System Center の準備 - Service Manager展開

System Center - Service Manager の展開を開始する前に、Active Directory Domain Services (AD DS) にユーザーのグループを作成し、セットアップ プロセス中に使用されるドメイン アカウントを作成または識別します。 ドメイン アカウントが、Service Managerの適切な操作に必要な適切なグループのメンバーであることを確認します。 Service Managerと Operations Manager を同じサーバーにインストールする場合は、次の点に注意してください。

• Operations Manager は、データベース サーバーをService Managerと共有できます。

• Operations Manager エージェントは、Service Managerの一部として自動的にインストールされます。 セットアップが完了したら、Operations Manager 管理サーバーで使用するようにエージェントを手動で構成する必要があります。

  Operations Manager エージェントがインストールされたことを検証するには、コントロール パネルを開き、Operations Manager エージェントが存在することを確認します。

• Operations Manager コンソールと Service Manager コンソールの両方を同じコンピューターにインストールできます。 コンソールをインストールする順序は関係ありません。

• Operations Manager と Service Managerの両方に同じSQL Server Reporting Services (SSRS) インスタンスを使用しないでください。

セットアップを実行する前のアカウントに関する考慮事項

Service Managerのセットアップを実行する前に、次のセクションを確認して、Service Managerのインストールに必要な要件が満たされていることを確認します。 セットアップ中に、ドメイン ユーザーまたはグループにさまざまなService Manager機能を提供するように求められます。 この情報を確認して、セットアップ プロセスの準備ができていることを確認します。

Service Managerのインストール時に使用されるアカウント

このセクションでは、Service Manager管理サーバーとコンソール データベースService Managerインストールするとき、およびService Manager管理グループを Service Manager のデータ ウェアハウス管理グループに登録するときに必要なアクセス許可について説明します。

注意

セットアップの実行に使用するアカウントは、Service Managerで自動的に管理者になります。

必要なアクセス許可の詳細については、必要なタブを選択します。

Service Manager管理サーバー

Service Manager管理サーバーをインストールする場合は、次のアクセス許可が必要です。

• セットアップを実行するコンピューターのローカル管理者
• リモート コンピューター上にある場合は、Service Manager データベースをホストするコンピューターのローカル管理者
• ログオン ユーザーがドメイン アカウントであること
• Service Manager データベースが作成されているSQL Server インスタンスの Sysadmin SQL Server ロール

コンソールService Manager

Service Manager コンソールをインストールするときは、次のアクセス許可が必要です。

• セットアップを実行するコンピューターのローカル管理者

データ ウェアハウス管理サーバー

データ ウェアハウス管理サーバーをインストールするときは、次のアクセス許可が必要です。

• セットアップを実行するコンピューターのローカル管理者
• リモート コンピューター上にある場合は、データ ウェアハウス データベースをホストするコンピューターのローカル管理者
• ログイン ユーザーがドメイン アカウントであること
• サイト レベル (ルート) の SQL Server Reporting Services (SSRS) のコンテンツ マネージャー ロール
• データ ウェアハウス データベースを作成する SQL Server インスタンスの sysadmin SQL Server ロール

SQL Server Reporting Services

SSRS をインストールするときは、次のアクセス許可が必要です。

データ ウェアハウス管理サーバーをホストするコンピューター上の \Program Files\Microsoft SQL Server\Instance Name\Reporting Services\ReportServer\Bin フォルダーにバイナリ ファイルを配置するためのアクセス許可。

データ ウェアハウスへのService Managerの登録

データ ウェアハウスにService Managerを登録するときは、次のアクセス許可が必要です。

• Service Manager データベースをホストしているインスタンスに対する Sysadmin またはセキュリティ管理者のSQL Serverロール
• データ ウェアハウス データベースをホストするインスタンスの sysadmin またはセキュリティ管理者 SQL Server ロール
• Service Manager管理サーバーのService Manager Administrators ユーザー ロールのメンバーシップ
• データ ウェアハウス管理サーバーのService Manager管理者ユーザー ロールのメンバーシップ

Service Managerをインストールするときに必要なアカウント

Service Managerおよびデータ ウェアハウス管理サーバーのインストール中に、次の表のアカウントの資格情報を指定する必要があります。

注意

Service Managerのインストールに必要なユーザー アカウントとグループ アカウントは、Active Directory Domain Services (AD DS) のユーザー組織単位 (OU) に存在する必要があります。

Service Manager管理サーバーのインストール時に使用されるアカウント

Account	アクセス許可	Service Managerでの使用方法
管理グループ管理者	- ドメイン ユーザーまたはグループである必要があります。 大事な：初期Service Manager管理サーバーのインストール中にコンピューターにログインしているユーザー アカウントは、このグループに自動的に追加されます。	- Service Manager Administrators ユーザー ロールに追加されました。
Service Manager サービス アカウント	- ドメイン ユーザーまたはグループである必要があります。 - ローカル管理者のメンバーである必要があります。 - サービスとしてログオンする必要があります。 これらのアクセス許可を設定するには、[セキュリティ設定][ローカル ポリシー][ユーザー権利の>割り当て] > を使用します。 Optional: - バッチ ジョブとしてのログオンを拒否する - リモート デスクトップ サービスを使用してログオンを拒否します。	- オペレーション システム アカウントになります。 - System Center Data Access Service のログオン アカウントに割り当てられます。 - System Center Management Configuration サービスのログオン アカウントに割り当てられます。 - Service Manager データベースのsdk_usersおよびconfigsvc_users データベース ロールのメンバーになります。 - これら 2 つのサービスの資格情報を変更する場合は、新しいアカウントに ServiceManager データベースに SQL ログインがあり、このアカウントが Builtin\Administrators グループのメンバーであることを確認します。
ワークフロー アカウント	- ドメイン ユーザーまたはグループである必要があります。 - 電子メールを送信するためのアクセス許可を持っている必要があり、簡易メール転送プロトコル (SMTP) サーバー上にメールボックスが必要です (電子メール インシデント機能に必要)。 - Users ローカル セキュリティ グループのメンバーである必要があります。 - 機能の電子メール通知を適切に行うには、Service Manager Administrators ユーザー ロールのメンバーにする必要があります。 ドメイン ユーザーまたはドメイン グループ - ローカル管理者のメンバーである必要があります。 - サービスとしてログオンする必要があります。 これらのアクセス許可を設定するには、[セキュリティ設定][ローカル ポリシー][ユーザー権利の>割り当て] > を使用します。 Optional: -バッチ ジョブとしてのログオンを拒否する -リモート デスクトップ サービスを使用してログオンを拒否します。	- このアカウントはすべてのワークフローに使用され、Service Manager ワークフロー ユーザー ロールのメンバーになります。

アカウントのセキュリティのベスト プラクティス

Service Manager実行アカウントで使用する Active Directory アカウントを割り当てる場合は、サービス アカウントを使用することをお勧めします。 個人に関連付けられている Active Directory ユーザー アカウントは使用しないでください。

セキュリティのベスト プラクティスの詳細については、Windows Server セキュリティ コンプライアンス管理ツールキットの一部である Windows Server セキュリティ ガイドのコピーをダウンロードしてください。

データ ウェアハウス管理サーバーをインストールするときに使用されるアカウント

Account	アクセス許可	Service Managerでの使用方法
管理グループ管理者	- ドメイン ユーザーまたはグループである必要があります。	- データ ウェアハウス管理者のユーザー ロールに追加されました。
Service Manager サービス アカウント	- ドメイン ユーザーまたはグループである必要があります。 - データ ウェアハウス管理サーバーのローカル管理者のメンバーである必要があります。 - Service Manager管理サーバー サービス アカウントに使用したアカウントと同じである必要があります。	- データ ウェアハウス システムの実行アカウントになります。 - ServiceManager SDK サービス アカウントに割り当てられます。 - ServiceManager Config アカウントに割り当てられます。 - DWDataMart データベースのsdk_usersおよびconfigsvc_usersデータベース ロールのメンバーになります。 - DWRepository データベースのdb_datareader データベース ロールのメンバーになります。 - Service Manager データベースのconfigsvc_users データベース ロールのメンバーになります。
レポート アカウント	- ドメイン アカウントである必要があります。 - サービスとしてログオンする必要があります。 これらのアクセス許可を設定するには、[セキュリティ設定][ローカル ポリシー][ユーザー権利の>割り当て] > を使用します。 Optional: - バッチ ジョブとしてのログオンを拒否する - リモート デスクトップ サービスを使用してログオンを拒否します。	- レポート用のデータを取得するために DWDataMart データベースにアクセスするために、SQL Server Reporting Services (SSRS) によって使用されます。 - DWDataMart データベースのdb_datareader データベース ロールのメンバーになります。 - DWDatamart データベースの reportuser データベース ロールのメンバーになります。
Analysis Services アカウント	- ドメイン アカウントである必要があります。 - サービスとしてログオンする必要があります。 これらのアクセス許可を設定するには、[セキュリティ設定][ローカル ポリシー][ユーザー権利の>割り当て] > を使用します。 Optional: - バッチ ジョブとしてのログオンを拒否する - リモート デスクトップ サービスを使用してログオンを拒否します。	- データマートとの通信に使用されます。 - アカウントは、データベース処理とキューブ読み取りのために Analysis Services サーバー データベース (DWASDataBase) に管理者ロールとして追加されます。

Service Manager管理グループをデータ ウェアハウス管理グループに登録するときに使用される資格情報

インストール プロセスの一環として、Service Manager管理グループをデータ ウェアハウス管理グループに登録します。 このプロセス中に、資格情報の入力を求められます。 必ず、ドメイン アカウントの資格情報を入力してください。 さらに、次のアクセス許可を持つアカウントを入力する必要があります。

• Service Managerとデータ ウェアハウス管理グループの両方の管理者ユーザー ロールのメンバーである必要があります。
• データ ウェアハウス管理サーバーの Users ローカル管理者グループのメンバー

コネクタを作成するために必要なアカウント

コネクタを作成するときに、コネクタが機能を実行するために使用する資格情報を求められます。 次に、このアカウントに必要なアクセス許可の概要と、高いセキュリティに関するベスト プラクティスについて説明します。

Operations Manager、Orchestrator、SCVMM、AD のコネクタ アカウントには、 サービスとしてログオンする必要があります。

これらのアクセス許可を設定するには、[セキュリティ設定] [>ローカル ポリシー][ユーザー権利の>割り当て] を使用します。

Optional:

• バッチ ジョブとしてのログオン権限を拒否する
• リモート デスクトップ サービスを使ったログオンを拒否

必要なタブを選択して、アクセス許可とベスト プラクティスを表示します。

Operations Manager アラート コネクタ

アクセス許可	ベスト プラクティス
- ドメイン アカウントである必要があります。 - Service Manager管理サーバーの Users ローカル セキュリティ グループのメンバーである必要があります。 - Operations Manager 管理者である必要があります。	この目的のために特別に作成されたドメイン アカウント。これは、Operations Manager の [ユーザー] ローカル セキュリティ グループと、Service Managerの [高度なオペレーター] ユーザー ロールの管理者ユーザー ロール内にのみ作成されます。

Operations Manager CI コネクタ

アクセス許可	ベスト プラクティス
- ドメイン アカウントである必要があります。 - 管理サーバーの Users ローカル セキュリティ グループのメンバーである必要があります。 - Operations Manager オペレーターである必要があります。	この目的のために特別に作成されたドメイン アカウント。これは、Operations Manager の Users ローカル セキュリティ グループとオペレーター ユーザー ロール、および Service Manager の Advanced Operator ユーザー ロール内にのみ作成されます。

Active Directory コネクタ

アクセス許可	ベスト プラクティス
- ドメイン アカウントである必要があります。 - Service Manager管理サーバーの Users ローカル セキュリティ グループのメンバーである必要があります。 - コネクタがデータを読み取るドメイン コントローラーにバインドするアクセス許可が必要です。 - AD DS からService Manager データベースに同期されているオブジェクトに対する汎用読み取り権限が必要です。	この目的のために特別に作成されたドメイン アカウント。これは、Service Managerの Users ローカル セキュリティ グループと Advanced Operator ユーザー ロール内にのみ存在し、AD DS の読み取り専用アクセス許可を持ちます。

Configuration Manager コネクタ

アクセス許可	ベスト プラクティス
- ドメイン アカウントである必要があります。 - Service Manager管理サーバーの Users ローカル セキュリティ グループのメンバーである必要があります。	この目的のために特別に作成されたドメイン アカウントは、Users ローカル セキュリティ グループ内でのみ作成され、Configuration Manager データベースのsmsdbrole_extractとdb_datareaderのメンバーであり、Service Managerの Advanced Operator ユーザー ロールに属している必要があります。

Service Manager展開用にコンピューターを準備する

Service Managerの展開用にコンピューターを準備するには、次の手順に従います。

Service Manager展開用にコンピューターを準備するには

1. Service Managerまたはデータ ウェアハウスをホストするコンピューターに Operations Manager パーツがインストールされていないことを確認します。

2. データ ウェアハウスとService Manager管理グループの両方のService Manager管理者のロールに割り当てられるユーザーの Active Directory グループを作成します。 たとえば、「 SM_Admins」というグループを作成します。

   注意

   このユーザー グループは、Service Managerと同じドメインに存在する必要があります。 他のドメイン (子ドメインも含む) のユーザーはサポートされていません。

3. Service Managerに必要なアカウントを作成します。

   注意

   Service Managerアカウントは、Service Managerと同じドメインに存在する必要があります。 他のドメイン (子ドメインも含む) のアカウントはサポートされていません。

4. Service Manager データベースに使用される構造化照会言語 (SQL) インスタンスでポート番号 1433 が使用されていることを確認します。

5. Microsoft SQL Server を実行しているリモート コンピューターにデータベースをインストールする場合、セットアップを実行しているユーザーは、SQL Server コンピューターに対するローカル管理者権限を持つドメイン ユーザーである必要があります。

6. Service Manager コンソールをホストするコンピューターの [インターネット オプション]、[ローカル エリア ネットワーク (LAN) の設定] で、[ローカル アドレスのプロキシ サーバーをバイパスする] を選択します。

7. ブラウザーを開き、次の URL を入力します。

   • http://<computer hosting SSRS>/reports

   • http://<computer hosting SSRS>/reportserver

     接続試行が失敗するか、 HTTP エラー 404.0 Not Found などのエラーが返された場合は、「 レポート サーバーを構成するには」の手順を実行します。 それ以外の場合は、Service Managerのインストールを続行します。

レポート サーバーを構成するには

1. 管理者権限を持つアカウントを使用して、SQL Server Reporting Servicesをホストするコンピューターにサインインします (SSRS)。

2. [スタート] を選択し、[プログラム] をポイントし、[Microsoft SQL Server 2008] をポイントし、[構成ツール] をポイントして、[Reporting Services Configuration Manager] を選択します。

3. [Reporting Services構成接続] ダイアログで、[サーバー名] と [レポート サーバー インスタンス] の情報が正しいことを確認し、[接続] を選択します。

4. [ 接続 ] ウィンドウで、[ Web サービス URL] を選択します。

5. [ レポート サーバー Web サービス仮想ディレクトリ ] 領域の [ 仮想ディレクトリ ] テキスト ボックスで、エントリが ReportServer であることを確認し、[ 適用] を選択します。

6. [ 接続 ] ウィンドウで、[ レポート マネージャーの URL] を選択します。

7. [レポート マネージャー サイトの識別] 領域の [仮想ディレクトリ] テキスト ボックスで、エントリが [レポート] であることを確認し、[適用] を選択します。

8. [ 接続 ] ウィンドウで、上部のエントリ (<server>\\<instance>) を選択します。

9. [ 現在のレポート サーバー] 領域で、[ 停止] を選択し、[開始] を選択 します。

重要

SQL Server Reporting Services (SSRS) 2017 以降でSystem Center Service Managerをインストールすると、レポートが展開されないService Manager、イベント 33410 が発生し、展開エラーの詳細が表示されます。 この問題の原因と解決策については、次の情報を参照してください。

SSRS 2017 バージョン 14.0.600.1274 以降には、新しい詳細設定 AllowedResourceExtensionsForUpload が含まれています。 この設定により、レポート サーバーにアップロードできるリソース ファイルの拡張機能のセットが制限されます。 この問題は、Service Managerレポートで AllowedResourceExtensionsForUpload の既定のセットに含まれていない拡張機能が使用されるために発生します。

この問題を解決するには、拡張機能の一覧に *.* を追加します。 次の手順に従います。

1. SQL Server Management Studioを開始し、使用するレポート サーバー インスタンスService Manager接続します。
2. レポート サーバー名を右クリックし、[ プロパティ] を選択し、[ 詳細設定] を選択します。
3. AllowedResourceExtensionsForUpload 設定を見つけて、拡張機能の一覧に *.* を追加し、[OK] を選択します。
4. SSRS を再起動します。

次の手順

Service Managerのパフォーマンスとスケーラビリティに影響する問題については、「パフォーマンスとスケーラビリティの計画」を参照してください。 また、推奨されるハードウェア構成を使用して優れたパフォーマンスを実現するためのベスト プラクティスも提案します。