Operations Manager 代理程式

重要

此版本的 Operations Manager 已終止支援。 我們建議您 升級至 Operations Manager 2022。

在 System Center Operations Manager 中，代理程式是安裝在尋找組態數據的計算機上，並主動收集分析與報告的資訊、測量受監視物件的健全狀態，例如 SQL 資料庫或邏輯磁碟，以及依需求由操作員或回應條件來執行工作。 它可讓 Operations Manager 監視 Windows、Linux 和 UNIX 操作系統，以及安裝在其上的 IT 服務元件，例如網站或 Active Directory 域控制器。

Windows 代理程式

在受監視的 Windows 電腦上，Operations Manager 代理程式會列為 Microsoft Monitoring Agent (MMA) 服務。 Microsoft Monitoring Agent 服務會收集事件及效能資料、執行工作及管理組件中定義的其他工作流程。 即使當服務無法與報告的管理伺服器通訊時，它仍會繼續執行並將收集到的資料和事件佇列在受監視電腦的磁碟上。 當連線恢復後，Microsoft Monitoring Agent 服務便會將收集的資料和事件傳送給管理伺服器。

注意

• Microsoft Monitoring Agent 服務有時稱為健全狀況服務。

Microsoft Monitoring Agent 服務也會在管理伺服器上執行。 在管理伺服器上，此服務會執行監視工作流程及管理認證。 為了執行工作流程，此服務會使用指定的認證起始 MonitoringHost.exe 處理序。 這些處理序會監視和收集事件記錄資料、效能計數器資料、Windows Management Instrumentation (WMI) 資料，以及執行如指令碼等動作。

代理程式與管理伺服器之間的通訊

Operations Manager 代理程式會將警示和探索資料傳送到其獲指派的主要管理伺服器，之後再將資料寫入操作資料庫。 代理程式也會傳送事件、效能和狀態資料到該代理程式的主要管理伺服器，再由後者將資料同時寫入操作和資料倉儲資料庫。

代理程式會根據每個規則和監視的排程參數來傳送資料。 使用最佳化集合規則時，只有當計數器的取樣與先前取樣之差異達到指定的容錯 (如 10%) 時，才會傳輸資料。 這將有助於減少網路流量，以及儲存在操作資料庫中的資料量。

此外，所有代理程式都會將稱為「活動訊號」 的資料封包，定期 (預設為每 60 秒) 傳送到管理伺服器。 傳送活動訊號的目的是要驗證代理程式以及代理程式與管理伺服器之間通訊的可用性。 如需活動訊號的詳細資訊，請參閱 How Heartbeats Work in Operations Manager (活動訊號在 Operations Manager 中的運作方式)。

Operations Manager 會針對每個代理程式執行「健全狀況服務監看員」 ，這項功能會從管理伺服器的角度，監視遠端健全狀況服務。 代理程式會透過 TCP 連接埠 5723，與管理伺服器進行通訊。

Linux/UNIX 代理程式

UNIX 和 Linux 代理程式的架構明顯不同於 Windows 代理程式。 Windows 代理程式的健全狀況服務負責評估受監視電腦的健全狀況。 UNIX 和 Linux 代理程式不會執行健康情況服務;相反地，它會將資訊傳遞至要評估之管理伺服器上的健全狀況服務。 管理伺服器會執行所有工作流程，以監視 UNIX 和 Linux 管理組件實作中定義的作業系統健全狀況：

• 磁碟
• 處理器
• 記憶體
• 網路介面卡
• 作業系統
• 程序
• 記錄檔

適用於 Operations Manager 的 UNIX 和 Linux 代理程式均包含一個 CIM 物件管理員 (亦即 CIM 伺服器)，以及一組 CIM 提供者。 CIM 物件管理員是實作 WS-Management 通訊、驗證、授權和分派要求給提供者 的伺服器 元件。 提供者是代理程式中 CIM 實作的關鍵，其可定義 CIM 類別和屬性、與核心 API 接合以擷取原始資料、設定資料格式 (例如計算差異和平均值)，以及服務從 CIM 物件管理員分派的要求。 從 System Center Operations Manager 2007 R2 到 System Center 2012 SP1，Operations Manager UNIX 和 Linux 代理程式中使用的 CIM 物件管理員都是 OpenPegasus 伺服器。 用來收集和報告監視資料的提供者是由 Microsoft 所開發，並在 CodePlex.com 提供開放原始碼。

這已在 System Center 2012 R2 Operations Manager 中變更，其中 UNIX 和 Linux 代理程式現在會以完全一致的開放管理基礎結構 (OMI) 實作做為其 CIM 物件管理員為基礎。 若是 Operations Manager UNIX/Linux 代理程式，則 OMI 將取代 OpenPegasus。 如同 OpenPegasus，OMI 是開放原始碼、輕量且可攜式的 CIM 物件管理員實作，雖然其重量較輕，且比 OpenPegasus 更輕量。 此實作會繼續適用於 System Center 2016 - Operations Manager 和更新版本。

管理伺服器與 UNIX 和 Linux 代理程式之間的通訊分為兩種類別：代理程式維護和健康情況監視。 管理伺服器使用兩種通訊協定與 UNIX 或 Linux 電腦進行通訊：

• 安全殼層 (SSH) 和安全殼層檔案傳輸通訊協定 (SFTP)

  用於代理程式維護工作，例如安裝、升級和移除代理程式。

• Web Services for Management (WS-Management)

  用於所有監視操作，並包含探索已安裝的代理程式。

Operations Manager 管理伺服器與 UNIX 和 Linux 代理程式之間的通訊會使用 WS-Man over HTTPS 和 WinRM 介面。 所有代理程式維護工作都是透過 SSH 連接埠 22 執行。 所有健全狀況監視則是透過 WS-MAN 連接埠 1270 執行。 管理伺服器會在評估資料以提供健全狀況狀態之前，先透過 WS-MAN 要求效能和組態資料。 所有動作 (例如代理程式維護、監視、規則、工作和復原) 均會根據其無特殊權限或特殊權限帳戶的需求，設定為使用預先定義的設定檔。

注意

本文提及的所有認證均與 UNIX 或 Linux 電腦上已建立的帳戶相關，而不是與安裝 Operations Manager 期間設定的 Operations Manager 帳戶相關。 請連絡您的系統管理員，瞭解認證和驗證資訊。

為了支援數種 UNIX 與 Linux 系統的新延展性改善，System Center 2016 - Operations Manager 和更新版本可以針對每部管理伺服器進行監視，而新的非同步 Windows 管理基礎結構 (MI) API 取代了預設使用的 WSMAN 同步 API。 若要啟用此變更，您需要建立新的登錄機碼 UseMIAPI，讓 Operations Manager 在監視 Linux/Unix 系統的管理伺服器上使用新的非同步 MI API。

1. 從提升許可權的命令提示字元開啟登錄 編輯器。
2. 在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup 下方，建立登錄機碼 UseMIAPI。

如果您需要使用 WSMAN 同步 API 還原原始設定，您可以刪除 UseMIAPI 登錄機碼。

代理程式安全性

UNIX/Linux 電腦的驗證

在 Operations Manager 中，不再需要系統管理員將 UNIX 或 Linux 電腦的根密碼提供給管理伺服器。 現在藉由提高權限，無特殊權限的帳戶可以取得 UNIX 或 Linux 電腦上特殊權限帳戶的身分識別。 提高權限程序是由使用管理伺服器提供的認證的 UNIX su (超級使用者) 和 sudo 程式執行。 針對使用 SSH 的特殊權限代理程式維護作業 (例如探索、部署、升級、解除安裝和代理程式復原)，系統提供 su 的支援、sudo 提高權限以及 SSH 金鑰驗證 (有或沒有複雜密碼) 的支援。 針對特殊權限 WS-Management 作業 (例如檢視安全記錄檔)，系統新增 sudo 提高權限 (沒有密碼) 的支援。

如需指定認證與設定帳戶的詳細指示，請參閱如何設定認證以存取 UNIX 和 Linux 電腦。

使用閘道伺服器進行驗證

閘道伺服器可以啟用管理群組 Kerberos 信任界限外部電腦的代理程式管理。 由於閘道伺服器位於管理群組所在網域不信任的網域中，因此必須使用憑證來建立每部計算機的身分識別、代理程式、閘道伺服器和管理伺服器。 這種安排可滿足 Operations Manager 對相互驗證的需求。

如此您必須針對將向閘道伺服器報告的每個代理程式要求憑證，並使用位於安裝媒體 SupportTools\ (amd64 或 x86) 目錄的 MOMCertImport.exe 工具，將那些憑證匯入目標電腦。 您必須能夠存取證書頒發機構單位 (CA) ，可以是公用 CA，例如 VeriSign，也可以使用 Microsoft 憑證服務。

代理程式部署

System Center Operations Manager 代理程式可以使用下列其中一種方法來安裝。 大部分安裝會使用這些方法的組合，視需要為不同的電腦集合進行安裝。

注意

• 您無法在電腦上安裝 MMA，其中 Operations Manager 管理伺服器、閘道伺服器、作業控制台、操作資料庫、Web 控制台、System Center Essentials 或 System Center Service Manager 安裝 ， 因為它們已安裝其內建版本的 MMA。
• 您只能使用 MMA 或記錄分析代理程式 (VM 擴充功能版本) 。

• 從 Operations 主控台探索和安裝一或多個代理程式。 這是最常見的安裝形式。 管理伺服器必須能夠使用 RPC 連接電腦，而且管理伺服器動作帳戶或其他提供的認證必須具有目標電腦的系統管理權限。
• 包含在安裝映像中。 這是基礎映像的手動安裝，用於準備其他電腦。 在此情況下，可以在初始啟動時使用 Active Directory 整合，將電腦自動指派給管理伺服器。
• 手動安裝。 當代理程式無法由其中一個其他方法安裝時，例如，當遠端過程調用 (RPC) 因為防火牆而無法使用時，就會使用這個方法。 安裝程式是在代理程式上手動執行，或透過現有的軟體發佈工具部署。

您可以從 Operations 控制台管理使用探索精靈安裝的代理程式，例如更新代理程式版本、套用修補程式，以及設定代理程式報告的管理伺服器。

當您使用手動方式安裝代理程式時，代理程式的更新也必須手動執行。 您將能夠使用 Active Directory 整合將代理程式指派給管理群組。 如需詳細資訊，請參閱整合 Active Directory 和 Operations Manager。

選取必要索引標籤，以深入瞭解 Windows 和 UNIX 和 LINUX 系統的代理程式部署：

Windows 系統的代理程式部署

探索 Windows 系統需要 TCP 135 (RPC)、RPC 範圍和 TCP 445 (SMB) 連接埠保持開啟，並在代理程式電腦上啟用 SMB 服務。

• 探索到目標裝置後，即可將代理程式部署至該裝置。 代理程式安裝要求：
• 從端點對應程式 TCP 135 及伺服器訊息區 (SMB) 連接埠 TCP/UDP 445 開始，開啟 RPC 連接埠。
• 啟用 File and Printer Sharing for Microsoft Networks 和 Client for Microsoft Networks 服務 (這可確保 SMB 連接埠是使用中)。
• 如果啟用，[允許遠端系統管理例外] 和 [允許檔案及印表機共用例外] 的 Windows 防火牆群組原則設定必須將 [允許下列來源的未經要求傳入訊息] 設為代理程式主要及次要管理伺服器的 IP 位址和子網路。
• 在目標電腦上具有本機系統管理員權限的帳戶。
• Windows Installer 3.1。 若要安裝，請參閱 Microsoft 知識庫中的文章 893803 https://go.microsoft.com/fwlink/?LinkId=86322
• Microsoft Core XML Services (MSXML) 6 (位於 Operations Manager 產品安裝媒體上的 \msxml 子目錄中)。 如果尚未安裝，推送代理程式安裝會在目標裝置上安裝 MSXML 6。

UNIX 和 Linux 系統的代理程式部署

在 System Center Operations Manager 中，管理伺服器會使用兩種通訊協定來與 UNIX 或 Linux 電腦進行通訊：

• 安全殼層 (SSH)，用於安裝、升級和移除代理程式。
• Web Services for Management (WS-Management)，用於所有監視操作，並包含探索已安裝的代理程式。

使用的通訊協定會視管理伺服器上要求的動作或資訊而定。 所有動作 (例如代理程式維護、監視、規則、工作和復原) 均會根據其無特殊權限或特殊權限帳戶的需求，設定為使用預先定義的設定檔。

注意

本節提及的所有認證均與 UNIX 或 Linux 電腦上已建立的帳戶相關，而不是與安裝 Operations Manager 期間設定的 Operations Manager 帳戶相關。 請連絡您的系統管理員，瞭解認證和驗證資訊。

藉由提高權限，無特殊權限的帳戶可以取得 UNIX 或 Linux 電腦上特殊權限帳戶的身分識別。 提高權限程序是由使用管理伺服器提供的認證的 UNIX su (超級使用者) 和 sudo 程式執行。 針對使用 SSH 的特殊權限代理程式維護作業 (例如探索、部署、升級、解除安裝和代理程式復原)，系統提供 su、sudo 提高權限以及 SSH 金鑰驗證 (有或沒有複雜密碼) 的支援。 針對特殊權限 WS-Management 作業 (例如檢視安全記錄檔)，系統支援 sudo 提高權限 (沒有密碼) 的支援。

Active Directory 代理程式指派

System Center Operations Manager 可讓您使用 Active Directory Domain Services (AD DS) 來將受代理程式管理的電腦指派給管理群組，從而充分利用您在 Active Directory Domain Services (AD DS) 中的投資。 這項功能通常與部署為伺服器部署建置程式一部分的代理程式搭配使用。 當電腦第一次上線時，Operations Manager 代理程式會在 Active Directory 中查詢其主要和容錯移轉管理伺服器指派，並自動開始監視電腦。

若要使用 AD DS 將電腦指派給管理群組：

• AD DS 網域的功能等級必須是 Windows 2008 原生或以上
• 代理程式管理的電腦與所有管理伺服器都必須位於相同網域，或雙向信任的網域。

注意

判斷其安裝在域控制器上的代理程式不會查詢 Active Directory 以取得組態資訊。 這是基於安全性考量。 因為代理程式是以本機系統帳戶的身分執行，因此 Active Directory 整合在網域控制站上預設為停用狀態。 網域控制站上的本機系統帳戶具有網域系統管理員權限，因此，不論網域控制站的安全性群組成員資格為何，它都會偵測到已在 Active Directory 中註冊的所有管理伺服器服務連接點。 如此一來，代理程式會嘗試連線到所有管理群組中的所有管理伺服器。 結果可能無法預測，因此會呈現安全性風險。

代理程式指派是使用服務連接點 (SCP) 所完成，這是一個 Active Directory 物件，用於發行用戶端應用程式可用來繫結至服務的資訊。 這是由網域系統管理員所建立，而網域系統管理員會執行 MOMADAdmin.exe 命令列工具，來為管理的電腦網域中的 Operations Manager 管理群組建立 AD DS 容器。 執行 MOMADAdmin.exe 時所指定的 AD DS 安全組會授與容器的讀取和刪除子許可權。 SCP 包含管理伺服器的連線資訊，包括伺服器的 FQDN 和連接埠號碼。 Operations Manager 代理程式可以透過查詢 SCP，自動探索管理伺服器。 繼承不會停用，而且因為代理程式可以讀取在 AD 中註冊的整合資訊，所以如果您強制「所有人」群組在 Active Directory 根層級讀取所有物件，這將會嚴重影響並基本上中斷 AD 整合功能。 如果您藉由授與 Everyone 群組讀取許可權，明確強制整個目錄的繼承，您必須封鎖最上層 AD 整合容器、名為 OperationsManager 和所有子對象的繼承。  如果您無法這麼做，AD 整合將無法如設計般運作，而且部署的代理程式不會有可靠且一致的主要和故障轉移指派。 此外，如果您剛好有多個管理群組，則這兩個管理群組中的所有代理程式也會具有多重主目錄。 

此功能非常適用於控制分散式管理群組部署中的代理程式指派，以防止代理程式向資源集區專用的管理伺服器回報，或向暖待命組態中次要資料中心的管理伺服器回報，以防代理程式在正常操作期間容錯移轉。

代理程式指派的設定是由 Operations Manager 系統管理員所管理，而 Operations Manager 系統管理員使用 [代理程式指派和容錯移轉精靈] 將電腦指派給主要管理伺服器和次要管理伺服器。

注意

從 Operations 主控台安裝的代理程式會停用 Active Directory 整合。 依預設，使用 MOMAgent.msi 手動安裝的代理程式會啟用 Active Directory 整合。

後續步驟

• 若要了解如何從 Operations 主控台安裝 Windows 代理程式，請參閱使用探索精靈在 Windows 上安裝代理程式，或者，若要了解如何從命令列安裝代理程式，請參閱使用 MOMAgent.msi 手動安裝 Windows 代理程式。

• 若要瞭解如何從 Operations 控制台安裝 Linux 和 UNIX，請參閱 使用探索精靈在 UNIX 和 Linux 上安裝代理程式。

• 若要瞭解如何在 Active Directory 中建立容器、設定代理程式故障轉移指派及管理設定，請檢閱 如何設定及使用 Active Directory 整合進行代理程式指派。