本文件已封存並已停止維護。

在 VMM 中設定 Operations Manager 與 PRO 整合的安全性

更新日期: 2009年9月

適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

本主題提供 Operations Manager 2007 與 System Center Virtual Machine Manager (VMM) 2008 整合的安全性指引。為了要支援 VMM 中的「效能與資源最佳化」(PRO),VMM 必須與 Operations Manager 緊密整合。Operations Manager 還提供 VMM 報告。

Operations Manager 整合的網域需求

若要成功地與 VMM 整合,Operations Manager 部署必須符合下列 Active Directory 網域服務 (AD DS) 需求:

  • Operations Manager 必須部署在 Active Directory 網域,而且這個網域必須與內含 VMM 伺服器的網域具有雙向信任關係。整合需要在 VMM 與 Operations Manager 管理伺服器之間進行 Kerberos 驗證。由於這兩個產品處理 Kerberos 驗證的方式相異,因此當 Operations Manager 管理伺服器不在信任的網域中時,驗證問題可能會使 PRO 無法成功啟用。

  • 每當 OpsMgr SDK 服務 (即 Operations Manager 2007 R2 中的 System Center 資料存取服務) 在 Operations Manager 根管理伺服器上啟動時,必須在 Active Directory 網域服務 (AD DS) 中登錄本身的服務主要名稱 (SPN)。如果 SDK 服務以本機系統的形式執行,則帳戶便具有讀取與寫入 SPN 的必要權限,而不需要更新任何組態。不過,如果您將 Active Directory 網域帳戶當做服務的執行身分帳戶,則您必須手動登錄根管理伺服器的 SPN,或在服務啟動時將讀取與寫入 SPN 的必要權限授與 SDK 服務帳戶。

    下列程序說明完成此項工作的兩種方法。

手動登錄根管理伺服器的 SPN

  • 在加入網域且以具有寫入 SPN 權限之帳戶執行的電腦中,於命令提示字元執行下列命令,以針對根管理伺服器的完整網域名稱 (FQDN) 與 NetBIOS 名稱建立 SPN。如果根管理伺服器位於叢集內,請使用虛擬伺服器名稱。

    SetSPN.exe –A MSOMSdkSvc/<RootManagementServerFQDN>  <domain>\<SDKServiceAccount> SetSPN.exe –A MSOMSdkSvc/<RootManagementServerNetBIOS>  <domain>\<SDKServiceAccount>
    
note附註
此 Setspn 工具是隨著 Windows Server 2008 自動安裝。若是以 Windows Server 2003 為基礎的電腦,您可以從產品 CD 使用 Windows Server 2003 支援工具來安裝此工具,或從 Microsoft Download Center (Microsoft 下載中心) (http://go.microsoft.com/fwlink/?LinkId=100114) 下載。Setspn 可用於所有版本的 Windows Server 2003 與 Windows Server 2008 及更新版本。如需從產品 CD 安裝 Windows 支援工具的詳細資訊,請參閱安裝 Windows 支援工具 (http://go.microsoft.com/fwlink/?LinkId=62270)。

授與 SDK 服務帳戶讀取與寫入 SPN 的權限

  1. 在網域控制站上開啟 ADSIEdit.msc。

  2. 瀏覽至您的 SDK 服務帳戶。在帳戶上按一下滑鼠右鍵,然後按一下 [內容]。

    • 在 Operations Manager 2007 SP1 伺服器上,更新 OpsMgr SDK 服務的服務帳戶。

    • 在 Operations Manager 2007 R2 伺服器上,更新 System Center 資料存取服務的服務帳戶。

  3. 在 [安全性] 索引標籤中按一下 [進階],接著再按一下 [新增],輸入 SELF 之後按一下 [確定]。

  4. 在 [內容] 索引標籤的 [套用在] 清單中,選取 [只有這個物件]。

  5. 在內容清單中,捲動至 [讀取 servicePrincipleName] 與 [寫入 servicePrincipleName],然後再針對各項目選取 [允許]。

  6. 儲存新的權限後,重新啟動根管理伺服器上的 Operations Manager SDK 服務 (即 Operations Manager 2007 SP1 的 OpsMgr SDK 服務;Operations Manager 2007 R2 的 System Center 資料存取服務)。

Important重要事項
為了強化安全性,請盡量授與最嚴格的存取權限。儘管網域系統管理員帳戶預設可執行這些動作,不過建議您避免將網域系統管理員帳戶當做 Operations Manager SDK 服務帳戶。

設定 PRO 的安全性

本節說明 PRO 的實作、PRO 通訊使用的連線、Operations Manager 與 VMM 的帳戶需求,以及針對 PRO 提示使用 Windows PowerShell 指令碼執行修復動作。

PRO 的實作方式

效能與資源最佳化 (PRO) 利用 Operations Manager 2007 的效能與健全狀況監視,以在 VMM 伺服器實作修復動作,讓主機、虛擬機器或虛擬化環境中其他軟體或硬體恢復正常與最佳化狀態。

PRO 是透過特別設計且啟用 PRO 的管理組件來實作,此套件會定義 PRO 目標類別與群組,以及提供監視器收集虛擬機器、主機、應用程式與硬體的資料,來識別最佳化虛擬環境的機會。以 PRO 類別為目標的任何 Operations Manager 警示都會在 VMM 中產生 PRO 提示。PRO 提示的定義包括讓虛擬化環境恢復正常狀態的修復動作。PRO 修復動作可設定為自動或手動實作。

提供基本 PRO 功能的 VMM 2008 管理組件會在 VMM 安裝期間,透過 [設定 Operations Manager] 選項安裝。除了安裝管理組件外,安裝精靈還會執行其他用於整合 Operations Manager 與 VMM 的必要組態工作。

PRO 連線

為了與 Operations Manager 通訊,VMM 使用軟體形式的連線來與 Operations Manager 根管理伺服器通訊。此連線透過 Operations Manager SDK 來與 Operations Manager 管理群組進行連線及通訊。Operation Manager 主控台也使用相同 SDK 來與 Operations Manager 管理伺服器進行連線及通訊。Operations Manager SDK 採用的通訊協定是以 Windows Communication Foundation (WCF) 為基礎。

VMM 將此連線用於下列通訊:

  • 探索受管理的主機與虛擬機器。

  • 擷取及運用以 PRO 類別為目標的 Operations Manager 警示。這些警示為 VMM 中的 PRO 提示。

  • 啟動 Operations Manager 復原,以啟動如移轉虛擬機器等 PRO 修復。

VMM 與 Operations Manager 整合的帳戶需求

若要支援 PRO,VMM 服務帳戶必須是 Operations Manager 中的系統管理員,而每部 Operations Manager 管理伺服器中的動作帳戶必須是系統管理員使用者角色之成員。

VMM 服務帳戶

VMM 可連線至 Operations Manager 伺服器作為 VMM 服務帳戶。服務帳戶可以是本機系統,或是在 Operations Manager 中具有系統管理權限的 Active Directory 網域帳戶。服務帳戶是在安裝 VMM 伺服器期間指定。為了讓 VMM 伺服器能夠存取 Operations Manager 伺服器,安裝精靈的 [設定 Operations Manager] 選項會將該帳戶新增至 Operations Manager 根管理伺服器的本機系統管理員群組。此存取層級必須經常維護,以確保 VMM 與 Operations Manager 可繼續通訊。

根據預設,Operations Manager 系統管理員角色是以本機系統管理員群組中的帳戶填入。因此,新增帳戶至該群組,也會提供 VMM 所需的系統管理員權限。不過,填入系統管理員角色的本機群組,在 Operations Manager 中是可設定的選項。如果您針對此用途指定了不同的本機群組,您必須手動將 VMM 服務帳戶加入該群組。

note附註
這只有在根管理伺服器上需要這樣做。VMM 服務帳戶在其他管理伺服器上不必成為 Operations Manager 系統管理員。

管理伺服器中的動作帳戶

為了提供認證以便在 VMM 中執行 PRO 修復動作,每個 Operations Manager 管理伺服器上的管理伺服器動作帳戶,必須是 VMM 中系統管理員角色的成員。

動作帳戶可以是本機系統帳戶,或是在管理伺服器上具有系統管理權限的 Active Directory 網域帳戶。您不需要在所有管理伺服器上都使用相同的動作帳戶。

若要讓該帳戶成為 VMM 系統管理員,請將該帳戶新增為 VMM 中的系統管理員角色。使用者角色可以從 VMM 系統管理員主控台 [管理] 檢視的 [使用者角色] 節點中設定。如需相關程序,請參閱設定 Operations Manager 與 VMM 整合 (http://go.microsoft.com/fwlink/?LinkID=120283)。

啟用遠端執行 PRO 指令碼

許多 PRO 提示均含有可自動或手動實作的修復動作,可將主機或虛擬機器恢復為正常狀態。例如,如果主機超出 CPU 閾值,則修復動作可能會使用 VMM 中的自動放置,將佔用最多 CPU 使用量的虛擬機器移轉至其他主機。

PRO 修復動作會執行可連線至 VMM 的指令碼 (利用 VMM 伺服器中的 Windows PowerShell – Virtual Machine Manager 命令殼層)。指令碼的執行位㱮㜀䘀㸀需視 VMM 管理的主機類型而定:

  • 若為 Hyper-V 與 Virtual Server 主機,則指令碼會執行於管理主機或虛擬機器中 Operations Manager 代理程式的 Operations Manager 管理伺服器上。

    每個指令碼都會連線至管理主機或虛擬機器的 VMM 伺服器,以在 VMM 中執行適當的修復動作。

    若要啟用 PRO 修復動作,您必須在每部 Operations Manager 管理伺服器的 Windows PowerShell – Virtual Machine Manager 命令殼層中啟用遠端執行指令碼。

  • 若為受管理的 VMware 環境,則指令碼會在 VMM 伺服器中執行。在受管理的 VMware 環境中,VirtualCenter 伺服器或 ESX Server 主機不需要 Operations Manager 代理程式。相反地,VMM 會透過 VirtualCenter 伺服器的網頁服務 API 遠端管理 VMware 環境。基於此原因,用於修復動作的指令碼會在 VMM 伺服器的本機執行。

    Important重要事項
    雖然 ESX Server 主機不需要 Operations Manager 代理程式,不過您還是需要將 Operations Manager 代理程式安裝在主機中虛擬機器的來賓作業系統上,才能監控來賓電腦。

設定報告的安全性

在報告方面,VMM 利用 Operations Manager 2007 的報告引擎。VMM 報告是由 Operations Manager 報告伺服器產生,不過可以從 VMM 系統管理員主控台的 [報告] 檢視使用這些報告。

報告的連線

VMM 系統管理員主控台會直接連線至 SQL Reporting Services Web 服務介面,以在 VMM 系統管理員主控台的 [報告] 檢視中產生可用的報告清單,以及根據 VMM 系統管理員輸入的參數產生報告。在這些通訊中,VMM 經由預設的通訊埠 80 傳送 HTTP 通訊協定。URL (包括報告伺服器的通訊埠) 是在 VMM 的通用設定中指定。如需詳細資訊,請參閱 VMM 2008 說明中的如何為 VMM 指定報告伺服器 (http://go.microsoft.com/fwlink/?LinkId=162981)。

如需 Operations Manager 2007 中連線的詳細資訊,請參閱 Operations Manager 2007 中 Windows 電腦的驗證與資料加密 (http://go.microsoft.com/fwlink/?LinkId=154128)。

報告的帳戶需求

VMM 系統管理員可藉由選取報告,在 Operations Manager 報告伺服器開啟 SQL Server Reporting Services 的工作階段。因此,在 Operations Manager 中,VMM 報告的授權是透過其使用者角色來進行。

若要讓 VMM 系統管理員檢視及執行 [報告] 檢視中的報告,您必須將他們的網域帳戶新增至 Operations Manager 中的報告操作員角色。如需指示,請參閱 How to Add Users or Groups to the Report Operator User Role in Operations Manager 2007 (如何將使用者或群組新增至 Operations Manager 2007 中的報告操作員使用者角色) (http://go.microsoft.com/fwlink/?LinkId=103589)。

Warning警告
僅將受信任的系統管理員新增至報告操作員使用者角色。角色成員可存取所有存放在報告資料倉儲中的報告資料,並且不受範圍限制。

另請參閱

 
顯示: