Agenty Operations Manageru

V nástroji System Center Operations Manager je agent služba nainstalovaná v počítači, který hledá konfigurační data a proaktivně shromažďuje informace pro analýzu a generování sestav, měří stav monitorovaných objektů, jako je databáze SQL nebo logický disk, a provádí úlohy na vyžádání operátorem nebo v reakci na podmínku. Nástroj Operations Manager umožňuje monitorovat operační systémy Windows, Linux a UNIX a komponenty IT služby nainstalované na nich, jako je web nebo řadič domény služby Active Directory.

Agent Windows

Na monitorovaném počítači s Windows je agent nástroje Operations Manager uveden jako služba Microsoft Monitoring Agent (MMA). Služba Microsoft Monitoring Agent shromažďuje data o událostech a výkonu, spouští úlohy a další pracovní postupy definované v sadě Management Pack. I když služba nemůže komunikovat se serverem pro správu, kterému je podřízena, služba bude dál spouštět a zařazovat shromážděná data a události do fronty na disku monitorovaného počítače. Po obnovení připojení služba Microsoft Monitoring Agent odešle shromážděná data a události na server pro správu.

Poznámka:

• Služba Microsoft Monitoring Agent se někdy označuje jako služba Health Service.

Služba Microsoft Monitoring Agent běží také na serverech pro správu. Na serveru pro správu služba spouští monitorovací pracovní postupy a spravuje přihlašovací údaje. Ke spuštění pracovních postupů služba zahájí procesy MonitoringHost.exe pomocí zadaných přihlašovacích údajů. Tyto procesy monitorují a shromažďují data protokolu událostí, data čítače výkonu, data rozhraní WMI (Windows Management Instrumentation) a spouští akce, jako jsou skripty.

Komunikace mezi agenty a servery pro správu

Agent Operations Manageru odesílá data výstrahy a zjišťování na přiřazený primární server pro správu, který zapisuje data do provozní databáze. Agent také odesílá události, výkon a stavová data na primární server pro správu daného agenta, který zapisuje data do provozní databáze a databáze datového skladu současně.

Agent odesílá data podle parametrů plánu pro každé pravidlo a monitorování. Pro optimalizovaná pravidla shromažďování se data přenášejí pouze v případě, že se vzorek čítače liší od předchozího vzorku o zadanou toleranci, například 10 %. To pomáhá snížit síťový provoz a objem dat uložených v provozní databázi.

Kromě toho všichni agenti odesílají paket dat označovaný jako prezenční signál na server pro správu v pravidelných intervalech každých 60 sekund. Účelem prezenčních signálů je ověřit dostupnost agenta a komunikaci mezi agentem a serverem pro správu. Další informace o prezenčních signálech naleznete v tématu Fungování prezenčních signálů v nástroji Operations Manager.

Operations Manager pro každého agenta spouští sledovací proces služby health service, který monitoruje stav vzdálené služby Health Service z pohledu serveru pro správu. Agent komunikuje se serverem pro správu přes port TCP 5723.

Agent Linux/UNIX

Architektura agenta systému UNIX a Linux se výrazně liší od agenta systému Windows. Agent systému Windows má službu Health Service zodpovědnou za vyhodnocení stavu monitorovaného počítače. Agent systému UNIX a Linux nespouští službu Health Service; ale předává informace službě Health Service na serveru pro správu, který se má vyhodnotit. Server pro správu spouští všechny pracovní postupy pro monitorování stavu operačního systému definovaného v naší implementaci sad Management Pack systémů UNIX a Linux:

• Disk
• Procesor
• Memory (Paměť)
• Síťové adaptéry
• Operační systém
• Procesy
• Soubory protokolu

Agenti systému UNIX a Linux pro Operations Manager se skládají z CIM Object Manageru (tj. CIM Serveru) a sady poskytovatelů CIM. Správce objektů CIM je serverová komponenta, která implementuje komunikaci WS-Management, ověřování, autorizaci a odesílání požadavků poskytovatelům. Zprostředkovatelé jsou klíčem k implementaci CIM v agentu, definují třídy a vlastnosti CIM, vzájemně propojené s rozhraními API jádra pro načítání nezpracovaných dat, formátování dat (například výpočet rozdílů a průměrů) a obsluhu požadavků odesílaných ze správce objektů CIM. Ze system Center Operations Manageru 2007 R2 až System Center 2012 SP1 je správce objektů CIM používaný v agentech operations manageru UNIX a Linux serverEm OpenPegasus. Poskytovatelé, kteří používají ke shromažďování a hlášení dat monitorování, jsou vyvinuti Microsoftem a open source v CodePlex.com.

