Vorbereitung auf die Bereitstellung von System Center - Service Manager

Bevor Sie die Bereitstellung von System Center - Service Manager starten, erstellen Sie eine Gruppe von Benutzenden in Active Directory Domain Service (AD DS) und erstellen oder identifizieren ein Domänenkonto, das während des Setup-Prozesses verwendet werden soll. Stellen Sie sicher, dass das Domänenkonto Mitglied der entsprechenden Gruppen ist, die für den ordnungsgemäßen Betrieb des Service Manager erforderlich sind. Beachten Sie Folgendes, wenn Sie Service Manager und Operations Manager auf demselben Server installieren:

• Operations Manager kann sich den Datenbankserver mit Service Manager teilen.

• Ein Operations Manager-Agent wird automatisch als Teil des Service Manager installiert. Nach Abschluss des Setups müssen Sie den Agenten manuell für die Verwendung mit dem Verwaltungsserver von Operations Manager konfigurieren.

  Um zu bestätigen, dass der Operations Manager-Agent installiert wurde, öffnen Sie das Bedienfeld und überprüfen Sie, ob der Operations Manager-Agent vorhanden ist.

• Sie können sowohl die Operations Manager-Konsole als auch die Service Manager-Konsole auf demselben Computer installieren. Die Reihenfolge, in der Sie die Konsolen installieren, spielt keine Rolle.

• Versuchen Sie nicht, dieselbe SQL Server Reporting Services (SSRS)-Instanz sowohl für Operations Manager als auch für Service Manager zu verwenden.

Überlegungen zum Konto, bevor Sie das Setup ausführen

Bevor Sie das Setup für Service Manager ausführen, überprüfen Sie die folgenden Abschnitte, um sicherzustellen, dass die für die Installation von Service Manager erforderlichen Voraussetzungen erfüllt sind. Während der Einrichtung werden Sie aufgefordert, Domänen-Benutzende oder-Gruppen für verschiedene Funktionen des Service Manager bereitzustellen. Überprüfen Sie diese Informationen, um sicherzustellen, dass Sie für den Einrichtungsprozess bereit sind.

Konto, das bei der Installation von Service Manager verwendet wird

In diesem Abschnitt werden die Berechtigungen beschrieben, die Sie benötigen, wenn Sie einen Service Manager-Verwaltungsserver und Service Manager-Konsolendatenbanken installieren und wenn Sie die Service Manager-Verwaltungsgruppe mit der Data Warehouse-Verwaltungsgruppe in Service Manager registrieren.

Hinweis

Das Konto, das Sie zum Ausführen von Setup verwenden, wird im Service Manager automatisch zum Administrator gemacht.

Wählen Sie die erforderliche Registerkarte, um Details zu den benötigten Berechtigungen zu erhalten:

Service Manager Verwaltungsserver

Sie benötigen die folgenden Berechtigungen, wenn Sie einen Service Manager-Verwaltungsserver installieren:

• Lokaler Administrator auf dem Computer, auf dem Sie das Setup ausführen
• Lokaler Administrator auf dem Computer, auf dem die Service Manager-Datenbank gehostet wird, wenn sie sich auf einem Remotecomputer befindet
• Angemeldeter Benutzender muss ein Domänenkonto sein
• Die SQL Server-Rolle Sysadmin auf der SQL Server-Instanz, auf der die Service Manager-Datenbank erstellt wird

Konsole von Service Manager

Wenn Sie die Service Manager-Konsole installieren, benötigen Sie die folgenden Berechtigungen:

• Lokaler Administrator auf dem Computer, auf dem Sie das Setup ausführen

Data Warehouse-Verwaltungsserver

Wenn Sie den Data Warehouse-Verwaltungsserver installieren, benötigen Sie die folgenden Berechtigungen:

• Lokaler Administrator auf dem Computer, auf dem Sie das Setup ausführen
• Lokaler Administrator auf dem Computer, auf dem die Data Warehouse-Datenbank gehostet wird, wenn sie sich auf einem Remotecomputer befindet
• Angemeldeter Benutzender muss ein Domänenkonto sein
• Die Rolle des Inhalts-Managers in SQL Server Reporting Services (SSRS) auf der Ebene der Website (Root)
• Die SQL Server-Rolle Sysadmin auf der SQL Server-Instanz, auf der die Data Warehouse-Datenbank erstellt wird

SQL Server Reporting Services

Sie benötigen die folgenden Berechtigungen, wenn Sie SSRS installieren:

Berechtigungen zum Ablegen einer Binärdatei im Ordner \Programme\Microsoft SQL Server\Instanzname\Reporting Services\ReportServer\Bin auf dem Computer, der den Verwaltungsserver des Data Warehouse hostet.

