вторник, 14 января 2014 г.

How to Integrate Operations Manager with VMM 2008 R2

Самое простое, что я мог бы предпринять, чтобы изменить мир к лучшему  -  это написать еще одну статью про интеграцию SCOM c VMM. А что если инфраструктура AD не совсем типична? И если у заказчика  имеется несколько лесов Active Directory. Какие сложности нас могут ожидать?

Рассматриваем схему, где используются два леса AD уже соединенные двусторонними доверительными отношениями.


Forest1.local - лес с пользователями, компьютерами, объектами мониторинга
Forest2.local - лес ресурсов, лес виртуализации
SCOM-1 - domain controller, SCOM Root Managenent Server
VMM-1 - domain controller, VMM Server

Все это собиралось на тестовом стенде, с целью исследовать интеграцию продуктов SCOM и VMM в разных лесах Active Directory.



Для успешного завершения процедуры интеграции продуктов, необходимо подготовиться:
  1. Установить двусторонние доверительные отношения между  лесами (Two-way Forest Trust) Create a two-way, forest trust for both sides of the trust
  2. Иметь под рукой дистрибутивы System Center:
  • System Center Operations Manager 2007 R2
  • System Center Virtual Machine Manager 2008 R2 SP1
     3.  Скачать пакеты управления (Management Packs)
Приступая к интеграции VMM и OM, я руководствуюсь статьей http://technet.microsoft.com/en-us/library/ee236428.aspx и выполняю проверку требований установки VMM:
  • Версии SCOM 2007 R2 и VMM 2008 R2 в моем случае являются совместимыми продуктами
  • VMM Сервер и подчиненные Hyper-V хосты и виртуальные машины должны быть под наблюдением SCOM в составе единой  группы управления  management group        
  • Домен Active Directory, в котором располагается Operation Manager, должен иметь двунаправленные доверительные отношения с доменом, в котором располагается сервис VMM    
  • Служба OpsMgrSDK  Service должна регистрировать атрибут SPN (Service principle Name) в Active Directory.

 Давайте приступим! 
  1. Подготовка учетных записей в двух лесах Active Directory
  2. Подготовка Virtual Machine Manager Server
  3. Подготовка Operations Manager RMS
  4. Финальный этап
1.  Подготовка учетных записей 

В лесу Forest1.local Active Directory  создаем  учетную запись, если этого не сделано ранее scom-sdk-account@forest1.local
На сервере SCOM-1 подсовываем  службе System Center Data Access (OMSDK) доменный аккаунт, если этого не было сделано ранее. Руководствуемся документом KB936220 



Также настраиваем также службу  System Center Management Configuration (OMCFG) на работу от domain account.


Необходимо пояснить что, если основная служба сервера SCOM-1 OpsMgrSDK  работает не от Local System, а от непривелегированного Domain User Account, то вам необходимо вручную зарегистрировать SPN для корневого сервера управления SCOM-1 (Root Management Server) и выдать полномочия учетной записи читать и изменять атрибут SPN. Регистрация SPN для RMS выполняется по шаблону:

SetSPN.exe –A MSOMSdkSvc/<RootManagementServerFQDN>  <domain>\<SDKServiceAccount>
SetSPN.exe –A MSOMSdkSvc/<RootManagementServerNetBIOS>  <domain>\<SDKServiceAccount>

В лесу Forest1.local проверяем учетную запись для OpsMgrSDK  Service

SetSPN.exe –A MSOMSdkSvc/scom-1.forest1.local  forest1.local\scom-sdk-account
SetSPN.exe –A MSOMSdkSvc/scom-1  forest1.local\scom-sdk-account


В лесу Forest1.local выполняем следующую инструкцию

To grant the SDK service account permission to read and write the SPNs

  1. On the domain controller, open ADSIEdit.msc.
  2. Navigate to the service account for the SDK service. For Operations Manager 2007 SP1, the service name is SDK Service; for Operations Manager 2007 R2, the service name is System Center Data Access. Right-click the service account, and click Properties.
    • On an Operations Manager 2007 SP1 server, update the service account for the OpsMgr SDK service.
    • On an Operations Manager 2007 R2 server, update the service account for the System Center Data Access service.
  3. On the Security tab, click Advanced, click Add, type SELF, and then click OK.
  4. On the Properties tab, in the Apply Onto list, select This object only.
  5. In the properties list, scroll to Read servicePrincipleName and Write servicePrincipleName, and select Allow for each of them.
  6. After saving the new permissions, restart the Operations Manager SDK service on the root management server. In Operations Manager 2007 SP1, the service name is OpsMgr SDK Service; in Operations Manager 2007 R2, the service name is System Center Data Access Service.
Не забываем сделать рестарт службы OpsMgrSDK Service. 
Далее в ресурсном лесу Forest2.local проверяем SPN

SetSPN.exe –L forest1.local\scom-sdk-account


В лесу Forest2.local создаем уч. запись vmm-service-account@forest2.local
В лесу Forest1.local создаём Domain Local группу "VMM Administrators" В нее добавляем члена forest2.local\vmm-service-account

2.   Подготовка VMM сервера
  1. Устанавливаем VMM консоль на сервер VMM, если этого не было сделано ранее.
  2. Устанавливаем Operations Manager Console на сервер VMM.
На сервере VMM –> VMM Console –> Administration –> User Roles добавляем Default action account для следующих компонентов:
Root Management Servers
Other Management Servers
OpMgr Agent на VMM сервере

Но!
Для вышеуказанных записей у меня был использован local system account в составе ОС, поэтому важное указание - надо добавить  в  профиль User Role for Administrators VMM севера, учетную запись компьютера FOREST1\SCOM-1$


Основная служба VMM (VMM Service) должна работать от учетной записи которую мы сделали ранее - Forest2\vmm-service-account и мы ее уже добавили в Domail Local группу FOREST1\VMM Administrators. Эта группа необходима нам назначения прав на сервер RMS в следующем шаге.

3.   Подготовка Operations Manager RMS
            Заходим на RMS в роли Operations Manager Admnistrator и добавляем группу  FOREST1\VMM Administrators  в роль Operations Manager Administrators. http://technet.microsoft.com/en-us/library/ee236489.aspx
Раздел SCOM  Console –> Administration –> Security –> Roles –> Operations Manager Administrators


Далее делаем импорт необходимых пакетов управления (Management Packs) для интеграции сервисов OM Console -> Administration -> Management Packs -> Import Management Packs


У меня MP IIS 7 попросил дополнительно необходимый компонент  Microsoft.Windows.Server.2008.Discovery за которым тянется Microsoft.Windows.Server.Library из состава MP Windows Server Operating System

И Стоп!
Далее в статье http://technet.microsoft.com/en-us/library/ee236428.aspx как бы следует запустить мастер установки VMM на сервере RMS. Но этот случай применим при работе SCOM и VMM в одном домене! Если SCOM и VMM находятся в разных лесах, то следует получить инструкции тут http://technet.microsoft.com/en-us/library/ee236494.aspx и интегрировать  пакеты управления для VMM таким же ручным способом:
  • Устанавливаем VMM консоль на RMS
  • Выполняем импорт VMM 2008R2 MP с оригинального дистрибутива VMM из каталога amd64\VirtualizationMP

 После этого включаем  политику скриптом Powershell в соcтояние – remoteSigned http://technet.microsoft.com/en-us/library/dd347628.aspx
C:\PS>set-executionpolicy remotesigned

Description
-----------
This command sets the user preference for the shell execution policy to RemoteSigned.


Если SCOM состоит из набора распределенных Management Severs, то на всех последующих серверах управления также следует установить VMM консоль и установить  политику скриптом Powershell в состояние – remoteSigned. Напрашивается групповая политика для настроек Powershell. 

Далее почти, финальный этап.  Я бы посоветовал перезагрузить серверы VMM и SCOM RMS и еще раз убедиться, что службы OpsSDK и VMM Servive account работают от  доменных учетных записях.

4.   Финальный этап

Указываем размещение служб в сервере VMM VMM Console Administration System Center Operation Manager Server, используя FQDN: SCOM-1.FOREST1.local

Проверяем!
Ура! Ура! Ура!
Как это видно из скриншота, теперь можно включить PRO Tips!  Интеграция завершена!

Автор: на
Ярлыки: , , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)