本文件已封存並已停止維護。

Operations Manager 2007 概觀

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

Operations Manager 2007 基礎結構包含某些必須實作的核心元件以及一組可視需要實作的選用元件與功能。本節列出這些元件與功能,並依照其必要與選用特性來分類。一般而言,元件是指您將從來源媒體安裝的內容,而功能則是指一旦您安裝好該功能所需的元件後將設定及使用的內容。

必要的伺服器角色與元件

所有 Operations Manager 2007 實作的功能基本單位為管理群組。它包含 Microsoft SQL Server 2005 或 Microsoft SQL Server 2008 的安裝,此安裝可主控 OperationsManager 資料庫、Root Management Server、Operations 主控台,以及一或多個部署至屬於管理群組基礎元件之受監視電腦或裝置的代理程式。

OperationsManager 資料庫

OperationsManager 資料庫是第一個需要安裝於所有管理群組中的元件。此資料庫保存了管理群組的所有設定資料,並儲存所有經由代理程式所收集與處理的監視資料。

為了讓 Operations Manager 的效能最佳化,您必須將 OperationsManager 資料庫維持在可控制的大小。根據測試顯示,維持在 50 GB 以下是最好的作法。為了不要超過這個限制,Operations Manager 2007 將根據您所設定的參數自動清理老舊、非必要的資料。

由於管理群組中只能有一個 OperationsManager 資料庫,資料庫必須正常運作,管理群組才能正常運作。為了降低 OperationsManager 資料庫的單一執行個體成為單一失敗點的風險,可將 OperationsManager 資料庫置放於叢集服務 (之前稱為 MSCS) 容錯移轉叢集中。此外也可以設定記錄傳送,好讓目前的操作資料和設定資訊可傳送到另一個相同版本的 Microsoft SQL 伺服器,由該伺服器負責主控主要 OperationsManager 資料庫的複本。萬一主要資料庫發生失敗,便可更新並切換到該複本。以下活動涉及 OperationsManager 資料庫:

  • 管理組件匯入 - 管理組件匯入會使資料庫伺服器的 CPU、記憶體及磁碟產生負荷。

  • 探索 - 探索程序進行時,代理程式會將資料傳回管理伺服器。最後,這些資料將會插入 OperationsManager 資料庫中。此程序會使資料庫伺服器的磁碟和 CPU 產生負荷。

  • 監視作業 - 自代理程式和所有管理群組設定資訊收集而來的所有資料都會儲存在 OperationsManager 資料庫中。

Root Management Server

Root Management Server (RMS) 是管理群組中特殊類型的管理伺服器,而且也是管理群組所安裝的第一台管理伺服器。每次只能在每個管理群組中啟用一台 RMS。簡而言之,RMS 是管理管理群組設定、管理代理程式並與之通訊,以及與管理群組中的 OperationsManager 資料庫及其他資料庫通訊的焦點。

RMS 同時也作為 Operations 主控台的目標,以及 Web 主控台的慣用目標。

RMS 主控 System Center 資料存取服務與 System Center 管理設定服務。這些服務只能在 RMS 上執行。System Center 資料存取服務為所有用戶端 (包括 Operations 主控台、Operations 殼層及 Web 主控台) 提供對 OperationsManager 資料庫的安全存取。System Center 管理設定服務負責計算和發佈所有管理伺服器與代理程式的設定,包括管理伺服器與代理程式應收到的管理組件。

如同 OperationsManager 資料庫,RMS 角色可安裝於 MSCS 容錯移轉叢集以提高其可用性。此外,您也可手動將管理群組中的其他管理伺服器 (如果有的話) 提升為 RMS 的角色。

以下是 RMS 參與的功能:

  • 管理組件匯入 - 匯入管理組件時,RMS 會先驗證管理組件是否有效。接著,它會將管理組件的 XML 格式資料轉換為關聯式資料庫格式。最後,再將這些資料傳送到 OperationsManager 資料庫。這兩項作業都會使 RMS CPU、磁碟及記憶體產生負荷。

  • 維護執行個體空間 - System Center 管理設定服務會計算管理群組中所有受監視裝置的設定。為了執行此作業,服務會在記憶體中保存所有設定資訊的複本,並在記憶體中執行計算。這會使記憶體產生負荷。在執行個體空間計算完成後,代理程式會將同步處理要求傳送到其管理伺服器,再由管理伺服器將要求傳送到 RMS。RMS 會先儲存這些要求,當能夠在記憶體內部佇列中處理要求時再加以處理。

  • 探索 - 將管理組件傳送到代理程式之後,探索程序隨即會開始。代理程式會先將探索資料傳回其管理伺服器,然後再傳送到 RMS。這些資料會插入 OperationsManager 資料庫中,然後再併入執行個體空間。這兩項活動都會使 RMS 的磁碟、CPU 及記憶體產生負荷。

代理程式

Operations Manager 2007 代理程式是您部署到要監視之電腦上的服務。在監視的裝置上,代理程式會被列為 System Center 管理服務。每個代理程式負責向管理群組中的一台管理伺服器報告。這台管理伺服器即稱為代理程式的主要管理伺服器。代理程式會監看受監視裝置上的資料來源,並根據其管理伺服器傳送給它的設定來收集資訊。代理程式也會計算受監視物件的健全狀況狀態,並向管理伺服器回報。當受監視物件的健全狀況狀態變更或符合其他準則時,該代理程式便會產生一個警示。如此一來操作員便知道有問題發生需要多加注意。

代理程式也有能力採取多種不同的動作,以協助診斷問題或修正問題。透過提供受監視裝置的健全狀況資料給管理伺服器,代理程式可提供其主控之裝置與所有應用程式健全狀況的最新概況。

您也可以在無代理程式的情況下監視裝置。在此情況下,管理伺服器會在遠端執行監視。

Operations 主控台

Operations 主控台提供單一、整體化的使用者介面,以供與 Operations Manager 2007 互動。Operations 主控台提供監視資料存取、基本管理組件撰寫工具、Operations Manager 2007 報表、所有管理 Operations Manager 2007 必要的控制項和工具,以及自訂的工作區。

如果使用者想要存取 Operations 主控台,必須將該使用者的 Active Directory 使用者帳戶指派至 Operations Manager 2007 使用者角色。使用者角色結合已授與存取權的裝置領域,以及定義何種角色可在其定義之領域內執行何種動作的設定檔。Operations 主控台採用角色型安全性,因此 Operations Manager 系統管理員可定義特定使用者能夠在主控台內看見哪些項目,以及使用者在那些項目上可以採取哪些動作。如需詳細資訊,請參閱本文件的<角色型安全性>一節。

管理組件

管理組件包含由應用程式開發人員所定義的應用程式健全狀況定義。將管理組件匯入 Operations Manager 後,便可讓代理程式監視應用程式的健全狀況、在應用程式內某個重要項目發生問題時產生警示,以及在應用程式及其支援的基礎結構中採取一些動作,以進一步診斷應用程式或將應用程式還原到狀況良好的狀態。如果缺少應用程式、作業系統或裝置的特定管理組件,Operations Manager 2007 將無法察覺那些實體,也無法監視那些實體。

選用的伺服器角色與元件

這些額外的伺服器角色可擴充管理群組的功能。這些元件大部分都會和必要的核心元件分開安裝,不過某些選用元件會與核心元件同時安裝。如需安裝 Operations Manager 2007 元件的完整詳細資料,請參閱《Operations Manager 2007 部署指南》。

管理伺服器

管理伺服器主要用於接收來自 RMS 的設定與管理組件,並將其發佈到向該管理伺服器報告的代理程式。管理伺服器並不會執行 RMS 的任何特殊功能。如果 RMS 失敗,只要管理伺服器在 RMS 失敗前便已存在於管理群組中,該管理伺服器便可晉升為 RMS 角色。您可以在管理群組中安裝多台管理伺服器以提供額外的容量來進行代理程式管理。除了提供延展性外,在管理群組中採用其他管理伺服器,也可讓代理程式在與其主要管理伺服器通訊中斷後容錯移轉至另一台管理伺服器,並開始向該管理伺服器報告資料。

管理伺服器也可用於遠端監視 (例如 URL 監視和跨平台監視)。管理伺服器的另一個角色是負責主控稽核收集服務 (ACS) 收集器角色。ACS 收集器只能安裝於管理伺服器或閘道伺服器上。請參閱本文件後續的<稽核收集服務 (ACS)>一節,以取得有關稽核收集服務的其他資訊。本文件稍後也將說明其他角色,包括 AEM 檔案共用角色。

管理伺服器會將大量的 CPU 用於資料收集活動中,也會將大量的磁碟空間用於 UNIX 和 Linux 的資料佇列。

閘道伺服器

Operations Manager 2007 需要代理程式與管理伺服器先互相驗證並建立一條加密的通訊通道,彼此才能交換資訊。Kerberos 是預設的驗證通訊協定。當代理程式與管理伺服器位於相同的 Active Directory 樹系或含有樹系信任的不同樹系中,相互驗證程序會自動執行。這是因為 Kerberos 是 Active Directory 中預設的驗證通訊協定。

當代理程式與管理伺服器不在相同的 Kerberos 信任界限中 (也就是不在相同的 Active Directory 樹系或含有樹系信任的不同樹系中),您必須使用憑證型的認證機制。在這種情況下,必須針對那些代理程式及其報告的管理伺服器核發與維護憑證。此外,如果代理程式與管理伺服器間有防火牆,防火牆規則必須允許每台主控代理程式的電腦能夠越過加密通道直接通過防火牆來通訊,要不然就必須開啟 Operations Manager 通訊輸入連接埠。

使用 Operations Manager 2007 閘道伺服器,可大幅減少維護不在相同信任界限之代理程式與管理伺服器間通訊所需的系統管理負荷。閘道伺服器可作為代理程式通訊的 Proxy。閘道伺服器位於代理程式的信任界限內 (可以是網域),而所有代理程式都與其通訊。接著閘道伺服器將透過使用本身的電腦憑證,執行與管理伺服器的相互驗證,並轉送代理程式至管理伺服器以及管理伺服器至代理程式的通訊。這個動作只需要一個用於管理伺服器的憑證,以及一個用於閘道伺服器的憑證。在防火牆的案例中,只有閘道伺服器與管理伺服器需要授權才能互相通訊。

您可以在管理群組中安裝多台閘道伺服器以供延展性與容錯移轉之用。萬一代理程式與其閘道伺服器失去通訊,代理程式可容錯移轉至相同管理群組中位於代理程式信任界限內的另一個閘道伺服器。

同樣的,閘道伺服器可以設定為在相同管理群組的管理伺服器間容錯移轉。這項設定可為位於管理伺服器信任界限外的代理程式提供完整的備援通訊通道。

以下是閘道伺服器參與的活動:

  • 未受信任代理程式和管理伺服器之間的所有資料通訊 - 閘道伺服器負責代理管理伺服器和代理程式之間的通訊。它們也是這種通訊作業的中心點。這些資料包括傳送到代理程式的設定資料和管理組件,以及傳送到管理伺服器的探索資料和監視資料。這些資料全都會佇列在閘道伺服器的本機磁碟中。由於這項作業會使閘道伺服器磁碟產生相當大的負荷,因此請務必提供大量的快速磁碟。

Web 主控台伺服器

Web 主控台伺服器為管理群組提供一個可透過網頁瀏覽器存取的介面。不過,這個主控台不具備 Operations 主控台的完整功能,僅提供對 [監視]、[我的最愛報表] 及 [我的工作區] 等檢視的存取。Web 主控台可提供對所有監視資料與工作的存取,而工作指的是從 Operations 主控台對監視的電腦所執行的動作。在 Web 主控台中存取資料,與在 Operations 主控台中存取內容有相同的限制。

管理組件撰寫主控台

Operations Manager 2007 撰寫主控台是一套獨立的應用程式,它提供了比 Operations 主控台撰寫空間更豐富的管理組件撰寫功能。透過此撰寫主控台,您可以建立新的管理組件、檢視及修改現有的管理組件、驗證管理組件的完整性,以及將管理組件匯入及匯出管理群組。您可以從下列網址下載 Operations Manager 2007 撰寫主控台:http://go.microsoft.com/fwlink/?LinkId=136356

