Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Übersicht über Operations Manager 2007

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

Die Infrastruktur von Operations Manager 2007 setzt sich aus bestimmten Kernkomponenten zusammen, die implementiert werden müssen, sowie aus einer Reihe optionaler Komponenten und Funktionen, die Sie nach Bedarf implementieren können. In diesem Abschnitt werden diese Komponenten und Funktionen entsprechend ihrer erforderlichen oder optionalen Klassifizierung beschrieben. Im Allgemeinen wird eine Komponente von Ihrem Quellmedium installiert, während eine Funktion konfiguriert werden muss, da zunächst die erforderlichen Komponenten für diese Funktion installiert werden müssen.

Erforderliche Serverrollen und Komponenten

Die grundlegende Funktionseinheit für alle Operations Manager 2007-Implementierungen ist die Verwaltungsgruppe. Sie enthält eine Installation des Hosts für die OperationsManager-Datenbank (Microsoft SQL Server 2005 oder Microsoft SQL Server 2008), den Stammverwaltungsserver, die Betriebskonsole und einen oder mehrere Agents, die auf überwachten Computern oder Geräten bereitgestellt werden.

OperationsManager-Datenbank

Die erste Komponente, die in allen Verwaltungsgruppen installiert werden muss, ist die OperationsManager-Datenbank. In dieser Datenbank sind alle Konfigurationsdaten für Verwaltungsgruppe abgelegt. Zudem werden dort alle Überwachungsdaten gespeichert, die durch die Agents gesammelt und verarbeitet werden.

Für eine optimierte Leistung von Operations Manager muss die Größe der OperationsManager-Datenbank kontrolliert verwaltet werden. Tests haben eine Größe von unter 50 GB als geeigneten Wert ergeben. Damit diese Grenze nicht überschritten wird, bietet Operations Manager 2007 einstellbare Parameter, die für eine automatische Löschung älterer, nicht mehr gebrauchter Daten sorgen.

Da in einer Verwaltungsgruppe nur eine Operationsmanager-Datenbank vorhanden sein kann, muss sie funktional für die gesamte Verwaltungsgruppe sein. Da eine einzige Operationsmanager-Datenbankinstanz eine zentrale Fehlerstelle darstellen kann, besteht die Möglichkeit, die Operationsmanager-Datenbank in einen Failovercluster eines Clusterdienstes (früher unter der Bezeichnung MSCS geläufig) zu setzen. Darüber hinaus kann der Protokollversand konfiguriert werden, so dass aktuelle Betriebsdaten und Konfigurationsinformationen an einen anderen Microsoft SQL Server der gleichen Version, der ein Duplikat der primären OperationsManager-Datenbank enthält, gesendet werden können. Kommt es zu einem Fehler in der primären Datenbank, kann das Duplikat nach einer Aktualisierung die Funktion übernehmen. Die OperationsManager-Datenbank ist an folgenden Aktivitäten beteiligt:

  • Management Pack-Import – Beim Importieren von Management Packs steigt die Belastung der CPU, des Arbeitsspeichers und des Datenbankserver-Datenträgers.

  • Ermittlung – Während des Ermittlungsvorgangs werden Daten von den Agents an die Verwaltungsserver zurückgegeben. Diese Daten werden schließlich in die OperationsManager-Datenbank geschrieben. Dieser Vorgang führt zu einer Mehrbelastung des Datenträgers und der Datenbankserver-CPU.

  • Überwachungsvorgänge – Alle von den Agents gesammelten Daten und alle Konfigurationsinformationen zu Verwaltungsgruppen werden in der OperationsManager-Datenbank gespeichert.

Stammverwaltungsserver

Der Stammverwaltungsserver (RMS) ist ein spezialisierter Verwaltungsservertyp in einer Verwaltungsgruppe und gleichzeitig der erste Verwaltungsserver, der in einer Verwaltungsgruppe installiert wird. Pro Verwaltungsgruppe kann immer nur ein Stammverwaltungsserver aktiv sein. Kurz ausgedrückt ist der Stammverwaltungsserver der Fokuspunkt für die Administration, Verwaltung und Konfiguration der Verwaltungsgruppe sowie für die Kommunikation mit den Agents, der OperationsManager-Datenbank und anderen Datenbanken in der Verwaltungsgruppe.

Zudem dient der Stammverwaltungsserver als Ziel für die Betriebskonsole und als bevorzugtes Ziel für die Webkonsolen.

Der Stammverwaltungsserver fungiert als Host für die System Center-Datenzugriffs- und System Center-Verwaltungskonfigurationsdienste. Diese Dienste werden nur auf dem Stammverwaltungsserver ausgeführt. Der System Center-Datenzugriffsdienst bietet für alle Clients einen sicheren Zugriff auf die OperationsManager-Datenbank, einschließlich Betriebskonsole, Betriebsshell und Webkonsole. Der System Center-Verwaltungskonfigurationsdienst dient zur Berechnung und Verteilung der Konfigurationsdaten aller Verwaltungsserver und Agents. Über diesen Dienst wird die Zuordnung der Management Packs an die Komponenten bestimmt.

Gleichermaßen wie die OperationsManager-Datenbank kann die RMS-Rolle in einem MSCS-Failovercluster installiert werden, um eine Hochverfügbarkeit zu erreichen. Darüber hinaus kann anderen Verwaltungsservern in der Verwaltungsgruppe (falls vorhanden) manuell die RMS-Rolle übertragen werden.

Der Stammverwaltungsserver ist an folgenden Aktivitäten beteiligt:

  • Management Pack-Import – Beim Importieren von Management Packs wird zunächst die Gültigkeit des Management Packs durch den Stammverwaltungsserver geprüft. Anschließend werden die XML-formatierten Daten des Management Packs vom Stammverwaltungsserver in das relationale Datenbankformat konvertiert. Schließlich werden die Daten vom Stammverwaltungsserver an die OperationsManager-Datenbank gesendet. Beide Vorgänge führen zu einer Mehrbelastung der Stammverwaltungsserver-CPU, des Datenträgers und des Arbeitsspeichers.

  • Verwaltung des Instanzbereichs – Mit dem System Center-Verwaltungskonfigurationsdienst werden die Konfigurationen für alle überwachten Geräte in der Verwaltungsgruppe errechnet. Zu diesem Zweck verwaltet der Dienst eine Kopie sämtlicher Konfigurationsinformationen im Speicher und führt dort seine Berechnungen durch. Dadurch erhöht sich die Speicherlast. Nach Abschluss der Instanzbereichsberechnungen wird eine Synchronisierungsanforderung von den Agents an den ihnen zugewiesenen Verwaltungsserver gesendet und die Anfrage von dort an den Stammverwaltungsserver weitergeleitet. Diese Anfragen werden vom Stammverwaltungsserver in einer speicherinternen Warteschlange gespeichert, bis er darauf reagieren kann.

  • Ermittlung – Nach Zustellung der Management Packs an die Agents wird die Ermittlung gestartet. Die Ermittlungsdaten werden von den Agents an die ihnen zugewiesenen Verwaltungsserver und dann an den Stammverwaltungsserver zurückgegeben. Diese Daten werden in die OperationsManager-Datenbank eingefügt und in den Instanzbereich integriert. Beide Aktivitäten führen zu einer Mehrbelastung des Datenträgers, Prozessors und Arbeitsspeichers im Stammverwaltungsserver.

Agent

Bei einem Operations Manager 2007-Agent handelt es sich um einen Dienst, der für einen zu überwachenden Computer bereitgestellt werden kann. Auf dem überwachten Gerät wird ein Agent als System Center-Verwaltungsdienst aufgelistet. Jeder Agent sendet Informationen an einen Verwaltungsserver innerhalb der Verwaltungsgruppe. Dieser Verwaltungsserver wird als primärer Verwaltungsserver des Agents bezeichnet. Agents überwachen Datenressourcen auf dem überwachten Gerät und sammeln entsprechend der Konfiguration, die sie von ihren Verwaltungsservern erhalten, Informationen. Agents berechnen zudem den Integritätsstatus des überwachten Geräts und senden diese Informationen zurück an den Verwaltungsserver. Wenn sich der Integritätsstatus eines überwachten Geräts ändert oder andere Krtiterien erfüllt werden, kann über den Agent eine Warnung generiert werden. Auf diese Weise werden Benutzer über aufgetretene Probleme, die behandelt werden müssen, informiert.

Auf Agents stehen zudem verschiedene Aktionstypen zur Verfügung, die Sie bei der Diagnose oder Korrektur von Problemen unterstützen können. Durch die Übermittlung von Integritätsdaten an den Verwaltungsserver liefert ein Agent ein aktuelles Bild über den Integritätsszustand des überwachten Geräts und der darauf befindlichen Anwendungen.

Geräte können auch ohne Agent überwacht werden. In diesem Fall führt der Verwaltungsserver eine Fernüberwachung durch.

Betriebskonsole

Die Betriebskonsole ist eine zentrale, einheitliche Benutzeroberfläche für die Interaktion mit dem Operations Manager 2007-System. Sie bietet Zugriff auf Überwachungsdaten, grundlegende Konfigurationstools für Management Packs, Operations Manager 2007-Berichte sowie auf alle Steuerelemente und Werkzeuge, die für die Verwaltung von Operations Manager 2007 erforderlich sind. Der Arbeitsbereich auf der Betriebskonsole kann angepasst werden.

Für den Zugriff auf die Betriebskonsole muss das Active Directory-Benutzerkonto des Benutzers einer Operations Manager 2007-Benutzerrolle zugewiesen sein. Eine Benutzerrolle enthält einen Gerätebereich, für den ein Zugriff gestattet ist, sowie ein Benutzerprofil, in dem die zulässigen Aktiväten der Rolle innerhalb des definierten Bereichs festgelegt sind. Für die Betriebskonsole gilt eine rollenbasierte Sicherheit, mit der ein Operations Manager-Administrator definieren kann, welche Komponenten ein bestimmter Benutzer auf der Konsole anzeigen und welche Aktionen der Benutzer in Bezug auf diese Komponenten ausführen kann. Weitere Informationen finden Sie in diesem Dokument im Abschnitt "Rollenbasierte Sicherheit".

Management Packs

Management Packs enthalten eine Definition zur Integrität einer Anwendung, wie durch die Anwendungsentwickler festgelegt. Nach dem Import eines Management Packs in das Operations Manager-System können die entsprechenden Agents die Integrität einer Anwendung überwachen, Warnungen generieren, wenn relevante Probleme in der Anwendung auftreten, und Aktionen in der Anwendung und der unterstützenden Infrastruktur zur weiteren Diagnose oder zur Wiederherstellung des Integritätszustands der Anwendung durchführen. Ohne ein anwendungs-, betriebssystem- oder gerätespezifisches Management Pack ist das Operations Manager 2007-System nicht in der Lage, eine Überwachung durchzuführen, da entsprechenden Entitäten nicht erkannt werden.

Optionale Serverrollen und Komponenten

Diese zusätzlichen Serverrollen erweitern die Funktionalität einer Verwaltungsgruppe. Die meisten dieser Komponenten werden getrennt von den erforderlichen Kernkomponenten installiert. Manche können jedoch auch gleichzeitig installiert werden. Umfassende Angaben zur Installation von Operations Manager 2007-Komponenten können Sie dem Operations Manager 2007-Bereitstellungshandbuch entnehmen.

Verwaltungsserver

Die primären Aufgaben eines Verwaltungsservers liegen im Empfang von Konfigurationsdaten und Management Packs über den Stammverwaltungsserver und in der Verteilung dieser Informationen an die Agents, die wiederum Informationen an den Verwaltungsserver übermitteln. Verwaltungsserver führen keine der speziellen Funktionen eines Stammverwaltungsservers (RMS) aus. Einem Verwaltungsserver kann die RMS-Rolle übertragen werden, wenn der ursprüngliche Stammverwaltungsserver ausfällt. Voraussetzung ist jedoch, dass der Verwaltungsserver bereits vor dem RMS-Ausfall in der Verwaltungsgruppe vorhanden war. Die Installation mehrerer Verwaltungsserver in einer Verwaltungsgruppe bietet zusätzliche Kapazität für die Agentverwaltung. Neben der Skalierbarkeit kann mit dem Einsatz zusätzlicher Verwaltungsserver in einer Verwaltungsgruppe eine Ausfallsicherheit konfiguriert werden. Wenn ein Agent die Verbindung zu seinem primären Verwaltungsserver verliert, greift dann ein Failovermechnismus, der es möglich macht, dass die Agentdaten an einen anderen Verwaltungsserver übertragen werden können.

Der Verwaltungsserver kann auch zu Fernüberwachungszwecken genutzt werden (URL-Überwachung und plattformübergreifende Überwachung). In einer zusätzlichen Rolle kann ein Verwaltungsserver als Host für den Überwachungssammlungsserver (ACS, Audit Collection Service) fungieren. Der ACS-Sammlungsserver kann nur auf einem Verwaltungsserver oder einem Gatewayserver installiert werden. Weitere Informationen finden Sie im Abschnitt "Überwachungssammeldienst (ACS)" in diesem Dokument. Eine weitere Rolle ist der Verwaltungsserver für die AEM-Freigabe. Entsprechende Ausführungen folgen.

Durch die Datensammlungsaktivitäten des Verwaltungsserver erhöht sich die Last der CPU, und zusätzlich erhöht sich durch die UNIX- und Linux-Datenwarteschlangen des Verwaltungsservers die Last des Datenträgers.

Gatewayserver

Bevor ein Datenaustausch erfolgen kann, erfordert das Operation Manager 2007-System eine gegenseitige Authentifizierung von Verwaltungsservern und Agents sowie die Einrichtung eines verschlüsselten Kommunikationskanals. Das Standard-Authentifizierungsprotokoll ist Kerberos. Wenn sich Agent und Verwaltungsserver in der gleichen Active Directory-Gesamtstruktur oder in Gesamtstrukturen mit Gesamtstruktur-Vertrauensstellung befinden, erfolgt die gegenseitige Authentifizierung automatisch. Dies leitet sich aus der Tatsache ab, dass Keberos das Standard-Authentifizierungsprotokoll in Active Directory ist.

Befinden sich Agents und Verwaltungsserver nicht innerhalb der gleichen Kerberos-Vetrauensgrenze (d. h., nicht in der gleichen Active Directory-Gesamtstruktur oder nicht in Gesamtstrukturen mit Gesamtstruktur-Vertauensstellung) müssen zertifikatbasierte Authentifizierungsmechanismen verwendet werden. In dieser Situation muss für jene Agents und für die Verwaltungsserver, an die sie Daten übermitteln, ein Zertifikat ausgegeben und verwaltet werden. Wenn darüber hinaus zwischen Agents und Verwaltungsserver eine Firewall geschaltet ist, stehen zwei Möglichkeiten zur Verfügung: entweder werden die Firewallregeln angepasst, damit alle als Host für einen Agent dienenden Computer direkt über die Firewall kommunizieren können, oder der eingehende Operations Manager-Kommunikationsport wird geöffnet.

Mit dem Einsatz von Operation Manager 2007-Gatewayservern kann der erforderliche Verwaltungsaufwand für die Aufrechterhaltung der Kommunikation zwischen durch eine Vertrauensgrenze getrennten Agents und Verwaltungsservern erheblich reduziert werden. Der Gatewayserver agiert als Proxy für die Agentkommunikation. Der Gatewayserver wird innerhalb der Vertrauensgrenze (diese kann einer Domäne entsprechen), in der sich die Agents befinden, implementiert, so dass für alle Agents eine Kommunikation möglich ist. Unter Nutzung des Computerzertifikats erfolgt die gegenseitige Authentifizierung mit dem Verwaltungsserver und die anschließende Weiterleitung der Agent-zu-Verwaltungsserver- und der Verwaltungsserver-zu-Agent-Kommunikation. Die erfordert nur ein Zertifikat für den Verwaltungsserver und ein Zertifikat für das Gateway. Im Firewallszenario müssen für die Kommunikation miteinander nur der Gatewayserver und der Verwaltungsserver autorisiert werden.

In einer Verwaltungsgruppe können im Sinne der Skalierbarkeit und zur Bereitstellung von Failovermechanismen mehrere Gatewayserver installiert werden. Sollte ein Agent die Verbindung zu seinem Gatewayserver verlieren, greifen dann die Failovermechanismen, und der Agent kann einen anderen Gatewayserver innerhalb seiner Verwaltungsgruppe und innerhalb seiner Vertrauensgrenze nutzen.

Gleichermaßen können Gatewayserver für ein Failover zwischen Verwaltungsservern in einer Verwaltungsgruppe konfiguriert werden. Diese Konfiguration bietet auf diese Weise vollständig redundante Kommunikationskanäle für Agents, die außerhalb der Vertrauensgrenze eines Verwaltungsservers liegen.

Der Gatewayserver ist an folgenden Aktivitäten beteiligt:

  • Gesamte Datenkommunikation zwischen nicht vertrauenswürdigen Agents und Verwaltungsservern – Gatewayserver-Proxykommunikation zwischen Verwaltungsservern und Agents. Die Gatewayserver dienen auch als Konzentrationspunkt für diese Datenkommunikation. Bei diesen Daten handelt es sich um an den Agent gesendete Konfigurationsdaten und Management Packs sowie an den Verwaltungsserver gesendete Ermittlungs- und Überwachungsdaten. Alle diese Daten werden auf dem lokalen Datenträger des Gatewayservers in die Warteschlange gestellt. Da hierdurch der Datenträger des Gatewayservers erheblich stärker belastet wird, müssen Sie sicherstellen, dass genügend Datenträgerspeicher zur Verfügung steht.

Webkonsolenserver

Der Webkonsolenserver bietet eine Schnittstelle zur Verwaltungsgruppe, auf die über einen Webbrowser zugegriffen werden kann. Er verfügt jedoch nicht über denselben Funktionsumfang wie die Betriebskonsole, und der über ihn bereitgestellte Zugriff beschränkt sich auf die Ansichten "Überwachung", "Favoritenbericht" und "Arbeitsbereich". Die Webkonsole bietet Zugriff auf alle Überwachungsdaten und Tasks, die als Aktionen in Bezug auf überwachte Computer über die Betriebskonsole ausgeführt werden können. Der Zugriff auf Daten über die Webkonsole unterliegt den gleichen Beschränkungen wie der Zugriff auf Inhalte über die Betriebskonsole.

Management Pack-Konfigurationskonsole

Bei der Operations Manager 2007 Konfigurationskonsole handelt es sich um eine eigenständige Anwendung, die umfangreichere Konfigurationsoptionen für Management Packs bietet als im Konfigurationsbereich der Betriebskonsole zur Verfügung stehen. Mithilfe der Konfigurationskonsole können Sie neue Management Packs erstellen, vorhandene Management Packs anzeigen und modifizieren, die Integrität von Management Packs verifizieren sowie Importe und Exporte von Management Packs an bzw. von Verwaltungsgruppen durchführen. Die Operations Manager 2007 Konfigurationskonsole können Sie unter folgender Adresse herunterladen: http://go.microsoft.com/fwlink/?LinkId=136356.

Berichterstattungs-Data Warehouse

Im Berichterstattungs-Data Warehouse werden Überwachungs- und Warnungdaten für Verlaufsanalysezwecke gespeichert. Die Daten der Verwaltungsserver werden gleichzeitig in die Data Warehouse- und die OperationsManager-Datenbank geschrieben, so dass die generierten Berichte stets aktuelle Daten enthalten. Im Data Warehouse werden Leistungsdaten auf stündlicher oder täglicher Basis zusammengefasst. Auf diese Weise können Langzeitrendberichte schneller ausgeführt werden. Außerdem müssen zur Unterstützung der Langzeittrendberichterstattung weit weniger Daten aufbewahrt werden.

Im Berichterstattungs-Data Warehouse können Daten von mehreren Verwaltungsgruppen empfangen werden. Zusammengefasste Ansichten der Daten sind in Berichten möglich.

Berichtsserver

Die Komponente Operations Manager-Berichtsserver wird auf einer Instanz von Microsoft SQL 2005 Reporting Services SP1 oder später oder Microsoft SQL Server 2008 SP1 Reporting Services installiert. Sie dient zur Erstellung und Präsentation der Berichte aus den Daten, die aus dem Berichterstattungs-Data Warehouse abgerufen werden. Der Zugriff auf alle Berichte erfolgt über die Betriebskonsole, d. h., der Zugriff wird über die rollenbasierte Sicherheit kontrolliert.

Überwachungssammeldienste (ACS)

Bei den Überwachungssammeldiensten (ACS) handelt es sich um eine hochperformante, sichere Lösung für die Sammlung und Archivierung von Ereignissen aus dem Sicherheitsereignisprotokoll überwachter Computer. Ereignisse werden in Microsoft SQL Server 2005 SP1 oder später oder Microsoft SQL Server 2008 SP1 in einer separaten Datenbank, der ACS-Datenbank (weitere Ausführungen folgen), gespeichert. ACS sammelt alle Ereignisse, die in das Sicherheitsereignisprotokoll von Computern geschrieben wurden. Voraussetzung ist, dass auf diesen die ACS-Weiterleitung aktiviert wurde. Die Ereignisse werden von den überwachten Computern an den ACS-Sammlungsserver weitergeleitet, der auf einem Verwaltungsserver ausgeführt wird, die erhaltenen Daten verarbeitet und diese in die ACS-Datenbank schreibt. Die Ereignisse werden nahezu in Echtzeit und verschlüsselt von den Weiterleitungsdiensten an den Sammlungsserver übertragen. Mithilfe der ACS-Berichterstattung, einer separaten Komponente, werden dann aus den gespeicherten Daten Berichte generiert.

Der Schlüssel zu einer effektiven Nutzung der ACS-Funktion liegt in der Entwicklung einer soliden Windows-Überwachungsgruppenrichtlinie, die als Domänengruppenrichtlinie implementiert wird. Weitere Informationen zur Windows-Überwachungsgruppenrichtlinie und zur Implementierung der Überwachungssammeldienste (ACS) finden Sie unter Verwalten der Überwachungssammeldienste in Operations Manager 2007 http://go.microsoft.com/fwlink/?LinkID=144374 .

ACS-Weiterleitung

Die ACS-Weiterleitung ist integrierter Bestandteil des Operations Manager 2007-Agents, so dass keine separate Bereitstellung oder Konfiguration erforderlich ist. Die ACS-Weiterleitung wird als ACS-Weiterleitungsdienst angezeigt und ist standardmäßig deaktiviert. Auf einem individuellen Computer oder auf einer Gruppe von Computern wird die ACS-Weiterleitung über einen Task in der Betriebskonsole aktiviert.

ACS-Sammlungsserver

Die Hauptaufgabe des ACS-Sammlungsservers liegt in der Sammlung, Filterung und Vorverarbeitung aller im Windows-Sicherheitsereignisprotokoll aufgezeichneter Daten, die anschließend in die Datenbank eingefügt werden. Da der ACS-Server alle Sicherheitsereignisse fast in Echtzeit sammelt, empfängt das System große Datenmengen über die Weiterleitungen. Nicht alle diese Informationen sind von Interesse für Ihr Unternehmen, wie in der Windows-Überwachungsgruppenrichtlinie für Ihr Unternehmen definiert. Der Filterungsmechanismus der Sammlung ermöglicht Ihnen, anzugeben, welche Ereignisse zur Langzeitspeicherung in die ACS-Datenbank geschrieben werden sollen.

Für den ACS-Sammlungsserver steht ein separates Installationsprogramm zur Verfügung, das unabhängig von anderen Operations Manager-Komponenten ist. Ein ACS-Sammlungsserver kann nur auf einem vorhandenen Verwaltungsserver oder einem Stammverwaltungsserver, wenn Sie keine weiteren Verwaltungsserver installiert haben, installiert werden. Ein ACS-Sammlungsserver kann, je nach Serverrolle und Windows-Überwachungsgruppenrichtlinie, Hunderte bis Tausende von Servern und Zehntausende von Arbeitsstationen unterstützen. Es besteht jedoch eine Eins-zu-Eins-Beziehung zwischen ACS-Sammlungsserver und ACS-Datenbank (weitere Ausführungen folgen im nächsten Abschnitt). Wenn Ihr Unternehmen im Sinne der Skalierbarkeit oder aus Kontrollgründen zusätzliche ACS-Sammlungen erfordert, muss pro ACS-Sammlung eine ACS-Datenbank vorhanden sein.

ACS-Datenbank

Nach der Vorverarbeitung der Daten durch den ACS-Sammlungsserver werden diese in die zugehörige ACS-Datenbank geschrieben. Dabei handelt es sich einfach um eine Datenbank, die auf einer Microsoft SQL Server 2005 SP1-oder SP2-Instanz angelegt wurde. Da es sich um eine SQL-Standarddatenbank handelt, kann Sie im Sinne einer Hochverfügbarkeit geclustert werden. Um der Eins-zu-Eins-Beziehung zwischen Sammlungsservern und Datenbanken Rechnung zu tragen, können Sie über benannte Instanzen mehrere ACS-Datenbanken auf einem zentralen SQL Server 2005 anlegen, solange dieser der zusätzlichen Last gewachsen ist. Weitere Informationen zur Dimensionierung und Kapazitätenplanung für ASC finden Sie in einem entsprechenden Absatz im weiteren Verlauf dieses Handbuchs.

ACS-Berichterstattung

Auch bei der ACS-Berichterstattung handelt es sich um eine separat zu installierende Komponente. Es steht eine Reihe vorkonfigurierter Berichte zur Verfügung. Voraussetzung für die Installation der ACS-Berichterstattung ist eine vorhandene Instanz von SQL Server 2005 SP1 (oder später) Reporting Services oder Microsoft SQL Server 2008 Reporting Services. Dabei kann es sich um eine eigenständige Instanz handeln, oder Sie installieren die ACS-Berichterstattung zusammen mit Operations Manager 2007 und gehen einen Kompromiss ein.

Wenn Sie die ACS-Berichterstattung auf die gleiche Reporting Services-Instanz setzen wie die Operations Manager 2007-Berichterstattung, wird die ACS-Berichterstattung vollkommen in die Operations Manager-Berichterstattung integriert. Dies hat einen geringeren Verwaltungsaufwand zur Folge, da jeder Benutzer mit Zugriffsrechten auf die Operations Manager-Berichte automatisch Zugriffsrechte auf die ACS-Berichte hat. Manche Unternehmen empfinden diese Konfiguration möglicherweise als nicht wünschenswert und entscheiden sich für eine Installation der ACS-Berichterstattung auf einer separaten SQL Server Reporting-Instanz. In diesem Fall müssen Sie eigene Sicherheitsgruppen und -rollen definieren. Dies bedingt zwar einerseits einen höheren Verwaltungsaufwand, andererseits erreichen Sie eine extrem strikte Kontrolle über den Zugriff auf ACS-Daten.

Proxyagent

Operations Manager 2007 bietet die Möglichkeit, Netzwerkgeräte über SNMP v2, Computer, die mit anderen Betriebssystemem als Windows aufgeführt werden, und Computer ohne Agents zu überwachen. In diesen Fällen führt ein anderer Computer, auf dem ein Agent installiert ist, eine Fernüberwachung durch. Der Computer, der die Fernüberwachung durchführt, wird als Proxagent bezeichnet. Bei dem Agent, der als Proxy für die Überwachung anderer Geräte agiert, handelt es sich um einen Operations Manager-Standardagent. Die Konfiguration unterscheidet sich nur wenig: Wählen Sie in den Eigenschaften des Agents die Option Dieser Agent soll als Proxyagent fungieren und verwaltete Objekte auf anderen Computern ermitteln. Anschließend konfigurieren Sie das ohne Agent verwaltete Gerät, um den zu nutzenden Proxyagent zuzuweisen. Weitere Informationen zur Agentbereitstellung und zur Geräteverwaltung finden Sie im Operations Manager 2007-Betriebshandbuch.

Operations Manager 2007-Befehlsshell

Im Jahr 2006 führte Microsoft die Windows PowerShell Befehlszeilenschnittstelle für die Nutzung auf den Betriebssystemen Windows Server 2003, Windows Server 2008, Windows XP und Vista ein. Diese Schnittstelle wurde für die Automatisierung von Aufgaben durch Systemadministaroren entwickelt. Die zugehörige Benutzeroberfläche bietet eine interaktive Eingabaufforderung sowie eine Skriptumgebung, die kombiniert oder unabhängig voneinander genutzt werden können. Die Objekte, mit denen Sie in der PowerShell interagieren, werden als "Commandlets" bezeichnet. Diese Commandlets bestehen aus binären systemeigenen Befehlen im Windows PowerShell-Code. Windows PowerShell-Befehle sind für den Umgang mit Objekten bestimmt. Dies sind strukturierte Informationen, bei denen es sich um mehr handelt als um bloße Zeichenketten auf dem Bildschirm. Die Ausgaben der Befehle liefern stets Zusatzinformationen, die Sie bei Bedarf nutzen können.

Bei der Operations Manager 2007-Befehlsshell handelt es sich um eine Gruppe von 203 Commandlets, die speziell für die Automatisierung administrativer Aufgaben in Operations Manager 2007 entwickelt wurde. Die Befehlsshell kann auf jedem Computer installiert werden, auf dem die Betriebskonsole implementiert wird.

Funktionen

Funktionen sind standardmäßig vorhanden und müssen bei Bedarf für die Nutzung nur konfiguriert werden. Die Möglichkeit, in Operations Manager Funktionen nach eigenem Bedarf zu konfigurieren, unterstreicht die Flexibilität des Systems.

Plattformübergreifende Überwachung (UNIX- oder Linux-basierte Computer)

Mit Operations Manager 2007 R2-Verwaltungsservern und -Gatewayservern können UNIX- und Linux-Computer überwacht werden. Eine vollständige Liste der UNIX- und Linux-basierten Betriebssysteme, die überwacht werden können, finden Sie unter "Unterstützte Konfigurationen" in http://go.microsoft.com/fwlink/?LinkId=144400.

Bei der plattformübergreifenden Überwachung stellt der auf dem Verwaltungsserver oder Gatewayserver ausgeführte System Center-Verwaltungsdienst die gesamte Überwachungsintelligenz zur Verfügung. Die Kommunikation zwischen dem überwachenden System Center-Verwaltungsdienst und dem überwachten Computer erfolgt über eine WSMAN-Kommunikationsschicht, die sich auf beiden Komponenten befindet. Es ist eine zwingende Voraussetzung, dass die WSMAN-Schicht auf dem überwachten Computer installiert ist. Die Kommunikation zwischen den WSMAN-Schichten erfolgt über TCP-Port 1270 und geht immer vom Verwaltungsserver oder vom Gatewayserver aus. In einigen Fällen, wenn z. B. keine WSMAN-Schicht auf dem überwachten Gerät vorhanden ist oder ein Fehler auftritt, kann die Kommunikation über SSH TCP 22 erfolgen. SSH kann für die Installation der WSMAN-Schicht oder zu Diagnosezwecken genutzt werden.

7fa60fd9-7114-40f3-8ca1-993d6139b0ba

Ausnahmeüberwachung ohne Agent

Wenn auf einem Computer mit einem Windows-Betriebssystem ein Anwendungsfehler auftritt, kann der Watson-Dienst den Fehler aufzeichnen und die Fehlerinformationen an Microsoft senden, um die Ursache des Problems aufzudecken. In der Regel erfolgt diese auf jedem Computer auf individueller Basis. Da die Fehlerüberwachung und -meldung auf individueller Basis stattfindet, haben IT-Administratoren keine Einsicht in diese Ausnahmen, die in Ihrem Unternehmen auftreten.

Wenn die Funktion Ausnahmeüberwachung ohne Agent aktiviert ist, können alle Ausnahmen an einen Verwaltungsserver in Ihrer Verwaltungsgruppe gesendet und dort zusammengefasst werden. Da sie dann konzentriert an einem zentralen Ort archiviert werden, kann Ihr Unternehmen diese Daten für die Analyse und Diagnose von Desktop- und Serveranwendungsfehlern, wie sie in ihrem gesamten Unternehmen auftreten, nutzen. Bei Bedarf können Sie den Verwaltungsserver auch für die Weiterleitung der Ausnahmenüberwachungsdaten zu Analysezwecken an Microsoft konfigurieren.

Connector Framework

Beim Connector Framework handelt es sich um eine Anwendungsprogrammierungsschnittstelle (Application Programming Interface, API), mit der die Operations Manager-Funktionalität offen gelegt wird, um eine Integration mit anderen Verwaltungsprodukten oder anderen Technologien, wie z. B. Fehlerticketsysteme, zu ermöglichen. So wird die Entwicklung von Connectoren ermöglicht, die bidirektional Informationen mit Verwaltungsservern austauschen können. Primär interagiert das Connector Framework mit dem System Center-Datenzugriffsdienst auf dem Stammverwaltungsserver. Weitere Informationen zur Entwicklung von Anwendungen, die unter Operations Manager 2007 Connector Framework ausgeführt werden, finden Sie in Operations Manager 2007 SDK.

URL-Überwachung

Operations Manager 2007 ermöglicht die Überwachung der URL-Verfügbarkeit über einen Watcher-Knoten (ein weiterer Integritätsdienst, der auf einem anderen Computer ausgeführt wird). Auf Verwaltungsservern, auf denen diese Funktion bereitgestellt wird, werden sowohl CPU-Ressourcen als auch nachfolgend Datenträgerressourcen stark belastet. Wenn Sie mehr als 1000 URLs überwachen, müssen Sie für diese Aufgabe eine dedizierte Verwaltungsgruppe erstellen.

Konzepte

Bei der Planung Ihrer Topologie ist ein Verständnis des Konzepts der rollenbasierten Sicherheit, wie sie in Operations Manager implementiert ist, unumgänglich.

Rollenbasierte Sicherheit

Über die rollenbasierte Sicherheit wird gesteuert, welche Objekte ein Benutzer sehen kann und welche Aktionen er in Bezug auf diese Objekte ausführen darf. Eine Rolle besteht aus zwei Teilen. Der erst Teil ist ein Bereich, der die sichtbaren oder zugreifbaren Objekte enthält. So könnte beispielsweise ein Bereich definiert werden, der nur Domänencontroller oder SQL Server enthält. Der zweite Teil ist ein Profil. In jedem Profil werden Aktionen definiert, die in Bezug auf die sichtbaren Objekte ausgeführt werden können. Standardmäßig bietet Operations Manager 2007 folgende fünf Profile:

  • Administrator — Dieses Profil enthält alle in Operations Manager verfügbaren Rechte.

  • Erweiterter Operator — Dieses Profil verfügt über eingeschränkte Rechte zur Anpassung der Überwachungskonfiguration durch Konfigurieren von Außerkraftsetzungen in Regeln oder Monitoren.

  • Autor — Dieses Profil besitzt die Berechtigung, die Überwachungskonfigurationselemente, wie Regeln, Tasks, Monitore und Ansichten, zu konfigurieren.

  • Operator — Dieses Profil bietet Zugriffsberechtigungen auf Warnungen, Ansichten und Tasks.

  • Schreibgeschützter Operator — Dieses Profil bietet einen schreibgeschützten Zugriff auf Warnungen und Ansichten.

  • Berichtsoperator — Dieses Profil enthält eine Lesezugriffsberechtigung für Operations Manager-Berichte.

Operations Manager bietet zudem fünf vordefinierte Rollen, die jeweils einen globalen Geltungsbereich besitzen. Die Operations Manager-Administratorenrolle nutzt beispielsweise das Administratorprofil und verfügt über einen globalen Geltungsbereich, d. h. Inhaber dieser Rolle können alle Objekte in Operations Manager sehen und manipulieren. Für jedes der zuvor beschriebenen Profile gibt es entsprechende vordefinierte Rollen.

Zusätzlich zu den vordefinierten Rollen können Sie neue Rollen definieren, die auf den Profilen Erweiterter Operator, Autor, Operator und Schreibgeschützter Operator basieren. Bei der Erstellung einer neuen Rolle wählen Sie zunächst das entsprechende Profil. Anschließend legen Sie den Bereich der Objekte fest, auf den die Rolle Zugriff erhalten soll. Mit dieser Methode können Sie beispielsweise für Ihre Exchange-Administratoren eine Rolle erstellen, die auf dem Profil Operator basiert, deren Bereich jedoch auf Microsoft Exchange Server beschränkt ist. Wenn Sie die Exchange-Administratoren anschließend dieser Rolle zuweisen (entweder durch Mitgliedschaft in einer Active Directory-Gruppe oder durch ein individuelles Konto), können die Rollenbesitzer die Betriebskonsole öffnen, doch sie sehen nur die Excahnage Server und dürfen lediglich Aktionen auf Warnungen, Ansichten und Tasks ausführen, die in Zusammenhang mit Exchange stehen.

Die rollenbasierte Sicherheit wird unabhängig von der Art, wie auf die Operations Manager-Funktionalität zugegriffen wird, ob über die Webkonsole oder die Befehlsshell, angewendet. Weitere Informationen zu Rollen und rollenbasierter Sicherheit finden Sie im Operations Manager 2007-Sicherheitshandbuch.

 
Anzeigen: