準備 System Center - Service Manager 部署
開始部署 System Center - Service Manager 之前,您會在 Active Directory 網域服務 (AD DS) 中建立一組使用者,並建立或識別將在安裝程式期間使用的網域帳戶。 請確定網域帳戶是適當作業 Service Manager 所需的適當群組成員。 當您在同一部伺服器上安裝 Service Manager 和 Operations Manager 時,請記住下列事項:
Operations Manager 可以與 Service Manager 共享資料庫伺服器。
Operations Manager 代理程式會自動安裝為 Service Manager 的一部分。 安裝程式完成之後,您必須手動設定代理程式以搭配 Operations Manager 管理伺服器使用。
若要驗證 Operations Manager 代理程式是否已安裝,請開啟 控制台,並確認 Operations Manager 代理程式是否存在。
您可以在同一部電腦上安裝 Operations Manager 控制台和 Service Manager 控制台。 您安裝主控台的順序並不重要。
請勿嘗試針對 Operations Manager 和 Service Manager 使用相同的 SQL Server Reporting Services (SSRS) 實例。
執行安裝程式前的帳戶考慮
在執行 Service Manager 安裝程式之前,請先檢閱下列各節,以確保符合安裝 Service Manager 所需的需求。 在安裝期間,系統會提示您為各種 Service Manager 函式提供網域使用者或群組。 請檢閱這項資訊,以確保您已準備好進行設定程式。
安裝 Service Manager 時所使用的帳戶
本節說明當您安裝 Service Manager 管理伺服器和 Service Manager 控制台資料庫時,以及當您在 Service Manager 中向數據倉儲管理群組註冊 Service Manager 管理群組時所需的許可權。
注意
您用來執行安裝程式的帳戶會自動成為 Service Manager 中的系統管理員。
選取必要的索引標籤,以取得您需要的許可權詳細資料:
- Service Manager 管理伺服器
- Service Manager 控制台
- 數據倉儲管理伺服器
- SQL Server Reporting Services
- 向數據倉儲註冊 Service Manager
安裝 Service Manager 管理伺服器時,您需要下列許可權:
- 您執行安裝之電腦的本機系統管理員
- 如果位於遠端電腦上,將會裝載 Service Manager 資料庫的本機系統管理員
- 登入使用者必須為網域帳戶
- 正在建立 Service Manager 資料庫之 SQL Server 實例上的 Sysadmin SQL Server 角色
安裝 Service Manager 時所需的帳戶
在安裝 Service Manager 和數據倉儲管理伺服器期間,您必須提供下表中帳戶的認證。
注意
安裝 Service Manager 所需的使用者帳戶和組帳戶必須位於 Active Directory 網域服務 (AD DS) 的使用者組織單位 (OU) 中。
安裝 Service Manager 管理伺服器時所使用的帳戶
| 客戶 | 權限 | Service Manager 中的使用方式 |
|---|---|---|
| 管理群組系統管理員 | - 必須是網域使用者或群組。 重要事項: 初始 Service Manager 管理伺服器安裝期間登入計算機的用戶帳戶會自動新增至此群組。 |
- 已新增至 Service Manager 系統管理員使用者角色。 |
| Service Manager 服務帳戶 | - 必須是網域使用者或群組。 - 必須是本機系統管理員的成員。 - 必須具有 以服務身分登入。 若要設定這些許可權,請使用 安全性設定>本機原則>用戶權力指派。 選擇性: - 拒絕以批次作業登入 - 拒絕透過遠端桌面服務登入。 |
- 成為操作系統帳戶。 - 指派給 System Center Data Access Service 的登入帳戶。 - 指派給 System Center 管理組態服務的登入帳戶。 - 成為 Service Manager 資料庫sdk_users和configsvc_users資料庫角色的成員。 - 如果您變更這兩項服務的認證,請確定新帳戶在 ServiceManager 資料庫中具有 SQL 登入,而且此帳戶是 Builtin\Administrators 群組的成員。 |
| 工作流程帳戶 | - 必須是網域使用者或群組。 - 必須具有傳送電子郵件的許可權,而且必須在簡易郵件傳輸通訊協定 (SMTP) 伺服器上擁有信箱(電子郵件事件功能的必要專案)。 - 必須是使用者本機安全組的成員。 - 必須成為 Service Manager 系統管理員使用者角色的成員,才能正常運作的電子郵件通知。 必須是網域使用者或群組。 - 必須是本機系統管理員的成員。 - 必須具有 以服務身分登入。 若要設定這些許可權,請使用 安全性設定>本機原則>用戶權力指派。 選擇性: -拒絕以批次作業的身分登入 -拒絕透過遠端桌面服務登入。 |
- 此帳戶會用於所有工作流程,並且成為 Service Manager 工作流程使用者角色的成員。 |
帳戶的安全性最佳做法
當您指派 Active Directory 帳戶以搭配 Service Manager 執行身分帳戶使用時,最佳做法是使用服務帳戶。 建議您最好避免使用與個人相關的 Active Directory 使用者帳戶。
如需安全性最佳做法的詳細資訊,請下載 Windows Server 安全性指南的複本,該指南現在是 Windows Server 安全性合規性管理工具組的一部分。
安裝數據倉儲管理伺服器時所使用的帳戶
| 客戶 | 權限 | Service Manager 中的使用方式 |
|---|---|---|
| 管理群組系統管理員 | - 必須是網域使用者或群組。 | - 已新增至數據倉儲系統管理員使用者角色。 |
| Service Manager 服務帳戶 | - 必須是網域使用者或群組。 - 必須是數據倉儲管理伺服器上的本機系統管理員成員。 - 必須是您用於 Service Manager 管理伺服器服務帳戶的相同帳戶。 |
- 成為數據倉儲系統執行身分帳戶。 - 指派給 ServiceManager SDK 服務帳戶。 - 指派給 ServiceManager Config 帳戶。 - 成為 DWDataMart 資料庫的sdk_users和configsvc_users資料庫角色的成員。 - 成為 DWRepository 資料庫db_datareader資料庫角色的成員。 - 成為 Service Manager 資料庫configsvc_users資料庫角色的成員。 |
| 報表帳戶 | - 必須是網域帳戶。 - 必須具有 以服務身分登入。 若要設定這些許可權,請使用 安全性設定>本機原則>用戶權力指派。 選擇性: - 拒絕以批次作業登入 - 拒絕透過遠端桌面服務登入。 |
- 由 SQL Server Reporting Services (SSRS) 用來存取 DWDataMart 資料庫,以取得報表的數據。 - 成為 DWDataMart 資料庫db_datareader資料庫角色的成員。 - 成為 DWDatamart 資料庫的 reportuser 資料庫角色成員。 |
| Analysis Services 帳戶 | - 必須是網域帳戶。 - 必須具有 以服務身分登入。 若要設定這些許可權,請使用 安全性設定>本機原則>用戶權力指派。 選擇性: - 拒絕以批次作業登入 - 拒絕透過遠端桌面服務登入。 |
- 用來與 Datamarts 通訊。 - 帳戶會新增為 Analysis Services 伺服器資料庫 (DWASDataBase) 中的系統管理員角色,以便進行資料庫處理和 Cube 讀取。 |
向數據倉儲管理群組註冊 Service Manager 管理群組時所使用的認證
在安裝程式中,您會向數據倉儲管理群組註冊 Service Manager 管理群組。 在此程式中,系統會提示您提供認證。 您提供的帳戶認證必須是網域帳戶。 此外,您必須提供具有下列權限的帳戶:
- 必須是 Service Manager 和數據倉儲管理群組中系統管理員使用者角色的成員。
- 在資料倉儲管理伺服器中,必須是使用者本機系統管理員群組的成員。
建立連接器所需的帳戶
當您建立連接器時,系統會要求您提供連接器將用來執行其函式的認證。 下列概述此帳戶需要的許可權,並說明高安全性的最佳做法。
Operations Manager、Orchestrator、SCVMM 和 AD 的連接器帳戶需要 以服務身分登入。
若要設定這些許可權,請使用安全性設定>本機>原則用戶權力指派 。
選擇性:
- 拒絕以批次工作登入
- 拒絕透過遠端桌面服務登入
選取必要的索引標籤以檢視許可權和最佳做法:
| 權限 | 最佳作法 |
|---|---|
| - 必須是網域帳戶。 - 必須是 Service Manager 管理伺服器上 Users 本機安全組的成員。 - 必須是 Operations Manager 系統管理員。 |
專為此目的而建立的網域帳戶,該帳戶只位於使用者本機安全組和 Operations Manager 的系統管理員使用者角色中,以及 Service Manager 中的進階操作員使用者角色中。 |
準備計算機以進行 Service Manager 部署
若要準備計算機以進行 Service Manager 部署,請遵循下列步驟:
請確定將裝載 Service Manager 或數據倉儲的計算機上未安裝 Operations Manager 元件。
建立將指派給數據倉儲和 Service Manager 管理群組之 Service Manager 系統管理員角色的使用者 Active Directory 群組。 例如,建立 SM_Admins群組。
注意
此使用者群組必須位於 Service Manager 所在的相同網域中。 不支援來自任何其他網域的使用者,甚至是子域。
建立 Service Manager 所需的帳戶。
注意
Service Manager 帳戶必須位於 Service Manager 所在的相同網域中。 不支援來自任何其他網域的帳戶,甚至是子域。
請確定用於 Service Manager 資料庫的 結構化查詢語言 (SQL) (SQL) 實例是使用埠號碼 1433。
如果您要在執行 MICROSOFT SQL Server 的遠端電腦上安裝資料庫,執行安裝程式的使用者必須是 SQL Server 電腦上具有本機系統管理員許可權的網域使用者。
在將裝載 Service Manager 控制台的計算機上,於 [因特網選項]、[局域網络][LAN] 設定底下,選取 [略過本機位址的 Proxy 伺服器]。
開啟瀏覽器,然後輸入下列兩個 URL:
http://<computer hosting SSRS>/reportshttp://<computer hosting SSRS>/reportserver如果連線嘗試失敗或傳回錯誤,例如 HTTP 錯誤 404.0 找不到,請完成設定報表伺服器程式中的步驟。 否則,請繼續安裝 Service Manager。
設定報表伺服器
使用具有系統管理員許可權的帳戶,登入將裝載 SQL Server Reporting Services (SSRS) 的電腦。
選取 [開始]、指向 [ 程式]、 [Microsoft SQL Server 2008]、指向 [ 組態工具],然後選取 [ Reporting Services 組態管理員]。
在 [Reporting Services 組態連線] 對話框中,確定 [伺服器名稱] 和 [報表伺服器實例] 中的資訊正確無誤,然後選取 [聯機]。
在[連接] 窗格中選取 [Web 服務網址]。
在 [報表伺服器 Web 服務虛擬目錄] 區域中的 [虛擬目錄] 文本框中,確定專案為 ReportServer,然後選取 [套用]。
在 [ 連線] 窗格中,選取 [報表管理員 URL]。
在 [ 報表管理員站台識別 ] 區域中的 [虛擬目錄 ] 文本框中,確定專案讀取 [ 報表],然後選取 [ 套用]。
在 [ 連線] 窗格中,選取頂端專案 (
<server>\\<instance>)。在 [ 目前的報表伺服器 ] 區域中,選取 [ 停止],然後選取 [ 啟動]。
重要
當您使用 SQL Server Reporting Services (SSRS) 2017 或更新版本安裝 System Center Service Manager 時,Service Manager 報表不會部署,就會發生事件 33410,並顯示部署失敗的詳細數據。 如需此問題的原因和解決方式,請參閱下列資訊。
SSRS 2017 14.0.600.1274 版和更新版本包含新的進階設定 AllowedResourceExtensionsForUpload。 此設定會限制可上傳至報表伺服器的資源檔擴充功能集。 發生此問題的原因是 Service Manager 報告使用未包含在 AllowedResourceExtensionsForUpload 中預設集合中的擴充功能。
若要解決此問題,請將 *.* 新增至延伸模組清單。 執行下列步驟:
- 啟動 SQL Server Management Studio,然後連線到 Service Manager 使用的報表伺服器實例。
- 以滑鼠右鍵按下報表伺服器名稱,選取 [屬性],然後選取 [ 進階]。
- 找出 AllowedResourceExtensionsForUpload 設定,將 *.* 新增至延伸模組清單,然後選取 [確定]。
- 重新啟動 SSRS。
下一步
若要了解影響 Service Manager 中效能和延展性的問題,請檢閱 規劃效能和延展性。 它也建議使用建議的硬體組態達到良好效能的最佳做法。