Operations Manager

News, Ressources, Articles, Whitepapers...
Welcome to Operations Manager Sign in | Join | Help
Search
Home Blogs

Composants d'architecture Operations Manager 2007 R2

Microsoft System Center Operations Manager 2007 R2 est basé sur une architecture distribuée. Les différents composants sont répartis sur un ou plusieurs serveurs pour correspondre aux besoins de disponibilité et de montée en charge. 

 

La Base de données Operations Manager (OpsMgr DB)

Cette base de données contient les données opérationnelles ainsi que les informations de configuration.
La base de données Operations Manager est le premier composant installé au sein d’un groupe d’administration. Cette base de données contient les éléments de configuration du groupe ainsi que toutes les données d’opérations collectées par les agents sur les ordinateurs managés.

Elle doit être hébergée dans une instance Microsoft SQL Server 2005 SP1 ou supérieur ou Microsoft SQL Server 2008 SP1.

Les performances de System Center Operations Manager 2007 sont dépendant des performances de l’accès à cette base de données. Il est recommandé que cette dernière soit d’une taille d’environ 60 Go. Pour y parvenir, un processus de nettoyage des données obsolètes est exécuté automatiquement.

Il ne peut y avoir qu’une seule base de données d’opérations par groupe d’administration. Ainsi pour augmenter sa disponibilité il est possible de l’héberger sur un cluster MSCS ou Failover Clustering. En complément, il est possible d’utiliser les technologies de type Log shipping afin de dupliquer cette base sur un autre serveur SQL.

Serveur d'administration racine - Root Management Server (RMS) 

Le serveur d’administration racine agit comme les autres serveurs d’administration, mais possède en plus un rôle de gestion des accès depuis les consoles et il gère les informations de configuration du groupe d’administration.

Le serveur d’administration racine est un rôle unique attribué au premier serveur d’administration installé dans le groupe d’administration, à l’image d’un serveur d’administration (MS) classique il communique avec les agents et les bases de données, cependant il effectue les opérations supplémentaires suivantes :

  • Cible des consoles d’administration/ Powershell /Web (préféré)
  • Gestion des accès/Autorisation utilisateurs et Notifications.
  • Point central de la configuration du groupe d’administration et de l’expédition des informations de configuration/administration des agents
  • Communication avec les bases de données Opérationnelles et de Reporting pour vérification de leurs intégrités.
  • Importation des packs d’administration et synchronisation des rapports dans la base de reporting.
  • Il exécute les services System Center Data Access et System Center Management Configuration. Ils ne sont démarrés que sur le RMS.

Le service System Center Data Access est responsable de la communication avec les différentes consoles d’administration.

Le service System Center Management Configuration est responsable du paramétrage de la configuration de tous les agents ainsi de l’attribution de leurs packs d’administration (règle…). Ainsi que de la configuration globale du groupe d’administration.

Afin d’accroitre sa disponibilité, il est possible de l’héberger sur un cluster MSCS ou Failover Clustering. En complément, il est possible d’attribuer manuellement ce rôle à un serveur d’administration existant au sein du même groupe d’administration.

Serveur d'administration - Management Server (MS) 

Les serveurs d’administration reçoivent les informations collectées par les agents.
Si un changement a lieu sur une règle de traitement qui s’applique à l’agent d’une machine de la liste des machines gérées, le Management Server s’assure que la dernière version des règles de traitement est déployée sur les agents. Il envoie ces règles de traitement lors du déploiement des agents et chaque fois que la configuration de supervision est modifiée.

Tout serveur d’administration installé dans un groupe d’administration existant devient un MS et non RMS puisque ce rôle unique est attribué au premier MS installé. Cependant, il peut être à tout moment promu manuellement en RMS si nécessaire.

Enfin, il écrit les données de supervision dans les bases de données OpsMgr DB et DW.

En complément, il peut héberger le service collecteur ACS et devenir partage de fichier AEM.

Serveur collecteur - ACS Collector Server- Audit Collection Services (ACS) 

Ce service collecte les évènements de sécurité de tous les agents dont la fonction ACS est activée.

Ce service installé sur un serveur d’administration ou passerelle collecte, filtre et prétraite en temps réel et de manière sécurisée (chiffré) les évènements de sécurité (stocké dans le journal de sécurité) de tous les agents dont la fonction ACS est activée (appelé forwarder).

Le stockage est effectué dans une DB indépendante.

Ce mécanisme de filtrage vous permet de spécifier quel événement vous souhaitez insérer dans la DB et pour combien de temps.

Un composant supplémentaire dénommé ACS Reporting permet de générer des rapports. Il fait un tri des données contenues dans la base de données ACS associée.

La clé du bon fonctionnement de la solution est de planifier et d’implémenter en parallèle une stratégie d’audit équilibrée.

ACS Forwarder 

Service installé en même temps que l’agent sur les ordinateurs managés.
Ce service nommé Operations Manager Audit Forwarder Service et désactivé par défaut. Il est activable via une tâche de la console Opérateur. Il envoie les événements de sécurité au collecteur ACS.

Base de données Audit

Cette base hautement optimisée est dédiée à la centralisation les journaux de sécurité de toutes les machines ayant le service « ACS Forwarder » d’activé.

Cette base hautement optimisée permet de centraliser les événements de sécurité insérée par le collecteur ACS.  Il existe une relation « one to one » entre ces derniers, en effet un collecteur ne peut communiquer qu’avec une seule base d’audit et vice versa ! Durée de rétention de 14jours par défaut. Cependant pour créer plusieurs bases d’audit sur le même serveur SQL il suffit d’utiliser des instances SQL nommées supplémentaires.

Agenteless Exception Monitoring (AEM)

Comme son nom l’indique, cette fonctionnalité permet de superviser des ordinateurs sans la nécessité d’installer un agent. Son fonctionnement repose sur l’utilisation d’une stratégie de groupe (GPO) agissant sur la configuration du service Watson ou Windows Errors Reporting (WER) utilisé pour la collecte d’information de crash d’application/système, etc. Au lieu d’envoyer ces informations à Microsoft (watson.microsoft.com), ces dernières sont recueillies par un serveur d’administration. Ceci permet de connaitre les applications ayant rencontré des problèmes et de générer des rapports d’état.
Un partage local ou distant est créé pour la collecte d’informations (error, cab etc...)

Serveur passerelle -Gateway Server (GTW) 

Ce serveur permet de gérer des agents situés dans des domaines non approuvés. Il utilise un certificat pour s’authentifier auprès d’un serveur d’administration.

Il permet également d’optimiser le flux WAN en compressant des données de 50%. Il fédère également les flux de transmission des données de supervision.

Serveur de reporting - Reporting Server (RS) 

Ce serveur permet la production des rapports. La production de rapports est basée sur SQL Server 2005/2008 Reporting Services. Les rapports peuvent être visualisés depuis le l’interface web du reporting ou directement à partir de la console Operations Manager.

ACS Reporting 

Si la fonctionnalité ACS est activée il est possible d’utiliser un serveur de rapport (RS) existant ainsi il sera fusionner avec la base Operations Manager Reporting ce qui facilite l’administration de l’accès aux rapports

 

Base de données de reporting - Reporting DataWarhouse (DW) 

Cette base de données conserve les données à long terme pour alimenter les rapports. Cette base est optimisée et contient des données agrégées et résumées afin d’accélérer la production des rapports.

C’est par l’intermédiaire de cette base que sont notamment générés les rapports périodiques sur la santé de l’infrastructure, le Capacity Planning ou niveau de service (SLA).

Cette base de données peut héberger les données de plusieurs groupes d’administration.

Ordinateur managé avec / ou sans Agent - Agentless

Basés sur les règles définies par les administrateurs au niveau d’une console centrale, les agents Microsoft System Center Operations Manager 2007 R2 fournissent un haut degré d’intelligence. Ces agents jouent un rôle clé dans le filtrage, l’agrégation, et la consolidation du flot d’événements de même le déclenchement des actions correctrices locales. Cette architecture minimise le trafic sur le réseau, en permettant aux données critiques de remonter librement vers les administrateurs.

