Udostępnij za pośrednictwem


Agenci programu Operations Manager

W programie System Center Operations Manager agent to usługa zainstalowana na komputerze, który wyszukuje dane konfiguracji i aktywnie zbiera informacje na potrzeby analizy i raportowania, mierzy stan kondycji monitorowanych obiektów, takich jak baza danych SQL lub dysk logiczny, i wykonuje zadania na żądanie przez operatora lub w odpowiedzi na warunek. Umożliwia programowi Operations Manager monitorowanie systemów operacyjnych Windows, Linux i UNIX oraz składników usługi IT zainstalowanych na nich, takich jak witryna internetowa lub kontroler domeny usługi Active Directory.

Agent systemu Windows

Na monitorowanym komputerze z systemem Windows agent programu Operations Manager jest wymieniony jako usługa Microsoft Monitoring Agent (MMA). Usługa Microsoft Monitoring Agent zbiera dane dotyczące zdarzeń i wydajności, wykonuje zadania i realizuje inne przepływy pracy zdefiniowane w pakiecie administracyjnym. Nawet jeśli usługa nie może komunikować się z serwerem zarządzania, któremu podlega, nadal działa, a zebrane dane i zdarzenia umieszcza w kolejce na dysku monitorowanego komputera. Po przywróceniu połączenia usługa Microsoft Monitoring Agent wysyła zebrane dane i zdarzenia do serwera zarządzania.

Uwaga

  • Usługa Microsoft Monitoring Agent jest czasami nazywana usługą kondycji.

Usługa Microsoft Monitoring Agent działa również na serwerach zarządzania. Na serwerze zarządzania usługa uruchamia przepływy pracy monitorowania i zarządza poświadczeniami. Aby uruchamiać przepływy pracy, usługa inicjuje MonitoringHost.exe procesy przy użyciu określonych poświadczeń. Te procesy monitorują i zbierają dane dziennika zdarzeń, dane licznika wydajności, dane instrumentacji zarządzania Windows (WMI) i uruchamiają akcje, takie jak skrypty.

Komunikacja między agentami a serwerami zarządzania

Agent programu Operations Manager wysyła dane alertów i odnajdywania do przypisanego podstawowego serwera zarządzania, który zapisuje dane w operacyjnej bazie danych. Agent wysyła również dane o zdarzeniach, wydajności i stanie do swojego podstawowego serwera zarządzania, który jednocześnie zapisuje dane w operacyjnych bazach danych i bazach danych magazynu danych.

Agent wysyła dane zgodnie z parametrami harmonogramu dla każdej reguły i monitora. W przypadku zoptymalizowanych reguł zbierania dane są przesyłane tylko wtedy, gdy próbka licznika różni się od poprzedniej próbki o określoną tolerancję, na przykład 10%. Pomaga to ograniczyć ruch sieciowy i ilość danych przechowywanych w operacyjnej bazie danych.

Ponadto wszyscy agenci wysyłają pakiet danych, nazywany pulsem, do serwera zarządzania zgodnie z regularnym harmonogramem, domyślnie co 60 sekund. Celem pulsu jest zweryfikowanie dostępności agenta i komunikacji między agentem a serwerem zarządzania. Aby uzyskać więcej informacji na temat pulsów, zobacz jak działają pulsy w programie Operations Manager.

Dla każdego agenta program Operations Manager uruchamia obserwatora usługi kondycji, który monitoruje stan zdalnego Usługa kondycji z perspektywy serwera zarządzania. Agent komunikuje się z serwerem zarządzania za pośrednictwem portu TCP 5723.

Ilustracja przedstawiająca komunikację agenta z serwerem zarządzania.