Registrieren von Service-Manager beim Data Warehouse

Wenn Sie sich mit dem Service Manager beim Data Warehouse registrieren, benötigen Sie die folgenden Berechtigungen:

• Die SQL Server-Rolle Sysadmin oder Security Admin auf der Instanz, die die Service Manager-Datenbank hostet
• Die SQL Server-Rolle Sysadmin oder Sicherheitsadmin auf der Instanz, die die Data Warehouse-Datenbank hostet
• Mitgliedschaft in der Benutzerrolle Service Manager-Administratoren auf dem Service Manager-Verwaltungsserver
• Mitgliedschaft in der Benutzerrolle Service Manager-Administratoren auf dem Data Warehouse-Verwaltungsserver

Erforderliche Konten für die Installation von Service Manager

Bei der Installation von Service Manager- und Data Warehouse-Verwaltungsservern müssen Sie die Anmeldeinformationen für die Konten in der folgenden Tabelle bereitstellen.

Hinweis

Die Benutzerkonten und Gruppenkonten, die für die Installation von Service Manager erforderlich sind, müssen sich in der Organisationseinheit (OE) „Benutzende“ in Active Directory Domain Services (AD DS) befinden.

Konten, die beim Installieren eines Service Manager-Verwaltungsservers verwendet werden

Konto	Berechtigungen	Wie es im Service Manager verwendet wird
Verwaltungsgruppen-Administrierende	- Muss ein Domänenbenutzer oder eine Gruppe sein. Wichtig: Das Benutzerkonto, das bei der Installation eines ersten Service Manager-Managementservers auf dem Computer angemeldet ist, wird automatisch zu dieser Gruppe hinzugefügt.	- Hinzugefügt zur Benutzerrolle Service Manager Administrierende.
Dienst-Manager-Dienstkonto	- Muss ein Domänenbenutzer oder eine Gruppe sein. - Muss Mitglied der lokalen Administrierenden sein. - Muss Als Dienst anmelden haben. Um diese Berechtigungen festzulegen, verwenden Sie Sicherheitseinstellungen>Lokale Richtlinien>Benutzerrechtezuweisung. Optional: - Anmeldung als Batchauftrag verweigern - Anmeldung über Remotedesktopdienste verweigern.	- Wird zum Betriebssystemkonto. - Dem Anmeldekonto für den System Center Data Access Service zugewiesen. - Dem Anmeldekonto für den System Center Management Configuration-Dienst zugewiesen. - Wird ein Mitglied der Datenbankrollen sdk_users und configsvc_users für die Service Manager-Datenbank. - Wenn Sie die Anmeldeinformationen für diese beiden Dienste ändern, stellen Sie sicher, dass das neue Konto eine SQL-Anmeldung in der ServiceManager-Datenbank hat und dass dieses Konto Mitglied der Gruppe Builtin\Administrators ist.
Workflowkonto	- Muss ein Domänenbenutzer oder eine Gruppe sein. - Muss über die Berechtigung zum Senden von E-Mails verfügen und ein Postfach auf dem Simple Mail Transfer Protocol (SMTP)-Server haben (erforderlich für die Funktion „E-Mail-Incident“). - Muss Mitglied der lokalen Sicherheitsgruppe Benutzende sein. - Damit E-Mail-Benachrichtigungen ordnungsgemäß funktionieren, müssen Sie Mitglied der Benutzerrolle Service Manager Administrierende sein. Muss ein Domänenbenutzer oder eine Gruppe sein. - Muss Mitglied der lokalen Administrierenden sein. - Muss Als Dienst anmelden haben. Um diese Berechtigungen festzulegen, verwenden Sie Sicherheitseinstellungen>Lokale Richtlinien>Benutzerrechtezuweisung. Optional: -Anmelden als Batchauftrag verweigern -Anmelden über Remotedesktopdienste verweigern.	- Dieses Konto wird für alle Workflows verwendet und ist ein Mitglied der Benutzerrolle Service Manager Workflows.

Bewährte Sicherheitsverfahren für Konten

Wenn Sie Active Directory-Konten für die Verwendung mit Service Manager „Ausführen als“-Konten zuweisen, sollten Sie in der Regel Dienstkonten verwenden. Wir raten dringend davon ab, Active Directory-Benutzerkonten zu verwenden, die mit einzelnen Personen verknüpft sind.

Weitere Informationen über bewährte Sicherheitsverfahren finden Sie in der Windows Server Security Anleitung, die jetzt Teil des Windows Server Security Compliance Management Toolkit ist.

Konten, die beim Installieren eines Data Warehouse-Verwaltungsservers verwendet werden

Konto	Berechtigungen	Wie es im Service Manager verwendet wird
Verwaltungsgruppen-Administrierende	- Muss ein Domänenbenutzer oder eine Gruppe sein.	- Hinzugefügt zur Benutzerrolle Data-Warehouse-Administrierende.
Dienst-Manager-Dienstkonto	- Muss ein Domänenbenutzer oder eine Gruppe sein. - Muss Mitglied der lokalen Administrierenden auf dem Data Warehouse Management Server sein. - Es muss dasselbe Konto sein, das Sie für das Service Manager Management Server Services-Konto verwendet haben.	- Wird zum ausführenden Konto des Data Warehouse-Systems. - Dem ServiceManager SDK Service-Konto zugewiesen. – Dem ServiceManager Config-Konto zugewiesen. - Wird Mitglied der Datenbankrollen „sdk_users“ und „configsvc_users“ für die DWDataMart-Datenbank. - Wird Mitglied der db_datareader-Datenbankrolle für die DWRepository-Datenbank. – Wird Mitglied der configsvc_users-Datenbankrolle für die Service Manager-Datenbank.
Berichtskonto	- Muss ein Domänenkonto sein. - Muss Anmelden als Dienst haben. Um diese Berechtigungen festzulegen, verwenden Sie Sicherheitseinstellungen>Lokale Richtlinien>Benutzerrechtezuweisung. Optional: - Anmeldung als Batchauftrag verweigern - Anmeldung über Remotedesktopdienste verweigern.	- Wird von SQL Server Reporting Services (SSRS) verwendet, um auf die DWDataMart-Datenbank zuzugreifen, um Daten für die Berichterstellung abzurufen. - Wird Mitglied der db_datareader-Datenbankrolle für die DWDataMart-Datenbank. – Wird Mitglied der Berichtsbenutzerdatenbankrolle für die DWDatamart-Datenbank.
Analysis Services-Konto	- Muss ein Domänenkonto sein. - Muss Anmelden als Dienst haben. Um diese Berechtigungen festzulegen, verwenden Sie Sicherheitseinstellungen>Lokale Richtlinien>Benutzerrechtezuweisung. Optional: - Anmeldung als Batchauftrag verweigern - Anmeldung über Remotedesktopdienste verweigern.	- Wird für die Kommunikation mit Datenmarts verwendet. - Konto wird als Administratorrolle in der Analysis Services-Serverdatenbank (DWASDataBase) für die Datenbankverarbeitung und das Lesen von Cubes hinzugefügt.

Anmeldeinformationen, die beim Registrieren einer Service Manager-Verwaltungsgruppe bei der Data Warehouse-Verwaltungsgruppe verwendet werden

Im Rahmen des Installationsprozesses registrieren Sie die Service Manager-Verwaltungsgruppe bei der Data Warehouse-Verwaltungsgruppe. Während dieses Vorgangs werden Sie aufgefordert, Anmeldeinformationen anzugeben. Die von Ihnen angegebenen Kontoanmeldeinformationen müssen die eines Domänenkontos sein. Darüber hinaus müssen Sie ein Konto mit den folgenden Berechtigungen bereitstellen:

• Muss Mitglied der Benutzerrolle „Administrator“ in den Service Manager- und Data Warehouse-Verwaltungsgruppen sein.
• Muss Mitglied der lokalen Administratorgruppe der Benutzenden auf dem Data Warehouse-Verwaltungsserver sein.

Zum Erstellen von Connectors erforderliche Konten

Wenn Sie Connectors erstellen, werden Sie nach Anmeldeinformationen gefragt, die der Connector zum Ausführen seiner Funktion verwendet. Im Folgenden werden die Berechtigungen beschrieben, die dieses Konto benötigt, und es werden Best Practices für hohe Sicherheit beschrieben.

Connector-Konten für Operations Manager, Orchestrator, SCVMM und AD erfordern Anmelden als Dienst

Um diese Berechtigungen festzulegen, verwenden Sie Sicherheitseinstellungen>Lokale Richtlinien>Zuweisung von Benutzerrechten.

Optional:

• Anmelden als Batchauftrag verweigern
• Anmelden über Remotedesktopdienste verweigern

Wählen Sie die gewünschte Registerkarte, um die Berechtigungen und Best Practices anzuzeigen:

Operations Manager-Warnungsconnector

Berechtigungen	Bewährte Methoden
- Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe „Benutzer“ auf dem Service Manager-Verwaltungsserver sein. - Muss ein Operations Manager-Admin sein.	Speziell zu diesem Zweck erstelltes Domänenkonto, das sich nur in der lokalen Sicherheitsgruppe der Benutzenden und in der Benutzerrolle „Administrator“ in Operations Manager sowie in der Benutzerrolle „Fortgeschrittener Operator“ in Service Manager befindet.

Operations Manager CI-Connector

Berechtigungen	Bewährte Methoden
- Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe der Benutzenden auf dem Verwaltungsserver sein. - Muss ein Operations Manager-Operator sein.	Speziell für diesen Zweck erstelltes Domänenkonto, das sich nur in der lokalen Sicherheitsgruppe Benutzer und in einer Benutzerrolle im Operations Manager und in einer Benutzerrolle des Fortgeschrittenen im Service Manager befindet.

Active Directory-Connector

Berechtigungen	Bewährte Methoden
- Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe „Benutzer“ auf dem Service Manager-Verwaltungsserver sein. - Muss die Berechtigung haben, sich mit dem Domain Controller zu verknüpfen, von dem der Konnektor Daten lesen wird. - Benötigt allgemeine Leserechte für die Objekte, die von AD DS in die Service Manager-Datenbank synchronisiert werden.	Speziell für diesen Zweck erstelltes Domänenkonto, das sich nur in der lokalen Sicherheitsgruppe „Benutzende“ und in der Benutzerrolle „Fortgeschrittener Operator“ im Service Manager befindet und in AD DS nur Leseberechtigungen hat.

Configuration Manager-Connector

Berechtigungen	Bewährte Methoden
- Muss ein Domänenkonto sein. - Muss Mitglied der lokalen Sicherheitsgruppe „Benutzer“ auf dem Service Manager-Verwaltungsserver sein.	Speziell für diesen Zweck erstelltes Domänenkonto, das sich nur in der lokalen Sicherheitsgruppe „Benutzende“ befindet, muss Mitglied von „smsdbrole_extract“ und „db_datareader“ in der Konfigurations-Manager-Datenbank sein und sich in der Benutzerrolle „Fortgeschrittener Operator“ in Service Manager befinden.

Vorbereiten von Computern für die Bereitstellung von Service Manager

So bereiten Sie Computer für die Bereitstellung von Service Manager vor:

1. Stellen Sie sicher, dass keine Operations Manager-Teile auf den Computern installiert sind, auf denen der Service Manager oder das Data Warehouse gehostet wird.

2. Erstellen Sie eine Active Directory-Benutzergruppe, die der Rolle der Service Manager-Administratoren der Data Warehouse- und Service Manager-Verwaltungsgruppen zugewiesen werden soll. Erstellen Sie zum Beispiel die Gruppe SM_Admins.

   Hinweis

   Diese Benutzergruppe muss sich in derselben Domäne befinden, in der sich auch der Service Manager befindet. Benutzende aus anderen Domänen - auch aus untergeordneten Domänen - werden nicht unterstützt.

3. Erstellen Sie die Konten, die für Service Manager erforderlich sind.

   Hinweis

   Service Manager-Konten müssen sich in derselben Domäne befinden, in der sich auch Service Manager befindet. Konten von anderen Domänen - auch von untergeordneten Domänen - werden nicht unterstützt.

4. Stellen Sie sicher, dass die Structured Query Language (SQL)-Instanzen, die für Service Manager-Datenbanken verwendet werden, die Portnummer 1433 verwenden.

5. Wenn Sie die Datenbanken auf einem Remotecomputer mit Microsoft SQL Server installieren, muss der Benutzende, der das Setup ausführt, ein Domänenbenutzer mit lokalen Administratorrechten auf dem SQL Server-Computer sein.

6. Wählen Sie auf Computern, auf denen die Service Manager-Konsole gehostet wird, unter Internetoptionen, Einstellungen für das lokale Netzwerk (LAN) die Option Proxyserver für lokale Adressen umgehen aus.

7. Öffnen Sie einen Browser, und geben Sie die folgenden beiden URLs ein:

   • http://<computer hosting SSRS>/reports

   • http://<computer hosting SSRS>/reportserver

     Wenn einer der Verbindungsversuche fehlschlägt oder einen Fehler zurückgibt, z. B. HTTP-Fehler 404.0 nicht gefunden, führen Sie die Schritte in der Prozedur Zum Konfigurieren des Berichtsservers aus. Ansonsten fahren Sie mit der Installation von Service Manager fort.

Konfigurieren des Berichtsservers

1. Melden Sie sich mit einem Konto mit Administratorrechten an dem Computer an, auf dem SQL Server Reporting Services (SSRS) gehostet wird.

2. Wählen Sie Start, zeigen Sie auf Programme, zeigen Sie auf Microsoft SQL Server 2008, zeigen Sie auf Konfigurationswerkzeuge und wählen Sie Reporting Services Configuration Manager.

3. Vergewissern Sie sich im Dialogfeld Reporting Services Configuration Connection, dass die Informationen in Servername und Berichtsserverinstanz korrekt sind, und wählen Sie Verbinden.

4. Wählen Sie im Bereich Verbinden die Option Web Service URL.

5. Vergewissern Sie sich im Bereich Virtuelles Verzeichnis des Berichtsserver-Webdienstes im Textfeld Virtuelles Verzeichnis, dass der Eintrag ReportServer lautet, und klicken Sie auf Anwenden.

6. Wählen Sie im Bereich Verbinden die Option Berichtsmanager-URL.

7. Stellen Sie im Bereich Report Manager-Standortbestimmung im Textfeld Virtuelles Verzeichnis sicher, dass der Eintrag Berichte lautet, und wählen Sie Anwenden.

8. Wählen Sie im Bereich Verbinden den obersten Eintrag (<server>\\<instance>).

9. Wählen Sie im Bereich Aktueller Berichtsserver die Option Anhalten und wählen Sie Starten.

Wichtig

Wenn Sie System Center - Service Manager mit SQL Server Reporting Services (SSRS) 2017 oder höher installieren, werden die Service Manager-Berichte nicht installiert, ein Ereignis 33410 tritt auf und zeigt die Details für den Bereitstellungsfehler an. Siehe die folgenden Informationen zur Ursache und Lösung dieses Problems.

SSRS 2017 Version 14.0.600.1274 und höher enthält eine neue erweiterte Einstellung AllowedResourceExtensionsForUpload. Diese Einstellung schränkt die Menge der Erweiterungen von Ressourcendateien ein, die auf den Berichtsserver hochgeladen werden können. Dieses Problem tritt auf, weil die Service Manager-Berichterstellung Erweiterungen verwendet, die nicht im Standardsatz in AllowedResourceExtensionsForUpload enthalten sind.

Um dieses Problem zu beheben, fügen Sie *.* zur Liste der Erweiterungen hinzu. Führen Sie folgende Schritte aus:

1. Starten Sie SQL Server Management Studio und stellen Sie eine Verbindung zu einer Berichtsserverinstanz her, die Service Manager verwendet.
2. Klicken Sie mit der rechten Maustaste auf den Namen des Berichtsservers, wählen Sie Eigenschaften und wählen Sie dann Erweitert.
3. Suchen Sie die Einstellung AllowedResourceExtensionsForUpload, fügen Sie *.* zur Liste der Erweiterungen hinzu und wählen Sie dann OK.
4. Starten Sie SSRS neu.

Nächste Schritte

Um mehr über die Probleme zu erfahren, die sich auf die Leistung und Skalierbarkeit in Service Manager auswirken, lesen Sie Planung für Leistung und Skalierbarkeit. Außerdem werden bewährte Methoden vorgeschlagen, um eine gute Leistung mithilfe von vorgeschlagenen Hardwarekonfigurationen zu erzielen.