Archive for the ‘SCOM’ tag
OpsMgr のインストール時のサービスアカウントの設定箇所について
OpsMgr の勉強の続きです。
OpsMgr ではインストール時にいくつかのサービスアカウントの設定があります。
ローカルシステムアカウントやローカル Administrator を使用するとインストールすることはできるのですが、実運用環境に置いては権限が強すぎる、アカウントを変更する必要があるというケースが考えられると思います。
インストール時に指定したアカウントが設定される個所についてみていきたいと思います。
アカウントに関しては、OpsMgr の管理コンソールの [管理] アカウントで大体のユーザーを確認することができます。
各アカウントがどのように使用されるかは以下の技術情報に記載されています。
Operations Manager 2007 のアカウント情報
■管理サーバー アクション アカウント
管理サーバー アクション アカウントに関しては、ローカルの [Users] グループのユーザーで設定が可能なようです。
最低限の権限を持つユーザーで設定ができるようですね。
管理サーバー アクションアカウントは、[種類:アクション アカウント] に設定がされます。
[Local System Action Account] はデフォルトで作成されます。
このアカウントには、[Local System] (ローカルシステムアカウント) が設定されており、管理サーバー アクション アカウントを [ローカルシステム] で設定した場合には、このアクションアカウントのみが作成された状態になります。
アクションアカウントについては、[実行アカウントの作成] で [アクション アカウント] を選択することで新規に作成ができますので、アカウントを変更したいとなったら、新規に実行アカウントを作成すれば良さそうですね。
[Local System Action Account] 以外に関しては、ユーザー名を変更することができますので新規に作成しなくても変更することで対応ができそうです。
[ローカル セキュリティ ポリシー] の [ユーザー権利の割り当て] として以下の権限が付与されているようです。
[サービスとしてログオン]
サービスアカウントとして、アクションアカウントが設定されているサービスはないのですが、[サービスとしてログオン] の権限が付与されているようでした。
SQL Server のログインとしても設定がされていますのでこちらも変更の必要がありそうです。
■SDK と Config サービスアカウント
SDK と Config サービスアカウントに関しては、ローカルの [Administrators] グループのユーザーの必要があるようです。
Administrators グループに属していないユーザーをアカウントに設定しようとするとこのようなエラーになります。
このエラーですが、サービスアカウントとしてローカルユーザーを使用する場合も表示されるようで、ローカルアカウントを使用する場合はローカルの [Administrator] でないと駄目でした。
# Administrators グループのローカルユーザーではインストールできませんでした。
ここで設定したアカウントに関しては、OpsMgr の管理コンソールで指定できるアカウントではなくサービスアカウントとして設定がされます。
変更については技術情報が提供されています。
Operations Manager 2007 で SDK と Config サービス アカウントを変更する方法
設定したアカウントは以下のサービスのアカウントとして設定がされます。
[Ops Mgr VSS Writer Service]
このサービスに関しては上述の技術情報に記載されていないのですよね…。
ただ、サービスアカウントとしては設定がされていますので、変更の必要はあると思います。
[System Center Management Configuration]
[ローカル セキュリティ ポリシー] の [ユーザー権利の割り当て] として以下の権限が付与されているようです。
こちらも SQL Server のログインができていますので作成する必要がありそうです。
■データウェア ハウス 書き込みアカウント
このアカウントはローカルの [Users] グループで問題ないようです。
データウェア ハウス 書き込みアカウントは [種類:Windows] の [データウェアハウス アクション アカウント] として設定がされます。
実行アカウントを作成する場合は [Windows] で作成すれば良さそうですね。
このアカウントは編集することができますので、新規に作成しなくてもすでに作成されているアカウントを変更することでも対応できそうです。
データベース用のアカウントですので、SQL Server にもログインが作成されています。
■データ リーダー アカウント
このアカウントはローカルの [Users] グループで問題ないようです。
データウェア ハウス 書き込みアカウントは [種類:Windows] の [データウェアハウスのレポート展開アカウント] として設定がされます。
実行アカウントを作成する場合はデータウェアハウス アクション アカウントと同様 [Windows] で作成すれば良さそうですね。
データリーダーアカウントについてはサービスのアカウントとしても設定されています。
[SQL Server Reporting Services]
Reporting Service のサービスアカウントとしても設定がされるみたいですね。
OpsMgr の Reporting Service のアカウント変更に関しては技術文書が提供されています。
Operations Manager 2007 でレポート サーバー実行アカウントのパスワードを変更する方法
サービスからではなく [Reporting Services 構成マネージャー] から変更を行います。
ローカルセキュリティポリシーとしてもいくつか権限が付与されているようです。
[サービスとしてログオン]
SQL Server のログオンとしても設定がされています。
ここまで書いた内容を簡単にまとめると下表のようになります。
アカウント | グループ | OpsMgr アカウント | サービス | ユーザー権利の割り当て | SQL ログイン |
管理サーバー アクション アカウント |
Users | アクション アカウント | サービスとしてログオン | あり | |
SDK と Config サービスアカウント |
Administrators | OpsMgrVSSWriter OMSDK OMCFG |
サービスとしてログオン セキュリティ監査の生成 |
あり | |
データウェア ハウス 書き込みアカウント |
Users | データ ウェアハウス アクションアカウント |
あり | ||
データ リーダー アカウント | Users | データウェアハウスの レポート展開アカウント |
ReportServer |
サービスとしてログオン |
あり |
インストール時に暫定アカウントとして使っていない限り変更の必要はないとは思いますが、設定したユーザーがどこに設定されているかを知っていると便利かなと思いまとめてみました。
SQL Server 2008 R2 を使用して OpsMgr をインストール
少し System Center も触れるようになりたいなと思い、まずは System Center Operations Manager 2007 R2 (OpsMgr) から勉強を始めてみました。
# PRO 機能と絡めればおもしろそうだと思ったので。
OpsMgr で使用できる SQL Server は以下の技術情報に記載されています。
Operations Manager 2007 R2 でサポートされている構成
日本語の技術情報では、[Operations Manager の Operations データベース] には [SQL Server 2008] までしか記載がされていないのですが、英語の技術情報の [Operations Manager Operations database] には、[SQL Server 2008 R2] が記載されています。
Operations Manager 2007 R2 Supported Configurations
SQL Server 2008 R2 を使用したインストールについては KB が提供されています。
Support for System Center Operations Manager 2007 R2 that runs on a SQL Server 2008 R2 database
OpsMgr のインストーラーでデータベースを作成するのではなく、手動でデータベースを作成してそれを使うように OpsMgr をインストールすることで、SQL Server 2008 R2 を使用することが可能です。
# SQL Server 2005 SP1 または、SQL Server 2008 でインストールをして、SQL Server 2008 R2 にアップグレードするという手法もあるようなのですが、今回は新規インストールした SQL Server 2008 R2 を使用します。
ひとつ気になっているのは、
The Alert View window does not open when you click the Alert View link in the notification emails. |
という記載があるところでしょうか。
通常の操作で、アラートビューでどのようなことができて、SQL Server 2008 R2 を使った場合にどのような挙動になるのかがわかっていないのですが…。
■SQL Server 2008 R2 のインストール
機能としては以下のコンポーネントをインストールすれば OpsMgr 用のデータベースとして使用することができます。
# 管理ツールは必須ではないのですが、あると便利なのでインストールしています。
SQL Server 2008 R2 のインストールで OpsMgr に合わせた設定は以下の 2 点になります。
- 照合順序を [SQL_Latin1_General_CP1_CI_AS] に設定
サーバーレベルの照合順序を以下の設定にします - Reporting Services をネイティブ モードで構成
Reporting Serivces の構成を [ネイティブ モードの既存の構成をインストールする。] で設定します。
この設定でインストールした SQL Server を使用して、OpsMgr をインストールしていきます。
■OpsMgr のインストール
今回は Windows Server 2008 R2 にインストールをします。
OpsMgr をインストールするためには IIS をインストールする必要があります。
IIS で必要となる役割は以下の KB に記載がされています。
Windows Server 2008 を実行しているコンピューターで System Center Operations Manager 2007 の Web コンソールのインストールに失敗する場合がある
この KB は Windows Server 2008 用のものですが、Windows Server 2008 R2 でも役割の機能を追加すれば OpsMgr をインストーすることが可能です。
他には、ASP.NET Ajax Extensions 1.0 が必要になりますので、以下の URL からダウンロードしインストールしておく必要があります。
ASP.NET AJAX 1.0
.NET Framework 3.5 も必要になるのですが、これに関しては SQL Server 2008 R2 をインストールする際にインストールをしていますので、OpsMgr の前提チェックではエラーになりません。
それでは、OpsMgr をインストールしていきたいと思います。
OpsMgr の基本的な機能を使用するためには、[Operations Manager 2007 R2 のインストール] と [Operations Manager 2007 R2 レポートのインストール] を実行します。
