Главная » Linux

Windows system center operations manager

Содержание
  1. Агенты Operations Manager Operations Manager agents
  2. Агент Windows Windows agent
  3. Взаимодействие между агентами и серверами управления Communication between agents and management servers
  4. Агент Linux/UNIX Linux/UNIX agent
  5. Безопасность агента Agent security
  6. Проверка подлинности на компьютере под управлением UNIX или Linux Authentication on UNIX/Linux computer
  7. Проверка подлинности на сервере шлюза Authentication with gateway server
  8. Развертывание агента Agent deployment
  9. Развертывание агента в системе Windows Agent deployment to Windows system
  10. Развертывание агента в системе UNIX и Linux Agent deployment to UNIX and Linux system
  11. Назначение агента Active Directory Active Directory agent assignment
  12. Дальнейшие шаги Next steps

Агенты Operations Manager Operations Manager agents

Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019. This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

В System Center Operations Manager агент — это служба, установленная на компьютере, который ищет данные конфигурации и заранее собирает информацию для анализа и отчетов, измеряет работоспособность отслеживаемых объектов, таких как база данных SQL или логический диск, и выполняет задачи по требованию оператора или в ответ на определенное условие. In System Center Operations Manager, an agent is a service that is installed on a computer that looks for configuration data and proactively collects information for analysis and reporting, measures the health state of monitored objects like a SQL database or logical disk, and execute tasks on demand by an operator or in response to a condition. Он позволяет Operations Manager отслеживать операционные системы Windows, Linux и UNIX, а также компоненты ИТ-службы, установленные в них, например веб-сайт или доменный контроллер Active Directory. It allows Operations Manager to monitor Windows, Linux, and UNIX operating systems and the components of an IT service installed on them, like a web site or an Active Directory domain controller.

Агент Windows Windows agent

На отслеживаемом компьютере Windows агент Operations Manager указан как служба Microsoft Monitoring Agent. On a monitored Windows computer, the Operations Manager agent is listed as the Microsoft Monitoring Agent service. Служба Microsoft Monitoring Agent собирает данные о событиях и производительности, выполняет задачи и другие рабочие процессы, определенные в пакете управления. The Microsoft Monitoring Agent service collects event and performance data, executes tasks, and other workflows defined in a management pack. Даже если эта служба не может подключиться к серверу управления, которому она подчиняется, она продолжает работать и помещает собранные данные и события в очередь на диске наблюдаемого компьютера. Even when the service is unable to communicate with the management server it reports to, the service continues to run and queues the collected data and events on the disk of the monitored computer. При восстановлении подключения служба Microsoft Monitoring Agent отправляет собранные данные и события на сервер управления. When the connection is restored, the Microsoft Monitoring Agent service sends collected data and events to the management server.

Иногда службу Microsoft Monitoring Agent называют службой работоспособности. The Microsoft Monitoring Agent service is sometimes referred to as the health service.

Служба Microsoft Monitoring Agent также работает на серверах управления. The Microsoft Monitoring Agent service also runs on management servers. На сервере управления эта служба выполняет рабочие процессы мониторинга и управляет учетными данными. On a management server, the service runs monitoring workflows and manages credentials. Для запуска рабочих процессов служба вызывает процессы MonitoringHost.exe с использованием указанных учетных данных. To run workflows, the service initiates MonitoringHost.exe processes using specified credentials. Эти процессы выполняют наблюдение и собирают данные журналов событий, данные инструментария управления Windows (WMI), а также выполняют такие действия, как запуск скриптов. These processes monitor and collect event log data, performance counter data, Windows Management Instrumentation (WMI) data, and run actions such as scripts.

Взаимодействие между агентами и серверами управления Communication between agents and management servers

Агент Operations Manager отправляет предупреждение и данные обнаружения на назначенный основной сервер управления, который записывает эти данные в рабочую базу данных. The Operations Manager agent sends alert and discovery data to its assigned primary management server, which writes the data to the operational database. Кроме того, агент отправляет данные о событиях, производительности и состоянии на основной сервер управления, который одновременно записывает эти данные в рабочую базу данных и в базу данных хранилища данных. The agent also sends events, performance, and state data to the primary management server for that agent, which writes the data to the operational and data warehouse databases simultaneously.

Агент отправляет данные в соответствии с параметрами расписания для каждого правила и монитора. The agent sends data according to the schedule parameters for each rule and monitor. В случае оптимизированных правил сбора данных данные передаются только в том случае, если выборка счетчика отличается от предыдущей выборки на указанную величину допуска, например на 10%. For optimized collection rules, data is only transmitted if a sample of a counter differs from the previous sample by a specified tolerance, such as 10%. Это помогает сократить сетевой трафик и объем данных, хранящихся в рабочей базе данных. This helps reduce network traffic and the volume of data stored in the operational database.

Кроме того, все агенты регулярно отправляют пакет данных, называемый пульсом, на сервер управления: по умолчанию это происходит каждые 60 секунд. Additionally, all agents send a packet of data, called a heartbeat, to the management server on a regular schedule, by default every 60 seconds. Цель пульса состоит в проверке доступности агента и связи между агентом и сервером управления. The purpose of the heartbeat is to validate the availability of the agent and communication between the agent and the management server. Дополнительные сведения о пульсе см. в статье How Heartbeats Work in Operations Manager (Принципы работы пульса в Operations Manager). For more information on heartbeats, see How Heartbeats Work in Operations Manager.

Для каждого агента Operations Manager запускает наблюдатель службы работоспособности, который наблюдает за состоянием удаленной службы работоспособности с точки зрения сервера управления. For each agent, Operations Manager runs a health service watcher, which monitors the state of the remote Health Service from the perspective of the management server. Агент взаимодействует с сервером управления через TCP-порт 5723. The agent communicates with a management server over TCP port 5723.

Агент Linux/UNIX Linux/UNIX agent

Архитектура агента UNIX и Linux существенно отличается от архитектуры агента Windows. The architecture of the UNIX and Linux agent differs from a Windows agent significantly. Агент Windows имеет службу работоспособности, ответственную за оценку работоспособности отслеживаемого компьютера. The Windows agent has a Health Service responsible for evaluating the health of the monitored computer. Агент UNIX и Linux не запускает службу работоспособности, а вместо этого передает информацию в службу работоспособности на оцениваемом сервере управления. The UNIX and Linux Agent does not run a health service, instead it passes information to the Health Service on a management server to be evaluated. На сервере управления запускаются все рабочие процессы для мониторинга состояния операционной системы, определенные в реализации пакетов управления UNIX и Linux: The management server runs all of the workflows to monitor operating system health defined in our implementation of the UNIX and Linux management packs:

  • Диск Disk
  • Процессор Processor
  • Память Memory
  • Сетевые адаптеры Network adapters
  • Операционная система Operating System
  • Процессы Processes
  • Файлы журнала Log files

Агенты UNIX и Linux для Operations Manager состоят из диспетчера объектов CIM (т. е. сервера CIM) и набора поставщиков CIM. The UNIX and Linux agents for Operations Manager consist of a CIM Object Manager (that is, CIM Server), and a set of CIM Providers. Диспетчер объектов CIM — это «серверный» компонент, реализующий взаимодействие WS-Management, проверку подлинности, авторизацию и диспетчеризацию запросов поставщикам. The CIM Object Manager is the “server” component that implements the WS-Management communication, authentication, authorization, and dispatch of requests to the providers. Поставщики являются ключевым элементом реализации CIM в агенте, определяя классы и свойства CIM, взаимодействуя с API ядра для извлечения необработанных данных, форматируя данные (например, вычисляя разности и средние значения) и обслуживая запросы, отправленные диспетчером объектов CIM. The providers are the key to the CIM implementation in the agent, defining the CIM classes and properties, interfacing with the kernel APIs to retrieve raw data, formatting the data (for example, calculating deltas and averages), and servicing the requests dispatched from the CIM Object Manager. В операционных системах с System Center Operations Manager 2007 R2 по System Center 2012 SP1 диспетчер объектов CIM, используемый в агентах UNIX и Linux Operations Manager, представляет собой сервер OpenPegasus. From System Center Operations Manager 2007 R2 through System Center 2012 SP1, the CIM Object Manager used in the Operations Manager UNIX and Linux agents is the OpenPegasus server. Поставщики, используемые для сбора данных мониторинга и составления соответствующих отчетов, разрабатываются Майкрософт и предоставляются на сайте CodePlex.com с открытым кодом. The providers used to collect and report monitoring data are developed by Microsoft, and open-sourced at CodePlex.com.

Читайте также:  Linux создать папку файл

В System Center 2012 R2 Operations Manager этот подход был изменен, а в основе агентов UNIX и Linux в качестве диспетчера объектов CIM теперь лежит полностью согласованная реализация инфраструктуры Open Management Infrastructure (OMI). This changed in System Center 2012 R2 Operations Manager, where UNIX and Linux agents are now based on a fully consistent implementation of Open Management Infrastructure (OMI) as their CIM Object Manager. В случае агентов UNIX/Linux Operations Manager OMI заменяет OpenPegasus. In the case of the Operations Manager UNIX/Linux agents, OMI is replacing OpenPegasus. Как и OpenPegasus, OMI является облегченной и переносимой реализацией диспетчера объектов CIM с открытым исходным кодом, хотя OMI отличается большей легкостью и переносимостью, чем OpenPegasus. Like OpenPegasus, OMI is an open-source, lightweight, and portable CIM Object Manager implementation – though it is lighter in weight and more portable than OpenPegasus. Эта реализация по-прежнему используется в System Center 2016 — Operations Manager и более поздних версий. This implementation continues to be applied in System Center 2016 — Operations Manager and later.

Взаимодействие между сервером управления и агентом UNIX и Linux разделено на две категории: обслуживание агента и мониторинг работоспособности. Communication between the management server and the UNIX and Linux agent is split into two categories, agent maintenance and health monitoring. На сервере управления для взаимодействия с компьютером UNIX или Linux используются два протокола: The management server uses two protocols to communicate with the UNIX or Linux computer:

Secure Shell (SSH) и протокол SFTP Secure Shell (SSH) and Secure Shell File Transfer Protocol (SFTP)

Используется для задач по обслуживанию агента, включая установку, обновление и удаление агентов. Used for agent maintenance tasks such as installing, upgrading, and removing agents.

Веб-службы для управления (WS-Management) Web Services for Management (WS-Management)

Используется для всех операций мониторинга и обнаружения уже установленных агентов. Used for all monitoring operations and include the discovery of agents that were already installed.

Взаимодействие между сервером управления Operations Manager и агентом UNIX и Linux осуществляется с помощью WS-Man по протоколу HTTPS и интерфейса WinRM. Communication between the Operations Manager management server and UNIX and Linux agent uses WS-Man over HTTPS and the WinRM interface. Все задачи по обслуживанию агента выполняются по протоколу SSH через порт 22. All agent maintenance tasks are performed over SSH on port 22. Наблюдение за работоспособностью выполняется с помощью WS-MAN через порт 1270. All health monitoring is performed over WS-MAN on port 1270. Сервер управления запрашивает данные конфигурации и производительности через WS-MAN, прежде чем оценить данные и сообщить состояние работоспособности. The management server requests performance and configuration data via WS-MAN before evaluating the data to provide health status. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи. All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

Все учетные данные, указанные в этой статье, относятся к учетным записям, созданным на компьютере под управлением UNIX или Linux, а не к учетным записям Operations Manager, настроенным во время установки Operations Manager. All credentials referred to in this article pertain to accounts that have been established on the UNIX or Linux computer, not to the Operations Manager accounts that are configured during the installation of Operations Manager. Обратитесь к системному администратору для получения учетных данных и сведений о проверке подлинности. Contact your system administrator for credentials and authentication information.

На смену синхронным интерфейсам API WSMAN, использовавшимся по умолчанию, пришли новые асинхронные API инфраструктуры управления (MI) Windows. Они позволяют выполнять масштабирование и мониторинг нескольких систем UNIX и Linux на одном сервере управления в System Center Operations Manager 2016 и более поздних версий. To support the new scalability improvements with the number of UNIX and Linux systems System Center 2016 — Operations Manager and later can monitor per management server, the new Async Windows Management Infrastructure (MI) APIs are available instead of WSMAN Sync APIs, which is in use by default. Чтобы воспользоваться новыми возможностями, создайте раздел реестра UseMIAPI. Это позволит диспетчеру Operations Manager применять новые асинхронные интерфейсы API MI на серверах управления, при помощи которых выполняется мониторинг систем Linux и Unix. To enable this change, you need to create the new registry key UseMIAPI to enable Operations Manager to use the new Async MI APIs on management servers monitoring Linux/Unix systems.

  1. Откройте редактор реестра из командной строки с повышенными привилегиями. Open the Registry Editor from an elevated command prompt.
  2. Создайте в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup раздел реестра UseMIAPI. Create registry key UseMIAPI under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup .

Чтобы восстановить исходную конфигурацию с синхронными API WSMAN, можно удалить раздел реестра UseMIAPI. If you need to restore the original configuration using the WSMAN Sync APIs, you can delete the UseMIAPI registry key.

Безопасность агента Agent security

Проверка подлинности на компьютере под управлением UNIX или Linux Authentication on UNIX/Linux computer

В Operations Manager системным администраторам больше не требуется указывать пароль учетной записи root компьютера под управлением UNIX или Linux на сервере управления. In Operations Manager, the system administrator is no longer required to provide the root password of the UNIX or Linux computer to the management server. За счет повышения прав непривилегированная учетная запись может подразумевать собой привилегированную учетную запись на компьютере с UNIX или Linux. Now by elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав с помощью su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and support for SSH key authentication (with or without passphrase) is provided. Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля). For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is added.

Подробные инструкции о задании учетных данных и настройке учетных записей см. в статье Настройка учетных данных для доступа к компьютерам с ОС UNIX и Linux. For detailed instructions for specifying credentials and configuring accounts, see How to Set Credentials for Accessing UNIX and Linux Computers.

Проверка подлинности на сервере шлюза Authentication with gateway server

Серверы шлюзов позволяют с помощью агентов управлять компьютерами, которые расположены за пределами зоны доверия Kerberos групп управления. Gateway servers are used to enable agent-management of computers that are outside the Kerberos trust boundary of a management group. Так как сервер шлюза находится в домене, у которого нет доверенных отношений с доменом группы управления, необходимо использовать сертификаты для установления подлинности каждого компьютера, агента, сервера шлюза и сервера управления. Because the gateway server resides in a domain that is not trusted by the domain that the management group is in, certificates must be used to establish each computer’s identity, agent, gateway server, and management server. Данная схема удовлетворяет требованию Operations Manager к взаимной проверке подлинности. This arrangement satisfies the requirement of Operations Manager for mutual authentication.

Для этого вам нужно запросить сертификаты для каждого агента, который будет отправлять отчеты на сервер шлюза, а затем импортировать эти сертификаты на целевой компьютер с помощью средства MOMCertImport.exe. Средство находится на установочном носителе в каталоге \SupportTools\ (amd64 или x86). This requires you to request certificates for each agent that will report to a gateway server and import those certificates into the target computer using the MOMCertImport.exe tool, which is located on the installation media SupportTools\ (amd64 or x86) directory. Необходимо иметь доступ к центру сертификации, который может быть общедоступным, например VeriSign. Также можно использовать службы сертификации Майкрософт. You need to have access to a certification authority (CA) which can be a public CA such as VeriSign, or you can use Microsoft Certificate Services.

Читайте также:  Sharing file windows to machines

Развертывание агента Agent deployment

Агенты System Center Operations Manager можно установить с использованием одного из следующих трех методов. System Center Operations Manager Agents may be installed by using one of the following three methods. В большинстве установок используется сочетание этих методов для установки разных наборов компьютеров (в зависимости от ситуации). Most installations use a combination of these methods to install different sets of computers, as appropriate.

  • Обнаружение и установка одного или нескольких агентов с консоли управления. The discovery and installation of one or more agents from the Operations console. Это наиболее распространенная форма установки. This is the most common form of installation. Сервер управления должен иметь возможность подключиться к компьютеру с использованием RPC, и либо учетная запись действий сервера управления, либо другие предоставленные учетные данные должны иметь административный доступ к целевому компьютеру. A management server must be able to connect the computer with RPC, and either the management server Action Account or other provided credentials must have administrative access to the target computer.
  • Включение в образ установки. Inclusion in the installation image. Это установка вручную в базовый образ, который используется для подготовки других компьютеров. This is a manual installation to a base image that is used for the preparation of other computers. В этом случае интеграция с Active Directory может применяться для автоматического назначения компьютера серверу управления после начальной загрузки. In this case, Active Directory integration may be used to automatically assign the computer to a management server upon the initial startup.
  • Установка вручную. Manual installation. Этот метод используется в том случае, если агент не удалось установить другим методом, например если удаленный вызов процедур (RPC) недоступен из-за брандмауэра. This method is used when the agent cannot be installed by one of the other methods—for example, when remote procedure call (RPC) is unavailable because of a firewall. Эта настройка вручную выполняется в агенте или развертывается с помощью существующего инструмента распределения программного обеспечения. The setup is manually run on the agent or deployed through an existing software distribution tool.

Агенты, уже установленные с помощью мастера обнаружения, могут управляться из консоли управления. Для них, например, может изменяться версия, применяться обновления, настраиваться сервер управления для отправки агентами отчетов. Agents that are installed by using the Discovery Wizard can be managed from the Operations console, such as updating agent versions, applying patches, and configuring the management server that the agent reports to.

При установке агента вручную его обновление также должно выполняться вручную. When you install the agent using a manual method, updates to the agent must also be performed manually. Для назначения агентов группам управления допускается использование интеграции с Active Directory. You will be able to use Active Directory integration to assign agents to management groups. Дополнительные сведения см. в статье Интеграция Active Directory и Operations Manager. For more information, see Integrating Active Directory and Operations Manager.

Развертывание агента в системе Windows Agent deployment to Windows system

Для обнаружения системы Windows должны быть открыты порты TCP 135 (RPC), диапазон RPC и TCP 445 (SMB), а на агентском компьютере должна быть установлена служба SMB. Discovery of a Windows system requires that the TCP 135 (RPC), RPC range, and TCP 445 (SMB) ports remain open and that the SMB service is enabled on the agent computer.

  • После обнаружения целевого устройства на него можно развернуть агент. After a target device has been discovered, an agent can be deployed to it. Установка агента требует следующего: Agent installation requires:
  • Открыть порты RPC, начиная с сопоставителя конечных точек TCP 135 до порта SMB TCP/UDP 445. Opening RPC ports beginning with endpoint mapper TCP 135 and the Server Message Block (SMB) port TCP/UDP 445.
  • Включить службы доступа к файлам и принтерам сетей Microsoft и клиента для служб сетей Microsoft. Enabling the File and Printer Sharing for Microsoft Networks and the Client for Microsoft Networks services. (Это гарантирует, что SMB-порт является активным.) (This ensures that the SMB port is active.)
  • Параметры групповой политики брандмауэра Windows «Разрешить исключение для удаленного администрирования» и «Разрешить исключение для входящего общего доступа к файлам и принтерам» (если они включены) должны иметь значение «Разрешить незапрошенные входящие сообщения с IP-адресом и подсетями для основного и дополнительного сервера управления агента». If enabled, Windows Firewall Group Policy settings for Allow remote administration exception and Allow file and printer sharing exception must be set to Allow unsolicited incoming messages from to the IP address and subnets for the primary and secondary management servers for the agent.
  • Учетная запись с правами администратора на целевом компьютере. An account that has local administrator rights on the target computer.
  • Установщик Windows 3.1. Windows Installer 3.1. Инструкции по установке см. в статье 893803 базы знаний Майкрософт https://go.microsoft.com/fwlink/?LinkId=86322 To install, see article 893803 in the Microsoft Knowledge Base https://go.microsoft.com/fwlink/?LinkId=86322
  • Службы Microsoft Core XML (MSXML) 6 на установочном носителе продукта Operations Manager в подкаталоге \msxml. Microsoft Core XML Services (MSXML) 6 on the Operations Manager product installation media in the \msxml sub directory. При установке агента принудительной доставки на целевое устройство будут установлены службы MSXML 6 (при их отсутствии). Push agent installation installs MSXML 6 on the target device if it is not already installed.

Развертывание агента в системе UNIX и Linux Agent deployment to UNIX and Linux system

В System Center Operations Manager сервер управления использует два протокола для связи с компьютером UNIX или Linux: In System Center Operations Manager, the management server uses two protocols to communicate with the UNIX or Linux computer:

  • Безопасную оболочку (SSH) для установки, обновления и удаления агентов. Secure Shell (SSH) for installing, upgrading, and removing agents.
  • Веб-службы управления (WS-Management) используются для всех операций мониторинга и включают обнаружение уже установленных агентов. Web Services for Management (WS-Management) for all monitoring operations and include the discovery of agents that were already installed.

Используемый протокол зависит от действия или информации, запрошенной на сервере управления. The protocol that is used depends on the action or information that is requested on the management server. Все действия, такие как обслуживание агентов, мониторов, правил, задач и восстановлений, настраиваются для использования предварительно заданных профилей в соответствии с требованием применения непривилегированной или привилегированной учетной записи. All actions, such as agent maintenance, monitors, rules, tasks, and recoveries, are configured to use predefined profiles according to their requirement for an unprivileged or privileged account.

Все учетные данные, указанные в этом разделе, относятся к учетным записям, созданным на компьютере под управлением UNIX или Linux, а не к учетным записям Operations Manager, настроенным во время установки Operations Manager. All credentials referred to in this section pertain to accounts that have been established on the UNIX or Linux computer, not to the Operations Manager accounts that are configured during the installation of Operations Manager. Обратитесь к системному администратору для получения учетных данных и сведений о проверке подлинности. Contact your system administrator for credentials and authentication information.

При повышении прав непривилегированная учетная запись может принимать удостоверение привилегированной учетной записи на компьютере UNIX или Linux. By elevation, an unprivileged account can assume the identity of a privileged account on the UNIX or Linux computer. Процесс повышения прав выполняется программами su (superuser) и sudo операционной системы UNIX, которые используют учетные данные, предоставленные сервером управления. The elevation process is performed by the UNIX su (superuser) and sudo programs that use the credentials that the management server supplies. Для привилегированных операций обслуживания агента, использующих SSH (например, обнаружение, развертывание, удаление и восстановление агента), предоставляется поддержка повышения прав su и sudo, а также поддержка проверки подлинности с ключом SSH (с парольной фразой или без нее). For privileged agent maintenance operations that use SSH (such as discovery, deployment, upgrades, uninstallation, and agent recovery), support for su, sudo elevation, and SSH key authentication (with or without passphrase) is provided. Для привилегированных операций WS-Management (например, просмотр безопасных файлов журналов) добавляется поддержка повышения прав с помощью sudo (без пароля). For privileged WS-Management operations (such as viewing secure log files), support for sudo elevation (without password) is supported.

Читайте также:  Windows 10 отключается изображение

Назначение агента Active Directory Active Directory agent assignment

System Center Operations Manager позволяет эффективно использовать инвестиции в доменные службы Active Directory Domain Services (AD DS), предоставляя возможность использовать их для назначения управляемых агентом компьютеров группам управления. System Center Operations Manager allows you to take advantage of your investment in Active Directory Domain Services (AD DS) by enabling you to use it to assign agent-managed computers to management groups. Эта функция обычно используется в сочетании с агентом, развернутым в рамках процесса построения развертывания сервера. This feature is commonly used in conjunction with the agent deployed as part of a server deployment build process. Если компьютер впервые подключается к сети, агент Operations Manager отправляет запрос в Active Directory на назначение основного и резервного серверов управления и автоматически приступает к мониторингу компьютера. When the computer comes online for the first time, the Operations Manager agent queries Active Directory for its primary and failover management server assignment and automatically starts monitoring the computer.

Назначение компьютеров группам управления с помощью доменных служб Active Directory выполняется описанным ниже способом. To assign computers to management groups by using AD DS:

  • У доменов доменных служб Active Directory должен быть собственный функциональный уровень Windows 2008 или выше The functional level of AD DS domains must be Windows 2008 native or higher
  • Управляемые агентом компьютеры и все серверы управления должны принадлежать одному домену или доменам с двусторонними отношениями доверия. Agent-managed computers and all management servers must be in the same domain or in two-way trusted domains.

Агент, который определяет, что он установлен на контроллере домена, не запрашивает сведения о конфигурации у Active Directory. An agent that determines it is installed on a domain controller will not query Active Directory for configuration information. Это предусмотрено соображениями безопасности. This is for security reasons. Интеграция с Active Directory отключается по умолчанию на контроллерах домена, поскольку агент запускается под учетной записью локальной системы. Active Directory Integration is disabled by default on domain controllers because the agent runs under the Local System account. Учетная запись локальной системы в контроллере домена имеет права администратора домена; следовательно, она обнаружит все точки подключения службы сервера управления, которые зарегистрированы в Active Directory, независимо от членства в группе безопасности контроллера домена. The Local System account on a domain controller has Domain Administrator rights; therefore, it detects all Management Server Service Connection Points that are registered in Active Directory, regardless of the domain controller’s security group membership. В результате агент попытается подключиться ко всем серверам управления во всех группах управления. As a result, the agent tries to connect to all management servers in all management groups. Результаты могут быть непредсказуемыми, что создает угрозу безопасности. The results can be unpredictable, thus presenting a security risk.

Назначение агентов выполняется с помощью точки подключения службы (SCP), которая представляет собой объект Active Directory для публикации информации, с помощью которой клиентские приложения могут выполнить привязку к службе. Agent assignment is accomplished by using a Service Connection Point (SCP), which is an Active Directory object for publishing information that client applications can use to bind to a service. Для этого администратор домена с помощью средства командной строки MOMADAdmin.exe создает контейнер AD DS для группы управления Operations Manager в доменах управляемых компьютеров. This is created by a domain administrator running the MOMADAdmin.exe command-line tool to create an AD DS container for an Operations Manager management group in the domains of the computers it manages. Группа безопасности доменных служб Active Directory, которая указывается при запуске MOMADAdmin.exe, предоставляет контейнеру разрешения на чтение и удаление дочерних объектов. The AD DS security group that is specified when running MOMADAdmin.exe is granted Read and Delete Child permissions to the container. Точка SCP содержит сведения о подключении к серверу управления, включая полное доменное имя сервера и номер порта. The SCP contains connection information to the management server, including the server’s FQDN and port number. Агенты Operations Manager могут автоматически обнаруживать серверы управления, запрашивая точки подключения службы. Operations Manager agents can automatically discover management servers by querying for SCPs. Наследование не отключается, и так как агент может прочитать сведения об интеграции, зарегистрированные в AD, в случае применения принудительного наследования для группы «Все» на чтение всех объектов на корневом уровне в Active Directory, это значительно снизит и, по сути, прервет действие функциональных возможностей интеграции AD. Inheritance is not disabled, and because an agent can read the integration information registered in AD, if you force inheritance for the Everyone group to read all objects at the root level in Active Directory, this will severely affect and essentially interrupt AD Integration functionality. Если явным образом применить принудительное наследования во всем каталоге, предоставив группе «Все» разрешения на чтение, необходимо заблокировать данное наследование на уровне корневого контейнера интеграции AD с именем OperationsManager и всех дочерних объектов. If you explicitly force inheritance throughout the entire directory by granting the Everyone group read permissions, you must block this inheritance at the top-level AD Integration container, named OperationsManager, and all child objects. Если этого не сделать, интеграция AD не будет работать, как ожидалось, и у вас не будет надежного и согласованного основного и резервного назначения для развернутых агентов. If you fail to do this, AD Integration will not work as designed and you will not have reliable and consistent primary and failover assignment for agents deployed. Кроме того, если в вашем распоряжении находится несколько групп управления, все агенты в обеих группах управления также будут многосетевыми. Additionally, if you happen to have more than one management group, all agents in both management groups will be multi-homed as well.

Эта функция хорошо подходит для управления назначением агентов в распределенном развертывании группы управления, чтобы не допустить отправку отчетов агентами на серверы управления, которые выделены для пулов ресурсов или серверов управления во вторичном ЦОД в конфигурации постоянного резерва и, следовательно, предотвратить переключение агента на резервный ресурс при нормальной работе. This feature works well for controlling agent assignment in a distributed management group deployment, to prevent agents from reporting to management servers that are dedicated to resource pools or management servers in a secondary data center in a warm-standby configuration to prevent agent failover during normal operation.

Администратор Operations Manager управляет конфигурацией назначения агентов с помощью мастера назначения агентов и настройки их переключения и назначает компьютеры основному и дополнительному серверам управления. Configuration of agent assignment is managed by an Operations Manager administrator using the Agent Assignment and Failover Wizard to assign computers to a primary management server and secondary management server.

Для агентов, установленных из консоли управления, отключена интеграция с Active Directory. Active Directory Integration is disabled for agents that were installed from the Operations console. По умолчанию интеграция с Active Directory включается для агентов, установленных вручную с помощью MOMAgent.msi. By default, Active Directory Integration is enabled for agents installed manually using MOMAgent.msi.

Дальнейшие шаги Next steps

Чтобы понять, как установить агент Windows из консоли управления, см. сведения в разделе Установка агента в ОС Windows с помощью мастера обнаружения. Сведения об установке агента из командной строки см. в разделе Установка агента Windows вручную с помощью MOMAgent.msi. To understand how to install the Windows agent from the Operations console, see Install Agent on Windows Using the Discovery Wizard or to install the agent from the command line, see Install Windows Agent Manually Using MOMAgent.msi.

Чтобы понять, как установить Linux и UNIX из консоли управления, см. сведения в разделе Установка агента в ОС UNIX и Linux с помощью мастера обнаружения. To understand how to install the Linux and UNIX from the Operations console, see Install agent on UNIX and Linux using the Discovery Wizard.

Сведения о создании контейнера в Active Directory, настройке назначения агента для переключения и управлении конфигурацией см. в разделе Настройка и использование интеграции Active Directory для назначения агента. Review How to configure and use Active Directory Integration for agent assignment to learn how to create the container in Active Directory, configure agent failover assignment, and manage the configuration.

Оцените статью
© 2024 Советы по настройке компьютера