download.microsoft.comdownload.microsoft.com/.../OM2007R2_SecurityGuide.docx · Web viewУчетную запись SDK и службы настройки можно настроить

руководстве по безопасности Operations Manager 2007 R2Корпорация Майкрософт

Опубликовано: май 2009 г.

АвторДжон Даунинг (John Downing)

Главные рецензентыЯн Жирка (Ian Jirka), Джозеф Чан (Joseph Chan), Линкольн Аткинсон (Lincoln Atkinson), Олоф Мазес (Olof Mases), Руйих Махалати (Ruhiyyih Mahalati), Смита Махалати (Smita Mahalati) и Тим Хелтон (Tim Helton)

Дополнительные рецензентыЕвгений Быков (Eugene Bykov), Клайв Иствуд (Clive Eastwood), Даг Брэдли (Doug Bradley), Якуб Олекси (Jakub Oleksy), Ранга Калиасундарам (Ranga Kalyanasundaram) и Виталий Филимонов (Vitaly Filimonov)

ОтзывыПредложения и комментарии по данному документу можно направить по адресу [email protected]. Включите имя руководства по безопасности и дату публикации в отзыв.

mailto:[email protected]?subject=Security%20Guide%20published%20May,%202009

В настоящем документе представлена точка зрения корпорации Майкрософт по обсуждаемым вопросам на момент публикации. Поскольку корпорация Майкрософт должна реагировать на меняющиеся условия рынка, эта информация не может считаться обязательством со стороны корпорации Майкрософт и корпорация Майкрософт не может гарантировать точность информации, представленной здесь, после даты публикации.

Этот документ предоставляется только для информационных целей. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ (ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДУСМОТРЕННЫХ ЗАКОНОДАТЕЛЬСТВОМ) В ОТНОШЕНИИ ИНФОРМАЦИИ, ПРЕДСТАВЛЕННОЙ В ДАННОМ ДОКУМЕНТЕ.

Соблюдение всех применимых законов об авторских правах является обязанностью пользователя. Воспроизведение, сохранение или введение в любую систему поиска какой-либо части данного документа, а также его передача в любой форме, с любой целью и с помощью любых средств (электронных, механических, фотокопирования, записи или иных других) без письменного разрешения корпорации Майкрософт является нарушением авторских прав.

Корпорация Майкрософт может обладать патентами, заявками на патенты, товарными знаками, авторскими правами или другими средствами зашиты прав на интеллектуальную собственность, относящимися к предметам и темам, описанным в данном документе. Получение данного документа не предоставляет лицензию на вышеуказанные патенты, товарные знаки, авторские права или другие права на интеллектуальную собственность, за исключением случаев, когда это явно оговорено в письменном лицензионном соглашении, выданном корпорацией Майкрософт.

Если не указано иное, представленные в примерах компании, организации, изделия, имена доменов, адреса электронной почты, эмблемы, люди, места и события являются вымышленными. Возможное сходство с реально существующими организациями, предприятиями, изделиями, именами доменов, адресами электронной почты, эмблемами, лицами и событиями следует рассматривать как случайное.

© Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

Microsoft, Active Directory, ActiveSync, Internet Explorer, Jscript, SharePoint, SQL Server, Visio, Visual Basic, Visual Studio, Win32, Windows, Windows PowerShell, Windows Server и Windows Vista являются товарными знаками группы компаний Майкрософт.

Все прочие товарные знаки являются собственностью соответствующих владельцев.

История редакций

Дата выпуска Изменения

май 2009 г. Выпуск руководства для Operations Manager 2007 R2 содержит следующие обновления и

Дата выпуска Изменения

дополнения:

Добавлена информация о развертывании агентов в системах UNIX и Linux.

Добавлены значения хэша для агентов UNIX и Linux.

СодержаниеБезопасность Operations Manager 2007 R2.................................................................................7

О руководстве по безопасности Operations Manager 2007.....................................................7Новые возможности системы безопасности Operations Manager 2007.................................8Сведения об учетных записях Operations Manager 2007........................................................9

Изменение пароля учетной записи пула приложений IIS ReportServer для Operations Manager 2007..................................................................................................................... 14

Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager 2007..................................................................................................................... 14

Изменение учетных записей SDK и службы настройки в Operations Manager 2007.......15Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в

Operations Manager 2007..................................................................................................16Настройка учетной записи действия на нескольких компьютерах в Operations Manager

2007.................................................................................................................................... 17Безопасность на основе ролей в Operations Manager 2007..................................................19Профили и учетные записи запуска от имени в Operations Manager 2007..........................23

Создание учетной записи запуска от имени в Operations Manager 2007.........................30Создание и настройка профиля запуска от имени в Operations Manager 2007...............32Изменение профиля запуска от имени...............................................................................35

Проверка подлинности и шифрование данных для компьютеров Windows в Operations Manager 2007........................................................................................................................36Настройка консоли управления для использования SSL при подключении к серверу

отчетов в Operations Manager 2007..................................................................................44Получение сертификата с помощью центра сертификации предприятия Windows Server

2003 в Operations Manager 2007......................................................................................45Получение сертификата с помощью автономного центра сертификации Windows Server

2003 в Operations Manager 2007......................................................................................49Получение сертификата с помощью центра сертификации предприятия Windows Server

2008 в Operations Manager 2007......................................................................................54Получение сертификата с помощью автономного центра сертификации Windows Server

2008 в Operations Manager 2007......................................................................................59Удаление импортированных сертификатов MOMCertImport в Operations Manager 200764Изменение учетной записи запуска от имени, связанной с профилем запуска от имени

............................................................................................................................................ 65Настройка привязки HTTPS для ЦС Windows Server 2008................................................66

Проверка подлинности и шифрование в ОС UNIX и Linux...................................................67Ручная установка сертификатов для поддержки нескольких платформ..........................68

Использование брандмауэра в Operations Manager 2007....................................................69

Настройка базы данных Operations Manager на прослушивание определенного порта TCP/IP................................................................................................................................ 75

Настройка хранилища данных отчетов на прослушивание определенного порта TCP/IP............................................................................................................................................ 77

Использование сертификатов со службами ACS в Operations Manager 2007.....................80Настройка сертификатов на сборщике ACS в Operations Manager 2007.........................82Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007.........83

Вопросы безопасности, связанные с безагентным управлением в Operations Manager 2007....................................................................................................................................... 85

Безопасность веб-консоли в Operations Manager 2007.........................................................85Приложение A - список операций Operations Manager 2007.................................................86Приложение Б - значения хэша для агентов UNIX и Linux...................................................91

Безопасность Operations Manager 2007 R2

О руководстве по безопасности Operations Manager 2007В этом руководстве представлены сведения о системе безопасности Operations Manager 2007. Вопросы, рассматриваемые в этой версии руководства по безопасности, описываются в следующем разделе.

Последующие редакции этого документа см. на странице "Руководство по безопасности Operations Manager 2007" (http://go.microsoft.com/fwlink/?LinkId=64017).

В этом разделе

Сведения об учетных записях Operations Manager 2007

Здесь описываются учетные записи Operations Manager 2007, для которых нужно будет ввести учетные данные.

Безопасность на основе ролей в Operations Manager 2007

Здесь описывается реализация безопасности на основе ролей.

Профили и учетные записи запуска от имени в Operations Manager 2007

Здесь описывается использование учетных записей и профилей запуска от имени.

Проверка подлинности и шифрование данных для компьютеров Windows в Operations Manager 2007

Здесь описывается использование способы и условия шифрования данных, передаваемых между различными компонентами Operations Manager, а также получение и использование сертификатов.

Проверка подлинности и шифрование в ОС UNIX и Linux

Здесь описывается безопасное развертывание агентов на компьютерах UNIX и Linux.

Использование сертификатов со службами ACS в Operations Manager 2007

Здесь описываются ситуации, в которых необходимо использовать сертификаты для проверки подлинности между сервером пересылки и сборщиком ACS.

Вопросы безопасности, связанные с Сведения о вопросах безопасности,

7

http://go.microsoft.com/fwlink/?LinkId=64017


безагентным управлением в Operations Manager 2007

связанных с безагентным управлением в Operations Manager 2007.

Безопасность веб-консоли в Operations Manager 2007

Здесь описывается использование протокола SSL с веб-консолью Operations Manager 2007.

Приложение A - список операций Operations Manager 2007

Здесь представлены все доступные операции с разбиением по профилю.

Приложение Б - значения хэша для агентов UNIX и Linux

Здесь представлены значения хэша для агентов UNIX и Linux

Внешние ресурсыИнтерактивную версию справки см. на странице "Справка Operations Manager 2007" (http://go.microsoft.com/fwlink/?LinkID=77739).

Новые возможности системы безопасности Operations Manager 2007В следующих разделах описываются функции системы безопасности Operations Manager 2007, недоступные в Microsoft Operations Manager (MOM) 2005.

Учетные записи и профили запуска от имениВ MOM 2005 для выполнения всех правил и ответов использовались учетные данные из одной учетной записи действия, которая должна была иметь достаточные права для всех отслеживаемых приложений. В Operations Manager 2007 были добавлены учетные записи и профили запуска от имени. Несколько учетных записей запуска от имени могут обеспечивать отслеживание нескольких приложений или компонентов и позволяют создать учетные данные с наименьшим уровнем привилегий для решения поставленной задачи.

Учетные записи запуска от имени дают возможность управлять всеми паролями и учетными данными группы управления из одной точки — корневого сервера управления.

Роли пользователяОбращаться к приложению Operations Manager 2007 и управлять им можно несколькими способами: с помощью консоли управления, веб-консоли, Windows PowerShell или специализированных приложений. Во всех случаях система безопасности на основе ролей гарантирует, что введенные учетные данные относятся к роли пользователя в Operations Manager 2007.

8


Сведения об учетных записях Operations Manager 2007Во время установке и эксплуатации Operations Manager 2007 система предложит ввести учетные данные нескольких учетных записей. В начале этого раздела приводится информация об учетных записях действия. Также представлены сведения о других учетных записях, таких как учетная запись SDK и службы настройки, учетная запись установки агента, учетная запись для записи в хранилище данных и учетная запись для чтения данных.

Учетная запись действияСерверы Operations Manager 2007 с различными ролями, корневой сервер управления, сервер управления, сервер шлюза и агент используют процесс MonitoringHost.exe для операций отслеживания, например для запуска мониторов и задач. Например, когда агент подписывается на журнал событий для чтения информации о событиях, соответствующие операции выполняются процессом MonitoringHost.exe. Учетная запись, с которой выполняется MonitoringHost.exe, называется учетной записью действия. Учетная запись действия для процесса MonitoringHost.exe, запущенного на агенте, называется учетной записью действия агента. Учетная запись действия для процесса MonitoringHost.exe, запущенного на сервере управления, называется учетной записью действия сервера управления. Учетная запись действия для процесса MonitoringHost.exe, запущенного на сервере шлюза, называется учетной записью действия сервера шлюза.

Учетная запись действия агентаЕсли действие не связано с профилем запуска от имени, для его выполнения будут использоваться учетные данные, заданные для учетной записи действия. Дополнительные сведения о профиле запуска от имени см. в разделе Профили и учетные записи запуска от имени в Operations Manager 2007 этого руководства. Некоторые примеры действий перечислены ниже.

Отслеживание и сбор данных журнала событий Windows.

Отслеживание и сбор данных счетчика производительности Windows.

Отслеживание и сбор данных инструментария управления Windows (WMI).

Выполнение таких действий, как сценарии или пакеты.

MonitoringHost.exe — это процесс, который выполняет эти действия с использованием учетных данных, заданных в учетной записи действия. Для каждой учетной записи создается новый экземпляр MonitoringHost.exe.

Использование учетной записи с низким уровнем привилегийПри установке Operations Manager 2007 можно выбрать один из двух вариантов назначения учетной записи действия.

9

Локальная система

Домен или локальная учетная запись

Стандартный подход — использовать учетную доменную запись, которая позволяет выбрать пользователя с наименьшим уровнем привилегий, необходимым для среды.

На компьютерах под управлением ОС Windows Server 2003, Windows Server 2003 R2 и Windows Vista учетная запись действия по умолчанию будет иметь следующие минимальные привилегии:

член локальной группы "Пользователи",

член локальной группы "Пользователи системного монитора",

разрешение "Локальный вход в систему" (SetInteractiveLogonRight).

Важно! Это самый низкий уровень привилегий, который Operations Manager 2007 поддерживает для учетной записи действия. У других учетных записей запуска от имени могут быть привилегии более низкого уровня. Фактические привилегии, необходимые учетным записям запуска от имени, зависят от пакетов управления, запущенных на данном компьютере, и их параметров. Дополнительные сведения о необходимых привилегиях см. в руководстве по соответствующему пакету управления.

Выбирая учетные данные для учетной записи действия, учитывайте следующее.

Учетную запись с низким уровнем привилегий можно использовать только на компьютерах под управлением ОС Windows Server 2003, Windows Server 2003 R2 и Windows Vista. На компьютерах с операционной системой Windows 2000 и Windows XP учетная запись действия должна быть членом локальной группы безопасности "Администраторы" или "Локальная система".

Для агентов, используемых для отслеживания контроллеров домена, достаточно учетной записи с низким уровнем привилегий.

Для использования доменной учетной записи необходимо обновить пароль в соответствии с политиками срока действия пароля.

Остановите, а затем запустите службу управления System Center, если учетная запись с низким уровнем привилегий была настроена и добавлена в требуемые группы, когда служба управления System Center работала.

Учетная запись действия уведомленияУчетная запись действия уведомления — это учетная запись запуска от имени, созданная пользователем для настройки уведомлений. Это учетная запись действия, которая используется для создания и отправки уведомлений. Убедитесь, что у учетных данных, используемых для этой учетной записи, достаточно прав для работы с SMTP-сервером, сервером обмена мгновенными сообщениями или SIP-сервером, которые будут использоваться для отправки уведомлений.

10

Если пользователь меняет пароль учетных данных, введенных для учетной записи действия уведомления, необходимо внести аналогичные изменения для учетной записи запуска от имени.

Управление учетными данными учетной записи действияOperations Manager определит дату истечения срока действия пароля для учетной записи, выбранной пользователем, и выдаст предупреждение за 14 дней до этой даты. При изменении пароля в Active Directory можно изменить пароль учетной записи действия Operations Manager на вкладке Учетная запись страницы Свойства учетной записи запуска от имени. Дополнительные сведения об управлении учетными данными учетной записи действия см. в статье "Изменение учетных данных учетной записи действия в Operations Manager" (http://go.microsoft.com/fwlink/?LinkId=88304).

Для настройки учетной записи действия на нескольких компьютерах можно использовать сценарий Windows PowerShell set-ActionAccount.ps1. Дополнительные сведения см. в комплекте ресурсов SC Ops Mgr 2007 (http://go.microsoft.com/fwlink/?LinkId=92596). С помощью этого сценария можно настроить учетную запись действия на всех компьютерах в группе. См. раздел "Настройка учетной записи действия на нескольких компьютерах в Operations Manager 2007" руководства по безопасности.

Учетная запись SDK и службы настройкиУчетная запись SDK и службы настройки — это один набор учетных данных, который применяется службой доступа к данным System Center и службой настройки управления System Center для обновления и считывания информации в Operations Manager. Operations Manager назначает учетным данным, используемым учетной записью действия SDK и службы настройки, роль "sdk_user"в базе данных Operations Manager. Учетную запись SDK и службы настройки можно настроить как учетную запись локальной системы или доменную учетную запись. Учетная запись локального пользователя не поддерживается.

Если корневой сервер управления и база данных Operations Manager находятся на разных компьютерах, в качестве учетной записи SDK и службы настройки следует использовать доменную учетную запись. Для повышенной безопасности мы рекомендуем применять учетную запись, отличную от учетной записи действия сервера управления. Сведения об изменении этих учетных записей см. в статье базы знаний "Изменение учетных данных для учетной записи службы OpsMgr SDK и OpsMgr Config Service в Microsoft System Center Operations Manager 2007" (http://go.microsoft.com/fwlink/?LinkId=112435).

Учетная запись установки агентаПри развертывании агентов с помощью мастера обнаружения запрашивается учетная запись с правами администратора. Эта учетная запись используется для установки агента на компьютере, это значит, что она должна иметь права локального администратора на всех компьютерах, на которых развертываются агенты. Учетная запись действия сервера управления является учетной записью установки агента по умолчанию. Если учетная

11







запись действия сервера управления не имеет прав администратора, выберите Другая учетная запись пользователя и укажите учетную запись с правами администратора. Эта учетная запись перед использованием шифруется, а затем удаляется.

Учетная запись для записи в хранилище данныхУчетная запись для записи в хранилище данных выполняет запись данных из корневого сервера управления или сервера управления в хранилище данных отчетов и читает их в базе данных Operations Manager. Учетные данные, введенные для этой учетной записи, должны иметь определенные роли, которые зависят от приложения. (См. таблицу ниже.)

Приложение База данных и роль Роль и учетная запись

Microsoft SQL Server 2005 OperationsManager db_datareader

Microsoft SQL Server 2005 OperationsManager dwsync_user

Microsoft SQL Server 2005 OperationsManagerDW OpsMgrWriter

Microsoft SQL Server 2005 OperationsManagerDW db_owner

Operations Manager 2007 Роль пользователя Администраторы безопасности отчетов Operations Manager:

Operations Manager 2007 Учетная запись запуска от имени

Учетная запись действия хранилища данных

Operations Manager 2007 Учетная запись запуска от имени

Учетная запись считывания данных синхронизации конфигураций хранилища данных

Если пользователь меняет пароль учетных данных учетной записи для записи в хранилище данных, необходимо внести аналогичные изменения для следующих учетных записей.

Учетная запись запуска от имени, которая называется учетной записью действия хранилища данных

Учетная запись запуска от имени, которая называется учетной записью считывания данных синхронизации конфигураций хранилища данных

Учетная запись чтения данныхЭта учетная запись используется для развертывания отчетов, выбора пользователя, который применяется службами отчетов SQL Server для выполнения запросов в хранилище данных отчетов и в качестве учетной записи пула приложений IIS в службах отчетов SQL для подключения к корневому серверу управления. Эта учетная запись добавляется к профилю администратора отчетов.

12

Учетные данные, введенные для этой учетной записи, должны иметь определенные роли, которые зависят от приложения. (См. таблицу ниже.)

Приложение База данных и роль Роль и учетная запись

Microsoft SQL Server 2005

Экземпляр установки сервера отчетов

Учетная запись выполнения на сервере отчетов

Microsoft SQL Server 2005

OperationsManagerDW OpsMgrReader

Operations Manager 2007

Роль пользователя Администраторы безопасности отчетов Operations Manager:


Роль пользователя Операторы отчетов Operation Manager


Учетная запись запуска от имени

Учетная запись развертывания отчетов хранилища данных

Пул приложений IIS ReportServer$<INSTANCE>

Службы Windows Службы отчетов SQL Server Учетная запись входа

Если пользователь меняет пароль учетных данных, введенных для учетной записи чтения данных, необходимо внести аналогичные изменения для следующих учетных записей.

Учетная запись выполнения на сервере отчетов.

Учетная запись служб отчетов SQL Server на компьютере, на котором размещены службы отчетов SQL Server (SRS).

Учетная запись пула приложений IIS ReportServer$<INSTANCE>.

Учетная запись запуска от имени, которая называется учетной записью развертывания отчетов хранилища данных

См. такжеИзменение пароля учетной записи выполнения на сервере отчетов в Operations Manager 2007

Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager 2007

Изменение учетных записей SDK и службы настройки в Operations Manager 2007

Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в Operations Manager 2007

Настройка учетной записи действия на нескольких компьютерах в Operations Manager 2007

13

Изменение пароля учетной записи пула приложений IIS ReportServer для Operations Manager 2007При изменении пароля учетной записи, указанной в качестве учетной записи для чтения данных во время установки сервера отчетов, воспользуйтесь следующей процедурой, чтобы изменить пароль учетной записи пула приложений IIS ReportServer на компьютере со службами отчетов SQL Server.

1. На компьютере со службами отчетов SQL Server нажмите кнопку Пуск на рабочем столе Windows, выберите Программы, Администрирование и Диспетчер служб IIS.

2. В Диспетчере служб IIS разверните <Имя компьютера> (локальный компьютер), затем Пулы приложений, щелкните правой кнопкой мыши ReportServer<ЭКЗЕМПЛЯР> и выберите Свойства.

3. В диалоговом окне Свойства ReportServer<ЭКЗЕМПЛЯР> нажмите Удостоверение.

4. В текстовом поле Пароль введите новый пароль и нажмите кнопку OK.

5. Закройте Диспетчер служб IIS.



Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager 2007При изменении пароля учетной записи, указанной в качестве учетной записи для чтения данных во время установки сервера отчетов, воспользуйтесь следующей процедурой для изменения пароля учетной записи выполнения на сервере отчетов.

1. На компьютере с сервером отчетов нажмите кнопку Пуск на рабочем столе Windows выберите Программы, затем Microsoft SQL Server 2005, Средства настройки и выберите Настройка служб Reporting Services.

2. В диалоговом окне Выбор экземпляра установки сервера отчетов нажмите кнопку Подключить.

3. На левой панели Диспетчера конфигурации служб Reporting Services выберите Учетная запись выполнения.

Изменение учетной записи пула приложений IIS ReportServer

Изменение пароля учетной записи выполнения на сервере отчетов

14

4. На панели "Учетная запись выполнения" введите новый пароль для учетной записи выполнения.

5. Нажмите кнопку Применить, а затем кнопку Выход, чтобы закрыть Диспетчер конфигурации Reporting Services.

См. такжеИзменение пароля учетной записи пула приложений IIS ReportServer для Operations Manager 2007


Изменение учетных записей SDK и службы настройки в Operations Manager 2007Во время установки Operations Manager 2007 система предложит ввести учетные данные для двух служб. С выходом Operations Manager 2007 R2 имена этих служб изменились. Чтобы изменить пароль для указанных учетных данных или применить другой набор учетных данных, следуйте процедуре для своей версии Operations Manager.

Примечание Для обеих служб необходимо использовать одинаковые учетные данные.

1. На компьютере с корневым сервером управления нажмите кнопку Пуск на рабочем столе Windows и выберите Выполнить.

2. В диалоговом окне Запуск программы введите services.msc, а затем нажмите кнопку ОК.

3. В списке служб щелкните службу SDK правой кнопкой мыши и выберите Свойства.

4. В диалоговом окне Свойства SDK перейдите на вкладку Вход.

5. Введите новые учетные данные или измените пароль для имеющихся учетных данных и нажмите кнопку OK.

6. В списке служб щелкните службу настройки правой кнопкой мыши и выберите Свойства.

7. В диалоговом окне Свойства настройки перейдите на вкладку Вход.


9. Остановите и заново запустите службы SDK и настройки.

Изменение учетных данных и пароля для служб Operations Manager 2007 с пакетом обновления 1 (SP1)

15

1. На компьютере с корневым сервером управления нажмите кнопку Пуск на рабочем столе Windows и выберите Выполнить.


3. В списке служб щелкните Службу доступа к данным System Center правой кнопкой мыши и выберите Свойства.

4. В диалоговом окне Свойства службы доступа к данным System Center перейдите на вкладку Вход.


6. В списке служб щелкните Службу настройки управления System Center правой кнопкой мыши и выберите Свойства.

7. В диалоговом окне Свойства службы настройки управления System Center перейдите на вкладку Вход.


9. Остановите и запустите службы доступа к данным и настройки управления System Center.

Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в Operations Manager 2007При изменении пароля учетной записи, указанной в качестве учетной записи для чтения данных во время установки сервера отчетов, воспользуйтесь следующей процедурой для изменения пароля учетной записи действия Windows служб отчетов SQL Server на компьютере со службами отчетов SQL Server.

1. На компьютере со службами отчетов SQL Server нажмите кнопку Пуск на рабочем столе, выберите Параметры, затем Выполнить.


3. Прокрутите раскрывающийся список Службы вниз, щелкните SQL Server Reporting Services (<ЭКЗЕМПЛЯР>) правой кнопкой мыши и выберите Свойства.

4. В диалоговом окне Свойства SQL Server Reporting Services (<ЭКЗЕМПЛЯР>) нажмите Вход.

Изменение учетных данных и пароля для служб Operations Manager 2007 R2

Изменение пароля учетной записи службы Windows для служб отчетов SQL Server

16

5. Введите новый пароль в диалоговых окнах Пароль и Подтверждение пароля и нажмите кнопку OK.

6. Закройте окна Службы и Администрирование.

См. такжеИзменение пароля учетной записи пула приложений IIS ReportServer для Operations Manager 2007

Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager 2007

Настройка учетной записи действия на нескольких компьютерах в Operations Manager 2007В этой процедуре описывается использование сценария Windows PowerShell set-ActionAccount.ps1 для настройки учетной записи действия на нескольких компьютерах. Необходимо загрузить сценарий set-ActionAccount.ps1 на компьютер с консолью управления и командной оболочкой Operations Manager 2007. Дополнительные сведения о сценарии set-ActionAccount.ps1 см. в комплекте ресурсов SC Ops Mgr 2007 (http://go.microsoft.com/fwlink/?LinkId=92596).

Можно указать компьютеры, для которых необходимо изменить учетную запись действия, создав новую группу компьютеров или выбрав группу компьютеров в окне "Обнаруженное оборудование". Обе процедуры описываются в следующих разделах. Предполагается, что сценарий set-AcitonAccount.ps1 загружен в папку "Мои документы" на диске C.

1. Войдите в компьютер с учетной записью, которая является членом роли администраторов Operations Manager для группы управления Operations Manager 2007.

2. На консоли управления нажмите кнопку Мониторинг.

Примечание При запуске консоли управления на компьютере, не являющемся сервером управления, отображается диалоговое окно Подключение к серверу. В текстовом поле Имя сервера введите имя сервера управления Operations Manager 2007, к которому должна подключиться консоль управления.

3. На панели Мониторинг выберите Создать, а затем Представление состояний.

4. В диалоговом окне Свойства в текстовом поле Имя введите имя этого представления (например, "Моя группа компьютеров").

5. На вкладке Критерии в списке Показать данные, связанные с щелкните кнопку с многоточием (…).

Настройка учетной записи действия на нескольких компьютерах

17


6. В диалоговом окне Выбор типа целевого объекта в текстовом поле Искать введите Группа компьютеров, выберите Отобразить все целевые объекты, затем выберите Группа компьютеров в списке и нажмите кнопку OK.

7. В диалоговом окне Свойства нажмите кнопку ОК.

8. На панели "Мониторинг" разверните узел Мониторинг и щелкните созданное представление, например Моя группа компьютеров).

9. На панели результатов (например, на панели результатов "Моя группа компьютеров"), щелкните правой кнопкой группу компьютеров, включающую целевые компьютеры, для которых следует изменить учетную запись действия, нажмите кнопку Открыть и выберите Командная оболочка.

10. В окне Windows PowerShell введите путь к сценарию, затем имя сценария и учетную запись действия, которую следует изменить. Например, введите c:\Documents and Settings\<user>\My Documents\set-ActionAccount "ActionAccount", (где "ActionAccount" — это учетные данные (домен\имя пользователя) учетной записи, которую следует задать на нескольких компьютерах), и нажмите клавишу ВВОД.


2. На консоли управления нажмите кнопку Мониторинг.


3. На панели "Мониторинг" разверните узел Мониторинг и нажмите Обнаруженное оборудование.

4. На панели "Действия" разверните узел Действия состояния и выберите Изменить тип целевого объекта.

5. В диалоговом окне Изменить тип целевого объекта выберите Отобразить все целевые объекты.

6. В текстовом поле Искать введите Группа компьютеров.

7. В столбце Целевой объект выберите Группа компьютеров и нажмите кнопку OK.

8. На панели результатов "Обнаруженное оборудование (Группа компьютеров) щелкните правой кнопкой мыши компьютеры, для которых необходимо изменить учетную запись действия, нажмите кнопку Открыть и нажмите Командная оболочка.

Настройка учетной записи действия на нескольких компьютерах с помощью окна "Обнаруженное оборудование"

18

9. В окне Windows PowerShell введите путь к сценарию, затем имя сценария и учетную запись действия, которую следует изменить. Например, введите c:\Documents and Settings\<user>\My Documents\set-ActionAccount "ActionAccount", (где "ActionAccount" — это учетные данные (домен\имя пользователя) учетной записи, которую следует задать на нескольких компьютерах), и нажмите клавишу ВВОД.

Безопасность на основе ролей в Operations Manager 2007Обращение к ПО Operations Manager 2007 и управление им осуществляется с помощью консоли управления, веб-консоли, Windows PowerShell или специализированных приложений. Во всех случаях система безопасности на основе ролей гарантирует, что введенные учетные данные относятся к роли пользователя в Operations Manager.

Operations Manager 2007 может отслеживать корпоративные приложения различных типов, и эти приложения могут управляться несколькими командами. Администратор Operations Manager может ограничить доступ каждой команды данными отслеживания, с которыми они работают. Безопасность на основе ролей позволяет предоставлять доступ к данным, средствам и действиям отслеживания на для каждой отдельной команды.

Терминология и понятияТерминология системы безопасности на основе ролей приводится в следующей таблице.

Термин Значение

Операция или привилегия Действие, безопасность которого можно обеспечить, например разрешение предупреждений, переопределение мониторов, создание ролей пользователей, просмотр предупреждений и событий и др. Полный список операций см. в приложении A.

Профиль Набор операций, которые может выполнять пользователь, например администратор или оператор.

Operations Manager 2007 содержит следующие профили:

Администратор

Оператор с расширенными правами

Дизайнер

19

Термин Значение

Оператор

Оператор только для чтения

Оператор отчетов

Администратор безопасности отчетов

Область Определяет область действия операций профиля, например задачи и группы.

Роли пользователя Сочетание профиля и области.

Назначение роли Связь пользователей и групп Windows и ролей Operations Manager.

ОбластьОбласть всех объектов пакетов управления, таких как атрибуты, мониторы, операции обнаружения объектов, правила, задачи и представления, ограничивается целевыми объектами (которые также называются типами или классами). Целевой объект, определенный в пакете управления, представляет собой определенный тип объекта. Все объекты данного типа имеют общие характеристики. Где бы такие объекты не находились, существует общий способ их обнаружения, общий набор свойств, которые можно обнаружить, и общий способ их отслеживания. По умолчанию перед импортом любого пакета управления в Operations Manager 2007 создается 163 целевых объекта.

Группы — это логические наборы объектов, таких как компьютеры под управлением Windows, жесткие диски или экземпляры Microsoft SQL Server.

Существует два типа задач: задачи агентов и задачи консоли. Задачи агентов могут выполняться удаленно на агенте или сервере управления, а задачи консоли можно выполнять только на локальном компьютере. Кроме того, задачи консоли не ограничиваются ролями и доступны всем пользователям. В Operations Manager 2007 в качестве задачи удаленно или локально можно использовать пакетный файл или сценарий, однако если задача создана агентом или событием, то ее можно выполнять только локально.

Представления – это группы управляемых объектов с общими признаками, которые задаются в свойствах представления. При выборе представления в базу данных Operations Manager отправляется запрос, и результаты этого запроса отображаются на панели результатов.

Роль пользователяВ Operations Manager 2007 роль пользователя создается путем объединения профиля и области. Роль создается на основе одного из 5 предопределенных профилей или 7 предопределенных профилей, если установлен модуль создания отчетов, затем для нее

20

указывается область. В таблице ниже приводятся типы профилей и соответствующие области.

Тип профиля Описание профиля Область роли

Администратор Обладает полными привилегиями в Operations Manager, ограничение профиля администратора областью не поддерживается.

Полный доступ ко всем данным и службам, а также средствам администрирования и разработки Operations Manager.

Оператор с расширенными правами

Имеет ограниченный доступ на изменение конфигурации Operations Manager, может создавать переопределения правил, отлеживает целевые объекты или группы целевых объектов в заданной области. Кроме того, оператор с расширенными правами наследует привилегии оператора.

Может быть ограничен любыми группами, представлениями и задачами, как существующими, так и теми, что будут импортированы в будущем.

Дизайнер Может создавать редактировать и удалять задачи, правила, мониторы и представления в заданной области Кроме того, дизайнер наследует привилегии оператора с расширенными правами.

Область может быть ограничена любыми группами, целевыми объектами, представлениями и задачами, как существующими, так и теми, что будут импортированы в будущем. Роль дизайнера уникальна тем, что может быть ограниченна типами целевых объектов.

Оператор Может добавлять или удалять предупреждения, выполнять задачи и работать с представлениями в заданной области Кроме того, оператор наследует привилегии оператора только для чтения.

Может быть ограничен любыми группами, представлениями и задачами, как существующими, так и теми, что будут импортированы в будущем.

Оператор только для Может просматривать Область может быть

21

Тип профиля Описание профиля Область роли

чтения предупреждения и работать с представлениями в заданной области

ограничена любыми группами и представлениями, как существующими, так и теми, что будут импортированы в будущем.

Оператор отчетов Может просматривать отчеты в заданной области.

Глобальная область.

Администратор безопасности отчетов

Объединяет систему безопасности служб отчетов SQL Server и роли Operations Manager.

Нет области.

Важно! Добавление учетной записи компьютера к роли позволяет всем службам данного компьютера получить доступ к пакету SDK. Не рекомендуется добавлять учетные записи компьютеров к ролям пользователя.

Можно добавлять группы безопасности и отдельные учетные записи Active Directory в любую из этих предопределенных ролей, кроме роли администратора. Группы безопасности Active Directory можно добавить только к роли администратора.

Добавление пользователей или группы к роли означает, что они смогут использовать привилегиями роли для объектов, указанных в области (включая унаследованные объекты).

Примечание Предопределенные роли имеют глобальную область. Это значит, что они могут получить доступ ко всем группам, представлениям, целевым объектам и задачам (кроме администратора безопасности отчетов).

Кроме того, Operations Manager поддерживает создание настраиваемых ролей на основе профилей оператора, оператора только для чтения и оператора с расширенными правами. При создании роли можно еще сузить область групп, ролей, задач и представлений, к которым она получит доступ. Например, можно создать роль "Оператор Exchange" и ограничить ее область группами, представлениями и задачами, связанными с Exchange. Учетные записи пользователя с этой ролью смогут выполнять только действия уровня оператора с объектами, связанными с Exchange.

Важно! Обязательно создайте доменную группу безопасности для роли "Администраторы Operations Manager". Эта группа должна существовать при первом запуске установки в группе управления.

22

Дополнительные сведения об администрировании ролей безопасности, учетных записей и профилей в Operations Manager 2007 см. в разделе Администрирование ролей безопасности, учетных записей и профилей в Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=88131).

Профили и учетные записи запуска от имени в Operations Manager 2007Правила, задачи, мониторы и операции обнаружения, заданные в пакете управления, требуют учетных данных для выполнения на целевом компьютере. По умолчанию правила, задачи, мониторы и операции обнаружения выполняются со стандартной учетной записью действия агента или сервера. Например, если действие выполняется на агенте, учетные данные, используемые для действия, будут получены из учетной записи действия агента. Дополнительные сведения об учетной записи действия см. в разделе Сведения об учетных записях Operations Manager 2007 данного руководства.

Профили и учетные записи запуска от имени позволяют выполнять различные правила, задачи, мониторы или операции обнаружения с различными учетными записями на различных компьютерах. Пакеты управления больше не используют общие удостоверения и допускают применение учетных записей с низким уровнем привилегий в качестве учетных записей действия. В качестве учетных записей запуска от имени можно использовать учетные записи следующих типов:

Windows — учетные данные Windows, например "домен\имя пользователя" или "имя пользователя@полное имя домена" и соответствующий пароль;

cтрока сообщества — строка сообщества SNMPv2;

обычная проверка подлинности — стандартная проверка подлинности для Интернета;

простая проверка подлинности — любое сочетания имени пользователя и пароля, например веб-форма, проверка подлинности SQL или любой другой объект, допускающий ввод имени пользователя и пароля;

дайджест-проверка подлинности — стандартная дайджест-проверка подлинности для Интернета;

бинарная проверка подлинности — проверка подлинности, заданная пользователем;

учетная запись действия — учетные данные, которые можно назначить только профилю учетной записи действия.

Учетная запись запуска от имени позволяет указывать привилегии для использования с правилами, задачами, мониторами и операциями обнаружения на целевых компьютерах по мере необходимости.

При передаче учетных данных между корневым сервером управления и целевым компьютером выполняется шифрование, после чего они безопасно сохраняются на целевом компьютере.

23



С профилем запуска от имени можно связать определенную задачу, правило, монитор или операцию обнаружения. Эта связь создается при создании пакета управления. Администратор Operations Manager может связать учетные записи запуска от имени с профилем запуска от имени на целевом компьютере.

Например, Алиса работает над пакетом управления для SQL Server и создает задачу "Получение статистики БД". Алиса знает, что у учетной записи действия не будет достаточных прав для выполнения задачи, однако они есть у Бориса, администратора SQL. Алиса должна настроить выполнение задачи с учетной записью Бориса.

При настройке пакета управления Федор создает профиль запуска от имени "Операторы БД" и связывает его с модулем задачи. При импорте пакета управления SQL с задачей "Получение статистики БД" в Operations Manager 2007 профиль запуска от имени, связанный с данной задачей, включается в процесс импорта и профиль "Операторы БД" появляется в списке доступных профилей запуска от имени.

