Operations Manager-Agents

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

In System Center Operations Manager ist ein Agent ein Dienst, der auf einem Computer installiert ist, der nach Konfigurationsdaten sucht und proaktiv Informationen für Analysen und Berichte sammelt, den Integritätszustand überwachter Objekte wie einer SQL-Datenbank oder eines logischen Datenträgers misst und Aufgaben nach Bedarf durch einen Operator oder als Reaktion auf eine Bedingung ausführt. Damit kann Operations Manager Windows-, Linux- und UNIX-Betriebssysteme sowie die darauf installierten Komponenten eines IT-Diensts wie eine Website oder einen Active Directory-Domänencontroller überwachen.

Windows-Agent

Auf einem überwachten Windows-Computer wird der Operations Manager-Agent als MMA-Dienst (Microsoft Monitoring Agent) aufgelistet. Der Microsoft Monitoring Agent-Dienst sammelt Ereignis- und Leistungsdaten und führt Tasks sowie andere Workflows aus, die in einem Management Pack definiert sind. Wenn vom Dienst keine Kommunikation mit dem Verwaltungsserver hergestellt werden kann, an den die Daten gesendet werden sollen, wird der Dienst weiterhin ausgeführt, und die gesammelten Daten und Ereignisse werden auf dem Datenträger des überwachten Computers in eine Warteschlange geschrieben. Wenn die Verbindung wieder hergestellt wurde, werden die gesammelten Daten und Ereignisse vom Microsoft Monitoring Agent-Dienst an den Verwaltungsserver gesendet.

Hinweis

• Der Microsoft Monitoring Agent-Dienst wird gelegentlich als Integritätsdienst bezeichnet.

Der Microsoft Monitoring Agent-Dienst wird auch auf Verwaltungsservern ausgeführt. Auf einem Verwaltungsserver werden vom Dienst Überwachungsworkflows ausgeführt und Anmeldeinformationen verwaltet. Zum Ausführen von Workflows werden vom Dienst mithilfe von angegebenen Anmeldeinformationen MonitoringHost.exe-Vorgänge initiiert. Von diesen Vorgängen werden Ereignisprotokolldaten, Leistungsindikatordaten und WMI-Daten (Windows Management Instrumentation) überwacht und gesammelt, und es werden Aktionen wie Skripts ausgeführt.

Kommunikation zwischen Agents und Verwaltungsservern

Der Operations Manager-Agent sendet Warnungs- und Ermittlungsdaten an den zugewiesenen primären Verwaltungsserver, der die Daten in die Betriebsdatenbank schreibt. Außerdem werden vom Agent Ereignis-, Leistungs- und Zustandsdaten an seinen primären Verwaltungsserver gesendet und von diesem simultan in die Betriebsdatenbank sowie in die Data Warehouse-Datenbank geschrieben.

Die Daten werden entsprechend den Zeitplanparametern für jede Regel und jeden Monitor gesendet. Bei optimierten Sammlungsregeln werden nur Daten übertragen, wenn ein Beispiel eines Indikators sich vom vorherigen Beispiel um eine angegebene Toleranz, z. B. 10 %, unterscheidet. Hierdurch lassen sich Netzwerkverkehr und Datenmenge in der Betriebsdatenbank reduzieren.

Zusätzlich wird von allen Agents ein Datenpaket, das als Taktbezeichnet wird, in regelmäßigen Abständen (standardmäßig alle 60 Sekunden) an den Verwaltungsserver gesendet. Mithilfe des Takts werden Verfügbarkeit des Agents und Kommunikation zwischen Agent und Verwaltungsserver überprüft. Weitere Informationen zu Takten finden Sie unter How Heartbeats Work in Operations Manager (Funktionsweise von Takten in Operations Manager).

Von Operations Manager wird für jeden Agent ein Integritätsdienstwatcherausgeführt, um den Zustand des Remoteintegritätsdiensts aus der Perspektive des Verwaltungsservers zu überwachen. Der Agent kommuniziert über TCP-Port 5723 mit einem Verwaltungsserver.

