Безопасность Operations Manager 2007 R2

руководстве по безопасности Operations
Manager 2007 R2
Корпорация Майкрософт
Опубликовано: май 2009 г.
Автор
Джон Даунинг (John Downing)
Главные рецензенты
Ян Жирка (Ian Jirka), Джозеф Чан (Joseph Chan), Линкольн Аткинсон (Lincoln Atkinson),
Олоф Мазес (Olof Mases), Руйих Махалати (Ruhiyyih Mahalati), Смита Махалати (Smita
Mahalati) и Тим Хелтон (Tim Helton)
Дополнительные рецензенты
Евгений Быков (Eugene Bykov), Клайв Иствуд (Clive Eastwood), Даг Брэдли (Doug Bradley),
Якуб Олекси (Jakub Oleksy), Ранга Калиасундарам (Ranga Kalyanasundaram) и Виталий
Филимонов (Vitaly Filimonov)
Отзывы
Предложения и комментарии по данному документу можно направить по адресу
momdocs@microsoft.com. Включите имя руководства по безопасности и дату публикации в
отзыв.
В настоящем документе представлена точка зрения корпорации Майкрософт по
обсуждаемым вопросам на момент публикации. Поскольку корпорация Майкрософт
должна реагировать на меняющиеся условия рынка, эта информация не может считаться
обязательством со стороны корпорации Майкрософт и корпорация Майкрософт не может
гарантировать точность информации, представленной здесь, после даты публикации.
Этот документ предоставляется только для информационных целей. КОРПОРАЦИЯ
МАЙКРОСОФТ НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ (ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ
ПРЕДУСМОТРЕННЫХ ЗАКОНОДАТЕЛЬСТВОМ) В ОТНОШЕНИИ ИНФОРМАЦИИ,
ПРЕДСТАВЛЕННОЙ В ДАННОМ ДОКУМЕНТЕ.
Соблюдение всех применимых законов об авторских правах является обязанностью
пользователя. Воспроизведение, сохранение или введение в любую систему поиска какойлибо части данного документа, а также его передача в любой форме, с любой целью и с
помощью любых средств (электронных, механических, фотокопирования, записи или иных
других) без письменного разрешения корпорации Майкрософт является нарушением
авторских прав.
Корпорация Майкрософт может обладать патентами, заявками на патенты, товарными
знаками, авторскими правами или другими средствами зашиты прав на интеллектуальную
собственность, относящимися к предметам и темам, описанным в данном документе.
Получение данного документа не предоставляет лицензию на вышеуказанные патенты,
товарные знаки, авторские права или другие права на интеллектуальную собственность, за
исключением случаев, когда это явно оговорено в письменном лицензионном соглашении,
выданном корпорацией Майкрософт.
Если не указано иное, представленные в примерах компании, организации, изделия, имена
доменов, адреса электронной почты, эмблемы, люди, места и события являются
вымышленными. Возможное сходство с реально существующими организациями,
предприятиями, изделиями, именами доменов, адресами электронной почты, эмблемами,
лицами и событиями следует рассматривать как случайное.
© Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
Microsoft, Active Directory, ActiveSync, Internet Explorer, Jscript, SharePoint, SQL Server, Visio,
Visual Basic, Visual Studio, Win32, Windows, Windows PowerShell, Windows Server и
Windows Vista являются товарными знаками группы компаний Майкрософт.
Все прочие товарные знаки являются собственностью соответствующих владельцев.
История редакций
Дата выпуска
Изменения
май 2009 г.
Выпуск руководства для Operations Manager
2007 R2 содержит следующие обновления и
Дата выпуска
Изменения
дополнения:

Добавлена информация о
развертывании агентов в системах UNIX
и Linux.

Добавлены значения хэша для агентов
UNIX и Linux.
Содержание
Безопасность Operations Manager 2007 R2 ................................................................................. 7
О руководстве по безопасности Operations Manager 2007 ..................................................... 7
Новые возможности системы безопасности Operations Manager 2007 ................................. 8
Сведения об учетных записях Operations Manager 2007 ........................................................ 9
Изменение пароля учетной записи пула приложений IIS ReportServer для Operations
Manager 2007 ..................................................................................................................... 14
Изменение пароля учетной записи выполнения на сервере отчетов в Operations
Manager 2007 ..................................................................................................................... 14
Изменение учетных записей SDK и службы настройки в Operations Manager 2007 ...... 15
Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в
Operations Manager 2007 ................................................................................................... 16
Настройка учетной записи действия на нескольких компьютерах в Operations Manager
2007 ..................................................................................................................................... 17
Безопасность на основе ролей в Operations Manager 2007 ................................................. 19
Профили и учетные записи запуска от имени в Operations Manager 2007 ......................... 23
Создание учетной записи запуска от имени в Operations Manager 2007 ......................... 30
Создание и настройка профиля запуска от имени в Operations Manager 2007 .............. 32
Изменение профиля запуска от имени ............................................................................... 35
Проверка подлинности и шифрование данных для компьютеров Windows в Operations
Manager 2007 ......................................................................................................................... 36
Настройка консоли управления для использования SSL при подключении к серверу
отчетов в Operations Manager 2007.................................................................................. 44
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007 ....................................................................................... 45
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007 ....................................................................................... 49
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007 ....................................................................................... 54
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007 ....................................................................................... 59
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
............................................................................................................................................. 64
Изменение учетной записи запуска от имени, связанной с профилем запуска от имени
............................................................................................................................................. 65
Настройка привязки HTTPS для ЦС Windows Server 2008 ............................................... 66
Проверка подлинности и шифрование в ОС UNIX и Linux ................................................... 67
Ручная установка сертификатов для поддержки нескольких платформ ......................... 68
Использование брандмауэра в Operations Manager 2007 .................................................... 69
Настройка базы данных Operations Manager на прослушивание определенного порта
TCP/IP ................................................................................................................................. 75
Настройка хранилища данных отчетов на прослушивание определенного порта TCP/IP
............................................................................................................................................. 77
Использование сертификатов со службами ACS в Operations Manager 2007 .................... 80
Настройка сертификатов на сборщике ACS в Operations Manager 2007 ......................... 82
Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007 ........ 83
Вопросы безопасности, связанные с безагентным управлением в Operations Manager
2007 ........................................................................................................................................ 85
Безопасность веб-консоли в Operations Manager 2007 ........................................................ 85
Приложение A - список операций Operations Manager 2007 ................................................ 86
Приложение Б - значения хэша для агентов UNIX и Linux ................................................... 91
Безопасность Operations Manager 2007 R2
О руководстве по безопасности Operations
Manager 2007
В этом руководстве представлены сведения о системе безопасности Operations
Manager 2007. Вопросы, рассматриваемые в этой версии руководства по безопасности,
описываются в следующем разделе.
Последующие редакции этого документа см. на странице "Руководство по безопасности
Operations Manager 2007" (http://go.microsoft.com/fwlink/?LinkId=64017).
В этом разделе
Сведения об учетных записях Operations
Manager 2007
Здесь описываются учетные записи
Operations Manager 2007, для которых нужно
будет ввести учетные данные.
Безопасность на основе ролей в Operations
Manager 2007
Здесь описывается реализация
безопасности на основе ролей.
Профили и учетные записи запуска от имени Здесь описывается использование учетных
в Operations Manager 2007
записей и профилей запуска от имени.
Проверка подлинности и шифрование
данных для компьютеров Windows в
Operations Manager 2007
Здесь описывается использование способы
и условия шифрования данных,
передаваемых между различными
компонентами Operations Manager, а также
получение и использование сертификатов.
Проверка подлинности и шифрование в ОС
UNIX и Linux
Здесь описывается безопасное
развертывание агентов на компьютерах
UNIX и Linux.
Использование сертификатов со службами
ACS в Operations Manager 2007
Здесь описываются ситуации, в которых
необходимо использовать сертификаты для
проверки подлинности между сервером
пересылки и сборщиком ACS.
Вопросы безопасности, связанные с
Сведения о вопросах безопасности,
7
безагентным управлением в Operations
Manager 2007
связанных с безагентным управлением в
Operations Manager 2007.
Безопасность веб-консоли в Operations
Manager 2007
Здесь описывается использование
протокола SSL с веб-консолью Operations
Manager 2007.
Приложение A - список операций Operations
Manager 2007
Здесь представлены все доступные
операции с разбиением по профилю.
Приложение Б - значения хэша для агентов
UNIX и Linux
Здесь представлены значения хэша для
агентов UNIX и Linux
Внешние ресурсы
Интерактивную версию справки см. на странице "Справка Operations Manager 2007"
(http://go.microsoft.com/fwlink/?LinkID=77739).
Новые возможности системы безопасности
Operations Manager 2007
В следующих разделах описываются функции системы безопасности Operations
Manager 2007, недоступные в Microsoft Operations Manager (MOM) 2005.
Учетные записи и профили запуска от имени
В MOM 2005 для выполнения всех правил и ответов использовались учетные данные из
одной учетной записи действия, которая должна была иметь достаточные права для всех
отслеживаемых приложений. В Operations Manager 2007 были добавлены учетные записи и
профили запуска от имени. Несколько учетных записей запуска от имени могут
обеспечивать отслеживание нескольких приложений или компонентов и позволяют создать
учетные данные с наименьшим уровнем привилегий для решения поставленной задачи.
Учетные записи запуска от имени дают возможность управлять всеми паролями и
учетными данными группы управления из одной точки — корневого сервера управления.
Роли пользователя
Обращаться к приложению Operations Manager 2007 и управлять им можно несколькими
способами: с помощью консоли управления, веб-консоли, Windows PowerShell или
специализированных приложений. Во всех случаях система безопасности на основе ролей
гарантирует, что введенные учетные данные относятся к роли пользователя в Operations
Manager 2007.
8
Сведения об учетных записях Operations
Manager 2007
Во время установке и эксплуатации Operations Manager 2007 система предложит ввести
учетные данные нескольких учетных записей. В начале этого раздела приводится
информация об учетных записях действия. Также представлены сведения о других
учетных записях, таких как учетная запись SDK и службы настройки, учетная запись
установки агента, учетная запись для записи в хранилище данных и учетная запись для
чтения данных.
Учетная запись действия
Серверы Operations Manager 2007 с различными ролями, корневой сервер управления,
сервер управления, сервер шлюза и агент используют процесс MonitoringHost.exe для
операций отслеживания, например для запуска мониторов и задач. Например, когда агент
подписывается на журнал событий для чтения информации о событиях, соответствующие
операции выполняются процессом MonitoringHost.exe. Учетная запись, с которой
выполняется MonitoringHost.exe, называется учетной записью действия. Учетная запись
действия для процесса MonitoringHost.exe, запущенного на агенте, называется учетной
записью действия агента. Учетная запись действия для процесса MonitoringHost.exe,
запущенного на сервере управления, называется учетной записью действия сервера
управления. Учетная запись действия для процесса MonitoringHost.exe, запущенного на
сервере шлюза, называется учетной записью действия сервера шлюза.
Учетная запись действия агента
Если действие не связано с профилем запуска от имени, для его выполнения будут
использоваться учетные данные, заданные для учетной записи действия. Дополнительные
сведения о профиле запуска от имени см. в разделе Профили и учетные записи запуска от
имени в Operations Manager 2007 этого руководства. Некоторые примеры действий
перечислены ниже.

Отслеживание и сбор данных журнала событий Windows.

Отслеживание и сбор данных счетчика производительности Windows.

Отслеживание и сбор данных инструментария управления Windows (WMI).

Выполнение таких действий, как сценарии или пакеты.
MonitoringHost.exe — это процесс, который выполняет эти действия с использованием
учетных данных, заданных в учетной записи действия. Для каждой учетной записи
создается новый экземпляр MonitoringHost.exe.
Использование учетной записи с низким уровнем привилегий
При установке Operations Manager 2007 можно выбрать один из двух вариантов назначения
учетной записи действия.
9

Локальная система

Домен или локальная учетная запись
Стандартный подход — использовать учетную доменную запись, которая позволяет
выбрать пользователя с наименьшим уровнем привилегий, необходимым для среды.
На компьютерах под управлением ОС Windows Server 2003, Windows Server 2003 R2 и
Windows Vista учетная запись действия по умолчанию будет иметь следующие
минимальные привилегии:

член локальной группы "Пользователи",

член локальной группы "Пользователи системного монитора",

разрешение "Локальный вход в систему" (SetInteractiveLogonRight).
Важно!
Это самый низкий уровень привилегий, который Operations Manager 2007
поддерживает для учетной записи действия. У других учетных записей запуска от
имени могут быть привилегии более низкого уровня. Фактические привилегии,
необходимые учетным записям запуска от имени, зависят от пакетов управления,
запущенных на данном компьютере, и их параметров. Дополнительные сведения о
необходимых привилегиях см. в руководстве по соответствующему пакету
управления.
Выбирая учетные данные для учетной записи действия, учитывайте следующее.

Учетную запись с низким уровнем привилегий можно использовать только на
компьютерах под управлением ОС Windows Server 2003, Windows Server 2003 R2 и
Windows Vista. На компьютерах с операционной системой Windows 2000 и Windows XP
учетная запись действия должна быть членом локальной группы безопасности
"Администраторы" или "Локальная система".

Для агентов, используемых для отслеживания контроллеров домена, достаточно
учетной записи с низким уровнем привилегий.

Для использования доменной учетной записи необходимо обновить пароль в
соответствии с политиками срока действия пароля.

Остановите, а затем запустите службу управления System Center, если учетная запись
с низким уровнем привилегий была настроена и добавлена в требуемые группы, когда
служба управления System Center работала.
Учетная запись действия уведомления
Учетная запись действия уведомления — это учетная запись запуска от имени, созданная
пользователем для настройки уведомлений. Это учетная запись действия, которая
используется для создания и отправки уведомлений. Убедитесь, что у учетных данных,
используемых для этой учетной записи, достаточно прав для работы с SMTP-сервером,
сервером обмена мгновенными сообщениями или SIP-сервером, которые будут
использоваться для отправки уведомлений.
10
Если пользователь меняет пароль учетных данных, введенных для учетной записи
действия уведомления, необходимо внести аналогичные изменения для учетной записи
запуска от имени.
Управление учетными данными учетной записи действия
Operations Manager определит дату истечения срока действия пароля для учетной записи,
выбранной пользователем, и выдаст предупреждение за 14 дней до этой даты. При
изменении пароля в Active Directory можно изменить пароль учетной записи действия
Operations Manager на вкладке Учетная запись страницы Свойства учетной записи
запуска от имени. Дополнительные сведения об управлении учетными данными учетной
записи действия см. в статье "Изменение учетных данных учетной записи действия в
Operations Manager" (http://go.microsoft.com/fwlink/?LinkId=88304).
Для настройки учетной записи действия на нескольких компьютерах можно использовать
сценарий Windows PowerShell set-ActionAccount.ps1. Дополнительные сведения см. в
комплекте ресурсов SC Ops Mgr 2007 (http://go.microsoft.com/fwlink/?LinkId=92596). С
помощью этого сценария можно настроить учетную запись действия на всех компьютерах в
группе. См. раздел "Настройка учетной записи действия на нескольких компьютерах в
Operations Manager 2007" руководства по безопасности.
Учетная запись SDK и службы настройки
Учетная запись SDK и службы настройки — это один набор учетных данных, который
применяется службой доступа к данным System Center и службой настройки управления
System Center для обновления и считывания информации в Operations Manager. Operations
Manager назначает учетным данным, используемым учетной записью действия SDK и
службы настройки, роль "sdk_user"в базе данных Operations Manager. Учетную запись SDK
и службы настройки можно настроить как учетную запись локальной системы или
доменную учетную запись. Учетная запись локального пользователя не поддерживается.
Если корневой сервер управления и база данных Operations Manager находятся на разных
компьютерах, в качестве учетной записи SDK и службы настройки следует использовать
доменную учетную запись. Для повышенной безопасности мы рекомендуем применять
учетную запись, отличную от учетной записи действия сервера управления. Сведения об
изменении этих учетных записей см. в статье базы знаний "Изменение учетных данных для
учетной записи службы OpsMgr SDK и OpsMgr Config Service в Microsoft System Center
Operations Manager 2007" (http://go.microsoft.com/fwlink/?LinkId=112435).
Учетная запись установки агента
При развертывании агентов с помощью мастера обнаружения запрашивается учетная
запись с правами администратора. Эта учетная запись используется для установки агента
на компьютере, это значит, что она должна иметь права локального администратора на
всех компьютерах, на которых развертываются агенты. Учетная запись действия сервера
управления является учетной записью установки агента по умолчанию. Если учетная
11
запись действия сервера управления не имеет прав администратора, выберите Другая
учетная запись пользователя и укажите учетную запись с правами администратора. Эта
учетная запись перед использованием шифруется, а затем удаляется.
Учетная запись для записи в хранилище данных
Учетная запись для записи в хранилище данных выполняет запись данных из корневого
сервера управления или сервера управления в хранилище данных отчетов и читает их в
базе данных Operations Manager. Учетные данные, введенные для этой учетной записи,
должны иметь определенные роли, которые зависят от приложения. (См. таблицу ниже.)
Приложение
База данных и роль
Роль и учетная запись
Microsoft SQL Server 2005
OperationsManager
db_datareader
Microsoft SQL Server 2005
OperationsManager
dwsync_user
Microsoft SQL Server 2005
OperationsManagerDW
OpsMgrWriter
Microsoft SQL Server 2005
OperationsManagerDW
db_owner
Operations Manager 2007
Роль пользователя
Администраторы
безопасности отчетов
Operations Manager:
Operations Manager 2007
Учетная запись запуска от
имени
Учетная запись действия
хранилища данных
Operations Manager 2007
Учетная запись запуска от
имени
Учетная запись считывания
данных синхронизации
конфигураций хранилища
данных
Если пользователь меняет пароль учетных данных учетной записи для записи в
хранилище данных, необходимо внести аналогичные изменения для следующих учетных
записей.

Учетная запись запуска от имени, которая называется учетной записью действия
хранилища данных

Учетная запись запуска от имени, которая называется учетной записью считывания
данных синхронизации конфигураций хранилища данных
Учетная запись чтения данных
Эта учетная запись используется для развертывания отчетов, выбора пользователя,
который применяется службами отчетов SQL Server для выполнения запросов в
хранилище данных отчетов и в качестве учетной записи пула приложений IIS в службах
12
отчетов SQL для подключения к корневому серверу управления. Эта учетная запись
добавляется к профилю администратора отчетов.
Учетные данные, введенные для этой учетной записи, должны иметь определенные роли,
которые зависят от приложения. (См. таблицу ниже.)
Приложение
База данных и роль
Роль и учетная запись
Microsoft SQL Server
2005
Экземпляр установки сервера
отчетов
Учетная запись выполнения на
сервере отчетов
Microsoft SQL Server
2005
OperationsManagerDW
OpsMgrReader
Operations Manager
2007
Роль пользователя
Администраторы безопасности
отчетов Operations Manager:
Operations Manager
2007
Роль пользователя
Операторы отчетов Operation
Manager
Operations Manager
2007
Учетная запись запуска от
имени
Учетная запись развертывания
отчетов хранилища данных
Пул приложений
IIS
ReportServer$<INSTANCE>
Службы Windows
Службы отчетов SQL Server
Учетная запись входа
Если пользователь меняет пароль учетных данных, введенных для учетной записи чтения
данных, необходимо внести аналогичные изменения для следующих учетных записей.

Учетная запись выполнения на сервере отчетов.

Учетная запись служб отчетов SQL Server на компьютере, на котором размещены
службы отчетов SQL Server (SRS).

Учетная запись пула приложений IIS ReportServer$<INSTANCE>.