Администратор Operations Manager 2007 создает учетную запись запуска от имени с учетными данными Алисы. Затем эта учетная запись запуска от имени добавляется к профилю запуска от имени, который будет использоваться задачей. Целевой компьютер, на котором используется данная учетная запись запуска от имени, должен быть явно указан в профиле запуска от имени.

Примечание Учетная запись по умолчанию для профиля запуска от имени — это учетная запись действия. Выберите учетную запись действия с соответствующими правами, тщательно взвесив все факторы. В большинстве случаев подойдет администратор домена.

Администраторы Operations Manager 2007 могут связывать разные учетные записи запуска от имени для разных целевых компьютерах с каждым профилем запуска от имени. Это связь будет полезна в случаях, когда профиль запуска имени используется на разных компьютерах и каждый компьютер требует своих учетных данных. У Алисы есть права для выполнения задачи на компьютере 1 с ПО SQL Server, а у Бориса — права на компьютере 2 с SQL Server. В этом случае для Алисы и Бориса создаются отдельные учетные записи запуска от имени, связанные с одним профилем запуска от имени. Операция назначения должна быть выполнена на двух компьютерах.

Профили запуска от имени в Operations Manager 2007Помимо пользовательских профилей запуска от имени, Operations Manager 2007 содержит готовые профили запуска от имени. См. описание в следующей таблице. Эти профили используются приложением Operations Manager 2007.

Имя Описание учетная запись запуска от имени

Учетная запись назначения Учетная запись, Учетная запись локальной

24


агента на основе Active Directory

используемая модулем назначения агентов в Active Directory для публикации параметров назначения в Active Directory.

системы Windows

Учетная запись автоматического управления агентом

Эта учетная запись используется для автоматической диагностики ошибок агентов.

Нет

Учетная запись действия наблюдения за клиентами

Если задан соответствующий параметр, используется приложением Operations Manager 2007 для запуска всех модулей отслеживания клиентов. В противном случае Operations Manager 2007 использует учетную запись действия по умолчанию.

Нет

Учетная запись подключенной группы управления

Учетная запись, используемая пакетом управления Operations Manager для отслеживания состояния соединения с подключенными группами управления.

Нет

Учетная запись хранилища данных

Если эта учетная запись указана, она используется для выполнения всех правил сбора данных и синхронизации в хранилище данных вместо учетной записи действия по умолчанию. Если эта учетная запись не переопределяется учетной записью проверки подлинности SQL Server для хранилища данных, она используется правилами

Нет

25


сбора данных и синхронизации для подключения к базам данных в хранилище данных с помощью встроенной проверки подлинности Windows.


Эта учетная запись используется процедурами автоматического развертывания отчетов хранилища данных для различных операций, связанных с развертыванием отчетов.


Учетная запись проверки подлинности SQL Server для хранилища данных

Если имя и пароль для входа указаны, они используются правилами сбора данных и синхронизации для подключения к базам данных в хранилище данных с помощью проверки подлинности SQL Server.


Учетная запись действия по умолчанию.

Учетная запись действия службы работоспособности по умолчанию.

Учетные данные этой учетной записи указываются при установке.

Учетная запись действия MPUpdate

Эта учетная запись используется средством уведомления MPUpdate

Нет

Учетная запись уведомления Учетная запись Windows, используемая правилами уведомлений. Адрес электронной почты этой учетной записи используется в качестве адреса "От кого" электронных и мгновенных сообщений.

Нет

26


Учетная запись рабочей базы данных

Эта учетная запись используется для чтения и записи сведений в базе данных Operations Manager.

Нет

Учетная запись наблюдения с привилегиями

Этот профиль используется для операций отслеживания, которые требуют высокого уровня привилегий в системе, например разрешений локальной системы или локального администратора. По умолчанию для профиля используется учетная запись локальной системы, если для целевой системы не выбрано другое значение.

Нет

Учетная запись проверки подлинности SQL Server для отчетов службы SDK

Если имя и пароль для входа указаны, они используются службой SDK для подключения к базам данных в хранилище данных с помощью проверки подлинности SQL Server.


Зарезервировано Этот профиль зарезервирован и не должен использоваться.

Нет

Учетная запись проверки подписки на предупреждения

Учетная запись, используемая модулем проверки подписки на предупреждения, который проверяет соответствие подписки на уведомления области. Для этого профиля необходимы права администратора.

Учетная запись локальной системы Windows

Учетная запись администрирования кластера Windows

Этот профиль используется во всех компонентах обнаружения и наблюдения

Нет

27


кластеров Windows. Если пользователь не настроил особые параметры, этот профиль по умолчанию принимает используемую учетную запись.

Учетная запись действия WS-Management

Этот профиль используется для доступа по протоколу WS-Management.

Нет

Профили и учетные записи запуска от имени в Operations Manager 2007 R2В выпуске Operations Manager 2007 R2 к учетным записям и профилям запуска от имени были добавлены следующие возможности: распространение и целевая настройка. В следующих разделах описываются функции распространения и целевой настройки, а также их воздействие на систему безопасности.

Понятие о распространении и целевой настройкеРаспространение и целевая настройка учетной записи запуска от имени должны быть заданы должным образом для корректной работы профиля запуска от имени.

При настройке профиля запуска от имени выполняется выбор учетных записей запуска от имени, которые требуется связать с профилем запуска от имени. После создания этой связи можно указать, для какого класса, группы или объекта должна использоваться учетная запись запуска от имени при выполнении задач, правил, мониторов и операций обнаружения.

Распространение представляет собой атрибут учетной записи запуска от имени и позволяет указать, какие компьютеры будут получать учетные данные учетной записи запуска от имени. Можно выбрать распространение учетных данных учетной записи запуска от имени на все управляемые агентом компьютеры или на выбранные компьютеры.

Ниже приведен пример целевой настройки учетной записи запуска от имени. На физическом компьютере ABC размещены два экземпляра Microsoft SQL Server: экземпляр X и экземпляр Y. Каждый экземпляр использует отдельный набор учетных данных для учетной записи sa . Следует создать учетную запись запуска от имени с учетными данными sa для экземпляра X и вторую учетную запись с учетными данными sa для экземпляра Y. При настройке профиля запуска от имени SQL Server следует связать учетные данные обеих учетных записей запуска от имени, например для X и Y, с профилем и указать использование учетных данных экземпляра X учетной записи запуска от имени для

28

экземпляра X SQL Server и использование учетных данных экземпляра Y учетной записи запуска от имени для экземпляра Y SQL Server. После этого необходимо настроить распространение каждого набора учетных данных учетной записи запуска от имени на физический компьютер ABC.

Ниже приведен пример распространения учетной записи запуска от имени. SQL Server1 и SQL Server2 представляют собой различные физические компьютеры. Сервер SQL Server1 использует набор учетных данных UserName1 и Password1 для учетной записи SQL sa . Сервер SQL Server2 использует набор учетных данных UserName2 и Password2 для учетной записи SQL sa . Пакет управления SQL содержит один профиль запуска от имени SQL, который используется для всех серверов SQL. Можно определить одну учетную запись запуска от имени для набора учетных данных UserName1 и вторую учетную запись запуска от имени для набора учетных данных UserName2. Обе эти учетные записи запуска от имени могут быть связаны с одним профилем запуска от имени SQL Server и могут быть настроены для распространения на соответствующие компьютеры. При этом UserName1 распространяется на сервер SQL Server1, а UserName2 распространяется на сервер SQL Server2. Сведения учетной записи, передаваемые между сервером управления и выбранным компьютером, шифруются.

Безопасность учетной записи запуска от имениВ Operations Manager 2007 с пакетом обновления 1 (SP1) учетные данные учетной записи запуска от имени распространяются по всем компьютерам, управляемых с помощью агентов (менее безопасный вариант). В Operations Manager 2007 R2 учетные данные учетной записи запуска от имени распространяются только среди указанных компьютеров (более безопасный вариант). При автоматическом распространении учетных записей запуска от имени в соответствии с результатами операции обнаружения возникает угроза безопасности, как показано на следующем примере. Поэтому вариант автоматического распространения не включен в Operations Manager.

Предположим, что Operations Manager 2007 определено размещение сервера SQL Server 2005 на компьютере на основе наличия раздела реестра. Можно создать такой раздел реестра на компьютере без экземпляра SQL Server 2005. Если приложение Operations Manager должно автоматически распространять учетные данные среди всех компьютеров, управляемых агентами и определенных как SQL Server 2005, учетные данные могут быть отправлены поддельному серверу SQL Server и будут доступны всем пользователям с правами администратора на этом сервере.

При создании учетной записи запуска от имени с помощью Operations Manager 2007 R2 система предложит выбрать Менее безопасный или Более безопасный способ обработки учетной записи запуска от имени. Более безопасный способ означает, что при создании связи учетной записи запуска от имени с профилем запуска от имени необходимо указывать конкретные имена компьютеров, среди которых должны распространяться учетные данные запуска от имени. Принудительное указание целевых компьютеров позволяет предотвратить ситуацию подделки, описанную выше. При выборе менее

29

безопасного варианта не потребуется указывать конкретные компьютеры, а учетные данные будут распространены на все управляемые агентом компьютеры.

Примечание Во всех версиях Operations Manager 2007 учетные данные для учетной записи запуска от имени должны иметь права локального входа. В противном случае модуль не будет работать.

См. такжеСведения об учетных записях Operations Manager 2007

Безопасность на основе ролей в Operations Manager 2007

Создание учетной записи запуска от имени в Operations Manager 2007В этой процедуре показано создание учетной записи запуска от имени на примере с использованием набора учетных данных Windows. После этого описан порядок изменения свойств учетной записи запуска от имени для изменения уровня безопасности и распространения учетных данных. Эта же процедура может быть использована для всех остальных типов учетных записей. Дополнительные сведения о других типах учетных записей см. в разделе Типы учетных данных в Operations Manager 2007.

Учетные данные, указанные в учетной записи запуска от имени, используются для запуска задач, правил, мониторов и обнаружений в соответствии с определением в пакете управления, в состав которого они входят. В руководстве по пакету управления описаны параметры, необходимые для настройки учетной записи запуска от имени и профиля запуска от имени.

1. Войдите в консоль управления с учетной записью, которая является членом роли администраторов Operations Manager для группы управления Operations Manager 2007.

2. В консоли управления нажмите кнопку Администрирование.

3. В панели "Администрирование" раскройте узлы Администрирование, Настройка запуска от имени, щелкните правой кнопкой мыши пункт Учетные записи, а затем выберите команду Создать учетную запись запуска от имени....

4. На странице Введение мастера создания учетной записи запуска от имени нажмите кнопку Далее.

5. На странице Общие свойства выполните следующие действия.

a. Выберите Windows в списке Тип учетной записи запуска от имени:.b. Введите отображаемое имя в текстовом поле Отображаемое имя.

c. При необходимости укажите описание в текстовом поле Описание.

Создание учетной записи запуска от имени

30

d. Нажмите кнопку Далее.

6. На странице Учетные данные введите имя пользователя, пароль, а затем выберите домен для учетной записи, которую планируется сделать членом этой учетной записи запуска от имени.

7. Нажмите кнопку Далее.

8. На странице Безопасность распространения выберите требуемый вариант Менее безопасное или Более безопасное.

9. Нажмите кнопку Создать.

10. На странице Выполнение создания учетной записи запуска от имени нажмите кнопку Закрыть.

При создании учетной записи запуска от имени выдается предупреждение о необходимости создания связи учетной записи запуска от имени с профилем запуска от имени и не предоставляется возможность настройки распространения учетных данных учетной записи запуска от имени. Обе эти операции могут быть выполнены в мастере создания профиля запуска от имени. Также можно настроить распространение учетных данных учетной записи запуска от имени путем изменения свойств учетной записи запуска от имени, как показано ниже.


2. В панели Администрирование разверните узел Администрирование, разверните узел Настройка запуска от имени и выберите контейнер Учетные записи.

3. В панели результатов дважды щелкните учетную запись запуска от имени, которую требуется изменить, чтобы открыть ее свойства.

4. На странице Свойства учетной записи запуска от имени можно изменить значения на вкладках Общие свойства, Учетные данные или Распространение. В данном случае выберите вкладку Распространение.

5. На вкладке Распространение в разделе Выбранные компьютеры: нажмите кнопку Добавить, чтобы открыть средство Поиск компьютеров.

6. На странице Поиск компьютеров щелкните список Параметр: и выберите один из следующих вариантов.

a. Поиск по имени компьютера (по умолчанию), затем введите имя компьютера в поле Фильтр: (необязательно).

b. Показать рекомендуемые компьютеры, если объект учетной записи запуска от имени уже связан с профилем запуска от имени, здесь будет представлен список обнаруженных компьютеров, на которых размещается отслеживаемая служба.

c. Показать серверы управления, в некоторых случаях, например, для мониторинга различных платформ, все операции мониторинга выполняются сервером управления, и поэтому учетные данные должны быть распространены

Изменение свойств учетной записи запуска от имени

31

на серверы управления, выполняющие мониторинг.

7. При необходимости введите значениеФильтр: (необязательно), чтобы ограничить набор результатов поиска, и нажмите кнопку Найти. В поле Доступные элементы будет показан список компьютеров, соответствующих критериям поиска.

8. Выберите компьютеры, на которые необходимо распространить учетные данные, и нажмите кнопку Добавить. Компьютеры будут показаны в поле Выбранные элементы.

9. Нажмите кнопку ОК. Будет выполнен возврат к вкладке Распространение, на которой будут показаны компьютеры. Нажмите кнопку ОК.

См. такжеСоздание и настройка профиля запуска от имени в Operations Manager 2007

Создание и настройка профиля запуска от имени в Operations Manager 2007Процесс создания и настройки профиля запуска от имени состоит из четырех шагов:

1. Определение класса, группы или объектов, в отношении которых будет действовать учетная запись запуска от имени.

2. Создание и настройка учетных записей запуска от имени.

3. Связывание учетных записей запуска от имени с профилем запуска от имени.

4. Настройка распространения учетных данных объекта учетной записи запуска от имени на определенные компьютеры.

Эту процедуру можно использовать для создания и настройки нового профиля запуска от имени или изменения профилей, уже существующих в данной группе управления. Процедура предполагает, что объект учетной записи запуска от имени еще не создавался.

1. Войдите в систему на компьютере, используя учетную запись с ролью "Администраторы Operations Manager" для группы управления Operations Manager 2007.


3. В панели "Администрирование" разверните узлы Администрирование и Настройка запуска от имени, а затем выберите контейнер Профили. Щелкните правой кнопкой мыши панель "Результаты", а затем выберите команду Создать профиль запуска от имени. Перед первым запуском мастера создания профиля запуска от имени обязательно прочтите текст на странице Введение.


5. На странице Общие свойства выполните следующие действия.

Создание профиля запуска от имени

32

a. Введите отображаемое имя профиля в поле Отображаемое имя.

b. Дополнительно можно ввести описание профиля запуска от имени.

c. Нажмите кнопку Создать для списка Выберите целевой пакет управления, чтобы создать пакет управления переопределения, если он еще не создан. Если пакет управления переопределения уже создан, выберите его в раскрывающемся списке и перейдите к п. 9.

6. В мастере создания пакета управления на странице Общие свойства введите имя в поле Имя. Дополнительно можно ввести описание пакета управления. После этого нажмите кнопку Далее.

Совет По умолчанию при создании объекта пакета управления, отключении правила или монитора или при создании переопределения параметры сохраняются Operations Manager в пакете управления по умолчанию. Рекомендуется создавать отдельный пакет управления для каждого запечатанного пакета управления, который требуется изменить, а не сохранять измененные параметры в пакете управления по умолчанию. Дополнительные сведения см. в статье "Настройка пакетов управления" по адресу http://go.microsoft.com/fwlink/?LinkId=140601.

7. На странице Статья базы знаний нажмите кнопку Изменить, чтобы ввести описание пакета управления, сведения о его настройках, дополнительную информацию и ссылки на внешние источники сведений.

8. Нажмите кнопку Создать. После этого будет выполнен возврат к странице Общие свойства мастера создания профиля запуска от имени.


10. На странице Учетные записи запуска от имени нажмите кнопку Добавить, чтобы открыть страницу Добавление учетной записи запуска от имени.

11. Нажмите кнопку Создать. Откроется Мастер создания учетной записи запуска от имени на странице Общие свойства.

12. В поле Тип учетной записи запуска от имени выберите тип учетной записи, который требуется создать. Он указан в руководстве по пакету управления.

13. Введите имя в поле Отображаемое имя: , при необходимости введите описание, а затем нажмите кнопку Далее.

14. На странице Учетные данные укажите в полях Имя пользователя, Пароль и Подтверждение пароля имя пользователя и пароль, которые должны будут использоваться профилем запуска от имени.

15. Убедитесь, что в списке Домен выбран правильный домен для этих учетных данных. Нажмите кнопку Далее.

16. На странице Безопасность распространения выберите вариант Менее безопасное или Более безопасное, как предписывает руководство по пакету управления. Имейте в виду, что в случае выбора варианта Менее безопасное

33


учетные данные будут доступны администраторам всех компьютеров-получателей. Дополнительные сведения о безопасности рассылки учетных данных см. в разделе Профили и учетные записи запуска от имени в Operations Manager 2007.

17. Нажмите кнопку Создать.

18. На странице Выполнение создания учетной записи запуска от имени прочтите предупреждение, которое будет показано после создания учетной записи, а затем нажмите кнопку Закрыть. Будет выполнен возврат на страницу Добавление учетной записи запуска от имени.

19. В области Эта учетная запись запуск от имени будет использоваться для управления следующими объектами выберите Все целевые объекты или Выбранные класс, группа или объект в соответствии с указаниями в руководстве по пакету управления.

20. Если в поле Выбранные класс, группа или объект уже отображается то или иное значение, нажмите кнопку ОК; в противном случае нажмите кнопку Выбрать и выберите Класс, Группа или Объект, как указано в руководстве по пакету управления. Откроется соответствующая страница Поиск класса, Поиск группы или Поиск объекта.

21. В любом из средств поиска введите условия поиска или фильтра и нажмите кнопку Найти. Результаты будут показаны в поле Доступные элементы.

22. Выберите элемент, для управления которым планируется использовать объект учетной записи запуска от имени, и нажмите кнопку ОК.

23. Нажмите кнопку ОК. Будет выполнен возврат на страницу Учетные записи запуска от имени мастера создания профиля запуска от имени.

24. Чтобы добавить дополнительные учетные записи запуска от имени, снова нажмите кнопку Добавить и повторите пункты 10 – 23; в противном случае нажмите кнопку Создать.

Примечание В этой процедуре предполагается, что выбран вариант Более безопасное, и оставшиеся шаги изложены по порядку. Если выбран вариант Менее безопасное, переходите к пункту 29.

25. На странице Завершение работы мастера создания профиля запуска от имени будут отображены в виде ссылок все учетные записи запуска от имени, которые были настроены с параметром Более безопасное. Теперь необходимо выбирать учетные записи запуска от имени по одной и настраивать распространение учетных данных.

26. Дважды щелкните учетную запись; откроется страница Свойства учетной записи запуска от имени на вкладке Распространение. Будет показан выбранный уровень безопасности, а также область Выбранные компьютеры. Здесь можно изменять оба параметра.

27. Нажмите кнопку Добавить для области Выбранные компьютеры и выполните

34

следующие действия.

a. Выберите Поиск по имени компьютера (по умолчанию), Показать рекомендуемые компьютеры или Показать серверы управления.

b. При необходимости введите условие отбора в поле Фильтр: (необязательно). c. Нажмите кнопку Поиск. Результаты будут показаны в поле Доступные

элементы.

d. Выберите требуемые компьютеры из списка результатов и нажмите кнопку Добавить. Выбранные компьютеры будут добавлены в поле Выбранные объекты.

e. Нажмите кнопку ОК.

28. Нажмите кнопку ОК. Будет выполнен возврат на страницу Завершение мастера создания профиля запуска от имени. Рядом с учетными записями, для которых было успешно настроено распространение, появятся зеленые флажки.

29. Нажмите кнопку Закрыть.

См. такжеСоздание учетной записи запуска от имени в Operations Manager 2007

Изменение профиля запуска от имени

Изменение профиля запуска от имениУже существующие профили запуска от имени могли быть созданы пользователем в соответствии с процедурой "Создание и настройка профиля запуска от имени" или при импорте пакета управления, содержащего такой профиль. Эта процедура позволяет изменить свойства существующего профиля запуска от имени.

1. Откройте консоль управления, используя учетную запись, являющуюся членом роли "Администраторы" Operations Manager 2007.

2. Выберите представление Администрирование.

3. В области переходов представления Администрирование выберите контейнер Профили.

4. В области результатов дважды щелкните профиль, свойства которого требуется изменить. Откроется мастер профиля запуска от имени с ранее настроенными параметрами.

5. На странице Общие свойства можно изменить значения в полях Отображаемое имя и Описание.


7. На странице Учетные записи запуска от имени можно добавить новые учетные

Изменение профиля запуска от имени

35

записи запуска от имени, изменить параметры уже имеющихся учетных записей и удалить учетные записи, которые более не должны быть связаны с данным профилем запуска от имени.

8. После внесения изменений нажмите кнопку Сохранить.

9. На странице Завершение в поле Более безопасные учетные записи запуска от имени: необходимо выбрать каждую из учетных записей по очереди и настроить для нее распространение учетных данных. Дополнительные сведения о безопасности распространения учетных данных см. в разделе Создание и настройка профиля запуска от имени в Operations Manager 2007

10. После внесения изменений в параметры распространения уведомлений нажмите кнопку Закрыть.

Проверка подлинности и шифрование данных для компьютеров Windows в Operations Manager 2007Operations Manager 2007 содержит следующие компоненты: корневой сервер управления, сервер управления, сервер шлюза, сервер отчетов, база данных Operations Manager, хранилище данных отчетов, веб-консоль и консоль управления. В этом разделе описывается проверка подлинности и каналы связи, при передаче по которым данные шифруются.

Проверка подлинности на основе сертификатовЕсли агент и сервер управления Operations Manager разделены границей недоверенного леса или рабочей группы, необходимо реализовать проверку подлинности на основе сертификатов. В разделах ниже приводятся сведения об таких ситуациях и процедурах получения и установки сертификатов от центров сертификации Windows.

Настройка обмена данными между агентами и серверами управления в пределах границ доверияАгент и сервер управления используют проверку подлинности Windows для взаимной проверки подлинности перед тем, как сервер принимает данные от агента. По умолчанию для проверки подлинности используется протокол Kerberos версии 5. Чтобы взаимная проверка подлинности на базе Kerberos работала, агенты и сервер управления должны быть установлены в домене Active Directory. Если агент и сервер управления находятся в разных доменах, между ними должны существовать отношения полного доверия. В этом сценарии после взаимной проверки подлинности выполняется шифрование канала связи между агентом и сервером управления. Для активации проверки подлинности и шифрования вмешательство пользователя не требуется.

36

Настройка обмена данными между агентами и серверами управления через границы доверияАгент (или агенты) могут быть развернуты в домене (домене Б), отличном от домена сервера управления (домен A), и между этими доменами может не быть двусторонних отношений доверия. Поскольку между двумя доменами нет отношений доверия, агенты в одном домене не могут проверить подлинность сервера управления в другом домене с помощью протокола Kerberos. Взаимная проверка подлинности между компонентами Operations Manager 2007 внутри каждого домена будет действовать.

Решением может стать установка сервера шлюза в одном домене с агентами и установка сертификатов на сервер шлюза и сервер управления для взаимной проверки подлинности и шифрования данных. При использовании сервера шлюза необходим только один сертификат в домене Б и один порт межсетевого экрана, как показано на иллюстрации ниже.

Дополнительные сведения см. в следующих разделах руководства по безопасности:

Получение сертификата с помощью центра сертификации предприятия Windows Server 2003 в Operations Manager 2007

Получение сертификата с помощью автономного центра сертификации Windows Server 2003 в Operations Manager 2007



Настройка обмена данными внутри домена — граница рабочей группыВ рабочей группе внутри межсетевого экрана может быть развернут один или два агента. Агент в рабочей группе не может проверить подлинность сервера управления в домене по протоколу Kerberos. Решением будет установка сертификатов на компьютере с агентом и сервере управления, к которому подключается агент. См. иллюстрацию ниже.

37

Примечание В этом сценарии агент должен быть установлен вручную.

Выполните следующие действия на компьютере с агентом и сервере управления, используя один и тот же ЦС.

Запросите сертификат в ЦС.

Утвердите запросы сертификатов в ЦС.

Установите утвержденные сертификаты в хранилищах сертификатов компьютера.

Настройте Operations Manager 2007 с помощью программы MOMCertImport .

Действия по установке сертификатов на сервере шлюза будут такими же, но устанавливать и запускать средство утверждения шлюза не нужно. Дополнительные сведения см. в следующих разделах руководства по безопасности:





Мастер создания сертификатовДействия по созданию, получению и установке сертификатов описываются в этом руководстве по безопасности. Мастер создания сертификатов предназначен для упрощения этого процесса. Дополнительные сведения см. в сообщении блога "Получение сертификатов для агентов, соединенных не через домен, становится проще с мастером создания сертификатов" (http://go.microsoft.com/fwlink/?LinkId=128392).

38




Примечание Использование мастера осуществляется КАК ЕСТЬ и не подразумевает каких-либо прав или гарантий. Использование этой программы определяется условиями, приведенными по адресу http://www.microsoft.com/info/cpyright.htm

Подтверждение установки сертификатаЕсли сертификат установлен должным образом, в журнал событий Operations Manager будет добавлено следующее событие.

Уровень Источник ИД события Общая

Информация Соединитель Operations Manager

20053 Соединитель Operations Manager успешно загрузил сертификат проверки подлинности.

Во время установки сертификата следует запустить программу MOMCertImport. По окончании работы MOMCertImport серийный номер импортированного сертификата будет записан в следующий подраздел реестра.

Внимание! Неправильное изменение реестра может серьезно повредить систему. Перед внесением изменений в реестр следует сделать резервную копию всех ценных данных на компьютере.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Проверка подлинности и шифрование данных между корневым сервером управления, сервером управления, сервером шлюза и агентамиОбмен данными между этими компонентами Operations Manager начинается с взаимной проверки подлинности. Если сертификаты присутствуют на обеих сторонах канала связи, они будут использованы для взаимной проверки подлинности. В противном случае будет применяться протокол Kerberos версии 5. Если любые два компонента разделены границами доверия, для взаимной проверки подлинности используются сертификаты.

Обычный обмен данными, например события, предупреждения и развертывание пакета управления выполняется через этот канал. На предыдущей иллюстрации приводится пример предупреждения, выданного одним из агентов, которые связаны с корневым сервером управления. Между агентом и сервером шлюза для шифрования применяется пакет безопасности Kerberos, поскольку сервер шлюза и агент находятся в одном домене.

39

http://www.microsoft.com/info/cpyright.htm

Предупреждение шифруется сервером шлюза и расшифровывается с помощью сертификатов на сервере управления. После того как сервер управления получает предупреждение, он расшифровывает его, затем зашифровывает с помощью протокола Kerberos и отправляет корневому серверу управления, который выполняет расшифровку.

Некоторые операции обмена данными между корневым сервером управления могут включать учетные данные, например данные конфигурации и задачи. Канал передачи данных между агентами и сервером управления добавляет дополнительный уровень шифрования к обычному шифрованию канала. Никаких действий пользователя не требуется.

Корневой сервер управления и база данных Operations ManagerДанные учетных записей запуска от имени хранятся в базе данных Operations Manager в зашифрованном виде, при этом используется симметричная пара ключей, созданная Operations Manager 2007. Если корневой сервер управления будет заменен, новому серверу управления не удастся прочитать зашифрованные данные в базе данных. Программа SecureStorageBackup, входящая в состав Operations Manager 2007, используется для резервного копирования и восстановления ключа шифрования.

Важно! Запустите программу SecureStorageBackup, чтобы экспортировать ключ корневого сервера управления для резервного копирования. Без резервной копии ключа корневого сервера управления потребуется заново ввести все учетные записи запуска от имени при повторном создании корневого сервера. В больших средах такая перестройка может охватывать сотни учетных записей. Дополнительные сведения об инструменте SecureStorageBackup см. в разделе "Резервное копирование и восстановление ключей шифрования в Operations Manager 2007" (http://go.microsoft.com/fwlink/?LinkId=87387).

Дополнительные сведения о восстановлении после аварий, вызвавших потерю корневого сервера управления, при наличии резервной копии ключа и без нее см. в следующей статье базы знаний: Ключ шифрования недоступен после замены или переустановки корневого сервера управления в Microsoft System Center Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=112310).

Корневой сервер управления и консоль управления, сервер веб-консоли и сервер отчетовПроверка подлинности и шифрование данных между корневым сервером управления и консолью управления, сервером веб-консоли или сервером отчетов выполняется с помощью технологии WCF (старое кодовое название "Indigo"). Первая попытка проверки подлинности предпринимается с использованием учетных данных пользователя. Сначала система пытается применить протокол Kerberos. Если протокол Kerberos не работает, предпринимается еще одна попытка с использованием NTLM. Если проверка подлинности

40





снова не удается, система просит пользователя ввести учетные данные. После проверки подлинности поток данных шифруется по протоколу Kerberos или по протоколу SSL, если используется NTLM.

В случае сервера отчетов и корневого сервера управления после проверки подлинности устанавливается соединение между корневым сервером управления и сервером отчетов SQL Server. Для этого используется только протокол Kerberos, поэтому корневой сервер управления и сервер отчетов должны находиться в доверенных доменах. Дополнительные сведения о службе WCF см. в статье MSDN "Что такое Windows Communication Foundation?" (http://go.microsoft.com/fwlink/?LinkId=87429).

Сервер управления и хранилище данных отчетовМежду сервером управления и хранилищем данных отчетов существует два канала связи.

Процесс наблюдения за узлами, созданный службой работоспособности в сервере управления или корневом сервере управления.

Служба SDK на корневом сервере управления.

Процесс наблюдения за узлами и хранилище данных отчетовПо умолчанию процесс наблюдения за узлами создается службой работоспособности, выполняющей запись собранных событий и данных из счетчиков производительности в хранилище данных, обеспечивает встроенную проверку подлинности Windows с помощью учетной записи для записи данных, указанную при установке модуля создания отчетов. Учетные данные этой учетной записи безопасно хранятся в учетной записи запуска от имени, которая называется учетной записью действия хранилища данных. Эта учетная запись запуска от имени является участником профиля запуска от имени, который называется учетной записью хранилища данных (она связана с фактическими правилами сбора).

Если хранилище данных отчетов и сервер управления разделены границей доверия (например, находятся в разных доменах без отношений доверия), встроенная проверка подлинности Windows работать не будет. Чтобы обойти эту проблему, процесс наблюдения за узлами может подключиться к хранилищу данных отчетов с помощью проверки подлинности SQL Server. Для этого следует создать новую учетную запись запуска от имени (обычную) с учетными данными учетной записи SQL и сделать ее участником профиля запуска от имени, который называется учетной записью проверки подлинности SQL Server для хранилища данных, указав сервер управления в качестве целевого компьютера.

Важно! По умолчанию профилю запуска от имени "Учетная запись проверки подлинности SQL Server для хранилища данных" назначается особая учетная запись с помощью учетной записи запуска от имени с таким же именем. Не вносите никаких изменений в учетную запись, связанную с учетной записью запуска от имени "Учетная запись проверки подлинности SQL Server для хранилища данных". Вместо этого при настройке проверки подлинности SQL Server следует создать новую учетную запись

41



и учетную запись запуска от имени и сделать учетную запись запуска от имени участником профиля "Учетная запись проверки подлинности SQL Server для хранилища данных".

В следующем разделе описываются взаимоотношения между различными учетными данными, учетными записями запуска от имени и профилями запуска от имени для встроенной проверки подлинности Windows и проверки подлинности SQL Server.

Значение по умолчанию – Встроенная проверка подлинности WindowsПрофиль запуска от имени: Учетная запись хранилища данных

Учетная запись запуска от имени: Учетная запись действия хранилища данных

Учетные данные: Учетная запись для записи данных (указывается при установке)

Профиль запуска от имени: Учетная запись проверки подлинности SQL Server для хранилища данных

Учетная запись запуска от имени: Учетная запись проверки подлинности SQL Server для хранилища данных

Учетные данные: Особая учетная запись, создаваемая Operations Manager (не меняйте)

Необязательно: Проверка подлинности SQL ServerПрофиль запуска от имени: Учетная запись проверки подлинности SQL Server для хранилища данных

Учетная запись запуска от имени: Создаваемая учетная запись запуска о имени.

Учетные данные: Создаваемая учетная запись.

Служба доступа к данным System Center или служба SDK и хранилище данных отчетовВ Operations Manager 2007 с пакетом обновления 1 (SP1) служба SDK переименована в службу доступа к данным System Center.

По умолчанию служба доступа к данным System Center или служба SDK, выполняющая чтение данных из хранилища данных и предоставляющая доступ к ним в области параметров отчетов, обеспечивает встроенную проверку подлинности Windows с помощью учетной записи SDK и службы настройки, заданной при установке Operations Manager 2007.

Если хранилище данных отчетов и сервер управления разделены границей доверия (например, находятся в разных доменах без отношений доверия), встроенная проверка подлинности Windows работать не будет. Чтобы обойти эту проблему, служба доступа к данным System Center или служба SDK подключаются к хранилищу данных отчетов, используя проверку подлинности SQL Server. Для этого следует создать новую учетную запись запуска от имени (обычную) с учетными данными учетной записи SQL и сделать ее участником профиля запуска от имени, который называется учетной записью проверки подлинности SQL Server для отчетов службы SDK, указав сервер управления в качестве целевого компьютера.

42

Важно! По умолчанию профилю запуска от имени "Учетная запись проверки подлинности SQL Server для отчетов службы SDK" назначается особая учетная запись с помощью учетной записи запуска от имени с таким же именем. Не вносите никаких изменений в учетную запись, связанную с учетной записью запуска от имени "Учетная запись проверки подлинности SQL Server для отчетов службы SDK". Вместо этого при настройке проверки подлинности SQL Server следует создать новую учетную запись и учетную запись запуска от имени и сделайте учетную запись запуска от имени участником профиля "Учетная запись проверки подлинности SQL Server для отчетов службы SDK".

В следующем разделе описываются взаимоотношения между различными учетными данными, учетными записями запуска от имени и профилями запуска от имени для встроенной проверки подлинности Windows и проверки подлинности SQL Server.

Значение по умолчанию – Встроенная проверка подлинности WindowsУчетная запись SDK и службы настройки (задается при установке Operations Manager)

Профиль запуска от имени: Учетная запись проверки подлинности SQL Server для отчетов службы SDK

Учетная запись запуска от имени: Учетная запись проверки подлинности SQL Server для отчетов службы SDK

Учетные данные: Особая учетная запись, создаваемая Operations Manager (не меняйте)

Необязательно: Проверка подлинности SQL ServerПрофиль запуска от имени: Учетная запись проверки подлинности SQL Server для хранилища данных

Учетная запись запуска от имени: Создаваемая учетная запись запуска о имени.

Учетные данные: Создаваемая учетная запись.

Консоль управления и сервер отчетовКонсоль управления подключается к серверу отчетов по протоколу HTTP через порт 80. При этом используется проверка подлинности Windows. Данные можно зашифровать с помощь канала SSL. Дополнительные сведения об использовании протокола SSL между консолью управления и сервером отчетов см. в разделе Настройка консоли управления для использования SSL при подключении к серверу отчетов в Operations Manager 2007 далее в этом руководстве по безопасности

Сервер отчетов и хранилище данных отчетовДля проверки подлинности между сервером отчетов и хранилищем данных отчетов используется проверка подлинности Windows. Учетная запись, указанная в качестве учетной записи для чтения данных при установке модуля создания отчетов, становится

43

учетной записью выполнения сервера отчетов. Если потребуется изменить пароль этой учетной записи, необходимо внести аналогичное изменение с помощью Диспетчера конфигурации служб Reporting Services в SQL Server 2005. Дополнительные сведения о сбросе пароля см. в разделе Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager 2007. Данные, передаваемые между сервером отчетов и хранилищем данных отчетов, не шифруются.


Настройка консоли управления для использования SSL при подключении к серверу отчетов в Operations Manager 2007





Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007

Настройка консоли управления для использования SSL при подключении к серверу отчетов в Operations Manager 2007Перед настройкой консоли управления для использования протокола SSL при подключении к серверу отчетов, необходимо установить SSL-сертификат в службах IIS.

На сервере отчетов запустите Диспетчер служб IIS, чтобы запросить и установить SSL-сертификат. Дополнительные сведения о применении SSL в службах IIS см. в статье базы знаний "Применение SSL в службах IIS" (http://go.microsoft.com/fwlink/?LinkId=87862).

При настройке консоли управления для использования протокола SSL используется следующая процедура.


2. На консоли управления нажмите кнопку Администрирование.

Примечание При запуске консоли управления на компьютере, не являющемся

Настройка консоли управления для использования протокола SSL

44


сервером управления, отображается диалоговое окно Подключение к серверу. В текстовом поле Имя сервера введите имя сервера управления Operations Manager 2007, к которому должна подключиться консоль управления.

3. На панели "Администрирование" разверните Администрирование, затем Управление устройствами и Параметры.

4. На панели Параметры щелкните правой кнопкой мыши Отчеты и выберите Свойства.

5. На вкладке Общие в разделе Параметры сервера отчетов щелкните раскрывающийся список URL-адрес сервера отчетов и выберите https://.

6. Отредактируйте URL-адрес, заменив имеющийся :80 текст :443, а затем нажмите кнопку ОК.

См. такжеПолучение сертификата с помощью центра сертификации предприятия Windows Server 2003 в Operations Manager 2007



Получение сертификата с помощью центра сертификации предприятия Windows Server 2003 в Operations Manager 2007В следующих процедурах описываются действия по получению сертификата от ЦС предприятия с помощью служб сертификатов, входящих в состав Windows 2000 Server и Windows Server 2003. Чтобы получить сертификат подобным образом выполните следующие действия.

Загрузите доверенный корневой сертификат (ЦС).

Импортируйте доверенный корневой сертификат (ЦС).

Создайте шаблон сертификата.

Запросите сертификат от ЦС предприятия.

Импортируйте сертификат в Operations Manager.

1. Войдите в систему, на которой планируется установить сертификат (например, на сервер шлюза или сервер управления).

2. Запустите Internet Explorer и подключитесь к компьютеру со службами сертификатов (например, http://<<имя_сервера>>/certsrv).

3. На начальной странице щелкните ссылку Загрузить сертификат ЦС, цепочку

Загрузка доверенного корневого сертификата (ЦС).

45

сертификатов или список отзыва сертификатов.

4. На странице Загрузка сертификата ЦС, цепочки сертификатов или CRL выберите Метод шифрования, затем Base 64 и Загрузка цепочки сертификатов ЦС.

5. В диалоговом окне Загрузка файла нажмите кнопку Сохранить и сохраните сертификат, например Trustedca.p7b.

6. По окончании загрузки закройте Internet Explorer.

1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.

2. В диалоговом окне Запуск программы введите mmc и нажмите кнопку ОК.

3. В окне Console1 выберите Файл и нажмите Добавить или удалить оснастку.

4. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.

5. В диалоговом окне Добавить изолированную оснастку нажмите выберите Сертификаты, а затем нажмите кнопку Добавить.

6. В диалоговом окне Оснастка диспетчера сертификатов установите переключатель учетной записи компьютера, а затем нажмите кнопку Далее.

7. В диалоговом окне Выбор компьютера убедитесь, что флажок Локальный компьютер: (на котором запущена эта консоль) установлен, и нажмите кнопку Готово.

8. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.

9. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.

10. В окне Console1 разверните узел Сертификаты (локальный компьютер), затем Доверенные корневые центры сертификации и щелкните Сертификаты.

11. Правой кнопкой мыши щелкните Сертификаты, выберите Все задачи, затем Импорт.

12. В мастере импорта сертификатов нажмите кнопку Далее.

13. На странице Файл для импорта нажмите кнопку Обзор и перейдите к папке, в которую загружен файл сертификата ЦС, например TrustedCA.p7b, выберите файл и нажмите кнопку Открыть.

14. На странице Файл для импорта выберите Поместить все сертификаты в следующее хранилище, убедитесь, что в поле Хранилище сертификатов отображается Доверенные корневые центры сертификации и нажмите кнопку Далее.

15. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

1. На рабочем столе Windows компьютера, на котором размещен ЦС предприятия,

Импорт доверенного корневого сертификата (ЦС).

Порядок создания шаблона сертификата

46

нажмите кнопку Пуск, выберите Программы, Администрирование, а затем — Центр сертификации.

2. В области переходов раскройте имя ЦС, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем нажмите кнопку Управление.

3. В консоли Шаблоны сертификатов на панели результатов щелкните правой кнопкой IPSec (автономный запрос) и выберите Скопировать шаблон.

4. В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом поле Отображаемое имя шаблона введите новое имя для данного шаблона (например, OperationsManagerCert).

5. На вкладке Обработка запросов выберите Разрешить экспортировать закрытый ключ и нажмите Поставщики служб криптографии.

6. В диалоговом окне Выбор CSP выберите наиболее подходящего поставщика служб шифрования, а затем нажмите кнопку ОК.

Примечание ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider.

7. Перейдите на вкладку Расширения, в разделе Расширения, включенные в этот шаблон выберите Политики приложений и нажмите кнопку Изменить.

8. В диалоговом окне Изменение расширения политик применения выберите IKE-посредник IP-безопасности, а затем нажмите кнопку Удалить.

9. Нажмите кнопку Добавить и в списке политики приложений выберите значения Проверка подлинности клиента и Проверка подлинности сервера, удерживая клавишу CTRL, а затем нажмите кнопку OK.

10. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

11. Выберите вкладку Безопасность и убедитесь, что группа Прошедшие проверку имеет разрешения "Чтение" и "Заявка", а затем нажмите кнопку OK.

1. В оснастке "Центр сертификации" щелкните папку Шаблоны сертификатов правой кнопкой мыши, выберите Создать и Выдаваемый шаблон сертификата.

2. В поле Включить шаблоны сертификатов выберите созданный шаблон сертификатов и нажмите кнопку OK.

1. Войдите в систему на компьютере, на котором планируется установить сертификат (например, на сервере шлюза или сервере управления).

2. Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой

Добавление шаблона в папку "Шаблоны сертификатов".

Порядок запроса сертификата от ЦС предприятия

47

сертификации (например, используйте http://<имя_сервера>/certsrv).

3. На странице приветствия служб сертификатов Microsoft щелкните Запрос сертификата.

4. На странице Запрос сертификата щелкните ссылку Или отправить расширенный запрос сертификата.

5. На странице Расширенный запрос сертификата щелкните Создать и выдать запрос к этому ЦС.

6. На странице Расширенный запрос сертификата сделайте следующее.

a. В разделе Шаблон сертификата выберите имя созданного шаблона (например, OperationsManagerCert).

b. В разделе Идентифицирующие сведения для автономного шаблона в поле Имя введите уникальное имя, например полное доменное имя компьютера, для которого запрашивается сертификат. Заполните остальные поля соответствующими данными.

Примечание Событие с идентификатором 20052 (ошибка ввода) создается, если указанное в поле Имя полное доменное имя не соответствует имени данного компьютера.

c. В разделе Параметры ключа выберите Создать новый набор ключей. В поле Поставщик служб криптографии выберите поставщика служб криптографии, отвечающего потребностям компании. В разделе Размер ключа выберите размер ключа, отвечающий потребностям компании. Выберите Автоматическое имя контейнера ключа. Убедитесь, что флажок Пометить ключ как экспортируемый установлен. Снимите флажки Экспортировать ключи в файл и Включить усиленную защиту закрытого ключа и щелкните Использовать локальное хранилище компьютера для сертификата.

Примечание ОС Windows 2000 Server будет работать с Microsoft Enhanced Cryptographic Provider 1.0. Windows Server 2003 и Windows XP будут работать с Microsoft RSA SChannel Cryptographic Provider.

d. В разделе Дополнительные параметры > Формат запроса выберите CMC. В списке Хэш-алгоритм выберите SHA-1. Снимите флажок Сохранить запрос в файл и в поле Понятное имя введите полное доменное имя компьютера, для которого запрашивается сертификат.

e. Нажмите кнопку Отправить.

f. Если появится сообщение Потенциальная ошибка сценария, нажмите кнопку Да.

g. На странице Выпущенные сертификаты щелкните ссылку Установить этот сертификат.

48

h. Если открывается диалоговое окно Потенциальная ошибка сценария, нажмите кнопку Да.

i. На странице Установленные сертификаты появится сообщение Ваш новый сертификат успешно установлен. Закройте браузер.

1. Выполните вход на компьютер, используя учетную запись, которая является членом группы администраторов.


3. В диалоговом окне Выполнение введите cmd и нажмите кнопку ОК.

4. В командной строке введите <буква_диска>: (где <буква_диска> обозначает установочный диск Operations Manager 2007), а затем нажмите клавишу ВВОД.

5. Введите cd\SupportTools\i386, а затем нажмите клавишу ВВОД.

Примечание На 64-разрядных компьютерах введите cd\SupportTools\amd64.

6. Введите следующее:

MOMCertImport /SubjectName <имя субъекта сертификата>7. Нажмите клавишу ВВОД.

См. такжеНастройка консоли управления для использования SSL при подключении к серверу отчетов в Operations Manager 2007





Получение сертификата с помощью автономного центра сертификации Windows Server 2003 в Operations Manager 2007В следующих процедурах описываются действия по получению сертификата от ЦС предприятия с помощью служб сертификатов, входящих в состав Windows 2000 Server и Windows Server 2003. Чтобы получить сертификат подобным образом выполните следующие действия.

Выполните следующие процедуры.

Импорт сертификатов с помощью MOMCertImport

49

Загрузите доверенный корневой сертификат (ЦС).

Импортируйте доверенный корневой сертификат (ЦС).

Запросите сертификат у автономного ЦС.

Утвердите ожидающий запрос сертификата. Если службы сертификатов настроены для автоматического утверждения сертификатов, перейдите к следующей процедуре (получение сертификата). В противном случае администратор ЦС должен будет выдать сертификат, используя процедуру "Получение сертификата".

Получите сертификат.

С помощью программы MOMCertImport импортируйте сертификат в Operations Manager.



3. На начальной странице щелкните ссылку Загрузить сертификат ЦС, цепочку сертификатов или список отзыва сертификатов.
















50







2. Запустите Internet Explorer, а затем подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).

3. На странице приветствия служб сертификатов Microsoft щелкните Запрос сертификата.

4. На странице Запрос сертификата щелкните ссылку Или отправить расширенный запрос сертификата.

5. На странице Расширенный запрос сертификата щелкните Создать и выдать запрос к этому ЦС.

6. На странице Расширенный запрос сертификата сделайте следующее.

a. В разделе Идентифицирующие сведения в поле Имя введите уникальное имя, например полное доменное имя компьютера, для которого запрашивается сертификат. Заполните остальные поля соответствующими данными.

Примечание Событие с идентификатором 20052 (ошибка ввода) создается, если указанное в поле Имя полное доменное имя не соответствует имени данного компьютера.

b. В разделе Тип требуемого сертификата выполните следующие действия.

Щелкните список и выберите Другое.

В поле ИД объекта введите 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.

c. В разделе Параметры ключа выберите следующие параметры.

Щелкните Создать новый набор ключейВ поле Поставщик служб криптографии выберите Microsoft Enhanced

Порядок запроса сертификата от автономного ЦС

51

Cryptographic Provider v1.0В поле Использование ключа выберите ОбаВ поле Размер ключа введите 1024Установите флажок Автоматическое имя контейнера ключаУстановите флажок Пометить ключ как экспортируемыйСнимите флажок Экспортировать ключи в файл (необязательно для служб сертификатов Active Directory Windows Server 2008)

Снимите флажок Включить усиленную защиту закрытого ключаЩелкните Использовать локальное хранилище компьютера для сертификата.

d. В разделе Дополнительные параметры выполните следующие действия.

В поле Формат запроса выберите CMCВ списке Хэш-алгоритм выберите SHA-1Снимите флажок Сохранить запрос в файлВ поле Понятное имя введите полное доменное имя сертификата, для которого запрашивается сертификат.

e. Нажмите кнопку Отправить.

f. Если открывается диалоговое окно Потенциальная нарушение безопасности, нажмите кнопку Да.

g. При появлении страницы Ожидаемый сертификат закройте браузер.

1. Войдите в систему со службами сертификатов как администратор ЦС.

2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, затем Администрирование и Центр сертификации.

3. В окне Центр сертификации раскройте узел с именем требуемого центра сертификации, а затем щелкните Ожидающие запросы.

4. На панели результатов щелкните правой кнопкой мыши ожидающий запрос из предыдущей процедуры, выберите Все задачи, а затем — Выпустить.

5. Щелкните Выданные сертификаты и убедитесь, что только что выданный сертификат указан в списке.

6. Закройте окно Центр сертификации.


2. Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой сертификации (например, используйте http://<имя_сервера>/certsrv).

Порядок утверждения ожидающего запроса сертификата

Порядок получения сертификата

52

3. На странице Службы сертификации Microsoft щелкните ссылку Просмотр состояния ожидаемого запроса сертификата.

4. На странице Просмотр состояния ожидаемого запроса сертификата выберите запрашиваемый сертификат.

5. На странице Выпущенные сертификаты щелкните ссылку Установить этот сертификат.

6. В диалоговом окне Потенциальная ошибка сценария щелкните Да.

7. На странице Установленные сертификаты появится сообщение Ваш новый сертификат успешно установлен. Закройте веб-обозреватель.



3. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.





MOMCertImport7. В диалоговом окне Выбор сертификата выберите сертификат, полученный в

предыдущем разделе, и нажмите кнопку OK.

Примечание Если отображается несколько сертификатов, укажите сертификат с назначением Проверка подлинности сервера, проверка подлинности клиента и понятным именем, заданным во время действия 6 процедуры "Запрос сертификата у автономного ЦС".

8. В диалоговом окне команды появится сообщение Сертификат установлен успешно. Проверьте журнал Operations Manager в средстве просмотра событий для проверки канала.



Импорт сертификатов с помощью MOMCertImport

53




Получение сертификата с помощью центра сертификации предприятия Windows Server 2008 в Operations Manager 2007Процедуры, описанные в этом разделе, используются для получения сертификата с компьютера Windows Server 2008, на котором работают службы сертификатов Active Directory корня предприятия. Для запроса и принятия сертификата будет использоваться программа командной строки CertReq, а для отправки и получения сертификата — веб-интерфейс.

Предполагается, что службы сертификатов Active Directory установлены, привязка HTTPS создана и соответствующий сертификат установлен. Сведения о создании привязки HTTPS см. в разделе Настройка привязки HTTPS для ЦС Windows Server 2008.

Важно! Материалы данного раздела основываются на стандартных параметрах служб сертификатов Active Directory Windows Server 2008, таких как длина ключа (2048), применение Microsoft Software Key Storage Provider в качестве поставщика служб шифрования и использование протокола SHA1. Оцените соответствие этих параметров требованиям политики безопасности своей компании.

Общее описание процесса получения сертификата из центра сертификации предприятия приводится ниже.

1. Загрузите доверенный корневой сертификат (ЦС).

2. Импортируйте доверенный корневой сертификат (ЦС).

3. Создайте шаблон сертификата.

4. Добавьте шаблон в папку "Шаблоны сертификатов".

5. Создайте файл с данными установки, который будет использоваться программой командной строки CertReq.

6. Создайте файл запроса.

7. Отправьте запрос ЦС.

8. Импортируйте сертификат в хранилище сертификатов.

9. Импортируйте сертификат в Operations Manager с помощью MOMCertImport.



54






















55

1. На компьютере с ЦС предприятия на рабочем столе Windows нажмите кнопку Пуск и последовательно выберите Программы, Администрирование и Центр сертификации.

2. В области переходов раскройте имя ЦС, щелкните правой кнопкой мыши Шаблоны сертификатов, а затем нажмите кнопку Управление.

3. В консоли Шаблоны сертификатов на панели результатов щелкните правой кнопкой IPSec (автономный запрос) и выберите Скопировать шаблон.

4. В диалоговом окне Скопировать шаблон выберите Windows Server 2003 Enterprise Edition и нажмите кнопку OK.

Примечание Параметр Windows Server 2008 Enterprise Edition в настоящее время не поддерживается.

5. В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом поле Отображаемое имя шаблона введите новое имя шаблона (например, OperationsManagerCert).

6. На вкладке Обработка запросов выберите Разрешить экспортировать закрытый ключ.

7. Перейдите на вкладку Расширения, в разделе Расширения, включенные в этот шаблон выберите Политики приложений и нажмите кнопку Изменить.

8. В диалоговом окне Изменение расширения политик применения выберите IKE-посредник IP-безопасности, а затем нажмите кнопку Удалить.

9. Нажмите кнопку Добавить и в списке политики приложений выберите значения Проверка подлинности клиента и Проверка подлинности сервера, удерживая клавишу CTRL, а затем нажмите кнопку OK.

10. В диалоговом окне Изменение расширения политик применения нажмите кнопку ОК.

11. Выберите вкладку Безопасность и убедитесь, что группа Прошедшие проверку имеет разрешения Чтение и Заявка, а затем нажмите кнопку OK.

12. Закройте консоль шаблонов сертификатов.

1. На компьютере с ЦС предприятия в оснастке "Центр сертификации" щелкните правой кнопкой мыши папку Шаблоны сертификатов, выберите Создать, а затем Выдаваемый шаблон сертификата.

2. В поле Включение шаблонов сертификатов выберите созданный шаблон

сертификатов, например OperationsManagerCert, и нажмите кнопку OK.

Порядок создания шаблона сертификата

Добавление шаблона в папку "Шаблоны сертификатов".

Создание информационного файла установки (INF-файла)56

1. На компьютере с компонентом Operations Manager, для которого запрашивается сертификат, нажмите кнопку Пуск и выберите Выполнить.

2. В диалоговом окне Запуск программы введите Notepad и нажмите кнопку ОК.

3. Создайте текстовый файл следующего содержания:

[NewRequest]Subject="CN=<Полное доменное имя компьютера, для которого создается сертификат, например сервер шлюза или сервер управления.>"Exportable=TRUEKeyLength=2048KeySpec=1KeyUsage=0xf0MachineKeySet=TRUE[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1OID=1.3.6.1.5.5.7.3.2

4. Сохраните файл с расширением INF, например RequestConfig.inf.

5. Закройте программу "Блокнот".



3. В окне командной строки введите CertReq –New –f RequestConfig.inf CertRequest.reqи нажмите клавишу ВВОД.

4. Откройте полученный файл в блокноте (например, CertRequest.req) и скопируйте его содержимое в буфер обмена.

1. На компьютере с компонентом Operations Manager, для которого запрашивается сертификат, запустите Internet Explorer и подключитесь к компьютеру со службами сертификатов, например https://<имя сервера>/certsrv.

Примечание Если привязка HTTPS не настроена на веб-сайте служб сертификатов, подключение через браузер не удастся. См. раздел Настройка привязки HTTPS для ЦС Windows Server 2008 этого руководства.

2. На странице приветствия служб сертификатов Microsoft Active Directory нажмите Запрос сертификата.

Создания файла запроса для ЦС предприятия

Отправка запроса ЦС предприятия

57

3. На странице Запрос сертификата выберите расширенный запрос сертификата.

4. На странице Расширенный запрос сертификата выберите Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7.

5. На странице Выдача запроса на сертификат или на обновление сертификата в текстовом поле Сохраненный запрос вставьте содержимое файла CertRequest.req, скопированное во время действия 4 предыдущей процедуры.

6. В разделе Шаблон сертификатов выберите созданный шаблон сертификатов, например OperationsManagerCert и нажмите кнопку Отправить.

7. На странице Сертификат выдан выберите Base64-шифрование и нажмите Загрузить сертификат.

8. В диалоговом окне Загрузка файла - предупреждение безопасности нажмите Сохранить и сохраните сертификат, например под именем NewCertificate.cer.

9. Закройте Internet Explorer.

1. На компьютере с компонентом Operations Manager, для которого настраивается сертификат, нажмите кнопку Пуск и выберите Выполнить.


3. В окне командной строки введите CertReq –Accept NewCertifiate.cerи нажмите клавишу ВВОД.

1. Войдите в систему на компьютере, на котором установлен сертификат, используя учетную запись с ролью "Администраторы".








Импорт сертификата в хранилище сертификатов

Импорт сертификата в Operations Manager с помощью MOMCertImport.

58






Получение сертификата с помощью автономного центра сертификации Windows Server 2008 в Operations Manager 2007Процедуры, описанные в этом разделе, используются для получения сертификата с автономного компьютера под управлением Windows Server 2008, на котором работают службы сертификатов Active Directory. Для запроса и принятия сертификата будет использоваться программа командной строки CertReq, а для отправки и получения сертификата — веб-интерфейс.

Предполагается, что службы сертификатов Active Directory установлены, привязка HTTPS используется и соответствующий сертификат установлен. Сведения о создании привязки HTTPS см. в разделе Настройка привязки HTTPS для ЦС Windows Server 2008.

Важно! Материалы данного раздела основываются на стандартных параметрах служб сертификатов Active Directory Windows Server 2008, таких как длина ключа (2048), применение Microsoft Software Key Storage Provider в качестве поставщика служб шифрования и использование протокола SHA1. Оцените соответствие этих параметров требованиям политики безопасности своей компании.

Общее описание процесса получения сертификата из автономного центра сертификации приводится ниже.

1. Загрузите доверенный корневой сертификат (ЦС).

2. Импортируйте доверенный корневой сертификат (ЦС).

3. Создайте файл с данными установки, который будет использоваться программой командной строки CertReq.

4. Создайте файл запроса.

5. Отправьте запрос ЦС, используя файл запроса.

6. Утвердите ожидающий запрос сертификата.

7. Получите сертификат от ЦС.

59

8. Импортируйте сертификат в хранилище сертификатов.

9. Импортируйте сертификат в Operations Manager с помощью MOMCertImport.







7. 0. 1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.















60




2. В диалоговом окне Запуск программы введите Notepad и нажмите кнопку ОК.

3. Создайте текстовый файл следующего содержания:

[NewRequest]Subject="CN=<Полное доменное имя компьютера, для которого создается сертификат, например сервер шлюза или сервер управления.>"Exportable=TRUEKeyLength=2048KeySpec=1KeyUsage=0xf0MachineKeySet=TRUE[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1OID=1.3.6.1.5.5.7.3.2

4. Сохраните файл с расширением INF, например RequestConfig.inf.

5. Закройте программу "Блокнот".



3. В окне командной строки введите CertReq –New –f RequestConfig.inf CertRequest.reqи нажмите клавишу ВВОД.

4. Откройте полученный файл (например, CertRequest.req) в блокноте. Скопируйте содержимое файла в буфер обмена.

Создание информационного файла установки (INF-файла)

Создание файла запроса с помощью автономного ЦС

61

1. На компьютере с компонентом Operations Manager, для которого запрашивается сертификат, запустите Internet Explorer и подключитесь к компьютеру со службами сертификатов (например, https://<имя сервера>/certsrv).

Примечание Если привязка HTTPS не настроена на веб-сайте служб сертификатов, подключение через браузер не удастся. См. раздел Настройка привязки HTTPS для ЦС Windows Server 2008 этого руководства.

2. На странице приветствия служб сертификатов Microsoft Active Directory нажмите Запрос сертификата.

3. На странице Запрос сертификата выберите расширенный запрос сертификата.

4. На странице Расширенный запрос сертификата выберите Выдать запрос, используя base-64 шифрованный файл PKCS #10, или выдать запрос обновления, используя base-64 шифрованный файл PKCS #7.

5. На странице Выдача запроса на сертификат или на обновление сертификата в текстовом поле Сохраненный запрос вставьте содержимое файла CertRequest.req, скопированное во время действия 4 предыдущей процедуры, и нажмите кнопку Отправить.


1. Войдите в систему на компьютере со службами сертификатов Active Directory как администратор ЦС.

2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, затем

Администрирование и Центр сертификации.

3. В окне Центр сертификации раскройте узел с именем требуемого центра сертификации, а затем щелкните Ожидающие запросы.

4. На панели результатов щелкните правой кнопкой мыши ожидающий запрос из предыдущей процедуры, выберите Все задачи, а затем — Выпустить.

5. Щелкните Выданные сертификаты и убедитесь, что только что выданный сертификат указан в списке.

6. Закройте центр сертификации.

Отправка запросов автономному ЦС

Порядок утверждения ожидающего запроса сертификата

62


2. Запустите Internet Explorer и подключитесь к компьютеру со службами сертификатов (например, используйте http://<имя_сервера>/certsrv).

3. На странице приветствия служб сертификатов Microsoft Active Directory щелкните Просмотр состояния ожидаемого запроса сертификата.

4. На странице Просмотр состояния ожидаемого запроса сертификата выберите запрашиваемый сертификат.

5. На странице Сертификат выдан выберите Base64-шифрование и нажмите Загрузить сертификат.

6. В диалоговом окне Загрузка файла - предупреждение безопасности нажмите Сохранить и сохраните сертификат, например под именем NewCertificate.cer.

7. На странице Установленные сертификаты появится сообщение Ваш новый сертификат успешно установлен. Закройте веб-обозреватель.


1. На компьютере с компонентом Operations Manager, для которого настраивается сертификат, нажмите кнопку Пуск и выберите Выполнить.


3. В окне командной строки введите CertReq –Accept NewCertifiate.cerи нажмите клавишу ВВОД.

1. Войдите в систему на компьютере, на котором установлен сертификат, используя учетную запись с ролью "Администраторы".








Порядок получения сертификата

Импорт сертификата в хранилище сертификатов

Импорт сертификата в Operations Manager с помощью MOMCertImport.

63






Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007Для удаления сертификатов, импортированных с помощью программы MOMCertImport.








MOMCertImport /Removeи нажмите клавишу ВВОД.




Удаление сертификатов, импортированных с помощью программы MOMCertImport

64

Изменение учетной записи запуска от имени, связанной с профилем запуска от имениПо умолчанию учетные записи запуска от имени связаны со следующими профилями запуска от имени.

Учетная запись хранилища данных

Учетная запись считывания данных синхронизации конфигураций хранилища данных




Например, с профилем запуска от имени "Учетная запись проверки подлинности SQL Server для хранилища данных" связана учетная запись запуска от имени "Учетная запись проверки подлинности SQL Server для хранилища данных". Например, для изменения учетной записи запуска от имени, связанной с профилем запуска от имени "Учетная запись проверки подлинности SQL Server для хранилища данных" можно использовать следующую процедуру. Предполагается, что новая учетная запись запуска от имени, которую планируется связать с данным профилем запуска от имени, уже создана. Дополнительные сведения об учетных записях и профилях запуска от имени см. в разделе Администрирование ролей безопасности, учетных записей и профилей в Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=88131).


2. На консоли управления нажмите кнопку Администрирование.


3. В панели Администрирование раскройте узлы Администрирование, Безопасность, а затем выберите Профили запуска от имени.

4. В панели "Профили запуска от имени" щелкните правой кнопкой мыши Учетная запись проверки подлинности SQL Server для хранилища данных, а затем выберите пункт Свойства.

5. В диалоговом окне Профиль запуска от имени — учетная запись проверки подлинности SQL Server для хранилища данных перейдите на вкладку Учетные записи запуска от имени.

Порядок изменение учетной записи запуска от имени, связанной с профилем запуска от имени

65



6. На вкладке Учетные записи запуска от имени выберите целевой компьютер, а затем нажмите кнопку Изменить.

7. В диалоговом окне Редактировать альтернативную учетную запись запуска от имени щелкните список Учетная запись запуска от имени, выберите новую учетную запись запуска от имени, которую следует связать с этим профилем запуска от имени, и нажмите кнопку OK.

8. В диалоговом окне Профиль запуска от имени — учетная запись проверки подлинности SQL Server для хранилища данных нажмите кнопку ОК.

Настройка привязки HTTPS для ЦС Windows Server 2008Если настраивается новый ЦС для первого использования с Operations Manager 2007, настройте привязку HTTPS для центра сертификации (ЦС) с помощью следующей процедуры.

1. На компьютере с ЦС нажмите кнопку Пуск на рабочем столе Windows, выберите Программы, Администрирование и Диспетчер служб IIS.

2. В диалоговом окне Диспетчер служб IIS на панели Подключения разверните имя компьютера, затем Узлы и выберите Веб-узел по умолчанию.

3. На панели Действия выберите Привязки.

4. В диалоговом окне Привязки узла нажмите Добавить.

5. В диалоговом окне Добавление привязки узла в меню Тип выберите https.

6. В списке SSL-сертификат выберите запись, соответствующую имени компьютера, и нажмите кнопку OK.

7. В диалоговом окне Привязки узла нажмите Закрыть.

8. На панели Подключения в разделе Веб-узел по умолчанию щелкните CertSrv.

9. На панели /CertSrv Home щелкните правой кнопкой мыши пункт Параметры SSL и нажмите Открытие функции.

10. На панели Параметры SSL выберите Требовать SSL, а затем Требовать 128-разрядный SSL.

11. На панели Действия нажмите кнопку Применить и закройте Диспетчер служб IIS.

Настройка привязки HTTPS

66

Проверка подлинности и шифрование в ОС UNIX и LinuxВерсия Operations Manager 2007 R2 допускает развертывание агентов на компьютерах под управлением UNIX и Linux. В такой среде проверка подлинности Kerberos невозможна. Поэтому между сервером управления и компьютерами UNIX и Linux используются сертификаты. В этой сценарии сертификаты проходят процедуру самозаверения на сервере управления. (Использование сертификатов сторонних производителей допускается, но не требуется.)

Существует два метода развертывания агентов: развертывание с помощью мастера обнаружения и ручная установка. Ручная установка агентов — более безопасный метод. При использовании мастера обнаружения для принудительной установки агентов на компьютеров UNIX и Linux пользователь предполагает, что компьютер, на котором развертывается агент, — это то, что он думает. Применение мастера обнаружения сопряжено с большим риском при развертывании в ДМЗ или сети общего пользования. В этом разделе руководства по безопасности мы обсудим ручное развертывание агента на компьютерах UNIX и Linux.

При использовании мастера обнаружения для развертывания агента мастер выполняет следующие функции.

Развертывание Мастер обнаружения копирует пакет агента на компьютер UNIX или Linux и начинает процесс установки.

Подпись сертификата Operations Manager получает сертификат от агента, подписывает его и снова развертывает на агенте, а затем перезапускает агент.

Обнаружение Мастер обнаружения обнаруживает компьютер и проверяет, действителен ли сертификат. Если мастер подтверждает, что компьютер можно обнаружить и сертификат действителен, он добавляет обнаруженный компьютер в базу данных Operations Manager.

При ручном развертывании агента пользователь сам выполняет первые два действия, для которых обычно применяется мастер обнаружения: развертывание и подпись сертификата. Затем компьютер добавляется в базу данных Operations Manager с помощью мастера обнаружения.

Если в системе есть сертификаты, они используются при установке агентов. Новые сертификаты не создаются. Сертификаты не удаляются автоматически при удалении

67

агента. Пользователь должен будет вручную удалить сертификаты в папке /etc/opt/microsoft/scx/ssl. Чтобы восстановить сертификаты при установке, необходимо удалить эту папку перед установкой агента.

Значения хэшей двоичных файлов агентов доступны в разделе Приложение Б - значения хэша для агентов UNIX и Linux этого руководства.

Инструкции по ручному развертыванию агентов см. в разделе "Ручная установка агентов Cross Platform" руководства по эксплуатации Operations Manager 2007 R2. (http://go.microsoft.com/fwlink/?LinkID=146211). Затем следует установить сертификаты с помощью следующих процедур.

Вопросы, связанные с межсетевыми экранами в UNIX и LinuxЕсли на компьютере UNIX или Linux установлен межсетевой экран, необходимо открыть порт 1270 (для входящего трафика). Номер порта не настраивается. Если агенты развертываются в среде с низким уровнем безопасности, и для развертывания и подписи сертификатов применяется мастер обнаружения, откройте порт SSH. Номер порта SSH можно настраивать. По умолчанию для SSH используется входящий TCP-порт 22.

Ручная установка сертификатов для поддержки нескольких платформПеред началом данной процедуры необходимо вручную установить агент. Для выполнения этой процедуры потребуется учетная запись root или учетная запись с повышенными правами.

1. На компьютере с ОС UNIX или Linux найдите файл /etc/opt/microsoft/scx/ssl/scx-host-<hostname>.pem и скопируйте или перенесите его в любую папку на компьютере с Operations Manager 2007 R2.

2. На компьютере с Operations Manager 2007 R2 нажмите кнопку Пуск на рабочем столе Windows и выберите Выполнить.

3. В диалоговом окне Запуск программы введите cmdи нажмите клавишу ВВОД.

4. Перейдите в каталог, в который скопирован файл scx.pem.

5. Введите команду scxcertconfig -sign scx-host-<hostname>.pem scx_new.pemи нажмите клавишу ВВОД. Это команда запустит самозаверение сертификата (scx-host-<hostname>.pem) и сохранит новый сертификат (scx-host-<hostname>_new.pem).

Примечание Убедитесь, что папка, в которой установлено приложение Operations Manager, включена в путь или используйте полный путь к файлу

Установка сертификатов для поддержки нескольких платформ

68


scxcertconfig.exe.

6. Скопируйте или передайте файл scx_new.pem в папку /etc/opt/microsoft/scx/ssl на компьютере с ОС UNIX или Linux по защищенному каналу. В результате исходный файл original scx-host-<hostname>.pem будет заменен.

7. Перезагрузите агент с помощью команды sxadmin –restart.

1. На компьютере с Operations Manager 2007 R2 запустите консоль Operations Manager и выберите Администрирование.

2. На панели Администрирование выберите Мастер обнаружения.

3. В мастере управления компьютерами и устройствами на странице Тип обнаружения выберите Компьютеры Unix/Linux и нажмите кнопку Далее.

4. На странице Метод обнаружения выберите Добавить.

5. В диалоговом окне Определение критериев обнаружения в поле Область обнаружения выберите DNS-имя и введите полное доменное имя компьютера UNIX или Linux, который необходимо добавить.

6. В области Учетные данные введите имя пользователя и пароль и нажмите кнопку OK.

7. На странице Метод обнаружения снимите флажок Включить обнаружение по SSH. При необходимости выберите сервер управления, который использовался для заверения сертификата, и нажмите Обнаружить.

8. На странице Выбор компьютеров для управления выберите компьютер и нажмите кнопку Далее.

9. На странице Сводка нажмите кнопку Готово.

Использование брандмауэра в Operations Manager 2007

Руководство по повышению безопасностиРуководство по повышению безопасности Microsoft Operations Manager 2007 предоставляет базовые сведения о дальнейшем повышении безопасности среды Operations Manager 2007 с помощью мастера настройки безопасности. Мастер настройки безопасности — это средство уменьшения уязвимости продуктов под управлением ОС Windows Server 2003 с пакетом обновления 1 (SP1), Windows Server 2003 с пакетом обновления 2 (SP2) и Windows Server 2003 R2.

Обнаружение компьютеров под управлением UNIX или Linux с помощью Operations Manager 2007 R2

69

Помимо практических рекомендаций по настройке, руководство содержит сведения об обновлении заблокированного агента, настройке измененных номеров портов (от стандартных значений) и примеры повышения безопасности серверов и агентов. Хотя это руководство будет полезно большинству администраторов серверов, оно предназначено для администраторов, ответственных за систему безопасности Operations Manager 2007. Дополнительные сведения см. в руководстве по ролям мастера настройки безопасности и повышению безопасности System Center Operations Manager 2007 для Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=120136).

Подключение с хранилищу данных отчетов через межсетевой экранВ этом разделе описывается настройка среды для поддержки установки хранилища данных отчетов за пределами межсетевого экрана.

Примечание Отделение консоли управления, корневого сервера управления, сервера управления или сервера отчетов межсетевым экраном или границами доверия не поддерживается.

В среде с хранилищем данных отчетов, отделенном от корневого сервера управления и сервера отчетов межсетевым экраном, встроенная проверка подлинности Windows не поддерживается. Необходимо настроить проверку подлинности SQL Server. В следующем разделе описывается включение проверки подлинности SQL Server между корневым сервером управления (или сервером управления), сервером отчетов и хранилищем данных отчетов, как показано на иллюстрации ниже.

70



Сервер управления и хранилище данных отчетовДля включения проверки подлинности SQL Server необходимо выполните следующие действия.

1. На компьютере с хранилищем данных отчетов создайте имя входа SQL с ролью для записи и чтения. Учетные данные для этой учетной записи должны иметь следующие роли в базе данных OperationsManagerDW на сервере SQL Server:

a. OpsMgrWriter;

b. db_owner (только для группы управления-владельца в базе данных).

2. На компьютере с корневым сервером управления создайте учетную запись запуска от имени (обычную) с учетными данными из предыдущего действия.

3. Свяжите эту учетную запись запуска от имени с профилем запуска от имени "Учетная запись проверки подлинности SQL Server для хранилища данных", направив его на каждый сервер управления. Дополнительные сведения см. в разделе Изменение учетной записи запуска от имени, связанной с профилем запуска от имени этого руководства.

Если между сервером управления и хранилищем данных отчетов установлен межсетевой экран, откройте порт 1433.

Сервер отчетов и хранилище данных отчетовЕсли между сервером отчетов и хранилищем данных отчетов находится межсетевой экран или границы доверия, необходимо создать канал "точка-точка".

Учетная запись, указанная при установке модуля создания отчетов в качестве учетной записи для чтения данных, становится учетной записью выполнения на сервере отчетов и будет использоваться для подключения к хранилищу данных отчетов.

Необходимо определить номер порта, который используется в компьютере с SQL Server в хранилище данных отчетов, и ввести его в таблицу dbo.MT_DataWarehouse базы данных Operations Manager. См. раздел Настройка хранилища данных отчетов на прослушивание определенного порта TCP/IP этого руководства.

Сервер отчетов и корневой сервер управления, разделенные межсетевым экраномПри установке модуля создания ответов может появиться ошибка "Не удалось проверить, относится ли текущий пользователь к роли sysadmin", если корневой сервер управления и сервер отчетов разделены межсетевым экраном. Сообщение может появиться, даже если соответствующие порты межсетевого экрана открыты. Ошибка возникает после ввода имени компьютера корневого сервера управления и нажатия кнопки Далее. Кроме того, ошибка может отображаться, когда программе установке модуля создания отчетов не удается подключиться к базе данных Operations Manager на корневом сервере управления. В этой среде необходимо определить номер порта, используемый сервером SQL Server, и настроить базу данных Operations Manager для работы с этим номером порта. См. раздел

71

Настройка базы данных Operations Manager на прослушивание определенного порта TCP/IP этого руководства.

Назначения портовВ следующей таблице показано взаимодействие компонентов Operations Manager 2007 с использованием брандмауэра (в том числе сведения о портах, используемых для связи между компонентами, направление открытия входящего порта и возможность изменения номера порта).

Компонент A Operations Manager 2007 с пакетом обновления 1 (SP1)

Номер и направление порта

Компонент B Operations Manager 2007 с пакетом обновления 1 (SP1)

Возможность настройки

Примечание

корневой сервер управления

1433 ---> база данных Operations Manager;

Да (настройка)

сервер управления

1433 ---> база данных Operations Manager;


Сервер управления

5723, 5724 ---> корневой сервер управления

Нет Для установки этого компонента должен быть открыт порт 5724. После выполнения установки порт можно закрыть.

Сервер шлюза 5723 ---> Корневой сервер управления

Нет

Корневой сервер управления

1433 ---> Хранилище данных отчетов

Нет

Сервер отчетов 5723, 5724 ---> Корневой сервер управления

Нет Для установки этого компонента должен быть открыт порт

72






5724. После выполнения установки порт можно закрыть.

Консоль управления

5724 ---> корневой сервер управления

Нет

источник Connector Framework


Нет

Сервер веб-консоли


Нет

Обозреватель веб-консоли

51908 ---> Сервер веб-консоли

Да (IIS Admin) Порт 51908 используется по умолчанию, если выбрана проверка подлинности Windows. Если выбрана проверка подлинности с помощью форм, необходимо установить SSL-сертификат и настроить один из доступных портов для работы веб-консоли Operations Manager 2007 по протоколу HTTPS.

73






подключенный корневой сервер управления (локальный)

5724 ---> подключенный корневой сервер управления (подключенный)

Нет

Агент, установленный с помощью MOMAgent.msi

5723 ---> Корневой сервер управления



5723 ---> Сервер управления



5723 ---> Сервер шлюза Да (настройка)

Сервер шлюза 5723 ---> Сервер управления


Агент (сервер пересылки ACS)

51909 ---> сборщик ACS сервера управления

Да (реестр)

Данные безагентного отслеживания исключений от клиента

51906 ---> общий файловый ресурс безагентного отслеживания исключений сервера управления

Да (мастер наблюдения за клиентами)

Данные программы улучшения качества ПО от клиента

51907 ---> сервер управления (конечная точка программы улучшения

Да (мастер наблюдения за клиентами)

74






качества программного обеспечения)

Консоль управления (отчеты)

80 ---> Службы отчетов SQL

Нет Консоль управления использует порт 80 для подключения к веб-сайту служб отчетов SQL Server.

Сервер отчетов 1433 ---> Хранилище данных отчетов

Да

сервер управления (сборщик ACS)

1433 ---> База данных службы ACS

Да

Настройка базы данных Operations Manager на прослушивание определенного порта TCP/IPВыполните следующие действия, чтобы настроить статический порт для базы данных Operations Manager.

Воспользуйтесь Диспетчером конфигурации SQL Server, чтобы отключить динамическую адресацию портов, укажите статический порт, отключите или остановите службу обозревателя SQL Server и перезагрузите SQL Server <Экземпляр> служба.

Добавьте номер статического порта в таблицу dbo.MT_ManagementGroup.

Измените реестр, чтобы настроить статический номер порта для корневого сервера управления.

Внимание! Неправильное изменение реестра может серьезно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии важных данных.

Настройка номера порта для базы данных Operations Manager75

1. Войдите в систему на компьютере с базой данных Operations Manager.

2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, Microsoft SQL Server 2005, Средства настройки, а затем Диспетчер конфигурации SQL Server.

3. В диалоговом окне Диспетчер конфигурации SQL Server разверните Сетевая конфигурация SQL Server 2005 и выберите Протоколы для <INSTANCE>.

4. На панели результатов щелкните правой кнопкой пункт TCP/IP и выберите Свойства.

5. В диалоговом окне Свойства TCP/IP выберите вкладку IP-адреса.

6. Появится несколько IP-адресов в формате IP1, IP2, .... IPAll. Один из этих IP-адресов будет адаптером замыкания на себя, 127.0.0.1. Для IP-адреса каждого компьютера будут отображаться дополнительные адреса. Разверните IP1, IP2, ... IPAll.

7. Для областей IPn, если диалоговое окно Динамические TCP-порты содержит 0 (это значит, что ядро СУБД отслеживает динамические порты), удалите 0.

8. В области IPAll, если диалоговое окно Динамические TCP-порты содержит номер порта (который обозначает назначенный номер динамического), удалите его.

9. В области IPAll в диалоговом окне TCP-порт введите номер статического порта, который следует использовать, и нажмите кнопку OK.

10. В диалоговом окне Диспетчер конфигурации SQL Server выберите Службы SQL Server 2005.

11. На панели результатов Диспетчера конфигурации SQL Server щелкните правой кнопкой мыши Обозреватель SQL Server и выберите Свойства.

12. В диалоговом окне Свойства обозревателя SQL Server выберите вкладку Служба.

13. На вкладке "Служба" выберите Режим запуска. В списке Режим запуска выберите Отключена и нажмите кнопку OK.

14. На панели результатов Диспетчера конфигурации SQL Server щелкните правой кнопкой мыши Обозреватель SQL Server и выберите Остановить.

15. На панели результатов щелкните правой кнопкой мыши SQL Server (<имя экземпляра>) и выберите Перезапустить.

16. Закройте Диспетчер конфигурации SQL Server.

1. На компьютере с базой данных Operations Manager нажмите кнопку Пуск на рабочем столе Windows, выберите Программы, Microsoft SQL Server 2005, затем SQL Server Management Studio.

2. В диалоговом окне Подключение к серверу в списке Тип сервера выберите Ядро СУБД.

Ввод номера порта SQL Server в таблицу dbo.MT_ManagementGroup

76

3. В диалоговом окне Имя сервера введите имя сервера, экземпляр и номер порта для базы данных Operations Manager (например, компьютер\<экземпляр>).

4. В списке Проверка подлинности выберите Проверка подлинности Windows и нажмите кнопку Подключить.

5. На панели обозревателя объектов разверните Базы данных, OperationsManager, Таблицы, щелкните правой кнопкой dbo.MT_ManagementGroup и выберите Открыть таблицу.

6. Прокрутите панель результатов вправо до столбца SQLServerName_<guid>.

7. В первой строке введите "компьютер\<экземпляр>", затем запятую, пробел и номер порта SQL Server (например, компьютер\ЭКЗЕМПЛЯР1, <порт>).

8. В меню Файл выберите Выход.

1. Войдите в систему на компьютере с корневым сервером управления.

2. На рабочем столе Windows нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.

3. На странице Редактор реестра разверните HKEY_LOCAL_MACHINE, затем SOFTWARE, Microsoft, Microsoft Operations Manager и 3.0. После этого щелкните Setup.

4. На панели результатов щелкните DatabaseServerName правой кнопкой мыши и нажмите Изменить.

5. В диалоговом окне Изменение строки в текстовом поле "Значение" добавьте к имени сервера запятую, пробел и номер порта. Например: <имя_компьютера>\<экземпляр>, <номер порта>.

6. Нажмите кнопку ОК.

Настройка хранилища данных отчетов на прослушивание определенного порта TCP/IPВыполните следующие процедуры, чтобы настроить статический порт для хранилища данных отчетов.

Воспользуйтесь Диспетчером конфигурации SQL Server, чтобы отключить динамическую адресацию портов, укажите статический порт, отключите или остановите службу обозревателя SQL Server и перезагрузите SQL Server <Экземпляр> служба.

Добавьте номер статического порта в таблицу dbo.MT_ManagementGroup.

Добавьте номер статического порта в таблицу dbo.MemberDatabase.

Измените реестр, чтобы настроить статический номер порта для корневого сервера управления.

Изменение реестра на корневом сервере управления

77

Внимание! Неправильное изменение реестра может серьезно повредить систему. Прежде чем вносить изменения в реестр, сделайте резервные копии важных данных.

Измените параметры служб отчетов SQL Server.

1. Войдите в систему на компьютере с хранилищем данных отчетов.

2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, Microsoft SQL Server 2005, Средства настройки, а затем Диспетчер конфигурации SQL Server.

3. В диалоговом окне Диспетчер конфигурации SQL Server разверните Сетевая конфигурация SQL Server 2005 и выберите Протоколы для <INSTANCE>.

4. На панели результатов щелкните правой кнопкой пункт TCP/IP и выберите Свойства.

5. В диалоговом окне Свойства TCP/IP выберите вкладку IP-адреса.

6. Появится несколько IP-адресов в формате IP1, IP2, .... IPAll. Один из этих IP-адресов будет адаптером замыкания на себя, 127.0.0.1. Для IP-адреса каждого компьютера будут отображаться дополнительные адреса. Разверните IP1, IP2, ... IPAll.

7. Для областей IPn, если диалоговое окно Динамические TCP-порты содержит 0 (это значит, что ядро СУБД отслеживает динамические порты), удалите 0.

8. В области IPAll, если поле Динамические TCP-порты содержит номер порта (который обозначает назначенный номер динамического), удалите его.

9. В области IPAll в диалоговом окне TCP-порт введите номер статического порта, который следует использовать, и нажмите кнопку OK.

10. В диалоговом окне Диспетчер конфигурации SQL Server выберите Службы SQL Server 2005.

11. На панели результатов Диспетчера конфигурации SQL Server щелкните правой кнопкой мыши Обозреватель SQL Server и выберите Свойства.

12. В диалоговом окне Свойства обозревателя SQL Server выберите вкладку Служба.

13. На вкладке "Служба" выберите Режим запуска. В списке Режим запуска выберите Отключена и нажмите кнопку OK.

14. На панели результатов Диспетчера конфигурации SQL Server щелкните правой кнопкой мыши Обозреватель SQL Server и выберите Остановить.

15. На панели результатов щелкните правой кнопкой мыши SQL Server (<имя экземпляра>) и выберите Перезапустить.

16. Закройте Диспетчер конфигурации SQL Server.

Настройка номера порта для базы данных Operations Manager

78

1. На компьютере с базой данных Operations Manager нажмите кнопку Пуск на рабочем столе Windows, выберите Программы, Microsoft SQL Server 2005, затем SQL Server Management Studio.


3. В списке Имя сервера введите сервер и экземпляр базы данных Operations Manager (например, компьютер\INSTANCE1).


5. На панели обозревателя объектов разверните Базы данных, OperationsManager, Таблицы, щелкните правой кнопкой dbo.MT_DataWarehouse и выберите Открыть таблицу.

6. Прокрутите панель результатов вправо до столбца MainDatabaseServerName_<guid>.

7. В первой строке введите "компьютер\<экземпляр>", затем запятую, пробел и номер порта SQL Server (например, компьютер\<экземпляр>, <порт>).


1. На компьютере с хранилищем данных отчетов нажмите кнопку Пуск на рабочем столе Windows, выберите Программы, Microsoft SQL Server 2005, затем SQL Server Management Studio.


3. В списке Имя сервера введите сервер и экземпляр базы данных Operations Manager компьютер\<экземпляр>).


5. На панели обозревателя объектов разверните Базы данных, OperationsManagerDW, Таблицы, щелкните правой кнопкой dbo.MemberDatabase и выберите Открыть таблицу.

6. Прокрутите панель результатов вправо до столбца ServerName.

7. В первой строке введите "компьютер\<экземпляр>", затем запятую, пробел и номер порта SQL Server (например, компьютер\<экземпляр>, <порт>).


Ввод номера порта SQL Server в таблицу dbo.MT_ManagementGroup

Ввод номера порта SQL Server в таблицу dbo.MemberDatabase

Изменение реестра на сервере отчетов

79


2. На рабочем столе Windows нажмите кнопку Пуск, выберите Выполнить, введите regedit, а затем нажмите кнопку ОК.

3. На странице Редактор реестра разверните HKEY_LOCAL_MACHINE, затем SOFTWARE, Microsoft, Microsoft Operations Manager и 3.0. После этого щелкните Reporting.

4. На панели результатов щелкните DWDBInstance правой кнопкой мыши и нажмите Изменить.

5. В диалоговом окне Изменение строки в текстовом поле "Значение" добавьте к имени сервера запятую, пробел и номер порта. Например: <имя_компьютера>\<экземпляр>, <номер порта>.

6. Нажмите кнопку ОК.


2. Запустите Internet Explorer и подключитесь в http://<имя компьютера>/reports$<имя экземпляра>.

3. Выберите вкладку Содержимое.

4. На правой стороне панели инструментов выберите Показать сведения.

5. Щелкните Основное хранилище данных.

6. В текстовом поле Строка подключения найдите строку source=<computer>\<instance>;initial.

7. Добавьте к имени экземпляра запятую, пробел и номер статического порта. Например: source=<computer>\<instance>, <port>;initial.

8. Нажмите кнопку Применить и закройте браузер.

Использование сертификатов со службами ACS в Operations Manager 2007Если сервер пересылки ACS находится в домене, отличном от домена сборщика ACS, и между ними не установлены двусторонние отношения доверия, для проверки подлинности между сервером пересылки ACS и сборщиком ACS необходимо использовать сертификаты.

Предполагается, что до установки сертификатов ACS на компьютере с сервером пересылки ACS произошли следующие события/

Агент установлен на компьютере, который будет действовать в качестве сервера пересылки ACS. Дополнительные сведения см. в разделе Развертывание агента

Изменение служб отчетов SQL Server

80


Operations Manager 2007 с помощью мастера установки агента (http://go.microsoft.com/fwlink/?LinkId=91128).

Сертификат (и сертификат центра сертификации [ЦС]) установлены на компьютере с агентами. Дополнительные сведения см. в разделе Сертификаты в Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=91129).

Предполагается, что до установки сертификатов ACS на компьютере со сборщиком ACS выполнены следующие действия.

Сертификат (и сертификат ЦС) установлены на сервере управления со сборщиком ACS. Дополнительные сведения см. в разделе Сертификаты в Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=91129).

Незавершенный агент утвержден и обмен данными между агентом и сервером управления проходит должным образом (в консоли управления отображается состояние агента "Работоспособен", и пакет управления развернут на агенте). Дополнительные сведения см. в разделе Утверждение установленного с помощью MOMAgent.msi агента Operations Manager 2007 для группы управления (http://go.microsoft.com/fwlink/?LinkId=91130).

Сборщик и база данных ACS установлены. Дополнительные сведения см. в разделе Установка сборщика и базы данных ACS (http://go.microsoft.com/fwlink/?LinkId=91142).

Ниже представлен общий обзор действий, которые необходимо выполнить для использования сертификатов со службами ACS.

Примечание Сертификаты, используемые в различных компонентах Operations Manager 2007 (например, на сборщике и сервере пересылки ACS, агенте, сервере шлюза, сервере управления или корневом сервере управления) должны быть выданы одним и тем же центром сертификации.

На компьютере со сборщиком ACS:

Запустите программу ADTServer -c.

Сопоставьте сертификат сервера пересылки ACS в Active Directory.

В консоли Operations Manager включите службы ACS.

На компьютере с сервером пересылки ACS:

Экспортируйте сертификат на диск, в USB-устройство флэш-памяти или сетевую папку.

Запустите программу ADTAgent -c.

См. такжеНастройка сертификатов на сборщике ACS в Operations Manager 2007

Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007

81








Настройка сертификатов на сборщике ACS в Operations Manager 2007После установки сертификатов между агентом и сервером и сервером управления и развертывания служб ACS выполните следующие процедуры на компьютерах с сборщиком ACS в рамках настройки служб ACS для использования сертификатов.

Примечание После выполнения этих процедур необходимо включить серверы пересылки ACS. Дополнительные сведения см. в разделе Поддержка серверов пересылки ACS в Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=91143).



3. В командной строке введите <буква_диска>: (где <буква_диска> принадлежит диску, на котором установлена ОС), и нажмите клавишу ВВОД.

4. Введите cd %systemroot% и нажмите клавишу ВВОД.

5. Введите cd system32\security\adtserver и нажмите клавишу ВВОД.

6. Введите net stop dhcpserver и нажмите клавишу ВВОД.

7. Введите adtserver -c и нажмите клавишу ВВОД.

8. В нумерованном списке сертификатов найдите сертификат Operations Manager, введите номер в списке (это должен быть номер 1) и нажмите клавишу ВВОД.

9. Введите net start adtserver и нажмите клавишу ВВОД.

1. Войдите в систему на компьютере с Active Directory.

2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, затем Администрирование и Пользователи и компьютеры Active Directory.

3. Разверните имя домена, щелкните правой кнопкой пункт Компьютеры, выберите Создать, а затем Компьютер.

4. В диалоговом окне Новый объект - Компьютер введите NetBIOS-имя компьютера с сервером пересылки ACS и нажмите кнопку Далее. Повторите это действие для всех компьютеров с сервером пересылки ACS.

5. В диалоговом окне Управляемые убедитесь, что флажок Это управляемый компьютер снят и нажмите кнопку Далее.

6. В диалоговом окне Новый объект - Компьютер нажмите кнопку Готово.

7. В правой панели оснастки Пользователи и компьютеры Active Directory выберите добавленный компьютер (или компьютеры) и выберите Сопоставления имен.

Назначение сертификата сборщику ACS

Настройка сопоставления имен для сертификата

82



8. В диалоговом окне Сопоставление удостоверений безопасности выберите Сертификаты X.509 и нажмите кнопку Добавить.

9. В диалоговом окне Добавить сертификат выберите меню Искать, затем путь к сертификату и нажмите кнопку Открыть.

10. В диалоговом окне Добавить сертификат установите флажок Использовать объект для альтернативного удостоверения безопасности и нажмите кнопку OK.

11. В диалоговом окне Сопоставление идентификаторов безопасности нажмите кнопку OK.

12. Повторите действия 4–11для каждого добавленного компьютера.

См. такжеИспользование сертификатов со службами ACS в Operations Manager 2007

Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007

Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007После установки сертификатов между агентом и сервером и сервером управления и развертывания служб ACS выполните следующие процедуры на компьютерах с сервером пересылки ACS (в рамках процедуры настройки служб ACS для использования сертификатов).



3. В меню Файл выберите команду Добавить или удалить оснастку.




7. В диалоговом окне Выбор компьютера выберите Локальный компьютер (на котором запущена эта консоль) и нажмите кнопку Готово.



10. В области "Корень консоли\Сертификаты (Локальный компьютер) разверните Сертификаты (Локальный компьютер), затем Личные и выберите Сертификаты.

Экспорт сертификата

83

11. На панели результатов щелкните сертификат, используемый в Operations Manager, правой кнопкой мыши, выберите Все задачи, затем Экспорт.

12. На странице Приветствие мастера экспорта сертификатов нажмите кнопку Далее.

13. На странице Экспорт закрытого ключа установите флажок Нет, не экспортировать закрытый ключ и нажмите кнопку Далее.

14. На странице Формат файла экспорта выберите Файлы в DER-кодировке X.509 (.CER) и нажмите кнопку Далее.

15. На странице Файл для экспорта нажмите кнопку Обзор.

16. На странице Сохранить как выберите папку и имя файла для сертификата, убедитесь, что для параметра Тип файла выбрано значение Файлы в DER-кодировке X.509 (.CER) и нажмите кнопку Сохранить.

Примечание Этот сертификат необходимо скопировать на компьютер со сборщиком ACS. Это значит, что следует выбрать папку, которую сборщик ACS сможет прочитать или сохранить сертификат на диск, USB-устройство флэш-памяти или в сетевую папку. Кроме того, рекомендуется включить имя компьютера в имя файла, если выполняется экспорт сертификатов с нескольких компьютеров.

17. На странице Файл для экспорта Проверьте правильность пути и имени файла и нажмите кнопку Далее, а затем кнопку Готов.



3. В командной строке введите <буква_диска>: (где <буква_диска> принадлежит диску, на котором установлена ОС), и нажмите клавишу ВВОД.

4. Введите cd %systemroot% и нажмите клавишу ВВОД.

5. Введите cd system32 и нажмите клавишу ВВОД.

6. Введите adtagent -c и нажмите клавишу ВВОД.

7. Откроется нумерованный список сертификатов. Найдите сертификат, используемый для Operations Manager, введите его номер в списке (это должен быть номер 1) и нажмите клавишу ВВОД.

8. Введите exit, чтобы закрыть окно командной строки.

См. такжеНастройка сертификатов на сборщике ACS в Operations Manager 2007

Использование сертификатов со службами ACS в Operations Manager 2007

Выполнение команды adtagent

84

Вопросы безопасности, связанные с безагентным управлением в Operations Manager 2007Управление без агентов позволяет отслеживать компьютеры без установки агентов. Например, управление без агентов можно использовать для компьютеров, работающих в особых средах, в которых установка агентов невозможна.

Сервер управления взаимодействует с компьютерами, управляемыми без агентов, через порт RPC (TCP 135) и диапазон портов DCOM. Поэтому управление без агентов для компьютеров за пределами межсетевого экрана не поддерживается.

Чтобы управление без агентов стало возможным, учетная запись действия сервера управления должна иметь права локального администратора на удаленном компьютере и должна находиться в том же домене или доверенном домене. Например, агент прокси, использующий учетную запись с низким уровнем привилегий, не сможет получить доступ к пространству имен WMI, что сделает выполнение правил, сценариев и мониторов невозможным.

Безопасность веб-консоли в Operations Manager 2007Сервер веб-консоли предоставляет браузерную альтернативу панели "Мониторинг" консоли управления Microsoft System Center Operations Manager 2007. Сервер веб-консоли используется при необходимости обращения к данным мониторинга группы управления Operations Manager 2007 следующими способами:

Через Интернет.

Без установки консоли управления.

Через подключение с низкой пропускной способностью.

Когда уведомления согласно настройкам содержат гиперссылки на соответствующие предупреждения в веб-консоли.

В результате установки веб-консоли будет установлен новый веб-сайт и новый пул приложений IIS. Новому веб-сайту будет назначено имя "Веб-консоль Operations Manager 2007" а новому пулу приложений — OPWebConsoleApp. Порт по умолчанию для доступа к веб-консоли из браузера с использованием проверки подлинности Windows: 51908.

Во время установки веб-консоли система предложит выбрать проверку подлинности Windows или проверку подлинности с помощью форм. Если выбрана проверка подлинности Windows, корпорация Майкрософт настоятельно рекомендует использовать протокол SSL. Для проверки подлинности с помощью форм протокол SSL обязателен.

Проверку подлинности Windows можно использовать, если все пользователи обращаются к Operations Manager из интрасети.

85

Примечание Если выбрана проверка подлинности Windows, сервер веб-консоли должен быть установлен на корневом сервере управления.

Если пользователи будут обращаться к веб-консоли из Интернета, выберите проверку подлинности с помощью форм.

Примечание Рекомендуемый метод обращения к веб-консоли из Интернета — проверка подлинности с помощью форм и SSL.

При использовании обоих методов проверки подлинности введенным учетным данным должна быть назначена роль Operations Manager 2007.

Предоставления доступа к веб-консоли через ИнтернетРекомендуемый метод обеспечения доступа к веб-консоли через Интернет — установить веб-консоль в ДМЗ, связанной с Интернетом. Настройте веб-консоль для использования проверки подлинности с помощью форм и установите сертификат SSL/TLS в службах IIS. Необходимо открыть порт 5724 между сервером веб-консоли и Operations Manager 2007. Канал между сервером веб-консоли и корневым сервером управления шифруется.

Дополнительные сведения см. в следующих статье базы знаний "Применение SSL в службах IIS" (http://go.microsoft.com/fwlink/?LinkId=87862).

Приложение A - список операций Operations Manager 2007В этом приложении приводится список операций Operations Manager 2007, доступных для каждого профиля.

Оператор отчетовПрофиль "Оператор отчетов" включает набор привилегий, предназначенный для пользователей, которые нуждаются в доступе к отчетам. Роль на основе данного профиля позволяет своим обладателям просматривать отчеты в соответствии с настроенной областью.

Получение экземпляра хранилища данных для группы управления

Запись в избранные отчеты

Удаление избранных отчетов

Чтение избранных отчетов

Обновление избранных отчетов

Чтение отчетов

Выполнение отчетов

86



Оператор только для чтенияПрофиль "Оператор только для чтения" включает набор привилегий, предназначенный для пользователей, которые нуждаются в доступе "только для чтения" к предупреждениям и представлениям. Роль на основе данного профиля позволяет своим обладателям просматривать предупреждения и использовать представления в соответствии с настроенной областью.

Чтение предупреждений

Получение экземпляра хранилища данных для группы управления

Чтение состояния

Чтение экземпляра соединителя

Чтение задач консоли

Перечисление диагностических объектов

Перечисление результатов диагностики

Перечисление обнаруженных объектов, заданных в пакете управления

Чтение правил обнаружения

Чтение событий

Запись в избранные задачи консоли

Удаление избранных задач консоли

Перечисление избранных задач консоли

Обновление избранных задач консоли

Запись избранных представлений

Удаление избранных представлений

Перечисление избранных представлений

Обновление избранных представлений

Перечисление объектов мониторинга

Перечисление классов мониторинга

Перечисление классов отношений мониторинга

Перечисление пакетов управления

Перечисление типов мониторов

Перечисление типов модулей

Перечисление мониторов

Перечисление переопределений

Перечисление данных о производительности

Перечисление обнаруженных объектов, заданных в пакете управления

Перечисление состояний прошлых операций обнаружения

Перечисление отношений между объектами мониторинга

87

Перечисление правил

Перечисление сохраненных операций поиска

Обновление сохраненных операций поиска

Запись в сохраненные операции поиска

Удаление сохраненных операций поиска

Перечисление состояния

Предоставление доступа к подключенным группам управления

Перечисление представлений

Перечисление типов представления

ОператорПрофиль "Оператор" включает набор привилегий, предназначенный для пользователей, которые нуждаются в доступе к предупреждениям, представлениям и задачам. Роль на основе данного профиля позволяет своим обладателям работать с предупреждениями, запускать задачи и использовать представления в соответствии с настроенной областью. В дополнение к следующим привилегиям профиль "Оператор" наследует все привилегии оператора только для чтения.

Обновление предупреждений

Выполнение диагностики

Создание избранных задач

Удаление избранных задач

Перечисление избранных задач

Обновление избранных задач

Выполнение процедур восстановления

Обновление параметров режима обслуживания

Перечисление действий по уведомлениям

Удаление действий по уведомлениям

Обновление действий по уведомлениям

Перечисление конечных точек уведомлений

Удаление конечных точек уведомлений

Удаление получателей уведомлений

Обновление получателей уведомлений

Перечисление подписок на уведомления

Удаление подписок на уведомления

Обновление подписок на уведомления

Перечисление задач

Перечисление состояния задач

88

Выполнение задач

Оператор с расширенными правамиПрофиль "Оператор с расширенными правами" включает набор привилегий, предназначенный для пользователей, которые нуждаются в праве ограниченной настройке параметров отслеживания в дополнение к привилегиям операторов. Роль на основе данного профиля позволяет своим обладателям переопределять конфигурацию правил и мониторов для целевых объектов и групп целевых объектов в настроенной области. В дополнение к следующим привилегиям профиль "Оператор" наследует все привилегии оператора только для чтения и оператора.

Обновление пакетов управления

Перечисление шаблонов

ДизайнерПрофиль "Дизайнер" включает привилегии, предназначенные для создания конфигураций отслеживания. Роль на основе данного профиля позволяет своим обладателям создавать, редактировать и удалять конфигурацию отслеживания (задачи, правила, мониторы и представления) в настроенной области. Для удобства работы авторы также могут быть настроены с привилегиями оператора с расширенными правами с областью, ограниченной группами. В дополнение к следующим привилегиям профиль "Дизайнер" наследует все привилегии оператора только для чтения, оператора и оператора с расширенными правами.

Создание пакетов управления

Удаление пакетов управления

Перечисление профилей запуска от имени

АдминистраторПрофиль администратора включает все привилегии для работы с Operations Manager. Ограничение профиля администратора областями не поддерживается. В дополнение к следующим привилегиям профиль "Администратор" наследует все привилегии дизайнера, оператора только для чтения, оператора и оператора с расширенными правами.

Создание состояния

Удаление состояния

Обновление состояния

Развертывание агента

Восстановление или удаление установленного агента

Удаление агента

Перечисление параметров агента

Обновление параметров агента

89

Перечисление агентов

Запуск или установка управления компьютерами и устройствами с помощью прокси-службы работоспособности

Перечисление компьютеров и устройств, управляемых с помощью прокси-службы работоспособности

Добавление нового экземпляра компьютера или устройства

Удаление экземпляра компьютера или устройства

Выполнение задачи обнаружения

Создание событий

Перечисление глобальных параметров

Обновление глобальных параметров

Экспорт пакетов управления

Перечисление серверов управления

Удаление конечной точки уведомления

Обновление конечной точки уведомления

Создание данных о производительности

Создание учетных записей запуска от имени

Удаление учетных записей запуска от имени

Перечисление учетных записей запуска от имени

Обновление учетных записей запуска от имени

Создание связей между учетными записями запуска от имени и профилями запуска от имени

Удаление связей между учетными записями запуска от имени и профилями запуска от имени

Перечисление связей между учетными записями запуска от имени и профилями запуска от имени

Обновление связей между учетными записями запуска от имени и профилями запуска от имени

Создание подключенных групп управления

Удаление подключенных групп управления

Перечисление ролей пользователей

Удаление ролей пользователей

Обновление ролей пользователей

Запись избранных отчетов

Удаление избранных отчетов

Чтение избранных отчетов

Обновление избранных отчетов

90

Чтение отчетов


Администратор безопасности отчетовПрофиль "Администратор безопасности отчетов" включает набор привилегий, предназначенный для интеграции системы безопасности служб отчетов SQL Server и Operations Manager.

Экспорт пакетов управления

Перечисление классов, заданных в пакетах управления

Перечисление пакетов управления


Перечисление правил

Приложение Б - значения хэша для агентов UNIX и LinuxВ этом приложении приводятся значения хэша для двоичных файлов агентов для компьютеров под управлением UNIX и Linux.

Значение хэша MD5

Агент Файл Хеш MD5

AIX 5.3 POWER scx-1.0.4-248.aix.5.ppc.lpp.gz a8ef3ebbed8cef7e98030b77ce01079f

AIX 6.1 POWER scx-1.0.4-248.aix.6.ppc.lpp.gz 9d9a43a34576cc29cd150b947017d3fe

HPUX 11iv2 IA64 scx-1.0.4-248.hpux.11iv2.ia64.depot.Z

6d4faad6e35830d8df01cf2afcc33243

HPUX 11iv2 PARISC

scx-1.0.4-248.hpux.11iv2.parisc.depot.Z

12a611c53a9f02b8c49be1a6d4966e58

HPUX 11iv3 IA64 scx-1.0.4-248.hpux.11iv3.ia64.depot.Z

855518128e2a96b976b2dbdca6dec164

HPUX 11iv3 PARISC


5a08f1eadb99dc30d1ec25b2a8add395

RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm 4e6a0800d2a579c35837373ee988a3f2

RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm 5d059616e158d0cb0d36e43c81e4b218

RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm 1f47c05508f94ecd4329facbf6ff4d97

91

Агент Файл Хеш MD5

RHEl 5 x86 scx-1.0.4-248.rhel.5.x86.rpm ac291fff0ae029c46b4bb9b0fc65226e

SLES 9 x86 scx-1.0.4-248.sles.9.x86.rpm 2a81ce3f40eabe605f1c8ddcad141c28

SLES 10 x64 scx-1.0.4-248.sles.10.x64.rpm 9911d90e16445b32ecc4d6aed9775ff1

SLES 10 x86 scx-1.0.4-248.sles.10.x86.rpm 04f77082ddb4c12da045b298dc1eab61

Solaris 8 SPARC scx-1.0.4-248.solaris.8.sparc.pkg.Z

b3f5ab647d34d54b43f0810bb002f4c6

Solaris 9 SPARC scx-1.0.4-248.solaris.9.sparc.pkg.Z

eb67396ee081155615b5a2d5e851a176

Solaris 10 SPARC

scx-1.0.4-248.solaris.10.sparc.pkg.Z

99ed166b51517b4356f66276b2b223dc

Solaris 10 x86 scx-1.0.4-248.solaris.10.x86.pkg.Z

dcf30dc553939aed648d0353342005cd

Значения хэша SHA1

Агент Файл SHA1

AIX 5.3 POWER

scx-1.0.4-248.aix.5.ppc.lpp.gz da18adfccd7eae140ddca6177b9470e0b5776dfc

AIX 6.1 POWER

scx-1.0.4-248.aix.6.ppc.lpp.gz cf702d3e13254eb6c8eb476c748eba346b5e775b

HPUX 11iv2 IA64

scx-1.0.4-248.hpux.11iv2.ia64.depot.Z

ceaf9b0d732ac94184d7ccedfdb2e3b4c1b761d7

HPUX 11iv2 PARISC


cfa64d3d29f4ce7404229c6418983946cb46d415

HPUX 11iv3 IA64


2e33c132f73e8355f663c864e9c5f39ac4a7c1c0

HPUX 11iv3 PARISC


e1836db997d1992fdf9a0d2c9b41938f5bf880ec

RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm 7061fbaa60f7b7b260445a26a0783f2b663c18df

RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm a36c7c3abed1db65bf1c21d5d1eb0b30ef57afe3

RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm c112b0093c020615ee93e61b32e8f705a0f324b3

RHEl 5 x86 scx-1.0.4-248.rhel.5.x86.rpm 9bf4a5e8acaf24497cd24bf16017a1b173cb1d50

92


SLES 9 x86 scx-1.0.4-248.sles.9.x86.rpm 63796e9167ce6a04fe82eb5202c3c98dfa0dd37c

SLES 10 x64

scx-1.0.4-248.sles.10.x64.rpm 391004f7535a7185d6817ed327c024b2d0e3777a

SLES 10 x86

scx-1.0.4-248.sles.10.x86.rpm b6b9923b47753d013b69f1abd638f1a9c0788234

Solaris 8 SPARC


08c2059863c4aaa5ee79790a83bb8f9da4b3240a

Solaris 9 SPARC


21f14b470de0e8d311c66d55e438c55688c5aadf

Solaris 10 SPARC


de0ddcf80dce18e0599ec20d29b57145126cee55

Solaris 10 x86

scx-1.0.4-248.solaris.10.x86.pkg.Z

499526bb43cb3ce9db6d7cf122b6bd5f15858bb4

Значение хэша SHA256


AIX 5.3 POWER

scx-1.0.4-248.aix.5.ppc.lpp.gz

40f93e6c5dabc07ae983814bd24bae2f9f53448dcd51d5cb4ac43e47e51a2506

AIX 6.1 POWER

scx-1.0.4-248.aix.6.ppc.lpp.gz

670e02e9af19bb3aea0593947676843faf6c360694bed41cd3a0bc0fd20fbbcc

HPUX 11iv2 IA64


a60e92bcfb53b7d49bfb2dcc909690cb955800922fd54e496a27796e684ec3fc

HPUX 11iv2 PARISC


553390b3ef4cc21375bc307855bb16c9865b196c4403605fe1df079f9f503d74

HPUX scx-1.0.4- f102b4c36447b1a2c6a6b374228fba03ec0547e3750826a9457

93


11iv3 IA64

248.hpux.11iv3.ia64.depot.Z

8d28a219f516a

HPUX 11iv3 PARISC


8d43eab9b481d51f4b9efb74ec5eb03e08eb5d8556032e745588e9b3a2eb327d

RHEL 4 x64

scx-1.0.4-248.rhel.4.x64.rpm

382b7d7afd1075cc188626b59b8f48b1c7666bdfc29c6bed1ab3e8191c9394fe

RHEL 4 x86

scx-1.0.4-248.rhel.4.x86.rpm

281d51128b98526f2223fcea93ebd72cf1b46ee81f4f5a65a08c17d39c2fb7dc

RHEL 5 x64

scx-1.0.4-248.rhel.5.x64.rpm

6448da9d2fbdc75e662255edbf22e4523c38f614baf9a0bcea9795a17be578d4

RHEl 5 x86

scx-1.0.4-248.rhel.5.x86.rpm

70408343a052ea77960315dd76ff70b9b42aad2c8c41c50997e2d5e2d30f0b1d

SLES 9 x86

scx-1.0.4-248.sles.9.x86.rpm

e628120ae89004d828bd8334330b2c44ea6cb165985b39149d28084e8849f86a

SLES 10 x64

scx-1.0.4-248.sles.10.x64.rpm

20be0a828a355f907f9a8a7dedbd8900e83f9be14b304c10054d9619b0c9998d

SLES 10 x86

scx-1.0.4-248.sles.10.x86.rpm

854262692e324bcbf78501a6b5d5199a10b4e608bcbed6524a82bee205d1f256

Solaris 8 SPARC


ad3754a5064d7733b7b096c111efbf5630927852c07b16ea0799bf7aefb1740a

Solaris 9 SPARC


81bec81c17ea8a86833accbda8c6045147b08f38b600b7cea0dcc730a59b2d90

Solaris 10 SPARC


a37a23b3ec25f8c1294c248d13cb73bbe5a7ea8fe2631bfbb42c847f724a90da

Solaris 10

scx-1.0.4-248.solaris.10.x86.pkg.

54abb0189e2b70c13644c901dc495b045bdc1e2a087a634b22

94


x86 Z 2ca42b4826d6c9

95