Agent systemu Linux/UNIX

Architektura agenta systemów UNIX i Linux znacznie różni się od agenta systemu Windows. Agent systemu Windows ma usługę kondycji odpowiedzialną za ocenę kondycji monitorowanego komputera. Agent systemu UNIX i Linux nie uruchamia usługi kondycji; zamiast tego przekazuje informacje do usługi kondycji na serwerze zarządzania do oceny. Serwer zarządzania uruchamia wszystkie przepływy pracy, aby monitorować kondycję systemu operacyjnego zdefiniowaną w naszej implementacji pakietów administracyjnych systemów UNIX i Linux:

  • Dysk
  • Procesor
  • Pamięć
  • Karty sieciowe
  • System operacyjny
  • Procesy
  • Plik dzienników

Agenci systemów UNIX i Linux dla programu Operations Manager składają się z menedżera obiektów modelu CIM (czyli serwera CIM) i zestawu dostawców modelu CIM. Menedżer obiektów modelu CIM to składnik serwera , który implementuje komunikację, uwierzytelnianie, autoryzację i wysyłanie żądań do dostawców za pomocą usługi WS-Management. Dostawcy są kluczem do implementacji modelu CIM w agencie, definiowania klas i właściwości MODELU CIM, łączenia się z interfejsami API jądra w celu pobierania danych pierwotnych, formatowania danych (na przykład obliczania różnic i średnich) oraz obsługi żądań wysyłanych z Menedżera obiektów modelu CIM. Z programu System Center Operations Manager 2007 R2 do programu System Center 2012 SP1 program CIM Object Manager używany w agentach programu Operations Manager w systemach UNIX i Linux jest serwerem OpenPegasus. Dostawcy służący do zbierania i raportowania danych monitorowania są opracowywani przez firmę Microsoft i open source w CodePlex.com.

Ilustracja architektury oprogramowania agenta systemu UNIX/Linux programu Operations Manager.

Ta zmiana została zmieniona w programie System Center 2012 R2 Operations Manager, gdzie agenci systemów UNIX i Linux są teraz oparte na pełnej spójnej implementacji infrastruktury OMI (Open Management Infrastructure) jako menedżera obiektów modelu CIM. W przypadku agentów programu Operations Manager dla systemu UNIX/Linux usługa OMI zastępuje usługę OpenPegasus. Podobnie jak OpenPegasus, OMI to implementacja typu open source, lekka i przenośna implementacja modelu CIM Object Manager — choć jest lżejsza w wadze i bardziej przenośna niż OpenPegasus. Ta implementacja jest nadal stosowana w programie System Center 2016 — Operations Manager i nowszych wersjach.

Diagram zaktualizowanej architektury oprogramowania agenta systemu UNIX/Linux programu Operations Manager.

Komunikacja między serwerem zarządzania a agentem systemu UNIX i Linux jest podzielona na dwie kategorie: konserwacja agenta i monitorowanie kondycji. Serwer zarządzania używa dwóch protokołów do komunikowania się z komputerem z systemem UNIX lub Linux:

  • Secure Shell (SSH) i Secure Shell File Transfer Protocol (SFTP)

    Służy do wykonywania zadań konserwacji agenta, takich jak instalowanie, uaktualnianie i usuwanie agentów.

  • Web Services for Management (WS-Management)

    Używany do wszystkich operacji monitorowania, w tym do odnajdywania agentów, którzy już zostali zainstalowani.

Komunikacja między serwerem zarządzania programu Operations Manager a agentem systemu UNIX i Linux korzysta z protokołu WS-Man za pośrednictwem protokołu HTTPS i interfejsu WinRM. Wszystkie zadania konserwacji agenta są wykonywane za pośrednictwem protokołu SSH na porcie 22. Wszystkie monitorowanie kondycji odbywa się za pośrednictwem programu WS-MAN na porcie 1270. Serwer zarządzania żąda danych dotyczących wydajności i konfiguracji za pośrednictwem programu WS-MAN przed oceną danych w celu zapewnienia stanu kondycji. Wszystkie działania, takie jak konserwacja agentów, monitory, zasady, zadania i odzyskiwania, są skonfigurowane pod kątem korzystania ze wstępnie zdefiniowanych profilów zgodnie z ich wymaganiem dotyczącym konta nieuprzywilejowanego lub uprzywilejowanego.

Uwaga

Wszystkie poświadczenia, o których mowa w tym artykule, dotyczą kont, które zostały ustanowione na komputerze z systemem UNIX lub Linux, a nie kont programu Operations Manager skonfigurowanych podczas instalacji programu Operations Manager. W sprawie informacji o poświadczeniach i uwierzytelnieniach należy skontaktować się z administratorem systemu.

Aby zapewnić obsługę nowych ulepszeń skalowalności dzięki liczbie systemów UNIX i Linux System Center 2016 — Operations Manager i nowszych może monitorować każdy serwer zarządzania, nowe interfejsy API infrastruktury zarządzania systemu Windows (MI) asynchroniczne są dostępne zamiast interfejsów API synchronizacji WSMAN, które są domyślnie używane. Aby włączyć tę zmianę, należy utworzyć nowy klucz rejestru UseMIAPI , aby umożliwić programowi Operations Manager używanie nowych interfejsów API mi asynchronicznych na serwerach zarządzania monitorujących systemy Linux/Unix.

  1. Otwórz Edytor rejestru z wiersza polecenia z podwyższonym poziomem uprawnień.
  2. Utwórz klucz rejestru UseMIAPI w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Jeśli musisz przywrócić oryginalną konfigurację przy użyciu interfejsów API synchronizacji WSMAN, możesz usunąć klucz rejestru UseMIAPI .

Zabezpieczenia agenta

Uwierzytelnianie na komputerze z systemem UNIX/Linux

W programie Operations Manager administrator systemu nie musi już podać hasła głównego komputera z systemem UNIX lub Linux na serwerze zarządzania. Teraz dzięki podniesieniu uprawnień konto nieuprzywilejowane może przyjąć tożsamość konta uprzywilejowanego na komputerze z systemem UNIX lub Linux. Proces podniesienia uprawnień przeprowadzają programy systemu UNIX „su” (superuser) i „sudo”, które wykorzystują poświadczenia dostarczane przez serwer zarządzania. W przypadku uprzywilejowanych operacji konserwacji agentów, które korzystają z protokołu SSH (takich jak odnajdywanie, wdrażanie, uaktualnianie, dezinstalacja i odzyskiwanie agentów), zapewnia się obsługę polecenia su, podniesienia uprawnień sudo oraz uwierzytelniania klucza SSH (z hasłem lub bez). W przypadku uprzywilejowanych operacji korzystających z protokołu WS-Management (takich jak wyświetlanie bezpiecznych plików dziennika) jest dodawana obsługa podniesienia uprawnień sudo (bez hasła).

Aby uzyskać szczegółowe instrukcje dotyczące określania poświadczeń i konfigurowania kont, zobacz How to Set Credentials for Accessing UNIX and Linux Computers (Jak ustawić poświadczenia na potrzeby uzyskiwania dostępu do komputerów z systemami UNIX i Linux).

Uwierzytelnianie przy użyciu serwera bramy

Serwery bramy służą do włączania zarządzania agentami komputerów, które znajdują się poza granicą zaufania protokołu Kerberos grupy zarządzania. Ponieważ serwer bramy znajduje się w domenie, która nie jest zaufana przez domenę, w których znajduje się grupa zarządzania, należy użyć certyfikatów do ustanowienia tożsamości każdego komputera, agenta, serwera bramy i serwera zarządzania. To rozwiązanie spełnia wymaganie programu Operations Manager w celu wzajemnego uwierzytelniania.

Wymaga to żądania certyfikatów dla każdego agenta, który będzie raportować do serwera bramy i importować te certyfikaty na komputer docelowy przy użyciu narzędzia MOMCertImport.exe, które znajduje się w katalogu SupportTools nośnika instalacyjnego\ (amd64 lub x86). Musisz mieć dostęp do urzędu certyfikacji ( CA), który może być publicznym urzędem certyfikacji, takim jak VeriSign, lub możesz użyć usług certyfikatów firmy Microsoft.

Wdrażanie agenta

Agentów programu System Center Operations Manager można zainstalować przy użyciu jednej z następujących trzech metod. W większości instalacji stosuje się kombinację tych metod w celu zainstalowania na różnych zestawach komputerów, stosownie do potrzeb.

Uwaga

  • Nie można zainstalować programu MMA na komputerze, na którym jest zainstalowany serwer zarządzania programu Operations Manager, serwer bramy, konsola Operacje, operacyjna baza danych, konsola sieci Web, system Center Essentials lub program System Center Service Manager, ponieważ jest już na nich zainstalowana wbudowana wersja programu MMA.
  • Można używać tylko agenta MMA lub analizy dzienników (wersja rozszerzenia maszyny wirtualnej).
  • Odnajdywanie i instalowanie co najmniej jednego agenta z konsoli Operacje. Jest to najpowszechniejsza forma instalacji. Serwer zarządzania musi mieć możliwość połączenia komputera z usługą zdalnego wywołania procedury, a konto działania serwera zarządzania lub inne podane poświadczenia muszą mieć dostęp administracyjny do komputera docelowego.
  • Uwzględnienie w obrazie instalacji. Jest to ręczna instalacja na obrazie podstawowym używanym do przygotowania innych komputerów. W takim przypadku można zastosować integrację z usługą Active Directory, aby automatycznie przypisać komputer do serwera zarządzania przy pierwszym uruchomieniu.
  • Instalacja ręczna. Tę metodę stosuje się, gdy agenta nie można zainstalować jedną z pozostałych metod, na przykład gdy zdalne wywołanie procedury (RPC) jest niedostępne ze względu na zaporę. Konfiguracja jest uruchamiana ręcznie na agencie lub wdrażana za pomocą istniejącego narzędzia do dystrybucji oprogramowania.

Agenty instalowane przy użyciu kreatora odnajdywania mogą być zarządzane z poziomu konsoli Operacje, takich jak aktualizowanie wersji agentów, stosowanie poprawek i konfigurowanie serwera zarządzania, do którego agent raportuje.

Podczas instalowania agenta przy użyciu metody ręcznej aktualizacje agenta muszą być również wykonywane ręcznie. Do przypisywania agentów do grup zarządzania będzie można używać integracji z usługą Active Directory. Aby uzyskać więcej informacji, zobacz Integrowanie usług Active Directory i Operations Manager.

Wybierz wymaganą kartę, aby dowiedzieć się więcej o wdrażaniu agentów w systemach Windows oraz UNIX i LINUX:

Odnajdywanie systemu Windows wymaga, aby porty TCP 135 (RPC), zakres RPC i TCP 445 (SMB) pozostały otwarte i że usługa SMB jest włączona na komputerze agenta.

  • Po odnalezieniu urządzenia docelowego można wdrożyć w nim agenta. Instalacja agenta wymaga:
  • Otwieranie portów RPC rozpoczynających się od mapera punktu końcowego TCP 135 i portu bloku komunikatów serwera (SMB) TCP/UDP 445.
  • Włączenie udostępniania plików i drukarek dla sieci Microsoft Networks i klienta dla usług Microsoft Networks. (Gwarantuje to, że port SMB jest aktywny).
  • W przypadku włączenia ustawienia zasad grupy Zapory systemu Windows dla wyjątku Zezwalaj na administrację zdalną i należy ustawić wyjątek Zezwalaj na udostępnianie plików i drukarek na zezwalanie na niepożądane komunikaty przychodzące z adresu IP i podsieci dla serwerów zarządzania podstawowego i pomocniczego dla agenta.
  • Konto z uprawnieniami administratora lokalnego na komputerze docelowym.
  • Instalator Windows 3.1. Aby zainstalować, zobacz artykuł 893803 w bazie wiedzy Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322
  • Microsoft Core XML Services (MSXML) 6 na nośniku instalacyjnym produktu Operations Manager w katalogu podrzędnym \msxml. Instalacja agenta wypychania instaluje program MSXML 6 na urządzeniu docelowym, jeśli nie został jeszcze zainstalowany.

Przypisanie agenta usługi Active Directory

Program System Center Operations Manager umożliwia wykorzystanie inwestycji w usługi domena usługi Active Directory Services (AD DS), umożliwiając jej używanie do przypisywania komputerów zarządzanych przez agentów do grup zarządzania. Ta funkcja jest często używana z agentem wdrożonym w ramach procesu kompilacji wdrożenia serwera. Gdy komputer jest w trybie online po raz pierwszy, agent programu Operations Manager wysyła zapytanie do usługi Active Directory pod kątem przypisania serwera zarządzania podstawowego i trybu failover i automatycznie uruchamia monitorowanie komputera.

Aby przypisać komputery do grup zarządzania przy użyciu usług AD DS:

  • Poziom funkcjonalności domen usług AD DS musi być natywny dla systemu Windows 2008 lub nowszy
  • Komputery zarządzane przez agenta i wszystkie serwery zarządzania muszą znajdować się w tej samej domenie lub w dwukierunkowych zaufanych domenach.

Uwaga

Agent, który określa, że jest zainstalowany na kontrolerze domeny, nie będzie wysyłać zapytań do usługi Active Directory w celu uzyskania informacji o konfiguracji. Jest to ze względów bezpieczeństwa. Integracja z usługą Active Directory jest domyślnie wyłączona na kontrolerach domeny, ponieważ agent działa na koncie systemu lokalnego. Konto systemu lokalnego na kontrolerze domeny ma uprawnienia administratora domeny; w związku z tym wykrywa wszystkie punkty połączenia usługi serwera zarządzania, które są zarejestrowane w usłudze Active Directory, niezależnie od członkostwa w grupie zabezpieczeń kontrolera domeny. W związku z tym agent próbuje nawiązać połączenie ze wszystkimi serwerami zarządzania we wszystkich grupach zarządzania. Wyniki mogą być nieprzewidywalne, co stanowi zagrożenie bezpieczeństwa.

Przypisanie agenta odbywa się przy użyciu punktu połączenia z usługą (SCP), który jest obiektem usługi Active Directory do publikowania informacji, których aplikacje klienckie mogą używać do powiązania z usługą. Jest to tworzone przez administratora domeny z uruchomionym narzędziem wiersza polecenia MOMADAdmin.exe w celu utworzenia kontenera usług AD DS dla grupy zarządzania programu Operations Manager w domenach zarządzanych przez nią komputerów. Grupa zabezpieczeń usług AD DS określona podczas uruchamiania MOMADAdmin.exe ma przyznane uprawnienia Odczyt i Usuń podrzędne do kontenera. Punkt połączenia zawiera informacje o połączeniu z serwerem zarządzania, w tym nazwę FQDN serwera i numer portu. Agenci programu Operations Manager mogą automatycznie odnajdywać serwery zarządzania, wykonując zapytania dotyczące scPs. Dziedziczenie nie jest wyłączone i dlatego, że agent może odczytać informacje o integracji zarejestrowane w usłudze AD, jeśli wymusisz dziedziczenie dla grupy Wszyscy do odczytu wszystkich obiektów na poziomie głównym w usłudze Active Directory, będzie to miało poważny wpływ i zasadniczo przerywa działanie integracji usługi AD. Jeśli jawnie wymusisz dziedziczenie w całym katalogu, udzielając uprawnień do odczytu grupy Wszyscy, musisz zablokować to dziedziczenie w kontenerze integracji usługi AD najwyższego poziomu o nazwie OperationsManager i wszystkich obiektów podrzędnych.  Jeśli tego nie zrobisz, integracja z usługą AD nie będzie działać zgodnie z założeniami i nie będzie mieć niezawodnego i spójnego przypisania podstawowego i trybu failover dla wdrożonych agentów. Ponadto, jeśli masz więcej niż jedną grupę zarządzania, wszyscy agenci w obu grupach zarządzania będą również w wielu domach. 

Ta funkcja dobrze sprawdza się w przypadku kontrolowania przypisania agenta we wdrożeniu rozproszonej grupy zarządzania, aby uniemożliwić agentom raportowanie do serwerów zarządzania przeznaczonych dla pul zasobów lub serwerów zarządzania w pomocniczym centrum danych w konfiguracji rezerwy ciepłej, aby zapobiec przełączeniu agenta w tryb failover podczas normalnego działania.

Konfiguracja przypisania agenta jest zarządzana przez administratora programu Operations Manager przy użyciu Kreatora przypisania agenta i trybu failover w celu przypisania komputerów do podstawowego serwera zarządzania i pomocniczego serwera zarządzania.

Uwaga

Integracja usługi Active Directory jest wyłączona dla agentów zainstalowanych w konsoli Operacje. Domyślnie integracja usługi Active Directory jest włączona dla agentów zainstalowanych ręcznie przy użyciu MOMAgent.msi.

Następne kroki