Beheerder operationele agents

In System Center Operations Manager is een agent een service die is geïnstalleerd op een computer die naar configuratiegegevens zoekt en proactief informatie verzamelt voor analyse en rapportage, de status van bewaakte objecten zoals een SQL-database of logische schijf meet en taken op aanvraag uitvoert door een operator of als reactie op een voorwaarde. Hiermee kan Operations Manager Windows-, Linux- en UNIX-besturingssystemen en de onderdelen van een IT-service bewaken die erop zijn geïnstalleerd, zoals een website of een Active Directory-domeincontroller.

Windows-agent

Op een bewaakte Windows-computer wordt de Operations Manager-agent vermeld als de MMA-service (Microsoft Monitoring Agent). De Microsoft Monitoring Agent-service verzamelt gebeurtenis- en prestatiegegevens, voert taken en andere werkstromen uit die zijn gedefinieerd in een management pack. Zelfs wanneer de service niet kan communiceren met de beheerserver waarmee deze rapporteert, blijft de service de verzamelde gegevens en gebeurtenissen op de schijf van de bewaakte computer uitvoeren en in de wachtrij plaatsen. Wanneer de verbinding is hersteld, verzendt de Microsoft Monitoring Agent-service verzamelde gegevens en gebeurtenissen naar de beheerserver.

Notitie

• De Microsoft Monitoring Agent-service wordt soms de health-service genoemd.

De Microsoft Monitoring Agent-service wordt ook uitgevoerd op beheerservers. Op een beheerserver voert de service bewakingswerkstromen uit en beheert de referenties. Als u werkstromen wilt uitvoeren, initieert de service MonitoringHost.exe processen met behulp van opgegeven referenties. Deze processen bewaken en verzamelen gebeurtenislogboekgegevens, prestatiemeteritemgegevens, WMI-gegevens (Windows Management Instrumentation) en voeren acties uit zoals scripts.

Communicatie tussen agents en beheerservers

De Operations Manager-agent verzendt waarschuwings- en detectiegegevens naar de toegewezen primaire beheerserver, die de gegevens naar de operationele database schrijft. De agent verzendt ook gebeurtenissen, prestaties en statusgegevens naar de primaire beheerserver voor die agent, die de gegevens tegelijkertijd naar de operationele en datawarehouse-databases schrijft.

De agent verzendt gegevens volgens de planningsparameters voor elke regel en monitor. Voor geoptimaliseerde verzamelingsregels worden gegevens alleen verzonden als een steekproef van een teller verschilt van de vorige steekproef door een opgegeven tolerantie, zoals 10%. Dit helpt het netwerkverkeer en de hoeveelheid gegevens die zijn opgeslagen in de operationele database te verminderen.

Bovendien verzenden alle agents een pakket met gegevens, een zogenaamde heartbeat, standaard om de 60 seconden naar de beheerserver. Het doel van de heartbeat is om de beschikbaarheid van de agent en de communicatie tussen de agent en de beheer server te valideren. Voor meer informatie over heartbeats, zie Hoe heartbeats werken in Operations Manager.

Voor elke agent voert Operations Manager een Health Service Watcheruit, die de status van de externe Health Service bewaakt vanuit het perspectief van de beheerserver. De agent communiceert met een beheerserver via TCP-poort 5723.

Linux/UNIX-agent

De architectuur van de UNIX- en Linux-agent verschilt aanzienlijk van een Windows-agent. De Windows-agent heeft een Health Service die verantwoordelijk is voor het evalueren van de status van de bewaakte computer. De UNIX- en Linux-agent voert geen health-service uit; in plaats daarvan wordt informatie doorgegeven aan health service op een beheerserver die moet worden geëvalueerd. De beheerserver voert alle werkstromen uit om de status van het besturingssysteem te bewaken die is gedefinieerd in onze implementatie van de UNIX- en Linux-management packs:

• Schijf
• Verwerker
• Geheugen
• Netwerkadapters
• Besturingssysteem
• Processen
• Logboekbestanden

De UNIX- en Linux-agents voor Operations Manager bestaan uit een CIM-objectbeheer (dat wil gezegd CIM Server) en een set CIM-providers. CIM-objectbeheer is het -serveronderdeel dat de WS-Management communicatie, verificatie, autorisatie en verzending van aanvragen naar de providers implementeert. De providers zijn de sleutel tot de CIM-implementatie in de agent, het definiëren van de CIM-klassen en -eigenschappen, het samenwerken met de kernel-API's om onbewerkte gegevens op te halen, de gegevens op te maken (bijvoorbeeld delta's en gemiddelden te berekenen) en de aanvragen te verwerken die zijn verzonden vanuit CIM Object Manager. Van System Center Operations Manager 2007 R2 tot en met System Center 2012 SP1 is de CIM Object Manager die wordt gebruikt in de UNIX- en Linux-agents van Operations Manager de OpenPegasus-server. De providers die worden gebruikt voor het verzamelen en rapporteren van bewakingsgegevens, worden ontwikkeld door Microsoft en open source op CodePlex.com.

Dit is gewijzigd in System Center 2012 R2 Operations Manager, waarbij UNIX- en Linux-agents nu zijn gebaseerd op een volledig consistente implementatie van Open Management Infrastructure (OMI) als CIM Object Manager. In het geval van de UNIX-/Linux-agents van Operations Manager vervangt OMI OpenPegasus. Net als OpenPegasus is OMI een opensource, lichtgewicht en draagbare CIM Object Manager-implementatie, hoewel het lichter in gewicht is en draagbaarer is dan OpenPegasus. Deze implementatie wordt nog steeds toegepast in System Center 2016 - Operations Manager en hoger.

Communicatie tussen de beheerserver en de UNIX- en Linux-agent wordt onderverdeeld in twee categorieën: agentonderhoud en statuscontrole. De beheerserver gebruikt twee protocollen om te communiceren met de UNIX- of Linux-computer:

• Secure Shell (SSH) en Secure Shell File Transfer Protocol (SFTP)

  Wordt gebruikt voor agentonderhoudstaken, zoals het installeren, upgraden en verwijderen van agents.

• Webservices voor beheer (WS-Management)

  Wordt gebruikt voor alle bewakingsbewerkingen en omvat de detectie van agents die al zijn geïnstalleerd.

Communicatie tussen de Operations Manager-beheerserver en UNIX- en Linux-agent maakt gebruik van WS-Man via HTTPS en de WinRM-interface. Alle onderhoudstaken voor agents worden uitgevoerd via SSH op poort 22. Alle gezondheidsbewaking wordt uitgevoerd via WS-MAN op poort 1270. De beheerderserver vraagt prestatie- en configuratiegegevens aan via WS-MAN voordat de gegevens worden geëvalueerd om de gezondheidsstatus te bepalen. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, zijn geconfigureerd om vooraf gedefinieerde profielen te gebruiken op basis van hun behoeften voor een niet-gemachtigd of bevoegd account.

Notitie

Alle referenties waarnaar in dit artikel wordt verwezen, hebben betrekking op accounts die zijn ingesteld op de UNIX- of Linux-computer, niet op de Operations Manager-accounts die zijn geconfigureerd tijdens de installatie van Operations Manager. Neem contact op met uw systeembeheerder voor referenties en verificatiegegevens.

Ter ondersteuning van de nieuwe schaalbaarheidsverbeteringen met het aantal UNIX- en Linux-systemen die per beheerserver kunnen worden bewaakt door System Center 2016 - Operations Manager en later, zijn de nieuwe Async Windows Management Infrastructure (MI)-API's beschikbaar in plaats van de standaard gebruikte WSMAN-synchronisatie-API's. Als u deze wijziging wilt inschakelen, moet u de nieuwe registersleutel maken UseMIAPI- om Operations Manager in te schakelen voor het gebruik van de nieuwe Async MI-API's op beheerservers die Linux-/Unix-systemen bewaken.

1. Open de Register-editor vanaf een opdrachtprompt met verhoogde bevoegdheid.
2. Maak registersleutel UseMIAPI- onder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Als u de oorspronkelijke configuratie wilt herstellen met behulp van de WSMAN Sync-API's, kunt u de registersleutel UseMIAPI verwijderen.

Agentbeveiliging

Verificatie op UNIX-/Linux-computer

In Operations Manager hoeft de systeembeheerder het hoofdwachtwoord van de UNIX- of Linux-computer niet meer op te geven aan de beheerserver. Door uitbreiding kan een niet-gemachtigd account nu de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het uitbreidingsproces wordt uitgevoerd door de UNIX su -programma's (superuser) en sudo-programma's die gebruikmaken van de referenties die de beheerserver levert. Voor geprivilegieerde agentonderhoudshandelingen die gebruikmaken van SSH (zoals detectie, implementatie, upgrades, verwijdering en agentherstel), wordt ondersteuning voor su en sudo-elevatie en ondersteuning voor SSH-sleutelverificatie (met of zonder passphrase) verstrekt. Voor bevoegde WS-Management-bewerkingen, zoals het weergeven van beveiligde logboekbestanden, wordt ondersteuning toegevoegd voor sudo-rechtenverhoging (zonder wachtwoord).

Zie Referenties instellen voor toegang tot UNIX- en Linux-computersvoor gedetailleerde instructies voor het opgeven van referenties en het configureren van accounts.

Verificatie met gatewayserver

Gatewayservers worden gebruikt om agentbeheer in te schakelen van computers die zich buiten de kerberos-vertrouwensgrens van een beheergroep bevinden. Omdat de gatewayserver zich in een domein bevindt dat niet wordt vertrouwd door het domein waarin de beheergroep zich bevindt, moeten certificaten worden gebruikt om de identiteit, agent, gatewayserver en beheerserver van elke computer tot stand te brengen. Deze regeling voldoet aan de vereiste van Operations Manager voor wederzijdse verificatie.

Hiervoor moet u certificaten aanvragen voor elke agent die rapporteert aan een gatewayserver en deze certificaten in de doelcomputer importeert met behulp van het hulpprogramma MOMCertImport.exe, dat zich in de map SupportTools\ (amd64 of x86) van de installatiemedia bevindt. U moet toegang hebben tot een certificeringsinstantie (CA), die een openbare CA kan zijn, zoals VeriSign, of u kunt Microsoft Certificate Services gebruiken.

Agentimplementatie

System Center Operations Manager-agents kunnen worden geïnstalleerd met behulp van een van de volgende drie methoden. De meeste installaties gebruiken een combinatie van deze methoden om verschillende sets computers te installeren, indien van toepassing.

Notitie

• U kunt MMA niet installeren op een computer, waarbij Operations Manager-beheerserver, gatewayserver, operations-console, operationele database, webconsole, System Center Essentials of System Center Service Manager is geïnstalleerd, omdat de ingebouwde versie van MMA al is geïnstalleerd.
• U kunt alleen MMA- of Log Analytics-agent (VM-extensieversie) gebruiken.

• De detectie en installatie van een of meer agents vanuit de Operations-console. Dit is de meest voorkomende installatievorm. Een beheerserver moet verbinding kunnen maken met de computer met RPC en het actieaccount van de beheerserver of andere opgegeven referenties moeten beheerderstoegang hebben tot de doelcomputer.
• Opname in de installatiekopieën. Dit is een handmatige installatie van een basisimage dat wordt gebruikt voor het voorbereiden van andere computers. In dit geval kan Active Directory-integratie worden gebruikt om de computer automatisch toe te wijzen aan een beheerserver bij het eerste opstarten.
• Handmatige installatie. Deze methode wordt gebruikt wanneer de agent niet kan worden geïnstalleerd door een van de andere methoden, bijvoorbeeld wanneer externe procedureaanroep (RPC) niet beschikbaar is vanwege een firewall. De installatie wordt handmatig uitgevoerd op de agent of geïmplementeerd via een bestaand hulpprogramma voor softwaredistributie.

Agents die zijn geïnstalleerd met behulp van de wizard Detectie, kunnen worden beheerd vanuit de Operations-console, zoals het bijwerken van agentversies, het toepassen van patches en het configureren van de beheerserver waarop de agent rapporteert.

Wanneer u de agent installeert met behulp van een handmatige methode, moeten updates voor de agent ook handmatig worden uitgevoerd. U kunt Active Directory-integratie gebruiken om agents toe te wijzen aan beheergroepen. Zie Active Directory- en Operations Manager-integreren voor meer informatie.

Selecteer het vereiste tabblad voor meer informatie over agentimplementatie in Windows- en UNIX- en LINUX-systemen:

Agent-implementatie naar het Windows-systeem

Detectie van een Windows-systeem vereist dat de TCP 135-poorten (RPC), RPC-bereik en TCP 445-poorten (SMB) open blijven en dat de SMB-service is ingeschakeld op de agentcomputer.

• Nadat een doelapparaat is gedetecteerd, kan er een agent worden uitgerold. Voor de installatie van de agent is het volgende vereist:
• RPC-poorten openen, beginnend met de eindpunttoewijzer TCP 135 en de SMB-poort (Server Message Block) TCP/UDP 445.
• Bestands- en printerdeling inschakelen voor Microsoft-netwerken en de client voor Microsoft Networks-services. (Dit zorgt ervoor dat de SMB-poort actief is.)
• Als deze optie is ingeschakeld, moeten de groepsbeleidsinstellingen voor uitzonderingen voor extern beheer en voor het delen van bestanden en printers zijn ingesteld op Ongevraagde binnenkomende berichten toestaan van het IP-adres en de subnetten voor de primaire en secundaire beheerservers voor de agent.
• Een account met lokale beheerdersrechten op de doelcomputer.
• Windows Installer 3.1. Zie het artikel 893803 in de Microsoft Knowledge Base-https://go.microsoft.com/fwlink/?LinkId=86322 voor installatie
• Microsoft Core XML Services (MSXML) 6 op het Operations Manager-productinstallatiemedium in de submap \msxml. De installatie van de pushagent installeert MSXML 6 op het doelapparaat als deze nog niet is geïnstalleerd.

Agent-implementatie naar UNIX- en Linux-systeem

In System Center Operations Manager gebruikt de beheerserver twee protocollen om te communiceren met de UNIX- of Linux-computer:

• Secure Shell (SSH) voor het installeren, upgraden en verwijderen van agents.
• Web Services for Management (WS-Management) voor alle bewakingsbewerkingen en omvatten de detectie van agents die al zijn geïnstalleerd.

Het gebruikte protocol is afhankelijk van de actie of informatie die wordt aangevraagd op de beheerserver. Alle acties, zoals agentonderhoud, monitors, regels, taken en herstelbewerkingen, zijn geconfigureerd om vooraf gedefinieerde profielen te gebruiken op basis van hun behoeften voor een niet-gemachtigd of bevoegd account.

Notitie

Alle referenties waarnaar in deze sectie wordt verwezen, hebben betrekking op accounts die zijn ingesteld op de UNIX- of Linux-computer, niet op de Operations Manager-accounts die zijn geconfigureerd tijdens de installatie van Operations Manager. Neem contact op met uw systeembeheerder voor referenties en verificatiegegevens.

Door uitbreiding kan een niet-gemachtigd account de identiteit aannemen van een bevoegd account op de UNIX- of Linux-computer. Het uitbreidingsproces wordt uitgevoerd door de UNIX su -programma's (superuser) en sudo-programma's die gebruikmaken van de referenties die de beheerserver levert. Voor onderhoudsbewerkingen van bevoorrechte agents die gebruikmaken van SSH (zoals ontdekkingen, implementaties, upgrades, deïnstallaties en herstel van agents) wordt er ondersteuning geboden voor su, sudo-verhoging en SSH-sleutelverificatie (met of zonder wachtwoordzin). Voor bevoegde WS-Management bewerkingen (zoals het weergeven van beveiligde logboekbestanden), wordt ondersteuning voor sudo-uitbreiding (zonder wachtwoord) ondersteund.

Toewijzing van Active Directory-agent

Met System Center Operations Manager kunt u profiteren van uw investering in Active Directory Domain Services (AD DS) door deze te gebruiken om door agents beheerde computers toe te wijzen aan beheergroepen. Deze functie wordt vaak gebruikt met de agent die is geïmplementeerd als onderdeel van een buildproces voor de serverimplementatie. Wanneer de computer voor het eerst online komt, vraagt de Operations Manager-agent Active Directory op in voor de toewijzing van de primaire en failoverbeheerserver en begint automatisch met het monitoren van de computer.

Computers toewijzen aan beheergroepen met behulp van AD DS:

• Het functionele niveau van AD DS-domeinen moet systeemeigen windows 2008 of hoger zijn
• Door agents beheerde computers en alle beheerservers moeten zich in hetzelfde domein of in tweerichtings vertrouwde domeinen bevinden.

Notitie

Een agent die bepaalt dat deze is geïnstalleerd op een domeincontroller, zal geen query's uitvoeren op Active Directory voor configuratiegegevens. Dit is om veiligheidsredenen. Active Directory-integratie is standaard uitgeschakeld op domeincontrollers omdat de agent wordt uitgevoerd onder het lokale systeemaccount. Het lokale systeemaccount op een domeincontroller heeft domeinbeheerdersrechten; Daarom worden alle verbindingspunten van de beheerserverservice gedetecteerd die zijn geregistreerd in Active Directory, ongeacht het lidmaatschap van de beveiligingsgroep van de domeincontroller. Als gevolg hiervan probeert de agent verbinding te maken met alle beheerservers in alle beheergroepen. De resultaten kunnen onvoorspelbaar zijn, waardoor er een beveiligingsrisico ontstaat.

Agenttoewijzing wordt bereikt met behulp van een Service Connection Point (SCP), een Active Directory-object voor het publiceren van informatie die clienttoepassingen kunnen gebruiken om verbinding te maken met een service. Dit wordt gemaakt door een domeinbeheerder door het gebruik van de opdrachtregeltool MOMADAdmin.exe om een AD DS-container te maken voor een Operations Manager-beheergroep in de domeinen van de computers die hij beheert. De AD DS-beveiligingsgroep die wordt opgegeven bij het uitvoeren van MOMADAdmin.exe krijgt lees- en verwijdermachtigingen voor de container. Het SCP bevat verbindingsgegevens met de beheerserver, inclusief de FQDN van de server en het poortnummer van de server. Operations Manager-agents kunnen beheerservers automatisch detecteren door query's uit te voeren op SCPS. Overerving is niet uitgeschakeld, en omdat een agent de integratiegegevens kan lezen die zijn geregistreerd in AD, zal het afdwingen van overerving voor de groep Iedereen om alle objecten op het hoofdniveau in Active Directory te lezen ernstige gevolgen hebben en in wezen de functionaliteit van AD-integratie onderbreken. Als u overname expliciet forceert in de hele map door de groep Iedereen leesmachtigingen te verlenen, moet u deze overname blokkeren in de AD-integratiecontainer op het hoogste niveau, die de naam OperationsManagerheeft, en alle onderliggende objecten.  Als u dit niet doet, werkt AD-integratie niet zoals ontworpen en hebt u geen betrouwbare en consistente primaire en failovertoewijzing voor geïmplementeerde agents. Als u toevallig meer dan één beheergroep hebt, zullen alle agents in beide beheergroepen ook multi-homed zijn. 

Deze functie werkt goed voor het beheren van agenttoewijzing in een gedistribueerde beheergroepimplementatie om te voorkomen dat agents rapporteren aan beheerservers die zijn toegewezen aan resourcegroepen of beheerservers in een secundair datacenter in een warme stand-byconfiguratie om failover van agents tijdens normale werking te voorkomen.

Configuratie van agenttoewijzing wordt beheerd door een Operations Manager-beheerder met behulp van de wizard Agenttoewijzing en Failover om computers toe te wijzen aan een primaire beheerserver en secundaire beheerserver.

Notitie

Active Directory-integratie is uitgeschakeld voor agents die zijn geïnstalleerd vanuit de Operations-console. Active Directory-integratie is standaard ingeschakeld voor agents die handmatig zijn geïnstalleerd met behulp van MOMAgent.msi.

Volgende stappen

• Als u wilt weten hoe u de Windows-agent installeert vanuit de Operations-console, raadpleegt u Agent installeren in Windows met behulp van de wizard Detectie of om de agent vanaf de opdrachtregel te installeren, raadpleegt u Windows-agent handmatig installeren met MOMAgent.msi.

• Zie Agent installeren op UNIX en Linux met behulp van de Ontdekkingswizardvoor informatie over het installeren van UNIX en Linux vanuit de Operations-console.

• Als u wilt weten hoe u de container maakt in Active Directory, failovertoewijzing van agents configureert en de configuratie beheert, raadpleegt u Active Directory-integratie configureren en gebruiken voor agenttoewijzing.