報表資料倉儲

報表資料倉儲儲存監視與警示資料以作為歷程記錄。當管理伺服器於資料倉儲寫入其資料時,該資料同時也會寫入 OperationsManager 資料庫,因此產生的報表永遠包含最新的資料。資料倉儲會以每小時或每日為基礎,自動彙總效能資料。如此可讓長期趨勢報表的執行速度加快,而且不需要保留太多久遠的資料以支援長期趨勢報表。

報表資料倉儲能夠接收來自多個管理群組的資料,從而可彙總更完整的資料以呈現於您的報表。

報表伺服器

Operations Manager 報表伺服器安裝於 Microsoft SQL 2005 Reporting Services SP1 (或更新版本) 或 Microsoft SQL Server 2008 SP1 Reporting Services 的執行個體中。該伺服器負責從報表資料倉儲取得所需的資料來建立並呈現報表。所有報表都從 Operations 主控台存取,因此可透過角色型的安全性來控制報表存取。

稽核收集服務

稽核收集服務 (ACS) 是一個高效能又安全的解決方案,其從監視的電腦上的安全性事件記錄檔收集並儲存事件。事件儲存在 Microsoft SQL Server 2005 SP1 (或更新版本) 或 Microsoft SQL Server 2008 SP1 中稱為 ACS 資料庫 (本文件稍後將加以探討) 的個別資料庫中。ACS 將收集所有寫入安全性事件記錄檔的事件,不過安全性事件記錄檔必須位於已啟用 ACS 轉寄站的元件上。事件會從受監視電腦轉寄給在管理伺服器上執行的 ACS 收集器,再由收集器處理事件,並將事件寫入 ACS 資料庫。事件將以加密、幾乎即時的模式從轉寄站傳送到收集器。接著系統將使用另一個稱為 ACS 報表的元件從儲存的 ACS 資料產生報表。

有效使用 ACS 的關鍵,在於研擬一個健全的 Windows 稽核群組原則,並作為網域群組原則來實作。如需 Windows 稽核群組原則與實作 ACS 的詳細資料,請參閱管理 Operations Manager 2007 中的稽核收集服務 (http://go.microsoft.com/fwlink/?LinkID=144374)。

ACS 轉寄站

ACS 轉寄站內嵌於 Operations Manager 2007 代理程式中,因此不需要單獨部署或設定。ACS 轉寄站顯示為稽核轉寄站服務,並預設為停用。位於個別電腦或電腦群組上的 ACS 轉寄站,可以透過 Operations 主控台中的工作來啟用。

ACS 收集器伺服器

ACS 收集器伺服器的主要功用是收集、篩選並預先處理所有 Windows 安全性記錄事件,以便插入資料庫。由於 ACS 以幾乎即時的模式收集所有安全性事件,因此會有大量的資料從轉寄站進入系統。如同貴公司定義的 Windows 稽核群組原則,並非所有資訊都是貴公司感興趣的資訊。收集器的篩選機制可讓您指定要將哪些事件寫入 ACS 資料庫供長期存放。

ACS 收集器伺服器的安裝程式與 Operations Manager 伺服器、代理程式或報表元件的安裝程式是分開的。如果您尚未安裝任何額外的管理伺服器,該伺服器只能安裝於現有的管理伺服器或 RMS 上。一台 ACS 收集器伺服器可支援上百甚至上千台伺服器 (取決於伺服器角色與 Windows 稽核群組原則而定),以及上萬個工作站。不過,ACS 收集器伺服器與 ACS 資料庫之間是一對一的關係 (將於下一節詳細探討)。如果基於延展性或控制因素,貴公司需要額外的 ACS 收集器,那麼每個 ACS 收集器都需要一個 ACS 資料庫。

ACS 資料庫

資料經過 ACS 收集器伺服器預先處理過後,將寫入其建立於 Microsoft SQL Server 2005 SP1 或 SP2 執行個體上的 ACS 資料庫。因為其為標準 SQL 資料庫,因此可加以叢集處理以獲得高可用性。為了符合收集器與資料庫之間的一對一關係,只要單一 SQL Server 2005 伺服器上還能支援額外的負載,您可透過具名執行個體在伺服器上建立多個 ACS 資料庫。如需有關 ACS 大小與容量規劃的詳細資訊,請參閱本指南後續的章節。

ACS 報表

ACS 報表伺服器也是一個需要單獨安裝的元件。有一些預先設定的報表可供使用。安裝 ACS 報表需要 SQL Server 2005 Reporting Services SP1 (或更新版本) 或 Microsoft SQL Server 2008 Reporting Services 的現有執行個體。執行個體可以是獨立的,或者您也可以將 ACS 報表與 Operations Manager 2007 報表安裝在一起,不過這樣做會有個缺點。

如果您將 ACS 報表與 Operations Manager 2007 報表安裝於相同的 Reporting Services 執行個體,ACS 報表將完整地與 Operations Manager 報表整合。這樣做可以減少整體的管理負荷,因為指派給 Operations Manager 報表角色的使用者也將能夠存取 ACS 報表。不過某些公司並不想要這種設定,而選擇將 ACS 報表安裝於專屬的 SQL Server Reporting 執行個體。在這種情況下,您必須定義專屬的安全性群組與角色,雖然會導致較高的管理負荷,不過卻能夠更嚴格地控制 ACS 資料的存取。

Proxy 代理程式

Operations Manager 2007 可以透過 SNMP v2 監視網路裝置、執行非 Windows 作業系統的電腦,以及沒有代理程式的電腦。在這些情況中,實際上是由安裝代理程式的另一台電腦從遠端執行監視。執行遠端監視的電腦稱為 Proxy 代理程式。作為 Proxy 以供監視其他裝置之用的代理程式是標準的 Operations Manager 代理程式。設定上唯一的差異,僅有在代理程式內容中選取 [允許此代理程式作為 Proxy 並探索其他電腦中的受管理物件] 而已。接著您在設定無代理程式管理的裝置時即可指定其所要使用的 Proxy 代理程式。如需有關裝置的代理程式部署與管理的詳細資訊,請參閱《Operations Manager 2007 操作指南》。

Operations Manager 2007 命令殼層

Microsoft 於 2006 年導入 Windows PowerShell 命令列介面,用於 Windows Server 2003、Windows Server 2008、Windows XP 以及 Vista 作業系統。開發這個介面的目的,是讓系統管理員可以用來執行自動化工作。此介面包含可以分開使用,也可以合併使用的互動提示和指令碼環境。在 PowerShell 中與您互動的物件稱為「指令程式」(command-let),是 Windows PowerShell 中的二進位原生命令。Windows PowerShell 命令是為了處理物件結構化資訊而設計的,此類資訊不僅僅只是顯示在畫面上的字元字串而已。命令輸出一定會包含您可視需要使用的額外資訊。

Operations Manager 2007 命令殼層是由 203 個個別的指令程式組合而成,經過特別開發,可自動化 Operations Manager 2007 系統管理工作。此命令殼層可安裝於安裝 Operations 主控台的任何電腦上。

功能

功能是預設存在的,您只需要設定便可加以使用。隨心所欲地設定與使用 Operations Manager 2007 中的功能,是該軟體彈性化的最大特色。

跨平台監視 (安裝 UNIX 或 Linux 的電腦)

Operations Manager 2007 R2 管理伺服器與閘道伺服器可監視 UNIX 和 Linux 電腦。如需可監視的 UNIX 和 Linux 作業系統的完整清單,請參閱《Supported Configuration》(支援的設定) 指南,網址為 http://go.microsoft.com/fwlink/?LinkId=144400

在跨平台監視中,管理伺服器或閘道伺服器的 System Center 管理服務會執行所有的監視情報工作。監視 System Center 管理服務會透過同時位於管理伺服器與正在受監視的電腦上的 WSMAN 層,與受監視的電腦通訊。在受監視電腦上安裝 WSMAN 層是必要條件。WSMAN 層之間的通訊會透過 TCP 連接埠 1270 來進行,而且一律源自管理伺服器或閘道伺服器。在某些情況下,例如 WSMAN 層不在受監視的電腦上或已失敗,通訊可透過 SSH TCP 22 來進行。SSH 可用安裝 WSMAN 層或執行診斷。

7fa60fd9-7114-40f3-8ca1-993d6139b0ba

無代理程式例外狀況監視

在 Windows 作業系統中,當發生應用程式錯誤時,Watson 服務可擷取錯誤,然後將錯誤相關資訊轉寄給 Microsoft 以判定問題的根本原因。通常每台電腦會個別進行這項工作。由於錯誤監視和報告是以個別電腦為單位來進行,因此 IT 系統管理員完全無法看出這些例外狀況發生在組織何處。

當啟用無代理程式例外狀況監視功能時,所有例外狀況都可轉寄至管理群組中的管理伺服器並加以彙總。因為所有資訊都集中在單一位置,貴公司可使用此資料來分析和診斷可能發生在整個公司的桌面與伺服器應用程式的問題。如果您願意的話,也可以設定管理伺服器將例外狀況監視資訊轉寄給 Microsoft 以進行損毀分析。

連接器架構

連接器架構是一種應用程式發展介面 (API),可用來公開 Operations Manager 功能以便與其他管理產品或其他技術整合,例如報修系統。它能夠開發可以與 Operations Manager 雙向交換資訊的連接器。連接器架構主要與 RMS 上的 System Center 資料存取服務互動。如需有關開發使用 Operations Manager 2007 連接器架構之應用程式的詳細資訊,請參閱 Operations Manager 2007 SDK

URL 監視

Operations Manager 2007 可讓您從監看員節點 (在另一部電腦中運作的其他健全狀況服務) 監視 URL 可用性。由於執行此功能的管理伺服器將會在 CPU 資源和磁碟資源上造成大量的負荷,因此如果您要監視 1000 個以上的 URL,您應該針對此用途建立專屬的管理群組。

概念

規劃拓撲時,您必須瞭解 Operations Manager 中實作的角色型安全性的概念。

角色型安全性

角色型安全性用於控制您可看見的物件,以及在那些物件上可採取的動作。角色是由兩個部分所組成。第一個部分是領域,其包含可供存取或檢視的物件。例如,領域可界定為只包含網域控制站或 SQL Server。第二個部分是設定檔。每個設定檔針對可以看見的物件定義可對該物件採取的動作。預設的 Operations Manager 2007 提供下列五個範本:

  • 「系統管理員」設定檔 — 此設定檔具備 Operations Manager 的完整權限。

  • 「進階操作員」設定檔 — 此設定檔具備有限的能力,可透過設定規則和監視的覆寫來調整監視設定。

  • 「作者」設定檔 — 此設定檔具備撰寫監視設定元素的能力,例如規則、工作、監視及檢視。

  • 「操作員」設定檔 — 此設定檔具備存取警示、檢視及工作的能力。

  • 「唯讀操作員」設定檔 — 此設定檔只允許以唯讀方式存取警示及檢視。

  • 「報表操作員」設定檔 — 此設定檔具備 Operations Manager 報表的讀取存取權。

Operations Manager 也包含五個預先定義的角色,每個角色的領域設定為全域。例如,Operations Manager 系統管理員角色使用系統管理員設定檔而且領域設定為全域,表示這個角色可以看見和操作 Operations Manager 中的所有物件。上面所列的每個設定檔都有相符的預先定義角色。

除了預先定義的角色外,您也可以根據「進階操作員」、「作者」、「操作員」及「唯讀操作員」設定檔建立新的角色。建立新的角色時,在選取所要使用的設定檔後,接著需要建立該角色可存取之物件的領域。例如,您可使用操作員設定檔建立 Exchange 系統管理員,並將領域僅設為 Microsoft Exchange Server。當您將 Exchange 系統管理員指派為該角色時 (不論是依 Active Directory 群組中的成員資格,或依個別帳戶),這些系統管理員可以開啟 Operations 主控台,不過只能看見 Exchange 伺服器,而且只允許在 Exchange 相關的警示、檢視及工作上採取動作。

不論您是透過 Web 主控台或命令殼層來存取 Operations Manager 功能,都可套用角色型安全性。如需關於角色與角色型安全性的詳細資訊,請參閱《Operations Manager 2007 安全性指南》。

 
顯示: