Jak na … instalaci agenta SCOM 2007 a řešení případných problémů
Ani při správě dohledového systému Microsoft System Center Operations Manager 2007 (SCOM 2007) často nejdou věci přesně tak, jak jsou popsány v manuálu. Jedním z prvních problémů na které můžeme narazit při administraci SCOM 2007 je instalace agentů na koncová zařízení. Je vcelku jedno, zda se budeme bavit o serverech nebo klientech. Následující rady platí většinou pro obě platformy. Kromě platformy Microsoft Windows je možné ve verzi SCOM 2007 R2 instalovat agenty i do vybraných operačních systémů UNIX/LINUX. Článek popisuje obě varianty.
Dne 14. 10. 2009 byla uvolněna aktualizace System Center Operations Manager 2007 R2 Cross Platform Update, která kromě oprav přináší také podporu pro SUSE Linux Enterprise Server 11 (x86/x64) .
Agent pro operační systém Windows
Instalace agentů SCOM 2007 lze provádět několika způsoby.
První z nich je instalace MSI balíčku přímo na koncovém zařízení způsobem klikat a čekat. Přiznejme si, že nainstalovat tímto způsobem agenta na 300 zařízení je docela časově i psychicky náročné. V malém prostředí s přísnou bezpečnostní politikou je to však většinou jediné řešení.
Další možností je využití některého nástroje pro hromadnou instalaci aplikací (SCCM, Altiris, GPO). Ve větším prostředí je to jistě velká úspora času i přesto, že musíme vytvořit instalační balíčky pro různé platformy a doplnit případně testy a instalační soubory pro další vyžadované komponenty systému.
Třetí a nejzajímavější možností je využití zabudovaného deploymentu agentů SCOM 2007. Pokud jsou splněny veškeré požadavky pro vzdálenou instalaci agentů z management konzole SCOM 2007, je to nejrychlejší a nejúčinnější možnost začlenění potřebných zřízení do management prostředí.
Průvodce pro vzdálenou instalaci agentů SCOM 2007 pro OS Windows:
Zvolíme typ vzdáleného počítače
Nastavíme proměnou pro zjišťování názvu počítače nebo zadáme název ve spodní části okna. Zadáme jméno a heslo účtu s právy lokálního administrátora na vzdáleném počítači.
Po dokončení vyhledávání vybereme konkrétní počítač pro instalaci agenta a zvolíme pod jakým účtem bude služba agenta spuštěna.
Poté dokončíme instalaci.
Instalační požadavky pro instalaci agenta SCOM 2007:
- Podporovaná verze operačního systému (viz. https://technet.microsoft.com/en-us/library/bb309428.aspx)
- Microsoft Core XML Services (MSXML) 6.0
- Windows Installer 3.1
Požadavky pro vzdálenou “PUSH” instalaci agenta (včetně portů pro firewall):
- Účet použitý při discovery musí mít práva lokálního administrátora na cílovém zařízení.
- Následující porty musí být povoleny:
služba |
čísla portů |
protokol |
RPC endpoint mapper |
135 |
TCP/UDP |
*RPC/DCOM High ports (2000/2003 OS) |
1024-5000 |
TCP/UDP |
*RPC/DCOM High ports (2008 OS) |
49152-65535 |
TCP/UDP |
NetBIOS name service |
137 |
TCP/UDP |
NetBIOS session service |
139 |
TCP/UDP |
SMB over IP |
445 |
TCP |
MOM Channel |
5723 |
TCP/UDP |
*RPC/DCOM High ports jsou vyžadovány pro RPC komunikaci. Toto je hlavní důvod, proč není doporučována nebo podporována PUSH instalaci v silně zabezpečeném prostředí. Otevření portů je potenciální bezpečnostní hrozbou. Další informace lze nalézt na:
https://support.microsoft.com/kb/154596/
https://support.microsoft.com/default.aspx?scid=kb;EN-US;929851
- Následující služby musí být nastaveny:
Název služby |
stav služby |
typ spouštění |
Netlogon |
Started |
Auto |
**Remote Registry |
Started |
Auto |
Windows Installer |
Started |
Manual |
Automatic Updates |
Started |
Auto |
**Nevyžaduje instalace agenta, ale je vyžadováno pro vybrané management packy.
- Management server musí být schopný se spojit se vzdáleným počítačem pomocí WMI a spustit WMI Query "Select * from Win32_OperatingSystem". WMI musí běžet, být v pořádku a umožnit vzdálené připojení.