Une authentification mutuelle est effectuée entre les agents et le serveur d’administration ou passerelle attitré à travers un canal de communication chiffré via Kerberos (par défaut) ou certificat !

Exécuté sous la forme de Service Windows. Nommé System Center Management.

Quand ces informations concordent avec un ensemble de critères, une alerte peut être générée. Il est possible de superviser un ordinateur sans l’installation d’agent, dans ce cas précis, ce sera l’agent local du MS qui le fera à distance.

Proxy Agent : Possibilité de superviser des périphériques réseau via SNMP v2, système non-Windows ou Windows sans installer d’agent. Un ordinateur managé à la capacité de superviser à distance une machine non managé.

Console d'opération 

La console permet d’accéder à la supervision des systèmes ainsi qu’à l’administration de System Center Operations Manager®. Cette console est basée sur des rôles afin de s’adapter au besoin de chaque profil d’opérateurs et d’administrateurs.

Elle se connecte au service System Center Data Access exécuté par le serveur d’administration racine (RMS).

Le serveur de console WEB - Web Console Server

Ce serveur permet l'accès à la supervision depuis un client Web. La console est conçue de la même façon qu'Outlook Web Access et permet l'accès à l'ensemble des fonctions de supervision.

Console Web - Web Console Browser

Fournit une interface d'opération complète par l'intermédiaire d'un navigateur. (tache, alerte et action). Utilise les mêmes restrictions que la console MMC.

Powershell 

Outils d'administration en ligne de commande.  Facilite la création de script/travaux rébarbatifs. 203 command-lets prédéfinis

 

Management Pack (MP) 

La connaissance des environnements est apportée par des modules (Pack d'administration) spécifiques. Grâce à eux, l'expertise des applications est intégrée au système de supervision. Microsoft fournit gratuitement les packs d'administration pour superviser ses produits serveurs (Windows, DNS, Active Directory, Exchange, SQL Server, ...). Les Packs d'administration apportent la connaissance de l'éditeur des informations à surveiller :

  • Les sources d'information pour les applications. (matériels, compteurs de performances, événements, WMI, Logs, SNMP, utilisateurs, etc.),
  • Les seuils pour les compteurs spécifiques des applications,
  • Les actions correctrices pour la remise en état en cas de problèmes,
  • La gestion des Notifications des opérateurs en fonction de critères multiples,
  • Les accès à la base de connaissance de Microsoft,
  • Une intégration avec d'autres systèmes de supervision,
  • Des formats spécifiques ou d'aide à la création de rapport.
  • Définition de santé d'une application/service créé par les équipes de développement.

 

Rôles

L'accès aux différentes consoles et les actions sur les entités sont contrôlées par un système de rôle.

Un rôle est définit par deux éléments :

  • Un profil: définit le périmètre et le degré d'action accordé à un utilisateur/groupe.
  • Une étendue: permet de définir les limites d'exécution du profil associé, quel sont les objets (tâches, groupes, entité et vues) accessibles et visualisable

Par défaut il existe les six profils suivant :

  • Administrator: Possède le contrôle total sur l'infrastructure System Center Operation Manager
  • Author: contrôle total sur les éléments de supervision comme les règles, tâches, moniteurs et vues
  • Advanced Operator: modification limité de la configuration de supervision (uniquement faire des overrides sur les règles et moniteurs)
  • Operator: Accès a la partie supervision comme les alertes, vues et tâches
  • Read-only Operator: lecture seul des alertes et vues
  • Report Operator: Accès au rapport

Par défaut il existe autant de rôles prédéfini s'appuyant sur ces profils complété par une étendue « globales » (vue de la totalité des entités découvertes).

En complément vous pouvez créer vos propre rôles basé sur les profiles Advanced Operator, Operator, Read only Operator et  Author. Ainsi il vous reste plus qu'a définir l'étendu associé a ce profil pour créer votre rôle.

Nicolas MILBRAND
Powered by Community Server (Non-Commercial Edition), by Telligent Systems