Bereitstellen des Operations Manager 2007-Agenten
Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1, System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2, System Center Operations Manager 2007
Der Operations Manager-Agent wird auf jedem Computer ausgeführt, der von Operations Manager überwacht wird. Informationen zum Anzeigen der Computergruppen, die vom Configuration Manager 2007-Management Pack überwacht werden, finden Sie im Abschnitt Computergruppen für das Configuration Manager 2007-Management Pack in diesem Handbuch. Der Operations Manager 2007-Agent sammelt Überwachungsdaten auf dem verwalteten Computer, wendet Regeln auf die gesammelten Daten an und sendet die resultierenden Daten anschließend an den DCAM (Data Consolidator Agent Manager). Die Überwachungsfunktionalität auf einem Agentcomputer wird durch den Operations Manager 2007-Dienst (HealthService.exe), den Operations Manager 2007-Host (MonitoringHost.exe) und das Agentaktionskonto bereitgestellt.
Zum Bereitstellen des Operations Manager 2007-Agenten können Sie den Installations-Assistenten für Operations Manager 2007 oder die Configuration Manager-Softwareverteilung verwenden. Einzelheiten zum Bereitstellen des Operations Manager 2007-Agenten und zum Verwenden des Installations-Assistenten für Operations Manager 2007 finden Sie im Abschnitt über das Ermitteln von Computern und Bereitstellen von Operations Manager-Agenten im Microsoft Operations Manager 2007-Bereitstellungshandbuch. Weitere Informationen finden Sie auf der Operations Manager 2007-Webseite (https://go.microsoft.com/fwlink/?LinkID=83259) (möglicherweise in englischer Sprache).
Hinweis
Es ist empfehlenswert, den Operations Manager 2007-Agent auf den Configuration Manager-Providercomputern mithilfe des lokalen Systemkontos oder eines Kontos mit ausreichenden Rechten zum Zugriff auf die WMI-Namespaces root, root\cimv2 und root\sms von Configuration Manager sowie den SMS-Registrierungsschlüssel und dessen Unterschlüssel auszuführen.
Wenn Sie bestimmen möchten, ob eine Überwachung ohne Agenten in Ihrer Umgebung verwendet werden kann, finden Sie weitere Informationen im Abschnitt zur Unterstützung für die Überwachung ohne Agenten unter Management Pack-Überwachungsszenarien für Configuration Manager 2007.
Definieren der SMS-Umgebungsvariablen zur Unterstützung protokollbasierter Regeln
Einige Regeln im Configuration Manager-Management Pack überprüfen Configuration Manager-basierte Protokolldateien auf Fehler.
Die folgenden Regeln unter ConfigMgr-Standortserver – Allgemein basieren auf den Dateien Sender.log, Distmgr.log bzw. Policypv.log:
ConfigMgr 2007 – Komponente: Der Sender kann keine Verbindung über LAN zum Remotestandort herstellen (Standardsicherheit)
ConfigMgr 2007 – Komponente: Der Sender kann keine Verbindung über RAS zum Remotestandort herstellen
ConfigMgr 2007 – Komponente: Der Sender kann keine Verbindung über LAN zum Remotestandort herstellen (Erweiterte Sicherheit)
ConfigMgr 2007 – Komponente: Fehler beim Verarbeiten eines Pakets durch den Verteilungs-Manager
ConfigMgr 2007 – Komponente: Fehler beim Einfügen eines SMS-Pakets durch den Verteilungs-Manager, da in der CI_Contents-Tabelle kein Inhalt vom Typ SDM vorhanden ist
ConfigMgr 2007 – Komponente: Fehler beim Abrufen neuer Softwareupdaterichtlinien aus der SMS-Standortdatenbank durch den Richtlinienprovider
ConfigMgr 2007 – Komponente: Fehler beim Erstellen neuer Softwareupdaterichtlinien durch den Richtlinienprovider
ConfigMgr 2007 – Komponente: Fehler beim Abrufen neuer Kompatibilitätsrichtlinien aus der SMS-Standortdatenbank durch den Richtlinienprovider
ConfigMgr 2007 – Komponente: Fehler beim Erstellen neuer Kompatibilitätsrichtlinien durch den Richtlinienprovider
ConfigMgr 2007 – Komponente: Fehler beim Benachrichtigen des Hierarchie-Managers über eine Richtlinienänderung durch den Richtlinienprovider
Für die Überwachung dieser Protokolle muss der Speicherort des Configuration Manager-Installationsordners angegeben werden. Erstellen Sie dazu auf einem Standortserver die %SMS_INSTALL_DIR_PATH%-Systemumgebungsvariable, sodass der unter unter dem Kontext des lokalen Systems oder eines lokalen Administrators ausgeführte MOM-Agent Zugriff auf die Protokolldateien im Verzeichnis %SMS_INSTALL_DIR_PATH%\Logs erhält. Weitere Informationen zum Festlegen von Systemumgebungsvariablen finden Sie auf der Webseite zu Systemumgebungsvariablen (https://go.microsoft.com/fwlink/?LinkId=92316) (möglicherweise in englischer Sprache).
Unter Umständen muss der Configuration Manager-Standortserver neu gestartet werden, damit diese Umgebungsvariable vom Operations Manager-Integritäts-Agent verwendet wird.
Konfigurieren von Agentcomputern zum Ausführen in Szenarien mit geringen Rechten
Die Überwachungsfunktionalität auf einem Agentcomputer wird durch den Operations Manager 2007-Dienst (HealthService.exe), den Operations Manager 2007-Host (MonitoringHost.exe) und das Agentaktionskonto bereitgestellt. Unter Microsoft Windows® 2000 muss das Aktionskonto ein Mitglied der Gruppe Lokale Administratoren sein. Unter Microsoft Windows™ 2003 können Sie unter bestimmten Umständen ein Konto mit geringen Rechten für das Agentaktionskonto des Agenten verwenden. Für das Konfigurieren des Aktionskontos und des Benutzerkontexts, unter dem der Operations Manager 2007-Dienst und der Operations Manager 2007-Hostprozess ausgeführt werden, mit den erforderlichen Rechten und Berechtigungen zum Ausführen der Configuration Manager 2007-Management Pack-Features ist jedoch eine erhebliche manuelle Konfiguration auf dem Agentcomputer erforderlich. Unter Microsoft Windows Server™ 2003 muss das Agentaktionskonto mindestens über die folgenden Benutzerrechte und -berechtigungen verfügen:
Mitglied der Gruppe Lokale Benutzer
Zugriff auf Windows-Ereignisprotokolle
Berechtigung Verwalten von Überwachungs- und Sicherheitsprotokollen (SeSecurityPrivilege)
Berechtigung Generieren von Sicherheitsüberwachungen (SeAuditPrivilege)
Berechtigung Lokal anmelden zulassen (SeInteractiveLogonRight)
In einem Szenario mit geringen Rechten ist für das Configuration Manager 2007-Management Pack erforderlich, dass das für das Agentaktionskonto verwendete Konto über zusätzliche Rechte und Berechtigungen verfügt. In der folgenden Tabelle werden die Zugriffsrechte, die manuell konfiguriert werden müssen, ausführlicher beschrieben.
Für das Configuration Manager 2007-Management Pack erforderliche Zugriffstypen
Ressource |
Zugriffstyp |
Anweisungen |
Windows-Ereignisprotokoll |
Lesezugriff |
Dem Aktionskonto muss das Recht Verwalten von Überwachungs- und Sicherheitsprotokollen mithilfe einer lokalen oder globalen Richtlinie erteilt werden. |
SMS-Registrierungsschlüssel |
Lesezugriff |
HKLM\Software\Microsoft\SMS Fügen Sie das Aktionskonto den Registrierungseigenschaften hinzu, und stellen Sie einen Lesezugriff bereit, der von allen Unterschlüsseln geerbt wird. |
Registrierungsschlüssel für Win32-Dienste |
Lesezugriff |
HKLM\System\CurrentControlSet\Services Fügen Sie das Aktionskonto der Gruppe Lokale Benutzer hinzu. |
Von Skripts generierte temporäre Dateien |
Lese- und Schreibzugriff |
Der durch die TMP-Variable angegebene Pfad für den Aktions-Agent. Für das lokale Systemkonto lautet dieser %Windir%\Temp. Fügen Sie das Aktionskonto der Gruppe Lokale Benutzer hinzu. |
SMS-Protokolldateien |
Lesezugriff |
<ConfigMgr-Installationsordner> \Logs Fügen Sie das Aktionskonto den Ordnereigenschaften hinzu. |
WMI-Namespaces |
Lesezugriff |
root und root\cimv2 Es sollte keine Aktion erforderlich sein. |
WMI-Namespaces von SMS |
Lesezugriff |
Es sollte keine Aktion erforderlich sein. |
WMI-Klassen von SMS |
Lesezugriff |
SMS_Site SMS_R_System SMS_SiteControlFile SMS_ProviderLocation SMS_SCI_SiteDefinition SMS_SystemResourceList SMS_SystemResourceList SMS_SiteSystemSummarizer Fügen Sie für alle Instanzen das Aktionskonto der Klasse hinzu. |
Sicherheitsanmelderechte für die Standardinstanz |
Zugriff gewähren |
Für die Standardinstanz auf einem verwalteten Computer mit SQL Server müssen dem Aktionskonto Rechte zum Gewähren des Zugriffs für Sicherheitsanmeldungen erteilt werden. Fügen Sie in SQL Server Enterprise Manager das Aktionskonto dem folgenden Knoten hinzu: Instanzname\Security\Logins. |
Zugriff auf die Masterdatenbank in der Standardinstanz (zur Identifizierung der SMS-Standortdatenbank erforderlich) |
Zulassen |
Für die Standardinstanz auf einem verwalteten Computer mit SQL Server muss dem Aktionskonto ein Zulassungszugriff auf die Masterdatenbank erteilt werden. Fügen Sie in SQL Server Enterprise Manager das Aktionskonto zum folgenden Knoten hinzu: Instanzname\Databases\Master\Users. Behalten Sie alle diesem neuen Benutzer zugeordneten Standardberechtigungen. |
Zugriff auf die SMS-Standortdatenbank in der Standardinstanz |
Zulassen |
Für die Standardinstanz auf einem verwalteten Computer mit SQL Server muss dem Aktionskonto ein Zulassungszugriff auf die SMS-Standortdatenbank erteilt werden. Fügen Sie in SQL Server Enterprise Manager das Aktionskonto zum folgenden Knoten hinzu: Instanzname\Databases\< Behalten Sie alle diesem neuen Benutzer zugeordneten Standardberechtigungen. |
Siehe auch
Konzepte
Anpassen des Configuration Manager 2007-Management Packs
Erste Schritte mit dem Configuration Manager 2007-Management Pack
Bekannte Probleme beim Configuration Manager 2007-Management Pack
Testen und erstes Verwenden des Configuration Manager 2007-Management Packs
Andere Ressourcen
Problembehandlung für das Configuration Manager 2007-Management Pack