Jak na … instalaci agenta SCOM 2007 a řešení případných problémů


Ani při správě dohledového systému Microsoft System Center Operations Manager 2007 (SCOM 2007) často nejdou věci přesně tak, jak jsou popsány v manuálu. Jedním z prvních problémů na které můžeme narazit při administraci SCOM 2007 je instalace agentů na koncová zařízení. Je vcelku jedno, zda se budeme bavit o serverech nebo klientech. Následující rady platí většinou pro obě platformy. Kromě platformy Microsoft Windows je možné ve verzi SCOM 2007 R2 instalovat agenty i do vybraných operačních systémů UNIX/LINUX. Článek popisuje obě varianty.


Dne 14. 10. 2009 byla uvolněna aktualizace System Center Operations Manager 2007 R2 Cross Platform Update, která kromě oprav přináší také podporu pro SUSE Linux Enterprise Server 11 (x86/x64).


clip_image001


Agent pro operační systém Windows


Instalace agentů SCOM 2007 lze provádět několika způsoby.


První z nich je instalace MSI balíčku přímo na koncovém zařízení způsobem klikat a čekat. Přiznejme si, že nainstalovat tímto způsobem agenta na 300 zařízení je docela časově i psychicky náročné. V malém prostředí s přísnou bezpečnostní politikou je to však většinou jediné  řešení.


Další možností je využití některého nástroje pro hromadnou instalaci aplikací (SCCM, Altiris, GPO). Ve větším prostředí je to jistě velká úspora času i přesto, že musíme vytvořit instalační balíčky pro různé platformy a doplnit případně testy a instalační soubory pro další vyžadované komponenty systému.


Třetí a nejzajímavější možností je využití zabudovaného deploymentu agentů SCOM 2007. Pokud jsou splněny veškeré požadavky pro vzdálenou instalaci agentů z management konzole SCOM 2007, je to nejrychlejší a nejúčinnější možnost začlenění potřebných zřízení do management prostředí.


Průvodce pro vzdálenou instalaci agentů  SCOM 2007 pro OS Windows:


Zvolíme typ vzdáleného počítače


clip_image003clip_image005


Nastavíme proměnou pro zjišťování názvu počítače nebo zadáme název ve spodní části okna. Zadáme jméno a heslo účtu s právy lokálního administrátora na vzdáleném počítači.


clip_image007clip_image009


Po dokončení vyhledávání vybereme konkrétní počítač pro instalaci agenta a zvolíme pod jakým účtem bude služba agenta spuštěna.


clip_image011clip_image013


Poté dokončíme instalaci.


clip_image015


Instalační požadavky pro instalaci agenta SCOM 2007:



Požadavky pro vzdálenou “PUSH” instalaci agenta (včetně portů pro firewall):



  • Účet použitý při discovery musí mít práva lokálního administrátora na cílovém zařízení.

  • Následující porty musí být povoleny:



































služba


čísla portů


protokol


RPC endpoint mapper


135


TCP/UDP


*RPC/DCOM High ports (2000/2003 OS)


1024-5000


TCP/UDP


*RPC/DCOM High ports (2008 OS)


49152-65535


TCP/UDP


NetBIOS name service


137


TCP/UDP


NetBIOS session service


139


TCP/UDP


SMB over IP


445


TCP


MOM Channel


5723


TCP/UDP


*RPC/DCOM High ports jsou vyžadovány pro RPC komunikaci.  Toto je hlavní důvod, proč není doporučována nebo podporována PUSH instalaci v silně zabezpečeném prostředí. Otevření portů je potenciální bezpečnostní hrozbou. Další informace lze nalézt na:


http://support.microsoft.com/kb/154596/


http://support.microsoft.com/default.aspx?scid=kb;EN-US;929851



  • Následující služby musí být nastaveny:























Název služby


stav služby


typ spouštění


Netlogon


Started


Auto


**Remote Registry


Started


Auto


Windows Installer


Started


Manual


Automatic Updates


Started


Auto


**Nevyžaduje instalace agenta, ale je vyžadováno pro vybrané management packy.



  • Management server musí být schopný se spojit se vzdáleným počítačem pomocí WMI a spustit WMI Query "Select * from Win32_OperatingSystem".  WMI musí běžet, být v pořádku a umožnit vzdálené připojení.

  • Management server musí být schopný se připojit na cílovém počítači přes \\servername\c$

Logování:



  • Když probíhá PUSH instalace agenta z management serveru, jsou informace o chybách zapisovány do logu ve složce :  “\Program Files\System Center OpsMgr\AgentManagement\AgentLogs\” na Management serveru.

  • Zápis agenta do logu není standardně zapnutý během PUSH instalace. Pokud probíhá instalace agenta lokálně z MSI balíčku, bude verbose log umístěný ve cestě “C:\documents and settings\%user%\local settings\temp\momagent.log“.

Pro řešení problémů PUSH instalace agenta s verbose logem musí být toto logování zapnuto:  http://support.microsoft.com/kb/314852/en-us


Nejčastější chybové stavy během PUSH instalace:


The MOM Server detected that the following services on computer "(null);NetLogon" are not running. These services are required for push agent installation. To complete this operation, either start the required services on the computer or install the MOM agent manually by using MOMAgent.msi located on the product CD. Operation: Agent Install


Remote Computer Name: srv1.scomlab.local


Install account: SCOMLAB\localadmin


Error Code: C000296E


Error Description: Unknown error 0xC000296E


Řešení: Služba NetLogon neběží. Služba musí být nastavena na “Auto/Started”.


The MOM Server detected that the Windows Installer service (MSIServer) is disabled on computer "srv1.scomlab.local". This service is required for push agent installation. To complete this operation on the computer, either set the MSIServer startup type to "Manual" or "Automatic", or install the MOM agent manually by using MOMAgent.msi located on the product CD.


Operation: Agent Install


Install account: SCOMLAB\localadmin


Error Code: C0002976


Error Description: Unknown error 0xC0002976


Řešení:  Služba Windows Installer neběží nebo je nastavena na “Disabled”. Nastavte službu na “Manual” nebo “Auto” a spusťte ji.


The Agent Management Operation Agent Install failed for remote computer srv1.scomlab.local.


Install account: SCOMLAB\localadmin


Error Code: 80070643


Error Description: Fatal error during installation.


Microsoft Installer Error Description:


For more information, see Windows Installer log file "C:\Program Files\System Center Operations Manager 2007\AgentManagement\AgentLogs\srv1AgentInstall.LOG


C:\Program Files\System Center Operations Manager 2007\AgentManagement\AgentLogs\srv1MOMAgentMgmt.log" on the Management Server.


Řešení:  Spusťte službu “Automatic Updates”, která je pozastavena. Po instalaci agenta je možné službu “Automatic Updates” opět nastavit na “Disable”.


Další chybové stavy včetně možností nápravy jsou popsány v tabulce na stránce blogu Kevina HolmanaConsole based Agent Deployment Troubleshooting


Další informace:


Během instalace agenta jsou vyžadovány další služby nebo komponenty systému.



  1. Služba běží jako standardní NT Service. Služba provádí např. registraci/odregistraci DCOM objektů, které mají logickou vazbu na spouštění MSI/MSP.

  2. Objekty DCOM získávají příkazy z modulů na SCOM 2007 serveru, tyto objekty zajišťují asynchronní instalaci, odinstalaci nebo aktualizaci agentů. Také vrací informace o instalovaných hotfixech, ověřují instalační požadavky, např. komunikační kanál před dokončením instalace agenta.

  3. Služba RPC je použita pro vytvoření spojení s cílovým počítačem. Služba SMB je použita pro kopírování instalačních souborů na cílový.

  4. WMI je použito pro kontrolu “prerequisites”.

Agent uvnitř Trust Boundary


Discovery:
Discovery vyžaduje otevření portů TCP 135 (RPC), rozsahu RPC a TCP 445 (SMB) a že služba SMB je zapnuta.


Instalace:
Po dokončení discovery cílových zařízení může být na ně agent instalován. Instalace agenta požaduje:



  • Otevření portů Remote procedure call (RPC), portu TCP 135 pro “endpoint mapper” a Server Message Block (SMB) port TCP/UDP 445.

  • Zapnutí služeb “File and Printer Sharing” pro Microsoft Networks a “Client” pro Microsoft Networks services (to zaručí, že SMB port je aktivní).

  • Pokud je zapnuto nastavení Windows Firewall Group Policy pro “Allow remote administration exception” a “Allow file and printer sharing exception”, musí být nastaveno na “Allow unsolicited incoming messages from: (IP adresa a subnet pro primární a sekundární Management servery daného agenta.

  • Nastavení služby Windows Firewall pro povolení správy počítačů s OS Windows z operační konzole Operations Manager 2007.

  • Účet s právy lokálního administrátora na cílovém počítači.

  • Nainstalovaný Windows Installer 3.1 - (http://go.microsoft.com/fwlink/?LinkId=86322.

  • Nainstalovanou Microsoft Core XML services (MSXML) 6.

Následná správa agenta:
Následná správa agenta vyžaduje otevření portů TCP 135 (RPC), rozsahu RPC a TCP 445 (SMB) a že služba SMB je zapnuta.


Pokud je vše nastaveno dle popsaných požadavků, instalace agenta proběhne v pořádku a agent začne komunikovat s Management serverem, přijímat instrukce a zasílat informace o monitorovaném počítači.


Agent pro operační systém UNIX/LINUX


Microsoft ve verzi SCOM 2007 R2 umožňuje monitorovat také operační systémy UNIX/LINUX pomocí tzv. Cross Platform Extentions. Pokud budeme chtít instalovat agenta na operační systém UNIX/LINUX, musíme si nejprve zkontrolovat verzi instalovaného tohoto operačního systému. SCOM 2007 R2 totiž zatím podporuje pouze 17 konkrétních verzí operačních systémů UNIX/LINUX:



  • AIX 5.3 (Power), 6.1 (Power)

  • HP-UX 11iv2 (PA-RISC a IA64) a 11iv3 (PA-RISC a IA64)

  • Red Hat Enterprise Server 4 (x64 a x86) a 5 (x64 a x86)

  • Solaris 8 (SPARC), 9 (SPARC) a 10 (SPARC a x86 verze novější než 120012-14)

  • SUSE Linux Enterprise Server 9 (x86), 10 SP1 (x86 a x64), 11 (x86/x64)

clip_image016


Stejně jako u platformy Windows máme možnost instalovat agenta ručně nebo pomocí průvodce z management konzole SCOM 2007. Pohodlnější je samozřejmě využití vzdálené instalace, ale je potřeba opět zajistit instalační požadavky.


Pokud budeme instalovat agenta ručně, musíme se především spolehnout na své znalosti s prostředím UNIX/LINUX. Instalační balíčky pro UNIX/LINUX distribuce jsou během instalace Management serveru SCOM 2007 R2 rozbaleny do složky: “\Program Files\System Center Operations Manager 2007\AgentManagement\UnixAgents\”.


Průvodce pro vzdálenou instalaci agentů  SCOM 2007 pro OS LINUX:


Zvolíme typ vzdáleného počítače


clip_image018clip_image020


Nastavíme parametry pro vyhledávání počítačů (IP adresa/DNS name/ IP rozsah), uživatelského účtu a zaškrtneme SSH.


clip_image022clip_image024


Na dalších oknech vidíme průběh instalace agenta, případně informace o chybách a možných řešeních. Poté dokončíme instalaci.


clip_image026clip_image028


Instalační požadavky na straně Management serveru:


WS-management 1.1 (známý také jako WinRM) (http://go.microsoft.com/fwlink/?LinkID=133219)


Instalační požadavky na straně vzdáleného počítače:


Balíčky v UNIX/LINUX prostředí, s návazností na komponenty agenta. Balíčky se liší podle verze operačního systému UNIX/LINUX: (http://technet.microsoft.com/en-us/library/dd789030.aspx)


Požadavky na otevřené porty:


















Role počítače


Port a směr komunikace


Služba


Role počítače


Management server nebo Gateway server


1270 --- >


MOM Channel


UNIX nebo Linux počítač


Management server nebo Gateway server


22 --- >


SSH


UNIX nebo Linux počítač


Problémy při discovery:


Během discovery mohou nastat např. potíže s překladem IP/DNS, nízkým oprávněním účtu, zakázanými porty na firewallu nebo chybějícími komponentami na OS LINU/UNIX. O většině chyb nás ale průvodce informuje a navrhuje možná řešení, která umožní úspěšnou instalaci agenta. Také nemusí být z bezpečnostních důvodů povolena komunikace pro SSH (port 22).


Problémy při PUSH instalaci:


Pokud na vzdáleném počítači chybí komponenty WS-Man, průvodce se ji pokusí vzdáleně nainstalovat.


Následná správa agenta:


Pro potřeby správy je zapotřebí povolit výše zmíněné porty.


Po úspěšném dokončení instalace agenta je potřeba ještě nakonfigurovat RunAs účet a RunAs profil pro monitorované UNIX/LINUX počítače. Pokud bychom konfiguraci neprovedli, agent by zůstal v nemonitorovaném stavu.


clip_image030


Dokumentace pro SCOM 2007 R2 Cross Platform Extensions:




-
Pavel Řepa

Comments (0)

Skip to main content