Megosztás a következőn keresztül:


Operations Manager-ügynökök

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

A System Center Operations Managerben az ügynök egy olyan szolgáltatás, amely egy olyan számítógépre van telepítve, amely konfigurációs adatokat keres, és proaktívan gyűjti az elemzési és jelentéskészítési adatokat, méri a figyelt objektumok állapotát, például egy SQL-adatbázist vagy logikai lemezt, és igény szerint végrehajtja a feladatokat egy operátortól, vagy egy feltételre reagálva. Lehetővé teszi, hogy az Operations Manager monitorozza a Windows, Linux és UNIX operációs rendszereket, valamint a rajtuk telepített informatikai szolgáltatások összetevőit, például egy webhelyet vagy egy Active Directory-tartományvezérlőt.

Windows-ügynök

Egy figyelt Windows-számítógépen az Operations Manager-ügynök a Microsoft Monitoring Agent (MMA) szolgáltatásként jelenik meg. A Microsoft Monitoring Agent szolgáltatás gyűjti az eseményeket és a teljesítményadatokat, illetve végrehajtja a feladatokat és a felügyeleti csomagban meghatározott más munkafolyamatokat. Még ha a szolgáltatás nem is tud kommunikálni a felügyeleti kiszolgálóval és jelentéseket küldeni, akkor is tovább fut, és a figyelt számítógép lemezén várakoztatja a gyűjtött adatokat és eseményeket. Ha a kapcsolat helyreáll, a Microsoft Monitoring Agent szolgáltatás elküldi az összegyűjtött adatokat és eseményeket a felügyeleti kiszolgálónak.

Megjegyzés

  • A Microsoft Monitoring Agentet állapotfigyelő szolgáltatásnak is nevezik.

A Microsoft Monitoring Agent felügyeleti kiszolgálókon is fut. A felügyeleti kiszolgálókon a szolgáltatás felügyeleti munkafolyamatokat futtat és hitelesítő adatokat kezel. A munkafolyamatok futtatásához a szolgáltatás megadott hitelesítő adatok használatával kezdeményez MonitoringHost.exe folyamatokat. Ezek a folyamatok figyelik és gyűjtik az eseménynapló és a teljesítményszámláló adatait, illetve a Windows Management Instrumentation (WMI) adatait, valamint műveleteket, például parancsprogramokat futtatnak.

Az ügynökök és a felügyeleti kiszolgálók közötti kommunikáció

Az Operations Manager-ügynök riasztási és felderítési adatokat küld a hozzárendelt elsődleges felügyeleti kiszolgálóra, amely az adatokat az operatív adatbázisba írja. Az ügynök emellett a hozzá tartozó esemény-, teljesítmény- és állapotadatokat is továbbítja az elsődleges felügyeleti kiszolgálóra, amely az adatokat egyidejűleg az operatív és az adatraktár-adatbázisba írja.

Az ügynök az adatokat az egyes szabályok és figyelők ütemezési paramétereinek megfelelően küldi. A gyűjtési szabályok optimalizálása érdekében az adatok csak akkor továbbítódnak, ha egy adott számlálóból vett minta meghatározott mértékben, például 10%-kal eltér az előző mintától. Ez elősegíti a hálózati forgalom, valamint az operatív adatbázisban tárolt adatok mennyiségének csökkentését.

Emellett az ügynökök a szívverésként ismert adatcsomagot is továbbítják rendszeres időközönként (alapértelmezés szerint 60 másodpercenként) a felügyeleti kiszolgálónak. A szívverés célja az ügynök rendelkezésre állásának, illetve az ügynök és a felügyeleti kiszolgáló közötti kommunikációnak az érvényesítése. A szívveréssel kapcsolatban további tájékoztatásért lásd: A szívverések működése az Operations Manager programban.

Az Operations Manager minden ügynökhöz futtat egy állapotfigyelő szolgáltatást, amely a távoli állapotfigyelő szolgáltatás állapotát figyeli a felügyeleti kiszolgáló szemszögéből. Az ügynök a 5723-as TCP-porton kommunikál a felügyeleti kiszolgálóval.

Az ügynök és a felügyeleti kiszolgáló közötti kommunikáció illusztrációja.

Linux-/UNIX-ügynök

A UNIX- és Linux-ügynök architektúrája jelentősen eltér a Windows-ügynöktől. A Windows-ügynök esetében az állapotfigyelő szolgáltatás felelős a figyelt számítógép állapotának ellenőrzéséért. A UNIX- és Linux-ügynök nem futtat állapotszolgáltatást; ehelyett adatokat ad át az állapotfigyelő szolgáltatásnak egy kiértékelendő felügyeleti kiszolgálón. A felügyeleti kiszolgáló a UNIX- és Linux-felügyeleti csomagok implementációjában meghatározott operációsrendszer-állapot monitorozására szolgáló összes munkafolyamatot futtatja:

  • Lemez
  • Processzor
  • Memória
  • Hálózati adapterek
  • Operációs rendszer
  • Folyamatok
  • Naplófájlok

Az Operations Manager UNIX- és Linux-ügynökei EGY CIM Object Managerből (azaz CIM-kiszolgálóból) és CIM-szolgáltatók készletéből állnak. A CIM Object Manager az a kiszolgálói összetevő, amely implementálja a kérések WS-Management kommunikációját, hitelesítését, engedélyezését és küldését a szolgáltatóknak. A szolgáltatók az ügynök CIM-implementációjának kulcsai, a CIM-osztályok és -tulajdonságok meghatározása, a kernel API-kkal való együttműködés a nyers adatok lekéréséhez, az adatok formázásához (például a különbözetek és az átlagok kiszámításához), valamint a CIM Object Managerből küldött kérések kiszolgálása. A System Center Operations Manager 2007 R2 és a System Center 2012 SP1 közötti verziókban az Operations Manager UNIX- és Linux-ügynökei az OpenPegasus kiszolgálót használták CIM objektumkezelőként. A figyelési adatok gyűjtésére és jelentésére használt szolgáltatókat a Microsoft fejlesztette ki, ezek nyílt forráskóddal elérhetők a CodePlex.com webhelyen.

Az Operations Manager UNIX/Linux-ügynök szoftverarchitektúrájának illusztrációja.

Ez megváltozott a System Center 2012 R2 Operations Managerben, ahol a UNIX- és Linux-ügynökök mostantól az Open Management Infrastructure (OMI) cim-objektumkezelőként történő teljes körű implementálásán alapulnak. Az Operation Manager UNIX-/Linux-ügynökeinél az OMI váltja fel az OpenPegasust. Az OpenPegasushoz hasonlóan az OMI is egy nyílt forráskódú, könnyű és hordozható CIM Object Manager-implementáció – bár könnyebb és hordozhatóbb, mint az OpenPegasus. Ez az implementáció továbbra is a System Center 2016 – Operations Manager és újabb verziókban lesz alkalmazva.

Az Operations Manager UNIX/Linux-ügynök frissített szoftverarchitektúrájának ábrája.

A felügyeleti kiszolgáló és a UNIX- és Linux-ügynök közötti kommunikáció két kategóriába sorolható: az ügynök karbantartása és az állapotmonitorozás. A felügyeleti kiszolgálók két protokollt használnak a UNIX vagy Linux rendszerű számítógépekkel való kommunikációra:

  • Secure Shell (SSH) és Secure Shell File Transfer Protocol (SFTP)

    Az ügynök karbantartásával kapcsolatos feladatokra használatos (például az ügynök telepítése, frissítése vagy eltávolítása).

  • Web Services for Management (WS-Management)

    Ez használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.

Az Operations Manager felügyeleti kiszolgáló és a UNIX- és Linux-ügynök közötti kommunikáció WS-Man használ HTTPS-en és a WinRM-felületen keresztül. Az ügynök karbantartási feladatai a 22-es porton, SSH protokollal zajlanak. Az állapotfigyelés a WS-MAN protokollal, az 1270-es porton történik. A felügyeleti kiszolgáló a WS-MAN segítségével lekéri a teljesítmény- és konfigurációs adatokat, kiértékeli az adatokat, és meghatározza az állapotot. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.

Megjegyzés

A cikkben említett összes hitelesítő adat a UNIX vagy Linux rendszerű számítógépen létrehozott fiókokra vonatkozik, nem pedig az Operations Manager telepítése során konfigurált Operations Manager-fiókokra. A hitelesítő adatokért és a hitelesítéssel kapcsolatos információkért lépjen kapcsolatba a rendszergazdával.

Az új méretezhetőségi fejlesztések támogatása érdekében a System Center 2016 – Operations Manager unix- és Linux-rendszerek számával, valamint a felügyeleti kiszolgálónkénti monitorozással a WSMAN Sync API-k helyett az új Async Windows Management Infrastructure (MI) API-k érhetők el, amelyek alapértelmezés szerint használatban vannak. A módosítás engedélyezéséhez létre kell hoznia a UseMIAPI új beállításkulcsot, hogy az Operations Manager az új Async MI API-kat a Linux/Unix rendszereket figyelő felügyeleti kiszolgálókon használja.

  1. Nyissa meg a Beállításjegyzék Szerkesztő egy emelt szintű parancssorból.
  2. Hozza létre a UseMIAPI beállításkulcsot a alatt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Ha vissza kell állítania az eredeti konfigurációt a WSMAN Sync API-kkal, törölheti a UseMIAPI beállításkulcsot.

Az ügynök biztonságossága

Hitelesítés UNIX vagy Linux rendszerű számítógépen

Az Operations Managerben a rendszergazdának már nem kell megadnia a UNIX vagy Linux rendszerű számítógép gyökérjelszóját a felügyeleti kiszolgálónak. Egy nem rendszer-jogosultságú fiók jogosultságiszint-emeléssel felveheti egy rendszer-jogosultságú fiók identitását a UNIX vagy Linux rendszerű számítógépen. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják. Azon kiemelt ügynök-karbantartási műveletek esetén, amelyek SSH-t használnak (pl. felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása. A rendszer-jogosultságú WS-Management műveletekhez (pl. biztonságos naplófájlok megtekintése) hozzá lett adva a sudo jogosultságiszint-emelés (jelszó nélkül).

A hitelesítő adatok megadásáról és a fiókok konfigurálásáról a következő cikkben olvashat részletes útmutatást: How to Set Credentials for Accessing UNIX and Linux Computers (A UNIX- és Linux-számítógépek elérésére használható hitelesítő adatok beállítása).

Hitelesítés az átjárókiszolgálóval

Az átjárókiszolgálók a felügyeleti csoport Kerberos-megbízhatósági határán kívül eső számítógépek ügynökfelügyeletének engedélyezésére szolgálnak. Mivel az átjárókiszolgáló olyan tartományban található, amelyben a felügyeleti csoport nem megbízható, tanúsítványokat kell használni az egyes számítógépek identitásának, ügynökének, átjárókiszolgálójának és felügyeleti kiszolgálójának létrehozásához. Ezzel biztosítható az Operations Manager kölcsönös hitelesítésre vonatkozó követelménye.

Ehhez minden olyan ügynökhöz tanúsítványokat kell kérnie, amelyek egy átjárókiszolgálónak jelentenek majd, és importálják ezeket a tanúsítványokat a célszámítógépre a SupportTools\ (amd64 vagy x86) telepítési adathordozón található MOMCertImport.exe eszközzel. Hozzáféréssel kell rendelkeznie egy hitelesítésszolgáltatóhoz (CA), amely lehet nyilvános hitelesítésszolgáltató, például a VeriSign, vagy használhatja a Microsoft Tanúsítványszolgáltatásokat.

Ügynök telepítése

A System Center Operations Manager-ügynökök az alábbi három módszer egyikével telepíthetők. A legtöbb esetben ezek kombinációját használják, hiszen a különböző számítógépeknél más-más módszerre lehet szükség.

Megjegyzés

  • Az MMA nem telepíthető olyan számítógépre, amelyen telepítve van az Operations Manager felügyeleti kiszolgálója, az átjárókiszolgáló, az operatív konzol, az operatív adatbázis, a webkonzol, a System Center Essentials vagy a System Center Service Manager , mivel már telepítve van az MMA beépített verziója.
  • Csak MMA- vagy Log Analytics-ügynököt használhat (virtuálisgép-bővítmény verziója).
  • Az ügynökök felderítése és telepítése az operatív konzolról. Ez a leggyakoribb telepítési megoldás. A felügyeleti kiszolgálónak RPC protokollal csatlakoznia kell a számítógéphez, és a felügyeleti kiszolgáló műveleti vagy más fiókjának rendszergazdai hozzáféréssel kell rendelkeznie a kérdéses számítógéphez.
  • Felvétel a telepítési rendszerképbe. Ez egy más számítógépek előkészítésére szolgáló alapképet használó manuális telepítési megoldás. Ebben az esetben az Active Directory-integráció segítségével beállíthatja, hogy a rendszer automatikusan egy felügyeleti kiszolgálóhoz rendelje a számítógépet az első indításkor.
  • Manuális telepítés. Ezt a módszert akkor használja a rendszer, ha az ügynököt nem lehet telepíteni a többi módszer egyikével, például ha a távoli eljáráshívás (RPC) egy tűzfal miatt nem érhető el. Ilyenkor manuálisan kell elindítani az ügynök telepítését, vagy egy meglévő szoftverterjesztési eszköz segítségével kell központilag telepíteni az ügynököt.

A Felderítés varázslóval telepített ügynökök kezelhetők az operatív konzolról, például az ügynökverziók frissítésével, javítások alkalmazásával és az ügynök által jelentéssel megadott felügyeleti kiszolgáló konfigurálásával.

Ha az ügynököt kézzel telepíti, akkor annak frissítését is kézzel kell elvégezni. Az Active Directory-integrációval ügynököket rendelhet a felügyeleti csoportokhoz. További információk: Az Active Directory és az Operations Manager integrációja.

Válassza a szükséges lapot, hogy többet tudjon meg az ügynök Windows, UNIX és LINUX rendszereken történő üzembe helyezéséről:

A Windows-rendszerek felderítéséhez nyitva kell lennie a TCP 135-ös (RPC), az RPC-tartományba tartozó, valamint a TCP 445-ös (SMB) portoknak, illetve az ügynökszámítógépen engedélyezni kell az SMB szolgáltatást.

  • A céleszközökre a felderítésük után telepíteni lehet az ügynököt. Az ügynök telepítéséhez a következőkre van szükség:
  • A távoli eljáráshívás (RPC) portjainak megnyitása, kezdve a végpontleképező 135-ös TCP-porttal, valamint a kiszolgálói üzenetblokk (SMB) 445-ös TCP/UDP-portjának megnyitása.
  • A Fájl- és nyomtatómegosztás Microsoft Networkshöz és a Microsoft Networks ügyfél szolgáltatás engedélyezése. (Ez gondoskodik róla, hogy az SMB-port aktív legyen.)
  • Ha engedélyezve vannak a Windows tűzfal csoportházirend-beállításai, a Távfelügyeleti kivétel engedélyezése és a Fájl- és nyomtatómegosztási kivétel engedélyezése elemnél a „Kéretlen bejövő üzenetek engedélyezése a következő címről” értékként meg kell adni az ügynököt kezelő elsődleges és másodlagos felügyeleti kiszolgáló IP-címét és alhálózatát.
  • A célszámítógépen helyi rendszergazdai jogokkal rendelkező fiók.
  • Windows Installer 3.1. A telepítéshez tekintse meg a Microsoft Tudásbázis 893803 című cikkét. https://go.microsoft.com/fwlink/?LinkId=86322
  • Microsoft Core XML Services (MSXML) 6, amely megtalálható az Operations Manager telepítő adathordozójának\msxml alkönyvtárában. A leküldéses ügynök telepítése telepíti az MSXML 6-ot a céleszközre, ha még nincs telepítve.

Active Directory-alapú ügynök-hozzárendelése

A System Center Operations Manager lehetővé teszi, hogy kihasználja a Active Directory tartományi szolgáltatások (AD DS) befektetését, mivel lehetővé teszi, hogy ügynök által felügyelt számítógépeket rendeljen hozzá felügyeleti csoportokhoz. Ezt a funkciót gyakran használják a kiszolgálótelepítési buildelési folyamat részeként üzembe helyezett ügynökkel. Amikor a számítógép először csatlakozik a hálózathoz, az Operations Manager-ügynök lekéri az Active Directoryból az elsődleges és feladatátvételi felügyeletikiszolgáló-hozzárendelést, és automatikusan elindítja a számítógép figyelését.

A számítógépek hozzárendelése a felügyeleti csoportokhoz az AD DS segítségével:

  • Az AD DS-tartománynak Windows 2008 natív vagy magasabb működési szinten kell lennie.
  • Az ügynökkel felügyelt számítógépeknek és a felügyelt kiszolgálóknak ugyanahhoz a tartományhoz vagy két mindkét irányból megbízható tartományhoz kell csatlakozniuk.

Megjegyzés

A tartományvezérlőre telepített ügynök konfigurációs információkért nem kérdezi le az Active Directoryt. Ez biztonsági okokból van így. Az Active Directory-integráció a tartományvezérlőkön alapértelmezés szerint le van tiltva, mivel az ügynök a helyi rendszerfiók alatt fut. A tartományvezérlő helyi rendszerfiókja tartományvezérlői jogosultságokkal rendelkezik; ezért észleli az Active Directoryban regisztrált összes felügyeleti kiszolgálói szolgáltatáskapcsolati pontot, függetlenül a tartományvezérlő biztonsági csoporttagságától. Ennek eredményeképpen az ügynök megpróbál csatlakozni az összes felügyeleti csoport összes felügyeleti kiszolgálójára. Ez váratlan eredménnyel járhat, ami biztonsági kockázatnak számít.

Az ügynökök hozzárendelése egy szolgáltatáskapcsolati pont (SCP) segítségével történik. Ez olyan Active Directory-objektum, amely közzéteszi az ügyfélalkalmazások által a szolgáltatások kötéséhez használható adatokat. Ezt egy tartományi rendszergazda hozza létre, amely a MOMADAdmin.exe parancssori eszközt futtatja, hogy létrehozhasson egy AD DS-tárolót egy Operations Manager felügyeleti csoport számára az általa felügyelt számítógépek tartományaiban. A MOMADAdmin.exe futtatásakor megadott AD DS biztonsági csoport olvasási és gyermektörlési engedélyeket kap a tárolóhoz. Az SCP a felügyeleti kiszolgáló csatlakozási adatait tartalmazza, beleértve a kiszolgáló teljes tartománynevét és portszámát. Az Operations Manager-ügynökök az SCP-k lekérdezésével képesek automatikusan felfedezni a felügyeleti kiszolgálókat. Az öröklődés nincs letiltva, és mivel az ügynök be tudja olvasni az AD-ben regisztrált integrációs adatokat, ha a Mindenki csoportnak az Active Directory gyökérszintű összes objektumának olvasására kényszeríti az öröklődést, az súlyosan befolyásolja és lényegében megszakítja az AD-integráció működését. Ha explicit módon kényszeríti az öröklést a teljes könyvtárban a Mindenki csoport olvasási engedélyének megadásával, ezt az öröklődést az OperationsManager nevű legfelső szintű AD-integrációs tárolóban és az összes gyermekobjektumban kell letiltania.  Ha ezt nem teszi meg, az AD-integráció nem a tervezett módon fog működni, és nem lesz megbízható és konzisztens elsődleges és feladatátvételi hozzárendelése az üzembe helyezett ügynökökhöz. Továbbá ha több felügyeleti csoport is van, akkor mindkét csoport minden ügynöke többhelyű lesz. 

Ez a funkció kiválóan alkalmas elosztott felügyeleti csoportokat használó rendszerekben az ügynökök hozzárendelésének szabályozására: megakadályozható vele, hogy az ügynökök olyan felügyeleti kiszolgálóknak jelentsenek, amelyek dedikált erőforráskészletként vagy másodlagos adatközpontok üzemi tartalékaként működnek, így elkerülhető, hogy az ügynökök a normál működés részeként feladatátvételt hajtsanak végre.

Az ügynök-hozzárendelés konfigurációját egy Operations Manager-rendszergazda végzi azzal, hogy az Ügynök-hozzárendelés és Feladatátvétel varázsló segítségével hozzárendeli a számítógépeket egy elsődleges és egy másodlagos felügyeleti kiszolgálóhoz.

Megjegyzés

Az operatív konzolról telepített ügynökök esetében a rendszer letiltja az Active Directory-integrációt. A MOMAgent.msi segítségével, kézzel telepített ügynökök esetében alapesetben engedélyezve van az Active Directory-integráció.

Következő lépések