Agenci programu Operations Manager

Ważne

Ta wersja programu Operations Manager osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu Operations Manager 2022.

W programie System Center Operations Manager agent jest usługą zainstalowaną na komputerze, który wyszukuje dane konfiguracji i aktywnie zbiera informacje na potrzeby analizy i raportowania, mierzy stan kondycji monitorowanych obiektów, takich jak baza danych SQL lub dysk logiczny, i wykonuje zadania na żądanie przez operatora lub w odpowiedzi na warunek. Umożliwia on programowi Operations Manager monitorowanie systemów operacyjnych Windows, Linux i UNIX oraz składników usługi IT zainstalowanych na nich, takich jak witryna internetowa lub kontroler domeny usługi Active Directory.

Agent systemu Windows

Na monitorowanym komputerze z systemem Windows agent programu Operations Manager jest wyświetlany jako usługa programu Microsoft Monitoring Agent (MMA). Umożliwia ona zbieranie danych zdarzeń i wydajności, wykonywanie zadań i uruchamianie innych przepływów pracy zdefiniowanych w pakiecie administracyjnym. Nawet gdy usługa nie jest w stanie skomunikować się z serwerem zarządzania, któremu podlega i do którego wysyła raporty, nie przestaje działać, tylko kolejkuje zbierane dane i zdarzenia na dysku monitorowanego komputera. Po przywróceniu połączenia usługa Microsoft Monitoring Agent wysyła zebrane dane i zdarzenia do serwera zarządzania.

Uwaga

• Usługę Microsoft Monitoring Agent nazywa się czasem usługą kondycyjną.

Usługa Microsoft Monitoring Agent działa również na serwerach zarządzania. Na serwerze zarządzania usługa uruchamia przepływy pracy monitorowania i zarządza poświadczeniami. Aby uruchamiać przepływy pracy, usługa inicjuje procesy MonitoringHost.exe z wykorzystaniem określonych poświadczeń. Procesy te monitorują i zbierają dane dziennika zdarzeń, dane liczników wydajności, dane Instrumentacji zarządzania Windows (WMI), a także uruchamiają pewne działania, na przykład skrypty.

Komunikacja między agentami a serwerami zarządzania

Agent programu Operations Manager wysyła dane dotyczące alertów i odnajdywania do przypisanego podstawowego serwera zarządzania, który zapisuje je w operacyjnej bazie danych. Agent wysyła także dane dotyczące zdarzeń, wydajności i stanu do podstawowego serwera zarządzania dla tego agenta, który zapisuje dane równocześnie w operacyjnej bazie danych oraz w bazie danych magazynu danych.

Agent wysyła dane zgodnie z parametrami harmonogramu dla każdej reguły i monitora. W przypadku zoptymalizowanych reguł zbierania dane są jedynie przesyłane, jeśli próbka licznika różni się od poprzedniej próbki w ramach określonej tolerancji, na przykład 10%. Pozwala to zmniejszyć obciążenie sieci oraz ilość danych przechowywanych w operacyjnej bazie danych.

Oprócz tego, zgodnie z ustalonym harmonogramem (domyślnie co 60 sekund) wszyscy agenci wysyłają do serwera zarządzania pakiet danych zwany pulsem. Celem pulsu jest zweryfikowanie dostępności agenta oraz komunikacji między nim a serwerem zarządzania. Aby uzyskać więcej informacji o pulsach, zobacz Jak działa puls w programie Operations Manager.

Dla każdego agenta program Operations Manager uruchamia obserwatora usługi kondycji, który monitoruje stan zdalnej usługi kondycji z perspektywy serwera zarządzania. Agent komunikuje się z serwerem zarządzania za pośrednictwem portu TCP 5723.

Agent systemu Linux/UNIX

Architektura agenta systemu UNIX i Linux różni się znacznie od agenta systemu Windows. Agent systemu Windows używa usługi kondycji, która ocenia kondycję monitorowanego komputera. Agent systemu UNIX i Linux nie uruchamia usługi kondycji; zamiast tego przekazuje informacje do usługi kondycji na serwerze zarządzania do oceny. Serwer zarządzania uruchamia wszystkie przepływy pracy, aby monitorować kondycję systemu operacyjnego zdefiniowaną w naszej implementacji pakietów administracyjnych systemów UNIX i Linux:

• Dysk
• Procesor
• Pamięć
• Karty sieciowe
• System operacyjny
• Procesy
• Pliki dziennika

Agenci systemów UNIX i Linux dla programu Operations Manager składają się z menedżera obiektów MODELU CIM (czyli serwera CIM) i zestawu dostawców modelu CIM. Menedżer obiektów modelu CIM to składnik serwera , który implementuje komunikację WS-Management, uwierzytelnianie, autoryzację i wysyłanie żądań do dostawców. Dostawcy są kluczem do implementacji modelu CIM w agencie, definiując klasy i właściwości MODELU CIM, łącząc się z interfejsami API jądra w celu pobierania nieprzetworzonych danych, formatowania danych (na przykład obliczania różnic i średnich) oraz obsługi żądań wysyłanych z Menedżera obiektów modelu CIM. Od wersji 2007 R2 do wersji 2012 SP1 programu System Center Operations Manager rolę menedżera obiektów modelu wspólnych informacji używanego w agentach programu Operations Manager dla systemów UNIX i Linux pełni serwer OpenPegasus. Dostawcy używani do zbierania i raportowania danych monitorowania są opracowywani przez firmę Microsoft i rozwijani w modelu open source przez społeczność witryny CodePlex.com.

Ta zmiana została zmieniona w programie System Center 2012 R2 Operations Manager, gdzie agenci systemów UNIX i Linux są teraz oparte na w pełni spójnej implementacji infrastruktury open management (OMI) jako menedżera obiektów modelu CIM. W przypadku agentów programu Operations Manager dla systemu UNIX/Linux serwer OpenPegasus został zastąpiony przez infrastrukturę OMI. Podobnie jak OpenPegasus, OMI to implementacja typu open source, lekka i przenośna implementacja programu CIM Object Manager — choć jest lżejsza w wadze i bardziej przenośna niż OpenPegasus. Ta implementacja nadal jest stosowana w programie System Center 2016 — Operations Manager i nowszym.

Komunikacja między serwerem zarządzania a agentem systemu UNIX i Linux jest podzielona na dwie kategorie: konserwacja agenta i monitorowanie kondycji. Serwer zarządzania używa dwóch protokołów do komunikacji z komputerem z systemem UNIX lub Linux:

• Secure Shell (SSH) i Secure Shell File Transfer Protocol (SFTP)

  Używany do zadań konserwacji agentów, na przykład instalowania, uaktualniania i usuwania agentów.

• Web Services for Management (WS-Management)

  Używany do wszystkich operacji monitorowania, w tym do odnajdywania agentów, którzy już zostali zainstalowani.

Komunikacja między serwerem zarządzania programu Operations Manager a agentem systemu UNIX i Linux używa WS-Man za pośrednictwem protokołu HTTPS i interfejsu WinRM. Wszystkie zadania konserwacji agenta są wykonywane za pośrednictwem protokołu SSH przy użyciu portu 22. Monitorowanie kondycji odbywa się za pośrednictwem usługi WS-MAN przy użyciu portu 1270. Przy użyciu usługi WS-MAN serwer zarządzania wysyła żądania dotyczące danych wydajności i konfiguracji, a następnie ocenia te dane i udostępnia informację o stanie kondycji. Wszystkie działania, takie jak konserwacja agentów, monitory, zasady, zadania i odzyskiwania, są skonfigurowane pod kątem korzystania ze wstępnie zdefiniowanych profilów zgodnie z ich wymaganiem dotyczącym konta nieuprzywilejowanego lub uprzywilejowanego.

Uwaga

Wszystkie poświadczenia określone w tym artykule dotyczą kont, które zostały ustanowione na komputerze z systemem UNIX lub Linux, a nie do kont programu Operations Manager skonfigurowanych podczas instalacji programu Operations Manager. W sprawie informacji o poświadczeniach i uwierzytelnieniach należy skontaktować się z administratorem systemu.

Aby zapewnić obsługę nowych ulepszeń skalowalności z liczbą systemów UNIX i Linux System Center 2016 — Operations Manager, a później można monitorować na serwer zarządzania, nowe interfejsy API infrastruktury zarządzania systemu Windows (MI) asynchronicznego systemu Windows są dostępne zamiast interfejsów API synchronizacji WSMAN, które są domyślnie używane. Aby włączyć tę zmianę, należy utworzyć nowy klucz rejestru UseMIAPI , aby umożliwić programowi Operations Manager używanie nowych interfejsów API mi asynchronicznych na serwerach zarządzania monitorujących systemy Linux/Unix.

1. Otwórz Redaktor rejestru w wierszu polecenia z podwyższonym poziomem uprawnień.
2. Utwórz klucz rejestru UseMIAPI w obszarze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup.

Jeśli musisz przywrócić oryginalną konfigurację przy użyciu interfejsów API synchronizacji WSMAN, możesz usunąć klucz rejestru UseMIAPI .

Zabezpieczenia agentów

Uwierzytelnianie na komputerze z systemem UNIX lub Linux

W programie Operations Manager administrator systemu nie musi już podać hasła głównego komputera z systemem UNIX lub Linux na serwerze zarządzania. Teraz dzięki podniesieniu uprawnień konto nieuprzywilejowane może przyjąć tożsamość konta uprzywilejowanego na komputerze z systemem UNIX lub Linux. Proces podniesienia uprawnień przeprowadzają programy systemu UNIX „su” (superuser) i „sudo”, które wykorzystują poświadczenia dostarczane przez serwer zarządzania. W przypadku uprzywilejowanych operacji konserwacji agentów, które korzystają z protokołu SSH (takich jak odnajdywanie, wdrażanie, uaktualnianie, dezinstalacja i odzyskiwanie agentów), zapewnia się obsługę polecenia su, podniesienia uprawnień sudo oraz uwierzytelniania klucza SSH (z hasłem lub bez). W przypadku uprzywilejowanych operacji korzystających z protokołu WS-Management (takich jak wyświetlanie bezpiecznych plików dziennika) jest dodawana obsługa podniesienia uprawnień sudo (bez hasła).

Aby uzyskać szczegółowe instrukcje dotyczące określania poświadczeń i konfigurowania kont, zobacz Jak ustawić poświadczenia na potrzeby uzyskiwania dostępu do komputerów z systemami UNIX i Linux.

Uwierzytelnianie za pomocą serwera bramy

Serwery bramy służą do włączania zarządzania agentami komputerów spoza granicy zaufania protokołu Kerberos grupy zarządzania. Ponieważ serwer bramy znajduje się w domenie, która nie jest zaufana przez domenę, w których znajduje się grupa zarządzania, certyfikaty muszą być używane do ustanawiania tożsamości każdego komputera, agenta, serwera bramy i serwera zarządzania. To rozwiązanie spełnia wymaganie programu Operations Manager w zakresie uwierzytelniania wzajemnego.

Wymaga to żądania certyfikatów dla każdego agenta, który będzie raportować do serwera bramy i importować te certyfikaty do komputera docelowego przy użyciu narzędzia MOMCertImport.exe, które znajduje się w katalogu SupportTools\ (amd64 lub x86). Musisz mieć dostęp do urzędu certyfikacji, który może być publicznym urzędem certyfikacji, takim jak VeriSign, lub możesz użyć usług certyfikatów firmy Microsoft.

Wdrażanie agentów

Agenci programu System Center Operations Manager mogą być instalowani przy użyciu jednej z następujących trzech metod. W większości instalacji jest używana kombinacja tych metod w celu zainstalowania różnych zestawów komputerów, zgodnie z potrzebami danej konfiguracji.

Uwaga

• Nie można zainstalować programu MMA na komputerze, na którym jest zainstalowany serwer zarządzania programu Operations Manager, serwer bramy, konsola operacji, operacyjna baza danych, konsola sieci Web, system Center Essentials lub System Center Service Manager — ponieważ ma już zainstalowaną wbudowaną wersję programu MMA.
• Można używać tylko agenta MMA lub log analytics (wersja rozszerzenia maszyny wirtualnej).

• Odnajdywanie i instalacja jednego lub większej liczby agentów z poziomu konsoli Operacje. Jest to najczęściej używany typ instalacji. Serwer zarządzania musi mieć połączenie z komputerem z usługą RPC, a konto działania serwera zarządzania lub inne podane konto musi mieć dostęp administracyjny do komputera docelowego.
• Dołączenie do obrazu instalacji. Ta metoda dotyczy ręcznej instalacji przy użyciu obrazu podstawowego używanego do przygotowania innych komputerów. W tym przypadku można użyć integracji usługi Active Directory do automatycznego przypisania komputera do serwera zarządzania podczas wstępnego uruchamiania.
• Instalacja ręczna. Ta metoda jest używana, gdy agent nie może być zainstalowany za pomocą jednej z innych metod, na przykład gdy zdalne wywołanie procedury (RPC) jest niedostępne z powodu zapory. Instalacja jest ręcznie przeprowadzana na agencie lub wdrażana za pomocą istniejącego narzędzia do dystrybucji oprogramowania.

Agenci instalowani przy użyciu Kreatora odnajdywania mogą być zarządzani za pomocą konsoli Operacje, takiej jak aktualizowanie wersji agenta, stosowanie poprawek i konfigurowanie serwera zarządzania, do którego zgłasza agent.

W przypadku zainstalowania agenta przy użyciu metody ręcznej aktualizacje agenta również muszą być wykonywane ręcznie. Do przypisywania agentów do grup zarządzania będzie można używać integracji usługi Active Directory. Aby uzyskać więcej informacji, zobacz temat Integrowanie usługi Active Directory i programu Operations Manager.

Wybierz kartę wymaganą, aby dowiedzieć się więcej o wdrażaniu agentów w systemach Windows i UNIX i LINUX:

Wdrażanie agentów w systemie Windows

Do odnajdywania systemu Windows jest wymagane pozostawienie otwartego portu TCP 135 (RPC), portów z zakresu wywołań usługi RPC oraz portu TCP 445 (SMB) oraz włączenie usługi SMB na komputerze agenta.

• Po odnalezieniu urządzenia docelowego można do niego wdrożyć agenta. Instalacja agenta wymaga spełnienia następujących warunków:
• Otwarcie portów usługi RPC, począwszy od portu TCP 135 mapowania punktów końcowych i portu TCP/UDP 445 bloku komunikatów serwera (SMB).
• Włączenie udostępniania plików i drukarek w sieciach Microsoft Networks oraz uruchomienie klienta usług Microsoft Networks. (Zapewnia to włączenie portu SMB).
• Jeśli ustawienia zasad grupy Zapory systemu Windows Zezwalaj na wyjątek administracji zdalnej oraz Zezwalaj na wyjątek udostępniania plików i drukarek są włączone, muszą mieć wartość Zezwalaj na niechciane komunikaty przychodzące z uwzględniającą adresy IP i podsieci dla głównego oraz pomocniczego serwera zarządzania agenta.
• Konto z uprawnieniami administratora lokalnego na komputerze docelowym.
• Instalator Windows w wersji 3.1. Aby zainstalować, zobacz artykuł 893803 w bazie wiedzy Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322
• Program Microsoft Core XML Services (MSXML) 6 dostępny na nośniku instalacyjnym produktu Operations Manager w podkatalogu \msxml. Instalacja agenta wypychania instaluje program MSXML 6 na urządzeniu docelowym, jeśli nie został jeszcze zainstalowany.

Wdrażanie agentów w systemach UNIX i Linux

W programie System Center Operations Manager serwer zarządzania używa dwóch protokołów do komunikowania się z komputerem z systemem UNIX lub Linux:

• Secure Shell (SSH) — używany do instalacji, uaktualniania i usuwania agentów.
• Web Services for Management (WS-Management) — używany do wszystkich operacji monitorowania, w tym do odnajdywania agentów, którzy już zostali zainstalowani.

To, który protokół zostaje użyty, zależy od tego, jakiego działania lub jakich informacji żąda się na serwerze zarządzania. Wszystkie działania, takie jak konserwacja agentów, monitory, zasady, zadania i odzyskiwania, są skonfigurowane pod kątem korzystania ze wstępnie zdefiniowanych profilów zgodnie z ich wymaganiem dotyczącym konta nieuprzywilejowanego lub uprzywilejowanego.

Uwaga

Wszystkie poświadczenia, o których wspomniano w tym temacie, dotyczą kont utworzonych na komputerze z systemem UNIX lub Linux, a nie kont programu Operations Manager konfigurowanych podczas instalacji programu Operations Manager. W sprawie informacji o poświadczeniach i uwierzytelnieniach należy skontaktować się z administratorem systemu.

Dzięki podniesieniu uprawnień konto nieuprzywilejowane może przyjąć tożsamość konta uprzywilejowanego na komputerze z systemem UNIX lub Linux. Proces podniesienia uprawnień przeprowadzają programy systemu UNIX „su” (superuser) i „sudo”, które wykorzystują poświadczenia dostarczane przez serwer zarządzania. W przypadku uprzywilejowanych operacji konserwacji agentów, które korzystają z protokołu SSH (takich jak odnajdywanie, wdrażanie, uaktualnianie, dezinstalacja i odzyskiwanie agentów), zapewniona jest obsługa polecenia su, podniesienia uprawnień sudo oraz uwierzytelniania klucza SSH (z hasłem lub bez). W przypadku uprzywilejowanych operacji korzystających z protokołu WS-Management (takich jak wyświetlanie bezpiecznych plików dziennika) jest zapewniona obsługa podniesienia uprawnień sudo (bez hasła).

Przypisywanie agenta usługi Active Directory

Program System Center Operations Manager umożliwia korzystanie z inwestycji w Active Directory Domain Services (AD DS), umożliwiając jej użycie w celu przypisania komputerów zarządzanych przez agenta do grup zarządzania. Ta funkcja jest często używana z agentem wdrożonym w ramach procesu kompilacji wdrożenia serwera. Po pierwszym przejściu komputera do trybu online agent programu Operations Manager wysyła zapytanie do usługi Active Directory dotyczące przypisania serwera zarządzania (podstawowego i trybu failover) i automatycznie rozpoczyna monitorowanie komputera.

Aby przypisać komputery do grup zarządzania za pomocą usług AD DS:

• Domeny usług AD DS muszą mieć co najmniej natywny poziom funkcjonalny systemu Windows 2008.
• Komputery zarządzane przez agenta i wszystkie serwery zarządzania muszą znajdować się w tej samej domenie lub domenach, między którymi istnieje dwukierunkowa relacja zaufania.

Uwaga

Agent, który określa, że jest zainstalowany na kontrolerze domeny, nie będzie wysyłać zapytań do usługi Active Directory w celu uzyskania informacji o konfiguracji. Wynika to ze względów bezpieczeństwa. Na kontrolerach domeny integracja z usługą Active Directory jest domyślnie wyłączona, ponieważ agent działa na lokalnym koncie systemowym. Konto systemu lokalnego na kontrolerze domeny ma uprawnienia administratora domeny; w związku z tym wykrywa wszystkie punkty połączenia usługi serwera zarządzania zarejestrowane w usłudze Active Directory, niezależnie od członkostwa w grupie zabezpieczeń kontrolera domeny. W związku z tym agent próbuje nawiązać połączenie ze wszystkimi serwerami zarządzania we wszystkich grupach zarządzania. Wyniki mogą być nieprzewidywalne, co oznacza zagrożenie bezpieczeństwa.

Przypisanie agenta jest wykonywane przy użyciu punktu połączenia z usługą (SCP, Service Connection Point), który jest obiektem usługi Active Directory umożliwiającym publikowanie informacji używanych przez aplikacje klienckie do utworzenia powiązania z usługą. Jest to tworzone przez administratora domeny z uruchomionymMOMADAdmin.exenarzędziem wiersza polecenia w celu utworzenia kontenera usług AD DS dla grupy zarządzania programu Operations Manager w domenach zarządzanych komputerów. Grupa zabezpieczeń usług AD DS określona podczas uruchamiania MOMADAdmin.exe ma uprawnienia Odczyt i Usuń podrzędne do kontenera. Punkt połączenia zawiera informacje o połączeniu z serwerem zarządzania, w tym nazwę FQDN serwera i numer portu. Agenci programu Operations Manager mogą automatycznie wykrywać serwery zarządzania przy użyciu zapytań dotyczących punktów połączenia z usługą. Dziedziczenie nie jest wyłączone i ponieważ agent może odczytać informacje o integracji zarejestrowane w usłudze AD, jeśli wymusisz dziedziczenie dla grupy Wszyscy, aby odczytać wszystkie obiekty na poziomie głównym w usłudze Active Directory, będzie to miało poważny wpływ i zasadniczo przerywa funkcjonalność integracji usługi AD. Jeśli jawnie wymusisz dziedziczenie w całym katalogu, udzielając uprawnień odczytu grupy Wszyscy, musisz zablokować to dziedziczenie w kontenerze integracji usługi AD najwyższego poziomu o nazwie OperationsManager i wszystkich obiektach podrzędnych.  Jeśli nie można tego zrobić, integracja z usługą AD nie będzie działać zgodnie z założeniami i nie będzie mieć niezawodnego i spójnego przypisania podstawowego i trybu failover dla wdrożonych agentów. Ponadto, jeśli występuje więcej niż jedna grupa zarządzania, wszyscy agenci w obu grupach zarządzania będą skonfigurowani w sposób wieloadresowy. 

Funkcja ta pozwala na skuteczną kontrolę przypisania agentów we wdrożeniu obejmującym rozproszone grupy zarządzania, uniemożliwiając agentom zgłaszanie się do serwerów zarządzania przeznaczonych na potrzeby pul zasobów lub serwerów zarządzania znajdujących się w pomocniczym centrum danych w ramach konfiguracji rezerwy aktywnej, co zapobiega występowaniu trybu failover agenta podczas normalnego działania.

Konfiguracją przypisania agentów zarządza administrator programu Operations Manager, który przypisuje komputery do podstawowego oraz pomocniczego serwera zarządzania przy użyciu Kreatora przypisania agenta i trybu failover.

Uwaga

Integracja usługi Active Directory jest wyłączona dla agentów zainstalowanych z poziomu konsoli Operacje. Domyślnie integracja z usługą Active Directory jest włączona dla agentów zainstalowanych ręcznie za pomocą pliku MOMAgent.msi.

Następne kroki

• Aby zrozumieć sposób instalowania agenta systemu Windows z poziomu konsoli Operacje, zobacz sekcję Instalowanie agenta w systemie Windows za pomocą Kreatora odnajdywania. Aby zainstalować agenta z wiersza polecenia, zobacz sekcję Ręczne instalowanie agenta systemu Windows przy użyciu narzędzia MOMAgent.msi.

• Aby dowiedzieć się, jak zainstalować systemy Linux i UNIX z poziomu konsoli Operacje, zobacz Instalowanie agenta w systemach UNIX i Linux przy użyciu Kreatora odnajdywania.

• Aby dowiedzieć się, jak utworzyć kontener w usłudze Active Directory, skonfigurować przypisanie trybu failover agenta i zarządzać konfiguracją, zobacz Jak skonfigurować i używać integracji usługi Active Directory na potrzeby przypisywania agenta.