Client Security 與 SQL Server 2005

Client Security 使用 SQL Server 2005 儲存來自於組織內受管理電腦所報告的資訊。Client Security 使用兩個資料庫以儲存資料:

  • Client Security 集合資料庫 (也稱為 MOM OnePoint 資料庫)
  • Client Security 報告資料庫 (也稱為 MOM SystemCenterReporting 資料庫)

這些資料庫是在安裝 Client Security 伺服器期間所建立。在安裝精靈的 [元件安裝] 頁面上,選取 [集合資料庫] 與[報表伺服器和報告資料庫] 元件。稍後在精靈中的 [集合資料庫] 頁面與 [報告資料庫] 頁面上,指定為每一資料庫而執行 SQL Server 的電腦的伺服器名稱。伺服器安裝會連接到執行 SQL Server 的這些電腦,並建立個別的資料庫。

Client Security 資料庫位置

Client Security 資料庫在決定集合與報告資料庫的資料庫與交易記錄檔的位置時,會使用 SQL Server 預設資料庫位置值。如需資料庫與記錄檔位置的相關資訊,請參閱《Client Security 效能與延展性指南》中調整 Client Security 資料庫元件內的<磁碟考量因素>(http://go.microsoft.com/fwlink/?LinkID=89667)(英文)。如果您必須將這些資料庫放置於 SQL Server 安裝路徑之外的位置,則必須修改集合資料庫伺服器與報告資料庫伺服器上的這項設定。

若要變更 SQL Server 資料庫及記錄檔的預設位置
  1. 啟動 Microsoft SQL Server Management Studio。

  2. 在 [物件總管] 中的 [ServerName] 上按一下滑鼠右鍵,再按一下 [內容]。

  3. 在 [伺服器內容] 對話方塊的 [選取頁面] 下,按一下 [資料庫設定]。

  4. 在 [資料庫預設位置] 下,輸入資料及記錄檔位置的路徑,然後按一下 [確定]。

Client Security 資料庫用於短期 (集合資料庫) 與長期 (報告資料庫) 儲存來自於受管理電腦的資料 (包括事件、警示,與定義更新資訊)。此外,它們還能儲存:

  • 關於威脅與惡意程式碼的資訊 (來自於定義更新)。
  • 關於 Client Security 原則的資訊 (由 Client Security 系統管理員所建立)。
  • 其它 MOM 設定資訊,例如 MOM 管理組件設定與電腦資訊。

Client Security 代理程式將事件與警示傳送到 Client Security 集合伺服器。集合伺服器執行 Windows Server 2003 與 MOM 2005 的 Client Security 最佳化版本。

來自於代理程式的資料是由 Client Security 集合伺服器所接收,並置於伺服器的輸入資料佇列。接著集合伺服器將資料傳送到集合資料庫伺服器。

資料傳送到執行 SQL Server 的電腦之後,首先寫入到集合資料庫的交易記錄檔中。SQL Server 2005 使用交易記錄以維持 SQL Server 資料庫的完整性。提交到 SQL Server 的資料會首先作為完整的交易而寫入交易記錄檔中。資料交易已完整寫入交易記錄檔之後,資料會寫入到資料庫本身中。此資料庫的寫入程序能保證資料完整性。完整的交易不是交付至資料庫,就是沒有資料寫入到資料庫中。

集合資料庫的目的是短期報告。資料寫入集合資料庫之後,會在該資料庫中保留 4 天。4 天之後,資料會被傳輸到報告資料庫,並從集合資料庫中被移除或清出。資料從集合資料庫傳輸到報告資料庫是由 SQL Server DTS 工作所執行。

下圖顯示資料流從 Client Security 代理程式至集合伺服器,然後透過 DTS 工作而到報告伺服器。

Client Security 代理程式資料流

MOM 2005 的 Client Security 最佳化安裝提供預設的 SQL Server 2005 維護工作組。如需集合資料庫工作的相關資訊,請參閱 MOM 2005 產品文件中的預設資料庫工作(http://go.microsoft.com/fwlink/?LinkID=87244)(英文)。

此外,MOM 2005 將 SCDWGroomJob 新增到報告資料庫伺服器。排定於夜間 03:00 (上午 3:00) 執行的這項工作,會執行報告資料庫上的清理已儲存程序。這些預設的 MOM 資料庫維護工作都不是由 Client Security 修改。

但是 Client Security 的安裝確實將兩項額外的 SQL Server 工作新增到報表伺服器。

工作名稱 排程 目的

Microsoft Forefront Client Security

每天 01:15 (早上 1:15)

這項 DTS 工作將關於威脅與 Client Security 原則的資訊,從集合資料庫擷取至報告資料庫。

FCS - 更新 SystemCenterReporting 資料分割函數

每週日 06:00 (早上 6:00)

此工作更新在資料表上完成的資料分割,以及在報告資料庫中的索引。唯有 SQL Server 版本是 Enterprise Edition,才會安裝此工作。

將資料從集合資料庫複製出來,並插入到報告資料庫的 DTS 工作,在 [控制台] 的 [排定的工作] 中做為排定的工作來執行。此工作每天於 01:00 (早上 1:00) 在報告資料庫伺服器上執行。如需 DTS 工作所使用參數的相關資訊,請參閱設定資料轉換服務 (DTS) (http://go.microsoft.com/fwlink/?LinkId=89390)(英文)。

在安裝 SQL Server 2005 期間,系統會要求您提供使用者帳戶,以供執行選取的 SQL Server 服務。因為兩個 Client Security 拓撲幾乎都會將 Client Security 資料庫置於執行 SQL Server 的遠端電腦上,所以您必須為這些服務指派網域使用者帳戶或網路服務帳戶。

Client Security 的 MOM 元件需要存取 SQL Server,以及位於執行 SQL Server 的電腦上的資料庫。這使用 DAS 帳戶來完成。此帳戶是在安裝 Client Security 伺服器期間,於 [集合伺服器] 頁面上所要求。Client Security 安裝精靈自動賦予此帳戶合適的權限,以存取集合資料庫;它必須擁有集合資料庫上的 Db_owner 權限。

接著在 [集合資料庫] 頁面上,精靈會要求提供報告帳戶。此帳戶建立於報告資料庫伺服器上,並由 SQL Server 報表服務用於存取集合與報告資料庫。此帳戶需要集合資料庫與報告資料庫上的 Db_owner 權限。

Client Security SQL Server DTS 工作也使用在 Client Security 伺服器安裝時,在 [報告資料庫] 頁面上所指定的帳戶。安裝程式賦予此帳戶讀取集合資料庫的權限,以及寫入報告資料庫的權限。

集合伺服器需要定期執行需要存取集合資料庫的伺服器端指令碼。伺服器安裝程式的 [動作帳戶] 頁面上要求提供這項的使用者帳戶。此帳戶,網域使用者,需要對於集合資料庫的 Db_owner 權限。此帳戶也需要集合伺服器上的本機系統管理員權限。

下圖說明 Client Security 元件與它們個別使用者帳戶之間的連結。

存取 SQL Server 資料庫的使用者帳戶

最後,執行 Client Security 主控台的使用者需要對於 Client Security SQL Server 資料庫的權限。如需為這些工作指派權限的詳細資訊,請參閱使用使用者角色 (http://go.microsoft.com/fwlink/?LinkID=86555)(英文)。

顯示: