Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

Operations Manager-ügynökök

Matt Goedtel|Utoljára frissítve:: 2017. 03. 13.
|
1 Közreműködő

A következőkre vonatkozik: System Center 2016 – Operations Manager

A System Center 2016 – Operations Managerben ügynöknek nevezzük azokat a szolgáltatásokat, amelyek egy számítógépre telepítve megkeresik a konfigurációs adatokat, elemzési és jelentéskészítési célból információkat gyűjtenek, ellenőrzik a figyelt objektumok (például az SQL-adatbázisok és a logikai lemezek) állapotát, és a kezelő utasítására vagy egy fellépő körülményre reagálva feladatokat hajtanak végre. Az ügynökök segítségével az Operations Manager képes figyelni a Windows, a Linux és a UNIX operációs rendszereket, valamint az ezekre telepített informatikai szolgáltatások összetevőit, például webhelyeket vagy Active Directory tartományvezérlőket.

Windows-ügynök

A felügyelt számítógépeken az Operations Manager Windows-ügynöke a Microsoft Monitoring Agent szolgáltatásként jelenik meg. A Microsoft Monitoring Agent szolgáltatás gyűjti az eseményeket és a teljesítményadatokat, illetve végrehajtja a feladatokat és a felügyeleti csomagban meghatározott más munkafolyamatokat. Még ha a szolgáltatás nem is tud kommunikálni a felügyeleti kiszolgálóval és jelentéseket küldeni, akkor is tovább fut, és a figyelt számítógép lemezén várakoztatja a gyűjtött adatokat és eseményeket. Ha a kapcsolat helyreáll, a Microsoft Monitoring Agent szolgáltatás elküldi az összegyűjtött adatokat és eseményeket a felügyeleti kiszolgálónak.

Megjegyzés

A Microsoft Monitoring Agentet állapotfigyelő szolgáltatásnak is nevezik.

A Microsoft Monitoring Agent felügyeleti kiszolgálókon is fut. A felügyeleti kiszolgálókon a szolgáltatás felügyeleti munkafolyamatokat futtat és hitelesítő adatokat kezel. A munkafolyamatok futtatásához a szolgáltatás megadott hitelesítő adatok használatával kezdeményez MonitoringHost.exe folyamatokat. Ezek a folyamatok figyelik és gyűjtik az eseménynapló és a teljesítményszámláló adatait, illetve a Windows Management Instrumentation (WMI) adatait, valamint műveleteket, például parancsprogramokat futtatnak.

Az ügynökök és a felügyeleti kiszolgálók közötti kommunikáció

Az Operations Manager-ügynök riasztási és felderítési adatokat küld a hozzárendelt elsődleges felügyeleti kiszolgálóra, amely az adatokat az operatív adatbázisba írja. Az ügynök emellett a hozzá tartozó esemény-, teljesítmény- és állapotadatokat is továbbítja az elsődleges felügyeleti kiszolgálóra, amely az adatokat egyidejűleg az operatív és az adatraktár-adatbázisba írja.

Az ügynök az adatokat az egyes szabályok és figyelők ütemezési paramétereinek megfelelően küldi. A gyűjtési szabályok optimalizálása érdekében az adatok csak akkor továbbítódnak, ha egy adott számlálóból vett minta meghatározott mértékben, például 10%-kal eltér az előző mintától. Ez elősegíti a hálózati forgalom, valamint az operatív adatbázisban tárolt adatok mennyiségének csökkentését.

Emellett az ügynökök a szívverésként ismert adatcsomagot is továbbítják rendszeres időközönként (alapértelmezés szerint 60 másodpercenként) a felügyeleti kiszolgálónak. A szívverés célja az ügynök rendelkezésre állásának, illetve az ügynök és a felügyeleti kiszolgáló közötti kommunikációnak az érvényesítése. A szívveréssel kapcsolatban további tájékoztatásért lásd: A szívverések működése az Operations Manager programban.

Az Operations Manager minden ügynökhöz futtat egy állapotfigyelő szolgáltatást, amely a távoli állapotfigyelő szolgáltatás állapotát figyeli a felügyeleti kiszolgáló szemszögéből. Az ügynök a 5723-as TCP-porton kommunikál a felügyeleti kiszolgálóval.
Kommunikáció az ügynök és a felügyeleti kiszolgáló között

Linux-/UNIX-ügynök

Az UNIX- és Linux-ügynök felépítése jelentősen különbözik a Windows-ügynökétől. A Windows-ügynök esetében az állapotfigyelő szolgáltatás felelős a figyelt számítógép állapotának ellenőrzéséért. Az UNIX- és Linux-ügynök nem használ állapotfigyelő szolgáltatást, hanem átadja az adatokat a felügyeleti kiszolgálón futó állapotfigyelő szolgáltatásnak, hogy az értékelje ki őket. A felügyeleti kiszolgáló futtatja az összes, az operációs rendszer állapotának figyelésére vonatkozó munkafolyamatot, amelyet az UNIX/Linux rendszerre készült felügyeleti csomagok megvalósítása tartalmaz:

  • Lemez
  • Processzor
  • Memória
  • Hálózati adapterek
  • Operációs rendszer
  • Folyamatok
  • Naplófájlok

Az Operations Manager UNIX- és Linux-ügynökei egy CIM objektumkezelőből (azaz CIM-kiszolgálóból) és CIM-szolgáltatók készletéből állnak. A CIM objektumkezelő a „kiszolgáló” összetevő, amely megvalósítja a WS-Management kommunikációt, a hitelesítést, az engedélyezést, valamint a kéréseknek a szolgáltatók felé való továbbítását. Az ügynök CIM-megvalósításának kulcsát a szolgáltatók adják, amelyek meghatározzák a CIM-osztályokat és -tulajdonságokat, kapcsolatot alakítanak ki a kernel API-kkal, és lekérik azoktól a nyers adatokat, formázzák az adatokat (azaz kiszámítják a változásokat és az átlagokat), valamint kiszolgálják a CIM objektumkezelő által küldött kéréseket. A System Center Operations Manager 2007 R2 és a System Center 2012 SP1 közötti verziókban az Operations Manager UNIX- és Linux-ügynökei az OpenPegasus kiszolgálót használták CIM objektumkezelőként. A figyelési adatok gyűjtésére és jelentésére használt szolgáltatókat a Microsoft fejlesztette ki, ezek nyílt forráskóddal elérhetők a CodePlex.com webhelyen.
Az Operations Manager UNIX-/Linux-ügynökének szoftveres architektúrája

Ez a System Center 2012 R2 Operations Managerben megváltozott: ebben a kiadásban a UNIX-/Linux-ügynökök az Open Management Infrastructure (OMI) teljesen konzisztens megvalósítását használják CIM objektumkezelőként. Az Operation Manager UNIX-/Linux-ügynökeinél az OMI váltja fel az OpenPegasust. Az OpenPegasushoz hasonlóan az OMI is a CIM objektumkezelő nyílt forráskódú, kevés helyet foglal és hordozható megvalósítása – sőt kijelenthetjük, hogy kisebb méretű és könnyebben hordozható, mint az OpenPegasus. A System Center 2016 – Operations Manager is ezt a megvalósítást alkalmazza.
Az Operations Manager UNIX-/Linux-ügynökének új szoftveres architektúrája

A felügyeleti kiszolgáló és a UNIX-/Linux-ügynök közötti kommunikáció két kategóriára oszlik: az egyik az ügynök karbantartása, a másik az állapot figyelése. A felügyeleti kiszolgálók két protokollt használnak a UNIX vagy Linux rendszerű számítógépekkel való kommunikációra:

  • Secure Shell (SSH) és Secure Shell File Transfer Protocol (SFTP)

    Az ügynök karbantartásával kapcsolatos feladatokra használatos (például az ügynök telepítése, frissítése vagy eltávolítása).

  • Web Services for Management (WS-Management)

    Ez használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.

Az Operations Manager felügyeleti kiszolgáló és a UNIX-/Linux-ügynök közötti kommunikáció a HTTPS fölötti WS-MAN és a WinRM felület segítségével valósul meg. Az ügynök karbantartási feladatai a 22-es porton, SSH protokollal zajlanak. Az állapotfigyelés a WS-MAN protokollal, az 1270-es porton történik. A felügyeleti kiszolgáló a WS-MAN segítségével lekéri a teljesítmény- és konfigurációs adatokat, kiértékeli az adatokat, és meghatározza az állapotot. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.

Megjegyzés

Minden ebben a témakörben említett hitelesítő adat a UNIX vagy Linux rendszerű számítógépen létesített fiókra vonatkozik, nem arra az Operations Manager-fiókra, amelyet az Operations Manager telepítése során konfigurált. A hitelesítő adatokért és a hitelesítéssel kapcsolatos információkért lépjen kapcsolatba a rendszergazdával.

Az ügynök biztonságossága

Hitelesítés UNIX vagy Linux rendszerű számítógépen

Az Operations Managerben a rendszergazdának már nem kell megadnia a UNIX vagy Linux rendszerű számítógép root szintű jelszavát a felügyeleti kiszolgálónak. Egy nem rendszer-jogosultságú fiók jogosultságiszint-emeléssel felveheti egy rendszer-jogosultságú fiók identitását a UNIX vagy Linux rendszerű számítógépen. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják. Azon kiemelt ügynök-karbantartási műveletek esetén, amelyek SSH-t használnak (pl. felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása. A rendszer-jogosultságú WS-Management műveletekhez (pl. biztonságos naplófájlok megtekintése) hozzá lett adva a sudo jogosultságiszint-emelés (jelszó nélkül).

A hitelesítő adatok megadásáról és a fiókok konfigurálásáról a következő cikkben olvashat részletes útmutatást: How to Set Credentials for Accessing UNIX and Linux Computers (A UNIX- és Linux-számítógépek elérésére használható hitelesítő adatok beállítása).

Ügynök telepítése

A System Center 2016 – Operations Manager-ügynököket az alábbi három módszer valamelyikével lehet telepíteni. A legtöbb esetben ezek kombinációját használják, hiszen a különböző számítógépeknél más-más módszerre lehet szükség.

  • Az ügynökök felderítése és telepítése az operatív konzolról. Ez a leggyakoribb telepítési megoldás. A felügyeleti kiszolgálónak RPC protokollal csatlakoznia kell a számítógéphez, és a felügyeleti kiszolgáló műveleti vagy más fiókjának rendszergazdai hozzáféréssel kell rendelkeznie a kérdéses számítógéphez.
  • Belefoglalás a telepítési lemezképbe. Ez egy más számítógépek előkészítésére szolgáló alapképet használó manuális telepítési megoldás. Ebben az esetben az Active Directory-integráció segítségével beállíthatja, hogy a rendszer automatikusan egy felügyeleti kiszolgálóhoz rendelje a számítógépet az első indításkor.
  • Manuális telepítés. Ez a módszer akkor jöhet szóba, ha a többi megoldás nem használható, például akkor, ha a távoli eljáráshívás (RPC) tűzfal miatt nem érhető el. Ilyenkor manuálisan kell elindítani az ügynök telepítését, vagy egy meglévő szoftverterjesztési eszköz segítségével kell központilag telepíteni az ügynököt.

A Felderítés varázsló használatával telepített ügynökök felügyelhetők az operatív konzolról, így például frissíthető az ügynökök verziója, telepíthetők a javítások, valamint beállítható az a felügyeleti kiszolgáló, amelynek az ügynök a jelentéseket küldi.

Ha az ügynököt kézzel telepíti, akkor annak frissítését is kézzel kell elvégezni. Az Active Directory-integrációval is lehetősége lesz hozzárendelni az ügynököket a felügyeleti csoportokhoz. További információk: Az Active Directory és az Operations Manager integrációja.

Az ügynök központi telepítése Windows-rendszerekre

A Windows-rendszerek felderítéséhez nyitva kell lennie a TCP 135-ös (RPC), az RPC-tartományba tartozó, valamint a TCP 445-ös (SMB) portoknak, illetve az ügynökszámítógépen engedélyezni kell az SMB szolgáltatást.

  • A céleszközökre a felderítésük után telepíteni lehet az ügynököt. Az ügynök telepítéséhez a következőkre van szükség:
  • A távoli eljáráshívás (RPC) portjainak megnyitása, kezdve a végpontleképező 135-ös TCP-porttal, valamint a kiszolgálói üzenetblokk (SMB) 445-ös TCP/UDP-portjának megnyitása.
  • A Fájl- és nyomtatómegosztás Microsoft Networkshöz és a Microsoft Networks ügyfél szolgáltatás engedélyezése. (Ez gondoskodik róla, hogy az SMB-port aktív legyen.)
  • Ha engedélyezve vannak a Windows tűzfal csoportházirend-beállításai, a Távfelügyeleti kivétel engedélyezése és a Fájl- és nyomtatómegosztási kivétel engedélyezése elemnél a „Kéretlen bejövő üzenetek engedélyezése a következő címről” értékként meg kell adni az ügynököt kezelő elsődleges és másodlagos felügyeleti kiszolgáló IP-címét és alhálózatát.
  • A célszámítógépen helyi rendszergazdai jogokkal rendelkező fiók.
  • Windows Installer 3.1. A telepítéssel kapcsolatban lásd a Microsoft Tudásbázis 893803-as cikkét: http://go.microsoft.com/fwlink/?LinkId=86322.
  • Microsoft Core XML Services (MSXML) 6, amely megtalálható az Operations Manager telepítő adathordozójának\msxml alkönyvtárában. A leküldéses ügynöktelepítéskor az MSXML 6 is települ a céleszközre, ha még nincs telepítve.

Az ügynök telepítése Unix- és Linux-rendszerekre

A System Center 2016 – Operations Managerben a felügyeleti kiszolgálók két protokollt használnak a UNIX vagy Linux rendszerű számítógépekkel való kommunikációra:

  • A Secure Shell (SSH) az ügynökök telepítésére, frissítésére és eltávolítására használatos.
  • A Web Services for Management (WS-Management) használatos minden figyelési műveletnél, ideértve a már telepített ügynökök felderítését is.

A használt protokoll a felügyeleti kiszolgálón igényelt művelettől vagy információtól függ. Minden művelet (pl. ügynök karbantartása, figyelés, szabályok, feladatok, helyreállítások) úgy van konfigurálva, hogy a nem rendszer-jogosultságú vagy rendszer-jogosultságú fiókhoz a követelményeknek megfelelő, előre definiált profilokat használják.

Megjegyzés

Az ebben a részben említett összes hitelesítő adat a UNIX vagy Linux rendszerű számítógépen létesített fiókra vonatkozik, nem arra az Operations Manager-fiókra, amelyet az Operations Manager telepítése során konfigurált. A hitelesítő adatokért és a hitelesítéssel kapcsolatos információkért lépjen kapcsolatba a rendszergazdával.

Egy nem kiemelt fiók a jogosultságiszint-emelés segítségével felveheti egy kiemelt fiók identitását a UNIX vagy Linux rendszerű számítógépen. A jogosultságiszint-emelési folyamatot a UNIX su (superuser) felhasználója és azok a sudo programok hajtják végre, amelyek a felügyeleti kiszolgáló által biztosított hitelesítő adatokat használják. Azon kiemelt ügynök-karbantartási műveletek esetében, amelyek SSH-t használnak (például felderítés, telepítés, frissítés, eltávolítás és ügynök helyreállítása), biztosítva van a su, a sudo jogosultságiszint-emelés és az SSH-kulcs alapú hitelesítés (jelszóval vagy anélkül) támogatása. A kiemelt WS-Management műveletekhez (például biztonságos naplófájlok megtekintése) támogatott a sudo jogosultságiszint-emelés (jelszó nélkül).

Active Directory-alapú ügynök-hozzárendelése

A System Center 2016 – Operations Manager képes az Active Directory Domain Services (AD DS) segítségével hozzárendelni az ügynök által felügyelt számítógépeket a felügyeleti csoportokhoz, ezzel is elősegítve a tartományi szolgáltatások által biztosított lehetőségek teljes körű kihasználását. Ezt a funkciót általában a kiszolgáló üzembe helyezési folyamatának részeként, az ügynök központi telepítésével együtt végzik el. Amikor a számítógép először csatlakozik a hálózathoz, az Operations Manager-ügynök lekéri az Active Directoryból az elsődleges és feladatátvételi felügyeletikiszolgáló-hozzárendelést, és automatikusan elindítja a számítógép figyelését.

A számítógépek hozzárendelése a felügyeleti csoportokhoz az AD DS segítségével:

  • Az AD DS-tartománynak Windows 2008 natív vagy magasabb működési szinten kell lennie.
  • Az ügynökkel felügyelt számítógépeknek és a felügyelt kiszolgálóknak ugyanahhoz a tartományhoz vagy két mindkét irányból megbízható tartományhoz kell csatlakozniuk.
Megjegyzés

Ha az ügynök megállapítja, hogy tartományvezérlőre van telepítve, nem kérdezi le a konfigurációs adatokat az Active Directorytól. Ez biztonsági okokból van így. Az Active Directory-integráció a tartományvezérlőkön alapértelmezés szerint le van tiltva, mivel az ügynök a helyi rendszerfiók alatt fut. A tartományvezérlők helyi rendszerfiókjának tartományi rendszergazdai jogai vannak, így a felügyeleti kiszolgáló az Active Directoryban regisztrált összes szolgáltatáskapcsolati pontját képes észlelni, függetlenül attól, hogy a tartományvezérlő melyik biztonsági csoportnak tagja. Ez azzal jár, hogy az ügynök az összes felügyeleti csoport összes felügyeleti kiszolgálójához megpróbál kapcsolódni. Ez váratlan eredménnyel járhat, ami biztonsági kockázatnak számít.

Az ügynökök hozzárendelése egy szolgáltatáskapcsolati pont (SCP) segítségével történik. Ez olyan Active Directory-objektum, amely közzéteszi az ügyfélalkalmazások által a szolgáltatások kötéséhez használható adatokat. Egy tartományi rendszergazdának a MOMADAdmin.exe segítségével létre kell hoznia egy tárolót az AD DS-en belül az Operations Manager felügyeleti csoport számára. A tárolót abban a tartományban kell létrehozni, amelyben a figyelni kívánt számítógépek találhatók. A MOMADAdmin.exe futtatásakor megadott AD DS biztonsági csoport olvasási és gyermekobjektum-törlési jogosultságot kap a tárolóra. Az SCP tartalmazza a felügyeleti kiszolgálóhoz való kapcsolódáshoz szükséges adatokat, többek között a kiszolgáló teljes tartománynevét (FQDN) és portszámát is. Az Operations Manager-ügynökök az SCP-k lekérdezésével képesek automatikusan felfedezni a felügyeleti kiszolgálókat. Az öröklés nincs letiltva, és mivel az ügynök olvashatja az AD-ban regisztrált integrációs információkat, ha kikényszeríti a Mindenki csoport Active Directory gyökércsomópontjának minden objektumára vonatkozó olvasási jogosítványát, az az AD-integráció működését jelentősen befolyásolhatja, sőt akadályozhatja is. Ha explicit módon kikényszeríti az öröklést a teljes címtárra azzal, hogy a Mindenki csoport számára olvasási jogosultságot biztosít, akkor ezt az öröklést az OperationsManager nevű legfelsőbb szintű AD-integrációs csomópontnál és az összes gyermekobjektumnál kell letiltania. Ha ezt nem teszi meg, az AD-integráció nem fog megfelelően működni, és nem lesznek elérhetőek megbízható és konzisztens elsődleges és feladatátvételi ügynök-hozzárendelések sem. Továbbá ha több felügyeleti csoport is van, akkor mindkét csoport minden ügynöke többhelyű lesz.

Ez a funkció kiválóan alkalmas elosztott felügyeleti csoportokat használó rendszerekben az ügynökök hozzárendelésének szabályozására: megakadályozható vele, hogy az ügynökök olyan felügyeleti kiszolgálóknak jelentsenek, amelyek dedikált erőforráskészletként vagy másodlagos adatközpontok üzemi tartalékaként működnek, így elkerülhető, hogy az ügynökök a normál működés részeként feladatátvételt hajtsanak végre.

Az ügynök-hozzárendelés konfigurációját egy Operations Manager-rendszergazda végzi azzal, hogy az Ügynök-hozzárendelés és Feladatátvétel varázsló segítségével hozzárendeli a számítógépeket egy elsődleges és egy másodlagos felügyeleti kiszolgálóhoz.

Megjegyzés

Az operatív konzolról telepített ügynökök esetében a rendszer letiltja az Active Directory-integrációt. A MOMAgent.msi segítségével, kézzel telepített ügynökök esetében alapesetben engedélyezve van az Active Directory-integráció.

További lépések

© 2017 Microsoft