- Management server musí být schopný se připojit na cílovém počítači přes \\servername\c$
Logování:
- Když probíhá PUSH instalace agenta z management serveru, jsou informace o chybách zapisovány do logu ve složce : “\Program Files\System Center OpsMgr\AgentManagement\AgentLogs\” na Management serveru.
- Zápis agenta do logu není standardně zapnutý během PUSH instalace. Pokud probíhá instalace agenta lokálně z MSI balíčku, bude verbose log umístěný ve cestě “C:\documents and settings\%user%\local settings\temp\momagent.log“.
Pro řešení problémů PUSH instalace agenta s verbose logem musí být toto logování zapnuto: https://support.microsoft.com/kb/314852/en-us
Nejčastější chybové stavy během PUSH instalace:
The MOM Server detected that the following services on computer "(null);NetLogon" are not running. These services are required for push agent installation. To complete this operation, either start the required services on the computer or install the MOM agent manually by using MOMAgent.msi located on the product CD. Operation: Agent Install
Remote Computer Name: srv1.scomlab.local
Install account: SCOMLAB\localadmin
Error Code: C000296E
Error Description: Unknown error 0xC000296E
Řešení: Služba NetLogon neběží. Služba musí být nastavena na “Auto/Started”.
The MOM Server detected that the Windows Installer service (MSIServer) is disabled on computer "srv1.scomlab.local". This service is required for push agent installation. To complete this operation on the computer, either set the MSIServer startup type to "Manual" or "Automatic", or install the MOM agent manually by using MOMAgent.msi located on the product CD.
Operation: Agent Install
Install account: SCOMLAB\localadmin
Error Code: C0002976
Error Description: Unknown error 0xC0002976
Řešení: Služba Windows Installer neběží nebo je nastavena na “Disabled”. Nastavte službu na “Manual” nebo “Auto” a spusťte ji.
The Agent Management Operation Agent Install failed for remote computer srv1.scomlab.local.
Install account: SCOMLAB\localadmin
Error Code: 80070643
Error Description: Fatal error during installation.
Microsoft Installer Error Description:
For more information, see Windows Installer log file "C:\Program Files\System Center Operations Manager 2007\AgentManagement\AgentLogs\srv1AgentInstall.LOG
C:\Program Files\System Center Operations Manager 2007\AgentManagement\AgentLogs\srv1MOMAgentMgmt.log" on the Management Server.
Řešení: Spusťte službu “Automatic Updates”, která je pozastavena. Po instalaci agenta je možné službu “Automatic Updates” opět nastavit na “Disable”.
Další chybové stavy včetně možností nápravy jsou popsány v tabulce na stránce blogu Kevina Holmana: Console based Agent Deployment Troubleshooting
Další informace:
Během instalace agenta jsou vyžadovány další služby nebo komponenty systému.
- Služba běží jako standardní NT Service. Služba provádí např. registraci/odregistraci DCOM objektů, které mají logickou vazbu na spouštění MSI/MSP.
- Objekty DCOM získávají příkazy z modulů na SCOM 2007 serveru, tyto objekty zajišťují asynchronní instalaci, odinstalaci nebo aktualizaci agentů. Také vrací informace o instalovaných hotfixech, ověřují instalační požadavky, např. komunikační kanál před dokončením instalace agenta.
- Služba RPC je použita pro vytvoření spojení s cílovým počítačem. Služba SMB je použita pro kopírování instalačních souborů na cílový.
- WMI je použito pro kontrolu “prerequisites”.
Agent uvnitř Trust Boundary
Discovery:
Discovery vyžaduje otevření portů TCP 135 (RPC), rozsahu RPC a TCP 445 (SMB) a že služba SMB je zapnuta.
Instalace:
Po dokončení discovery cílových zařízení může být na ně agent instalován. Instalace agenta požaduje:
- Otevření portů Remote procedure call (RPC), portu TCP 135 pro “endpoint mapper” a Server Message Block (SMB) port TCP/UDP 445.
- Zapnutí služeb “File and Printer Sharing” pro Microsoft Networks a “Client” pro Microsoft Networks services (to zaručí, že SMB port je aktivní).
- Pokud je zapnuto nastavení Windows Firewall Group Policy pro “Allow remote administration exception” a “Allow file and printer sharing exception”, musí být nastaveno na “Allow unsolicited incoming messages from: (IP adresa a subnet pro primární a sekundární Management servery daného agenta.
- Nastavení služby Windows Firewall pro povolení správy počítačů s OS Windows z operační konzole Operations Manager 2007.
- Účet s právy lokálního administrátora na cílovém počítači.
- Nainstalovaný Windows Installer 3.1 - (https://go.microsoft.com/fwlink/?LinkId=86322.
- Nainstalovanou Microsoft Core XML services (MSXML) 6.
Následná správa agenta:
Následná správa agenta vyžaduje otevření portů TCP 135 (RPC), rozsahu RPC a TCP 445 (SMB) a že služba SMB je zapnuta.
Pokud je vše nastaveno dle popsaných požadavků, instalace agenta proběhne v pořádku a agent začne komunikovat s Management serverem, přijímat instrukce a zasílat informace o monitorovaném počítači.
Agent pro operační systém UNIX/LINUX
Microsoft ve verzi SCOM 2007 R2 umožňuje monitorovat také operační systémy UNIX/LINUX pomocí tzv. Cross Platform Extentions. Pokud budeme chtít instalovat agenta na operační systém UNIX/LINUX, musíme si nejprve zkontrolovat verzi instalovaného tohoto operačního systému. SCOM 2007 R2 totiž zatím podporuje pouze 17 konkrétních verzí operačních systémů UNIX/LINUX:
- AIX 5.3 (Power), 6.1 (Power)
- HP-UX 11iv2 (PA-RISC a IA64) a 11iv3 (PA-RISC a IA64)
- Red Hat Enterprise Server 4 (x64 a x86) a 5 (x64 a x86)
- Solaris 8 (SPARC), 9 (SPARC) a 10 (SPARC a x86 verze novější než 120012-14)
- SUSE Linux Enterprise Server 9 (x86), 10 SP1 (x86 a x64), 11 (x86/x64)
Stejně jako u platformy Windows máme možnost instalovat agenta ručně nebo pomocí průvodce z management konzole SCOM 2007. Pohodlnější je samozřejmě využití vzdálené instalace, ale je potřeba opět zajistit instalační požadavky.
Pokud budeme instalovat agenta ručně, musíme se především spolehnout na své znalosti s prostředím UNIX/LINUX. Instalační balíčky pro UNIX/LINUX distribuce jsou během instalace Management serveru SCOM 2007 R2 rozbaleny do složky: “\Program Files\System Center Operations Manager 2007\AgentManagement\UnixAgents\”.
Průvodce pro vzdálenou instalaci agentů SCOM 2007 pro OS LINUX:
Zvolíme typ vzdáleného počítače
Nastavíme parametry pro vyhledávání počítačů (IP adresa/DNS name/ IP rozsah), uživatelského účtu a zaškrtneme SSH.
Na dalších oknech vidíme průběh instalace agenta, případně informace o chybách a možných řešeních. Poté dokončíme instalaci.
Instalační požadavky na straně Management serveru:
WS-management 1.1 (známý také jako WinRM) (https://go.microsoft.com/fwlink/?LinkID=133219)
Instalační požadavky na straně vzdáleného počítače:
Balíčky v UNIX/LINUX prostředí, s návazností na komponenty agenta. Balíčky se liší podle verze operačního systému UNIX/LINUX: (https://technet.microsoft.com/en-us/library/dd789030.aspx)
Požadavky na otevřené porty:
Role počítače |
Port a směr komunikace |
Služba |
Role počítače |
Management server nebo Gateway server |
1270 --- > |
MOM Channel |
UNIX nebo Linux počítač |
Management server nebo Gateway server |
22 --- > |
SSH |
UNIX nebo Linux počítač |
Problémy při discovery:
Během discovery mohou nastat např. potíže s překladem IP/DNS, nízkým oprávněním účtu, zakázanými porty na firewallu nebo chybějícími komponentami na OS LINU/UNIX. O většině chyb nás ale průvodce informuje a navrhuje možná řešení, která umožní úspěšnou instalaci agenta. Také nemusí být z bezpečnostních důvodů povolena komunikace pro SSH (port 22).
Problémy při PUSH instalaci:
Pokud na vzdáleném počítači chybí komponenty WS-Man, průvodce se ji pokusí vzdáleně nainstalovat.
Následná správa agenta:
Pro potřeby správy je zapotřebí povolit výše zmíněné porty.
Po úspěšném dokončení instalace agenta je potřeba ještě nakonfigurovat RunAs účet a RunAs profil pro monitorované UNIX/LINUX počítače. Pokud bychom konfiguraci neprovedli, agent by zůstal v nemonitorovaném stavu.
Dokumentace pro SCOM 2007 R2 Cross Platform Extensions: