Bewaking met en zonder agents
Gepubliceerd: maart 2016
Van toepassing op: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
In deze sectie worden de omgevingsvereisten beschreven voor apparaten waarop agents worden geïnstalleerd en apparaten die zonder agents bewaakt gaan worden.
Clients waarop agents zijn geïnstalleerd
De drie belangrijkste activiteiten bij agentbeheer zijn detectie van doelapparaten, implementatie of installatie van agents op die apparaten en voortdurend beheer van de agents. Voor agents buiten een grens van een vertrouwensrelatie gelden een aantal meer vereisten dan voor agents binnen een grens van een vertrouwensrelatie.
Agents binnen een grens van een vertrouwensrelatie
Detectie
Detectie vereist dat de poorten TCP 135 (RPC), RPC-bereik en TCP 445 (SMB) open blijven en dat de SMB Service is ingeschakeld. Bij UNIX-\Linux-computers gebeurt standaarddetectie en -beheer via TCP 1270, problemen oplossen en detectie van diagnostische gegevens gebeurt via SSH, TCP 22. Detectie en implementatie via SSH, standaard TCP 22, kan ook worden ingeschakeld zodat de WSMAN-communicatielaag door Operations Manager op de gedetecteerde UNIX-/Linux-computer kan worden geïnstalleerd.
Installatie
Nadat een doelapparaat is gedetecteerd, kan hierop een agent worden geïmplementeerd. Voor de installatie van een agent is het volgende vereist:
Het openen van RPC-poorten (Remote Procedure Call) te beginnen met eindpunttoewijzer TCP 135 en de SMB-poort (Server Message Block) TCP/UDP 445.
Het inschakelen van bestands- en printerdeling voor Microsoft-netwerken en de client voor Microsoft-netwerken (dit zorgt ervoor dat de SMB-poort actief is).
Als groepsbeleidinstellingen voor Microsoft Firewall zijn ingeschakeld, moeten deze instellingen voor uitzondering voor extern beheer toestaan en uitzondering voor bestands- en printerdeling toestaan voor Niet-aangevraagde binnenkomende berichten toestaan van: worden ingesteld op het IP-adres van de subnetten voor de primaire en secundaire beheerservers voor de agent.
Een account met lokale beheerrechten op de doelcomputer.
Windows Installer 3.1. Zie Windows Installer 3.1 (artikel 893803) in de Microsoft Knowledge Base voor installatie-informatie.
Microsoft Core XML Services (MSXML) 6 op de productinstallatiemedia van Operations Manager in de submap \msxml.
Notitie
Met een push-installatie van de agent wordt MSXML 6 op het doelapparaat geïnstalleerd, indien deze services nog niet op het doelapparaat staan.
Voortdurend beheer
Voortdurend beheer van een agent vereist dat de poorten TCP 135 (RPC), RPC-bereik en TCP 445 (SMB) open blijven en dat de SMB Service ingeschakeld blijft.
Agents buiten een grens van een vertrouwensrelatie
Voor agents die zich buiten de grens van een vertrouwensrelatie van de beheerservers bevinden, zijn de omgevingsvereisten dezelfde als voor agents die zich binnen een grens van een vertrouwensrelatie bevinden, met nog een paar aanvullingen.
Omdat op het apparaat een agent wordt geïnstalleerd, blijven de software-, service- en poortvereisten hetzelfde. Maar omdat er geen onderliggende infrastructuur is om Kerberos-verificatie te ondersteunen, moeten aan beide zijden van de verbinding certificaten worden gebruikt.
Om de configuratie waarbij de grens van de vertrouwensrelatie wordt overschreden, te vereenvoudigen, kunt u een Operations Manager-gatewayserver binnen dezelfde grens van de vertrouwensrelatie als de apparaten die u wilt bewaken, installeren. De gatewayserver fungeert als een proxyserver zodat alle communicatie tussen de beheerserver en de agents via de gatewayserver wordt gerouteerd. Deze communicatie vindt plaats via één poort, TCP 5723, en hiervoor zijn certificaten op de beheerserver en de gatewayserver vereist. De gatewayserver voert bovendien detectie- en installatietaken uit en stuurt doorlopend beheerverkeer namens de beheerserver naar de agents door. Het gebruik van gatewayservers vermindert ook het netwerkverkeervolume en is daardoor handig bij een lage bandbreedte.
Gatewayservers kunnen ook UNIX-/Linux-computers detecteren en beheren. Dit gebeurt via TCP-poorten 1270 en eventueel SSH TCP 22 (deze poort is configureerbaar).
Zie Een gatewayserver implementeren voor meer informatie over de configuratie van gatewayservers.
Handmatig geïnstalleerde agents
Detectie wordt niet uitgevoerd voor handmatig geïnstalleerde agents en dus zijn er minder vereisten.
Bewaking zonder agents
De bewaking van apparaten zonder agents wordt uitgevoerd door een beheerserver of een ander apparaat met een agent, een proxyagent genaamd. Een apparaat dat zonder agent wordt beheerd, mag niet door een firewall van de bijbehorende beheerserver of proxyagent worden gescheiden omdat de bewaking via RPC wordt uitgevoerd. Het actie-account van de agent die de bewaking uitvoert, moet lokale beheerrechten hebben op het apparaat dat wordt bewaakt.