To se změnilo v nástroji System Center 2012 R2 Operations Manager, kde jsou agenti systému UNIX a Linux nyní založeni na plně konzistentní implementaci OMI (Open Management Infrastructure) jako správce objektů CIM. V případě agentů operations manageru unix/Linux nahrazuje OMI OpenPegasus. Stejně jako OpenPegasus je OMI opensourcovou, lehkou a přenosnou implementací CIM Object Manageru – i když je lehčí v hmotnosti a přenosnější než OpenPegasus. Tato implementace se bude dál používat v nástroji System Center 2016 – Operations Manager a novějším.

Komunikace mezi serverem pro správu a agentem systému UNIX a Linux je rozdělená do dvou kategorií: údržba agenta a monitorování stavu. Server pro správu používá ke komunikaci s počítačem se systémem UNIX nebo Linux dva protokoly:

• Secure Shell (SSH) a Protokol SFTP (Secure Shell File Transfer Protocol)

  Používá se pro úlohy údržby agentů, jako je instalace, upgrade a odebrání agentů.

• Webové služby pro správu (WS-Management)

  Používá se pro všechny operace monitorování a zahrnuje zjišťování agentů, které byly již nainstalovány.

Komunikace mezi serverem pro správu Operations Manageru a agentem systému UNIX a Linux používá ws-Man přes PROTOKOL HTTPS a rozhraní WinRM. Všechny úlohy údržby agenta se provádějí přes SSH na portu 22. Veškeré monitorování stavu se provádí přes WS-MAN na portu 1270. Server pro správu vyžaduje údaje o výkonu a konfiguraci prostřednictvím SLUŽBY WS-MAN před vyhodnocením dat za účelem zajištění stavu. Všechny akce, jako je údržba agentů, monitorování, pravidla, úlohy a obnovení, jsou nakonfigurované tak, aby používaly předdefinované profily podle jejich požadavků na neprivilegovaný nebo privilegovaný účet.

Poznámka:

Všechny přihlašovací údaje uvedené v tomto článku se týkají účtů vytvořených v počítači se systémem UNIX nebo Linux, nikoli účtům nástroje Operations Manager, které jsou nakonfigurovány během instalace nástroje Operations Manager. Požádejte správce systému o přihlašovací údaje a ověřovací údaje.

Aby bylo možné podporovat nová vylepšení škálovatelnosti s počtem systémů UNIX a Linux System Center 2016 – Operations Manager a novějších, můžou nové rozhraní API asynchronní infrastruktury pro správu systému Windows (MI) být k dispozici místo rozhraní WSMAN Sync API, která se ve výchozím nastavení používají. Pokud chcete tuto změnu povolit, musíte vytvořit nový klíč registru UseMIAPI , aby Operations Manager mohl používat nová rozhraní API Async MI na serverech pro správu, které monitorují systémy Linux/Unix.

1. Otevřete Editor registru z příkazového řádku se zvýšenými oprávněními.
2. Vytvořte klíč registru UseMIAPI v části HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Pokud potřebujete obnovit původní konfiguraci pomocí rozhraní API synchronizace WSMAN, můžete odstranit klíč registru UseMIAPI .

Zabezpečení agenta

Ověřování v počítači se systémem UNIX/Linux

V Nástroji Operations Manager už správce systému nemusí zadávat kořenové heslo počítače se systémem UNIX nebo Linux na server pro správu. Teď může neprivilegovaný účet předpokládat identitu privilegovaného účtu v počítači se systémem UNIX nebo Linux. Proces zvýšení oprávnění provádí programy unix su (superuser) a sudo, které používají přihlašovací údaje, které server pro správu poskytuje. Pro operace údržby privilegovaného agenta, které používají protokol SSH (například zjišťování, nasazení, upgrady, odinstalaci a obnovení agenta), je k dispozici podpora zvýšení oprávnění su, sudo a podpora ověřování klíčů SSH (s heslem nebo bez). Pro privilegované operace WS-Management (například zobrazení souborů protokolu zabezpečení) se přidá podpora zvýšení oprávnění sudo (bez hesla).

Podrobné pokyny pro zadání přihlašovacích údajů a konfiguraci účtů naleznete v tématu Nastavení přihlašovacích údajů pro přístup k počítačům se systémy UNIX a Linux.

Ověřování pomocí serveru brány

Servery brány slouží k povolení správy agentů počítačů, které jsou mimo hranici důvěryhodnosti protokolu Kerberos skupiny pro správu. Vzhledem k tomu, že se server brány nachází v doméně, která není důvěryhodná doménou, ve které je skupina pro správu, musí být certifikáty použity k navázání identity, agenta, serveru brány a serveru pro správu každého počítače. Toto uspořádání splňuje požadavek operations manageru pro vzájemné ověřování.

To vyžaduje, abyste si vyžádali certifikáty pro každého agenta, který bude hlásit serveru brány a importuje tyto certifikáty do cílového počítače pomocí nástroje MOMCertImport.exe, který se nachází v adresáři SupportTools\ instalačního média (amd64 nebo x86). Musíte mít přístup k certifikační autoritě (CA), což může být veřejná certifikační autorita, jako je VeriSign, nebo můžete použít certifikační služby Společnosti Microsoft.

Nasazení agenta

Agenti nástroje System Center Operations Manager mohou být nainstalováni pomocí jedné z následujících tří metod. Většina instalací používá kombinaci těchto metod k instalaci různých sad počítačů podle potřeby.

Poznámka:

• Agenta MMA nejde nainstalovat na počítač, na kterém je nainstalovaný server pro správu Operations Manageru, server brány, konzola Operations Console, provozní databáze, webová konzola, System Center Essentials nebo System Center Service Manager – protože už mají nainstalovanou integrovanou verzi MMA.
• Můžete použít jenom agenta MMA nebo Log Analytics (verze rozšíření virtuálního počítače).

• Zjišťování a instalace jednoho nebo více agentů z konzoly Operations Console. Toto je nejběžnější forma instalace. Server pro správu musí být schopný připojit počítač k RPC a účet akce serveru pro správu nebo jiné zadané přihlašovací údaje musí mít přístup správce k cílovému počítači.
• Zahrnutí do instalační image. Jedná se o ruční instalaci základní image, která se používá k přípravě jiných počítačů. V takovém případě může být integrace služby Active Directory použita k automatickému přiřazení počítače k serveru pro správu při počátečním spuštění.
• Ruční instalace. Tato metoda se používá v případě, že agent nemůže být nainstalován některou z dalších metod, například když vzdálené volání procedur (RPC) není kvůli bráně firewall k dispozici. Instalační program se ručně spustí v agentu nebo se nasadí prostřednictvím existujícího nástroje pro distribuci softwaru.

Agenty nainstalované pomocí Průvodce zjišťováním je možné spravovat z konzoly Operations Console, jako je aktualizace verzí agenta, použití oprav a konfigurace serveru pro správu, pod který agent spadá.

Při instalaci agenta pomocí ruční metody musí být aktualizace agenta provedeny také ručně. Pomocí integrace služby Active Directory budete moct přiřadit agenty ke skupinám pro správu. Další informace naleznete v tématu Integrace služby Active Directory a Operations Manageru.

Pokud chcete získat další informace o nasazení agenta do systémů Windows a systém UNIX a LINUX, vyberte požadovanou kartu:

Nasazení agenta do systému Windows

Zjišťování systému Windows vyžaduje, aby porty TCP 135 (RPC), rozsah RPC a tcp 445 (SMB) zůstaly otevřené a aby služba SMB byla povolená na počítači agenta.

• Po zjištění cílového zařízení je možné do něj nasadit agenta. Instalace agenta vyžaduje:
• Otevření portů RPC počínaje mapovačem koncových bodů TCP 135 a portem SMB (Server Message Block) TCP/UDP 445
• Povolení sdílení souborů a tiskáren pro sítě Microsoft a klienta pro služby Microsoft Networks. (Tím zajistíte, že je port SMB aktivní.)
• Pokud je tato možnost povolená, musí být nastavení zásad skupiny brány Windows Firewall pro povolení výjimky pro vzdálenou správu a povolit výjimku sdílení souborů a tiskáren nastavenou na možnost Povolit nevyžádané příchozí zprávy z IP adresy a podsítí pro primární a sekundární servery pro správu agenta.
• Účet s oprávněními místního správce v cílovém počítači.
• Instalační služba systému Windows 3.1. Instalace najdete v článku 893803 znalostní báze Microsoft Knowledge Basehttps://go.microsoft.com/fwlink/?LinkId=86322.
• Microsoft Core XML Services (MSXML) 6 na instalačním médiu produktu Operations Manager v podadresáři \msxml. Instalace nabízeného agenta nainstaluje MSXML 6 na cílové zařízení, pokud ještě není nainstalovaná.

Nasazení agenta do systému systém UNIX a Linux

V nástroji System Center Operations Manager server pro správu používá ke komunikaci s počítačem se systémem UNIX nebo Linux dva protokoly:

• Secure Shell (SSH) pro instalaci, upgrade a odebrání agentů.
• Webové služby pro správu (WS-Management) pro všechny operace monitorování a zahrnují zjišťování agentů, které už byly nainstalovány.

Použitý protokol závisí na akci nebo informacích požadovaných na serveru pro správu. Všechny akce, jako je údržba agentů, monitorování, pravidla, úlohy a obnovení, jsou nakonfigurované tak, aby používaly předdefinované profily podle jejich požadavků na neprivilegovaný nebo privilegovaný účet.

Poznámka:

Všechny přihlašovací údaje uvedené v této části se týkají účtů vytvořených v počítači se systémem UNIX nebo Linux, nikoli účtům operations manageru nakonfigurovaným během instalace nástroje Operations Manager. Požádejte správce systému o přihlašovací údaje a ověřovací údaje.

Při zvýšení oprávnění může neprivilegovaný účet předpokládat identitu privilegovaného účtu v počítači se systémem UNIX nebo Linux. Proces zvýšení oprávnění provádí programy unix su (superuser) a sudo, které používají přihlašovací údaje, které server pro správu poskytuje. Pro operace údržby privilegovaných agentů, které používají protokol SSH (například zjišťování, nasazení, upgrady, odinstalaci a obnovení agenta), je k dispozici podpora zvýšení oprávnění su, sudo a ověřování klíčů SSH (s heslem nebo bez). Pro privilegované operace WS-Management (například zobrazení zabezpečených souborů protokolu) je podporována podpora zvýšení oprávnění sudo (bez hesla).

Přiřazení agenta služby Active Directory

System Center Operations Manager umožňuje využít investice do služby Doména služby Active Directory Services (AD DS) tím, že vám umožní přiřadit počítače spravované agentem ke skupinám pro správu. Tato funkce se běžně používá s agentem nasazeným jako součást procesu sestavení nasazení serveru. Když se počítač poprvé připojí do režimu online, agent Operations Manageru se dotazuje služby Active Directory na přiřazení primárního serveru pro správu a převzetí služeb při selhání a automaticky spustí monitorování počítače.

Přiřazení počítačů ke skupinám pro správu pomocí služby AD DS:

• Funkční úroveň domén služby AD DS musí být nativní nebo vyšší než Windows 2008.
• Počítače spravované agentem a všechny servery pro správu musí být ve stejné doméně nebo v obousměrných důvěryhodných doménách.

Poznámka:

Agent, který určuje, že je nainstalovaný na řadiči domény, nebude dotazovat službu Active Directory na informace o konfiguraci. To je z bezpečnostních důvodů. Integrace služby Active Directory je ve výchozím nastavení na řadičích domény zakázaná, protože agent běží pod účtem místního systému. Účet místního systému na řadiči domény má práva správce domény; proto zjistí všechny spojovací body služby serveru pro správu, které jsou zaregistrované ve službě Active Directory bez ohledu na členství ve skupině zabezpečení řadiče domény. V důsledku toho se agent pokusí připojit ke všem serverům pro správu ve všech skupinách pro správu. Výsledky mohou být nepředvídatelné, takže představují bezpečnostní riziko.

Přiřazení agenta se provádí pomocí spojovacího bodu služby (SCP), což je objekt služby Active Directory pro publikování informací, které klientské aplikace můžou použít k vytvoření vazby ke službě. To vytvoří správce domény se spuštěným nástrojem příkazového řádku MOMADAdmin.exe a vytvoří kontejner služby AD DS pro skupinu pro správu Operations Manageru v doménách počítačů, které spravuje. Skupina zabezpečení služby AD DS zadaná při spuštění MOMADAdmin.exe má udělená oprávnění ke čtení a odstranění podřízeného objektu kontejneru. SCP obsahuje informace o připojení k serveru pro správu, včetně plně kvalifikovaného názvu domény serveru a čísla portu. Agenti Operations Manageru můžou automaticky zjišťovat servery pro správu dotazováním na adresy SCPS. Dědičnost není zakázaná a protože agent může číst informace o integraci zaregistrované ve službě AD, pokud vynutíte dědičnost pro skupinu Všichni ke čtení všech objektů na kořenové úrovni ve službě Active Directory, dojde k závažnému ovlivnění a v podstatě dojde k přerušení funkce integrace služby AD. Pokud explicitně vynutíte dědičnost v celém adresáři tím, že udělíte oprávnění ke čtení skupiny Všichni, musíte tuto dědičnost zablokovat v kontejneru integrace služby AD nejvyšší úrovně s názvem OperationsManager a všechny podřízené objekty.  Pokud to neuděláte, integrace AD nebude fungovat podle návrhu a nebudete mít spolehlivé a konzistentní primární přiřazení a přiřazení převzetí služeb při selhání pro nasazené agenty. Pokud navíc máte více než jednu skupinu pro správu, budou všichni agenti v obou skupinách pro správu také vícedomé. 

Tato funkce funguje dobře pro řízení přiřazení agenta v nasazení distribuované skupiny pro správu, aby zabránili agentům v vytváření sestav na servery pro správu, které jsou vyhrazené pro fondy prostředků nebo servery pro správu v sekundárním datacentru v konfiguraci v teplém pohotovostním režimu, aby se zabránilo převzetí služeb při selhání agenta během normálního provozu.

Konfiguraci přiřazení agenta spravuje správce Operations Manageru pomocí Průvodce přiřazením agenta a převzetím služeb při selhání k přiřazení počítačů k primárnímu serveru pro správu a sekundárnímu serveru pro správu.

Poznámka:

Integrace služby Active Directory je zakázaná pro agenty nainstalované z konzoly Operations Console. Ve výchozím nastavení je integrace služby Active Directory povolená pro agenty nainstalované ručně pomocí MOMAgent.msi.

Další kroky

• Informace o tom, jak nainstalovat agenta systému Windows z konzoly Operations Console, naleznete v tématu Instalace agenta ve Windows pomocí Průvodce zjišťováním nebo instalace agenta z příkazového řádku, viz Ruční instalace agenta systému Windows pomocí MOMAgent.msi.

• Informace o tom, jak nainstalovat Systémy Linux a UNIX z konzoly Operations Console, najdete v tématu Instalace agenta v systémech UNIX a Linux pomocí Průvodce zjišťováním.

• Pokud chcete zjistit, jak vytvořit kontejner ve službě Active Directory, nakonfigurovat přiřazení převzetí služeb při selhání agenta a spravovat konfiguraci, přečtěte si, jak nakonfigurovat a používat integraci služby Active Directory pro přiřazení agenta.