Linux/UNIX-Agent

Die Architektur des Agents für UNIX und Linux unterscheidet sich erheblich von der Architektur eines Windows-Agents. Der Windows-Agent verfügt über einen Integritätsdienst, der für die Auswertung der Integrität des überwachten Computers zuständig ist. Der UNIX- und Linux-Agent führt keinen Integritätsdienst aus. stattdessen werden Informationen an den Integritätsdienst auf einem Verwaltungsserver übergeben, der ausgewertet werden soll. Der Verwaltungsserver führt sämtliche Workflows für die Überwachung der Integrität des Betriebssystems aus, die in unserer Implementierung der UNIX- und Linux-Management Packs definiert sind:

• Datenträger
• Prozessor
• Arbeitsspeicher
• Netzwerkadapter
• Betriebssystem
• Prozesse
• Protokolldateien

Die UNIX- und Linux-Agents für Operations Manager bestehen aus einem CIM-Objekt-Manager (d.h. einem CIM-Server) und einer Reihe von CIM-Anbietern. Der CIM-Objekt-Manager ist die Serverkomponente , die die WS-Management Kommunikation, Authentifizierung, Autorisierung und Verteilung von Anforderungen an die Anbieter implementiert. Die Anbieter sind das Schlüsselelement der CIM-Implementierung im Agent. Sie definieren die CIM-Klassen und -Eigenschaften, stellen die Schnittstelle mit den Kernel-APIs zum Abrufen von Rohdaten her, formatieren die Daten (z.B. durch Berechnen von Delta- und Durchschnittswerten) und verarbeiten die Anforderungen, die vom CIM-Objekt-Manager verteilt werden. Von System Center Operations Manager 2007 R2 bis System Center 2012 SP1 wird der OpenPegasus-Server als CIM-Objekt-Manager in den Operations Manager-Agents für UNIX und Linux verwendet. Die für die Sammlung und Berichterstellung von Überwachungsdaten verwendeten Anbieter werden von Microsoft entwickelt und im Open Source-Format auf CodePlex.com bereitgestellt.

In System Center 2012 R2 Operations Manager erfolgte eine wichtige Änderung: UNIX- und Linux-Agents basieren jetzt auf einer vollständig konsistenten Implementierung der Open Management Infrastructure (OMI) als CIM-Objekt-Manager. Im Fall der Operations Manager-Agents für UNIX/Linux wird OpenPegasus durch OMI ersetzt. Wie OpenPegasus ist OMI eine open-source-, einfache und portable CIM Object Manager-Implementierung – obwohl es leichter und tragbarer als OpenPegasus ist. Diese Implementierung wird in System Center 2016 – Operations Manager und höher weiterhin verwendet.

Die Kommunikation zwischen dem Verwaltungsserver und dem UNIX- und Linux-Agent ist in zwei Kategorien unterteilt: Agent-Wartung und Integritätsüberwachung. Der Verwaltungsserver verwendet zwei Protokolle, um mit einem UNIX- oder Linux-Computer zu kommunizieren:

• Secure Shell (SSH) und Secure Shell File Transfer Protocol (SFTP)

  Für Agent-Wartungstasks wie z.B. das Installieren, Aktualisieren und Entfernen von Agents.

• Web Services for Management (WS-Management)

  WS-Management wird für alle Überwachungsvorgänge und zum Ermitteln von bereits installierten Agents verwendet.

Die Kommunikation zwischen dem Operations Manager-Verwaltungsserver und dem UNIX- und Linux-Agent erfolgt mithilfe von WS-Man über HTTPS und die WinRM-Schnittstelle. Alle Agent-Wartungstasks werden über SSH an Port 22 ausgeführt. Die Integritätsüberwachung wird über WS-MAN an Port 1270 ausgeführt. Der Verwaltungsserver fordert Leistungs- und Konfigurationsdaten über WS-MAN an und wertet die Daten dann aus, um den Integritätsstatus bereitzustellen. Alle Aktionen wie z. B. Agentwartung, Monitore, Regeln, Tasks und Wiederherstellungen sind entsprechend ihrer jeweiligen Anforderung nach einem privilegierten oder nicht privilegierten Konto für die Verwendung vordefinierter Profile konfiguriert.

Hinweis

Alle in diesem Artikel erwähnten Anmeldeinformationen gehören zu Konten, die auf dem UNIX- oder Linux-Computer eingerichtet wurden. Sie gehören nicht zu den Operations Manager-Konten, die während der Installation von Operations Manager konfiguriert werden. Wenden Sie sich an Ihren Systemadministrator, um Anmelde- und Authentifizierungsinformationen zu erhalten.

Um die neuen Skalierbarkeitsverbesserungen im Hinblick auf die Anzahl von UNIX- und Linux-Systemen, die von System Center 2016 – Operations Manager und höher pro Verwaltungsserver überwacht werden können, zu unterstützen, stehen die neuen asynchronen Windows MI-APIs (Management Infrastructure) anstelle der standardmäßig verwendeten WSMAN-Synchronisierungs-APIs zur Verfügung. Um diese Änderung zu aktivieren, müssen Sie den neuen Registrierungsschlüssel UseMIAPI erstellen, damit Operations Manager zur Verwendung der neuen asynchronen MI-APIs auf Verwaltungsservern aktiviert wird, die Linux-/Unix-Systeme überwachen.

1. Öffnen Sie den Registrierungs-Editor über eine Eingabeaufforderung mit erhöhten Rechten.
2. Erstellen Sie den Registrierungsschlüssel UseMIAPI unter .

Wenn Sie die ursprüngliche Konfiguration mithilfe der WSMAN-Synchronisierung-APIs wiederherstellen müssen, können Sie den UseMIAPI-Registrierungsschlüssel löschen.

Agentsicherheit

Authentifizierung auf einem UNIX- oder Linux-Computer

In Operations Manager muss der Systemadministrator nun nicht mehr das Stammkennwort für den UNIX- oder Linux-Computer auf dem Verwaltungsserver angeben. Durch eine Erhöhung der Rechte kann nun von einem nicht privilegierten Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer angenommen werden. Die Erhöhung der Rechte wird unter Verwendung der Anmeldeinformationen, die vom Verwaltungsserver bereitgestellt werden, mithilfe der UNIX-Programme „su“ („Superuser“) und „sudo“ ausgeführt. Für Agentwartungsvorgänge mit erhöhten Rechten, von denen SSH verwendet wird (z. B. Ermittlung, Bereitstellung, Upgrades, Deinstallation und Agentwiederherstellung), werden „su“, die Erhöhung der Rechte mithilfe von „sudo“ und die SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) unterstützt. Für WS-Management-Vorgänge mit erhöhten Rechten (z. B. Anzeigen von sicheren Protokolldateien) wird nun zusätzlich die Erhöhung der Rechte mithilfe von „sudo“ (ohne Kennwort) unterstützt.

Weitere Anweisungen zum Angeben von Anmeldeinformationen und Konfigurieren von Konten finden Sie unter Festlegen von Anmeldeinformationen für den Zugriff auf UNIX- und Linux-Computer.

Authentifizierung mit Gatewayserver

Mithilfe von Gatewayservern wird die Agent-Verwaltung von Computern aktiviert, die sich außerhalb der Kerberos-Vertrauensgrenzen einer Verwaltungsgruppe befinden. Da sich der Gatewayserver in einer Domäne befindet, der von der Domäne, in der sich die Verwaltungsgruppe befindet, nicht vertrauenswürdig ist, müssen Zertifikate verwendet werden, um die Identität, den Agent, den Gatewayserver und den Verwaltungsserver jedes Computers festzulegen. Mit dieser Vorgehensweise ist die Operations Manager-Anforderung einer gegenseitigen Authentifizierung erfüllt.

Dies erfordert, dass Sie Zertifikate für jeden Agent anfordern, der Berichte für einen Gatewayserver erstellt, und diese Zertifikate mit dem Tool „MOMCertImport.exe“ auf den Zielcomputer importieren. Sie finden das Tool auf dem Installationsmedium im Verzeichnis „SupportTools\(amd64 oder x86)“. Sie benötigen Zugriff auf eine Zertifizierungsstelle (Ca), bei der es sich um eine öffentliche Zertifizierungsstelle wie VeriSign handeln kann, oder Sie können Microsoft-Zertifikatdienste verwenden.

