В одной из предыдущей статей мы рассматривали компонент Audit Collection Service и кратко говорили, что непосредственно отправкой данных занимается агент Operations Manager.
В этой статье мы кратко рассмотрим, что такое агент Operations Manager. Основной упор этой публикации будет направлен на различные сценарии установки агента – установка через консоль SCOM, ручная установка агента, а также будут наглядно показаны сценарии установки агента на ПК в домене Active Directory и ПК в рабочей группе.
Краткие сведения
Агент Operations Manager – это легковесный клиент, который устанавливается на наблюдаемые сервера или рабочие станции и осуществляет отправку данных о состоянии здоровья, журналов безопасности (если активирован компонент ACS Forwarder).
Периодически агент отправляет данные о состоянии здоровья наблюдаемого объекта на сервер управления SCOM. Для отправки данных используется порт TCP/5723. Именно этот порт используется сервером Operations Manager для приема данных с наблюдаемых агентов.
Более подробные сведения об архитектуре агентов Operations Manager есть в соответсвующем разделе официальной документации.
Агент SCOM может быть установлен как на сервера, так и на рабочие станции. Возможет вариант как с установкой на сервера и ПК внутри домена Active Directory, так и на сервера и ПК внутри рабочей группы. Оба этих варианта будут рассмотрены в этой статье.
Также возможна установка агента и на Linux системы, но именно в это публикации мы не будем рассматривать такой сценарий.
В этой публикации будут рассмотрены следующие сценарии установки агента SCOM:
- Установка агента через консоль Operations Manager на сервер или рабочую станцию в домене Active Directory.
- Ручная установка агента на сервер или рабочую станцию в домене Active.
- Ручная установка агента на сервер или рабочую станцию в рабочей группе.
Предварительные требования для установки агента и работы агента Operations Manager
Для того, чтобы агент мог отправлять данные на сервер управления необходимо выполнить настройку сетевого оборудования, т.е. убедиться, что все необходимые порты на всем промежутке открыты.
В таблице ниже приведены порты, которые так или иначе относятся к взаимодействию агента SCOM и сервера управления SOCM.
| Порты | Компонент | Назначение |
| TCP/5723 | Сервер Operations Manager | Используется сервером управления для приема данных о состоянии здоровья от наблюдаемых объектов |
| TCP/5723, TCP/135, TCP/137, TCP/138, TCP/139, TCP/445, RPC/DCOM порты (для ОС 2008 и более новых версий) TCP/49152-65535 | Наблюдаемый сервер или рабочая станция | Порты, которые необходимы для установки агента SCOM через консоль Operations Manager, т.к. дистрибутив агента предварительно копируется на наблюдаемый сервер/рабочую станцию. |
Полный перечень используемых портов и их назначение приведен в документации.
Установка агента через консоль SCOM на компьютер в домене Active Directory
Рассмотрим самый первый сценарий – установка агента SCOM через консоль Operations Manager.
Для этого необходимо открыть консоль Operations Manager (под учетной записью администратора системы) и перейти в раздел Administration. В разделе Operations Manager необходимо выбрать пункт “Discovery Wizard…”. В появившемся диалоговом окне выбрать пункт “Windows computers”, как показано на рисунке ниже.
Далее устанавливаем переключатель в значение “Advanced discovery”. В классе устройств выбираем опцию “Server and Clients”, а в поле с сервером управления выбираем имя сервера управления из выпадающего списка.
Далее мы можем либо выполнить сканирование нашей Active Directory на предмет серверов и компьютеров, на которых еще не установлен агент SCOM. Либо мы можем указать, что мы вручную напишем имя нужного нам хоста. Нам нужен именно последний вариант. Поэтому выбираем опцию “Browse for, or type-in computer names” и нажимаем кнопку “Browse”.
В появившемся диалоговом окне указываем имя нужного нам хоста и нажимаем кнопку “OK”. Указанное нами имя хоста должно отобразиться в соответствующей секции, как показано на рисунке ниже.
Теперь нам необходимо указать учетную запись, которая обладает правами локального администратора на конечном сервер или рабочей станции. Именно от имени этой учетной записи будет происходить подключение для удаленного копирования дистрибутива агента. Указываем учетную запись и нажимаем кнопку “Discover”.
Если по итогу вы не увидели окна, как на скриншоте ниже, то вы все сделали правильно 🙂 Если окно ниже все же появилось, то тут возможны следующие варианта:
- У учетной записи, от имени которой осуществлялось обнаружение, нет прав локального администратора на конечном хосте.
- Сервер управления не смог разрешить DNS имя конечного хоста.
- Не открыты все необходимые сетевые порты для удаленной установки агента.
Если же процедура обнаружения прошла успешно, то отобразится диалоговое окно, как показано на рисунке ниже. Оставляем все параметры по умолчанию и нажимаем кнопку “Next”.
Далее на необходимо указать путь для установки агента на наблюдаемом хосте и учетную запись от имени которой будет работать агент. Оставляем все параметры по умолчанию и нажимает кнопку “Finish”. Запуститься процедура установки агента.
Пример окна с прогрессом установки приведен на рисунке ниже.
Окно с успешным окончанием процедуры установки приведено ниже.
Непосредственно после окончания процедуры установки наблюдаемый объект в консоли Operations Manager будет отображаться в состоянии “Not monitored”. Пока агент не отправит всю служебную информацию – это нормально 🙂 Обычно вся процедура инициализации объекта мониторинга занимает около 5 минут.
После окончания процедуры сбора данных и инициализации состояния объекта наш сервер или рабочая станция будет отображен в консоли с одним из трех состояний: Healthy, Warning или Critical. Это зависит от текущего состояния здоровья наблюдаемого объекта.
Ручная установка агента на компьютер в домене Active Directory
Следующий вариант установки агента мониторинга на сервер или рабочую станцию в домене Active Directory – ручная установка (не через консоль Operations Manager).
Важный момент – агенты, установленные вручную, не поддерживают автоматическое обновления через консоль Operations Manager.
Для ручной установки агента непосредственно на сервере или рабочую станцию необходимо скопировать один из дистрибутивов агента (в зависимости от разрядности целевой ОС). Агентов можно найти, например, в папке с дистрибутивом:
Копируем дистрибутив на целевой хост и запускаем от имени администратора файл “MOMAgent.msi”.
Запуститься мастер установки агента.
Читаем лицензионное соглашение и при согласии нажимаем “Next”.
Указываем директорию для установки агента. Нажимаем “Next”.
На следующей станице мастера установки необходимо указать к каком SCOM необходимо подключить нашего агента – наземному или облачному (есть такой сервис в Azure). Отмечаем опцию “Connect the agent to System Center Operations Manager”, чтобы указать, что агент следует подключить к наземному SCOM.
Указываем имя группы управления, FQDN-имя сервера управления и порт для подключения. Нажимаем “Next”.
Указываем, что агент будет работать от учетной записи локальной системы (опция “Local System”). Нажимаем “Next”.
На последнем шаге мастер установки покажет нам сводную информацию по параметрам установки агента. Для запуска процесса установки нажмите кнопку “Install”.
После успешной установки агенты мы увидим следующее окно.
По умолчанию настройки SCOM таковы, что данные от любых агентов, которые были установлены вручную не принимаются. Сделано это в целях безопасности. Для того, чтобы изменить эту настройку необходимо перейти в раздел “Administration”, затем в дереве меню слева выбрать пункт “Settings.” В основном окне настроек в центре выбрать пункт “Security”. Нам нужно указать, что мы принимаем данные от агентов, установленных вручную, но только после ручного подтверждения. Для этого необходимо указать опцию “Review new manual agent installation in pending management”.
После этого наш агент, который мы установили вручную, должен появиться в разделе настроек в узле “Pending Management”. Для того, чтобы утвердить нашего агента и начать принимать данные от него необходимо нажать кнопку “Approve” в панели зада справа. Подобная операция выполняет один раз для каждого агента, который был установлен вручную.
Подтверждаем наше намерение.
Теперь наш сервер (или рабочая станция) появится в списке всех наблюдаемых объектов. Изначально состояние у него будет “Not Monitored”.
