System Center voorbereiden - Service Manager-implementatie

Voordat u de implementatie van System Center - Service Manager start, maakt u een groep gebruikers in Active Directory Domain Services (AD DS) en maakt of identificeert u een domeinaccount dat wordt gebruikt tijdens het installatieproces. Zorg ervoor dat het domeinaccount lid is van de juiste groepen die nodig zijn voor een goede werking van Service Manager. Houd rekening met het volgende wanneer u Service Manager en Operations Manager op dezelfde server installeert:

• Operations Manager kan de databaseserver delen met Service Manager.

• Een Operations Manager-agent wordt automatisch geïnstalleerd als onderdeel van Service Manager. Nadat de installatie is voltooid, moet u de agent handmatig configureren voor gebruik met de Operations Manager-beheerserver.

  Als u wilt controleren of de Operations Manager-agent is geïnstalleerd, opent u de Configuratiescherm en controleert u of de Operations Manager-agent aanwezig is.

• U kunt zowel de Operations Manager-console als de Service Manager-console op dezelfde computer installeren. De volgorde waarin u de consoles installeert, maakt niet uit.

• Probeer niet hetzelfde SSRS-exemplaar (SQL Server Reporting Services) te gebruiken voor zowel Operations Manager als Service Manager.

Accountoverwegingen voordat u Setup uitvoert

Voordat u Setup voor Service Manager uitvoert, raadpleegt u de volgende secties om ervoor te zorgen dat aan de vereisten voor het installeren van Service Manager is voldaan. Tijdens de installatie wordt u gevraagd om domeingebruikers of -groepen op te geven voor verschillende Service Manager functies. Bekijk deze informatie om ervoor te zorgen dat u klaar bent voor het installatieproces.

Account dat wordt gebruikt bij het installeren van Service Manager

In deze sectie worden de machtigingen beschreven die u nodig hebt wanneer u een Service Manager-beheerserver en Service Manager consoledatabases installeert en wanneer u de Service Manager beheergroep registreert bij de datawarehouse-beheergroep in Service Manager.

Notitie

Het account dat u gebruikt om Setup uit te voeren, wordt automatisch een beheerder in Service Manager.

Selecteer het vereiste tabblad voor meer informatie over de machtigingen die u nodig hebt:

Service Manager-beheerserver

U hebt de volgende machtigingen nodig wanneer u een Service Manager-beheerserver installeert:

• Lokale beheerder is op de computer waarop u Setup uitvoert
• Lokale beheerder op de computer waarop de Service Manager-database wordt gehost als deze zich op een externe computer bevindt
• Aangemelde gebruiker moet een domeinaccount zijn
• De rol Sysadmin SQL Server op het SQL Server exemplaar waarin de Service Manager-database wordt gemaakt

Service Manager console

U hebt de volgende machtigingen nodig wanneer u de Service Manager-console installeert:

• Lokale beheerder is op de computer waarop u Setup uitvoert

Datawarehouse-beheerserver

U hebt de volgende machtigingen nodig wanneer u de datawarehouse-beheerserver installeert:

• Lokale beheerder is op de computer waarop u Setup uitvoert
• Lokale beheerder op de computer waarop de datawarehousedatabase wordt gehost als deze zich op een externe computer bevindt
• Aangemelde gebruiker moet een domeinaccount zijn
• De rol Content Manager in SQL Server Reporting Services (SSRS) op siteniveau (hoofdmap)
• De rol Sysadmin SQL Server op het SQL Server exemplaar waarin de datawarehouse-database wordt gemaakt

SQL Server Reporting Services

U hebt de volgende machtigingen nodig wanneer u SSRS installeert:

Machtigingen voor het plaatsen van een binair bestand in de map \Program Files\Microsoft SQL Server\Instance Name\Reporting Services\ReportServer\Bin op de computer die als host fungeert voor de datawarehouse-beheerserver.

Service Manager registreren bij het datawarehouse

U hebt de volgende machtigingen nodig wanneer u Service Manager registreert bij het datawarehouse:

• De rol Sysadmin of beveiligingsbeheerder SQL Server op het exemplaar dat als host fungeert voor de Service Manager-database
• De sysadmin of beveiligingsbeheerder SQL Server rol op het exemplaar dat als host fungeert voor de datawarehouse-database
• Lidmaatschap van de gebruikersrol Service Manager Administrators op de Service Manager-beheerserver
• Lidmaatschap van de gebruikersrol Service Manager Beheerders op de datawarehouse-beheerserver

Accounts vereist wanneer u Service Manager installeert

U moet referenties opgeven voor de accounts in de volgende tabel tijdens de installatie van de Service Manager- en datawarehouse-beheerservers.

Notitie

De gebruikers- en groepsaccounts die vereist zijn voor de installatie van Service Manager moeten zich bevinden in de organisatie-eenheid Gebruikers in Active Directory Domain Services (AD DS).

Accounts die worden gebruikt bij het installeren van een Service Manager-beheerserver

Account	Machtigingen	Hoe het wordt gebruikt in Service Manager
Beheergroep-administrators	- Moet een domeingebruiker of -groep zijn. Belangrijk: Het gebruikersaccount dat is aangemeld bij de computer tijdens de installatie van een initiële Service Manager beheerserver wordt automatisch toegevoegd aan deze groep.	- Toegevoegd aan de gebruikersrol Service Manager Beheerders.
Service Manager-serviceaccount	- Moet een domeingebruiker of -groep zijn. - Moet lid zijn van lokale beheerders. - Moet Aanmelden als een service hebben. Als u deze machtigingen wilt instellen, gebruikt u Beveiligingsinstellingen>Lokaal beleid>Gebruikersrechtentoewijzing. Optioneel: - Aanmelden als batchtaak weigeren - Aanmelden via Extern bureaublad-services weigeren.	- Wordt het operationele systeemaccount. - Toegewezen aan het aanmeldingsaccount voor de System Center Data Access-service. - Toegewezen aan het aanmeldingsaccount voor System Center Management Configuration-service. - Wordt lid van de sdk_users en configsvc_users databaserollen voor de Service Manager database. - Als u de referenties voor deze twee services wijzigt, moet u ervoor zorgen dat het nieuwe account een SQL-aanmelding heeft in de ServiceManager-database en dat dit account lid is van de groep Builtin\Administrators.
Werkstroomaccount	- Moet een domeingebruiker of -groep zijn. - Moet machtigingen hebben om e-mail te verzenden en moet een postvak hebben op de SMTP-server (Simple Mail Transfer Protocol) (vereist voor de functie E-mailincident). - Moet lid zijn van de lokale beveiligingsgroep Gebruikers. - Moet lid zijn van de gebruikersrol Service Manager Beheerders voor e-mailmeldingen om correct te kunnen functioneren. Moet een domeingebruiker of -groep zijn. - Moet lid zijn van lokale beheerders. - Moet Aanmelden als een service hebben. Als u deze machtigingen wilt instellen, gebruikt u Beveiligingsinstellingen>Lokaal beleid>Gebruikersrechtentoewijzing. Optioneel: -Aanmelden als een batchtaak weigeren -Aanmelden via Extern bureaublad-services weigeren.	- Dit account wordt gebruikt voor alle werkstromen en is lid van de gebruikersrol Service Manager Werkstromen.

Aanbevolen beveiligingsprocedures voor accounts

Wanneer u Active Directory-accounts toewijst voor gebruik met Service Manager Uitvoeren als-accounts, is het een best practice om serviceaccounts te gebruiken. We raden u ten zeerste af om Active Directory-gebruikersaccounts te gebruiken die zijn gekoppeld aan afzonderlijke personen.

Download een kopie van de Windows Server-beveiligingshandleiding, die nu deel uitmaakt van de Windows Server Security Compliance Management Toolkit voor meer informatie over aanbevolen procedures voor beveiliging.

Accounts die worden gebruikt bij het installeren van een datawarehouse-beheerserver

Account	Machtigingen	Hoe het wordt gebruikt in Service Manager
Beheergroep-administrators	- Moet een domeingebruiker of -groep zijn.	- Toegevoegd aan de gebruikersrol datawarehousebeheerders.
Service Manager-serviceaccount	- Moet een domeingebruiker of -groep zijn. - Moet lid zijn van lokale beheerders op de datawarehouse-beheerserver. - Moet hetzelfde account zijn dat u hebt gebruikt voor het Service Manager-account voor beheerserverservices.	- Wordt het Uitvoeren als-account van het datawarehousesysteem. - Toegewezen aan het ServiceManager SDK-serviceaccount. - Toegewezen aan ServiceManager Config-account. - Wordt lid van de sdk_users en configsvc_users databaserollen voor de DWDataMart-database. - Wordt lid van de db_datareader databaserol voor de DWRepository-database. - Wordt lid van de configsvc_users-databaserol voor de Service Manager-database.
Rapportaccount	- Moet een domeinaccount zijn. - Moet Aanmelden als een service hebben. Als u deze machtigingen wilt instellen, gebruikt u Beveiligingsinstellingen>Lokaal beleid>Gebruikersrechtentoewijzing. Optioneel: - Aanmelden als batchtaak weigeren - Aanmelden via Extern bureaublad-services weigeren.	- Wordt gebruikt door SQL Server Reporting Services (SSRS) voor toegang tot de DWDataMart-database om gegevens op te halen voor rapportage. - Wordt lid van de db_datareader-databaserol voor de DWDataMart-database. - Wordt lid van de databaserol reportuser voor de DWDatamart-database.
Analysis Services-account	- Moet een domeinaccount zijn. - Moet Aanmelden als een service hebben. Als u deze machtigingen wilt instellen, gebruikt u Beveiligingsinstellingen>Lokaal beleid>Gebruikersrechtentoewijzing. Optioneel: - Aanmelden als batchtaak weigeren - Aanmelden via Extern bureaublad-services weigeren.	- Wordt gebruikt om te communiceren met datamarts. - Account wordt toegevoegd als een beheerdersrol in de Analysis Services-serverdatabase (DWASDataBase) voor databaseverwerking en kubuslezen.

Referentie die wordt gebruikt bij het registreren van een Service Manager-beheergroep bij de datawarehouse-beheergroep

Als onderdeel van het installatieproces registreert u de Service Manager beheergroep bij de datawarehouse-beheergroep. Tijdens dit proces wordt u gevraagd om referenties op te geven. U moet referenties voor een domeinaccount opgeven. Daarnaast wordt u gevraagd om een account met de volgende machtigingen op te geven:

• Moet lid zijn van de gebruikersrol Beheerder in zowel de beheergroepen Service Manager als datawarehouse.
• Moet lid zijn van de gebruikersgroep voor lokale beheerders op de datawarehouse-beheerserver.

Vereiste accounts voor het maken van connectors

Wanneer u connectors maakt, wordt u gevraagd om referenties die de connector gebruikt om de functie uit te voeren. Hieronder vindt u een overzicht van de machtigingen die dit account nodig heeft en worden aanbevolen procedures voor hoge beveiliging beschreven.

Voor connectoraccounts voor Operations Manager, Orchestrator, SCVMM en AD is Aanmelden als een service vereist.

Als u deze machtigingen wilt instellen, gebruikt u Beveiligingsinstellingen>Lokaal beleid>Toewijzing van gebruikersrechten .

Optioneel:

• Aanmelden als batchtaak weigeren
• Aanmelden weigeren via Extern bureaublad-Services

Selecteer het vereiste tabblad om de machtigingen en aanbevolen procedures weer te geven:

Operations Manager-waarschuwingsconnector

Machtigingen	Aanbevolen procedures
- Moet een domeinaccount zijn. - Moet lid zijn van de lokale beveiligingsgroep Gebruikers op de Service Manager-beheerserver. - Moet een Operations Manager-beheerder zijn.	Domeinaccount dat speciaal voor dit doel is gemaakt, bevindt zich alleen in de lokale beveiligingsgroep Gebruikers en in de gebruikersrol Administrator in Operations Manager en in de gebruikersrol Geavanceerde operator in Service Manager.

Operations Manager CI-connector

Machtigingen	Aanbevolen procedures
- Moet een domeinaccount zijn. - Moet lid zijn van de lokale beveiligingsgroep Gebruikers op de beheerserver. - Moet een Operations Manager-operator zijn.	Domeinaccount dat speciaal voor dit doel is gemaakt, bevindt zich alleen in de lokale beveiligingsgroep Gebruikers en in de gebruikersrol Operator in Operations Manager en in de gebruikersrol Geavanceerde operator in Service Manager.

Active Directory-connector

Machtigingen	Aanbevolen procedures
- Moet een domeinaccount zijn. - Moet lid zijn van de lokale beveiligingsgroep Gebruikers op de Service Manager-beheerserver. - Moet machtigingen hebben om verbinding te maken met de domeincontroller waaruit de connector gegevens leest. - Algemene leesrechten nodig voor de objecten die vanuit AD DS worden gesynchroniseerd met de Service Manager-database.	Het domeinaccount dat speciaal voor dit doel is gemaakt, bevindt zich alleen in de lokale beveiligingsgroep Gebruikers en in de gebruikersrol Geavanceerde operator in Service Manager en heeft alleen-lezenmachtigingen in AD DS.

Configuration Manager-connector

Machtigingen	Aanbevolen procedures
- Moet een domeinaccount zijn. - Moet lid zijn van de lokale beveiligingsgroep Gebruikers op de Service Manager-beheerserver.	Het domeinaccount dat speciaal voor dit doel is gemaakt en dat zich alleen in de lokale beveiligingsgroep Gebruikers bevindt, moet lid zijn van de smsdbrole_extract en db_datareader op de Configuration Manager-database en heeft de gebruikersrol Geavanceerde operator in Service Manager.

Computers voorbereiden op Service Manager implementatie

Gebruik de volgende procedures om computers voor te bereiden op de implementatie van Service Manager.

Computers voorbereiden op Service Manager implementatie

1. Zorg ervoor dat er geen Operations Manager-onderdelen zijn geïnstalleerd op de computers waarop Service Manager of het datawarehouse worden gehost.

2. Maak een Active Directory-groep gebruikers die wordt toegewezen aan de rol van Service Manager-beheerders van zowel de datawarehouse- als de Service Manager-beheergroepen. Maak bijvoorbeeld de groep SM_Admins.

   Notitie

   Deze groep gebruikers moet zich in hetzelfde domein bevinden als Service Manager zich bevindt. Gebruikers van een ander domein, zelfs onderliggende domeinen, worden niet ondersteund.

3. Maak de accounts die nodig zijn voor Service Manager.

   Notitie

   Service Manager accounts moeten zich in hetzelfde domein bevinden als Service Manager. Accounts van een ander domein, zelfs onderliggende domeinen, worden niet ondersteund.

4. Zorg ervoor dat de sql-exemplaren (Structured Query Language) die worden gebruikt voor Service Manager databases poortnummer 1433 gebruiken.

5. Als u de databases installeert op een externe computer waarop Microsoft SQL Server wordt uitgevoerd, moet de gebruiker die Setup uitvoert een domeingebruiker zijn met lokale beheerdersmachtigingen op de SQL Server computer.

6. Op computers waarop de Service Manager-console wordt gehost, selecteert u onder Internetopties, LAN-instellingen (Local Area Network) de optie Proxyserver overslaan voor lokale adressen.

7. Open een browser en voer de volgende twee URL's in:

   • http://<computer hosting SSRS>/reports

   • http://<computer hosting SSRS>/reportserver

     Als een van de verbindingspogingen mislukt of een fout retourneert, bijvoorbeeld HTTP-fout 404.0 Niet gevonden, voert u de stappen in de procedure De rapportserver configureren uit. Ga anders verder met de installatie van Service Manager.

De rapportserver configureren

1. Meld u met behulp van een account met beheerdersrechten aan bij de computer waarop SQL Server Reporting Services (SSRS) wordt gehost.

2. Selecteer Start, wijs Programma's aan, wijs Microsoft SQL Server 2008 aan, wijs Configuratiehulpprogramma's aan en selecteer Reporting Services Configuration Manager.

3. Controleer in het dialoogvenster Reporting Services-configuratieverbinding of de gegevens in Servernaam en Rapportserverexemplaren juist zijn en selecteer Verbinding maken.

4. Selecteer webservice-URL in het deelvenster Verbinding maken.

5. Controleer in het gebied Virtuele map van de webservice van Report Server in het tekstvak Virtuele map of de vermelding ReportServer is en selecteer Toepassen.

6. Selecteer in het deelvenster Verbinding makende optie Report Manager-URL.

7. Controleer in het gebied Site-id van Report Manager in het tekstvak Virtual Directory of de vermelding Rapporten wordt gelezen en selecteer Toepassen.

8. Selecteer in het deelvenster Verbinding maken de bovenste vermelding (<server>\\<instance>).

9. Selecteer in het gebied Huidige rapportserverde optie Stoppen en selecteer Starten.

Belangrijk

Wanneer u System Center Service Manager installeert met SQL Server Reporting Services (SSRS) 2017 of hoger, Service Manager rapporten niet worden geïmplementeerd, treedt er een gebeurtenis 33410 op en worden de details voor de implementatiefout weergegeven. Zie de volgende informatie voor de oorzaak en oplossing voor dit probleem.

SSRS 2017 versie 14.0.600.1274 en hoger bevat een nieuwe geavanceerde instelling AllowedResourceExtensionsForUpload. Deze instelling beperkt de set extensies van resourcebestanden die kunnen worden geüpload naar de rapportserver. Dit probleem treedt op omdat Service Manager rapportage gebruikmaakt van extensies die niet zijn opgenomen in de standaardset in AllowedResourceExtensionsForUpload.

U kunt dit probleem oplossen door *.* toe te voegen aan de lijst met extensies. Volg deze stappen:

1. Start SQL Server Management Studio en maak vervolgens verbinding met een rapportserverexemplaar dat Service Manager gebruikt.
2. Klik met de rechtermuisknop op de naam van de rapportserver, selecteer Eigenschappen en selecteer vervolgens Geavanceerd.
3. Zoek de instelling AllowedResourceExtensionsForUpload , voeg *.* toe aan de lijst met extensies en selecteer ok.
4. Start SSRS opnieuw op.

Volgende stappen

Zie Prestaties en schaalbaarheid plannen voor meer informatie over de problemen die van invloed zijn op prestaties en schaalbaarheid in Service Manager. Er worden ook aanbevolen procedures voor het bereiken van goede prestaties met behulp van voorgestelde hardwareconfiguraties.