Agent-Bereitstellung

System Center Operations Manager-Agents können mit einer der drei folgenden Methoden installiert werden. Bei den meisten Installationen wird zum Installieren verschiedener Gruppen von Computern je nach Bedarf eine Kombination dieser Methoden verwendet.

Hinweis

• Sie können MMA nicht auf einem Computer installieren, auf dem operations Manager-Verwaltungsserver, Gatewayserver, Betriebskonsole, Betriebsdatenbank, Webkonsole, System Center Essentials oder System Center Service Manager installiert ist, da die integrierte MMA-Version bereits installiert ist.
• Sie können nur MMA oder den Log Analytics-Agent (Version der VM-Erweiterung) verwenden.

• Ermittlung und Installation eines oder mehrerer Agents über die Betriebskonsole. Dies ist die häufigste Form der Installation. Ein Verwaltungsserver muss in der Lage sein, über einen Remoteprozeduraufruf (Remote Procedure Call, RPC) eine Verbindung mit dem Computer herzustellen, und entweder das Aktionskonto des Verwaltungsservers oder ein anderes Konto mit bereitgestellten Anmeldeinformationen muss über Administratorzugriff auf den Zielcomputer verfügen.
• Als Bestandteil des Installationsimages. Dies ist eine manuelle Installation in einem Basisimage, das für die Vorbereitung anderer Computer verwendet wird. In diesem Fall kann die Active Directory-Integration verwendet werden, um den Computer beim ersten Start automatisch zu einem Verwaltungsserver zuzuweisen.
• Manuelle Installation: Diese Methode wird verwendet, wenn der Agent nicht von einer der anderen Methoden installiert werden kann, z. B. wenn remote procedure call (RPC) aufgrund einer Firewall nicht verfügbar ist. Das Setup wird manuell auf dem Agent ausgeführt oder über ein vorhandenes Softwareverteilungstool bereitgestellt.

Agents, die mithilfe des Ermittlungs-Assistenten installiert werden, können über die Betriebskonsole verwaltet werden, z. B. das Aktualisieren von Agent-Versionen, das Anwenden von Patches und das Konfigurieren des Verwaltungsservers, an den der Agent berichte.

Für einen mit der manuellen Methode installierten Agent sind nur manuelle Updates möglich. Sie können die Active Directory-Integration verwenden, um Verwaltungsgruppen Agents zuzuweisen. Weitere Informationen finden Sie unter Integration von Active Directory und Operations Manager.

Wählen Sie die erforderliche Registerkarte aus, um mehr über die Agent-Bereitstellung für Windows- und UNIX- und LINUX-Systeme zu erfahren:

Agent-Bereitstellung auf einem Windows-System

Für die Ermittlung eines Windows-System müssen TCP-Port 135 (RPC), der RPC-Portbereich und TCP-Port 445 (SMB) offen bleiben und der SMB-Dienst auf dem Agent-Computer aktiviert sein.

• Nach der Ermittlung eines Zielgeräts kann die Bereitstellung eines entsprechenden Agents erfolgen. Für die Agent-Installation ist Folgendes erforderlich:
• Öffnen der RPC-Ports, beginnend mit der Endpunktzuordnung TCP 135, und des SMB-Ports (Server Message Block) TCP/UDP 445.
• Aktivieren der Dienste „Datei- und Druckerfreigabe für Microsoft-Netzwerke“ und „Client für Microsoft-Netzwerke“. (Dadurch wird sichergestellt, dass der SMB-Port aktiv ist.)
• Falls aktiviert, müssen die Windows-Firewall-Gruppenrichtlinieneinstellungen für die Optionen „Remoteverwaltungsausnahme zulassen“ und „Ausnahme für Datei- und Druckerfreigabe zulassen“ unter „Unerbetene eingehende Nachrichten zulassen von:“ auf die IP-Adresse und Subnetze des primären und sekundären Verwaltungsservers für den Agent festgelegt werden.
• Ein Benutzerkonto mit lokalen Administratorrechten auf dem Zielcomputer.
• Windows Installer 3.1 Informationen zur Installation finden Sie im Microsoft Knowledge Base-Artikel 893803 https://go.microsoft.com/fwlink/?LinkId=86322.
• Microsoft Core XML Services (MSXML) 6 im Unterverzeichnis „\msxml“ des Operations Manager-Produktinstallationsmediums. Bei der Push-Agent-Installation wird MSXML 6 auf dem Zielgerät installiert, sofern es noch nicht installiert ist.

