Operations Manager エージェント
System Center Operations Manager では、エージェントは、構成データを検索し、分析とレポートの情報を事前に収集し、SQL データベースや論理ディスクなどの監視対象オブジェクトの正常性状態を測定し、オペレーターまたは条件に応じてタスクをオンデマンドで実行する、コンピューターにインストールされるサービスです。 これにより、Operations Manager は、Windows、Linux、UNIX オペレーティング システム、および Web サイトや Active Directory ドメイン コントローラーなどの IT サービスのコンポーネントを監視できます。
Windows エージェント
監視対象の Windows コンピューター上で、Operations Manager エージェントは、Microsoft Monitoring Agent (MMA) サービスとしてリストされます。 Microsoft Monitoring Agentサービスでは、イベントおよびパフォーマンス データが収集され、タスクおよび管理パックに定義されたその他のワークフローが実行されます。 このサービスは、報告先の管理サーバーと通信できなくなった場合でも稼働を続け、収集したデータやイベントを監視対象コンピューターのディスクに待機させておき、 接続が復元されると、Microsoft Monitoring Agent サービスは収集したデータとイベントをManagement サーバーに送信します。
Note
- Microsoft Monitoring Agent サービスは、正常性サービスと呼ばれることもあります。
Microsoft Monitoring Agent サービスは、管理サーバーでも実行されます。 管理サーバーでは、サービスは監視ワークフローを実行し、資格情報を管理します。 ワークフローを実行するために、サービスは指定された資格情報を使用してMonitoringHost.exeプロセスを開始します。 これらのプロセスでは、イベント ログ データ、パフォーマンス カウンター データ、Windows Management Instrumentation (WMI) データを監視および収集し、スクリプトなどのアクションを実行します。
エージェントとManagement サーバー間のコミュニケーション
Operations Manager エージェントは、割り当てられたプライマリ管理サーバーにアラートと検出データを送信し、そのデータをオペレーション データベースに書き込みます。 また、エージェントのイベント、パフォーマンス、状態に関するデータもエージェントからプライマリ管理サーバーに送信され、プライマリ管理サーバーがそれらのデータをオペレーション データベースとデータ ウェアハウス データベースに同時に書き込みます。
エージェントは、各ルールとモニターのスケジュール パラメーターに従ってデータを送信します。 最適化された収集ルールでは、カウンターのサンプルと前のサンプルとの差が、指定された許容範囲 (10% など) に達した場合にのみ、データが転送されます。 これにより、ネットワーク トラフィック、およびオペレーション データベースに保存されるデータの量を削減できます。
また、すべてのエージェントは、 ハートビートと呼ばれるデータのパケットを管理サーバーに送信します。既定では、60 秒置きに送信します。 このハートビートは、エージェントの可用性、およびエージェントと管理サーバー間の通信をチェックするためのものです。 ハートビートの詳細については、「 Operations Manager のハートビートのしくみ」を参照してください。
Operations Manager は、リモート ヘルス サービスの状態を監視サーバーの視点から監視する ヘルス サービス ウォッチャーをエージェントごとに実行します。 エージェントは、TCP ポート 5723 経由で管理サーバーと通信します。
Linux/UNIX エージェント
UNIX および Linux エージェントのアーキテクチャは、Windows エージェントとは大きく異なります。 Windows エージェントには、監視対象コンピュータの正常性の評価を担当するヘルス サービスがあります。 UNIX および Linux エージェントはヘルス サービスを実行しません。代わりに、評価する管理サーバー上のヘルス サービスに情報を渡します。 管理サーバーは、すべてのワークフローを実行して、UNIX および Linux 管理パックの実装で定義されているオペレーティング システムの正常性を監視します。
- ディスク
- プロセッサ
- メモリ
- ネットワーク アダプター
- オペレーティング システム
- 処理
- ログ ファイル
Operations Manager 用の UNIX および Linux エージェントは、CIM オブジェクト マネージャー (CIM サーバー) と CIM プロバイダーのセットで構成されます。 CIM オブジェクト マネージャーは、WS-Management 通信、認証、承認およびプロバイダーへの要求のディスパッチを実装する "サーバー" コンポーネントです。 プロバイダーは、エージェント内の CIM 実装の鍵であり、CIM クラスとプロパティを定義し、生データを取得するためのカーネル API とやり取りし、データの書式設定 (差分や平均の計算など) を行い、CIM オブジェクト マネージャーからディスパッチされた要求にサービスを提供します。 System Center Operations Manager 2007 R2 から System Center 2012 SP1 まで、Operations Manager UNIX および Linux エージェントで使用される CIM オブジェクト マネージャーは OpenPegasus サーバーです。 監視データの収集とレポートに使用されるプロバイダーは、Microsoft によって開発され、CodePlex.com でオープンソース化されています。
これは System Center 2012 R2 Operations Manager で変更されました。UNIX および Linux エージェントは、CIM オブジェクト マネージャーとしての Open Management Infrastructure (OMI) の完全に一貫した実装に基づいています。 Operations Manager UNIX/Linux エージェントの場合、OMI は OpenPegasus を置き換えます。 OpenPegasus と同様に、OMI はオープンソースで軽量でポータブルな CIM オブジェクト マネージャー実装ですが、軽量で、OpenPegasus よりも軽量でポータブルです。 この実装は、System Center 2016 - Operations Manager 以降で引き続き適用されます。
管理サーバーと UNIX および Linux エージェント間の通信は、エージェントのメンテナンスと正常性の監視という 2 つのカテゴリに分かれています。 管理サーバーは、次の 2 つのプロトコルを使用して UNIX または Linux コンピューターと通信します。
Secure Shell (SSH) と Secure Shell ファイル転送プロトコル (SFTP)
エージェントのインストール、アップグレード、削除などのエージェント メンテナンス タスクに使用されます。
Web Services for Management (WS-Management)
すべての監視操作に使用され、インストール済みのエージェントの検出も含みます。
Operations Manager 管理サーバーと UNIX および Linux エージェント間の通信では、HTTPS 経由の WS-Man と WinRM インターフェイスが使用されます。 すべてのエージェント メンテナンス タスクは、ポート 22 で SSH 経由で実行されます。 すべての正常性監視は、ポート 1270 で WS-MAN 経由で実行されます。 管理サーバーは、正常性状態を提供するためにデータを評価する前に、WS-MAN を介してパフォーマンスと構成データを要求します。 エージェント メンテナンス、モニター、ルール、タスク、および復元などのすべての操作は、特権のないアカウントまたは特権付きアカウントに対する要件に従って定義済みのプロファイルを使用するように構成されます。
Note
この記事で参照されているすべての資格情報は、Operations Manager のインストール中に構成された Operations Manager アカウントではなく、UNIX または Linux コンピューターで確立されたアカウントに関連します。 資格情報および認証情報についてはシステム管理者に問い合わせてください。
UNIX および Linux システム System Center 2016 - Operations Manager 以降の数で新しいスケーラビリティの向上をサポートするために、管理サーバーごとに監視できるように、既定で使用されている WSMAN Sync API ではなく、新しい Async Windows 管理インフラストラクチャ (MI) API を使用できます。 この変更を有効にするには、Operations Manager が Linux/Unix システムを監視する管理サーバーで新しい Async MI API を使用できるようにするには、新しいレジストリ キー UseMIAPI を作成する必要があります。
- 管理者特権のコマンド プロンプトから Registry エディター を開きます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Setup
の下UseMIAPIレジストリ キーを作成します。
WSMAN 同期 API を使用して元の構成を復元する必要がある場合は、 UseMIAPI レジストリ キーを削除できます。
エージェント セキュリティ
UNIX/Linux コンピュータでの認証
Operations Manager では、システム管理者は UNIX または Linux コンピューターのルート パスワードを管理サーバーに提供する必要がなくなりました。 昇格によって、特権のないアカウントが、UNIX または Linux コンピューターの特権のあるアカウントの ID を使用できます。 昇格プロセスは、管理サーバーが提供する資格情報を使用する UNIX su (スーパー ユーザー) および sudo プログラムにより実行されます。 SSH を使用する特権のあるエージェントのメンテナンス操作 (検出、展開、アップグレード、アンインストール、およびエージェントの復元など) については、su のサポート、sudo による昇格、および SSH キー認証 (パス フレーズあり、またはパスフレーズなし) のサポートが提供されます。 特権のある WS-Management 操作 (セキュア ログ ファイルの表示など) については、sudo による昇格 (パスワードなし) のサポートが追加されます。
資格情報の指定とアカウントの構成の詳細な手順については、「 UNIX および Linux コンピューターにアクセスするための資格情報を設定する方法を参照してください。
ゲートウェイ サーバーでの認証
ゲートウェイ サーバーは、管理グループの Kerberos 信頼境界外にあるコンピューターのエージェント管理を有効にするために使用されます。 ゲートウェイ サーバーは、管理グループが存在するドメインによって信頼されていないドメインに存在するため、証明書を使用して各コンピューターの ID、エージェント、ゲートウェイ サーバー、および管理サーバーを確立する必要があります。 これは、Operations Manager の相互認証に必要です。
そのためには、ゲートウェイ サーバーに報告する各エージェントの証明書を要求し、インストール メディア SupportTools\ (amd64 または x86) ディレクトリにある MOMCertImport.exe ツールを使用して、それらの証明書をターゲット コンピューターにインポートする必要があります。 証明機関 (CA) へのアクセス権が必要です。これは VeriSign などのパブリック CA でも、Microsoft Certificate Services を使用することもできます。
エージェントの展開
System Center Operations Manager エージェントは、次の 3 つの方法のいずれかを使用してインストールできます。 多くの場合は、これらのメソッドを必要に応じて組み合わせて使用し、さまざまなコンピューターをインストールします。
Note
- MMA は、Operations Manager Management サーバー、ゲートウェイ サーバー、オペレーション コンソール、オペレーション データベース、Web コンソール、System Center Essentials、または System Center Service Manager がインストールされているコンピューターにはインストールできません。これらには、ビルトインバージョンの MMA が既にインストールされているためです。
- 使用できるのは、MMA または Log Analytics エージェント (VM 拡張機能バージョン) だけです。
- オペレーション コンソールからの 1 つ以上のエージェントの検出とインストール。 これはインストールの最も一般的なフォームです。 Management サーバーは RPC を使用してコンピューターを接続でき、Management サーバーアクション アカウントまたはその他の指定された資格証明は、ターゲット コンピューターへの管理アクセス権を持っている必要があります。
- インストール イメージ対象。 これは、他のコンピューターの準備に使用される基本イメージへの手動インストールです。 この場合、Active Directory 統合を使用して、初回起動時にコンピューターをManagement サーバーに自動的に割り当てることができます。
- 手動インストール。 エージェントを他のいずれかの方法でインストールできない場合 (ファイアウォールが原因でリモート プロシージャ コール (RPC) が使用できない場合など) は、この方法を使用します。 セットアップはエージェントで手動で実行するか、既存のソフトウェア配布ツールを使用して展開します。
検出ウィザードを使用してインストールしたエージェントは、オペレーション コンソールで管理できます。たとえば、エージェントのバージョンの更新、パッチの適用、エージェントの報告先の Management サーバーの構成などを行うことができます。
エージェントを手動でインストールした場合は、エージェントの更新も手動で行う必要があります。 エージェントの管理グループへの割り当てには、Active Directory 統合を使用できます。 詳細については、「Active Directory と Operations Manager の統合」を参照してください。
Windows および UNIX および LINUX システムへのエージェントの展開の詳細を確認するには、必要なタブを選択します:
Windows システムを検出するには、TCP 135 (RPC)、RPC 範囲、および TCP 445 (SMB) ポートが開いたままであり、エージェント コンピューターで SMB サービスが有効になっている必要があります。
- ターゲット デバイスを検出したら、それに対してエージェントを展開できます。 エージェントのインストールには次のものが必要です。
- エンドポイント マッパー TCP 135 とサーバー メッセージ ブロック (SMB) ポート TCP/UDP 445 で始まる RPC ポートを開きます。
- Microsoft ネットワークのファイルとプリンターの共有を有効にし、Microsoft Networks サービス用のクライアントを有効にします。 (これにより、SMB ポートがアクティブになります)。
- 有効にした場合、[リモート管理の例外を許可する] と [ファイルとプリンターの共有例外を許可する] の Windows ファイアウォール グループ ポリシー設定は、[エージェントのプライマリおよびセカンダリ管理サーバーの IP アドレスとサブネットへの要求されていない受信メッセージを許可する] に設定する必要があります。
- ターゲット コンピューターでローカル管理者の権限があるアカウント。
- Windows Installer 3.1。 インストールするには、Microsoft サポート技術情報https://go.microsoft.com/fwlink/?LinkId=86322の記事893803を参照してください
- \msxml サブディレクトリ内の Operations Manager 製品インストール メディア上の Microsoft Core XML Services (MSXML) 6。 プッシュ エージェントのインストールでは、ターゲット デバイスに MSXML 6 がまだインストールされていない場合にインストールされます。
Active Directory エージェントの割り当て
System Center Operations Manager を使用すると、Active Directory ドメイン Services (AD DS) への投資を利用できます。これを使用して、エージェントで管理されたコンピューターを管理グループに割り当てることができます。 この機能は、サーバー展開ビルド プロセスの一部としてデプロイされたエージェントで一般的に使用されます。 コンピューターが初めてオンラインになると、Operations Manager エージェントは、プライマリ管理サーバーとフェールオーバー管理サーバーの割り当てについて Active Directory に対してクエリを実行し、コンピューターの監視を自動的に開始します。
AD DS を使用して管理グループにコンピューターを割り当てるには、次の手順を実行します。
- AD DS ドメインの機能レベルは、Windows 2008 ネイティブ以上である必要があります
- エージェントで管理されるコンピューターとすべての管理サーバーは、同じドメインまたは双方向の信頼されたドメインに存在する必要があります。
Note
ドメイン コントローラーにインストールされていることを確認するエージェントは、Active Directory に構成情報のクエリを実行しません。 これはセキュリティ上の理由によるものです。 Active Directory 統合は、エージェントがローカル システム アカウントで実行されるため、ドメイン コントローラーでは既定で無効になっています。 ドメイン コントローラーのローカル システム アカウントにはドメイン管理者権限があります。そのため、ドメイン コントローラーのセキュリティ グループ メンバーシップに関係なく、Active Directory に登録されているすべての管理サーバー サービス接続ポイントが検出されます。 その結果、エージェントはすべての管理グループ内のすべての管理サーバーに接続しようとします。 結果は予測できない可能性があるため、セキュリティ リスクが発生します。
エージェントの割り当ては、サービス接続ポイント (SCP) を使用して行われます。これは、クライアント アプリケーションがサービスへのバインドに使用できる情報を発行するための Active Directory オブジェクトです。 これは、 MOMADAdmin.exe コマンドライン ツールを実行するドメイン管理者が作成し、管理するコンピューターのドメインに Operations Manager 管理グループの AD DS コンテナーを作成します。 MOMADAdmin.exeの実行時に指定された AD DS セキュリティ グループには、コンテナーに対する読み取りと削除の子アクセス許可が付与されます。 SCP には、サーバーの FQDN とポート番号など、管理サーバーへの接続情報が含まれます。 Operations Manager エージェントは、SCP に対してクエリを実行することで、管理サーバーを自動的に検出できます。 継承は無効ではなく、エージェントは AD に登録されている統合情報を読み取ることができるため、Everyone グループの継承を強制的に Active Directory のルート レベルですべてのオブジェクトを読み取ると、AD 統合機能に重大な影響を与え、本質的に中断します。 Everyone グループに読み取りアクセス許可を与えることでディレクトリ全体に継承を明示的に強制する場合、上位の AD 統合コンテナー (OperationsManager) とすべての子オブジェクトでこの継承をブロックする必要があります。 これを行わないと、AD 統合は設計どおりに機能せず、デプロイされたエージェントに対して信頼性の高い一貫性のあるプライマリとフェールオーバーの割り当てが行われません。 さらに、複数の管理グループがある場合は、両方の管理グループ内のすべてのエージェントもマルチホームになります。
この機能は、分散管理グループの展開でエージェントの割り当てを制御する場合に適しており、通常の操作中にエージェントのフェールオーバーを防ぐために、ウォーム スタンバイ構成のセカンダリ データ センター内のリソース プールまたは管理サーバー専用の管理サーバーにエージェントがレポートされないようにします。
エージェントの割り当ての構成は、エージェントの割り当ておよびフェールオーバー ウィザードを使用して Operations Manager 管理者によって管理され、コンピューターをプライマリ管理サーバーとセカンダリ管理サーバーに割り当てます。
Note
Active Directory 統合は、オペレーション コンソールからインストールされたエージェントに対しては無効にされています。 Active Directory 統合は、既定では MOMAgent.msi を使用して手動でインストールされたエージェントに対して有効にされます。
次のステップ
オペレーション コンソールから Windows エージェントをインストールする方法については、「検出ウィザードを使用して Windows にエージェントをインストールする」を参照するかコマンド ラインからエージェントをインストールする方法については、「MOMAgent.msiを使用して Windows エージェントを手動でインストールするを参照してください。
オペレーション コンソールから Linux と UNIX をインストールする方法については、「 検出ウィザードを使用して UNIX および Linux にエージェントをインストールする」を参照してください。
Active Directory でコンテナーを作成し、エージェントのフェールオーバー割り当てを構成し、構成を管理する方法については、「 エージェントの割り当てに Active Directory 統合を構成して使用する方法を確認します。