■Operations Manager 2007 R2 のインストール
Operations Manager 2007 R2 のインストールをデフォルトの設定のまま行おうとすると、以下のコンポーネントが選択された状態となっています。
この状態でインストールをしようとすると、前提条件の確認をパスすることができません。
[ログの表示] をクリックして、内容を確認してみます。
そうすると SQL Server のチェックでエラーとなっていることが確認できます。
SQL Server 2008 R2 を使用する場合、インストーラーでデータベースを作成することができません。
データベースに関しては手動で作成する必要があります。
手動で作成する際の手順は以下の内容になります。
- OpsMgr のインストールメディアの [SUPPORTTOOLSAMD64DBCREATEWIZARD.EXE] を実行します。
- [Next] をクリックします。
- [データベースのタイプ] から [Operations Manager データベース] を選択し、[Next] をクリックします。
今回は、既定のインスタンスをポート番号を変更せずに使用していてるため SQL ポートは未指定のままにしています。 - OpsMgr の管理グループ名を入力し、[Next] をクリックします。
- [Next] をクリックします。
- [Finish] をクリックして、データベースを作成します。
- [OK] をクリックします。
以上でデータベースの手動作成は完了です。
再度インストールを実行して、インストールするコンポーネントから [Database] を外すと、前提条件のチェックをパスすることができます。
下の画像では、警告付きとなっていますがこれはメモリが 1.5 GB の環境でインストールをしているためです。
# OpsMgr のインストールは 2GB 以下のメモリだと警告になります。正常にインストールはできるので問題はありませんが。
データベースの設定になったら、先ほどデータベースを作成したサーバー名を指定します。
あとは通常の OpsMgr のインストールと同じです。
まずは検証してみたいということであれば、すべてのサービスアカウントを [ローカル システム] に設定するとインストールを行うことができます。
# 後の設定はデフォルトで。
[完了] をクリックして、インストールを完了します。
[暗号化キーのバックアップ] は [SecureStorageBackup.exe] を手動で実行することで後から実行することも可能ですので、今回はバックアップが起動したらすぐに閉じて終了しています。
■Operations Manager 2007 R2 レポートのインストール
続いて [Operations Manager 2007 R2 レポートのインストール] を実行します。
こちらもデフォルトでは、[Data Warehouse] がインストールされる設定になっています。
この設定のままインストールを続けると前提条件をパスすることができません。
ログの表示でエラーを確認すると先ほどと同じで、SQL Server でエラーとなっています。
レポート用のデータベースもインストーラーからではなく、手動で作成する必要があります。
- OpsMgr のインストールメディアの [SUPPORTTOOLSAMD64DBCREATEWIZARD.EXE] を実行します。
- [Next] をクリックします。
- [データベースのタイプ] から [Operations Manager データウェアハウス データベース] を選択し、[Next] をクリックします。
今回は、既定のインスタンスをポート番号を変更せずに使用していてるため SQL ポートは未指定のままにしています。 - [Finish] をクリックして、データベースを作成します。
- [OK] をクリックします。
以上でデータベースの手動作成は完了です。
再度インストールを実行して、インストールするコンポーネントから [Data Warehouse] を外すと、前提条件のチェックをパスすることができます。
ルート管理サーバーとしては、OpsMgr をインストールしているサーバーを指定して、[次へ] をクリックします。
データベースサーバー、Reporting Serives サーバーも自サーバーですので、OpsMgr をインストールしているサーバーを指定して、[次へ] をクリックします。
Repoting Services のサーバーを選択して、[次へ] クリックしたタイミングで応答がなくなる (砂時計のアイコンになったまま次の画面に遷移しない) ことがたまにあるのですが、その場合はタスクマネージャーを起動して、[msiexec.exe] のプロセスを終了させると画面が遷移します。
次の画面は、データウェアハウス用のアカウント設定画面になります。
検証の場合は、データウェアハウス用のアカウントはローカルの Administrator を設定すると早いかもしれません。
最後の手順として、Reporting Service で使用されているグループの名前を一時的に変更する必要があります。
- 管理ツールから [コンピュータの管理] を開きます。
- [SQLServerReportServerUser$<サーバー名>$MSRS10_50.<インスタンス名>] のグループ名を
[SQLServerReportServerUser$<サーバー名>$MSRS10.<インスタンス名>] に変更します。
この状態で再度インストールを実行すると今度はエラーが発生しない状態で完了します。
OpsMgr でサーバーが管理できていることを確認してみたいと思います。
レポートも表示できていますので、Reporting Serivces との連携もできています。
OpsMgr の現時点の最新版は OpsMgr 2007 R2 CU3 になりますので、CU3 も適用を検討しておいた方が良いかと。
System Center Operations Manager 2007 R2 Cumulative Update 3 (KB 2251525) – 日本語
操作方法についてはこれから勉強しないと。