Agent-Bereitstellung auf UNIX- und Linux-Systemen

In System Center Operations Manager verwendet der Verwaltungsserver zwei Protokolle, um mit einem UNIX- oder Linux-Computer zu kommunizieren:

• Secure Shell (SSH) zum Installieren, Aktualisieren und Entfernen von Agents.
• Web Services for Management (WS-Management) für alle Überwachungsvorgänge und zum Ermitteln bereits installierter Agents.

Das verwendete Protokoll ist von den Aktionen bzw. Informationen abhängig, die auf dem Verwaltungsserver angefordert werden. Alle Aktionen wie z. B. Agentwartung, Monitore, Regeln, Tasks und Wiederherstellungen sind entsprechend ihrer jeweiligen Anforderung nach einem privilegierten oder nicht privilegierten Konto für die Verwendung vordefinierter Profile konfiguriert.

Hinweis

Alle in diesem Thema erwähnten Anmeldeinformationen betreffen Konten, die auf dem UNIX- oder Linux-Computer eingerichtet wurden. Sie betreffen nicht die Operations Manager-Konten, die während der Installation von Operations Manager konfiguriert werden. Wenden Sie sich an Ihren Systemadministrator, um Anmelde- und Authentifizierungsinformationen zu erhalten.

Durch eine Erhöhung der Rechte kann ein nicht privilegiertes Konto die Identität eines privilegierten Kontos auf dem UNIX- oder Linux-Computer annehmen. Die Erhöhung der Rechte wird unter Verwendung der Anmeldeinformationen, die vom Verwaltungsserver bereitgestellt werden, mithilfe der UNIX-Programme „su“ („Superuser“) und „sudo“ ausgeführt. Für Agent-Wartungsvorgänge mit erhöhten Rechten, von denen SSH verwendet wird (z.B. Ermittlung, Bereitstellung, Upgrades, Deinstallation und Agent-Wiederherstellung), werden „su“, die Erhöhung der Rechte mithilfe von „sudo“ und die SSH-Schlüsselauthentifizierung (mit oder ohne Passphrase) bereitgestellt. Für WS-Management-Vorgänge mit erhöhten Rechten (z.B. Anzeigen von sicheren Protokolldateien) wird zusätzlich die Erhöhung der Rechte mithilfe von „sudo“ (ohne Kennwort) unterstützt.

Active Directory-basierte Agent-Zuweisung

Mit System Center Operations Manager können Sie von Ihrer Investition in die Active Directory Domain Services (AD DS) profitieren, indem Sie mit Agents verwaltete Computer über AD DS zu Verwaltungsgruppen zuweisen. Dieses Feature wird häufig mit dem Agent verwendet, der als Teil eines Buildprozesses für die Serverbereitstellung bereitgestellt wird. Wenn der Computer zum ersten Mal online geschaltet wird, fragt der Operations Manager-Agent Active Directory nach der primären und Failover-Verwaltungsserverzuweisung und beginnt automatisch mit der Überwachung des Computers.

So weisen Sie einer Verwaltungsgruppe unter Verwendung von AD DS Computer zu

• Die Funktionsebenen der AD DS-Domänen müssen Windows 2008 (einheitlich) oder höher entsprechen.
• Mit Agents verwaltete Computer sowie alle Verwaltungsserver müssen sich in derselben Domäne oder in Domänen mit bidirektionaler Vertrauensstellung befinden.

Hinweis

Ein Agent, der bestimmt, dass er auf einem Domänencontroller installiert ist, fragt Active Directory keine Konfigurationsinformationen ab. Dies geschieht aus Sicherheitsgründen. Die Active Directory-Integration ist auf Domänencontrollern standardmäßig deaktiviert, da der Agent in einem lokalen Systemkonto ausgeführt wird. Das lokale Systemkonto auf einem Domänencontroller verfügt über Domänenadministratorrechte und erkennt daher alle in Active Directory registrierten Verwaltungsserver-Dienstverbindungspunkte, unabhängig von der Mitgliedschaft des Domänencontrollers in der Sicherheitsgruppe. Aus diesem Grund versucht der Agent, mit allen Verwaltungsservern in allen Verwaltungsgruppen eine Verbindung herzustellen. Die Ergebnisse sind nicht vorhersehbar und stellen daher ein Sicherheitsrisiko dar.

Die Agent-Zuweisung erfolgt über einen Dienstverbindungspunkt (Service Connection Point, SCP), bei dem es sich um ein Active Directory-Objekt für die Veröffentlichung von Informationen handelt, die Clientanwendungen zur Bindung an einen Dienst verwenden können. Dieser wird von einem Domänenadministrator erstellt, der das Befehlszeilenprogramm MOMADAdmin.exe ausführt, um einen AD DS-Container für eine Operations Manager-Verwaltungsgruppe in den Domänen der zu verwalteten Computer zu erstellen. Der AD DS-Sicherheitsgruppe, die beim Ausführen MOMADAdmin.exe angegeben wird, werden die Berechtigungen "Lesen" und "Untergeordnetes Element löschen" für den Container gewährt. Der Dienstverbindungspunkt enthält Informationen zur Verbindung mit dem Verwaltungsserver, einschließlich des vollqualifizierten Domänennamens und der Portnummer des Servers. Operations Manager-Agents können Verwaltungsserver durch Abfragen von SCPs automatisch ermitteln. Vererbung ist nicht deaktiviert, und da ein Agent die in AD registrierten Integrationsinformationen lesen kann, wenn Sie erzwingen, dass die Gruppe Jeder alle Objekte auf der Stammebene in Active Directory liest, wird dies die AD-Integrationsfunktionalität erheblich beeinträchtigen und im Wesentlichen unterbrechen. Wenn Sie explizit die Vererbung innerhalb des gesamten Verzeichnisses erzwingen, indem Sie der Gruppe „Jeder“ Leseberechtigung erteilen, müssen Sie diese Vererbung im AD-Integrationscontainer auf oberster Ebene, OperationsManager, und für alle untergeordneten Objekte blockieren.  Wenn Sie dies nicht tun, funktioniert die AD-Integration nicht wie vorgesehen, und Sie verfügen nicht über eine zuverlässige und konsistente Primäre und Failoverzuweisung für Agents, die bereitgestellt werden. Sollten Sie zufällig mehr als eine Verwaltungsgruppe haben, sind alle Agents beider Gruppen mehrfach vernetzt. 

Dieses Feature funktioniert gut für die Steuerung der Agent-Zuweisung in einer verteilten Verwaltungsgruppenbereitstellung, um zu verhindern, dass Agents Berichte an speziell für Ressourcenpools zuständige Verwaltungsserver oder an Verwaltungsserver in einem sekundären Rechenzentrum in einer Konfiguration mit betriebsbereiten Standbyservern senden. Dadurch wiederum wird ein Agent-Failover während des normalen Betriebs verhindert.

Das Konfigurieren der Agentzuweisung wird von einem Administrator von Operations Manager mithilfe des Agentzuordnungs- und Failover-Assistenten verwaltet, um Computern primären und sekundären Verwaltungsservern zuzuweisen.

Hinweis

Die Active Directory-Integration ist für Agents, die über die Betriebskonsole installiert wurden, deaktiviert. Standardmäßig ist die Active Directory-Integration für manuell mit "MOMAgent.msi" installierte Agents aktiviert.

Nächste Schritte

• Weitere Informationen zur Installation des Windows-Agents aus der Betriebskonsole finden Sie unter Agentinstallation unter Windows mithilfe des Ermittlungs-Assistenten; Informationen zur Installation des Agents aus der Befehlszeile finden Sie unter Manuelles Installieren des Windows-Agents mithilfe von „MOMAgent.msi“.

• Informationen zum Installieren von Linux und UNIX über die Betriebskonsole finden Sie unter Installieren des Agents unter UNIX und Linux mithilfe des Ermittlungs-Assistenten.

• Informationen zum Erstellen des Containers in Active Directory, zum Konfigurieren der Agentfailoverzuweisung und zum Verwalten der Konfiguration finden Sie unter Konfigurieren und Verwenden der Active Directory-Integration für die Agentzuweisung.