Агенты Operations Manager

Важно!

Поддержка этой версии Operations Manager завершена. Рекомендуется выполнить обновление до Operations Manager 2022.

В System Center Operations Manager агент — это служба, установленная на компьютере, которая ищет данные конфигурации и заблаговременно собирает сведения для анализа и создания отчетов, измеряет состояние работоспособности отслеживаемых объектов, таких как база данных SQL или логический диск, и выполняет задачи по требованию оператора или в ответ на условие. Это позволяет Operations Manager отслеживать операционные системы Windows, Linux и UNIX, а также компоненты ИТ-службы, установленные на них, например веб-сайт или контроллер домена Active Directory.

Агент Windows

На отслеживаемом компьютере Windows агент Operations Manager указан как служба Microsoft Monitoring Agent (MMA). Служба Microsoft Monitoring Agent собирает данные о событиях и производительности, выполняет задачи и другие рабочие процессы, определенные в пакете управления. Даже если эта служба не может подключиться к серверу управления, которому она подчиняется, она продолжает работать и помещает собранные данные и события в очередь на диске наблюдаемого компьютера. При восстановлении подключения служба Microsoft Monitoring Agent отправляет собранные данные и события на сервер управления.

Примечание

• Иногда службу Microsoft Monitoring Agent называют службой работоспособности.

Служба Microsoft Monitoring Agent также работает на серверах управления. На сервере управления эта служба выполняет рабочие процессы мониторинга и управляет учетными данными. Для запуска рабочих процессов служба вызывает процессы MonitoringHost.exe с использованием указанных учетных данных. Эти процессы выполняют наблюдение и собирают данные журналов событий, данные инструментария управления Windows (WMI), а также выполняют такие действия, как запуск скриптов.

Взаимодействие между агентами и серверами управления

Агент Operations Manager отправляет предупреждение и данные обнаружения на назначенный основной сервер управления, который записывает эти данные в рабочую базу данных. Кроме того, агент отправляет данные о событиях, производительности и состоянии на основной сервер управления, который одновременно записывает эти данные в рабочую базу данных и в базу данных хранилища данных.

Агент отправляет данные в соответствии с параметрами расписания для каждого правила и монитора. В случае оптимизированных правил сбора данных данные передаются только в том случае, если выборка счетчика отличается от предыдущей выборки на указанную величину допуска, например на 10%. Это помогает сократить сетевой трафик и объем данных, хранящихся в рабочей базе данных.

Кроме того, все агенты регулярно отправляют пакет данных, называемый пульсом, на сервер управления: по умолчанию это происходит каждые 60 секунд. Цель пульса состоит в проверке доступности агента и связи между агентом и сервером управления. Дополнительные сведения о пульсе см. в статье How Heartbeats Work in Operations Manager (Принципы работы пульса в Operations Manager).

Для каждого агента Operations Manager запускает наблюдатель службы работоспособности, который наблюдает за состоянием удаленной службы работоспособности с точки зрения сервера управления. Агент взаимодействует с сервером управления через TCP-порт 5723.

Агент Linux/UNIX

Архитектура агента UNIX и Linux существенно отличается от архитектуры агента Windows. Агент Windows имеет службу работоспособности, ответственную за оценку работоспособности отслеживаемого компьютера. Агент UNIX и Linux не запускает службу работоспособности; Вместо этого он передает сведения в службу работоспособности на сервере управления для оценки. На сервере управления запускаются все рабочие процессы для мониторинга состояния операционной системы, определенные в реализации пакетов управления UNIX и Linux:

• Диск
• Процессор
• Память
• Сетевые адаптеры
• Операционная система
• Процессы
• Файлы журнала

Агенты UNIX и Linux для Operations Manager состоят из диспетчера объектов CIM (т. е. сервера CIM) и набора поставщиков CIM. Диспетчер объектов CIM — это серверный компонент, реализующий WS-Management связи, проверки подлинности, авторизации и отправки запросов поставщикам. Поставщики являются ключевым элементом реализации CIM в агенте, определяя классы и свойства CIM, взаимодействуя с API ядра для извлечения необработанных данных, форматируя данные (например, вычисляя разности и средние значения) и обслуживая запросы, отправленные диспетчером объектов CIM. В операционных системах с System Center Operations Manager 2007 R2 по System Center 2012 SP1 диспетчер объектов CIM, используемый в агентах UNIX и Linux Operations Manager, представляет собой сервер OpenPegasus. Поставщики, используемые для сбора данных мониторинга и составления соответствующих отчетов, разрабатываются Майкрософт и предоставляются на сайте CodePlex.com с открытым кодом.

В System Center 2012 R2 Operations Manager этот подход был изменен, а в основе агентов UNIX и Linux в качестве диспетчера объектов CIM теперь лежит полностью согласованная реализация инфраструктуры Open Management Infrastructure (OMI). В случае агентов UNIX/Linux Operations Manager OMI заменяет OpenPegasus. Как и OpenPegasus, OMI — это упрощенная и переносимая реализация диспетчера объектов CIM с открытым кодом, хотя она легче по весу и более портативна, чем OpenPegasus. Эта реализация по-прежнему используется в System Center 2016 — Operations Manager и более поздних версий.

Обмен данными между сервером управления и агентом UNIX и Linux делится на две категории: обслуживание агента и мониторинг работоспособности. На сервере управления для взаимодействия с компьютером UNIX или Linux используются два протокола:

• Secure Shell (SSH) и протокол SFTP

  Используется для задач по обслуживанию агента, включая установку, обновление и удаление агентов.

• Веб-службы для управления (WS-Management)

  Используется для всех операций мониторинга и обнаружения уже установленных агентов.

Взаимодействие между сервером управления Operations Manager и агентом UNIX и Linux осуществляется с помощью WS-Man по протоколу HTTPS и интерфейса WinRM. Все задачи по обслуживанию агента выполняются по протоколу SSH через порт 22. Наблюдение за работоспособностью выполняется с помощью WS-MAN через порт 1270. Сервер управления запрашивает данные конфигурации и производительности через WS-MAN, прежде чем оценить данные и сообщить состояние работоспособности. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.

Примечание

Все учетные данные, указанные в этой статье, относятся к учетным записям, созданным на компьютере под управлением UNIX или Linux, а не к учетным записям Operations Manager, настроенным во время установки Operations Manager. Обратитесь к системному администратору для получения учетных данных и сведений о проверке подлинности.

На смену синхронным интерфейсам API WSMAN, использовавшимся по умолчанию, пришли новые асинхронные API инфраструктуры управления (MI) Windows. Они позволяют выполнять масштабирование и мониторинг нескольких систем UNIX и Linux на одном сервере управления в System Center Operations Manager 2016 и более поздних версий. Чтобы воспользоваться новыми возможностями, создайте раздел реестра UseMIAPI. Это позволит диспетчеру Operations Manager применять новые асинхронные интерфейсы API MI на серверах управления, при помощи которых выполняется мониторинг систем Linux и Unix.

1. Откройте редактор реестра из командной строки с повышенными привилегиями.
2. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup раздел реестра UseMIAPI.

Чтобы восстановить исходную конфигурацию с синхронными API WSMAN, можно удалить раздел реестра UseMIAPI.

Безопасность агентов

Проверка подлинности на компьютере под управлением UNIX или Linux

В Operations Manager системным администраторам больше не требуется указывать пароль учетной записи root компьютера под управлением UNIX или Linux на сервере управления. За счет повышения прав непривилегированная учетная запись может подразумевать собой привилегированную учетную запись на компьютере с UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).

Подробные инструкции о задании учетных данных и настройке учетных записей см. в статье Настройка учетных данных для доступа к компьютерам с ОС UNIX и Linux.

Проверка подлинности на сервере шлюза

Серверы шлюзов позволяют с помощью агентов управлять компьютерами, которые расположены за пределами зоны доверия Kerberos групп управления. Так как сервер шлюза находится в домене, который не является доверенным для домена, в котором находится группа управления, сертификаты должны использоваться для установки удостоверения, агента, сервера шлюза и сервера управления каждого компьютера. Данная схема удовлетворяет требованию Operations Manager к взаимной проверке подлинности.

Для этого вам нужно запросить сертификаты для каждого агента, который будет отправлять отчеты на сервер шлюза, а затем импортировать эти сертификаты на целевой компьютер с помощью средства MOMCertImport.exe. Средство находится на установочном носителе в каталоге \SupportTools\ (amd64 или x86). Необходимо иметь доступ к центру сертификации (ЦС), который может быть общедоступным ЦС, например VeriSign, или использовать службы сертификации Майкрософт.

Развертывание агента

Агенты System Center Operations Manager можно установить с использованием одного из следующих трех методов. Чтобы установить разные типы компьютеров соответствующим образом, в большинстве установок используется сочетание этих методов.

Примечание

• Вы не можете установить MMA на компьютере, где установлен сервер управления Operations Manager, сервер шлюза, консоль управления, рабочая база данных, веб-консоль, System Center Essentials или System Center Service Manager, так как у них уже установлена встроенная версия MMA.
• Вы можете использовать либо MMA, либо агент аналитики (версия расширения виртуальной машины).

• Обнаружение и установка одного или нескольких агентов с консоли управления. Это наиболее распространенная форма установки. Сервер управления должен иметь возможность подключиться к компьютеру с использованием RPC, и либо учетная запись действий сервера управления, либо другие предоставленные учетные данные должны иметь административный доступ к целевому компьютеру.
• Включение в образ установки. Это установка вручную в базовый образ, который используется для подготовки других компьютеров. В этом случае интеграция с Active Directory может применяться для автоматического назначения компьютера серверу управления после начальной загрузки.
• Установка вручную. Этот метод используется, когда агент не может быть установлен одним из других методов, например, если удаленный вызов процедур (RPC) недоступен из-за брандмауэра. Эта настройка вручную выполняется в агенте или развертывается с помощью существующего инструмента распределения программного обеспечения.

Агентами, установленными с помощью мастера обнаружения, можно управлять из консоли управления, например обновление версий агентов, применение исправлений и настройка сервера управления, на который передается агент.

При установке агента вручную его обновление также должно выполняться вручную. Вы сможете использовать интеграцию Active Directory для назначения агентов группам управления. Дополнительные сведения см. в статье Интеграция Active Directory и Operations Manager.

Выберите необходимую вкладку, чтобы узнать больше о развертывании агента в системах Windows, UNIX и LINUX:

Развертывание агента в системе Windows

Для обнаружения системы Windows должны быть открыты порты TCP 135 (RPC), диапазон RPC и TCP 445 (SMB), а на агентском компьютере должна быть установлена служба SMB.

• После обнаружения целевого устройства на него можно развернуть агент. Установка агента требует следующего:
• Открыть порты RPC, начиная с сопоставителя конечных точек TCP 135 до порта SMB TCP/UDP 445.
• Включить службы доступа к файлам и принтерам сетей Microsoft и клиента для служб сетей Microsoft. (Это гарантирует, что SMB-порт является активным.)
• Параметры групповой политики брандмауэра Windows "Разрешить исключение для удаленного администрирования" и "Разрешить исключение для входящего общего доступа к файлам и принтерам" (если они включены) должны иметь значение "Разрешить незапрошенные входящие сообщения с IP-адресом и подсетями для основного и дополнительного сервера управления агента".
• Учетная запись с правами администратора на целевом компьютере.
• Установщик Windows 3.1. Инструкции по установке см. в статье 893803 базы знаний Майкрософт https://go.microsoft.com/fwlink/?LinkId=86322
• Службы Microsoft Core XML (MSXML) 6 на установочном носителе продукта Operations Manager в подкаталоге \msxml. Принудительная установка агента устанавливает MSXML 6 на целевом устройстве, если он еще не установлен.

Развертывание агента в системе UNIX и Linux

В System Center Operations Manager сервер управления использует два протокола для связи с компьютером UNIX или Linux:

• Безопасную оболочку (SSH) для установки, обновления и удаления агентов.
• Веб-службы управления (WS-Management) используются для всех операций мониторинга и включают обнаружение уже установленных агентов.

Используемый протокол зависит от действия или информации, запрошенной на сервере управления. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи.

Примечание

Все учетные данные, указанные в этом разделе, относятся к учетным записям, созданным на компьютере под управлением UNIX или Linux, а не к учетным записям Operations Manager, настроенным во время установки Operations Manager. Обратитесь к системному администратору для получения учетных данных и сведений о проверке подлинности.

При повышении прав непривилегированная учетная запись может принимать удостоверение привилегированной учетной записи на компьютере UNIX или Linux. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля).

Назначение агента Active Directory

System Center Operations Manager позволяет эффективно использовать инвестиции в доменные службы Active Directory Domain Services (AD DS), предоставляя возможность использовать их для назначения управляемых агентом компьютеров группам управления. Эта функция обычно используется с агентом, развернутым в процессе сборки развертывания сервера. Если компьютер впервые подключается к сети, агент Operations Manager отправляет запрос в Active Directory на назначение основного и резервного серверов управления и автоматически приступает к мониторингу компьютера.

Назначение компьютеров группам управления с помощью доменных служб Active Directory выполняется описанным ниже способом.

• У доменов доменных служб Active Directory должен быть собственный функциональный уровень Windows 2008 или выше
• Управляемые агентом компьютеры и все серверы управления должны принадлежать одному домену или доменам с двусторонними отношениями доверия.

Примечание

Агент, который определяет, что он установлен на контроллере домена, не будет запрашивать у Active Directory сведения о конфигурации. Это предусмотрено соображениями безопасности. Интеграция с Active Directory отключается по умолчанию на контроллерах домена, поскольку агент запускается под учетной записью локальной системы. Учетная запись локальной системы в контроллере домена имеет права администратора домена; следовательно, она обнаружит все точки подключения службы сервера управления, которые зарегистрированы в Active Directory, независимо от членства в группе безопасности контроллера домена. В результате агент попытается подключиться ко всем серверам управления во всех группах управления. Результаты могут быть непредсказуемыми, что создает угрозу безопасности.

Назначение агентов выполняется с помощью точки подключения службы (SCP), которая представляет собой объект Active Directory для публикации информации, с помощью которой клиентские приложения могут выполнить привязку к службе. Для этого администратор домена с помощью средства командной строки MOMADAdmin.exe создает контейнер AD DS для группы управления Operations Manager в доменах управляемых компьютеров. Группе безопасности AD DS, указанной при выполненииMOMADAdmin.exe , предоставляются разрешения на чтение и удаление дочернего элемента для контейнера. Точка SCP содержит сведения о подключении к серверу управления, включая полное доменное имя сервера и номер порта. Агенты Operations Manager могут автоматически обнаруживать серверы управления, запрашивая точки подключения службы. Наследование не отключено, и так как агент может считывать сведения об интеграции, зарегистрированные в AD, принудительное наследование для группы Все считывает все объекты на корневом уровне в Active Directory, это серьезно повлияет на функциональность интеграции AD. Если явным образом применить принудительное наследование во всем каталоге, предоставив группе "Все" разрешения на чтение, необходимо заблокировать данное наследование на уровне корневого контейнера интеграции AD с именем OperationsManager и всех дочерних объектов.  Если этого не сделать, интеграция AD не будет работать должным образом, и у вас не будет развернуто надежное и согласованное основное назначение и назначение отработки отказа для агентов. Кроме того, если в вашем распоряжении находится несколько групп управления, все агенты в обеих группах управления также будут многосетевыми. 

Эта функция хорошо подходит для управления назначением агентов в распределенном развертывании группы управления, чтобы не допустить отправку отчетов агентами на серверы управления, которые выделены для пулов ресурсов или серверов управления во вторичном ЦОД в конфигурации постоянного резерва и, следовательно, предотвратить переключение агента на резервный ресурс при нормальной работе.

Администратор Operations Manager управляет конфигурацией назначения агентов с помощью мастера назначения агентов и настройки их переключения и назначает компьютеры основному и дополнительному серверам управления.

Примечание

Для агентов, установленных из консоли управления, отключена интеграция с Active Directory. По умолчанию интеграция с Active Directory включается для агентов, установленных вручную с помощью MOMAgent.msi.

Дальнейшие шаги

• Чтобы понять, как установить агент Windows из консоли управления, см. сведения в разделе Установка агента в ОС Windows с помощью мастера обнаружения. Сведения об установке агента из командной строки см. в разделе Установка агента Windows вручную с помощью MOMAgent.msi.

• Сведения об установке Linux и UNIX из консоли управления см. в статье Установка агента в UNIX и Linux с помощью мастера обнаружения.

• Сведения о создании контейнера в Active Directory, настройке назначения отработки отказа агента и управлении конфигурацией см. в статье Настройка и использование интеграции Active Directory для назначения агента.