Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Přehled
Skupinu pro správu identifikuje jedna provozní databáze, jeden nebo více serverů pro správu a jeden nebo více monitorovaných agentů a zařízení. Připojení skupin pro správu umožňuje zobrazení a úpravy výstrah a dalších dat monitorování z jedné konzoly. Úlohy je možné zahájit také z místní skupiny pro správu, aby běžely na spravovaných objektech připojené skupiny pro správu.
Nejjednodušší implementace Operations Manageru je jedna skupina pro správu. Každá další skupina vyžaduje alespoň vlastní provozní databázi a server pro správu. Každá skupina musí být také samostatně udržována s vlastním nastavením konfigurace, sadami Management Pack a integrací s jinými řešeními monitorování a ITSM.
Implementace distribuované skupiny pro správu bude tvořit základ 99 % nasazení Operations Manageru. Umožňuje distribuci funkcí a služeb na více serverech, což umožňuje škálovatelnost a redundanci některých z těchto funkcí. Může obsahovat všechny role serveru Operations Manageru a podporuje monitorování zařízení přes hranice důvěryhodnosti pomocí serveru brány.
Následující diagram představuje jednu z možných možností topologie distribuované skupiny pro správu.
Poznámka:
Mezi konzolou Operations Console a databázemi není žádná přímá komunikace. Veškerá komunikace se přes port TCP 5724 přesměruje na konkrétní server pro správu a pak na databázové servery využívající OLE DB na TCP 1433 nebo na uživatelem definovaný port určený správcem SQL během instalace instance databázového stroje SQL Serveru. Mezi konzolou Application Diagnostics (spolu s webovou konzolou) a SQL Serverem, který je hostitelem provozních databází a databází datového skladu, je však přímá komunikace.
Skupina pro správu, kterou jste nasadili ve svém prostředí, může integrovat se sadou Microsoft Operations Management Suite (OMS) a pomocí Log Analytics můžete dále korelovat, vizualizovat a reagovat na výkon, události a výstrahy. Díky tomu budete moct provádět vlastní vyhledávání v celé datové sadě, abyste mohli korelovat data mezi systémy a aplikacemi, hostovanými místně nebo v cloudu.
Integrace s Operations Managerem se rozšiřuje na další produkty, jako jsou BMC Remedy, IBM, Netcool nebo jiná podniková řešení pro správu, která vaše organizace používá. Další informace o plánování interoperability s těmito řešeními najdete v tématu Integrace s jinými řešeními pro správu.
Součásti skupiny pro správu
Server pro správu
V Operations Manageru 2007 byl kořenový server pro správu (RMS) specializovaným typem serveru pro správu ve skupině pro správu a byl prvním serverem pro správu nainstalovaným ve skupině pro správu. Rms byl ústředním bodem pro správu konfigurace skupiny pro správu, správu a komunikaci s agenty a komunikaci s provozní databází a dalšími databázemi ve skupině pro správu. RMS také slouží jako cíl pro konzolu Operations a upřednostňovaný cíl pro webové konzole. V nástroji System Center 2012 R2 – Operations Manager byla odebrána role kořenového serveru pro správu a všechny servery pro správu jsou nyní rovnocenné. Tato konfigurace stále existuje v nástroji System Center 2016 a novějším – Operations Manageru.
Služba RMS už není kritickým bodem selhání, protože všechny servery pro správu hostují služby dříve hostované pouze službou RMS. Role jsou distribuovány na všechny servery pro správu. Pokud se jeden server pro správu stane nedostupným, automaticky se redistribuují jeho povinnosti. Role emulátoru RMS poskytuje zpětnou kompatibilitu pro sady pro správu zaměřené na RMS. Pokud nemáte žádné balíčky pro správu, které dříve cílily na RMS, nebudete muset používat emulátor RMS.
Skupina pro správu může obsahovat více serverů pro správu, aby poskytovala další kapacitu a nepřetržitou dostupnost. Při přidání dvou nebo více serverů pro správu do skupiny pro správu se servery pro správu automaticky stanou součástí tří výchozích fondů zdrojů a práce se rozdělí mezi členy fondu. Pro vlastní definované fondy zdrojů se členové přidávají ručně. Pokud některý člen fondu zdrojů selže, ostatní členové ve fondu zdrojů převezmou jeho pracovní zátěž. Když přidáte nový server pro správu, nový server pro správu automaticky převezme některé práce od stávajících členů ve fondu zdrojů. Projděte si aspekty návrhu fondu zdrojů a přečtěte si další informace o tom, jak fungují, a doporučení, která ovlivňují váš plán návrhu.
Pokud je server pro správu z nějakého důvodu nedostupný, agenti, kteří na něj spoléhají, standardně automaticky přepnou na jiný server pro správu. Při výběru počtu a umístění serverů pro správu by se tato schopnost převzetí služeb při selhání měla zvážit, pokud je požadavkem vysoká dostupnost.
Agenti se připojují k serveru pro správu, aby komunikují se všemi ostatními komponentami nástroje Operations Manager. Některá práce prováděná serverem pro správu je proces převzetí provozních dat odesílaných agenty a jejich vložení do provozní databáze a datového skladu.
Typický server pro správu bude zpracovávat přibližně 3 000 agentů. Skutečný výkon serveru se liší podle objemu shromážděných provozních dat; Servery pro správu ale obvykle podporují 3 000 agentů, a to i s relativně velkým objemem provozních dat.
Na maximální počet serverů pro správu na jednu skupinu nejsou žádná omezení. Osvědčeným postupem je ale použít co nejméně serverů pro správu po vyřešení škálovatelnosti, vysoké dostupnosti a omezení zotavení po havárii.
Servery pro správu by měly mít dobré síťové připojení k databázi a datovému skladu Operations Manageru, protože do těchto úložišť často odesílají velké objemy dat. Obecně platí, že tato připojení SQL Serveru spotřebovávají větší šířku pásma a jsou citlivější na latenci sítě. Proto musí být všechny servery pro správu ve stejné místní síti jako provozní databáze a databáze datového skladu a nikdy nesmí být nasazeny v rozsáhlé síti WAN. Mezi serverem pro správu a instancí SQL Serveru, která je hostitelem databází Operations Manageru, by měla být latence menší než 10 milisekund.
Server brány
Nástroj Operations Manager před výměnou informací mezi nimi vyžaduje vzájemné ověřování mezi agenty a servery pro správu. K zabezpečení procesu ověřování mezi těmito dvěma je proces zašifrovaný. Pokud se agent a server pro správu nacházejí ve stejné doméně služby Active Directory nebo v doménách služby Active Directory, které mají vytvořené vztahy důvěryhodnosti, využívají mechanismy ověřování Kerberos V5 poskytované službou Active Directory. Pokud agenti a servery pro správu neleží ve stejné hranici důvěryhodnosti, je potřeba použít jiné mechanismy, aby splňovaly požadavek na zabezpečené vzájemné ověřování.
Servery brány se používají, když brána firewall odděluje agenty od serverů pro správu nebo když jsou agenti v samostatné nedůvěryhodné doméně. Server brány funguje jako proxy server mezi agenty a serverem pro správu. Bez serveru brány by agenti mohli i nadále provádět ověřování certifikátu se serverem pro správu, ale certifikát X.509 by musel být vydán a nainstalován na každého agenta pomocí nástroje MOMCertImport.exe a každý z nich by vyžadoval přístup k serveru pro správu prostřednictvím brány firewall. Pokud jsou agenti ve stejné doméně jako server brány nebo jsou v důvěryhodné doméně, můžou použít ověřování protokolem Kerberos. V takovém případě budou certifikáty vyžadovat pouze server brány a připojené servery pro správu. To zahrnuje monitorování virtuálních počítačů spuštěných v infrastruktuře Microsoft Azure jako infrastruktura jako služba (IaaS) pomocí Operations Manageru (tj. hybridního monitorování cloudu), který není připojený ke stejné důvěryhodné oblasti jako role podporující skupinu pro správu Operations Manageru, nebo jste nasadili Operations Manager v Azure IaaS (virtuální počítač s SQL Serverem, který hostuje provozní databáze a jeden nebo více virtuálních počítačů hostující roli serveru pro správu) a monitorujete nedůvěryhodné místní úlohy.
Následuje příklad nasazení Operations Manageru, který monitoruje prostředky Azure IaaS.
Následuje příklad nasazení Operations Manageru hostovaného v Azure IaaS.
Servery brány se obvykle nepoužívají ke správě využití šířky pásma, protože celkový objem dat odesílaných z agentů na server pro správu je podobný tomu, jestli se používá server brány nebo ne. Zamýšleným účelem přístupového serveru je snížit úsilí potřebné ke správě certifikátů pro agenty v nedůvěryhodných doménách a snížit počet komunikačních cest, které musí být povolené skrze firewall.
- Mít více než 2 000 agentů na server brány může nepříznivě ovlivnit schopnost zotavení v případě trvalého výpadku, který brání serveru brány v komunikaci se serverem pro správu. Pokud je vyžadováno více než 2 000 agentů, doporučuje se více serverů brány. Alternativou, pokud je čas obnovení serveru brány problém, je otestovat systém, aby se zajistilo, že server brány dokáže rychle vyprázdnit svou frontu po trvalém výpadku mezi serverem brány a serverem pro správu. Kromě toho se po vyplnění příchozí fronty na serveru brány data ve frontě zahodí podle priority, což znamená, že trvalý výpadek serveru brány v tomto scénáři může vést ke ztrátě dat.
- Pokud je k serverům brány připojený velký počet agentů, zvažte použití vyhrazeného serveru pro správu pro všechny servery brány. Když se všechny servery brány připojí k jednomu serveru pro správu bez dalších agentů, kteří k němu nejsou připojení, může zrychlit dobu obnovení v případě trvalého výpadku. Účinné zatížení serveru správy je celkový počet agentů, kteří mu podávají hlášení přímo nebo prostřednictvím bránových serverů.
- Aby se zabránilo serveru brány v zahájení komunikace se serverem pro správu, včetně situací, kdy je nakonfigurován tak, aby přepínal mezi několika servery pro správu pro zajištění vysoké dostupnosti, nástroj pro schválení brány obsahuje argument příkazového řádku /ManagementServerInitiatesConnection. Nástroj Operations Manager tak může odpovídat zásadám zabezpečení zákazníka, pokud jsou systémy nasazené v DMZ nebo jiném síťovém prostředí a komunikaci je možné zahájit pouze z intranetu.
Server webové konzoly
Webová konzola poskytuje rozhraní pro skupinu pro správu, která je přístupná prostřednictvím webového prohlížeče. Nemá plnou funkci konzoly Operations Console a poskytuje přístup pouze k sekcím Monitorování a Můj pracovní prostor. Webová konzola poskytuje přístup ke všem datům monitorování a úlohám, které jsou akce, které lze spouštět na monitorovaných počítačích z konzoly Operations Console. Přístup k datům ve webové konzole má stejná omezení jako přístup k obsahu v konzole Operations Console.
Server pro sestavy
Generování sestav pro System Center – Operations Manager je nainstalované ve službě SQL Server Reporting Services (která je podporována verzí nástroje Operations Manager, kterou používáte) a jedinou platnou konfigurací služby Reporting Services, kterou podporuje generování sestav nástroje Operations Manager, je nativní režim.
Poznámka:
Instalace služby System Center – Operations Manager Reporting Services integruje zabezpečení instance služby SQL Reporting Services se zabezpečením založeným na rolích nástroje Operations Manager. V této instanci SQL Serveru neinstalujte žádné jiné aplikace služby Reporting Services.
Součásti serveru sestav Operations Manageru je možné nainstalovat na stejný server, na kterém běží SQL Server 2014 nebo 2016 Reporting Services nebo na jiném počítači. Pro dosažení optimálního výkonu, zejména v podnikovém prostředí, kde uživatelé vytvářejí sestavy ve vysokém objemu a paralelně, a zatímco jsou současně zpracovávány interaktivní nebo plánované sestavy, je třeba navýšit kapacitu, abyste zvládli více souběžných uživatelů a větší zátěž při zpracovávání sestav. Doporučuje se, aby služba Generování sestav nástroje Operations Manager nebyla umístěná ve stejném SQL Serveru, který je hostitelem databáze datového skladu a nainstalována ve vyhrazeném systému.
Provozní databáze
Provozní databáze je databáze SQL Serveru, která obsahuje všechna provozní data, informace o konfiguraci a pravidla monitorování pro skupinu pro správu. Databáze Operations Manageru je jediným bodem selhání skupiny správy, takže ji lze zajistit vysokou dostupnost s využitím podporovaných konfigurací clusteringu.
Chcete-li zachovat tuto databázi ve stálé velikosti, nastavení výmazu dat v nástroji Operations Manager určuje dobu, po kterou mohou být data uchovávána. Ve výchozím nastavení je tato doba trvání sedm (7) dnů.
Databáze pro sledování datového skladu
Datový sklad pro vytváření reportů je databáze SQL Serveru, která shromažďuje a ukládá provozní data pro dlouhodobé vytváření reportů. Tato data se zapisují přímo z pravidel, jež shromažďují data pro vytváření sestav a z procesů synchronizace datových souborů v provozní databázi. Operations Manager automaticky provádí údržbu datového skladu, včetně agregace, správy a optimalizace.
Následující tabulka uvádí výchozí datové typy a dobu uchovávání po počátečním nastavení databáze datového skladu.
| Datová sada | Typ agregace | Doba uchování (dny) |
|---|---|---|
| Výstrahy | Nezpracováno | 400 |
| Monitorování klientů | Nezpracováno | 30 |
| Monitorování klientů | Každý den | 400 |
| Události | Nezpracováno | 100 |
| Výkon | Nezpracováno | 10 |
| Výkon | Hodinově | 400 |
| Výkon | Každý den | 400 |
| Stát | Nezpracováno | 180 |
| Stát | Hodinově | 400 |
| Stát | Každý den | 400 |
Datový sklad může obsluhovat více skupin pro správu. To umožňuje, aby jedna sestava zahrnovala data ze všech počítačů v celé organizaci.
Stejně jako databáze Operations Manageru může být databáze datového skladu clusterována pro zajištění vysoké dostupnosti. Pokud není clusterovaný, měli byste ho pečlivě monitorovat, aby bylo možné rychle vyřešit všechny problémy.
Kolektor služby ACS
Kolektor ACS přijímá a zpracovává události od ACS předavačů a pak tato data odesílá do databáze služby ACS. Toto zpracování zahrnuje demontáž dat, aby bylo možné je rozdělit do několika tabulek v databázi služby ACS, minimalizovat redundanci dat a použít filtry, aby se do databáze služby ACS nepřidály zbytečné události.
Databáze služby ACS
Databáze služby ACS je centrálním úložištěm událostí generovaných zásadami auditu v rámci nasazení služby ACS. Databáze služby ACS může být umístěna ve stejném počítači jako kolekce služby ACS, ale pro zajištění nejlepšího výkonu by se každá databáze měla nainstalovat na vyhrazený server. Ve výchozím nastavení se data uchovávají čtrnáct (14) dnů.
Přeposílač ACS
Služba, která běží na předávačích ACS, je součástí agenta Operations Manageru. Ve výchozím nastavení je tato služba nainstalována, ale není povolena při instalaci agenta Operations Manageru. Tuto službu můžete povolit pro více počítačů agentů najednou pomocí úlohy Povolit kolekci auditů nebo pomocí PowerShellu. Poté, co povolíte tuto službu, se všechny bezpečnostní události ve stejném čase posílají do kolektoru ACS i do místního protokolu zabezpečení.
Aspekty návrhu
Při rozhodování o implementaci jedné nebo více skupin pro správu byste měli vzít v úvahu následující faktory:
- Zvýšená kapacita. Operations Manager nemá žádná předdefinovaná omezení týkající se počtu agentů, které může jedna skupina pro správu podporovat. V závislosti na používaném hardwaru a zatížení monitorování (více nasazených sad Management Pack znamená vyšší zátěž monitorování) ve skupině pro správu možná budete potřebovat více skupin pro správu, aby se zachoval přijatelný výkon.
- Konsolidovaná zobrazení. Pokud se k monitorování prostředí používá více skupin pro správu, je potřeba mechanismus, který poskytuje konsolidované zobrazení dat monitorování a upozorňování z nich. Toho lze dosáhnout nasazením další skupiny pro správu (která může nebo nemusí mít žádnou odpovědnost za monitorování), která má přístup ke všem datům ve všech ostatních skupinách pro správu. Tyto skupiny pro správu se pak označují jako připojené. Skupina pro správu, která slouží k poskytnutí konsolidovaného zobrazení dat, se nazývá místní skupina pro správu a ostatní, kteří jí poskytují data, se nazývají Připojené skupiny pro správu.
- Zabezpečení a správa Dělení skupin pro správu z bezpečnostních a administrativních důvodů je podobné delegování správní autority nad organizačními jednotkami nebo doménami služby Active Directory do různých skupin pro správu. Vaše společnost může obsahovat několik IT skupin, z nichž každá má vlastní oblast odpovědnosti. Oblast může být konkrétní geografickou oblastí nebo obchodním oddělením. Například v případě holdingové společnosti to může být jedna z dceřiných společností. Pokud existuje tento typ úplného delegování administrativní autority z centralizované IT skupiny, může být užitečné implementovat strukturu skupinového řízení v každé oblasti. Pak je můžete nakonfigurovat jako připojené skupiny pro správu k místní skupině pro správu, která se nachází v centrálním datovém centru IT.
- Nainstalované jazyky. Všechny servery s nainstalovanou rolí serveru Operations Manageru musí být nainstalované ve stejném jazyce. To znamená, že server pro správu nemůžete nainstalovat pomocí anglické verze Operations Manageru 2012 R2 a pak nasadit konzolu Operations Console pomocí japonské verze. Pokud monitorování potřebuje více jazyků, bude pro každý jazyk operátorů potřeba další skupina pro správu.
- Produkční a předprodukční funkce. V Operations Manageru se doporučuje mít produkční implementaci, která se používá k monitorování produkčních aplikací a předprodukční implementace, která má minimální interakci s produkčním prostředím. Předprodukční skupina pro správu se používá k testování a ladění funkcí sady Management Pack před migrací do produkčního prostředí. Některé společnosti navíc používají testovací prostředí pro servery, kde jsou nově sestavené servery umístěny po dobu zkušební doby před umístěním do produkčního prostředí. Předprodukční skupinu pro správu je možné použít k monitorování přípravného prostředí, aby se zajistil stav serverů před uvedením do produkčního prostředí.
- Vyhrazená funkce služby ACS Pokud vaše požadavky zahrnují potřebu shromažďovat události protokolu zabezpečení auditu systému Windows nebo události zabezpečení systému UNIX/Linux, implementujete službu Audit Collection Service (ACS). Je vhodné implementovat skupinu pro správu, která podporuje funkci služby ACS výhradně v případě, že požadavky vaší společnosti na zabezpečení vyžadují, aby byla funkce služby ACS řízena a spravována jinou skupinou pro správu, než která spravuje zbytek produkčního prostředí.
- Funkce zotavení po havárii V Operations Manageru se všechny interakce s databází Operations Manageru zaznamenávají do transakčních protokolů před potvrzením do databáze. Tyto transakční protokoly lze odeslat na jiný server, na kterém běží Microsoft SQL Server, a potvrdit je do kopie databáze operations manageru. Tato funkce je možnost poskytnout redundanci provozní databáze Operations Manageru mezi dvěma SQL Servery ve stejné skupině pro správu. Když je potřeba provést řízené převzetí služeb při selhání, servery pro správu ve skupině pro správu vyžadují změnu v registru, aby mohly odkazovat a komunikovat se sekundárním SQL Serverem. Je možné nasadit skupinu pro správu převzetí služeb při selhání, která odpovídá přesné konfiguraci primární skupiny pro správu (balíčky pro správu, přepsání, odběry oznámení, zabezpečení atd.) a agenti jsou nakonfigurováni tak, aby se hlásili oběma skupinám pro správu. Pokud se primární skupina pro správu z nějakého důvodu stane nedostupnou, nedojde k žádnému výpadku monitorovacího prostředí. Toto řešení zajišťuje kontinuitu služeb skupiny pro správu a nulovou ztrátu provozního monitorování.
Před nasazením nástroje System Center Operations Manager v produkčním prostředí naplánujte návrh skupiny pro správu. Během fáze plánování porozužíte komponentám it služeb (tj. infrastruktuře a úrovni aplikací) a počtu systémů a zařízení, která je podporují, jak bude integrovat a podporovat procesy správy incidentů a problémů a jak vizualizovat data pro různé úrovně podpory eskalace incidentů, techniky, zákazníky služeb a správu.
Připojené skupiny pro správu
Mnoho podniků se servery v několika geografických umístěních vyžaduje centrální monitorování těchto serverů. Konfigurace připojené skupiny pro správu, znázorněná na obrázku níže, je sada procesů pracovního postupu, které jsou navržené k vytvoření infrastruktury pro správu hierarchických systémů.
Tuto konfiguraci lze použít k zajištění centralizovaného monitorování. Je navržená tak, aby podporovala zobrazování výstrah a dat monitorování a iniciovala úlohy vůči spravovanému objektu připojené skupiny pro správu.
Propojením skupin pro správu Operations Manageru je možné spravovat centralizované funkce monitorování a současně povolit:
- Monitorování většího počtu spravovaných objektů, než je možné u jedné skupiny pro správu.
- Izolace monitorovací aktivity podle logických organizačních jednotek, například Marketing, nebo fyzických umístění, jako je Řím.
Když připojíte skupiny pro správu, nenasazujete žádné nové servery; místo toho můžete místní skupině pro správu povolit přístup k upozorněním a informacím o zjišťování, které jsou v připojené skupině pro správu. Tímto způsobem můžete zobrazit a pracovat se všemi upozorněními a dalšími daty monitorování z více skupin pro správu v jedné konzole Operations Console. Kromě toho můžete úlohy spouštět na monitorovaných počítačích připojených skupin pro správu. Informace o připojení skupin pro správu najdete v tématu Připojení skupin pro správu v Operations Manageru.
Nainstalované jazyky
Skupiny pro správu Operations Manageru podporují pouze jeden nainstalovaný jazyk. Pokud má celkové prostředí IT, které potřebujete monitorovat, více než jeden nainstalovaný jazyk, bude pro každý jazyk potřeba samostatná skupina pro správu.