Operations Manager 代理程式

在 System Center Operations Manager 中，代理程式是安裝在尋找組態數據的計算機上，並主動收集資訊進行分析和報告、測量受監視物件的健全狀態，例如 SQL 資料庫或邏輯磁碟，並視需要執行操作員或回應條件的工作。 它可讓 Operations Manager 監視 Windows、Linux 和 UNIX 操作系統，以及安裝於其中之 IT 服務的元件，例如網站或 Active Directory 域控制器。

Windows 代理程式

在受監視的 Windows 電腦上，Operations Manager 代理程式會列為 Microsoft Monitoring Agent (MMA) 服務。 Microsoft Monitoring Agent 服務會收集事件和效能資料、執行工作，以及管理組件中定義的其他工作流程。 即使當服務無法與報告的管理伺服器通訊時，它仍會繼續執行並將收集到的資料和事件佇列在受監視電腦的磁碟上。 當連線恢復後，Microsoft Monitoring Agent 服務會將收集的資料和事件傳送到 Management 伺服器。

注意

• Microsoft監視代理程式服務有時稱為健康情況服務。

Microsoft Monitoring Agent 服務也會在管理伺服器上執行。 在管理伺服器上，服務會執行監視工作流程並管理認證。 若要執行工作流程，服務會使用指定的認證起始MonitoringHost.exe進程。 這些處理序會監視和收集事件記錄資料、效能計數器資料、Windows Management Instrumentation (WMI) 資料，以及執行如指令碼等動作。

代理程式與 Management伺服器之間的通訊

Operations Manager 代理程式會將警示和探索數據傳送至其指派的主要管理伺服器，以將數據寫入作業資料庫。 代理程式也會傳送事件、效能和狀態資料到該代理程式的主要管理伺服器，再由後者將資料同時寫入操作和資料倉儲資料庫。

代理程式會根據每個規則和監視的排程參數來傳送資料。 使用最佳化集合規則時，只有當計數器的取樣與先前取樣之差異達到指定的容錯 (如 10%) 時，才會傳輸資料。 這將有助於減少網路流量，以及儲存在操作資料庫中的資料量。

此外，所有代理程式都會將稱為「活動訊號」 的資料封包，定期 (預設為每 60 秒) 傳送到管理伺服器。 傳送活動訊號的目的是要驗證代理程式以及代理程式與管理伺服器之間通訊的可用性。 如需活動訊號的詳細資訊，請參閱 How Heartbeats Work in Operations Manager (活動訊號在 Operations Manager 中的運作方式)。

Operations Manager 會針對每個代理程式執行「健全狀況服務監看員」 ，這項功能會從管理伺服器的角度，監視遠端健全狀況服務。 代理程式會透過 TCP 連接埠 5723 與管理伺服器通訊。

Linux/UNIX 代理程式

UNIX 和 Linux 代理程式的架構與 Windows 代理程序明顯不同。 Windows 代理程式有健全狀況服務負責評估受監視電腦的健康情況。 UNIX 與 Linux 代理程式不會執行健全狀況服務，而會將資訊傳遞給待評估 Management 伺服器的健全狀況服務。 管理伺服器會執行所有工作流程，以監視 UNIX 和 Linux 管理元件實作中定義的作業系統健康情況：

• 磁碟
• 處理器
• 記憶體
• 網路介面卡
• 作業系統
• 程序
• 記錄檔

Operations Manager 的 UNIX 和 Linux 代理程式包含 CIM 物件管理員（也就是 CIM 伺服器），以及一組 CIM 提供者。 CIM 物件管理員是實作 WS 管理通訊、驗證、授權和分派要求給提供者的伺服器元件。 提供者是代理程式中 CIM 實作的關鍵，定義 CIM 類別和屬性，與核心 API 互動以擷取原始數據、格式化數據（例如計算差異和平均值），以及維護從 CIM 物件管理員分派的要求。 從 System Center Operations Manager 2007 R2 到 System Center 2012 SP1，Operations Manager UNIX 和 Linux 代理程式中使用的 CIM 物件管理員是 OpenPegasus 伺服器。 用來收集和報告監視數據的提供者是由Microsoft和開放原始碼 CodePlex.com 所開發。

這在 System Center 2012 R2 Operations Manager 中有所變更，其中 UNIX 和 Linux 代理程式現在會以其 CIM 物件管理員的 Open Management Infrastructure （OMI） 完全一致實作為基礎。 如果是 Operations Manager UNIX/Linux 代理程式，OMI 會取代 OpenPegasus。 和OpenPegasus一樣，OMI是開放原始碼、輕量型和可攜式 CIM 物件管理員實作，雖然其重量較輕，而且比OpenPegasus更輕。 此實作會繼續套用在 System Center 2016 - Operations Manager 和更新版本中。

管理伺服器與 UNIX 和 Linux 代理程式之間的通訊分為兩種類別：代理程式維護和健康情況監視。 管理伺服器會使用兩種通訊協定與 UNIX 或 Linux 電腦通訊：

• 安全殼層 (SSH) 和安全殼層檔案傳輸通訊協定 (SFTP)

  用於代理程序維護工作，例如安裝、升級和移除代理程式。

• Web Services for Management (WS-Management)

  用於所有監視操作，並包含探索已安裝的代理程式。

Operations Manager 管理伺服器與 UNIX 和 Linux 代理程式之間的通訊會透過 HTTPS 和 WinRM 介面使用 WS-Man。 所有代理程序維護工作都是透過 SSH 在埠 22 上執行。 所有健康情況監視都是透過埠 1270 上的 WS-MAN 執行。 管理伺服器會先透過 WS-MAN 要求效能和設定數據，再評估數據以提供健康狀態。 所有動作 (例如代理程式維護、監視、規則、工作和復原) 均會根據其無特殊權限或特殊權限帳戶的需求，設定為使用預先定義的設定檔。

注意

本文中提及的所有認證都與 UNIX 或 Linux 電腦上建立的帳戶有關，而不是安裝 Operations Manager 期間所設定的 Operations Manager 帳戶。 請連絡您的系統管理員，瞭解認證和驗證資訊。

為了支援 UNIX 和 Linux 系統 System Center 2016 - Operations Manager 數目的新延展性改善-Operations Manager 和更新版本可以監視每個管理伺服器，可以使用新的異步 Windows 管理基礎結構 （MI） API，而不是預設使用中的 WSMAN 同步 API。 若要啟用這項變更，您必須建立新的登錄機碼 UseMIAPI ，讓 Operations Manager 在監視 Linux/Unix 系統的管理伺服器上使用新的異步 MI API。

1. 從提升許可權的命令提示字元開啟 註冊表編輯器 。
2. 在下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup建立登錄機碼 UseMIAPI。

如果您需要使用 WSMAN 同步 API 還原原始組態，您可以刪除 UseMIAPI 登錄機碼。

代理程式安全性

UNIX/Linux 電腦的驗證

在 Operations Manager 中，系統管理員不再需要將 UNIX 或 Linux 計算機的根密碼提供給管理伺服器。 現在藉由提高權限，無特殊權限的帳戶可以取得 UNIX 或 Linux 電腦上特殊權限帳戶的身分識別。 提高權限程序是由使用管理伺服器提供的認證的 UNIX su (超級使用者) 和 sudo 程式執行。 針對使用 SSH 的特殊權限代理程式維護作業 (例如探索、部署、升級、解除安裝和代理程式復原)，系統提供 su 的支援、sudo 提高權限以及 SSH 金鑰驗證 (有或沒有複雜密碼) 的支援。 針對特殊權限 WS-Management 作業 (例如檢視安全記錄檔)，系統新增 sudo 提高權限 (沒有密碼) 的支援。

如需指定認證和設定帳戶的詳細指示，請參閱 如何設定存取 UNIX 和 Linux 計算機的認證。

使用閘道伺服器進行驗證

閘道伺服器可用來啟用管理群組 Kerberos 信任界限外之電腦的代理程式管理。 由於閘道伺服器位於管理群組所在網域不信任的網域中，因此憑證必須用來建立每部計算機的身分識別、代理程式、閘道伺服器和管理伺服器。 這種安排可滿足 Operations Manager 對相互驗證的需求。

這需要您向閘道伺服器報告的每個代理程式要求憑證，並使用位於安裝媒體 SupportTools\ （amd64 或 x86） 目錄的 MOMCertImport.exe 工具，將這些憑證匯入目標計算機。 您必須能夠存取證書頒發機構單位 （CA），它可以是公用 CA，例如 VeriSign，也可以使用 Microsoft 憑證服務。

代理程式部署

System Center Operations Manager 代理程式可以使用下列三種方法之一來安裝。 大多數安裝會根據情況使用這些方法的組合來安裝不同的電腦組。

注意

• 您無法在安裝了 Operations Manager Management 伺服器、閘道伺服器、Operations 主控台、操作資料庫、Web 主控台、System Center Essentials 或 System Center Service Manager 的電腦安裝 MMA - 因為它們已安裝其內建的 MMA 版本。
• 您只能使用 MMA 或記錄分析代理程式 (VM 擴充功能版本)。

• 從 Operations 主控台探索和安裝一或多個代理程式。 這是最常見的安裝形式。 Management 伺服器必須能夠將電腦與 RPC 連線，而且 Management 伺服器動作帳戶或其他提供的認證必須具有目標電腦的系統管理存取權。
• 包含在安裝映像中。 這是用於準備其他電腦的基礎映像的手動安裝。 在此情況下，Active Directory 整合可用來在初始啟動時自動將電腦指派給 Management 伺服器。
• 手動安裝。 當無法透過其他方法之一安裝代理程式時，例如，因為防火牆而無法使用遠端程序呼叫時 (RPC)，就會使用這個方法。 安裝程式會在代理程式上手動執行，或透過現有的軟體發布工具進行部署。

使用探索精靈安裝的代理程式可以從 Operations 主控台管理，例如更新代理程式版本、套用修補程式，以及設定代理程式向其回報的管理伺服器。

當您使用手動方式安裝代理程式時，代理程式的更新也必須手動執行。 您將可以使用 Active Directory 整合將代理程式指派給管理群組。 如需詳細資訊，請參閱整合 Active Directory 與 Operations Manager。

選取必要的索引標籤，以了解有關將代理程式部署到 Windows、UNIX 和 LINUX 系統的更多資訊：

將代理程式部署至 Windows 系統

探索 Windows 系統需要 TCP 135 （RPC）、RPC 範圍和 TCP 445 （SMB） 埠保持開啟狀態，且代理程式電腦上已啟用 SMB 服務。

• 探索到目標裝置後，即可將代理程式部署至該裝置。 代理程式安裝需要：
• 從端點對應程式 TCP 135 和伺服器消息塊 （SMB） 埠 TCP/UDP 445 開始開啟 RPC 連接埠。
• 啟用 Microsoft 網路的檔案和印表機共用，以及 Microsoft Networks 服務的用戶端。 （這可確保SMB埠為使用中。）
• 如果啟用，[允許遠端管理例外狀況] 和 [允許檔案和印表機共用例外狀況] 的 Windows 防火牆組策略設定必須設定為 [允許未請求的傳入訊息]，以取得代理程式的主要和次要管理伺服器的 IP 位址和子網。
• 在目標電腦上具有本機系統管理員權限的帳戶。
• Windows Installer 3.1。 若要安裝，請參閱 Microsoft 知識庫https://go.microsoft.com/fwlink/?LinkId=86322中的文章893803
• Microsoft \msxml 子目錄中 Operations Manager 產品安裝媒體上的 Core XML Services （MSXML） 6。 如果尚未安裝，推送代理程式會在目標裝置上安裝 MSXML 6。

將代理程式部署至 UNIX 和 Linux 系統

在 System Center Operations Manager 中，管理伺服器會使用兩種通訊協定與 UNIX 或 Linux 計算機通訊：

• 用於安裝、升級和移除代理程式的安全殼層 （SSH）。
• 適用於所有監視作業的Web Services （WS-Management），並包含已安裝的代理程式探索。

使用的通訊協定會視管理伺服器上要求的動作或資訊而定。 所有動作 (例如代理程式維護、監視、規則、工作和復原) 均會根據其無特殊權限或特殊權限帳戶的需求，設定為使用預先定義的設定檔。

注意

本節中提及的所有認證都與 UNIX 或 Linux 計算機上建立的帳戶有關，而不是安裝 Operations Manager 期間所設定的 Operations Manager 帳戶。 請連絡您的系統管理員，瞭解認證和驗證資訊。

透過提高許可權，不具特殊許可權的帳戶可以假設 UNIX 或 Linux 計算機上具特殊許可權帳戶的身分識別。 提高權限程序是由使用管理伺服器提供的認證的 UNIX su (超級使用者) 和 sudo 程式執行。 針對使用 SSH 的特殊許可權代理程式維護作業（例如探索、部署、升級、卸載和代理程序復原），支援su、sudo提升許可權和 SSH 金鑰驗證（含或不含複雜密碼）。 針對具特殊許可權的 WS-Management 作業（例如檢視安全記錄檔），支援sudo提高許可權（不含密碼）。

Active Directory 代理程式指派

System Center Operations Manager 可讓您利用對 Active Directory 網域服務 （AD DS） 的投資，讓您能夠使用它將代理程式管理的計算機指派給管理群組。 這項功能通常與部署為伺服器部署建置程式的一部分的代理程式搭配使用。 當計算機第一次上線時，Operations Manager 代理程式會查詢 Active Directory 的主要和故障轉移管理伺服器指派，並自動開始監視電腦。

若要使用 AD DS 將電腦指派給管理群組：

• AD DS 網域的功能等級必須是 Windows 2008 原生或更新版本
• 代理程式管理的計算機和所有管理伺服器都必須位於相同的網域或雙向信任網域中。

注意

判斷其安裝在域控制器上的代理程式不會查詢 Active Directory 的組態資訊。 這是基於安全性考慮。 域控制器上預設會停用 Active Directory 整合，因為代理程式會在本機系統帳戶下執行。 域控制器上的本機系統帳戶具有網域系統管理員許可權;因此，它會偵測在 Active Directory 中註冊的所有 Management Server 服務連接點，而不論域控制器的安全組成員資格為何。 因此，代理程式會嘗試連線到所有管理群組中的所有管理伺服器。 結果可能無法預測，因而造成安全性風險。

代理程式指派是使用服務連接點 （SCP），這是 Active Directory 物件，可用來發佈用戶端應用程式可用來繫結至服務的資訊。 這是由執行 MOMADAdmin.exe 命令行工具的網域系統管理員所建立，為所管理計算機網域中的 Operations Manager 管理群組建立 AD DS 容器。 執行MOMADAdmin.exe時指定的AD DS安全組會授與容器的讀取和刪除子許可權。 SCP 包含與管理伺服器的連線資訊，包括伺服器的 FQDN 和埠號碼。 Operations Manager 代理程式可以藉由查詢 SCP 來自動探索管理伺服器。 繼承不會停用，而且因為代理程式可以讀取 AD 中註冊的整合資訊，如果您強制讓 Everyone 群組讀取 Active Directory 根層級的所有物件，這會嚴重影響並基本上中斷 AD 整合功能。 如果您藉由授與 Everyone 群組讀取許可權，明確強制整個目錄的繼承，您必須在最上層 AD 整合容器中封鎖此繼承，名為 OperationsManager 和所有子物件。  如果您無法這麼做，AD 整合將無法如設計般運作，而且部署的代理程式不會有可靠且一致的主要和故障轉移指派。 此外，如果您碰巧有多個管理群組，這兩個管理群組中的所有代理程式也會多宿主。 

這項功能適用於控制分散式管理群組部署中的代理程式指派，以防止代理程式向專用於資源集區或次要數據中心之管理伺服器的管理伺服器報告，以在正常作業期間防止代理程式故障轉移。

代理程式指派的設定是由 Operations Manager 系統管理員使用代理程式指派和故障轉移精靈來管理，以將計算機指派給主要管理伺服器和次要管理伺服器。

注意

從 Operations 主控台安裝的代理程式會停用 Active Directory 整合。 依預設，使用 MOMAgent.msi 手動安裝的代理程式會啟用 Active Directory 整合。

下一步

• 若要瞭解如何從 Operations 控制台安裝 Windows 代理程式，請參閱 使用探索精靈 在 Windows 上安裝代理程式，或從命令行安裝代理程式，請參閱 使用手動安裝 Windows 代理程式MOMAgent.msi。

• 若要瞭解如何從 Operations 控制台安裝 Linux 和 UNIX，請參閱 使用探索精靈在 UNIX 和 Linux 上安裝代理程式。

• 若要瞭解如何在 Active Directory 中建立容器、設定代理程式故障轉移指派及管理設定，請檢閱 如何設定及使用 Active Directory 整合進行代理程式指派。