【IT168 虚拟化频道】Operations Manager 2007是微软System Center的一款重要组件。System Center Operations Manager 2007 为企业 IT 环境提供端对端监视。Operations Manager 可以监视数千个服务器、应用程序和客户端,并为其运行状况状态提供全面视图。这些视图是快速敏捷响应可能影响 IT 部门提供给客户的服务可用性的事件的关键。
Operations Manager 2007 基础结构由必须实现的某些核心组件以及可根据需要选择实现的可选组件和功能组成。本节根据上述组件和功能的分类(必须和可选)进行介绍。通常,组件将从源媒体上安装,功能可以在此功能所需的所有组件已安装后配置和利用。
所需的服务器角色和组件
所有 Operations Manager 2007 实施的功能基本单位是管理组。它包含一个主持 OperationsManager 数据库的 Microsoft SQL Server 2005 SP1 或更高版本或 Microsoft SQL Server 2008 的安装。管理组的基本组件包括根管理服务器、操作控制台以及一个或多个部署至托管计算机的代理。
OperationsManager 数据库
所有管理组上安装的第一个组件均为 OperationsManager 数据库。它必须安装在 Microsoft SQL Server 2005 SP1 或更高版本或者 Microsoft SQL Server 2008 SP1 上。此数据库主持管理组的所有配置数据,并存储由代理收集和处理的所有监视数据。
要优化 Operations Manager 的性能,必须控制 OperationsManager 数据库的大小。测试显示较好的做法是将大小保持在 50 GB 以下。为了避免超出限值,Operations Manager 2007 将根据您设置的参数自动清理出不需要的旧数据。
由于一个管理组只能有一个 OperationsManager 数据库,因此它必须正常运行以便管理组能运行。为避免 OperationsManager 数据库的单个实例成为单一故障点,OperationsManager 数据库可置于群集服务故障转移群集上。此外可以配置日志传送,从而使当前操作数据和配置信息可发送到版本相同的另一个 Microsoft SQL 服务器上,该服务器主持主 OperationsManager 数据库的副本。如果主数据库出错,可更新并切换到副本。
根管理服务器
根管理服务器 (RMS) 是管理组中一个特殊类型的管理服务器,也是安装到管理组的首个管理服务器。每次每个管理组中只能有一个 RMS 可用。简而言之,RMS 是管理管理组配置、管理及与代理进行通信、与管理组中的 OperationsManager 数据库和其他数据库进行通信的焦点。
RMS 也用作操作控制台的目标以及 Web 控制台的首选目标。
RMS 主持 System Center 数据访问服务及 System Center 管理配置服务。这些服务只在 RMS 上运行。System Center 数据访问服务为所有客户端提供对 OperationsManager 数据库的安全访问,包括操作控制台、操作外壳和 Web 控制台。System Center 管理配置服务负责所有管理服务器和代理(包括它们应接受的管理包)的计算和分布。
如 OperationsManager 数据库一样,RMS 角色可安装在 MSCS 故障转移群集中,从而使其具有高可用性。此外,管理组中的其他管理服务器(如果有)可手动提升为 RMS 角色。
代理
Operations Manager 2007 代理是部署到您要监视的计算机上的一个服务。在被监视的设备上,一个代理作为 System Center 管理服务被列出。所有代理均要向管理组中的一个管理服务器报告。此管理服务器称为代理的主管理服务器。代理根据管理服务器发送的配置观察受监视的设备上的数据源并收集信息。此代理还计算监视的对象的运行状况,并向管理服务器报告。监视的对象的运行状况变化或其他条件满足时,代理将生成警报。此警报告知操作员有错误生成需要注意。
代理还能够采取不同措施帮助诊断或纠正问题。通过将监视的设备的运行状况数据反馈至管理服务器,代理提供设备及其主持的所有应用程序的运行状况的最新状态。
可在无代理的情况下监视设备。在这种情况下,管理服务器远程执行监视。
操作控制台
操作控制台提供一个统一的用户界面与 Operations Manager 2007 交互。通过操作控制台还提供对监视数据的访问、基本管理包创作工具、Operations Manager 2007 报表、管理 Operations Manager 2007 必须的所有控制和工具及自定义工作区。
对于要访问操作控制台的用户,用户的 Active Directory 用户帐户必须分配给 Operations Manager 2007 用户角色。用户角色是已授予访问权限的设备作用域与定义角色在规定作用域内能做什么的配置文件的组合。基于角色的安全在操作控制台中强制执行,从而使 Operations Manager 管理员能够定义所给角色可能在控制台中查看什么以及在这些条目上可采取何种操作。
管理包
管理包包括一个应用程序开发人员定义的应用程序运行状况定义。管理包导入到 Operations Manager 中后,代理可以监视应用程序的运行状况,在应用程序中某个重要的部分出错时生成警报,并在应用程序及其支持基础结构中执行操作从而进一步诊断应用程序或将其还原至正常状态。如果没有应用程序、操作系统或设备特定管理包,Operations Manager 2007 无法识别和监视这些实体。
可选的服务器角色和组件
这些附加的服务器角色可扩展管理组的功能。这些组件中的大多数与所需的核心组件分开安装,但部分可以与核心组件同时安装。
管理服务器
管理服务器主要用于从 RMS 上接收配置和管理包,并将它们分配给向管理服务器报告的代理。它不执行 RMS 的任何特殊功能。只要在 RMS 失败时管理组中存在管理服务器,则此管理服务器可以提升为 RMS 角色。管理组中安装了多个管理服务器从而为代理管理提供额外容量。除提供可伸缩性之外,在管理组中引入附加的管理服务器允许代理在与主管理服务器失去联系时可以故障转移到并开始向另一个管理服务器报告数据。
管理服务器还可用于远程监视目的(例如:URL 监视和跨平台监视)。管理服务器的另一个角色是主持审核收集服务 (ACS) 收集器角色。ACS 收集器只能安装在管理服务器或网关服务器上。有关审核收集服务的详细信息,请参阅本文档后面的"审核收集服务 (ACS)"一节。其他角色还包括 AEM 文件共享角色。此角色也将在本文档的后面部分进行解释。
网关服务器
Operations Manager 2007 要求代理和管理服务器在交换信息之前相互进行身份验证并建立加密的通信通道。Kerberos 是默认的身份验证协议。当代理和管理服务器位于同一个 Active Directory 林或具有林信任关系的林中,相互身份验证将自动发生。这是因为 Kerberos 是 Active Directory 的默认身份验证协议。
当代理和管理服务器没有位于同一个 Kerberos 信任边界之内时(即没有位于同一个 Active Directory 林或具有林信任关系的林中),必须使用基于证书的身份验证机制。在这种情况下,必须向代理以及代理报告的管理服务器颁发和保持证书。此外,如果代理和管理服务器之间有防火墙,防火墙规则必须允许每台主持代理的计算机在加密的通道上通过防火墙直接通信,或者 Operations Manager 通信端口必须入站打开。
Operations Manager 2007 网关服务器可使维护被信任边界分隔的代理和管理服务器之间的通信所需的管理开销大幅减少。网关服务器作为代理通信的代理。网关服务器位于代理(可能是一个域)的信任边界之内,且所有代理均与此网关服务器进行通信。然后网关服务器通过使用计算机证书与管理服务器执行相互身份验证,并转发代理至管理服务器以及管理服务器至代理的通信。管理服务器和网关各自仅需要一份证书。在防火墙方案中,仅网关服务器和管理服务器需要被授权进行相互通信。
出于可伸缩性和故障转移的目的,管理组中可以安装多个网关服务器。如果代理与网关服务器失去联系,代理可以故障转移到代理信任边界之内的同一管理组之中的另一个网关服务器。
同样,网关服务器可以配置为在管理组中的管理服务器之间故障转移。此配置可为管理服务器信任边界之外的代理提供完全冗余的通信通道。
Web 控制台服务器
Web 控制台服务器为通过 Web 浏览器可访问的管理组提供一个界面。但是它不具有操作控制台的所有功能,仅提供对"监视"、"报表"和"我的工作区"视图的访问。Web 控制台提供对操作控制台上所有监视数据和任务(是对托管计算机执行的操作)的访问。访问 Web 控制台数据的限制与访问操作控制台内容的限制相同。
管理包创作控制台
Operations Manager 2007 创作控制台是一个独立的应用程序,提供的管理包创作功能比操作控制台创作空间的更多。使用创作控制台可以创建新的管理包、查看和修改当前管理包、验证管理包的完整性、向管理组中导入及从管理组中导出管理包。Operations Manager 2007 可以在网上下载,网址为:http://go.microsoft.com/fwlink/?LinkId=136356.
报表数据仓库
报表数据仓库存储监视和警报数据以备历史查询。管理服务器将数据写入到 Operations Manager 数据库的同时也将数据写入到数据仓库,因此生成的报表包含最新的数据。数据仓库每小时和每天均会自动聚合汇总性能数据。这使得长期趋势报表可以比在其他情况时运行的更快,且支持长期趋势报表需要保留的数据更少。
报表数据仓库可以接收多个管理组的数据,从而允许在报表中提供数据的聚合视图。
报表服务器
Operations Manager 报表服务器安装在 Microsoft SQL 2005 Reporting Servics SP1 或更高版本或 Microsoft SQL Server 2008 SP1 Reporting Services 的实例中。它负责根据从报表数据仓库中查询的数据生成和展示报表。所有报表从操作控制台访问,因此报表的访问通过基于角色的安全进行控制。
审核收集服务
审核收集服务 (ACS) 是一项高性能的安全解决方案,收集和存储监视的计算机中安全事件日志上的事件。事件存储在单独的数据库中,即 Microsoft SQL Server 2005 SP1 或更高版本及 Microsoft SQL Server 2008 SP1 中的 ACS 数据库(在本文档的后面部分讨论)。ACS 收集写入到启用了 ACS 转发器的计算机上的安全事件日志中的所有事件。事件从监视的计算机转发到在管理服务器上运行的 ACS 收集器,然后此 ACS 收集器处理这些事件并将它们写入到 ACS 数据库。事件以近实时的加密方式从转发器传输到收集器。然后使用单独的 ACS 报表组件根据存储的 ACS 数据生成报表。
有效使用 ACS 的一个关键是制定合理的作为域组策略实现的 Windows 审核组策略。
ACS 转发器
ACS 转发器嵌入在 Operations Manager 2007 代理中,因此不需要单独部署或配置。ACS 转发器显示为审核转发器服务,并在默认情况为禁用。单独计算机或计算机组上的 ACS 转发器通过操作控制台上的任务启用。
ACS 收集器服务器
ACS 收集器服务器主要用于收集、筛选和预处理所有 Windows 安全日志时间以插入到数据库中。由于 ACS 以近实时的方式收集所有安全事件,因此大量数据从转发器输入到系统中。根据公司的 Windows 审核组策略中的定义,并非所有信息都对您的公司重要。收集器的筛选机制允许您指定要写入 ACS 数据库长期存储的事件。
ACS 收集器服务器的安装程序独立于 Operations Manager 服务器、代理或报表组件的安装程序。如果您没有安装任何附加的管理服务器,则它仅可安装在现有管理服务器或 RMS 上。一个 ACS 收集器服务器可以支持成百上千个服务器(取决于服务器的角色和 Windows 审核组策略)以及成千上万个工作站。但是 ACS 收集器服务器和 ACS 数据库(在下一节讨论)之间为一对一的关系。如果出于可伸缩性或控制的原因您的公司需要附加的 ACS 收集器,则每个 ACS 收集器需要一个 ACS 数据库。
ACS 数据库
数据被 ACS 收集器服务器预处理之后写入到 ACS 数据库。此 ACS 数据库仅仅是一个在 Microsoft SQL Server 2005 SP1 或 SP2 实例上创建的数据库。由于它是标准的 SQL 数据库,因此可以群集以获得高可用性。为了容纳收集器和数据库之间的一对一关系,您可以通过命名实例在支持附加负荷的单个 SQL Server 2005 服务器上创建多个 ACS 数据库。
ACS 报表
ACS 报表服务器也是一个单独安装的组件。有大量预配置的报表可用。ACS 报表的安装要求一个 SQL Server 2005 SP1 或更高版本的 Reporting Services 或 Microsoft SQL Server 2008 Reporting Services 的现有实例。这可以是一个独立的实例,或者您可以在权衡的前提下将 ACS 报表与 Operations Manager 2007 报表一起安装。
如果您将 ACS 报表安装到 Operations Manager 2007 报表所在的同一个 Reporting Services 实例中,ACS 报表与 Operations Manager 报表完全集成。这降低了管理开销,原因是分配到 Operations Manager 报表角色的任何人均可以访问 ACS 报表。某些公司可能不认为这是一个理想的配置,他们可能选择将 ACS 报表安装到自己的 SQL Server 报表实例中。在这种情况下,您必须定义自己的安全组和角色。这将带来较高的管理开销,但能够非常严格地控制对 ACS 数据的访问。
代理程序
Operations Manager 2007 可以通过 SNMP v2 监视网络设备、未运行 Windows 操作系统的计算机及无代理的计算机。在这些情况下,实际是由另一个安装了代理的计算机远程执行监视。执行远程监视的计算机称为代理程序。充当代理以监视其他设备的代理为标准的 Operations Manager 代理。通过在代理属性中选择"允许此代理充当代理并发现托管对象和其他计算机"选项来进行不同配置。然后,置无代理管理的设备,指定要使用的代理程序。
Operations Manager 2007 命令外壳
在 2006 年,Microsoft 推出了 PowerShell 命令行界面以用于 Windows Server 2003、Windows Server 2008、Windows XP 和 Vista 操作系统。此界面为供系统管理员执行创作任务时使用而开发界面包括一个交互式提示和一个脚本环境,它们可以单独使用或者组合使用。与 PowerShell 交互的对象称为 "command-lets",它是 Windows PowerShell 中的二进制原生命令。Windows PowerShell 命令设计用于处理对象-结构信息,此信息不仅仅是屏幕上出现的字符串。命令输出通常携带如果需要可以使用的额外信息。
Operations Manager 2007 命令外壳是专为创作 Operations Manager 2007 管理任务而开发的 203 个 command-lets 的组合。命令外壳可安装在将安装操作控制台的任意计算机上。
功能
在默认情况下功能已存在,且仅在要使用时才要求配置。根据需要在 Operations Manager 2007 中配置和使用功能的能力是其灵活性的标志。
跨平台监视(基于 UNIX 或 Linux 的计算机)
Operations Manager 2007 R2 管理服务器和网关服务器可以监视 UNIX 和 Linux 计算机。有关可以监视的基于 UNIX 和 Linux 的操作系统的完整列表,请参阅位于以下地址上的支持的配置指南:http://go.microsoft.com/fwlink/?LinkId=144400(可能只有英文).
在跨平台监视时,管理服务器或网关服务器上的系统中心管理服务运行所有的监视智能。监视系统中心管理服务通过被监视的管理服务器和计算机上的 WSMAN 层与监视的计算机进行通信。先决条件是监视的计算机已安装了 WSMAN 层。WSMAN 层之间的通信在 TCP 端口 1270 上进行,且通常源于管理服务器或网关服务器。在某些情况下,例如当监视的计算机上没有 WSMAN 层或其失败,通信可在 SSH TCP 22 上进行。SSH 可以用于 WSMAN 层的安装或诊断的执行。
无代理异常监视
在 Windows 操作系统中,应用程序出错时,Watson 服务可以捕获此错误,并将有关此错误的信息转发到 Microsoft 以确定此问题的根本原因。通常,每台计算机单独执行此操作。由于错误监视和报表单独进行,因此 IT 管理员无法看到组织内的这些异常。
当无代理异常监视功能启用时,所有异常可以转发到管理组的管理服务器并聚合汇总。由于它们之后被集中到一个位置,当桌面和服务器应用程序问题在整个公司出现时,可以使用此数据分析和诊断这些问题。如果您这样选择,您可以配置管理服务器转发异常监视信息至 Microsoft 以便进行崩溃分析。有关此主题的详细信息,请参阅http://go.microsoft.com/fwlink/?LinkID=11699(可能只有英文).
连接器框架
连接器框架是一个应用程序编程接口,显示 Operations Manager 功能以便与其他管理产品和其他技术集成,例如故障票证系统。它使得开发可与 Operations Manager 双向交换信息的连接器称为可能。连接器框架主要与 RMS 上的 System Center 数据访问服务交互。有关开发使用 Operations Manager 2007 连接器框架的应用程序的详细信息,请参阅Operations Manager 2007 SDK.
概念
您在计划拓扑时必须理解在 Operations Manager 中实现的基于角色的安全的概念。
基于角色的安全
基于角色的安全用于控制您可以看到的对象以及您可在这些对象上执行什么操作。一个角色由两部分组成。第一个部分是包含可以访问或看到的对象的作用域。例如,一个作用域可以被定义为仅包含域控制器或 SQL 服务器。第二个部分是配置文件。每个配置文件定义可以在可看到的对象上执行的操作。在初始状态下,Operations Manager 2007 提供下列五个配置文件:
"管理员"配置文件 - 此配置文件具有对 Operations Manager 的全部特权。
"高级操作员"配置文件 - 此配置文件具有通过配置规则和监视器的替代来调整监视配置的有限功能。
"作者"配置文件 - 此配置文件具有创作监视配置元素的功能,例如规则、任务、监视器和视图。
"操作员"配置文件 - 此配置文件具有访问"警报"、"视图"和"任务"的功能。
"只读操作员"配置文件 - 此配置文件允许只读访问"警报"和"视图"。
"报表操作员"配置文件 - 此配置文件允许读取访问 Operations Manager 报表。
Operations Manager 还包括五个预定义的规则,每个规则均为全局划分作用域。例如,Operations Manager 管理员角色使用管理员配置文件,全局划分作用域,可以看到和操作 Operations Manager 中的所有对象。上述所有配置文件都有匹配的预定义角色。
除预定义的角色之外,还可以根据"高级操作员"、"作者"、"操作员"和"只读操作员"配置文件创建新角色。创建新角色时,在选择了要使用的配置文件之后,创建此角色将访问的对象的作用域。通过此种方式可以创建使用"操作员"配置文件且作用于 Exchange 管理员的 Microsoft Exchange Servers 的角色。将 Exchange 管理员分配给此角色后(用 Active Directory 组的成员身份或单独的帐户),Exchange 管理员可打开操作控制台,但他们只能看到 Exchange 服务器且仅允许在与 Exchange 相关的警报、视图和任务上执行操作。