Учетная запись запуска от имени, которая называется учетной записью развертывания
отчетов хранилища данных
См. также
Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager
2007
Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager
2007
Изменение учетных записей SDK и службы настройки в Operations Manager 2007
Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в
Operations Manager 2007
Настройка учетной записи действия на нескольких компьютерах в Operations Manager 2007
13
Изменение пароля учетной записи пула приложений IIS
ReportServer для Operations Manager 2007
При изменении пароля учетной записи, указанной в качестве учетной записи для чтения
данных во время установки сервера отчетов, воспользуйтесь следующей процедурой,
чтобы изменить пароль учетной записи пула приложений IIS ReportServer на компьютере
со службами отчетов SQL Server.
Изменение учетной записи пула приложений IIS ReportServer
1. На компьютере со службами отчетов SQL Server нажмите кнопку Пуск на рабочем
столе Windows, выберите Программы, Администрирование и Диспетчер служб
IIS.
2. В Диспетчере служб IIS разверните <Имя компьютера> (локальный
компьютер), затем Пулы приложений, щелкните правой кнопкой мыши
ReportServer<ЭКЗЕМПЛЯР> и выберите Свойства.
3. В диалоговом окне Свойства ReportServer<ЭКЗЕМПЛЯР> нажмите
Удостоверение.
4. В текстовом поле Пароль введите новый пароль и нажмите кнопку OK.
5. Закройте Диспетчер служб IIS.
См. также
Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager
2007
Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в
Operations Manager 2007
Изменение пароля учетной записи выполнения на сервере
отчетов в Operations Manager 2007
При изменении пароля учетной записи, указанной в качестве учетной записи для чтения
данных во время установки сервера отчетов, воспользуйтесь следующей процедурой для
изменения пароля учетной записи выполнения на сервере отчетов.
Изменение пароля учетной записи выполнения на сервере отчетов
1. На компьютере с сервером отчетов нажмите кнопку Пуск на рабочем столе
Windows выберите Программы, затем Microsoft SQL Server 2005, Средства
настройки и выберите Настройка служб Reporting Services.
2. В диалоговом окне Выбор экземпляра установки сервера отчетов нажмите
кнопку Подключить.
3. На левой панели Диспетчера конфигурации служб Reporting Services выберите
Учетная запись выполнения.
14
4. На панели "Учетная запись выполнения" введите новый пароль для учетной записи
выполнения.
5. Нажмите кнопку Применить, а затем кнопку Выход, чтобы закрыть Диспетчер
конфигурации Reporting Services.
См. также
Изменение пароля учетной записи пула приложений IIS ReportServer для Operations
Manager 2007
Изменение пароля учетной записи службы Windows для служб отчетов SQL Server в
Operations Manager 2007
Изменение учетных записей SDK и службы настройки в
Operations Manager 2007
Во время установки Operations Manager 2007 система предложит ввести учетные данные
для двух служб. С выходом Operations Manager 2007 R2 имена этих служб изменились.
Чтобы изменить пароль для указанных учетных данных или применить другой набор
учетных данных, следуйте процедуре для своей версии Operations Manager.
Примечание
Для обеих служб необходимо использовать одинаковые учетные данные.
Изменение учетных данных и пароля для служб Operations Manager 2007 с
пакетом обновления 1 (SP1)
1. На компьютере с корневым сервером управления нажмите кнопку Пуск на рабочем
столе Windows и выберите Выполнить.
2. В диалоговом окне Запуск программы введите services.msc, а затем нажмите
кнопку ОК.
3. В списке служб щелкните службу SDK правой кнопкой мыши и выберите
Свойства.
4. В диалоговом окне Свойства SDK перейдите на вкладку Вход.
5. Введите новые учетные данные или измените пароль для имеющихся учетных
данных и нажмите кнопку OK.
6. В списке служб щелкните службу настройки правой кнопкой мыши и выберите
Свойства.
7. В диалоговом окне Свойства настройки перейдите на вкладку Вход.
8. Введите новые учетные данные или измените пароль для имеющихся учетных
данных и нажмите кнопку OK.
9. Остановите и заново запустите службы SDK и настройки.
15
Изменение учетных данных и пароля для служб Operations Manager 2007 R2
1. На компьютере с корневым сервером управления нажмите кнопку Пуск на рабочем
столе Windows и выберите Выполнить.
2. В диалоговом окне Запуск программы введите services.msc, а затем нажмите
кнопку ОК.
3. В списке служб щелкните Службу доступа к данным System Center правой
кнопкой мыши и выберите Свойства.
4. В диалоговом окне Свойства службы доступа к данным System Center
перейдите на вкладку Вход.
5. Введите новые учетные данные или измените пароль для имеющихся учетных
данных и нажмите кнопку OK.
6. В списке служб щелкните Службу настройки управления System Center правой
кнопкой мыши и выберите Свойства.
7. В диалоговом окне Свойства службы настройки управления System Center
перейдите на вкладку Вход.
8. Введите новые учетные данные или измените пароль для имеющихся учетных
данных и нажмите кнопку OK.
9. Остановите и запустите службы доступа к данным и настройки управления System
Center.
Изменение пароля учетной записи службы Windows для
служб отчетов SQL Server в Operations Manager 2007
При изменении пароля учетной записи, указанной в качестве учетной записи для чтения
данных во время установки сервера отчетов, воспользуйтесь следующей процедурой для
изменения пароля учетной записи действия Windows служб отчетов SQL Server на
компьютере со службами отчетов SQL Server.
Изменение пароля учетной записи службы Windows для служб отчетов SQL Server
1. На компьютере со службами отчетов SQL Server нажмите кнопку Пуск на рабочем
столе, выберите Параметры, затем Выполнить.
2. В диалоговом окне Запуск программы введите services.msc, а затем нажмите
кнопку ОК.
3. Прокрутите раскрывающийся список Службы вниз, щелкните SQL Server
Reporting Services (<ЭКЗЕМПЛЯР>) правой кнопкой мыши и выберите Свойства.
4. В диалоговом окне Свойства
SQL Server Reporting Services (<ЭКЗЕМПЛЯР>) нажмите Вход.
5. Введите новый пароль в диалоговых окнах Пароль и Подтверждение пароля и
16
нажмите кнопку OK.
6. Закройте окна Службы и Администрирование.
См. также
Изменение пароля учетной записи пула приложений IIS ReportServer для Operations
Manager 2007
Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager
2007
Настройка учетной записи действия на нескольких
компьютерах в Operations Manager 2007
В этой процедуре описывается использование сценария Windows PowerShell setActionAccount.ps1 для настройки учетной записи действия на нескольких компьютерах.
Необходимо загрузить сценарий set-ActionAccount.ps1 на компьютер с консолью
управления и командной оболочкой Operations Manager 2007. Дополнительные сведения о
сценарии set-ActionAccount.ps1 см. в комплекте ресурсов SC Ops Mgr 2007
(http://go.microsoft.com/fwlink/?LinkId=92596).
Можно указать компьютеры, для которых необходимо изменить учетную запись действия,
создав новую группу компьютеров или выбрав группу компьютеров в окне "Обнаруженное
оборудование". Обе процедуры описываются в следующих разделах. Предполагается, что
сценарий set-AcitonAccount.ps1 загружен в папку "Мои документы" на диске C.
Настройка учетной записи действия на нескольких компьютерах
1. Войдите в компьютер с учетной записью, которая является членом роли
администраторов Operations Manager для группы управления Operations
Manager 2007.
2. На консоли управления нажмите кнопку Мониторинг.
Примечание
При запуске консоли управления на компьютере, не являющемся
сервером управления, отображается диалоговое окно Подключение к
серверу. В текстовом поле Имя сервера введите имя сервера
управления Operations Manager 2007, к которому должна подключиться
консоль управления.
3. На панели Мониторинг выберите Создать, а затем Представление состояний.
4. В диалоговом окне Свойства в текстовом поле Имя введите имя этого
представления (например, "Моя группа компьютеров").
5. На вкладке Критерии в списке Показать данные, связанные с щелкните кнопку с
многоточием (…).
6. В диалоговом окне Выбор типа целевого объекта в текстовом поле Искать
17
введите Группа компьютеров, выберите Отобразить все целевые объекты,
затем выберите Группа компьютеров в списке и нажмите кнопку OK.
7. В диалоговом окне Свойства нажмите кнопку ОК.
8. На панели "Мониторинг" разверните узел Мониторинг и щелкните созданное
представление, например Моя группа компьютеров).
9. На панели результатов (например, на панели результатов "Моя группа
компьютеров"), щелкните правой кнопкой группу компьютеров, включающую
целевые компьютеры, для которых следует изменить учетную запись действия,
нажмите кнопку Открыть и выберите Командная оболочка.
10. В окне Windows PowerShell введите путь к сценарию, затем имя сценария и
учетную запись действия, которую следует изменить. Например, введите
c:\Documents and Settings\<user>\My Documents\set-ActionAccount
"ActionAccount", (где "ActionAccount" — это учетные данные (домен\имя
пользователя) учетной записи, которую следует задать на нескольких
компьютерах), и нажмите клавишу ВВОД.
Настройка учетной записи действия на нескольких компьютерах с помощью окна
"Обнаруженное оборудование"
1. Войдите в компьютер с учетной записью, которая является членом роли
администраторов Operations Manager для группы управления Operations
Manager 2007.
2. На консоли управления нажмите кнопку Мониторинг.
Примечание
При запуске консоли управления на компьютере, не являющемся
сервером управления, отображается диалоговое окно Подключение к
серверу. В текстовом поле Имя сервера введите имя сервера
управления Operations Manager 2007, к которому должна подключиться
консоль управления.
3. На панели "Мониторинг" разверните узел Мониторинг и нажмите Обнаруженное
оборудование.
4. На панели "Действия" разверните узел Действия состояния и выберите Изменить
тип целевого объекта.
5. В диалоговом окне Изменить тип целевого объекта выберите Отобразить все
целевые объекты.
6. В текстовом поле Искать введите Группа компьютеров.
7. В столбце Целевой объект выберите Группа компьютеров и нажмите кнопку OK.
8. На панели результатов "Обнаруженное оборудование (Группа компьютеров)
щелкните правой кнопкой мыши компьютеры, для которых необходимо изменить
учетную запись действия, нажмите кнопку Открыть и нажмите
Командная оболочка.
18
9. В окне Windows PowerShell введите путь к сценарию, затем имя сценария и
учетную запись действия, которую следует изменить. Например, введите
c:\Documents and Settings\<user>\My Documents\set-ActionAccount
"ActionAccount", (где "ActionAccount" — это учетные данные (домен\имя
пользователя) учетной записи, которую следует задать на нескольких
компьютерах), и нажмите клавишу ВВОД.
Безопасность на основе ролей в Operations
Manager 2007
Обращение к ПО Operations Manager 2007 и управление им осуществляется с помощью
консоли управления, веб-консоли, Windows PowerShell или специализированных
приложений. Во всех случаях система безопасности на основе ролей гарантирует, что
введенные учетные данные относятся к роли пользователя в Operations Manager.
Operations Manager 2007 может отслеживать корпоративные приложения различных типов,
и эти приложения могут управляться несколькими командами. Администратор Operations
Manager может ограничить доступ каждой команды данными отслеживания, с которыми
они работают. Безопасность на основе ролей позволяет предоставлять доступ к данным,
средствам и действиям отслеживания на для каждой отдельной команды.
Терминология и понятия
Терминология системы безопасности на основе ролей приводится в следующей таблице.
Термин
Значение
Операция или привилегия
Действие, безопасность которого можно
обеспечить, например разрешение
предупреждений, переопределение
мониторов, создание ролей пользователей,
просмотр предупреждений и событий и др.
Полный список операций см. в приложении
A.
Профиль
Набор операций, которые может выполнять
пользователь, например администратор или
оператор.
Operations Manager 2007 содержит
следующие профили:

Администратор

Оператор с расширенными правами
19
Термин
Значение

Дизайнер

Оператор

Оператор только для чтения

Оператор отчетов

Администратор безопасности отчетов
Область
Определяет область действия операций
профиля, например задачи и группы.
Роли пользователя
Сочетание профиля и области.
Назначение роли
Связь пользователей и групп Windows и
ролей Operations Manager.
Область
Область всех объектов пакетов управления, таких как атрибуты, мониторы, операции
обнаружения объектов, правила, задачи и представления, ограничивается целевыми
объектами (которые также называются типами или классами). Целевой объект,
определенный в пакете управления, представляет собой определенный тип объекта. Все
объекты данного типа имеют общие характеристики. Где бы такие объекты не находились,
существует общий способ их обнаружения, общий набор свойств, которые можно
обнаружить, и общий способ их отслеживания. По умолчанию перед импортом любого
пакета управления в Operations Manager 2007 создается 163 целевых объекта.
Группы — это логические наборы объектов, таких как компьютеры под управлением
Windows, жесткие диски или экземпляры Microsoft SQL Server.
Существует два типа задач: задачи агентов и задачи консоли. Задачи агентов могут
выполняться удаленно на агенте или сервере управления, а задачи консоли можно
выполнять только на локальном компьютере. Кроме того, задачи консоли не
ограничиваются ролями и доступны всем пользователям. В Operations Manager 2007 в
качестве задачи удаленно или локально можно использовать пакетный файл или
сценарий, однако если задача создана агентом или событием, то ее можно выполнять
только локально.
Представления – это группы управляемых объектов с общими признаками, которые
задаются в свойствах представления. При выборе представления в базу данных Operations
Manager отправляется запрос, и результаты этого запроса отображаются на панели
результатов.
Роль пользователя
В Operations Manager 2007 роль пользователя создается путем объединения профиля и
области. Роль создается на основе одного из 5 предопределенных профилей или 7
20
предопределенных профилей, если установлен модуль создания отчетов, затем для нее
указывается область. В таблице ниже приводятся типы профилей и соответствующие
области.
Тип профиля
Описание профиля
Область роли
Администратор
Обладает полными
привилегиями в Operations
Manager, ограничение
профиля администратора
областью не
поддерживается.
Полный доступ ко всем
данным и службам, а также
средствам
администрирования и
разработки Operations
Manager.
Оператор с расширенными
правами
Имеет ограниченный доступ
на изменение конфигурации
Operations Manager, может
создавать переопределения
правил, отлеживает целевые
объекты или группы целевых
объектов в заданной
области. Кроме того,
оператор с расширенными
правами наследует
привилегии оператора.
Может быть ограничен
любыми группами,
представлениями и задачами,
как существующими, так и
теми, что будут
импортированы в будущем.
Дизайнер
Может создавать
редактировать и удалять
задачи, правила, мониторы и
представления в заданной
области Кроме того,
дизайнер наследует
привилегии оператора с
расширенными правами.
Область может быть
ограничена любыми группами,
целевыми объектами,
представлениями и задачами,
как существующими, так и
теми, что будут
импортированы в будущем.
Роль дизайнера уникальна
тем, что может быть
ограниченна типами целевых
объектов.
Оператор
Может добавлять или
удалять предупреждения,
выполнять задачи и
работать с представлениями
в заданной области Кроме
того, оператор наследует
привилегии оператора
только для чтения.
Может быть ограничен
любыми группами,
представлениями и задачами,
как существующими, так и
теми, что будут
импортированы в будущем.
21
Тип профиля
Описание профиля
Область роли
Оператор только для
чтения
Может просматривать
предупреждения и работать
с представлениями в
заданной области
Область может быть
ограничена любыми группами
и представлениями, как
существующими, так и теми,
что будут импортированы в
будущем.
Оператор отчетов
Может просматривать
отчеты в заданной области.
Глобальная область.
Администратор
безопасности отчетов
Объединяет систему
Нет области.
безопасности служб отчетов
SQL Server и роли Operations
Manager.
Важно!
Добавление учетной записи компьютера к роли позволяет всем службам данного
компьютера получить доступ к пакету SDK. Не рекомендуется добавлять учетные
записи компьютеров к ролям пользователя.
Можно добавлять группы безопасности и отдельные учетные записи Active Directory в
любую из этих предопределенных ролей, кроме роли администратора. Группы
безопасности Active Directory можно добавить только к роли администратора.
Добавление пользователей или группы к роли означает, что они смогут использовать
привилегиями роли для объектов, указанных в области (включая унаследованные
объекты).
Примечание
Предопределенные роли имеют глобальную область. Это значит, что они могут
получить доступ ко всем группам, представлениям, целевым объектам и задачам
(кроме администратора безопасности отчетов).
Кроме того, Operations Manager поддерживает создание настраиваемых ролей на основе
профилей оператора, оператора только для чтения и оператора с расширенными правами.
При создании роли можно еще сузить область групп, ролей, задач и представлений, к
которым она получит доступ. Например, можно создать роль "Оператор Exchange" и
ограничить ее область группами, представлениями и задачами, связанными с Exchange.
Учетные записи пользователя с этой ролью смогут выполнять только действия уровня
оператора с объектами, связанными с Exchange.
Важно!
Обязательно создайте доменную группу безопасности для роли "Администраторы
Operations Manager". Эта группа должна существовать при первом запуске
установки в группе управления.
22
Дополнительные сведения об администрировании ролей безопасности, учетных записей и
профилей в Operations Manager 2007 см. в разделе Администрирование ролей
безопасности, учетных записей и профилей в Operations Manager 2007
(http://go.microsoft.com/fwlink/?LinkId=88131).
Профили и учетные записи запуска от имени в
Operations Manager 2007
Правила, задачи, мониторы и операции обнаружения, заданные в пакете
управления, требуют учетных данных для выполнения на целевом компьютере. По
умолчанию правила, задачи, мониторы и операции обнаружения выполняются со
стандартной учетной записью действия агента или сервера. Например, если действие
выполняется на агенте, учетные данные, используемые для действия, будут получены из
учетной записи действия агента. Дополнительные сведения об учетной записи действия
см. в разделе Сведения об учетных записях Operations Manager 2007 данного руководства.
Профили и учетные записи запуска от имени позволяют выполнять различные правила,
задачи, мониторы или операции обнаружения с различными учетными записями на
различных компьютерах. Пакеты управления больше не используют общие удостоверения
и допускают применение учетных записей с низким уровнем привилегий в качестве
учетных записей действия. В качестве учетных записей запуска от имени можно
использовать учетные записи следующих типов:

Windows — учетные данные Windows, например "домен\имя пользователя" или "имя
пользователя@полное имя домена" и соответствующий пароль;

cтрока сообщества — строка сообщества SNMPv2;

обычная проверка подлинности — стандартная проверка подлинности для Интернета;

простая проверка подлинности — любое сочетания имени пользователя и пароля,
например веб-форма, проверка подлинности SQL или любой другой объект,
допускающий ввод имени пользователя и пароля;

дайджест-проверка подлинности — стандартная дайджест-проверка подлинности для
Интернета;

бинарная проверка подлинности — проверка подлинности, заданная пользователем;

учетная запись действия — учетные данные, которые можно назначить только
профилю учетной записи действия.
Учетная запись запуска от имени позволяет указывать привилегии для использования с
правилами, задачами, мониторами и операциями обнаружения на целевых компьютерах по
мере необходимости.
При передаче учетных данных между корневым сервером управления и целевым
компьютером выполняется шифрование, после чего они безопасно сохраняются на
целевом компьютере.
23
С профилем запуска от имени можно связать определенную задачу, правило, монитор или
операцию обнаружения. Эта связь создается при создании пакета управления.
Администратор Operations Manager может связать учетные записи запуска от имени с
профилем запуска от имени на целевом компьютере.
Например, Алиса работает над пакетом управления для SQL Server и создает задачу
"Получение статистики БД". Алиса знает, что у учетной записи действия не будет
достаточных прав для выполнения задачи, однако они есть у Бориса, администратора SQL.
Алиса должна настроить выполнение задачи с учетной записью Бориса.
При настройке пакета управления Федор создает профиль запуска от имени "Операторы
БД" и связывает его с модулем задачи. При импорте пакета управления SQL с задачей
"Получение статистики БД" в Operations Manager 2007 профиль запуска от имени,
связанный с данной задачей, включается в процесс импорта и профиль "Операторы БД"
появляется в списке доступных профилей запуска от имени.
Администратор Operations Manager 2007 создает учетную запись запуска от имени с
учетными данными Алисы. Затем эта учетная запись запуска от имени добавляется к
профилю запуска от имени, который будет использоваться задачей. Целевой компьютер,
на котором используется данная учетная запись запуска от имени, должен быть явно
указан в профиле запуска от имени.
Примечание
Учетная запись по умолчанию для профиля запуска от имени — это учетная запись
действия. Выберите учетную запись действия с соответствующими правами,
тщательно взвесив все факторы. В большинстве случаев подойдет администратор
домена.
Администраторы Operations Manager 2007 могут связывать разные учетные записи запуска
от имени для разных целевых компьютерах с каждым профилем запуска от имени. Это
связь будет полезна в случаях, когда профиль запуска имени используется на разных
компьютерах и каждый компьютер требует своих учетных данных. У Алисы есть права для
выполнения задачи на компьютере 1 с ПО SQL Server, а у Бориса — права на компьютере
2 с SQL Server. В этом случае для Алисы и Бориса создаются отдельные учетные записи
запуска от имени, связанные с одним профилем запуска от имени. Операция назначения
должна быть выполнена на двух компьютерах.
Профили запуска от имени в Operations Manager 2007
Помимо пользовательских профилей запуска от имени, Operations Manager 2007 содержит
готовые профили запуска от имени. См. описание в следующей таблице. Эти профили
используются приложением Operations Manager 2007.
Имя
Описание
учетная запись запуска от
имени
Учетная запись назначения
Учетная запись,
Учетная запись локальной
24
Имя
Описание
учетная запись запуска от
имени
агента на основе Active
Directory
используемая модулем
назначения агентов в Active
Directory для публикации
параметров назначения в
Active Directory.
системы Windows
Учетная запись
автоматического управления
агентом
Эта учетная запись
используется для
автоматической диагностики
ошибок агентов.
Нет
Учетная запись действия
наблюдения за клиентами
Если задан соответствующий
параметр, используется
приложением Operations
Manager 2007 для запуска
всех модулей отслеживания
клиентов. В противном
случае Operations
Manager 2007 использует
учетную запись действия по
умолчанию.
Нет
Учетная запись подключенной Учетная запись,
группы управления
используемая пакетом
управления Operations
Manager для отслеживания
состояния соединения с
подключенными группами
управления.
Нет
Учетная запись хранилища
данных
Нет
Если эта учетная запись
указана, она используется
для выполнения всех правил
сбора данных и
синхронизации в хранилище
данных вместо учетной
записи действия по
умолчанию. Если эта учетная
запись не переопределяется
учетной записью проверки
подлинности SQL Server для
хранилища данных, она
используется правилами
25
Имя
Описание
учетная запись запуска от
имени
сбора данных и
синхронизации для
подключения к базам данных
в хранилище данных с
помощью встроенной
проверки подлинности
Windows.
Учетная запись
развертывания отчетов
хранилища данных
Эта учетная запись
используется процедурами
автоматического
развертывания отчетов
хранилища данных для
различных операций,
связанных с развертыванием
отчетов.
Учетная запись
развертывания отчетов
хранилища данных
Учетная запись проверки
подлинности SQL Server для
хранилища данных
Если имя и пароль для входа
указаны, они используются
правилами сбора данных и
синхронизации для
подключения к базам данных
в хранилище данных с
помощью проверки
подлинности SQL Server.
Учетная запись проверки
подлинности SQL Server
для хранилища данных
Учетная запись действия по
умолчанию.
Учетная запись действия
службы работоспособности
по умолчанию.
Учетные данные этой
учетной записи
указываются при
установке.
Учетная запись действия
MPUpdate
Эта учетная запись
используется средством
уведомления MPUpdate
Нет
Учетная запись уведомления
Учетная запись Windows,
используемая правилами
уведомлений. Адрес
электронной почты этой
учетной записи используется
в качестве адреса "От кого"
электронных и мгновенных
сообщений.
Нет
26
Имя
Описание
учетная запись запуска от
имени
Учетная запись рабочей базы
данных
Эта учетная запись
используется для чтения и
записи сведений в базе
данных Operations Manager.
Нет
Учетная запись наблюдения с
привилегиями
Этот профиль используется
Нет
для операций отслеживания,
которые требуют высокого
уровня привилегий в системе,
например разрешений
локальной системы или
локального администратора.
По умолчанию для профиля
используется учетная запись
локальной системы, если для
целевой системы не выбрано
другое значение.
Учетная запись проверки
подлинности SQL Server для
отчетов службы SDK
Если имя и пароль для входа
указаны, они используются
службой SDK для
подключения к базам данных
в хранилище данных с
помощью проверки
подлинности SQL Server.
Учетная запись проверки
подлинности SQL Server
для отчетов службы SDK
Зарезервировано
Этот профиль
зарезервирован и не должен
использоваться.
Нет
Учетная запись проверки
подписки на предупреждения
Учетная запись,
используемая модулем
проверки подписки на
предупреждения, который
проверяет соответствие
подписки на уведомления
области. Для этого профиля
необходимы права
администратора.
Учетная запись локальной
системы Windows
Учетная запись
администрирования кластера
Windows
Этот профиль используется
во всех компонентах
обнаружения и наблюдения
Нет
27
Имя
Описание
учетная запись запуска от
имени
кластеров Windows. Если
пользователь не настроил
особые параметры, этот
профиль по умолчанию
принимает используемую
учетную запись.
Учетная запись действия WSManagement
Этот профиль используется
для доступа по протоколу
WS-Management.
Нет
Профили и учетные записи запуска от имени в Operations
Manager 2007 R2
В выпуске Operations Manager 2007 R2 к учетным записям и профилям запуска от имени
были добавлены следующие возможности: распространение и целевая настройка. В
следующих разделах описываются функции распространения и целевой настройки, а
также их воздействие на систему безопасности.
Понятие о распространении и целевой настройке
Распространение и целевая настройка учетной записи запуска от имени должны быть
заданы должным образом для корректной работы профиля запуска от имени.
При настройке профиля запуска от имени выполняется выбор учетных записей запуска от
имени, которые требуется связать с профилем запуска от имени. После создания этой
связи можно указать, для какого класса, группы или объекта должна использоваться
учетная запись запуска от имени при выполнении задач, правил, мониторов и операций
обнаружения.
Распространение представляет собой атрибут учетной записи запуска от имени и
позволяет указать, какие компьютеры будут получать учетные данные учетной записи
запуска от имени. Можно выбрать распространение учетных данных учетной записи
запуска от имени на все управляемые агентом компьютеры или на выбранные
компьютеры.
Ниже приведен пример целевой настройки учетной записи запуска от имени. На
физическом компьютере ABC размещены два экземпляра Microsoft SQL Server: экземпляр
X и экземпляр Y. Каждый экземпляр использует отдельный набор учетных данных для
учетной записи sa . Следует создать учетную запись запуска от имени с учетными данными
sa для экземпляра X и вторую учетную запись с учетными данными sa для экземпляра Y.
При настройке профиля запуска от имени SQL Server следует связать учетные данные
обеих учетных записей запуска от имени, например для X и Y, с профилем и указать
28
использование учетных данных экземпляра X учетной записи запуска от имени для
экземпляра X SQL Server и использование учетных данных экземпляра Y учетной записи
запуска от имени для экземпляра Y SQL Server. После этого необходимо настроить
распространение каждого набора учетных данных учетной записи запуска от имени на
физический компьютер ABC.
Ниже приведен пример распространения учетной записи запуска от имени. SQL Server1 и
SQL Server2 представляют собой различные физические компьютеры. Сервер SQL Server1
использует набор учетных данных UserName1 и Password1 для учетной записи SQL sa .
Сервер SQL Server2 использует набор учетных данных UserName2 и Password2 для
учетной записи SQL sa . Пакет управления SQL содержит один профиль запуска от имени
SQL, который используется для всех серверов SQL. Можно определить одну учетную
запись запуска от имени для набора учетных данных UserName1 и вторую учетную запись
запуска от имени для набора учетных данных UserName2. Обе эти учетные записи запуска
от имени могут быть связаны с одним профилем запуска от имени SQL Server и могут быть
настроены для распространения на соответствующие компьютеры. При этом UserName1
распространяется на сервер SQL Server1, а UserName2 распространяется на сервер SQL
Server2. Сведения учетной записи, передаваемые между сервером управления и
выбранным компьютером, шифруются.
Безопасность учетной записи запуска от имени
В Operations Manager 2007 с пакетом обновления 1 (SP1) учетные данные учетной записи
запуска от имени распространяются по всем компьютерам, управляемых с помощью
агентов (менее безопасный вариант). В Operations Manager 2007 R2 учетные данные
учетной записи запуска от имени распространяются только среди указанных компьютеров
(более безопасный вариант). При автоматическом распространении учетных записей
запуска от имени в соответствии с результатами операции обнаружения возникает угроза
безопасности, как показано на следующем примере. Поэтому вариант автоматического
распространения не включен в Operations Manager.
Предположим, что Operations Manager 2007 определено размещение сервера SQL
Server 2005 на компьютере на основе наличия раздела реестра. Можно создать такой
раздел реестра на компьютере без экземпляра SQL Server 2005. Если приложение
Operations Manager должно автоматически распространять учетные данные среди всех
компьютеров, управляемых агентами и определенных как SQL Server 2005, учетные
данные могут быть отправлены поддельному серверу SQL Server и будут доступны всем
пользователям с правами администратора на этом сервере.
При создании учетной записи запуска от имени с помощью Operations Manager 2007 R2
система предложит выбрать Менее безопасный или Более безопасный способ
обработки учетной записи запуска от имени. Более безопасный способ означает, что при
создании связи учетной записи запуска от имени с профилем запуска от имени необходимо
указывать конкретные имена компьютеров, среди которых должны распространяться
учетные данные запуска от имени. Принудительное указание целевых компьютеров
позволяет предотвратить ситуацию подделки, описанную выше. При выборе менее
29
безопасного варианта не потребуется указывать конкретные компьютеры, а учетные
данные будут распространены на все управляемые агентом компьютеры.
Примечание
Во всех версиях Operations Manager 2007 учетные данные для учетной записи
запуска от имени должны иметь права локального входа. В противном случае
модуль не будет работать.
См. также
Сведения об учетных записях Operations Manager 2007
Безопасность на основе ролей в Operations Manager 2007
Создание учетной записи запуска от имени в Operations
Manager 2007
В этой процедуре показано создание учетной записи запуска от имени на примере с
использованием набора учетных данных Windows. После этого описан порядок изменения
свойств учетной записи запуска от имени для изменения уровня безопасности и
распространения учетных данных. Эта же процедура может быть использована для всех
остальных типов учетных записей. Дополнительные сведения о других типах учетных
записей см. в разделе Типы учетных данных в Operations Manager 2007.
Учетные данные, указанные в учетной записи запуска от имени, используются для запуска
задач, правил, мониторов и обнаружений в соответствии с определением в пакете
управления, в состав которого они входят. В руководстве по пакету управления описаны
параметры, необходимые для настройки учетной записи запуска от имени и профиля
запуска от имени.
Создание учетной записи запуска от имени
1. Войдите в консоль управления с учетной записью, которая является членом роли
администраторов Operations Manager для группы управления Operations
Manager 2007.
2. В консоли управления нажмите кнопку Администрирование.
3. В панели "Администрирование" раскройте узлы Администрирование, Настройка
запуска от имени, щелкните правой кнопкой мыши пункт Учетные записи, а затем
выберите команду Создать учетную запись запуска от имени....
4. На странице Введение мастера создания учетной записи запуска от имени
нажмите кнопку Далее.
5. На странице Общие свойства выполните следующие действия.
a. Выберите Windows в списке Тип учетной записи запуска от имени:.
b. Введите отображаемое имя в текстовом поле Отображаемое имя.
30
c.
При необходимости укажите описание в текстовом поле Описание.
d. Нажмите кнопку Далее.
6. На странице Учетные данные введите имя пользователя, пароль, а затем
выберите домен для учетной записи, которую планируется сделать членом этой
учетной записи запуска от имени.
7. Нажмите кнопку Далее.
8. На странице Безопасность распространения выберите требуемый вариант
Менее безопасное или Более безопасное.
9. Нажмите кнопку Создать.
10. На странице Выполнение создания учетной записи запуска от имени нажмите
кнопку Закрыть.
При создании учетной записи запуска от имени выдается предупреждение о
необходимости создания связи учетной записи запуска от имени с профилем запуска от
имени и не предоставляется возможность настройки распространения учетных данных
учетной записи запуска от имени. Обе эти операции могут быть выполнены в мастере
создания профиля запуска от имени. Также можно настроить распространение учетных
данных учетной записи запуска от имени путем изменения свойств учетной записи запуска
от имени, как показано ниже.
Изменение свойств учетной записи запуска от имени
1. В консоли управления нажмите кнопку Администрирование.
2. В панели Администрирование разверните узел Администрирование, разверните
узел Настройка запуска от имени и выберите контейнер Учетные записи.
3. В панели результатов дважды щелкните учетную запись запуска от имени, которую
требуется изменить, чтобы открыть ее свойства.
4. На странице Свойства учетной записи запуска от имени можно изменить
значения на вкладках Общие свойства, Учетные данные или Распространение.
В данном случае выберите вкладку Распространение.
5. На вкладке Распространение в разделе Выбранные компьютеры: нажмите
кнопку Добавить, чтобы открыть средство Поиск компьютеров.
6. На странице Поиск компьютеров щелкните список Параметр: и выберите один из
следующих вариантов.
a.
Поиск по имени компьютера (по умолчанию), затем введите имя
компьютера в поле Фильтр: (необязательно).
b. Показать рекомендуемые компьютеры, если объект учетной записи запуска
от имени уже связан с профилем запуска от имени, здесь будет представлен
список обнаруженных компьютеров, на которых размещается отслеживаемая
служба.
c.
Показать серверы управления, в некоторых случаях, например, для
31
мониторинга различных платформ, все операции мониторинга выполняются
сервером управления, и поэтому учетные данные должны быть
распространены на серверы управления, выполняющие мониторинг.
7. При необходимости введите значениеФильтр: (необязательно), чтобы ограничить
набор результатов поиска, и нажмите кнопку Найти. В поле Доступные элементы
будет показан список компьютеров, соответствующих критериям поиска.
8. Выберите компьютеры, на которые необходимо распространить учетные данные, и
нажмите кнопку Добавить. Компьютеры будут показаны в поле Выбранные
элементы.
9. Нажмите кнопку ОК. Будет выполнен возврат к вкладке Распространение, на
которой будут показаны компьютеры. Нажмите кнопку ОК.
См. также
Создание и настройка профиля запуска от имени в Operations Manager 2007
Создание и настройка профиля запуска от имени в
Operations Manager 2007
Процесс создания и настройки профиля запуска от имени состоит из четырех шагов:
1. Определение класса, группы или объектов, в отношении которых будет действовать
учетная запись запуска от имени.
2. Создание и настройка учетных записей запуска от имени.
3. Связывание учетных записей запуска от имени с профилем запуска от имени.
4. Настройка распространения учетных данных объекта учетной записи запуска от имени
на определенные компьютеры.
Эту процедуру можно использовать для создания и настройки нового профиля запуска от
имени или изменения профилей, уже существующих в данной группе управления.
Процедура предполагает, что объект учетной записи запуска от имени еще не создавался.
Создание профиля запуска от имени
1. Войдите в систему на компьютере, используя учетную запись с ролью
"Администраторы Operations Manager" для группы управления Operations
Manager 2007.
2. В консоли управления нажмите кнопку Администрирование.
3. В панели "Администрирование" разверните узлы Администрирование и
Настройка запуска от имени, а затем выберите контейнер Профили. Щелкните
правой кнопкой мыши панель "Результаты", а затем выберите команду Создать
профиль запуска от имени. Перед первым запуском мастера создания профиля
запуска от имени обязательно прочтите текст на странице Введение.
4. Нажмите кнопку Далее.
32
5. На странице Общие свойства выполните следующие действия.
a. Введите отображаемое имя профиля в поле Отображаемое имя.
b. Дополнительно можно ввести описание профиля запуска от имени.
c.
Нажмите кнопку Создать для списка Выберите целевой пакет управления,
чтобы создать пакет управления переопределения, если он еще не создан.
Если пакет управления переопределения уже создан, выберите его в
раскрывающемся списке и перейдите к п. 9.
6. В мастере создания пакета управления на странице Общие свойства введите
имя в поле Имя. Дополнительно можно ввести описание пакета управления. После
этого нажмите кнопку Далее.
Совет
По умолчанию при создании объекта пакета управления, отключении
правила или монитора или при создании переопределения параметры
сохраняются Operations Manager в пакете управления по умолчанию.
Рекомендуется создавать отдельный пакет управления для каждого
запечатанного пакета управления, который требуется изменить, а не
сохранять измененные параметры в пакете управления по умолчанию.
Дополнительные сведения см. в статье "Настройка пакетов управления"
по адресу http://go.microsoft.com/fwlink/?LinkId=140601.
7. На странице Статья базы знаний нажмите кнопку Изменить, чтобы ввести
описание пакета управления, сведения о его настройках, дополнительную
информацию и ссылки на внешние источники сведений.
8. Нажмите кнопку Создать. После этого будет выполнен возврат к странице Общие
свойства мастера создания профиля запуска от имени.
9. Нажмите кнопку Далее.
10. На странице Учетные записи запуска от имени нажмите кнопку Добавить, чтобы
открыть страницу Добавление учетной записи запуска от имени.
11. Нажмите кнопку Создать. Откроется Мастер создания учетной записи запуска
от имени на странице Общие свойства.
12. В поле Тип учетной записи запуска от имени выберите тип учетной записи,
который требуется создать. Он указан в руководстве по пакету управления.
13. Введите имя в поле Отображаемое имя: , при необходимости введите описание, а
затем нажмите кнопку Далее.
14. На странице Учетные данные укажите в полях Имя пользователя, Пароль и
Подтверждение пароля имя пользователя и пароль, которые должны будут
использоваться профилем запуска от имени.
15. Убедитесь, что в списке Домен выбран правильный домен для этих учетных
данных. Нажмите кнопку Далее.
16. На странице Безопасность распространения выберите вариант Менее
безопасное или Более безопасное, как предписывает руководство по пакету
33
управления. Имейте в виду, что в случае выбора варианта Менее безопасное
учетные данные будут доступны администраторам всех компьютеров-получателей.
Дополнительные сведения о безопасности рассылки учетных данных см. в разделе
Профили и учетные записи запуска от имени в Operations Manager 2007.
17. Нажмите кнопку Создать.
18. На странице Выполнение создания учетной записи запуска от имени прочтите
предупреждение, которое будет показано после создания учетной записи, а затем
нажмите кнопку Закрыть. Будет выполнен возврат на страницу Добавление
учетной записи запуска от имени.
19. В области Эта учетная запись запуск от имени будет использоваться для
управления следующими объектами выберите Все целевые объекты или
Выбранные класс, группа или объект в соответствии с указаниями в руководстве
по пакету управления.
20. Если в поле Выбранные класс, группа или объект уже отображается то или иное
значение, нажмите кнопку ОК; в противном случае нажмите кнопку Выбрать и
выберите Класс, Группа или Объект, как указано в руководстве по пакету
управления. Откроется соответствующая страница Поиск класса, Поиск группы
или Поиск объекта.
21. В любом из средств поиска введите условия поиска или фильтра и нажмите кнопку
Найти. Результаты будут показаны в поле Доступные элементы.
22. Выберите элемент, для управления которым планируется использовать объект
учетной записи запуска от имени, и нажмите кнопку ОК.
23. Нажмите кнопку ОК. Будет выполнен возврат на страницу Учетные записи запуска
от имени мастера создания профиля запуска от имени.
24. Чтобы добавить дополнительные учетные записи запуска от имени, снова нажмите
кнопку Добавить и повторите пункты 10 – 23; в противном случае нажмите кнопку
Создать.
Примечание
В этой процедуре предполагается, что выбран вариант Более
безопасное, и оставшиеся шаги изложены по порядку. Если выбран
вариант Менее безопасное, переходите к пункту 29.
25. На странице Завершение работы мастера создания профиля запуска от имени
будут отображены в виде ссылок все учетные записи запуска от имени, которые
были настроены с параметром Более безопасное. Теперь необходимо выбирать
учетные записи запуска от имени по одной и настраивать распространение учетных
данных.
26. Дважды щелкните учетную запись; откроется страница Свойства учетной записи
запуска от имени на вкладке Распространение. Будет показан выбранный
уровень безопасности, а также область Выбранные компьютеры. Здесь можно
изменять оба параметра.
34
27. Нажмите кнопку Добавить для области Выбранные компьютеры и выполните
следующие действия.
a. Выберите Поиск по имени компьютера (по умолчанию), Показать
рекомендуемые компьютеры или Показать серверы управления.
b. При необходимости введите условие отбора в поле Фильтр: (необязательно).
c.
Нажмите кнопку Поиск. Результаты будут показаны в поле Доступные
элементы.
d. Выберите требуемые компьютеры из списка результатов и нажмите кнопку
Добавить. Выбранные компьютеры будут добавлены в поле Выбранные
объекты.
e. Нажмите кнопку ОК.
28. Нажмите кнопку ОК. Будет выполнен возврат на страницу Завершение мастера
создания профиля запуска от имени. Рядом с учетными записями, для которых
было успешно настроено распространение, появятся зеленые флажки.
29. Нажмите кнопку Закрыть.
См. также
Создание учетной записи запуска от имени в Operations Manager 2007
Изменение профиля запуска от имени
Изменение профиля запуска от имени
Уже существующие профили запуска от имени могли быть созданы пользователем в
соответствии с процедурой "Создание и настройка профиля запуска от имени" или при
импорте пакета управления, содержащего такой профиль. Эта процедура позволяет
изменить свойства существующего профиля запуска от имени.
Изменение профиля запуска от имени
1. Откройте консоль управления, используя учетную запись, являющуюся членом
роли "Администраторы" Operations Manager 2007.
2. Выберите представление Администрирование.
3. В области переходов представления Администрирование выберите контейнер
Профили.
4. В области результатов дважды щелкните профиль, свойства которого требуется
изменить. Откроется мастер профиля запуска от имени с ранее настроенными
параметрами.
5. На странице Общие свойства можно изменить значения в полях Отображаемое
имя и Описание.
6. Нажмите кнопку Далее.
35
7. На странице Учетные записи запуска от имени можно добавить новые учетные
записи запуска от имени, изменить параметры уже имеющихся учетных записей и
удалить учетные записи, которые более не должны быть связаны с данным
профилем запуска от имени.
8. После внесения изменений нажмите кнопку Сохранить.
9. На странице Завершение в поле Более безопасные учетные записи запуска от
имени: необходимо выбрать каждую из учетных записей по очереди и настроить
для нее распространение учетных данных. Дополнительные сведения о
безопасности распространения учетных данных см. в разделе Создание и
настройка профиля запуска от имени в Operations Manager 2007
10. После внесения изменений в параметры распространения уведомлений нажмите
кнопку Закрыть.
Проверка подлинности и шифрование данных
для компьютеров Windows в Operations
Manager 2007
Operations Manager 2007 содержит следующие компоненты: корневой сервер управления,
сервер управления, сервер шлюза, сервер отчетов, база данных Operations Manager,
хранилище данных отчетов, веб-консоль и консоль управления. В этом разделе
описывается проверка подлинности и каналы связи, при передаче по которым данные
шифруются.
Проверка подлинности на основе сертификатов
Если агент и сервер управления Operations Manager разделены границей недоверенного
леса или рабочей группы, необходимо реализовать проверку подлинности на основе
сертификатов. В разделах ниже приводятся сведения об таких ситуациях и процедурах
получения и установки сертификатов от центров сертификации Windows.
Настройка обмена данными между агентами и серверами управления в
пределах границ доверия
Агент и сервер управления используют проверку подлинности Windows для взаимной
проверки подлинности перед тем, как сервер принимает данные от агента. По умолчанию
для проверки подлинности используется протокол Kerberos версии 5. Чтобы взаимная
проверка подлинности на базе Kerberos работала, агенты и сервер управления должны
быть установлены в домене Active Directory. Если агент и сервер управления находятся в
разных доменах, между ними должны существовать отношения полного доверия. В этом
сценарии после взаимной проверки подлинности выполняется шифрование канала связи
36
между агентом и сервером управления. Для активации проверки подлинности и
шифрования вмешательство пользователя не требуется.
Настройка обмена данными между агентами и серверами управления
через границы доверия
Агент (или агенты) могут быть развернуты в домене (домене Б), отличном от домена
сервера управления (домен A), и между этими доменами может не быть двусторонних
отношений доверия. Поскольку между двумя доменами нет отношений доверия, агенты в
одном домене не могут проверить подлинность сервера управления в другом домене с
помощью протокола Kerberos. Взаимная проверка подлинности между компонентами
Operations Manager 2007 внутри каждого домена будет действовать.
Решением может стать установка сервера шлюза в одном домене с агентами и установка
сертификатов на сервер шлюза и сервер управления для взаимной проверки подлинности
и шифрования данных. При использовании сервера шлюза необходим только один
сертификат в домене Б и один порт межсетевого экрана, как показано на иллюстрации
ниже.
Дополнительные сведения см. в следующих разделах руководства по безопасности:
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007
Настройка обмена данными внутри домена — граница рабочей группы
В рабочей группе внутри межсетевого экрана может быть развернут один или два агента.
Агент в рабочей группе не может проверить подлинность сервера управления в домене по
37
протоколу Kerberos. Решением будет установка сертификатов на компьютере с агентом и
сервере управления, к которому подключается агент. См. иллюстрацию ниже.
Примечание
В этом сценарии агент должен быть установлен вручную.
Выполните следующие действия на компьютере с агентом и сервере управления,
используя один и тот же ЦС.

Запросите сертификат в ЦС.

Утвердите запросы сертификатов в ЦС.

Установите утвержденные сертификаты в хранилищах сертификатов компьютера.

Настройте Operations Manager 2007 с помощью программы MOMCertImport .
Действия по установке сертификатов на сервере шлюза будут такими же, но устанавливать
и запускать средство утверждения шлюза не нужно. Дополнительные сведения см. в
следующих разделах руководства по безопасности:
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007
Мастер создания сертификатов
Действия по созданию, получению и установке сертификатов описываются в этом
руководстве по безопасности. Мастер создания сертификатов предназначен для
упрощения этого процесса. Дополнительные сведения см. в сообщении блога "Получение
сертификатов для агентов, соединенных не через домен, становится проще с мастером
создания сертификатов" (http://go.microsoft.com/fwlink/?LinkId=128392).
38
Примечание
Использование мастера осуществляется КАК ЕСТЬ и не подразумевает каких-либо
прав или гарантий. Использование этой программы определяется условиями,
приведенными по адресу http://www.microsoft.com/info/cpyright.htm
Подтверждение установки сертификата
Если сертификат установлен должным образом, в журнал событий Operations Manager
будет добавлено следующее событие.
Уровень
Источник
ИД события
Общая
Информация
Соединитель
Operations Manager
20053
Соединитель
Operations Manager
успешно загрузил
сертификат проверки
подлинности.
Во время установки сертификата следует запустить программу MOMCertImport. По
окончании работы MOMCertImport серийный номер импортированного сертификата будет
записан в следующий подраздел реестра.
Внимание!
Неправильное изменение реестра может серьезно повредить систему. Перед
внесением изменений в реестр следует сделать резервную копию всех ценных
данных на компьютере.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine
Settings
Проверка подлинности и шифрование данных между
корневым сервером управления, сервером управления,
сервером шлюза и агентами
Обмен данными между этими компонентами Operations Manager начинается с взаимной
проверки подлинности. Если сертификаты присутствуют на обеих сторонах канала связи,
они будут использованы для взаимной проверки подлинности. В противном случае будет
применяться протокол Kerberos версии 5. Если любые два компонента разделены
границами доверия, для взаимной проверки подлинности используются сертификаты.
Обычный обмен данными, например события, предупреждения и развертывание пакета
управления выполняется через этот канал. На предыдущей иллюстрации приводится
пример предупреждения, выданного одним из агентов, которые связаны с корневым
сервером управления. Между агентом и сервером шлюза для шифрования применяется
пакет безопасности Kerberos, поскольку сервер шлюза и агент находятся в одном домене.
39
Предупреждение шифруется сервером шлюза и расшифровывается с помощью
сертификатов на сервере управления. После того как сервер управления получает
предупреждение, он расшифровывает его, затем зашифровывает с помощью протокола
Kerberos и отправляет корневому серверу управления, который выполняет расшифровку.
Некоторые операции обмена данными между корневым сервером управления могут
включать учетные данные, например данные конфигурации и задачи. Канал передачи
данных между агентами и сервером управления добавляет дополнительный уровень
шифрования к обычному шифрованию канала. Никаких действий пользователя не
требуется.
Корневой сервер управления и база данных Operations
Manager
Данные учетных записей запуска от имени хранятся в базе данных Operations Manager в
зашифрованном виде, при этом используется симметричная пара ключей, созданная
Operations Manager 2007. Если корневой сервер управления будет заменен, новому
серверу управления не удастся прочитать зашифрованные данные в базе данных.
Программа SecureStorageBackup, входящая в состав Operations Manager 2007,
используется для резервного копирования и восстановления ключа шифрования.
Важно!
Запустите программу SecureStorageBackup, чтобы экспортировать ключ корневого
сервера управления для резервного копирования. Без резервной копии ключа
корневого сервера управления потребуется заново ввести все учетные записи
запуска от имени при повторном создании корневого сервера. В больших средах
такая перестройка может охватывать сотни учетных записей. Дополнительные
сведения об инструменте SecureStorageBackup см. в разделе "Резервное
копирование и восстановление ключей шифрования в Operations Manager 2007"
(http://go.microsoft.com/fwlink/?LinkId=87387).
Дополнительные сведения о восстановлении после аварий, вызвавших потерю корневого
сервера управления, при наличии резервной копии ключа и без нее см. в следующей
статье базы знаний: Ключ шифрования недоступен после замены или переустановки
корневого сервера управления в Microsoft System Center Operations Manager 2007
(http://go.microsoft.com/fwlink/?LinkId=112310).
Корневой сервер управления и консоль управления, сервер
веб-консоли и сервер отчетов
Проверка подлинности и шифрование данных между корневым сервером управления и
консолью управления, сервером веб-консоли или сервером отчетов выполняется с
помощью технологии WCF (старое кодовое название "Indigo"). Первая попытка проверки
подлинности предпринимается с использованием учетных данных пользователя. Сначала
система пытается применить протокол Kerberos. Если протокол Kerberos не работает,
предпринимается еще одна попытка с использованием NTLM. Если проверка подлинности
40
снова не удается, система просит пользователя ввести учетные данные. После проверки
подлинности поток данных шифруется по протоколу Kerberos или по протоколу SSL, если
используется NTLM.
В случае сервера отчетов и корневого сервера управления после проверки подлинности
устанавливается соединение между корневым сервером управления и сервером отчетов
SQL Server. Для этого используется только протокол Kerberos, поэтому корневой сервер
управления и сервер отчетов должны находиться в доверенных доменах. Дополнительные
сведения о службе WCF см. в статье MSDN "Что такое Windows Communication
Foundation?" (http://go.microsoft.com/fwlink/?LinkId=87429).
Сервер управления и хранилище данных отчетов
Между сервером управления и хранилищем данных отчетов существует два канала связи.

Процесс наблюдения за узлами, созданный службой работоспособности в сервере
управления или корневом сервере управления.

Служба SDK на корневом сервере управления.
Процесс наблюдения за узлами и хранилище данных отчетов
По умолчанию процесс наблюдения за узлами создается службой работоспособности,
выполняющей запись собранных событий и данных из счетчиков производительности в
хранилище данных, обеспечивает встроенную проверку подлинности Windows с помощью
учетной записи для записи данных, указанную при установке модуля создания отчетов.
Учетные данные этой учетной записи безопасно хранятся в учетной записи запуска от
имени, которая называется учетной записью действия хранилища данных. Эта учетная
запись запуска от имени является участником профиля запуска от имени, который
называется учетной записью хранилища данных (она связана с фактическими правилами
сбора).
Если хранилище данных отчетов и сервер управления разделены границей доверия
(например, находятся в разных доменах без отношений доверия), встроенная проверка
подлинности Windows работать не будет. Чтобы обойти эту проблему, процесс
наблюдения за узлами может подключиться к хранилищу данных отчетов с помощью
проверки подлинности SQL Server. Для этого следует создать новую учетную запись
запуска от имени (обычную) с учетными данными учетной записи SQL и сделать ее
участником профиля запуска от имени, который называется учетной записью проверки
подлинности SQL Server для хранилища данных, указав сервер управления в качестве
целевого компьютера.
Важно!
По умолчанию профилю запуска от имени "Учетная запись проверки подлинности
SQL Server для хранилища данных" назначается особая учетная запись с помощью
учетной записи запуска от имени с таким же именем. Не вносите никаких
изменений в учетную запись, связанную с учетной записью запуска от имени
"Учетная запись проверки подлинности SQL Server для хранилища данных". Вместо
41
этого при настройке проверки подлинности SQL Server следует создать новую
учетную запись и учетную запись запуска от имени и сделать учетную запись
запуска от имени участником профиля "Учетная запись проверки подлинности SQL
Server для хранилища данных".
В следующем разделе описываются взаимоотношения между различными учетными
данными, учетными записями запуска от имени и профилями запуска от имени для
встроенной проверки подлинности Windows и проверки подлинности SQL Server.
Значение по умолчанию – Встроенная проверка подлинности Windows
Профиль запуска от имени: Учетная запись хранилища данных
Учетная запись запуска от имени: Учетная запись действия хранилища данных
Учетные данные: Учетная запись для записи данных (указывается при установке)
Профиль запуска от имени: Учетная запись проверки подлинности SQL Server для
хранилища данных
Учетная запись запуска от имени: Учетная запись проверки подлинности SQL Server для
хранилища данных
Учетные данные: Особая учетная запись, создаваемая Operations Manager (не
меняйте)
Необязательно: Проверка подлинности SQL Server
Профиль запуска от имени: Учетная запись проверки подлинности SQL Server для
хранилища данных
Учетная запись запуска от имени: Создаваемая учетная запись запуска о имени.
Учетные данные: Создаваемая учетная запись.
Служба доступа к данным System Center или служба SDK и хранилище
данных отчетов
В Operations Manager 2007 с пакетом обновления 1 (SP1) служба SDK переименована в
службу доступа к данным System Center.
По умолчанию служба доступа к данным System Center или служба SDK, выполняющая
чтение данных из хранилища данных и предоставляющая доступ к ним в области
параметров отчетов, обеспечивает встроенную проверку подлинности Windows с помощью
учетной записи SDK и службы настройки, заданной при установке Operations Manager 2007.
Если хранилище данных отчетов и сервер управления разделены границей доверия
(например, находятся в разных доменах без отношений доверия), встроенная проверка
подлинности Windows работать не будет. Чтобы обойти эту проблему, служба доступа к
данным System Center или служба SDK подключаются к хранилищу данных отчетов,
используя проверку подлинности SQL Server. Для этого следует создать новую учетную
запись запуска от имени (обычную) с учетными данными учетной записи SQL и сделать ее
участником профиля запуска от имени, который называется учетной записью проверки
подлинности SQL Server для отчетов службы SDK, указав сервер управления в качестве
целевого компьютера.
42
Важно!
По умолчанию профилю запуска от имени "Учетная запись проверки подлинности
SQL Server для отчетов службы SDK" назначается особая учетная запись с
помощью учетной записи запуска от имени с таким же именем. Не вносите никаких
изменений в учетную запись, связанную с учетной записью запуска от имени
"Учетная запись проверки подлинности SQL Server для отчетов службы SDK".
Вместо этого при настройке проверки подлинности SQL Server следует создать
новую учетную запись и учетную запись запуска от имени и сделайте учетную
запись запуска от имени участником профиля "Учетная запись проверки
подлинности SQL Server для отчетов службы SDK".
В следующем разделе описываются взаимоотношения между различными учетными
данными, учетными записями запуска от имени и профилями запуска от имени для
встроенной проверки подлинности Windows и проверки подлинности SQL Server.
Значение по умолчанию – Встроенная проверка подлинности Windows
Учетная запись SDK и службы настройки (задается при установке Operations Manager)
Профиль запуска от имени: Учетная запись проверки подлинности SQL Server для отчетов
службы SDK
Учетная запись запуска от имени: Учетная запись проверки подлинности SQL Server для
отчетов службы SDK
Учетные данные: Особая учетная запись, создаваемая Operations Manager (не
меняйте)
Необязательно: Проверка подлинности SQL Server
Профиль запуска от имени: Учетная запись проверки подлинности SQL Server для
хранилища данных
Учетная запись запуска от имени: Создаваемая учетная запись запуска о имени.
Учетные данные: Создаваемая учетная запись.
Консоль управления и сервер отчетов
Консоль управления подключается к серверу отчетов по протоколу HTTP через порт 80.
При этом используется проверка подлинности Windows. Данные можно зашифровать с
помощь канала SSL. Дополнительные сведения об использовании протокола SSL между
консолью управления и сервером отчетов см. в разделе Настройка консоли управления
для использования SSL при подключении к серверу отчетов в Operations Manager 2007
далее в этом руководстве по безопасности
Сервер отчетов и хранилище данных отчетов
Для проверки подлинности между сервером отчетов и хранилищем данных отчетов
используется проверка подлинности Windows. Учетная запись, указанная в качестве
учетной записи для чтения данных при установке модуля создания отчетов, становится
43
учетной записью выполнения сервера отчетов. Если потребуется изменить пароль этой
учетной записи, необходимо внести аналогичное изменение с помощью Диспетчера
конфигурации служб Reporting Services в SQL Server 2005. Дополнительные сведения о
сбросе пароля см. в разделе Изменение пароля учетной записи выполнения на сервере
отчетов в Operations Manager 2007. Данные, передаваемые между сервером отчетов и
хранилищем данных отчетов, не шифруются.
См. также
Изменение пароля учетной записи выполнения на сервере отчетов в Operations Manager
2007
Настройка консоли управления для использования SSL при подключении к серверу отчетов
в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
Настройка консоли управления для использования SSL при
подключении к серверу отчетов в Operations Manager 2007
Перед настройкой консоли управления для использования протокола SSL при
подключении к серверу отчетов, необходимо установить SSL-сертификат в службах IIS.
На сервере отчетов запустите Диспетчер служб IIS, чтобы запросить и установить SSLсертификат. Дополнительные сведения о применении SSL в службах IIS см. в статье базы
знаний "Применение SSL в службах IIS" (http://go.microsoft.com/fwlink/?LinkId=87862).
При настройке консоли управления для использования протокола SSL используется
следующая процедура.
Настройка консоли управления для использования протокола SSL
1. Войдите в компьютер с учетной записью, которая является членом роли
администраторов Operations Manager для группы управления Operations
Manager 2007.
2. На консоли управления нажмите кнопку Администрирование.
Примечание
При запуске консоли управления на компьютере, не являющемся
44
сервером управления, отображается диалоговое окно Подключение к
серверу. В текстовом поле Имя сервера введите имя сервера
управления Operations Manager 2007, к которому должна подключиться
консоль управления.
3. На панели "Администрирование" разверните Администрирование, затем
Управление устройствами и Параметры.
4. На панели Параметры щелкните правой кнопкой мыши Отчеты и выберите
Свойства.
5. На вкладке Общие в разделе Параметры сервера отчетов щелкните
раскрывающийся список URL-адрес сервера отчетов и выберите https://.
6. Отредактируйте URL-адрес, заменив имеющийся :80 текст :443, а затем нажмите
кнопку ОК.
См. также
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
Получение сертификата с помощью центра сертификации
предприятия Windows Server 2003 в Operations Manager 2007
В следующих процедурах описываются действия по получению сертификата от ЦС
предприятия с помощью служб сертификатов, входящих в состав Windows 2000 Server и
Windows Server 2003. Чтобы получить сертификат подобным образом выполните
следующие действия.

Загрузите доверенный корневой сертификат (ЦС).

Импортируйте доверенный корневой сертификат (ЦС).

Создайте шаблон сертификата.

Запросите сертификат от ЦС предприятия.

Импортируйте сертификат в Operations Manager.
Загрузка доверенного корневого сертификата (ЦС).
1. Войдите в систему, на которой планируется установить сертификат (например, на
сервер шлюза или сервер управления).
2. Запустите Internet Explorer и подключитесь к компьютеру со службами
сертификатов (например, http://<<имя_сервера>>/certsrv).
3. На начальной странице щелкните ссылку Загрузить сертификат ЦС, цепочку
45
сертификатов или список отзыва сертификатов.
4. На странице Загрузка сертификата ЦС, цепочки сертификатов или CRL
выберите Метод шифрования, затем Base 64 и Загрузка цепочки сертификатов
ЦС.
5. В диалоговом окне Загрузка файла нажмите кнопку Сохранить и сохраните
сертификат, например Trustedca.p7b.
6. По окончании загрузки закройте Internet Explorer.
Импорт доверенного корневого сертификата (ЦС).
1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
2. В диалоговом окне Запуск программы введите mmc и нажмите кнопку ОК.
3. В окне Console1 выберите Файл и нажмите Добавить или удалить оснастку.
4. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
5. В диалоговом окне Добавить изолированную оснастку нажмите выберите
Сертификаты, а затем нажмите кнопку Добавить.
6. В диалоговом окне Оснастка диспетчера сертификатов установите
переключатель учетной записи компьютера, а затем нажмите кнопку Далее.
7. В диалоговом окне Выбор компьютера убедитесь, что флажок Локальный
компьютер: (на котором запущена эта консоль) установлен, и нажмите кнопку
Готово.
8. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.
9. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.
10. В окне Console1 разверните узел Сертификаты (локальный компьютер), затем
Доверенные корневые центры сертификации и щелкните Сертификаты.
11. Правой кнопкой мыши щелкните Сертификаты, выберите Все задачи, затем
Импорт.
12. В мастере импорта сертификатов нажмите кнопку Далее.
13. На странице Файл для импорта нажмите кнопку Обзор и перейдите к папке, в
которую загружен файл сертификата ЦС, например TrustedCA.p7b, выберите файл
и нажмите кнопку Открыть.
14. На странице Файл для импорта выберите Поместить все сертификаты в
следующее хранилище, убедитесь, что в поле Хранилище сертификатов
отображается Доверенные корневые центры сертификации и нажмите кнопку
Далее.
15. На странице Завершение мастера импорта сертификатов нажмите кнопку
Готово.
Порядок создания шаблона сертификата
1. На рабочем столе Windows компьютера, на котором размещен ЦС предприятия,
46
нажмите кнопку Пуск, выберите Программы, Администрирование, а затем —
Центр сертификации.
2. В области переходов раскройте имя ЦС, щелкните правой кнопкой мыши Шаблоны
сертификатов, а затем нажмите кнопку Управление.
3. В консоли Шаблоны сертификатов на панели результатов щелкните правой
кнопкой IPSec (автономный запрос) и выберите Скопировать шаблон.
4. В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом
поле Отображаемое имя шаблона введите новое имя для данного шаблона
(например, OperationsManagerCert).
5. На вкладке Обработка запросов выберите Разрешить экспортировать
закрытый ключ и нажмите Поставщики служб криптографии.
6. В диалоговом окне Выбор CSP выберите наиболее подходящего поставщика
служб шифрования, а затем нажмите кнопку ОК.
Примечание
ОС Windows 2000 Server будет работать с Microsoft Enhanced
Cryptographic Provider 1.0. Windows Server 2003 и Windows XP будут
работать с Microsoft RSA SChannel Cryptographic Provider.
7. Перейдите на вкладку Расширения, в разделе Расширения, включенные в этот
шаблон выберите Политики приложений и нажмите кнопку Изменить.
8. В диалоговом окне Изменение расширения политик применения выберите IKEпосредник IP-безопасности, а затем нажмите кнопку Удалить.
9. Нажмите кнопку Добавить и в списке политики приложений выберите значения
Проверка подлинности клиента и Проверка подлинности сервера, удерживая
клавишу CTRL, а затем нажмите кнопку OK.
10. В диалоговом окне Изменение расширения политик применения нажмите кнопку
ОК.
11. Выберите вкладку Безопасность и убедитесь, что группа Прошедшие проверку
имеет разрешения "Чтение" и "Заявка", а затем нажмите кнопку OK.
Добавление шаблона в папку "Шаблоны сертификатов".
1. В оснастке "Центр сертификации" щелкните папку Шаблоны сертификатов
правой кнопкой мыши, выберите Создать и Выдаваемый шаблон сертификата.
2. В поле Включить шаблоны сертификатов выберите созданный шаблон
сертификатов и нажмите кнопку OK.
Порядок запроса сертификата от ЦС предприятия
1. Войдите в систему на компьютере, на котором планируется установить сертификат
(например, на сервере шлюза или сервере управления).
2. Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой
47
сертификации (например, используйте http://<имя_сервера>/certsrv).
3. На странице приветствия служб сертификатов Microsoft щелкните Запрос
сертификата.
4. На странице Запрос сертификата щелкните ссылку Или отправить
расширенный запрос сертификата.
5. На странице Расширенный запрос сертификата щелкните Создать и выдать
запрос к этому ЦС.
6. На странице Расширенный запрос сертификата сделайте следующее.
a. В разделе Шаблон сертификата выберите имя созданного шаблона
(например, OperationsManagerCert).
b. В разделе Идентифицирующие сведения для автономного шаблона в поле
Имя введите уникальное имя, например полное доменное имя компьютера, для
которого запрашивается сертификат. Заполните остальные поля
соответствующими данными.
Примечание
Событие с идентификатором 20052 (ошибка ввода) создается, если
указанное в поле Имя полное доменное имя не соответствует имени
данного компьютера.
c.
В разделе Параметры ключа выберите Создать новый набор ключей. В
поле Поставщик служб криптографии выберите поставщика служб
криптографии, отвечающего потребностям компании. В разделе Размер ключа
выберите размер ключа, отвечающий потребностям компании. Выберите
Автоматическое имя контейнера ключа. Убедитесь, что флажок Пометить
ключ как экспортируемый установлен. Снимите флажки Экспортировать
ключи в файл и Включить усиленную защиту закрытого ключа и щелкните
Использовать локальное хранилище компьютера для сертификата.
Примечание
ОС Windows 2000 Server будет работать с Microsoft Enhanced
Cryptographic Provider 1.0. Windows Server 2003 и Windows XP будут
работать с Microsoft RSA SChannel Cryptographic Provider.
d. В разделе Дополнительные параметры > Формат запроса выберите CMC. В
списке Хэш-алгоритм выберите SHA-1. Снимите флажок Сохранить запрос в
файл и в поле Понятное имя введите полное доменное имя компьютера, для
которого запрашивается сертификат.
e. Нажмите кнопку Отправить.
f.
Если появится сообщение Потенциальная ошибка сценария, нажмите кнопку
Да.
g. На странице Выпущенные сертификаты щелкните ссылку Установить этот
сертификат.
48
h. Если открывается диалоговое окно Потенциальная ошибка сценария,
нажмите кнопку Да.
i.
На странице Установленные сертификаты появится сообщение Ваш новый
сертификат успешно установлен. Закройте браузер.
Импорт сертификатов с помощью MOMCertImport
1. Выполните вход на компьютер, используя учетную запись, которая является
членом группы администраторов.
2. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
3. В диалоговом окне Выполнение введите cmd и нажмите кнопку ОК.
4. В командной строке введите <буква_диска>: (где <буква_диска> обозначает
установочный диск Operations Manager 2007), а затем нажмите клавишу ВВОД.
5. Введите cd\SupportTools\i386, а затем нажмите клавишу ВВОД.
Примечание
На 64-разрядных компьютерах введите cd\SupportTools\amd64.
6. Введите следующее:
MOMCertImport /SubjectName <имя субъекта сертификата>
7. Нажмите клавишу ВВОД.
См. также
Настройка консоли управления для использования SSL при подключении к серверу отчетов
в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
Получение сертификата с помощью автономного центра
сертификации Windows Server 2003 в Operations Manager
2007
В следующих процедурах описываются действия по получению сертификата от ЦС
предприятия с помощью служб сертификатов, входящих в состав Windows 2000 Server и
Windows Server 2003. Чтобы получить сертификат подобным образом выполните
следующие действия.
Выполните следующие процедуры.
49

Загрузите доверенный корневой сертификат (ЦС).

Импортируйте доверенный корневой сертификат (ЦС).

Запросите сертификат у автономного ЦС.

Утвердите ожидающий запрос сертификата. Если службы сертификатов настроены для
автоматического утверждения сертификатов, перейдите к следующей процедуре
(получение сертификата). В противном случае администратор ЦС должен будет
выдать сертификат, используя процедуру "Получение сертификата".

Получите сертификат.

С помощью программы MOMCertImport импортируйте сертификат в Operations
Manager.
Загрузка доверенного корневого сертификата (ЦС).
1. Войдите в систему, на которой планируется установить сертификат (например, на
сервер шлюза или сервер управления).
2. Запустите Internet Explorer и подключитесь к компьютеру со службами
сертификатов (например, http://<<имя_сервера>>/certsrv).
3. На начальной странице щелкните ссылку Загрузить сертификат ЦС, цепочку
сертификатов или список отзыва сертификатов.
4. На странице Загрузка сертификата ЦС, цепочки сертификатов или CRL
выберите Метод шифрования, затем Base 64 и Загрузка цепочки сертификатов
ЦС.
5. В диалоговом окне Загрузка файла нажмите кнопку Сохранить и сохраните
сертификат, например Trustedca.p7b.
6. По окончании загрузки закройте Internet Explorer.
Импорт доверенного корневого сертификата (ЦС).
1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
2. В диалоговом окне Запуск программы введите mmc и нажмите кнопку ОК.
3. В окне Console1 выберите Файл и нажмите Добавить или удалить оснастку.
4. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
5. В диалоговом окне Добавить изолированную оснастку нажмите выберите
Сертификаты, а затем нажмите кнопку Добавить.
6. В диалоговом окне Оснастка диспетчера сертификатов установите
переключатель учетной записи компьютера, а затем нажмите кнопку Далее.
7. В диалоговом окне Выбор компьютера убедитесь, что флажок Локальный
компьютер: (на котором запущена эта консоль) установлен, и нажмите кнопку
Готово.
8. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.
50
9. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.
10. В окне Console1 разверните узел Сертификаты (локальный компьютер), затем
Доверенные корневые центры сертификации и щелкните Сертификаты.
11. Правой кнопкой мыши щелкните Сертификаты, выберите Все задачи, затем
Импорт.
12. В мастере импорта сертификатов нажмите кнопку Далее.
13. На странице Файл для импорта нажмите кнопку Обзор и перейдите к папке, в
которую загружен файл сертификата ЦС, например TrustedCA.p7b, выберите файл
и нажмите кнопку Открыть.
14. На странице Файл для импорта выберите Поместить все сертификаты в
следующее хранилище, убедитесь, что в поле Хранилище сертификатов
отображается Доверенные корневые центры сертификации и нажмите кнопку
Далее.
15. На странице Завершение мастера импорта сертификатов нажмите кнопку
Готово.
Порядок запроса сертификата от автономного ЦС
1. Войдите в систему, на которой планируется установить сертификат (например, на
сервер шлюза или сервер управления).
2. Запустите Internet Explorer, а затем подключитесь к компьютеру с размещенной
службой сертификации (например, используйте http://<имя_сервера>/certsrv).
3. На странице приветствия служб сертификатов Microsoft щелкните Запрос
сертификата.
4. На странице Запрос сертификата щелкните ссылку Или отправить
расширенный запрос сертификата.
5. На странице Расширенный запрос сертификата щелкните Создать и выдать
запрос к этому ЦС.
6. На странице Расширенный запрос сертификата сделайте следующее.
a. В разделе Идентифицирующие сведения в поле Имя введите уникальное
имя, например полное доменное имя компьютера, для которого запрашивается
сертификат. Заполните остальные поля соответствующими данными.
Примечание
Событие с идентификатором 20052 (ошибка ввода) создается, если
указанное в поле Имя полное доменное имя не соответствует имени
данного компьютера.
b. В разделе Тип требуемого сертификата выполните следующие действия.
Щелкните список и выберите Другое.
В поле ИД объекта введите 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.
51
c.
В разделе Параметры ключа выберите следующие параметры.
Щелкните Создать новый набор ключей
В поле Поставщик служб криптографии выберите Microsoft Enhanced
Cryptographic Provider v1.0
В поле Использование ключа выберите Оба
В поле Размер ключа введите 1024
Установите флажок Автоматическое имя контейнера ключа
Установите флажок Пометить ключ как экспортируемый
Снимите флажок Экспортировать ключи в файл (необязательно для служб
сертификатов Active Directory Windows Server 2008)
Снимите флажок Включить усиленную защиту закрытого ключа
Щелкните Использовать локальное хранилище компьютера для
сертификата.
d. В разделе Дополнительные параметры выполните следующие действия.
В поле Формат запроса выберите CMC
В списке Хэш-алгоритм выберите SHA-1
Снимите флажок Сохранить запрос в файл
В поле Понятное имя введите полное доменное имя сертификата, для
которого запрашивается сертификат.
e. Нажмите кнопку Отправить.
f.
Если открывается диалоговое окно Потенциальная нарушение безопасности,
нажмите кнопку Да.
g. При появлении страницы Ожидаемый сертификат закройте браузер.
Порядок утверждения ожидающего запроса сертификата
1. Войдите в систему со службами сертификатов как администратор ЦС.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, затем
Администрирование и Центр сертификации.
3. В окне Центр сертификации раскройте узел с именем требуемого центра
сертификации, а затем щелкните Ожидающие запросы.
4. На панели результатов щелкните правой кнопкой мыши ожидающий запрос из
предыдущей процедуры, выберите Все задачи, а затем — Выпустить.
5. Щелкните Выданные сертификаты и убедитесь, что только что выданный
сертификат указан в списке.
6. Закройте окно Центр сертификации.
Порядок получения сертификата
1. Войдите в систему, на которой планируется установить сертификат (например, на
52
сервер шлюза или сервер управления).
2. Запустите Internet Explorer и подключитесь к компьютеру с размещенной службой
сертификации (например, используйте http://<имя_сервера>/certsrv).
3. На странице Службы сертификации Microsoft щелкните ссылку Просмотр
состояния ожидаемого запроса сертификата.
4. На странице Просмотр состояния ожидаемого запроса сертификата выберите
запрашиваемый сертификат.
5. На странице Выпущенные сертификаты щелкните ссылку Установить этот
сертификат.
6. В диалоговом окне Потенциальная ошибка сценария щелкните Да.
7. На странице Установленные сертификаты появится сообщение Ваш новый
сертификат успешно установлен. Закройте веб-обозреватель.
Импорт сертификатов с помощью MOMCertImport
1. Выполните вход на компьютер, используя учетную запись, которая является
членом группы администраторов.
2. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
3. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
4. В командной строке введите <буква_диска>: (где <буква_диска> обозначает
установочный диск Operations Manager 2007), а затем нажмите клавишу ВВОД.
5. Введите cd\SupportTools\i386, а затем нажмите клавишу ВВОД.
Примечание
На 64-разрядных компьютерах введите cd\SupportTools\amd64.
6. Введите следующее:
MOMCertImport
7. В диалоговом окне Выбор сертификата выберите сертификат, полученный в
предыдущем разделе, и нажмите кнопку OK.
Примечание
Если отображается несколько сертификатов, укажите сертификат с
назначением Проверка подлинности сервера, проверка
подлинности клиента и понятным именем, заданным во время
действия 6 процедуры "Запрос сертификата у автономного ЦС".
8. В диалоговом окне команды появится сообщение Сертификат установлен
успешно. Проверьте журнал Operations Manager в средстве просмотра
событий для проверки канала.
53
См. также
Настройка консоли управления для использования SSL при подключении к серверу отчетов
в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
Получение сертификата с помощью центра сертификации
предприятия Windows Server 2008 в Operations Manager 2007
Процедуры, описанные в этом разделе, используются для получения сертификата с
компьютера Windows Server 2008, на котором работают службы сертификатов Active
Directory корня предприятия. Для запроса и принятия сертификата будет использоваться
программа командной строки CertReq, а для отправки и получения сертификата — вебинтерфейс.
Предполагается, что службы сертификатов Active Directory установлены, привязка HTTPS
создана и соответствующий сертификат установлен. Сведения о создании привязки HTTPS
см. в разделе Настройка привязки HTTPS для ЦС Windows Server 2008.
Важно!
Материалы данного раздела основываются на стандартных параметрах служб
сертификатов Active Directory Windows Server 2008, таких как длина ключа (2048),
применение Microsoft Software Key Storage Provider в качестве поставщика служб
шифрования и использование протокола SHA1. Оцените соответствие этих
параметров требованиям политики безопасности своей компании.
Общее описание процесса получения сертификата из центра сертификации предприятия
приводится ниже.
1. Загрузите доверенный корневой сертификат (ЦС).
2. Импортируйте доверенный корневой сертификат (ЦС).
3. Создайте шаблон сертификата.
4. Добавьте шаблон в папку "Шаблоны сертификатов".
5. Создайте файл с данными установки, который будет использоваться программой
командной строки CertReq.
6. Создайте файл запроса.
7. Отправьте запрос ЦС.
8. Импортируйте сертификат в хранилище сертификатов.
54
9. Импортируйте сертификат в Operations Manager с помощью MOMCertImport.
Загрузка доверенного корневого сертификата (ЦС).
1. Войдите в систему, на которой планируется установить сертификат (например, на
сервер шлюза или сервер управления).
2. Запустите Internet Explorer и подключитесь к компьютеру со службами
сертификатов (например, http://<<имя_сервера>>/certsrv).
3. На начальной странице щелкните ссылку Загрузить сертификат ЦС, цепочку
сертификатов или список отзыва сертификатов.
4. На странице Загрузка сертификата ЦС, цепочки сертификатов или CRL
выберите Метод шифрования, затем Base 64 и Загрузка цепочки сертификатов
ЦС.
5. В диалоговом окне Загрузка файла нажмите кнопку Сохранить и сохраните
сертификат, например Trustedca.p7b.
6. По окончании загрузки закройте Internet Explorer.
Импорт доверенного корневого сертификата (ЦС).
1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
2. В диалоговом окне Запуск программы введите mmc и нажмите кнопку ОК.
3. В окне Console1 выберите Файл и нажмите Добавить или удалить оснастку.
4. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
5. В диалоговом окне Добавить изолированную оснастку нажмите выберите
Сертификаты, а затем нажмите кнопку Добавить.
6. В диалоговом окне Оснастка диспетчера сертификатов установите
переключатель учетной записи компьютера, а затем нажмите кнопку Далее.
7. В диалоговом окне Выбор компьютера убедитесь, что флажок Локальный
компьютер: (на котором запущена эта консоль) установлен, и нажмите кнопку
Готово.
8. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.
9. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.
10. В окне Console1 разверните узел Сертификаты (локальный компьютер), затем
Доверенные корневые центры сертификации и щелкните Сертификаты.
11. Правой кнопкой мыши щелкните Сертификаты, выберите Все задачи, затем
Импорт.
12. В мастере импорта сертификатов нажмите кнопку Далее.
13. На странице Файл для импорта нажмите кнопку Обзор и перейдите к папке, в
которую загружен файл сертификата ЦС, например TrustedCA.p7b, выберите файл
и нажмите кнопку Открыть.
55
14. На странице Файл для импорта выберите Поместить все сертификаты в
следующее хранилище, убедитесь, что в поле Хранилище сертификатов
отображается Доверенные корневые центры сертификации и нажмите кнопку
Далее.
15. На странице Завершение мастера импорта сертификатов нажмите кнопку
Готово.
Порядок создания шаблона сертификата
1. На компьютере с ЦС предприятия на рабочем столе Windows нажмите кнопку Пуск
и последовательно выберите Программы, Администрирование и Центр
сертификации.
2. В области переходов раскройте имя ЦС, щелкните правой кнопкой мыши Шаблоны
сертификатов, а затем нажмите кнопку Управление.
3. В консоли Шаблоны сертификатов на панели результатов щелкните правой
кнопкой IPSec (автономный запрос) и выберите Скопировать шаблон.
4. В диалоговом окне Скопировать шаблон выберите Windows Server 2003
Enterprise Edition и нажмите кнопку OK.
Примечание
Параметр Windows Server 2008 Enterprise Edition в настоящее время не
поддерживается.
5. В диалоговом окне Свойства нового шаблона на вкладке Общие в текстовом
поле Отображаемое имя шаблона введите новое имя шаблона (например,
OperationsManagerCert).
6. На вкладке Обработка запросов выберите Разрешить экспортировать
закрытый ключ.
7. Перейдите на вкладку Расширения, в разделе Расширения, включенные в этот
шаблон выберите Политики приложений и нажмите кнопку Изменить.
8. В диалоговом окне Изменение расширения политик применения выберите IKEпосредник IP-безопасности, а затем нажмите кнопку Удалить.
9. Нажмите кнопку Добавить и в списке политики приложений выберите значения
Проверка подлинности клиента и Проверка подлинности сервера, удерживая
клавишу CTRL, а затем нажмите кнопку OK.
10. В диалоговом окне Изменение расширения политик применения нажмите кнопку
ОК.
11. Выберите вкладку Безопасность и убедитесь, что группа Прошедшие проверку
имеет разрешения Чтение и Заявка, а затем нажмите кнопку OK.
12. Закройте консоль шаблонов сертификатов.
Добавление шаблона в папку "Шаблоны сертификатов".
56
1. На компьютере с ЦС предприятия в оснастке "Центр сертификации" щелкните
правой кнопкой мыши папку Шаблоны сертификатов, выберите Создать, а затем
Выдаваемый шаблон сертификата.
2. В поле Включение шаблонов сертификатов выберите созданный шаблон
сертификатов, например OperationsManagerCert, и нажмите кнопку OK.
Создание информационного файла установки (INF-файла)
1. На компьютере с компонентом Operations Manager, для которого запрашивается
сертификат, нажмите кнопку Пуск и выберите Выполнить.
2. В диалоговом окне Запуск программы введите Notepad и нажмите кнопку ОК.
3. Создайте текстовый файл следующего содержания:
[NewRequest]
Subject="CN=<Полное доменное имя компьютера, для которого создается
сертификат, например сервер шлюза или сервер управления.>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4. Сохраните файл с расширением INF, например RequestConfig.inf.
5. Закройте программу "Блокнот".
Создания файла запроса для ЦС предприятия
1. На компьютере с компонентом Operations Manager, для которого запрашивается
сертификат, нажмите кнопку Пуск и выберите Выполнить.
2. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
3. В окне командной строки введите CertReq –New –f RequestConfig.inf
CertRequest.reqи нажмите клавишу ВВОД.
4. Откройте полученный файл в блокноте (например, CertRequest.req) и скопируйте
его содержимое в буфер обмена.
Отправка запроса ЦС предприятия
1. На компьютере с компонентом Operations Manager, для которого запрашивается
сертификат, запустите Internet Explorer и подключитесь к компьютеру со службами
57
сертификатов, например https://<имя сервера>/certsrv.
Примечание
Если привязка HTTPS не настроена на веб-сайте служб сертификатов,
подключение через браузер не удастся. См. раздел Настройка привязки
HTTPS для ЦС Windows Server 2008 этого руководства.
2. На странице приветствия служб сертификатов Microsoft Active Directory
нажмите Запрос сертификата.
3. На странице Запрос сертификата выберите расширенный запрос сертификата.
4. На странице Расширенный запрос сертификата выберите Выдать запрос,
используя base-64 шифрованный файл PKCS #10, или выдать запрос
обновления, используя base-64 шифрованный файл PKCS #7.
5. На странице Выдача запроса на сертификат или на обновление сертификата в
текстовом поле Сохраненный запрос вставьте содержимое файла
CertRequest.req, скопированное во время действия 4 предыдущей процедуры.
6. В разделе Шаблон сертификатов выберите созданный шаблон сертификатов,
например OperationsManagerCert и нажмите кнопку Отправить.
7. На странице Сертификат выдан выберите Base64-шифрование и нажмите
Загрузить сертификат.
8. В диалоговом окне Загрузка файла - предупреждение безопасности нажмите
Сохранить и сохраните сертификат, например под именем NewCertificate.cer.
9. Закройте Internet Explorer.
Импорт сертификата в хранилище сертификатов
1. На компьютере с компонентом Operations Manager, для которого настраивается
сертификат, нажмите кнопку Пуск и выберите Выполнить.
2. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
3. В окне командной строки введите CertReq –Accept NewCertifiate.cerи нажмите
клавишу ВВОД.
Импорт сертификата в Operations Manager с помощью MOMCertImport.
1. Войдите в систему на компьютере, на котором установлен сертификат, используя
учетную запись с ролью "Администраторы".
2. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
3. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
4. В командной строке введите <буква_диска>: (где <буква_диска> обозначает
установочный диск Operations Manager 2007), а затем нажмите клавишу ВВОД.
5. Введите cd\SupportTools\i386, а затем нажмите клавишу ВВОД.
Примечание
58
На 64-разрядных компьютерах введите cd\SupportTools\amd64.
6. Введите следующее:
MOMCertImport /SubjectName <имя субъекта сертификата>
7. Нажмите клавишу ВВОД.
См. также
Настройка консоли управления для использования SSL при подключении к серверу отчетов
в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2008 в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
Получение сертификата с помощью автономного центра
сертификации Windows Server 2008 в Operations Manager
2007
Процедуры, описанные в этом разделе, используются для получения сертификата с
автономного компьютера под управлением Windows Server 2008, на котором работают
службы сертификатов Active Directory. Для запроса и принятия сертификата будет
использоваться программа командной строки CertReq, а для отправки и получения
сертификата — веб-интерфейс.
Предполагается, что службы сертификатов Active Directory установлены, привязка HTTPS
используется и соответствующий сертификат установлен. Сведения о создании привязки
HTTPS см. в разделе Настройка привязки HTTPS для ЦС Windows Server 2008.
Важно!
Материалы данного раздела основываются на стандартных параметрах служб
сертификатов Active Directory Windows Server 2008, таких как длина ключа (2048),
применение Microsoft Software Key Storage Provider в качестве поставщика служб
шифрования и использование протокола SHA1. Оцените соответствие этих
параметров требованиям политики безопасности своей компании.
Общее описание процесса получения сертификата из автономного центра сертификации
приводится ниже.
1. Загрузите доверенный корневой сертификат (ЦС).
2. Импортируйте доверенный корневой сертификат (ЦС).
59
3. Создайте файл с данными установки, который будет использоваться программой
командной строки CertReq.
4. Создайте файл запроса.
5. Отправьте запрос ЦС, используя файл запроса.
6. Утвердите ожидающий запрос сертификата.
7. Получите сертификат от ЦС.
8. Импортируйте сертификат в хранилище сертификатов.
9. Импортируйте сертификат в Operations Manager с помощью MOMCertImport.
Загрузка доверенного корневого сертификата (ЦС).
1. Войдите в систему, на которой планируется установить сертификат (например, на
сервер шлюза или сервер управления).
2. Запустите Internet Explorer и подключитесь к компьютеру со службами
сертификатов (например, http://<<имя_сервера>>/certsrv).
3. На начальной странице щелкните ссылку Загрузить сертификат ЦС, цепочку
сертификатов или список отзыва сертификатов.
4. На странице Загрузка сертификата ЦС, цепочки сертификатов или CRL
выберите Метод шифрования, затем Base 64 и Загрузка цепочки сертификатов
ЦС.
5. В диалоговом окне Загрузка файла нажмите кнопку Сохранить и сохраните
сертификат, например Trustedca.p7b.
6. По окончании загрузки закройте Internet Explorer.
Импорт доверенного корневого сертификата (ЦС).
7. 0. 1.
На рабочем столе Windows нажмите кнопку Пуск и выберите команду
Выполнить.
2. В диалоговом окне Запуск программы введите mmc и нажмите кнопку ОК.
3. В окне Console1 выберите Файл и нажмите Добавить или удалить оснастку.
4. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
5. В диалоговом окне Добавить изолированную оснастку нажмите выберите
Сертификаты, а затем нажмите кнопку Добавить.
6. В диалоговом окне Оснастка диспетчера сертификатов установите
переключатель учетной записи компьютера, а затем нажмите кнопку Далее.
7. В диалоговом окне Выбор компьютера убедитесь, что флажок Локальный
компьютер: (на котором запущена эта консоль) установлен, и нажмите кнопку
Готово.
8. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.
9. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.
60
10. В окне Console1 разверните узел Сертификаты (локальный компьютер), затем
Доверенные корневые центры сертификации и щелкните Сертификаты.
11. Правой кнопкой мыши щелкните Сертификаты, выберите Все задачи, затем
Импорт.
12. В мастере импорта сертификатов нажмите кнопку Далее.
13. На странице Файл для импорта нажмите кнопку Обзор и перейдите к папке, в
которую загружен файл сертификата ЦС, например TrustedCA.p7b, выберите файл
и нажмите кнопку Открыть.
14. На странице Файл для импорта выберите Поместить все сертификаты в
следующее хранилище, убедитесь, что в поле Хранилище сертификатов
отображается Доверенные корневые центры сертификации и нажмите кнопку
Далее.
15. На странице Завершение мастера импорта сертификатов нажмите кнопку
Готово.
Создание информационного файла установки (INF-файла)
1. На компьютере с компонентом Operations Manager, для которого запрашивается
сертификат, нажмите кнопку Пуск и выберите Выполнить.
2. В диалоговом окне Запуск программы введите Notepad и нажмите кнопку ОК.
3. Создайте текстовый файл следующего содержания:
[NewRequest]
Subject="CN=<Полное доменное имя компьютера, для которого создается
сертификат, например сервер шлюза или сервер управления.>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4. Сохраните файл с расширением INF, например RequestConfig.inf.
5. Закройте программу "Блокнот".
Создание файла запроса с помощью автономного ЦС
1. На компьютере с компонентом Operations Manager, для которого запрашивается
сертификат, нажмите кнопку Пуск и выберите Выполнить.
2. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
61
3. В окне командной строки введите CertReq –New –f RequestConfig.inf
CertRequest.reqи нажмите клавишу ВВОД.
4. Откройте полученный файл (например, CertRequest.req) в блокноте. Скопируйте
содержимое файла в буфер обмена.
Отправка запросов автономному ЦС
1. На компьютере с компонентом Operations Manager, для которого запрашивается
сертификат, запустите Internet Explorer и подключитесь к компьютеру со службами
сертификатов (например, https://<имя сервера>/certsrv).
Примечание
Если привязка HTTPS не настроена на веб-сайте служб сертификатов,
подключение через браузер не удастся. См. раздел Настройка привязки
HTTPS для ЦС Windows Server 2008 этого руководства.
2. На странице приветствия служб сертификатов Microsoft Active Directory
нажмите Запрос сертификата.
3. На странице Запрос сертификата выберите расширенный запрос сертификата.
4. На странице Расширенный запрос сертификата выберите Выдать запрос,
используя base-64 шифрованный файл PKCS #10, или выдать запрос
обновления, используя base-64 шифрованный файл PKCS #7.
5. На странице Выдача запроса на сертификат или на обновление сертификата в
текстовом поле Сохраненный запрос вставьте содержимое файла
CertRequest.req, скопированное во время действия 4 предыдущей процедуры, и
нажмите кнопку Отправить.
6. Закройте Internet Explorer.
Порядок утверждения ожидающего запроса сертификата
1. Войдите в систему на компьютере со службами сертификатов Active Directory как
администратор ЦС.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, затем
Администрирование и Центр сертификации.
3. В окне Центр сертификации раскройте узел с именем требуемого центра
сертификации, а затем щелкните Ожидающие запросы.
4. На панели результатов щелкните правой кнопкой мыши ожидающий запрос из
предыдущей процедуры, выберите Все задачи, а затем — Выпустить.
5. Щелкните Выданные сертификаты и убедитесь, что только что выданный
сертификат указан в списке.
6. Закройте центр сертификации.
Порядок получения сертификата
62
1. Войдите в систему, на которой планируется установить сертификат (например, на
сервер шлюза или сервер управления).
2. Запустите Internet Explorer и подключитесь к компьютеру со службами
сертификатов (например, используйте http://<имя_сервера>/certsrv).
3. На странице приветствия служб сертификатов Microsoft Active Directory
щелкните Просмотр состояния ожидаемого запроса сертификата.
4. На странице Просмотр состояния ожидаемого запроса сертификата выберите
запрашиваемый сертификат.
5. На странице Сертификат выдан выберите Base64-шифрование и нажмите
Загрузить сертификат.
6. В диалоговом окне Загрузка файла - предупреждение безопасности нажмите
Сохранить и сохраните сертификат, например под именем NewCertificate.cer.
7. На странице Установленные сертификаты появится сообщение Ваш новый
сертификат успешно установлен. Закройте веб-обозреватель.
8. Закройте Internet Explorer.
Импорт сертификата в хранилище сертификатов
1. На компьютере с компонентом Operations Manager, для которого настраивается
сертификат, нажмите кнопку Пуск и выберите Выполнить.
2. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
3. В окне командной строки введите CertReq –Accept NewCertifiate.cerи нажмите
клавишу ВВОД.
Импорт сертификата в Operations Manager с помощью MOMCertImport.
1. Войдите в систему на компьютере, на котором установлен сертификат, используя
учетную запись с ролью "Администраторы".
2. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
3. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
4. В командной строке введите <буква_диска>: (где <буква_диска> обозначает
установочный диск Operations Manager 2007), а затем нажмите клавишу ВВОД.
5. Введите cd\SupportTools\i386, а затем нажмите клавишу ВВОД.
Примечание
На 64-разрядных компьютерах введите cd\SupportTools\amd64.
6. Введите следующее:
MOMCertImport /SubjectName <имя субъекта сертификата>
7. Нажмите клавишу ВВОД.
63
См. также
Настройка консоли управления для использования SSL при подключении к серверу отчетов
в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2008 в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в Operations Manager 2007
Удаление импортированных сертификатов MOMCertImport в
Operations Manager 2007
Для удаления сертификатов, импортированных с помощью программы MOMCertImport.
Удаление сертификатов, импортированных с помощью программы MOMCertImport
1. Выполните вход на компьютер, используя учетную запись, которая является
членом группы администраторов.
2. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
3. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
4. В командной строке введите <буква_диска>: (где <буква_диска> обозначает
установочный диск Operations Manager 2007), а затем нажмите клавишу ВВОД.
5. Введите cd\SupportTools\i386, а затем нажмите клавишу ВВОД.
Примечание
На 64-разрядных компьютерах введите cd\SupportTools\amd64.
6. Введите следующее:
MOMCertImport /Removeи нажмите клавишу ВВОД.
См. также
Настройка консоли управления для использования SSL при подключении к серверу отчетов
в Operations Manager 2007
Получение сертификата с помощью центра сертификации предприятия Windows Server
2003 в Operations Manager 2007
Получение сертификата с помощью автономного центра сертификации Windows Server
2003 в Operations Manager 2007
64
Изменение учетной записи запуска от имени, связанной с
профилем запуска от имени
По умолчанию учетные записи запуска от имени связаны со следующими профилями
запуска от имени.

Учетная запись хранилища данных

Учетная запись считывания данных синхронизации конфигураций хранилища данных

Учетная запись развертывания отчетов хранилища данных

Учетная запись проверки подлинности SQL Server для хранилища данных

Учетная запись проверки подлинности SQL Server для отчетов службы SDK
Например, с профилем запуска от имени "Учетная запись проверки подлинности SQL
Server для хранилища данных" связана учетная запись запуска от имени "Учетная запись
проверки подлинности SQL Server для хранилища данных". Например, для изменения
учетной записи запуска от имени, связанной с профилем запуска от имени "Учетная запись
проверки подлинности SQL Server для хранилища данных" можно использовать
следующую процедуру. Предполагается, что новая учетная запись запуска от имени,
которую планируется связать с данным профилем запуска от имени, уже создана.
Дополнительные сведения об учетных записях и профилях запуска от имени см. в разделе
Администрирование ролей безопасности, учетных записей и профилей в Operations
Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=88131).
Порядок изменение учетной записи запуска от имени, связанной с профилем
запуска от имени
1. Войдите в компьютер с учетной записью, которая является членом роли
администраторов Operations Manager для группы управления Operations
Manager 2007.
2. На консоли управления нажмите кнопку Администрирование.
Примечание
При запуске консоли управления на компьютере, не являющемся
сервером управления, отображается диалоговое окно Подключение к
серверу. В текстовом поле Имя сервера введите имя сервера
управления Operations Manager 2007, к которому должна подключиться
консоль управления.
3. В панели Администрирование раскройте узлы Администрирование,
Безопасность, а затем выберите Профили запуска от имени.
4. В панели "Профили запуска от имени" щелкните правой кнопкой мыши Учетная
запись проверки подлинности SQL Server для хранилища данных, а затем
выберите пункт Свойства.
5. В диалоговом окне Профиль запуска от имени — учетная запись проверки
подлинности SQL Server для хранилища данных перейдите на вкладку Учетные
65
записи запуска от имени.
6. На вкладке Учетные записи запуска от имени выберите целевой компьютер, а
затем нажмите кнопку Изменить.
7. В диалоговом окне Редактировать альтернативную учетную запись запуска от
имени щелкните список Учетная запись запуска от имени, выберите новую
учетную запись запуска от имени, которую следует связать с этим профилем
запуска от имени, и нажмите кнопку OK.
8. В диалоговом окне Профиль запуска от имени — учетная запись проверки
подлинности SQL Server для хранилища данных нажмите кнопку ОК.
Настройка привязки HTTPS для ЦС Windows Server 2008
Если настраивается новый ЦС для первого использования с Operations Manager 2007,
настройте привязку HTTPS для центра сертификации (ЦС) с помощью следующей
процедуры.
Настройка привязки HTTPS
1. На компьютере с ЦС нажмите кнопку Пуск на рабочем столе Windows, выберите
Программы, Администрирование и Диспетчер служб IIS.
2. В диалоговом окне Диспетчер служб IIS на панели Подключения разверните имя
компьютера, затем Узлы и выберите Веб-узел по умолчанию.
3. На панели Действия выберите Привязки.
4. В диалоговом окне Привязки узла нажмите Добавить.
5. В диалоговом окне Добавление привязки узла в меню Тип выберите https.
6. В списке SSL-сертификат выберите запись, соответствующую имени компьютера,
и нажмите кнопку OK.
7. В диалоговом окне Привязки узла нажмите Закрыть.
8. На панели Подключения в разделе Веб-узел по умолчанию щелкните CertSrv.
9. На панели /CertSrv Home щелкните правой кнопкой мыши пункт Параметры SSL и
нажмите Открытие функции.
10. На панели Параметры SSL выберите Требовать SSL, а затем Требовать 128разрядный SSL.
11. На панели Действия нажмите кнопку Применить и закройте Диспетчер служб IIS.
66
Проверка подлинности и шифрование в ОС
UNIX и Linux
Версия Operations Manager 2007 R2 допускает развертывание агентов на компьютерах под
управлением UNIX и Linux. В такой среде проверка подлинности Kerberos невозможна.
Поэтому между сервером управления и компьютерами UNIX и Linux используются
сертификаты. В этой сценарии сертификаты проходят процедуру самозаверения на
сервере управления. (Использование сертификатов сторонних производителей
допускается, но не требуется.)
Существует два метода развертывания агентов: развертывание с помощью мастера
обнаружения и ручная установка. Ручная установка агентов — более безопасный метод.
При использовании мастера обнаружения для принудительной установки агентов на
компьютеров UNIX и Linux пользователь предполагает, что компьютер, на котором
развертывается агент, — это то, что он думает. Применение мастера обнаружения
сопряжено с большим риском при развертывании в ДМЗ или сети общего пользования. В
этом разделе руководства по безопасности мы обсудим ручное развертывание агента на
компьютерах UNIX и Linux.
При использовании мастера обнаружения для развертывания агента мастер выполняет
следующие функции.
Развертывание
Мастер обнаружения копирует пакет агента
на компьютер UNIX или Linux и начинает
процесс установки.
Подпись сертификата
Operations Manager получает сертификат от
агента, подписывает его и снова
развертывает на агенте, а затем
перезапускает агент.
Обнаружение
Мастер обнаружения обнаруживает
компьютер и проверяет, действителен ли
сертификат. Если мастер подтверждает, что
компьютер можно обнаружить и сертификат
действителен, он добавляет обнаруженный
компьютер в базу данных Operations
Manager.
При ручном развертывании агента пользователь сам выполняет первые два действия, для
которых обычно применяется мастер обнаружения: развертывание и подпись сертификата.
Затем компьютер добавляется в базу данных Operations Manager с помощью мастера
обнаружения.
Если в системе есть сертификаты, они используются при установке агентов. Новые
сертификаты не создаются. Сертификаты не удаляются автоматически при удалении
67
агента. Пользователь должен будет вручную удалить сертификаты в папке
/etc/opt/microsoft/scx/ssl. Чтобы восстановить сертификаты при установке, необходимо
удалить эту папку перед установкой агента.
Значения хэшей двоичных файлов агентов доступны в разделе Приложение Б - значения
хэша для агентов UNIX и Linux этого руководства.
Инструкции по ручному развертыванию агентов см. в разделе "Ручная установка агентов
Cross Platform" руководства по эксплуатации Operations Manager 2007 R2.
(http://go.microsoft.com/fwlink/?LinkID=146211). Затем следует установить сертификаты с
помощью следующих процедур.
Вопросы, связанные с межсетевыми экранами в UNIX и
Linux
Если на компьютере UNIX или Linux установлен межсетевой экран, необходимо открыть
порт 1270 (для входящего трафика). Номер порта не настраивается. Если агенты
развертываются в среде с низким уровнем безопасности, и для развертывания и подписи
сертификатов применяется мастер обнаружения, откройте порт SSH. Номер порта SSH
можно настраивать. По умолчанию для SSH используется входящий TCP-порт 22.
Ручная установка сертификатов для поддержки нескольких
платформ
Перед началом данной процедуры необходимо вручную установить агент. Для выполнения
этой процедуры потребуется учетная запись root или учетная запись с повышенными
правами.
Установка сертификатов для поддержки нескольких платформ
1. На компьютере с ОС UNIX или Linux найдите файл /etc/opt/microsoft/scx/ssl/scxhost-<hostname>.pem и скопируйте или перенесите его в любую папку на
компьютере с Operations Manager 2007 R2.
2. На компьютере с Operations Manager 2007 R2 нажмите кнопку Пуск на рабочем
столе Windows и выберите Выполнить.
3. В диалоговом окне Запуск программы введите cmdи нажмите клавишу ВВОД.
4. Перейдите в каталог, в который скопирован файл scx.pem.
5. Введите команду scxcertconfig -sign scx-host-<hostname>.pem scx_new.pemи
нажмите клавишу ВВОД. Это команда запустит самозаверение сертификата (scxhost-<hostname>.pem) и сохранит новый сертификат (scx-host<hostname>_new.pem).
Примечание
Убедитесь, что папка, в которой установлено приложение Operations
Manager, включена в путь или используйте полный путь к файлу
68
scxcertconfig.exe.
6. Скопируйте или передайте файл scx_new.pem в папку /etc/opt/microsoft/scx/ssl на
компьютере с ОС UNIX или Linux по защищенному каналу. В результате исходный
файл original scx-host-<hostname>.pem будет заменен.
7. Перезагрузите агент с помощью команды sxadmin –restart.
Обнаружение компьютеров под управлением UNIX или Linux с помощью
Operations Manager 2007 R2
1. На компьютере с Operations Manager 2007 R2 запустите консоль Operations
Manager и выберите Администрирование.
2. На панели Администрирование выберите Мастер обнаружения.
3. В мастере управления компьютерами и устройствами на странице Тип
обнаружения выберите Компьютеры Unix/Linux и нажмите кнопку Далее.
4. На странице Метод обнаружения выберите Добавить.
5. В диалоговом окне Определение критериев обнаружения в поле Область
обнаружения выберите DNS-имя и введите полное доменное имя компьютера
UNIX или Linux, который необходимо добавить.
6. В области Учетные данные введите имя пользователя и пароль и нажмите кнопку
OK.
7. На странице Метод обнаружения снимите флажок Включить обнаружение по
SSH. При необходимости выберите сервер управления, который использовался
для заверения сертификата, и нажмите Обнаружить.
8. На странице Выбор компьютеров для управления выберите компьютер и
нажмите кнопку Далее.
9. На странице Сводка нажмите кнопку Готово.
Использование брандмауэра в Operations
Manager 2007
Руководство по повышению безопасности
Руководство по повышению безопасности Microsoft Operations Manager 2007
предоставляет базовые сведения о дальнейшем повышении безопасности среды
Operations Manager 2007 с помощью мастера настройки безопасности. Мастер настройки
безопасности — это средство уменьшения уязвимости продуктов под управлением ОС
Windows Server 2003 с пакетом обновления 1 (SP1), Windows Server 2003 с пакетом
обновления 2 (SP2) и Windows Server 2003 R2.
69
Помимо практических рекомендаций по настройке, руководство содержит сведения об
обновлении заблокированного агента, настройке измененных номеров портов (от
стандартных значений) и примеры повышения безопасности серверов и агентов. Хотя это
руководство будет полезно большинству администраторов серверов, оно предназначено
для администраторов, ответственных за систему безопасности Operations Manager 2007.
Дополнительные сведения см. в руководстве по ролям мастера настройки безопасности и
повышению безопасности System Center Operations Manager 2007 для Windows Server 2003
(http://go.microsoft.com/fwlink/?LinkId=120136).
Подключение с хранилищу данных отчетов через
межсетевой экран
В этом разделе описывается настройка среды для поддержки установки хранилища
данных отчетов за пределами межсетевого экрана.
Примечание
Отделение консоли управления, корневого сервера управления, сервера
управления или сервера отчетов межсетевым экраном или границами доверия не
поддерживается.
В среде с хранилищем данных отчетов, отделенном от корневого сервера управления и
сервера отчетов межсетевым экраном, встроенная проверка подлинности Windows не
поддерживается. Необходимо настроить проверку подлинности SQL Server. В следующем
разделе описывается включение проверки подлинности SQL Server между корневым
сервером управления (или сервером управления), сервером отчетов и хранилищем данных
отчетов, как показано на иллюстрации ниже.
70
Сервер управления и хранилище данных отчетов
Для включения проверки подлинности SQL Server необходимо выполните следующие
действия.
1. На компьютере с хранилищем данных отчетов создайте имя входа SQL с ролью для
записи и чтения. Учетные данные для этой учетной записи должны иметь следующие
роли в базе данных OperationsManagerDW на сервере SQL Server:
a. OpsMgrWriter;
b. db_owner (только для группы управления-владельца в базе данных).
2. На компьютере с корневым сервером управления создайте учетную запись запуска от
имени (обычную) с учетными данными из предыдущего действия.
3. Свяжите эту учетную запись запуска от имени с профилем запуска от имени "Учетная
запись проверки подлинности SQL Server для хранилища данных", направив его на
каждый сервер управления. Дополнительные сведения см. в разделе Изменение
учетной записи запуска от имени, связанной с профилем запуска от имени этого
руководства.
Если между сервером управления и хранилищем данных отчетов установлен межсетевой
экран, откройте порт 1433.
Сервер отчетов и хранилище данных отчетов
Если между сервером отчетов и хранилищем данных отчетов находится межсетевой экран
или границы доверия, необходимо создать канал "точка-точка".
Учетная запись, указанная при установке модуля создания отчетов в качестве учетной
записи для чтения данных, становится учетной записью выполнения на сервере отчетов и
будет использоваться для подключения к хранилищу данных отчетов.
Необходимо определить номер порта, который используется в компьютере с SQL Server в
хранилище данных отчетов, и ввести его в таблицу dbo.MT_DataWarehouse базы данных
Operations Manager. См. раздел Настройка хранилища данных отчетов на прослушивание
определенного порта TCP/IP этого руководства.
Сервер отчетов и корневой сервер управления,
разделенные межсетевым экраном
При установке модуля создания ответов может появиться ошибка "Не удалось проверить,
относится ли текущий пользователь к роли sysadmin", если корневой сервер управления и
сервер отчетов разделены межсетевым экраном. Сообщение может появиться, даже если
соответствующие порты межсетевого экрана открыты. Ошибка возникает после ввода
имени компьютера корневого сервера управления и нажатия кнопки Далее. Кроме того,
ошибка может отображаться, когда программе установке модуля создания отчетов не
удается подключиться к базе данных Operations Manager на корневом сервере управления.
В этой среде необходимо определить номер порта, используемый сервером SQL Server, и
настроить базу данных Operations Manager для работы с этим номером порта. См. раздел
71
Настройка базы данных Operations Manager на прослушивание определенного порта
TCP/IP этого руководства.
Назначения портов
В следующей таблице показано взаимодействие компонентов Operations Manager 2007 с
использованием брандмауэра (в том числе сведения о портах, используемых для связи
между компонентами, направление открытия входящего порта и возможность изменения
номера порта).
Компонент A
Номер и
Компонент B
Возможность
Operations
направление
Operations Manager
настройки
Manager 2007 с
порта
2007 с пакетом
пакетом
Примечание
обновления 1 (SP1)
обновления 1
(SP1)
корневой сервер
управления
1433 --->
база данных
Operations
Manager;
Да (настройка)
сервер
управления
1433 --->
база данных
Operations
Manager;
Да (настройка)
Сервер
управления
5723, 5724 --->
корневой сервер
управления
Нет
Сервер шлюза
5723 --->
Корневой сервер
управления
Нет
Корневой сервер
управления
1433 --->
Хранилище
данных отчетов
Нет
Сервер отчетов
5723, 5724 --->
Корневой сервер
управления
Нет
Для установки
этого
компонента
должен быть
открыт порт
5724. После
выполнения
установки порт
можно закрыть.
Для установки
этого
компонента
должен быть
открыт порт
72
Компонент A
Номер и
Компонент B
Возможность
Operations
направление
Operations Manager
настройки
Manager 2007 с
порта
2007 с пакетом
пакетом
Примечание
обновления 1 (SP1)
обновления 1
(SP1)
5724. После
выполнения
установки порт
можно закрыть.
Консоль
управления
5724 --->
корневой сервер
управления
Нет
источник
Connector
Framework
51905 --->
корневой сервер
управления
Нет
Сервер вебконсоли
5724 --->
корневой сервер
управления
Нет
Обозреватель
веб-консоли
51908 --->
Сервер вебконсоли
Да (IIS Admin)
Порт 51908
используется по
умолчанию,
если выбрана
проверка
подлинности
Windows. Если
выбрана
проверка
подлинности с
помощью форм,
необходимо
установить SSLсертификат и
настроить один
из доступных
портов для
работы вебконсоли
Operations
Manager 2007
по протоколу
HTTPS.
73
Компонент A
Номер и
Компонент B
Возможность
Operations
направление
Operations Manager
настройки
Manager 2007 с
порта
2007 с пакетом
пакетом
Примечание
обновления 1 (SP1)
обновления 1
(SP1)
подключенный
корневой сервер
управления
(локальный)
5724 --->
подключенный
корневой сервер
управления
(подключенный)
Нет
Агент,
установленный с
помощью
MOMAgent.msi
5723 --->
Корневой сервер
управления
Да (настройка)
Агент,
установленный с
помощью
MOMAgent.msi
5723 --->
Сервер
управления
Да (настройка)
Агент,
установленный с
помощью
MOMAgent.msi
5723 --->
Сервер шлюза
Да (настройка)
Сервер шлюза
5723 --->
Сервер
управления
Да (настройка)
Агент (сервер
пересылки ACS)
51909 --->
сборщик ACS
сервера
управления
Да (реестр)
Данные
безагентного
отслеживания
исключений от
клиента
51906 --->
общий файловый
ресурс
безагентного
отслеживания
исключений
сервера
управления
Да (мастер
наблюдения за
клиентами)
Данные
программы
улучшения
качества ПО от
клиента
51907 --->
сервер
управления
(конечная точка
программы
улучшения
Да (мастер
наблюдения за
клиентами)
74
Компонент A
Номер и
Компонент B
Возможность
Operations
направление
Operations Manager
настройки
Manager 2007 с
порта
2007 с пакетом
пакетом
Примечание
обновления 1 (SP1)
обновления 1
(SP1)
качества
программного
обеспечения)
Консоль
управления
(отчеты)
80 --->
Службы отчетов
SQL
Нет
Сервер отчетов
1433 --->
Хранилище
данных отчетов
Да
сервер
управления
(сборщик ACS)
1433 --->
База данных
службы ACS
Да
Консоль
управления
использует порт
80 для
подключения к
веб-сайту служб
отчетов SQL
Server.
Настройка базы данных Operations Manager на
прослушивание определенного порта TCP/IP
Выполните следующие действия, чтобы настроить статический порт для базы данных
Operations Manager.

Воспользуйтесь Диспетчером конфигурации SQL Server, чтобы отключить
динамическую адресацию портов, укажите статический порт, отключите или остановите
службу обозревателя SQL Server и перезагрузите SQL Server <Экземпляр> служба.

Добавьте номер статического порта в таблицу dbo.MT_ManagementGroup.

Измените реестр, чтобы настроить статический номер порта для корневого сервера
управления.
Внимание!
Неправильное изменение реестра может серьезно повредить систему.
Прежде чем вносить изменения в реестр, сделайте резервные копии
важных данных.
75
Настройка номера порта для базы данных Operations Manager
1. Войдите в систему на компьютере с базой данных Operations Manager.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, Microsoft
SQL Server 2005, Средства настройки, а затем Диспетчер конфигурации SQL
Server.
3. В диалоговом окне Диспетчер конфигурации SQL Server разверните Сетевая
конфигурация SQL Server 2005 и выберите Протоколы для <INSTANCE>.
4. На панели результатов щелкните правой кнопкой пункт TCP/IP и выберите
Свойства.
5. В диалоговом окне Свойства TCP/IP выберите вкладку IP-адреса.
6. Появится несколько IP-адресов в формате IP1, IP2, .... IPAll. Один из этих IPадресов будет адаптером замыкания на себя, 127.0.0.1. Для IP-адреса каждого
компьютера будут отображаться дополнительные адреса. Разверните IP1, IP2, ...
IPAll.
7. Для областей IPn, если диалоговое окно Динамические TCP-порты содержит 0
(это значит, что ядро СУБД отслеживает динамические порты), удалите 0.
8. В области IPAll, если диалоговое окно Динамические TCP-порты содержит номер
порта (который обозначает назначенный номер динамического), удалите его.
9. В области IPAll в диалоговом окне TCP-порт введите номер статического порта,
который следует использовать, и нажмите кнопку OK.
10. В диалоговом окне Диспетчер конфигурации SQL Server выберите Службы SQL
Server 2005.
11. На панели результатов Диспетчера конфигурации SQL Server щелкните правой
кнопкой мыши Обозреватель SQL Server и выберите Свойства.
12. В диалоговом окне Свойства обозревателя SQL Server выберите вкладку
Служба.
13. На вкладке "Служба" выберите Режим запуска. В списке Режим запуска выберите
Отключена и нажмите кнопку OK.
14. На панели результатов Диспетчера конфигурации SQL Server щелкните правой
кнопкой мыши Обозреватель SQL Server и выберите Остановить.
15. На панели результатов щелкните правой кнопкой мыши SQL Server (<имя
экземпляра>) и выберите Перезапустить.
16. Закройте Диспетчер конфигурации SQL Server.
Ввод номера порта SQL Server в таблицу dbo.MT_ManagementGroup
1. На компьютере с базой данных Operations Manager нажмите кнопку Пуск на
рабочем столе Windows, выберите Программы, Microsoft SQL Server 2005, затем
SQL Server Management Studio.
76
2. В диалоговом окне Подключение к серверу в списке Тип сервера выберите Ядро
СУБД.
3. В диалоговом окне Имя сервера введите имя сервера, экземпляр и номер порта
для базы данных Operations Manager (например, компьютер\<экземпляр>).
4. В списке Проверка подлинности выберите Проверка подлинности Windows и
нажмите кнопку Подключить.
5. На панели обозревателя объектов разверните Базы данных, OperationsManager,
Таблицы, щелкните правой кнопкой dbo.MT_ManagementGroup и выберите
Открыть таблицу.
6. Прокрутите панель результатов вправо до столбца SQLServerName_<guid>.
7. В первой строке введите "компьютер\<экземпляр>", затем запятую, пробел и номер
порта SQL Server (например, компьютер\ЭКЗЕМПЛЯР1, <порт>).
8. В меню Файл выберите Выход.
Изменение реестра на корневом сервере управления
1. Войдите в систему на компьютере с корневым сервером управления.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Выполнить, введите
regedit, а затем нажмите кнопку ОК.
3. На странице Редактор реестра разверните HKEY_LOCAL_MACHINE, затем
SOFTWARE, Microsoft, Microsoft Operations Manager и 3.0. После этого щелкните
Setup.
4. На панели результатов щелкните DatabaseServerName правой кнопкой мыши и
нажмите Изменить.
5. В диалоговом окне Изменение строки в текстовом поле "Значение" добавьте к
имени сервера запятую, пробел и номер порта. Например:
<имя_компьютера>\<экземпляр>, <номер порта>.
6. Нажмите кнопку ОК.
Настройка хранилища данных отчетов на прослушивание
определенного порта TCP/IP
Выполните следующие процедуры, чтобы настроить статический порт для хранилища
данных отчетов.

Воспользуйтесь Диспетчером конфигурации SQL Server, чтобы отключить
динамическую адресацию портов, укажите статический порт, отключите или остановите
службу обозревателя SQL Server и перезагрузите SQL Server <Экземпляр> служба.

Добавьте номер статического порта в таблицу dbo.MT_ManagementGroup.

Добавьте номер статического порта в таблицу dbo.MemberDatabase.
77

Измените реестр, чтобы настроить статический номер порта для корневого сервера
управления.
Внимание!
Неправильное изменение реестра может серьезно повредить систему.
Прежде чем вносить изменения в реестр, сделайте резервные копии
важных данных.

Измените параметры служб отчетов SQL Server.
Настройка номера порта для базы данных Operations Manager
1. Войдите в систему на компьютере с хранилищем данных отчетов.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, Microsoft
SQL Server 2005, Средства настройки, а затем Диспетчер конфигурации SQL
Server.
3. В диалоговом окне Диспетчер конфигурации SQL Server разверните Сетевая
конфигурация SQL Server 2005 и выберите Протоколы для <INSTANCE>.
4. На панели результатов щелкните правой кнопкой пункт TCP/IP и выберите
Свойства.
5. В диалоговом окне Свойства TCP/IP выберите вкладку IP-адреса.
6. Появится несколько IP-адресов в формате IP1, IP2, .... IPAll. Один из этих IPадресов будет адаптером замыкания на себя, 127.0.0.1. Для IP-адреса каждого
компьютера будут отображаться дополнительные адреса. Разверните IP1, IP2, ...
IPAll.
7. Для областей IPn, если диалоговое окно Динамические TCP-порты содержит 0
(это значит, что ядро СУБД отслеживает динамические порты), удалите 0.
8. В области IPAll, если поле Динамические TCP-порты содержит номер порта
(который обозначает назначенный номер динамического), удалите его.
9. В области IPAll в диалоговом окне TCP-порт введите номер статического порта,
который следует использовать, и нажмите кнопку OK.
10. В диалоговом окне Диспетчер конфигурации SQL Server выберите Службы SQL
Server 2005.
11. На панели результатов Диспетчера конфигурации SQL Server щелкните правой
кнопкой мыши Обозреватель SQL Server и выберите Свойства.
12. В диалоговом окне Свойства обозревателя SQL Server выберите вкладку
Служба.
13. На вкладке "Служба" выберите Режим запуска. В списке Режим запуска выберите
Отключена и нажмите кнопку OK.
14. На панели результатов Диспетчера конфигурации SQL Server щелкните правой
кнопкой мыши Обозреватель SQL Server и выберите Остановить.
15. На панели результатов щелкните правой кнопкой мыши SQL Server (<имя
78
экземпляра>) и выберите Перезапустить.
16. Закройте Диспетчер конфигурации SQL Server.
Ввод номера порта SQL Server в таблицу dbo.MT_ManagementGroup
1. На компьютере с базой данных Operations Manager нажмите кнопку Пуск на
рабочем столе Windows, выберите Программы, Microsoft SQL Server 2005, затем
SQL Server Management Studio.
2. В диалоговом окне Подключение к серверу в списке Тип сервера выберите Ядро
СУБД.
3. В списке Имя сервера введите сервер и экземпляр базы данных Operations
Manager (например, компьютер\INSTANCE1).
4. В списке Проверка подлинности выберите Проверка подлинности Windows и
нажмите кнопку Подключить.
5. На панели обозревателя объектов разверните Базы данных, OperationsManager,
Таблицы, щелкните правой кнопкой dbo.MT_DataWarehouse и выберите Открыть
таблицу.
6. Прокрутите панель результатов вправо до столбца
MainDatabaseServerName_<guid>.
7. В первой строке введите "компьютер\<экземпляр>", затем запятую, пробел и номер
порта SQL Server (например, компьютер\<экземпляр>, <порт>).
8. В меню Файл выберите Выход.
Ввод номера порта SQL Server в таблицу dbo.MemberDatabase
1. На компьютере с хранилищем данных отчетов нажмите кнопку Пуск на рабочем
столе Windows, выберите Программы, Microsoft SQL Server 2005, затем SQL
Server Management Studio.
2. В диалоговом окне Подключение к серверу в списке Тип сервера выберите Ядро
СУБД.
3. В списке Имя сервера введите сервер и экземпляр базы данных Operations
Manager компьютер\<экземпляр>).
4. В списке Проверка подлинности выберите Проверка подлинности Windows и
нажмите кнопку Подключить.
5. На панели обозревателя объектов разверните Базы данных,
OperationsManagerDW, Таблицы, щелкните правой кнопкой dbo.MemberDatabase
и выберите Открыть таблицу.
6. Прокрутите панель результатов вправо до столбца ServerName.
7. В первой строке введите "компьютер\<экземпляр>", затем запятую, пробел и номер
порта SQL Server (например, компьютер\<экземпляр>, <порт>).
8. В меню Файл выберите Выход.
79
Изменение реестра на сервере отчетов
1. Войдите в систему на компьютере с корневым сервером управления.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Выполнить, введите
regedit, а затем нажмите кнопку ОК.
3. На странице Редактор реестра разверните HKEY_LOCAL_MACHINE, затем
SOFTWARE, Microsoft, Microsoft Operations Manager и 3.0. После этого щелкните
Reporting.
4. На панели результатов щелкните DWDBInstance правой кнопкой мыши и нажмите
Изменить.
5. В диалоговом окне Изменение строки в текстовом поле "Значение" добавьте к
имени сервера запятую, пробел и номер порта. Например:
<имя_компьютера>\<экземпляр>, <номер порта>.
6. Нажмите кнопку ОК.
Изменение служб отчетов SQL Server
1. Войдите в систему на компьютере с корневым сервером управления.
2. Запустите Internet Explorer и подключитесь в http://<имя компьютера>/reports$<имя
экземпляра>.
3. Выберите вкладку Содержимое.
4. На правой стороне панели инструментов выберите Показать сведения.
5. Щелкните Основное хранилище данных.
6. В текстовом поле Строка подключения найдите строку
source=<computer>\<instance>;initial.
7. Добавьте к имени экземпляра запятую, пробел и номер статического порта.
Например: source=<computer>\<instance>, <port>;initial.
8. Нажмите кнопку Применить и закройте браузер.
Использование сертификатов со службами
ACS в Operations Manager 2007
Если сервер пересылки ACS находится в домене, отличном от домена сборщика ACS, и
между ними не установлены двусторонние отношения доверия, для проверки подлинности
между сервером пересылки ACS и сборщиком ACS необходимо использовать
сертификаты.
Предполагается, что до установки сертификатов ACS на компьютере с сервером
пересылки ACS произошли следующие события/
80

Агент установлен на компьютере, который будет действовать в качестве сервера
пересылки ACS. Дополнительные сведения см. в разделе Развертывание агента
Operations Manager 2007 с помощью мастера установки агента
(http://go.microsoft.com/fwlink/?LinkId=91128).

Сертификат (и сертификат центра сертификации [ЦС]) установлены на компьютере с
агентами. Дополнительные сведения см. в разделе Сертификаты в Operations Manager
2007 (http://go.microsoft.com/fwlink/?LinkId=91129).
Предполагается, что до установки сертификатов ACS на компьютере со сборщиком ACS
выполнены следующие действия.

Сертификат (и сертификат ЦС) установлены на сервере управления со сборщиком
ACS. Дополнительные сведения см. в разделе Сертификаты в Operations Manager 2007
(http://go.microsoft.com/fwlink/?LinkId=91129).

Незавершенный агент утвержден и обмен данными между агентом и сервером
управления проходит должным образом (в консоли управления отображается
состояние агента "Работоспособен", и пакет управления развернут на агенте).
Дополнительные сведения см. в разделе Утверждение установленного с помощью
MOMAgent.msi агента Operations Manager 2007 для группы управления
(http://go.microsoft.com/fwlink/?LinkId=91130).

Сборщик и база данных ACS установлены. Дополнительные сведения см. в разделе
Установка сборщика и базы данных ACS (http://go.microsoft.com/fwlink/?LinkId=91142).
Ниже представлен общий обзор действий, которые необходимо выполнить для
использования сертификатов со службами ACS.
Примечание
Сертификаты, используемые в различных компонентах Operations Manager 2007
(например, на сборщике и сервере пересылки ACS, агенте, сервере шлюза,
сервере управления или корневом сервере управления) должны быть выданы
одним и тем же центром сертификации.
На компьютере со сборщиком ACS:

Запустите программу ADTServer -c.

Сопоставьте сертификат сервера пересылки ACS в Active Directory.

В консоли Operations Manager включите службы ACS.
На компьютере с сервером пересылки ACS:

Экспортируйте сертификат на диск, в USB-устройство флэш-памяти или сетевую папку.

Запустите программу ADTAgent -c.
См. также
Настройка сертификатов на сборщике ACS в Operations Manager 2007
Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007
81
Настройка сертификатов на сборщике ACS в Operations
Manager 2007
После установки сертификатов между агентом и сервером и сервером управления и
развертывания служб ACS выполните следующие процедуры на компьютерах с сборщиком
ACS в рамках настройки служб ACS для использования сертификатов.
Примечание
После выполнения этих процедур необходимо включить серверы пересылки ACS.
Дополнительные сведения см. в разделе Поддержка серверов пересылки ACS в
Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=91143).
Назначение сертификата сборщику ACS
1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
2. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
3. В командной строке введите <буква_диска>: (где <буква_диска> принадлежит
диску, на котором установлена ОС), и нажмите клавишу ВВОД.
4. Введите cd %systemroot% и нажмите клавишу ВВОД.
5. Введите cd system32\security\adtserver и нажмите клавишу ВВОД.
6. Введите net stop dhcpserver и нажмите клавишу ВВОД.
7. Введите adtserver -c и нажмите клавишу ВВОД.
8. В нумерованном списке сертификатов найдите сертификат Operations Manager,
введите номер в списке (это должен быть номер 1) и нажмите клавишу ВВОД.
9. Введите net start adtserver и нажмите клавишу ВВОД.
Настройка сопоставления имен для сертификата
1. Войдите в систему на компьютере с Active Directory.
2. На рабочем столе Windows нажмите кнопку Пуск, выберите Программы, затем
Администрирование и Пользователи и компьютеры Active Directory.
3. Разверните имя домена, щелкните правой кнопкой пункт Компьютеры, выберите
Создать, а затем Компьютер.
4. В диалоговом окне Новый объект - Компьютер введите NetBIOS-имя компьютера
с сервером пересылки ACS и нажмите кнопку Далее. Повторите это действие для
всех компьютеров с сервером пересылки ACS.
5. В диалоговом окне Управляемые убедитесь, что флажок Это управляемый
компьютер снят и нажмите кнопку Далее.
6. В диалоговом окне Новый объект - Компьютер нажмите кнопку Готово.
7. В правой панели оснастки Пользователи и компьютеры Active Directory
выберите добавленный компьютер (или компьютеры) и выберите Сопоставления
имен.
82
8. В диалоговом окне Сопоставление удостоверений безопасности выберите
Сертификаты X.509 и нажмите кнопку Добавить.
9. В диалоговом окне Добавить сертификат выберите меню Искать, затем путь к
сертификату и нажмите кнопку Открыть.
10. В диалоговом окне Добавить сертификат установите флажок Использовать
объект для альтернативного удостоверения безопасности и нажмите кнопку
OK.
11. В диалоговом окне Сопоставление идентификаторов безопасности нажмите
кнопку OK.
12. Повторите действия 4–11для каждого добавленного компьютера.
См. также
Использование сертификатов со службами ACS в Operations Manager 2007
Настройка сертификатов на сервере пересылки ACS в Operations Manager 2007
Настройка сертификатов на сервере пересылки ACS в
Operations Manager 2007
После установки сертификатов между агентом и сервером и сервером управления и
развертывания служб ACS выполните следующие процедуры на компьютерах с сервером
пересылки ACS (в рамках процедуры настройки служб ACS для использования
сертификатов).
Экспорт сертификата
1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
2. В диалоговом окне Запуск программы введите mmc и нажмите кнопку ОК.
3. В меню Файл выберите команду Добавить или удалить оснастку.
4. В диалоговом окне Добавить/удалить оснастку нажмите кнопку Добавить.
5. В диалоговом окне Добавить изолированную оснастку нажмите выберите
Сертификаты, а затем нажмите кнопку Добавить.
6. В диалоговом окне Оснастка диспетчера сертификатов установите
переключатель учетной записи компьютера, а затем нажмите кнопку Далее.
7. В диалоговом окне Выбор компьютера выберите Локальный компьютер (на
котором запущена эта консоль) и нажмите кнопку Готово.
8. В диалоговом окне Добавить изолированную оснастку нажмите кнопку Закрыть.
9. В диалоговом окне Добавить/удалить оснастку нажмите кнопку ОК.
10. В области "Корень консоли\Сертификаты (Локальный компьютер) разверните
Сертификаты (Локальный компьютер), затем Личные и выберите
Сертификаты.
83
11. На панели результатов щелкните сертификат, используемый в Operations Manager,
правой кнопкой мыши, выберите Все задачи, затем Экспорт.
12. На странице Приветствие мастера экспорта сертификатов нажмите кнопку
Далее.
13. На странице Экспорт закрытого ключа установите флажок Нет, не
экспортировать закрытый ключ и нажмите кнопку Далее.
14. На странице Формат файла экспорта выберите Файлы в DER-кодировке X.509
(.CER) и нажмите кнопку Далее.
15. На странице Файл для экспорта нажмите кнопку Обзор.
16. На странице Сохранить как выберите папку и имя файла для сертификата,
убедитесь, что для параметра Тип файла выбрано значение Файлы в DERкодировке X.509 (.CER) и нажмите кнопку Сохранить.
Примечание
Этот сертификат необходимо скопировать на компьютер со сборщиком
ACS. Это значит, что следует выбрать папку, которую сборщик ACS
сможет прочитать или сохранить сертификат на диск, USB-устройство
флэш-памяти или в сетевую папку. Кроме того, рекомендуется включить
имя компьютера в имя файла, если выполняется экспорт сертификатов
с нескольких компьютеров.
17. На странице Файл для экспорта Проверьте правильность пути и имени файла и
нажмите кнопку Далее, а затем кнопку Готов.
Выполнение команды adtagent
1. На рабочем столе Windows нажмите кнопку Пуск и выберите команду Выполнить.
2. В диалоговом окне Запуск программы введите cmd и нажмите кнопку ОК.
3. В командной строке введите <буква_диска>: (где <буква_диска> принадлежит
диску, на котором установлена ОС), и нажмите клавишу ВВОД.
4. Введите cd %systemroot% и нажмите клавишу ВВОД.
5. Введите cd system32 и нажмите клавишу ВВОД.
6. Введите adtagent -c и нажмите клавишу ВВОД.
7. Откроется нумерованный список сертификатов. Найдите сертификат,
используемый для Operations Manager, введите его номер в списке (это должен
быть номер 1) и нажмите клавишу ВВОД.
8. Введите exit, чтобы закрыть окно командной строки.
См. также
Настройка сертификатов на сборщике ACS в Operations Manager 2007
Использование сертификатов со службами ACS в Operations Manager 2007
84
Вопросы безопасности, связанные с
безагентным управлением в Operations
Manager 2007
Управление без агентов позволяет отслеживать компьютеры без установки агентов.
Например, управление без агентов можно использовать для компьютеров, работающих в
особых средах, в которых установка агентов невозможна.
Сервер управления взаимодействует с компьютерами, управляемыми без агентов, через
порт RPC (TCP 135) и диапазон портов DCOM. Поэтому управление без агентов для
компьютеров за пределами межсетевого экрана не поддерживается.
Чтобы управление без агентов стало возможным, учетная запись действия сервера
управления должна иметь права локального администратора на удаленном компьютере и
должна находиться в том же домене или доверенном домене. Например, агент прокси,
использующий учетную запись с низким уровнем привилегий, не сможет получить доступ к
пространству имен WMI, что сделает выполнение правил, сценариев и мониторов
невозможным.
Безопасность веб-консоли в Operations
Manager 2007
Сервер веб-консоли предоставляет браузерную альтернативу панели "Мониторинг"
консоли управления Microsoft System Center Operations Manager 2007. Сервер веб-консоли
используется при необходимости обращения к данным мониторинга группы управления
Operations Manager 2007 следующими способами:

Через Интернет.

Без установки консоли управления.

Через подключение с низкой пропускной способностью.

Когда уведомления согласно настройкам содержат гиперссылки на соответствующие
предупреждения в веб-консоли.
В результате установки веб-консоли будет установлен новый веб-сайт и новый пул
приложений IIS. Новому веб-сайту будет назначено имя "Веб-консоль Operations Manager
2007" а новому пулу приложений — OPWebConsoleApp. Порт по умолчанию для доступа к
веб-консоли из браузера с использованием проверки подлинности Windows: 51908.
Во время установки веб-консоли система предложит выбрать проверку подлинности
Windows или проверку подлинности с помощью форм. Если выбрана проверка
подлинности Windows, корпорация Майкрософт настоятельно рекомендует использовать
протокол SSL. Для проверки подлинности с помощью форм протокол SSL обязателен.
Проверку подлинности Windows можно использовать, если все пользователи обращаются к
Operations Manager из интрасети.
85
Примечание
Если выбрана проверка подлинности Windows, сервер веб-консоли должен быть
установлен на корневом сервере управления.
Если пользователи будут обращаться к веб-консоли из Интернета, выберите проверку
подлинности с помощью форм.
Примечание
Рекомендуемый метод обращения к веб-консоли из Интернета — проверка
подлинности с помощью форм и SSL.
При использовании обоих методов проверки подлинности введенным учетным данным
должна быть назначена роль Operations Manager 2007.
Предоставления доступа к веб-консоли через Интернет
Рекомендуемый метод обеспечения доступа к веб-консоли через Интернет — установить
веб-консоль в ДМЗ, связанной с Интернетом. Настройте веб-консоль для использования
проверки подлинности с помощью форм и установите сертификат SSL/TLS в службах IIS.
Необходимо открыть порт 5724 между сервером веб-консоли и Operations Manager 2007.
Канал между сервером веб-консоли и корневым сервером управления шифруется.
Дополнительные сведения см. в следующих статье базы знаний "Применение SSL в
службах IIS" (http://go.microsoft.com/fwlink/?LinkId=87862).
Приложение A - список операций Operations
Manager 2007
В этом приложении приводится список операций Operations Manager 2007, доступных для
каждого профиля.
Оператор отчетов
Профиль "Оператор отчетов" включает набор привилегий, предназначенный для
пользователей, которые нуждаются в доступе к отчетам. Роль на основе данного профиля
позволяет своим обладателям просматривать отчеты в соответствии с настроенной
областью.
Получение экземпляра хранилища данных для группы управления
Запись в избранные отчеты
Удаление избранных отчетов
Чтение избранных отчетов
Обновление избранных отчетов
Чтение отчетов
Выполнение отчетов
86
Оператор только для чтения
Профиль "Оператор только для чтения" включает набор привилегий, предназначенный для
пользователей, которые нуждаются в доступе "только для чтения" к предупреждениям и
представлениям. Роль на основе данного профиля позволяет своим обладателям
просматривать предупреждения и использовать представления в соответствии с
настроенной областью.
Чтение предупреждений
Получение экземпляра хранилища данных для группы управления
Чтение состояния
Чтение экземпляра соединителя
Чтение задач консоли
Перечисление диагностических объектов
Перечисление результатов диагностики
Перечисление обнаруженных объектов, заданных в пакете управления
Чтение правил обнаружения
Чтение событий
Запись в избранные задачи консоли
Удаление избранных задач консоли
Перечисление избранных задач консоли
Обновление избранных задач консоли
Запись избранных представлений
Удаление избранных представлений
Перечисление избранных представлений
Обновление избранных представлений
Перечисление объектов мониторинга
Перечисление классов мониторинга
Перечисление классов отношений мониторинга
Перечисление пакетов управления
Перечисление типов мониторов
Перечисление типов модулей
Перечисление мониторов
Перечисление переопределений
Перечисление данных о производительности
Перечисление обнаруженных объектов, заданных в пакете управления
Перечисление состояний прошлых операций обнаружения
Перечисление отношений между объектами мониторинга
87
Перечисление правил
Перечисление сохраненных операций поиска
Обновление сохраненных операций поиска
Запись в сохраненные операции поиска
Удаление сохраненных операций поиска
Перечисление состояния
Предоставление доступа к подключенным группам управления
Перечисление представлений
Перечисление типов представления
Оператор
Профиль "Оператор" включает набор привилегий, предназначенный для пользователей,
которые нуждаются в доступе к предупреждениям, представлениям и задачам. Роль на
основе данного профиля позволяет своим обладателям работать с предупреждениями,
запускать задачи и использовать представления в соответствии с настроенной областью. В
дополнение к следующим привилегиям профиль "Оператор" наследует все привилегии
оператора только для чтения.
Обновление предупреждений
Выполнение диагностики
Создание избранных задач
Удаление избранных задач
Перечисление избранных задач
Обновление избранных задач
Выполнение процедур восстановления
Обновление параметров режима обслуживания
Перечисление действий по уведомлениям
Удаление действий по уведомлениям
Обновление действий по уведомлениям
Перечисление конечных точек уведомлений
Удаление конечных точек уведомлений
Удаление получателей уведомлений
Обновление получателей уведомлений
Перечисление подписок на уведомления
Удаление подписок на уведомления
Обновление подписок на уведомления
Перечисление задач
Перечисление состояния задач
88
Выполнение задач
Оператор с расширенными правами
Профиль "Оператор с расширенными правами" включает набор привилегий,
предназначенный для пользователей, которые нуждаются в праве ограниченной настройке
параметров отслеживания в дополнение к привилегиям операторов. Роль на основе
данного профиля позволяет своим обладателям переопределять конфигурацию правил и
мониторов для целевых объектов и групп целевых объектов в настроенной области. В
дополнение к следующим привилегиям профиль "Оператор" наследует все привилегии
оператора только для чтения и оператора.
Обновление пакетов управления
Перечисление шаблонов
Дизайнер
Профиль "Дизайнер" включает привилегии, предназначенные для создания конфигураций
отслеживания. Роль на основе данного профиля позволяет своим обладателям создавать,
редактировать и удалять конфигурацию отслеживания (задачи, правила, мониторы и
представления) в настроенной области. Для удобства работы авторы также могут быть
настроены с привилегиями оператора с расширенными правами с областью, ограниченной
группами. В дополнение к следующим привилегиям профиль "Дизайнер" наследует все
привилегии оператора только для чтения, оператора и оператора с расширенными
правами.
Создание пакетов управления
Удаление пакетов управления
Перечисление профилей запуска от имени
Администратор
Профиль администратора включает все привилегии для работы с Operations Manager.
Ограничение профиля администратора областями не поддерживается. В дополнение к
следующим привилегиям профиль "Администратор" наследует все привилегии дизайнера,
оператора только для чтения, оператора и оператора с расширенными правами.
Создание состояния
Удаление состояния
Обновление состояния
Развертывание агента
Восстановление или удаление установленного агента
Удаление агента
Перечисление параметров агента
Обновление параметров агента
89
Перечисление агентов
Запуск или установка управления компьютерами и устройствами с помощью проксислужбы работоспособности
Перечисление компьютеров и устройств, управляемых с помощью прокси-службы
работоспособности
Добавление нового экземпляра компьютера или устройства
Удаление экземпляра компьютера или устройства
Выполнение задачи обнаружения
Создание событий
Перечисление глобальных параметров
Обновление глобальных параметров
Экспорт пакетов управления
Перечисление серверов управления
Удаление конечной точки уведомления
Обновление конечной точки уведомления
Создание данных о производительности
Создание учетных записей запуска от имени
Удаление учетных записей запуска от имени
Перечисление учетных записей запуска от имени
Обновление учетных записей запуска от имени
Создание связей между учетными записями запуска от имени и профилями запуска от
имени
Удаление связей между учетными записями запуска от имени и профилями запуска от
имени
Перечисление связей между учетными записями запуска от имени и профилями запуска от
имени
Обновление связей между учетными записями запуска от имени и профилями запуска от
имени
Создание подключенных групп управления
Удаление подключенных групп управления
Перечисление ролей пользователей
Удаление ролей пользователей
Обновление ролей пользователей
Запись избранных отчетов
Удаление избранных отчетов
Чтение избранных отчетов
Обновление избранных отчетов
90
Чтение отчетов
Выполнение отчетов
Администратор безопасности отчетов
Профиль "Администратор безопасности отчетов" включает набор привилегий,
предназначенный для интеграции системы безопасности служб отчетов SQL Server и
Operations Manager.
Экспорт пакетов управления
Перечисление классов, заданных в пакетах управления
Перечисление пакетов управления
Выполнение отчетов
Перечисление правил
Приложение Б - значения хэша для агентов
UNIX и Linux
В этом приложении приводятся значения хэша для двоичных файлов агентов для
компьютеров под управлением UNIX и Linux.
Значение хэша MD5
Агент
Файл
Хеш MD5
AIX 5.3 POWER
scx-1.0.4-248.aix.5.ppc.lpp.gz
a8ef3ebbed8cef7e98030b77ce01079f
AIX 6.1 POWER
scx-1.0.4-248.aix.6.ppc.lpp.gz
9d9a43a34576cc29cd150b947017d3fe
HPUX 11iv2
IA64
scx-1.0.4248.hpux.11iv2.ia64.depot.Z
6d4faad6e35830d8df01cf2afcc33243
HPUX 11iv2
PARISC
scx-1.0.4248.hpux.11iv2.parisc.depot.Z
12a611c53a9f02b8c49be1a6d4966e58
HPUX 11iv3
IA64
scx-1.0.4248.hpux.11iv3.ia64.depot.Z
855518128e2a96b976b2dbdca6dec164
HPUX 11iv3
PARISC
scx-1.0.4248.hpux.11iv3.parisc.depot.Z
5a08f1eadb99dc30d1ec25b2a8add395
RHEL 4 x64
scx-1.0.4-248.rhel.4.x64.rpm
4e6a0800d2a579c35837373ee988a3f2
RHEL 4 x86
scx-1.0.4-248.rhel.4.x86.rpm
5d059616e158d0cb0d36e43c81e4b218
RHEL 5 x64
scx-1.0.4-248.rhel.5.x64.rpm
1f47c05508f94ecd4329facbf6ff4d97
91
Агент
Файл
Хеш MD5
RHEl 5 x86
scx-1.0.4-248.rhel.5.x86.rpm
ac291fff0ae029c46b4bb9b0fc65226e
SLES 9 x86
scx-1.0.4-248.sles.9.x86.rpm
2a81ce3f40eabe605f1c8ddcad141c28
SLES 10 x64
scx-1.0.4-248.sles.10.x64.rpm
9911d90e16445b32ecc4d6aed9775ff1
SLES 10 x86
scx-1.0.4-248.sles.10.x86.rpm
04f77082ddb4c12da045b298dc1eab61
Solaris 8 SPARC scx-1.0.4248.solaris.8.sparc.pkg.Z
b3f5ab647d34d54b43f0810bb002f4c6
Solaris 9 SPARC scx-1.0.4248.solaris.9.sparc.pkg.Z
eb67396ee081155615b5a2d5e851a176
Solaris 10
SPARC
scx-1.0.4248.solaris.10.sparc.pkg.Z
99ed166b51517b4356f66276b2b223dc
Solaris 10 x86
scx-1.0.4248.solaris.10.x86.pkg.Z
dcf30dc553939aed648d0353342005cd
Значения хэша SHA1
Агент
Файл
SHA1
AIX 5.3
POWER
scx-1.0.4-248.aix.5.ppc.lpp.gz
da18adfccd7eae140ddca6177b9470e0b5776dfc
AIX 6.1
POWER
scx-1.0.4-248.aix.6.ppc.lpp.gz
cf702d3e13254eb6c8eb476c748eba346b5e775b
HPUX
11iv2 IA64
scx-1.0.4248.hpux.11iv2.ia64.depot.Z
ceaf9b0d732ac94184d7ccedfdb2e3b4c1b761d7
HPUX
11iv2
PARISC
scx-1.0.4248.hpux.11iv2.parisc.depot.Z
cfa64d3d29f4ce7404229c6418983946cb46d415
HPUX
11iv3 IA64
scx-1.0.4248.hpux.11iv3.ia64.depot.Z
2e33c132f73e8355f663c864e9c5f39ac4a7c1c0
HPUX
11iv3
PARISC
scx-1.0.4248.hpux.11iv3.parisc.depot.Z
e1836db997d1992fdf9a0d2c9b41938f5bf880ec
RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm
7061fbaa60f7b7b260445a26a0783f2b663c18df
RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm
a36c7c3abed1db65bf1c21d5d1eb0b30ef57afe3
92
Агент
Файл
SHA1
RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm
c112b0093c020615ee93e61b32e8f705a0f324b3
RHEl 5 x86
scx-1.0.4-248.rhel.5.x86.rpm
9bf4a5e8acaf24497cd24bf16017a1b173cb1d50
SLES 9 x86
scx-1.0.4-248.sles.9.x86.rpm
63796e9167ce6a04fe82eb5202c3c98dfa0dd37c
SLES 10
x64
scx-1.0.4-248.sles.10.x64.rpm
391004f7535a7185d6817ed327c024b2d0e3777a
SLES 10
x86
scx-1.0.4-248.sles.10.x86.rpm
b6b9923b47753d013b69f1abd638f1a9c0788234
Solaris 8
SPARC
scx-1.0.4248.solaris.8.sparc.pkg.Z
08c2059863c4aaa5ee79790a83bb8f9da4b3240a
Solaris 9
SPARC
scx-1.0.4248.solaris.9.sparc.pkg.Z
21f14b470de0e8d311c66d55e438c55688c5aadf
Solaris 10
SPARC
scx-1.0.4248.solaris.10.sparc.pkg.Z
de0ddcf80dce18e0599ec20d29b57145126cee55
Solaris 10
x86
scx-1.0.4248.solaris.10.x86.pkg.Z
499526bb43cb3ce9db6d7cf122b6bd5f15858bb4
Значение хэша SHA256
Агент
Файл
SHA256
AIX
5.3
POW
ER
scx-1.0.4248.aix.5.ppc.lpp.gz
40f93e6c5dabc07ae983814bd24bae2f9f53448dcd51d5cb4ac4
3e47e51a2506
AIX
6.1
POW
ER
scx-1.0.4248.aix.6.ppc.lpp.gz
670e02e9af19bb3aea0593947676843faf6c360694bed41cd3a
0bc0fd20fbbcc
HPUX
11iv2
IA64
scx-1.0.4248.hpux.11iv2.ia64.de
pot.Z
a60e92bcfb53b7d49bfb2dcc909690cb955800922fd54e496a27
796e684ec3fc
HPUX
11iv2
PARI
SC
scx-1.0.4553390b3ef4cc21375bc307855bb16c9865b196c4403605fe1df
248.hpux.11iv2.parisc.d 079f9f503d74
epot.Z
93
Агент
Файл
SHA256
HPUX
11iv3
IA64
scx-1.0.4248.hpux.11iv3.ia64.de
pot.Z
f102b4c36447b1a2c6a6b374228fba03ec0547e3750826a9457
8d28a219f516a
HPUX
11iv3
PARI
SC
scx-1.0.48d43eab9b481d51f4b9efb74ec5eb03e08eb5d8556032e74558
248.hpux.11iv3.parisc.d 8e9b3a2eb327d
epot.Z
RHEL
4 x64
scx-1.0.4248.rhel.4.x64.rpm
382b7d7afd1075cc188626b59b8f48b1c7666bdfc29c6bed1ab3
e8191c9394fe
RHEL
4 x86
scx-1.0.4248.rhel.4.x86.rpm
281d51128b98526f2223fcea93ebd72cf1b46ee81f4f5a65a08c
17d39c2fb7dc
RHEL
5 x64
scx-1.0.4248.rhel.5.x64.rpm
6448da9d2fbdc75e662255edbf22e4523c38f614baf9a0bcea97
95a17be578d4
RHEl
5 x86
scx-1.0.4248.rhel.5.x86.rpm
70408343a052ea77960315dd76ff70b9b42aad2c8c41c50997e
2d5e2d30f0b1d
SLES
9 x86
scx-1.0.4248.sles.9.x86.rpm
e628120ae89004d828bd8334330b2c44ea6cb165985b39149d
28084e8849f86a
SLES
10
x64
scx-1.0.4248.sles.10.x64.rpm
20be0a828a355f907f9a8a7dedbd8900e83f9be14b304c10054
d9619b0c9998d
SLES
10
x86
scx-1.0.4248.sles.10.x86.rpm
854262692e324bcbf78501a6b5d5199a10b4e608bcbed6524a
82bee205d1f256
Solari
s8
SPAR
C
scx-1.0.4ad3754a5064d7733b7b096c111efbf5630927852c07b16ea079
248.solaris.8.sparc.pkg. 9bf7aefb1740a
Z
Solari
s9
SPAR
C
scx-1.0.481bec81c17ea8a86833accbda8c6045147b08f38b600b7cea0d
248.solaris.9.sparc.pkg. cc730a59b2d90
Z
Solari
s 10
SPAR
C
scx-1.0.4248.solaris.10.sparc.pk
g.Z
a37a23b3ec25f8c1294c248d13cb73bbe5a7ea8fe2631bfbb42c
847f724a90da
Solari
scx-1.0.4-
54abb0189e2b70c13644c901dc495b045bdc1e2a087a634b22
94
Агент
Файл
SHA256
s 10
x86
248.solaris.10.x86.pkg.
Z
2ca42b4826d6c9
95