Как только будет собрано достаточное количество данных наш объект будет отображен в консоли с одним из трех состояний: Healthy, Warning или Critical. Это зависит от текущего состояния здоровья.
Ручная установка агента на компьютер в рабочей группе
Наиболее не тривиальный сценарий – установка агента Operations Manager на сервер или рабочую станцию в рабочей группе. Именно этот сценарий и будет рассмотрен в этом разделе.
Поскольку сервер управления и наблюдаемый сервер не находятся в одном домене, то аутентификация между ними происходит по сертификату.
Основные шаги будут следующие:
- Подготовка шаблона сертификата для сервера управления и агентов. Единоразовая операция.
- Выпуск и установка сертификата для сервера управления. Единоразовая операция.
- Выпуск и установка сертификата для наблюдаемого сервера или рабочей станции. Выполняется каждый раз для нового добавляемого объекта мониторинга.
- Установка агента Opeartiona Manager.
Подготовка шаблона сертификата
Самый первый шаг – подготовка шаблона сертификата, на основе которого будут выпускаться все последующие сертификата для сервера(ов) управления и наблюдаемых агентов.
В нашем примере мы рассмотрим подготовку шаблона и выпуск сертификата на базе PKI инфраструктуры Microsoft Windows Server.
Запускаем оснастку управления центром сертификации.
Переходим в раздел управления шаблонами.
Копируем шаблон сертификата “IPSec (Offline request)”.
Открываем созданный дубликат шаблона и переходим на вкладку “General”. Указываем необходимое вам отображаемое и системное имя шаблона.
На вкладке “Request Handling” указываем, что закрытый ключ может быть экспортирован (опция “Allow private key to be exported”).
На вкладке “Cryptography” указываем параметры, как показано на скриншоте ниже.
Переходим на вкладку “Extensions”. Выбираем пункт “Application Policies” и нажимаем кнопку “Edit”.
Теперь необходимо указать нужные нам политики использования сертификата. Нажимаем кнопку “Add”.
Выбираем политики “Client Authentication” и “Server Authentication”. Политику “IP security IKE intermidiate” необходимо удалить.
Переходим на вкладку “Security” и указываем – кому разрешено выпускать сертификат. В нашем случае это буде группа доменных пользователей.
И учетная запись компьютера сервера управления.
Закрываем оснастку управления шаблонами сертификатов и в оснастке управления центром сертификации вызываем диалоговое окно публикации нового сертификата.
Выбираем наш новый настроенный шаблон и нажимаем кнопку “OK”.
Настройка шаблона сертификата завершена.
Выпуск и установка сертификата на сервер управления
После настройки шаблона сертификата необходимо выпустить сертификат на основе этого шаблона. Эта операция выполняется один раз для каждого сервера управления, на который наблюдаемый агенте из рабочей группы будут оправлять данные о состоянии здоровья.
Запускаем оснастку управления сертификатами для локального компьютера и запускаем мастер запроса нового сертификата.
На странице приветствия мастера нажимаем кнопку “Next”.
Обычно в политике развертывания сертификата указан только политика развертывания Active Directory.
В списке доступных нам шаблонов сертификатов находим наш шаблон и нажимаем на строку, которая просит нас указать дополнительные сведения для выпуска сертификата.
В поле Type выбираем атрибут “Common name”, а в поле Value указываем имя вашего сервера управления. С вероятность в 99% тут будет FQDN вашего сервера управления. Именно на это имя и будет выпущен сертификат. Нажимаем кнопку “Add”.
Страница указания дополнительные реквизитов сертификата теперь должна выглядеть, как показано на рисунке ниже. Нажимаем кнопку “OK”.
Нажимаем кнопку “Enroll”.
В случае успешного выпуска сертификата мы должны увидеть следующее окно:
Теперь необходимо указать серверу управления – какой сертификат использовать для общения с наблюдаемыми агентами из рабочей группы. Для этого используется утилита MOMCertImport. Её можно найти, например, в дистрибутиве Operations Manager в папке SupportTools/AMD64.
Запускаем командную строку от имени администратора и переходим в директорию с утилитой:
cd "C:\System Center Operations Manager 2019\SupportTools\AMD64"
Запускаем утилиту из командной строки:
.\MOMCertImport.exeИ в списке находим тот сертификат, который мы выпустили ранее на основе шаблона для агентов SCOM внутри рабочей группы.
