本部分介绍在安装 Service Manager 管理服务器和 Service Manager 控制台数据库时以及向 Service Manager 中的数据仓库管理组注册 Service Manager 管理组时所需的权限。
注意
用于运行安装程序的帐户会自动成为 Service Manager 中的管理员。
选择所需的选项卡,获取所需权限的详细信息:
- Service Manager 管理服务器
- Service Manager 控制台
- 数据仓库管理服务器
- SQL Server Reporting Services
- 向数据仓库注册 Service Manager
安装 Service Manager 管理服务器时,需要以下权限:
- 运行安装程序的计算机上的本地管理员
- 将托管 Service Manager 数据库的计算机上的本地管理员(如果位于远程计算机上)
- 登录用户必须是域帐户
- 正在在其中创建 Service Manager 数据库的 SQL Server 实例上的 Sysadmin SQL Server 角色
安装 Service Manager 时所需的帐户
在安装 Service Manager 和数据仓库管理服务器期间,必须提供下表中帐户的凭据。
注意
安装 Service Manager 所需的用户帐户和组帐户必须驻留在Active Directory 域服务(AD DS)的用户组织单位(OU)。
安装 Service Manager 管理服务器时使用的帐户
| 帐户 | 权限 | 如何在 Service Manager 中使用 |
|---|---|---|
| 管理组管理员 | - 必须是域用户或组。 重要说明: 在安装初始 Service Manager 管理服务器期间登录到计算机的用户帐户会自动添加到此组。 |
- 已添加到 Service Manager 管理员用户角色。 |
| Service Manager 服务帐户 | - 必须是域用户或组。 - 必须是本地管理员的成员。 - 必须以 服务身份登录。 若要设置这些权限,请使用 安全设置>本地策略>用户权限分配。 可选: - 拒绝以批处理作业身份登录 - 拒绝通过远程桌面服务登录。 |
- 成为操作系统帐户。 - 分配给 System Center Data Access Service 的登录帐户。 - 分配给 System Center Management Configuration 服务的登录帐户。 - 成为 Service Manager 数据库的sdk_users和configsvc_users数据库角色的成员。 - 如果更改这两个服务的凭据,请确保新帐户在 ServiceManager 数据库中具有 SQL 登录名,并且此帐户是 Builtin\Administrators 组的成员。 |
| 工作流帐户 | - 必须是域用户或组。 - 必须有权发送电子邮件,并且必须具有简单邮件传输协议 (SMTP) 服务器上的邮箱(电子邮件事件功能所必需的)。 - 必须是用户本地安全组的成员。 - 必须成为 Service Manager 管理员用户角色的成员,电子邮件通知才能正常运行。 必须是域用户或组。 - 必须是本地管理员的成员。 - 必须以 服务身份登录。 若要设置这些权限,请使用 安全设置>本地策略>用户权限分配。 可选: -拒绝以批处理作业身份登录 -拒绝通过远程桌面服务登录。 |
- 此帐户用于所有工作流,并成为 Service Manager 工作流用户角色的成员。 |
帐户的安全最佳做法
分配 Active Directory 帐户以用于 Service Manager 运行方式帐户时,最佳做法是使用服务帐户。 强烈建议不要使用与个人关联的 Active Directory 用户帐户。
有关安全最佳做法的详细信息,请下载 Windows Server 安全指南的副本,该指南现在是 Windows Server 安全合规性管理工具包的一部分。
安装数据仓库管理服务器时使用的帐户
| 帐户 | 权限 | 如何在 Service Manager 中使用 |
|---|---|---|
| 管理组管理员 | - 必须是域用户或组。 | - 已添加到数据仓库管理员用户角色。 |
| Service Manager 服务帐户 | - 必须是域用户或组。 - 必须是数据仓库管理服务器上的本地管理员的成员。 - 必须是用于 Service Manager 管理服务器服务帐户的同一帐户。 |
- 成为数据仓库系统运行方式帐户。 - 分配给 ServiceManager SDK 服务帐户。 - 分配到 ServiceManager 配置帐户。 - 成为 DWDataMart 数据库的sdk_users和configsvc_users数据库角色的成员。 - 成为 DWRepository 数据库的db_datareader数据库角色的成员。 - 成为 Service Manager 数据库的configsvc_users数据库角色的成员。 |
| 报表帐户 | - 必须是域帐户。 - 必须以 服务身份登录。 若要设置这些权限,请使用 安全设置>本地策略>用户权限分配。 可选: - 拒绝以批处理作业身份登录 - 拒绝通过远程桌面服务登录。 |
- SQL Server Reporting Services (SSRS) 用于访问 DWDataMart 数据库以获取用于报告的数据。 - 成为 DWDataMart 数据库的db_datareader数据库角色的成员。 - 成为 DWDatamart 数据库的报表用户数据库角色的成员。 |
| Analysis Services 帐户 | - 必须是域帐户。 - 必须以 服务身份登录。 若要设置这些权限,请使用 安全设置>本地策略>用户权限分配。 可选: - 拒绝以批处理作业身份登录 - 拒绝通过远程桌面服务登录。 |
- 用于与数据市场通信。 - 帐户作为管理员角色添加到 Analysis Services 服务器数据库 (DWASDataBase)中,用于数据库处理和多维数据集读取。 |
向数据仓库管理组注册 Service Manager 管理组时使用的凭据
在安装过程中,向数据仓库管理组注册 Service Manager 管理组。 在此过程中,系统会提示你提供凭据。 你提供的帐户凭据必须是域帐户。 而且,你将必须向帐户提供以下权限:
- 必须是 Service Manager 和数据仓库管理组中管理员用户角色的成员。
- 必须是数据仓库管理服务器上的用户本地管理员组的成员。
创建连接器所需的帐户
创建连接器时,系统会要求连接器用来执行其功能的凭据。 下面概述了此帐户需要的权限,并介绍了高安全性的最佳做法。
Operations Manager、Orchestrator、SCVMM 和 AD 的连接器帐户需要 以服务身份登录。
若要设置这些权限,请使用 安全设置>本地策略>用户权限分配 。
可选:
- 拒绝以批处理作业身份登录
- 拒绝通过远程桌面服务登录
选择所需的选项卡以查看权限和最佳做法:
| 权限 | 最佳做法 |
|---|---|
| - 必须是域帐户。 - 必须是 Service Manager 管理服务器上的“用户”本地安全组的成员。 - 必须是 Operations Manager 管理员。 |
专门为此目的创建的域帐户仅在用户本地安全组和 Operations Manager 中的管理员用户角色以及 Service Manager 中的高级操作员用户角色中。 |
准备用于 Service Manager 部署的计算机
若要准备用于 Service Manager 部署的计算机,请执行以下步骤:
确保不会在托管 Service Manager 或数据仓库的计算机上安装 Operations Manager 部件。
创建一个 Active Directory 用户组,该组将分配给数据仓库和 Service Manager 管理组的 Service Manager 管理员角色。 例如,创建组 SM_Admins。
注意
此用户组必须位于 Service Manager 所在的同一域中。 不支持来自任何其他域(甚至是子域)的用户。
创建 Service Manager 所需的帐户。
注意
Service Manager 帐户必须位于 Service Manager 所在的同一域中。 不支持来自任何其他域(甚至是子域)的帐户。
确保用于 Service Manager 数据库的 结构化查询语言 (SQL) 实例使用端口号 1433。
如果要在运行 Microsoft SQL Server 的远程计算机上安装数据库,则运行安装程序的用户必须是具有 SQL Server 计算机上的本地管理员权限的域用户。
在将托管 Service Manager 控制台的计算机上,在 Internet 选项、局域网(LAN)设置下,选择“绕过代理服务器”作为本地地址。
打开浏览器,然后输入以下两个 URL:
http://<computer hosting SSRS>/reportshttp://<computer hosting SSRS>/reportserver如果连接尝试失败或返回错误(例如 HTTP 错误 404.0 找不到),请完成配置报表服务器过程中的步骤。 否则,请继续安装 Service Manager。
配置报表服务器
使用具有管理员权限的帐户登录到将托管 SQL Server Reporting Services(SSRS)的计算机。
选择“开始”,指向“程序”,指向 Microsoft“SQL Server 2008”,指向“配置工具”,然后选择“Reporting Services 配置管理器”。
在 Reporting Services 配置连接对话框中,确保服务器名称和报表服务器实例中的信息正确,然后选择“连接”。
在“连接”窗格中,选择“Web 服务 URL”。
在报表服务器 Web 服务虚拟目录区域中的“虚拟目录”文本框中,确保条目为 ReportServer,然后选择“应用”。
在 “连接 ”窗格中,选择“ 报表管理器 URL”。
在 “报表管理器站点标识 ”区域中的 “虚拟目录” 文本框中,确保条目读取 报表,然后选择“ 应用”。
在 “连接 ”窗格中,选择顶部条目(
<server>\\<instance>)。在“当前报表服务器”区域中,选择“停止”,然后选择“启动”。
重要
使用 SQL Server Reporting Services (SSRS) 2017 或更高版本安装 System Center Service Manager 时,Service Manager 报表不会部署,将发生事件 33410,并显示部署失败的详细信息。 有关此问题的原因和解决方法,请参阅以下信息。
SSRS 2017 版本 14.0.600.1274 及更高版本包括新的高级设置 AllowedResourceExtensionsForUpload。 此设置限制可上传到报表服务器的资源文件的扩展集。 出现此问题的原因是 Service Manager 报告使用 AllowedResourceExtensionsForUpload 中默认集中未包含的扩展。
若要解决此问题,请将 *.* 添加到扩展列表。 执行以下步骤:
- 启动 SQL Server Management Studio,然后连接到 Service Manager 使用的报表服务器实例。
- 右键单击报表服务器名称,选择“属性”,然后选择“高级”。
- 找到 AllowedResourceExtensionsForUpload 设置,将 *.* 添加到扩展列表中,然后选择“确定”。
- 重启 SSRS。
后续步骤
若要了解影响 Service Manager 中的性能和可伸缩性的问题,请查看 “规划性能和可伸缩性”。 它还建议使用建议的硬件配置实现良好性能的最佳做法。