Jak na … instalaci agenta SCOM 2007 a řešení případných problémů

  • Article

Ani při správě dohledového systému Microsoft System Center Operations Manager 2007 (SCOM 2007) často nejdou věci přesně tak, jak jsou popsány v manuálu. Jedním z prvních problémů na které můžeme narazit při administraci SCOM 2007 je instalace agentů na koncová zařízení. Je vcelku jedno, zda se budeme bavit o serverech nebo klientech. Následující rady platí většinou pro obě platformy. Kromě platformy Microsoft Windows je možné ve verzi SCOM 2007 R2 instalovat agenty i do vybraných operačních systémů UNIX/LINUX. Článek popisuje obě varianty.

Dne 14. 10. 2009 byla uvolněna aktualizace System Center Operations Manager 2007 R2 Cross Platform Update, která kromě oprav přináší také podporu pro SUSE Linux Enterprise Server 11 (x86/x64) .

clip_image001

Agent pro operační systém Windows

Instalace agentů SCOM 2007 lze provádět několika způsoby.

První z nich je instalace MSI balíčku přímo na koncovém zařízení způsobem klikat a čekat. Přiznejme si, že nainstalovat tímto způsobem agenta na 300 zařízení je docela časově i psychicky náročné. V malém prostředí s přísnou bezpečnostní politikou je to však většinou jediné  řešení.

Další možností je využití některého nástroje pro hromadnou instalaci aplikací (SCCM, Altiris, GPO). Ve větším prostředí je to jistě velká úspora času i přesto, že musíme vytvořit instalační balíčky pro různé platformy a doplnit případně testy a instalační soubory pro další vyžadované komponenty systému.

Třetí a nejzajímavější možností je využití zabudovaného deploymentu agentů SCOM 2007. Pokud jsou splněny veškeré požadavky pro vzdálenou instalaci agentů z management konzole SCOM 2007, je to nejrychlejší a nejúčinnější možnost začlenění potřebných zřízení do management prostředí.

Průvodce pro vzdálenou instalaci agentů  SCOM 2007 pro OS Windows:

Zvolíme typ vzdáleného počítače

clip_image003clip_image005

Nastavíme proměnou pro zjišťování názvu počítače nebo zadáme název ve spodní části okna. Zadáme jméno a heslo účtu s právy lokálního administrátora na vzdáleném počítači.

clip_image007clip_image009

Po dokončení vyhledávání vybereme konkrétní počítač pro instalaci agenta a zvolíme pod jakým účtem bude služba agenta spuštěna.

clip_image011clip_image013

Poté dokončíme instalaci.

clip_image015

Instalační požadavky pro instalaci agenta SCOM 2007:

Požadavky pro vzdálenou “PUSH” instalaci agenta (včetně portů pro firewall):

  • Účet použitý při discovery musí mít práva lokálního administrátora na cílovém zařízení.
  • Následující porty musí být povoleny:

služba

čísla portů

protokol

RPC endpoint mapper

135

TCP/UDP

*RPC/DCOM High ports (2000/2003 OS)

1024-5000

TCP/UDP

*RPC/DCOM High ports (2008 OS)

49152-65535

TCP/UDP

NetBIOS name service

137

TCP/UDP

NetBIOS session service

139

TCP/UDP

SMB over IP

445

TCP

MOM Channel

5723

TCP/UDP

*RPC/DCOM High ports jsou vyžadovány pro RPC komunikaci.  Toto je hlavní důvod, proč není doporučována nebo podporována PUSH instalaci v silně zabezpečeném prostředí. Otevření portů je potenciální bezpečnostní hrozbou. Další informace lze nalézt na:

https://support.microsoft.com/kb/154596/

https://support.microsoft.com/default.aspx?scid=kb;EN-US;929851

  • Následující služby musí být nastaveny:

Název služby

stav služby

typ spouštění

Netlogon

Started

Auto

**Remote Registry

Started

Auto

Windows Installer

Started

Manual

Automatic Updates

Started

Auto

**Nevyžaduje instalace agenta, ale je vyžadováno pro vybrané management packy.

  • Management server musí být schopný se spojit se vzdáleným počítačem pomocí WMI a spustit WMI Query "Select * from Win32_OperatingSystem".  WMI musí běžet, být v pořádku a umožnit vzdálené připojení.
  • Management server musí být schopný se připojit na cílovém počítači přes \\servername\c$

Logování:

  • Když probíhá PUSH instalace agenta z management serveru, jsou informace o chybách zapisovány do logu ve složce :  “\Program Files\System Center OpsMgr\AgentManagement\AgentLogs\” na Management serveru.
  • Zápis agenta do logu není standardně zapnutý během PUSH instalace. Pokud probíhá instalace agenta lokálně z MSI balíčku, bude verbose log umístěný ve cestě “C:\documents and settings\%user%\local settings\temp\momagent.log“.

Pro řešení problémů PUSH instalace agenta s verbose logem musí být toto logování zapnuto:  https://support.microsoft.com/kb/314852/en-us

Nejčastější chybové stavy během PUSH instalace:

The MOM Server detected that the following services on computer "(null);NetLogon" are not running. These services are required for push agent installation. To complete this operation, either start the required services on the computer or install the MOM agent manually by using MOMAgent.msi located on the product CD. Operation: Agent Install

Remote Computer Name: srv1.scomlab.local

Install account: SCOMLAB\localadmin

Error Code: C000296E

Error Description: Unknown error 0xC000296E

Řešení: Služba NetLogon neběží. Služba musí být nastavena na “Auto/Started”.

The MOM Server detected that the Windows Installer service (MSIServer) is disabled on computer "srv1.scomlab.local". This service is required for push agent installation. To complete this operation on the computer, either set the MSIServer startup type to "Manual" or "Automatic", or install the MOM agent manually by using MOMAgent.msi located on the product CD.

Operation: Agent Install

Install account: SCOMLAB\localadmin

Error Code: C0002976

Error Description: Unknown error 0xC0002976

Řešení:  Služba Windows Installer neběží nebo je nastavena na “Disabled”. Nastavte službu na “Manual” nebo “Auto” a spusťte ji.

The Agent Management Operation Agent Install failed for remote computer srv1.scomlab.local.

Install account: SCOMLAB\localadmin

Error Code: 80070643

Error Description: Fatal error during installation.

Microsoft Installer Error Description:

For more information, see Windows Installer log file "C:\Program Files\System Center Operations Manager 2007\AgentManagement\AgentLogs\srv1AgentInstall.LOG

C:\Program Files\System Center Operations Manager 2007\AgentManagement\AgentLogs\srv1MOMAgentMgmt.log" on the Management Server.

Řešení:  Spusťte službu “Automatic Updates”, která je pozastavena. Po instalaci agenta je možné službu “Automatic Updates” opět nastavit na “Disable”.

Další chybové stavy včetně možností nápravy jsou popsány v tabulce na stránce blogu Kevina HolmanaConsole based Agent Deployment Troubleshooting

Další informace:

Během instalace agenta jsou vyžadovány další služby nebo komponenty systému.

  1. Služba běží jako standardní NT Service. Služba provádí např. registraci/odregistraci DCOM objektů, které mají logickou vazbu na spouštění MSI/MSP.
  2. Objekty DCOM získávají příkazy z modulů na SCOM 2007 serveru, tyto objekty zajišťují asynchronní instalaci, odinstalaci nebo aktualizaci agentů. Také vrací informace o instalovaných hotfixech, ověřují instalační požadavky, např. komunikační kanál před dokončením instalace agenta.
  3. Služba RPC je použita pro vytvoření spojení s cílovým počítačem. Služba SMB je použita pro kopírování instalačních souborů na cílový.
  4. WMI je použito pro kontrolu “prerequisites”.

Agent uvnitř Trust Boundary

Discovery:
Discovery vyžaduje otevření portů TCP 135 (RPC), rozsahu RPC a TCP 445 (SMB) a že služba SMB je zapnuta.

Instalace:
Po dokončení discovery cílových zařízení může být na ně agent instalován. Instalace agenta požaduje:

  • Otevření portů Remote procedure call (RPC), portu TCP 135 pro “endpoint mapper” a Server Message Block (SMB) port TCP/UDP 445.
  • Zapnutí služeb “File and Printer Sharing” pro Microsoft Networks a “Client” pro Microsoft Networks services (to zaručí, že SMB port je aktivní).
  • Pokud je zapnuto nastavení Windows Firewall Group Policy pro “Allow remote administration exception” a “Allow file and printer sharing exception”, musí být nastaveno na “Allow unsolicited incoming messages from: (IP adresa a subnet pro primární a sekundární Management servery daného agenta.
  • Nastavení služby Windows Firewall pro povolení správy počítačů s OS Windows z operační konzole Operations Manager 2007.
  • Účet s právy lokálního administrátora na cílovém počítači.
  • Nainstalovaný Windows Installer 3.1 - (https://go.microsoft.com/fwlink/?LinkId=86322.
  • Nainstalovanou Microsoft Core XML services (MSXML) 6.

Následná správa agenta:
Následná správa agenta vyžaduje otevření portů TCP 135 (RPC), rozsahu RPC a TCP 445 (SMB) a že služba SMB je zapnuta.

Pokud je vše nastaveno dle popsaných požadavků, instalace agenta proběhne v pořádku a agent začne komunikovat s Management serverem, přijímat instrukce a zasílat informace o monitorovaném počítači.

Agent pro operační systém UNIX/LINUX

Microsoft ve verzi SCOM 2007 R2 umožňuje monitorovat také operační systémy UNIX/LINUX pomocí tzv. Cross Platform Extentions. Pokud budeme chtít instalovat agenta na operační systém UNIX/LINUX, musíme si nejprve zkontrolovat verzi instalovaného tohoto operačního systému. SCOM 2007 R2 totiž zatím podporuje pouze 17 konkrétních verzí operačních systémů UNIX/LINUX:

  • AIX 5.3 (Power), 6.1 (Power)
  • HP-UX 11iv2 (PA-RISC a IA64) a 11iv3 (PA-RISC a IA64)
  • Red Hat Enterprise Server 4 (x64 a x86) a 5 (x64 a x86)
  • Solaris 8 (SPARC), 9 (SPARC) a 10 (SPARC a x86 verze novější než 120012-14)
  • SUSE Linux Enterprise Server 9 (x86), 10 SP1 (x86 a x64), 11 (x86/x64)

clip_image016

Stejně jako u platformy Windows máme možnost instalovat agenta ručně nebo pomocí průvodce z management konzole SCOM 2007. Pohodlnější je samozřejmě využití vzdálené instalace, ale je potřeba opět zajistit instalační požadavky.

Pokud budeme instalovat agenta ručně, musíme se především spolehnout na své znalosti s prostředím UNIX/LINUX. Instalační balíčky pro UNIX/LINUX distribuce jsou během instalace Management serveru SCOM 2007 R2 rozbaleny do složky: “\Program Files\System Center Operations Manager 2007\AgentManagement\UnixAgents\”.

Průvodce pro vzdálenou instalaci agentů  SCOM 2007 pro OS LINUX:

Zvolíme typ vzdáleného počítače

clip_image018clip_image020

Nastavíme parametry pro vyhledávání počítačů (IP adresa/DNS name/ IP rozsah), uživatelského účtu a zaškrtneme SSH.

clip_image022clip_image024

Na dalších oknech vidíme průběh instalace agenta, případně informace o chybách a možných řešeních. Poté dokončíme instalaci.

clip_image026clip_image028

Instalační požadavky na straně Management serveru:

WS-management 1.1 (známý také jako WinRM) (https://go.microsoft.com/fwlink/?LinkID=133219)

Instalační požadavky na straně vzdáleného počítače:

Balíčky v UNIX/LINUX prostředí, s návazností na komponenty agenta. Balíčky se liší podle verze operačního systému UNIX/LINUX: (https://technet.microsoft.com/en-us/library/dd789030.aspx)

Požadavky na otevřené porty:

Role počítače

Port a směr komunikace

Služba

Role počítače

Management server nebo Gateway server

1270 --- >

MOM Channel

UNIX nebo Linux počítač

Management server nebo Gateway server

22 --- >

SSH

UNIX nebo Linux počítač

Problémy při discovery:

Během discovery mohou nastat např. potíže s překladem IP/DNS, nízkým oprávněním účtu, zakázanými porty na firewallu nebo chybějícími komponentami na OS LINU/UNIX. O většině chyb nás ale průvodce informuje a navrhuje možná řešení, která umožní úspěšnou instalaci agenta. Také nemusí být z bezpečnostních důvodů povolena komunikace pro SSH (port 22).

Problémy při PUSH instalaci:

Pokud na vzdáleném počítači chybí komponenty WS-Man, průvodce se ji pokusí vzdáleně nainstalovat.

Následná správa agenta:

Pro potřeby správy je zapotřebí povolit výše zmíněné porty.

Po úspěšném dokončení instalace agenta je potřeba ještě nakonfigurovat RunAs účet a RunAs profil pro monitorované UNIX/LINUX počítače. Pokud bychom konfiguraci neprovedli, agent by zůstal v nemonitorovaném stavu.

clip_image030

Dokumentace pro SCOM 2007 R2 Cross Platform Extensions:

- Pavel Řepa