В случае успешного выбора сертификата мы увидим следующее сообщение:
Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
Выпуск и установка сертификата на сервер или компьютер в рабочей группе
Теперь необходимо выпустить сертификат для нашего наблюдаемого объекта внутри рабочей группы. Поскольку у такого объекта с высокой долей вероятности нет доверия к нашему корневому центру сертификации, то необходимо предварительно скачать в файл корневой ЦС и всю его цепочку сертификатов.
Один из способов (которым мы и воспользуемся) – перейти по адресу веб сервисов центра сертификации и выбрать соответствующую опцию.
Переходим по адресу веб сервисов центра сертификации. В нашему случае адресу следующий:
https://srv-dc01.itproblog.ru/certsrvВыбираем строчку “Download a CA certificare, certificate chain, or CRL”.
Выбираем строчку “Download CA certificate chain”, чтобы загрузить в файл корневой сертификат и всю цепочку сертификатов.
Указываем расположение файла для сохранения.
Поскольку сервера и рабочие станции из рабочей группы не имеют доступа к нашей политике выпуска сертификатов в Active Directory, то мы предварительно выпустим сертификат на сервере управления, а затем уже скопируем его на сервер в рабочей группе, который мы будем подключать к SCOM.
Запускаем оснастку управления сертификатами для локального компьютера и запускаем мастер запроса нового сертификата.
На странице приветствия мастера нажимаем кнопку “Next”.
На странице выбора политики выдачи сертификатов нажимаем кнопку “Next”.
В списке доступных нам шаблонов сертификатов находим наш шаблон и нажимаем на строку, которая просит нас указать дополнительные сведения для выпуска сертификата.
Важный момент – сертификат должен быть выпущен именно на то имя, которое указано у сервера в рабочей группе. Если имя указано в формате FQDN, то и при выпуске сертификата вы должны будите указать FQDN имя. В нашем примере будет использоваться короткое (NetBIOS) имя.
В поле Type выбираем атрибут “Common name”, а в поле Value указываем имя вашего сервера. Нажимаем кнопку “Add”.
Страница указания дополнительные реквизитов сертификата теперь должна выглядеть, как показано на рисунке ниже. Нажимаем кнопку “OK”.
Нажимаем кнопку “Enroll”.
В случае успешного выпуска сертификата мы должны увидеть следующее окно:
Теперь сертификат необходимо экспортировать и доставить на сервер в рабочей группе. Выбираем пункт “Export” на соответствующем сертификате.
На этапе выбора опции экспорта закрытого ключа указываем, что мы будем экспортировать закрытый ключ (“Yes, export the private key”).
На странице настроек формата экспорта указываем параметры, как показано на рисунке ниже:
Указываем пароль.
И указываем расположение PFX файла.
Нажимаем кнопку “Next”.
Чтобы запустить процедуру экспорта нажимаем кнопку “Finish”.
Теперь необходимо скопировать на сервер в рабочей группе PFX сертификат и корневой сертификат нашего ЦС.
Импортируем корневой сертификат нашего ЦС:
Import-Certificate -FilePath "C:\TMP\certnew.p7b" -CertStoreLocation Cert:\LocalMachine\Root
И импортируем наш PFX сертификат в локальное хранилище сертификатов компьютера.
На странице выбора расположения нажимаем “Next”.
Указываем пароль для нашего PFX сертификата.
Можно оставить опцию автоматического определения хранилища сертификата (опция “Automatically select the certificate store based on the type of certificate”).
И нажимаем кнопку “Finish” для запуска процедуры импорта сертификата.
Установка агента Operations Manager
Сама процедура установки агента на сервер или рабочую станцию внутри рабочей группы ничем не отличается от процедуры установки агента на наблюдаемый объект внутри домена Active Directory.
Помимо самого дистрибутива агента дополнительно нам понадобится только утилита MOMCertImport, с помощью которой мы укажем агенту какой сертификат использовать для установки сессии с сервером управления.
Запускаем файл установки агента (MIMAgent.msi) от имени учетной записи администратора.
Запуститься мастер установки агента.
Читаем лицензионное соглашение и при согласии нажимаем “Next”.
Указываем директорию для установки агента. Нажимаем “Next”.
На следующей станице мастера установки необходимо указать к каком SCOM необходимо подключить нашего агента – наземному или облачному (есть такой сервис в Azure). Отмечаем опцию “Connect the agent to System Center Operations Manager”, чтобы указать, что агент следует подключить к наземному SCOM.
Указываем имя группы управления, FQDN-имя сервера управления и порт для подключения. Нажимаем “Next”.
Указываем, что агент будет работать от учетной записи локальной системы (опция “Local System”). Нажимаем “Next”.
На последнем шаге мастер установки покажет нам сводную информацию по параметрам установки агента. Для запуска процесса установки нажмите кнопку “Install”. После успешной установки агенты мы увидим следующее окно.
Запускаем утилиту из командной строки:
.\MOMCertImport.exeВ списке находим тот сертификат, который мы выпустили ранее на основе шаблона для агентов SCOM внутри рабочей группы.
В случае успешного выбора сертификата мы увидим следующее сообщение:
Successfully installed the certificate. Please check Operations Manager log in eventviewer to check channel connectivity.
После этого наш агент, который мы установили вручную, должен появиться в разделе настроек в узле “Pending Management” (если вы включили ручное утверждение). Для того, чтобы утвердить нашего агента и начать принимать данные от него необходимо нажать кнопку “Approve” в панели зада справа. Подобная операция выполняет один раз для каждого агента, который был установлен вручную.
Нажимаем “Approve”.
Непосредственно после установки в журнале Operations Manager на сервере в рабочей группе мы видим событий 21016 – агент не может установить соединение с сервером управления. Это связано с тем, что агент еще не начал использовать сертификат для проверки подлинности. Нужно немного подождать.
После небольшого промежутка времени в журнале Operations Manager на сервере управления мы должны будем увидеть событие 26326 – агент получил актуальную конфигурацию с сервера управления.
Событие 21019 в журнале Operations Manager на сервере в рабочей группе говорит о том, что теперь канал обмена до сервера управления установлен.
Теперь наш сервер (или рабочая станция) появится в списке всех наблюдаемых объектов. Изначально состояние у него будет “Not Monitored”. Как только будет собрано достаточное количество данных наш объект будет отображен в консоли с одним из трех состояний: Healthy, Warning или Critical. Это зависит от текущего состояния здоровья.
Особенности установки агента на контроллер домена Active Directory
Агента Operations Manager может быть установлен на контроллер домена. Однако, есть некоторый момент. Если после установки агента SCOM данные о состоянии здоровья так и не отобразились в консоли (статус объекта “Not Monitored” или вообще серый).
Подробное описание первопричины есть вот тут (кстати, блог Кевина, пожалуй, самый актуальный по части SCOM. Очень рекомендую.). Если кратко, то у учетной записи системы отсутствуют необходимые разрешения для подключения к группе управления.
Для того, чтобы это исправить необходимо перейти в директорию с установленным агентом Operations Manager:
C:\Program Files\Microsoft Monitoring Agent\AgentИ выполнить от имени администратора команду:
HSLockdown.exe /A "NT AUTHORITY\SYSTEM"Через некоторое время агента Operations Manager на контроллере домена начнет передавать данные о состоянии здоровья серверу управления.
Заключение
В этой достаточно объемной публикации мы рассмотрели общую архитектуру агентов Operations Manager, а также рассмотрели основные сценарии развертывания:
- Установка агента через консоль Operations Manager на сервер или рабочую станцию в домене Active Directory.
2. Ручная установка агента на сервер или рабочую станцию в домене Active.
3. Ручная установка агента на сервер или рабочую станцию в рабочей группе.
Так же мы рассмотрели набор предварительных шагов, которые необходимо выполнить для установки агента на сервера или рабочие станции в рабочей группе – это настройка шаблона сертификата, выпуск сертификата на основе шаблона и выбор сертификата для взаимодействия с сервером управления.
В заключении мы рассмотрели особенность, которая существует при установке агента Operations Manager на контроллеры домена.