microsoftdownload.microsoft.com/.../om2007r2_securityguide.… · web viewoperations manager 2007...

Operations Manager 2007 R2-SicherheitshandbuchMicrosoft Corporation

Datum der Veröffentlichung: Mai 2009

AutorJohn Downing

ErstprüferIan Jirka, Joseph Chan, Lincoln Atkinson, Olof Mases, Ruhiyyih Mahalati, Smita Mahalati und Tim Helton

ZweitprüferEugene Bykov, Clive Eastwood, Doug Bradley, Jakub Oleksy, Ranga Kalyanasundaram und Vitaly Filimonov

FeedbackSenden Sie Vorschläge und Anmerkungen zu diesem Dokument an [email protected]. Geben Sie in Ihrem Feedback auch den Namen des Sicherheitshandbuchs und das Veröffentlichungsdatum an.

mailto:[email protected]?subject=Security%20Guide%20published%20May,%202009

Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren.

Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH, KONKLUDENT ODER GESETZLICH GEREGELT, ABER ABDINGBAR.

Die Benutzer sind verantwortlich für das Einhalten aller anwendbaren Urheberrechtsgesetze. Ungeachtet der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen, usw.) dies geschieht.

Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.

Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-Mail-Adressen, Logos, Personen, Orte und Ereignisse sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig und nicht beabsichtigt.

© 2009 Microsoft Corporation. Alle Rechte vorbehalten.

Microsoft, Active Directory, ActiveSync, Internet Explorer, Jscript, SharePoint, SQL Server, Visio, Visual Basic, Visual Studio, Win32, Windows, Windows PowerShell, Windows Server und Windows Vista sind Marken der Microsoft-Gruppe.

Alle anderen Marken sind Eigentum ihrer jeweiligen Inhaber.

Revisionsverlauf

Veröffentlichungsdatum Änderungen

Mai 2009 Die Operations Manager 2007 R2-Version, die Gegenstand dieses Handbuchs ist, enthält die folgenden Aktualisierungen und Ergänzungen:

Informationen zur Bereitstellung von Agents auf UNIX- und Linux-Systemen wurden hinzugefügt.

Veröffentlichungsdatum Änderungen

Eine Liste mit Hashwerten für UNIX- und Linux-Agents wurde hinzugefügt.

InhaltSicherheit in Operations Manager 2007 R2....................................................................................7

Info zum Operations Manager 2007-Sicherheitshandbuch..........................................................7Neue Sicherheitsfeatures in Operations Manager 2007..............................................................8Kontoinformationen für Operations Manager 2007......................................................................9

Ändern des Kennworts des IIS ReportServer-Anwendungspoolkontos in Operations Manager 2007.................................................................................................................................... 14

Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007............................................................................................................................................ 14

Ändern des SDK- und Konfigurationsdienstkontos in Operations Manager 2007..................15Ändern des Kennworts des Windows-Dienstkontos für den SQL Server Reporting Service in

Operations Manager 2007..................................................................................................16Festlegen des Aktionskontos auf mehreren Computern in Operations Manager 2007..........17

Rollenbasierte Sicherheit in Operations Manager 2007............................................................19Ausführende Konten und ausführende Profile in Operations Manager 2007.............................23

Erstellen einer Ausführung als Konto in Operations Manager 2007.......................................29Erstellen und Konfigurieren eines ausführenden Profils in Operations Manager 2007..........31Ändern eines ausführenden Profils........................................................................................35

Authentifizierung und Datenverschlüsselung für Windows-Computer in Operations Manager 2007....................................................................................................................................... 36Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung

zu einem Berichtsserver in Operations Manager 2007.......................................................44Abrufen eines Zertifikats mithilfe einer Windows Server 2003-

Unternehmenszertifizierungsstelle in Operations Manager 2007........................................45Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-

Zertifizierungsstelle in Operations Manager 2007...............................................................49Abrufen eines Zertifikats mithilfe einer Windows Server 2008-

Unternehmenszertifizierungsstelle in Operations Manager 2007........................................54Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2008-

Zertifizierungsstelle in Operations Manager 2007...............................................................59Entfernen von mit MOMCertImport importierten Zertifikaten in Operations Manager 2007....64Ändern des ausführenden Kontos, das einem ausführenden Profil zugeordnet ist................65Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle.....66

Authentifizierung und Datenverschlüsselung für UNIX- und Linux-Betriebssysteme.................67Manuelles Installieren von Zertifikaten für eine plattformübergreifende Unterstützung..........69

Verwenden einer Firewall in Verbindung mit Operations Manager 2007...................................70Konfigurieren der Operations Manager-Datenbank für die Überwachung eines bestimmten

TCP/IP-Ports.......................................................................................................................75

Konfigurieren des Berichterstattungs-Data Warehouse für die Überwachung eines bestimmten TCP/IP-Ports...................................................................................................78

Verwenden von Zertifikaten mit ACS in Operations Manager 2007...........................................81Konfigurieren von Zertifikaten in der ACS-Sammlung in Operations Manager 2007..............82Konfigurieren von Zertifikaten in der ACS-Weiterleitung in Operations Manager 2007..........84

Sicherheitsüberlegungen für die Verwaltung ohne Agent in Operations Manager 2007............85Webkonsolensicherheit in Operations Manager 2007...............................................................86Anhang A – Liste der Vorgänge in Operations Manager 2007...................................................87Anhang B – Liste der Hashwerte für UNIX- und Linux-Agents..................................................92

Sicherheit in Operations Manager 2007 R2

Info zum Operations Manager 2007-SicherheitshandbuchIn diesem Handbuch finden Sie sicherheitsbezogene Informationen zu Operations Manager 2007. Der nachfolgende Abschnitt bietet einen Überblick über die Themen, die in dieser Version des Sicherheitshandbuchs behandelt werden.

Zukünftige Versionen dieses Dokuments finden Sie unter Operations Manager 2007-Sicherheitshandbuch (http://go.microsoft.com/fwlink/?LinkId=64017, möglicherweise in englischer Sprache).

Inhalt dieses Abschnitts

Kontoinformationen für Operations Manager 2007

Beschreibt die Konten in Operations Manager 2007, für die Anmeldeinformationen bereitgestellt werden müssen.

Rollenbasierte Sicherheit in Operations Manager 2007

Beschreibt, wie die rollenbasierte Sicherheit implementiert wird.

Ausführende Konten und ausführende Profile in Operations Manager 2007

Beschreibt, wie ausführende Konten und ausführende Profile verwendet werden.

Authentifizierung und Datenverschlüsselung für Windows-Computer in Operations Manager 2007

Beschreibt, wie und wann Daten zwischen verschiedenen Operations Manager-Komponenten verschlüsselt werden. Enthält außerdem Anweisungen zum Anfordern und Verwenden von Zertifikaten.

Authentifizierung und Datenverschlüsselung für UNIX- und Linux-Betriebssysteme

Beschreibt, wie Agents für UNIX- und Linux-basierte Computer sicher bereitgestellt werden.

Verwenden von Zertifikaten mit ACS in Operations Manager 2007

Beschreibt, wann Zertifikate verwendet werden müssen, damit eine Authentifizierung zwischen der ACS-Weiterleitung und der ACS-Sammlung erfolgen kann.

Sicherheitsüberlegungen für die Verwaltung Enthält Information zu Sicherheitsüberlegungen

7

http://go.microsoft.com/fwlink/?LinkId=64017


ohne Agent in Operations Manager 2007 für die Verwaltung ohne Agent.

Webkonsolensicherheit in Operations Manager 2007

Zeigt, wie SSL (Secure Sockets Layer) in Operations Manager 2007 in Verbindung mit der Webkonsole verwendet wird.

Anhang A – Liste der Vorgänge in Operations Manager 2007

Listet alle verfügbaren Vorgänge auf, aufgeschlüsselt nach Profil.

Anhang B – Liste der Hashwerte für UNIX- und Linux-Agents

Listet die Hashwerte für UNIX- und Linux-Agents auf.

Externe RessourcenEine Online-Version der Hilfe finden Sie unter Hilfe für Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkID=77739, möglicherweise in englischer Sprache).

Neue Sicherheitsfeatures in Operations Manager 2007In den nachfolgenden Abschnitten werden sicherheitsbezogene Features von Operations Manager 2007 beschrieben, die in Microsoft Operations Manager (MOM) 2005 nicht verfügbar waren.

Ausführende Konten und ausführende ProfileIn MOM 2005 wurden für die Ausführung sämtlicher Regeln und Antworten Anmeldeinformationen von einem Aktionskonto verwendet, das demzufolge über ausreichende Berechtigungen für alle überwachten Anwendungen verfügen musste. In Operations Manager 2007 gibt es jetzt erstmals "Ausführende Konten" und "Ausführende Profile". Mit mehreren ausführenden Konten können Sie mehrere Anwendungen oder Komponenten überwachen und Anmeldeinformationen erstellen, die nur über die nötigsten Berechtigungen für den gewünschten Task verfügen.

Mit ausführenden Konten können Sie alle Kennwörter und Konten für die gesamte Verwaltungsgruppe von einem Ort aus, nämlich über den Stammverwaltungsserver, verwalten.

BenutzerrollenEs gibt mehrere Methoden, wie Sie auf Operations Manager 2007 zugreifen und Änderungen vornehmen können: über die Betriebskonsole, die Webkonsole, Windows PowerShell oder benutzerdefinierte Anwendungen. In allen Fällen sorgt die rollenbasierte Sicherheit dafür, dass die bereitgestellten Benutzeranmeldeinformationen Mitglieder einer Operations Manager 2007-Benutzerrolle sind.

8


Kontoinformationen für Operations Manager 2007Beim Setup und Betrieb von Operations Manager 2007 werden Sie aufgefordert, Anmeldeinformationen für mehrere Konten bereitzustellen. Gleich zu Beginn dieses Abschnitts finden Sie Informationen zu Aktionskonten. Darüber hinaus erhalten Sie Informationen zu anderen Konten wie dem SDK- und Konfigurationsdienstkonto, dem Agentinstallationskonto, dem Data Warehouse-Konto für Schreibvorgänge und dem Datenlesekonto.

Was ist ein Aktionskonto?Die verschiedenen Operations Manager 2007-Serverrollen – Stammverwaltungsserver, Verwaltungsserver, Gatewayserver und Agent – umfassen alle den Prozess MonitoringHost.exe. MonitoringHost.exe steht für das, was jede Serverrolle verwendet, um Überwachungsaktivitäten wie das Ausführen eines Monitors oder das Ausführen eines Tasks erledigen zu können. Ein Beispiel: Wenn ein Agent das Ereignisprotokoll abonniert, um Ereignisse zu lesen, führt der Prozess MonitoringHost.exe diese Aktivitäten aus. Das Konto, unter dem ein MonitoringHost.exe-Prozess ausgeführt wird, wird als Aktionskonto bezeichnet. Das Aktionskonto für den MonitoringHost.exe-Prozess, der auf einem Agent ausgeführt wird, wird als Agentaktionskonto bezeichnet. Das Aktionskonto, das vom MonitoringHost.exe-Prozess auf einem Verwaltungsserver verwendet wird, wird als Verwaltungsserver-Aktionskonto bezeichnet. Das Aktionskonto, das vom MonitoringHost.exe-Prozess auf einem Gatewayserver verwendet wird, wird als Gatewayserver-Aktionskonto bezeichnet.

AgentaktionskontoSofern eine Aktion nicht mit einem ausführenden Profil verknüpft ist, werden für die Ausführung der Aktion die Anmeldeinformationen verwendet, die für das Aktionskonto definiert wurden. Weitere Informationen zum ausführenden Profil finden Sie unter Ausführende Konten und ausführende Profile in Operations Manager 2007 in diesem Handbuch. Hier einige Beispiele für Aktionen:

Überwachen und Sammeln von Windows-Ereignisprotokolldaten

Überwachen und Sammeln von Windows-Leistungsindikatordaten

Überwachen und Sammeln von WMI-Daten

Ausführen von Aktionen wie Skripts oder Batches

MonitoringHost.exe ist der Prozess, der diese Aktionen unter Verwendung der im Aktionskonto angegebenen Anmeldeinformationen ausführt. Für jedes Konto wird eine neue Instanz von MonitoringHost.exe erstellt.

Verwenden eines Kontos mit geringen RechtenWenn Sie Operations Manager 2007 installieren, können Sie bei Zuweisung des Aktionskontos eine dieser beiden Optionen auswählen:

Lokales System

9

Domänen- oder lokales Konto

Ein gängiger Ansatz ist die Verwendung eines Domänenkontos, mit dem Sie einen Benutzer auswählen können, der nur über die nötigsten Berechtigungen für Ihre Umgebung verfügt.

Auf Computern mit dem Betriebssystem Windows Server 2003, Windows Server 2003 R2 oder Windows Vista muss das Standardaktionskonto über die folgenden Mindestberechtigungen verfügen:

Mitgliedschaft in der lokalen Benutzergruppe

Mitgliedschaft in der lokalen Gruppe der Leistungsmonitorbenutzer

Berechtigung "Lokal anmelden zulassen" (SeInteractiveLogonRight)

Wichtig Bei den oben beschriebenen Mindestberechtigungen handelt es sich um die niedrigsten erforderlichen Berechtigungen, die Operations Manager 2007 für das Aktionskonto unterstützt. Andere ausführende Konten können niedrigere Berechtigungen haben. Welche Berechtigungen für ausführende Konten tatsächlich erforderlich sind, hängt davon ab, welche Management Packs auf dem Computer ausgeführt werden und wie sie konfiguriert sind. Weitere Informationen zu den jeweils erforderlichen Berechtigungen finden Sie im Handbuch des entsprechenden Management Packs.

Beachten Sie bei der Festlegung von Anmeldeinformationen für das Aktionskonto Folgendes:

Ein Konto mit geringen Rechten kann nur auf Computern unter Windows Server 2003, Windows Server 2003 R2 und Windows Vista verwendet werden. Auf Computern unter Windows 2000 und Windows XP muss das Aktionskonto ein Mitglied der lokalen Sicherheitsgruppe Administratoren oder des lokalen Systems sein.

Für Agents, mit denen Domänencontroller überwacht werden, wird nur ein Konto mit geringen Rechten benötigt.

Die Verwendung eines Domänenkontos erfordert eine Kennwortaktualisierung, die mit Ihren Kennwortablaufrichtlinien übereinstimmt.

Sie müssen den System Center-Verwaltungsdienst beenden und neu starten, wenn das Aktionskonto für die Verwendung eines Kontos mit geringen Rechten konfiguriert ist und Sie das Konto den erforderlichen Gruppen hinzugefügt haben, während der System Center-Verwaltungsdienst ausgeführt wurde.

BenachrichtigungsaktionskontoDas Benachrichtigungsaktionskonto ist ein ausführendes Konto, das vom Benutzer erstellt wurde, um Benachrichtigungen zu konfigurieren. Dieses Aktionskonto wird zum Erstellen und Senden von Benachrichtigungen verwendet. Vergewissern Sie sich, dass die für dieses Konto verwendeten Anmeldeinformationen über ausreichende Berechtigungen für den SMTP-Server, den Instant Messaging-Server oder den SIP-Server verfügen, den Sie für Benachrichtigungen verwenden.

10

Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Benachrichtigungsaktionskonto eingegeben haben, müssen Sie dieselben Kennwortänderungen für das ausführende Konto vornehmen.

Verwalten der Anmeldeinformationen des AktionskontosFür das von Ihnen ausgewählte Konto ermittelt Operations Manager das Kennwortablaufdatum und generiert 14 Tage vor Ablauf des Kontos eine entsprechende Warnung. Wenn Sie das Kennwort in Active Directory ändern, können Sie die das Kennwort für das Aktionskonto in Operations Manager auf der Registerkarte Konto der Seite Eigenschaften des ausführenden Kontos ändern. Weitere Informationen zum Verwalten der Anmeldeinformationen für Aktionskonten finden Sie unter Ändern der Anmeldeinformationen für das Aktionskonto im Operations Manager (http://go.microsoft.com/fwlink/?LinkId=88304).

Sie können das Windows PowerShell-Skript set-ActionAccount.ps1 verwenden, um das Aktionskonto auf mehreren Computer festzulegen. Weitere Informationen finden Sie im SC Ops Mgr 2007 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=92596, möglicherweise in englischer Sprache). Das Skript ermöglicht die Festlegung des Aktionskontos auf allen definierten Computern einer Computergruppe. Siehe hierzu im Sicherheitshandbuch den Abschnitt "Festlegen des Aktionskontos auf mehreren Computern in Operations Manager 2007".

SDK und KonfigurationsdienstkontoDas SDK- und Konfigurationsdienstkonto ist ein Satz von Anmeldeinformationen, der vom System Center-Datenzugriffsdienst und vom System Center-Verwaltungskonfigurationsdienst verwendet wird, um Informationen in der Operations Manager-Datenbank zu aktualisieren und zu lesen. Operations Manager stellt sicher, dass die für das SDK- und Konfigurationsaktionskonto verwendeten Anmeldeinformationen der Rolle sdk_user in der Operations Manager-Datenbank zugewiesen werden. Das SDK- und Konfigurationsdienstkonto kann entweder als "Lokales System" oder als Domänenkonto konfiguriert werden. Ein lokales Benutzerkonto wird nicht unterstützt.

Wenn sich der Stammverwaltungsserver und die Operations Manager-Datenbank auf unterschiedlichen Computern befinden, muss das SDK- und Konfigurationsdienstkonto in ein Domänenkonto geändert werden. Zur Steigerung der Sicherheit wird empfohlen, ein anderes Konto als das zu verwenden, das für das Verwaltungsserver-Aktionskonto verwendet wird. Informationen zum Ändern dieser Konten finden Sie im Knowledge Base-Artikel Wie Ändern der An-Meldeinformation für das OpsMgr SDK Service und das OpsMgr Config Service in Microsoft System Center Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=112435).

AgentinstallationskontoWenn Sie die auf Ermittlung basierende Agentbereitstellung implementieren, werden Sie zur Eingabe eines Kontos mit Administratorrechten aufgefordert. Mit diesem Konto wird der Agent auf dem Computer installiert; daher muss es sich um einen lokalen Administrator auf allen Computern handeln, auf denen Sie Agents bereitstellen. Das Verwaltungsserver-Aktionskonto ist

11








das Standardkonto für die Agentinstallation. Wenn das Verwaltungsserver-Aktionskonto nicht über Administratorrechte verfügt, wählen Sie Anderes Benutzerkonto aus, und geben ein Konto mit Administratorrechten ein. Dieses Konto wird vor der Verwendung verschlüsselt und anschließend verworfen.

Data Warehouse-Konto für SchreibvorgängeDas Data Warehouse-Konto für Schreibvorgänge schreibt Daten vom Stammverwaltungsserver oder Verwaltungsserver in das Berichterstattungs-Data Warehouse und liest Daten aus der Operations Manager-Datenbank. Die Anmeldeinformationen, die Sie für dieses Konto bereitstellen, werden zu einem Mitglied der jeweiligen Anwendungsrolle (siehe hierzu die Beschreibungen in der nachfolgende Tabelle).

Anwendung Datenbank/Rolle Rolle/Konto

Microsoft SQL Server 2005

OperationsManager db_datareader


OperationsManager dwsync_user


OperationsManagerDW OpsMgrWriter


OperationsManagerDW db_owner

Operations Manager 2007

Benutzerrolle Operations Manager-Bericht-Sicherheitsadministratoren


Ausführendes Konto Data Warehouse-Aktionskonto


Ausführendes Konto Data Warehouse-Konfigurationssynchronisierungs-Readerkonto

Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Data Warehouse-Konto für Schreibvorgänge eingegeben haben, müssen Sie dieselben Kennwortänderungen für die folgenden Konten vornehmen:

Ausführendes Konto mit der Bezeichnung Data Warehouse-Aktionskonto

Ausführendes Konto mit der Bezeichnung Data Warehouse-Konfigurationssynchronisierungs-Readerkonto

12

DatenlesekontoDieses Konto wird verwendet, um Berichte bereitzustellen, zu definieren, welcher Benutzer von SQL Reporting Services verwendet wird, um Abfragen für das Berichterstattungs-Data Warehouse auszuführen, und dafür, über das SQL Reporting Services IIS-Anwendungspoolkonto eine Verbindung zum Stammverwaltungsserver herzustellen. Dieses Konto wird dem Benutzerprofil für Berichterstattungsadministratoren hinzugefügt.

Die Anmeldeinformationen, die Sie für dieses Konto bereitstellen, werden zu einem Mitglied der jeweiligen Anwendungsrolle (siehe hierzu die Beschreibungen in der nachfolgende Tabelle).

Anwendung Datenbank/Rolle Rolle/Konto


Berichtsserver-Installationsinstanz

Berichtsserver-Ausführungskonto


OperationsManagerDW OpsMgrReader

Operations Manager 2007 Benutzerrolle Operations Manager-Bericht-Sicherheitsadministratoren

Operations Manager 2007 Benutzerrolle Operations Manager-Bericht-Operatoren

Operations Manager 2007 Ausführendes Konto Data Warehouse-Berichtsbereitstellungskonto

IIS Anwendungspool Berichtsserver$<INSTANZ>

Windows-Dienst SQL Server Reporting Services Anmeldekonto

Wenn Sie das Kennwort für die Anmeldeinformationen ändern, die Sie für das Datenlesekonto eingegeben haben, müssen Sie dieselben Kennwortänderungen für die folgenden Konten vornehmen:

Berichtsserver-Ausführungskonto

Das SQL Server Reporting Services-Dienstkonto auf dem Hostcomputer für SQL Server Reporting Services (SRS)

Das Anwendungspoolkonto der IIS-Berichtsserver$<-INSTANZ>

Das ausführende Konto mit der Bezeichnung Data Warehouse-Berichtsbereitstellungskonto

Siehe auchÄndern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007

Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007

Ändern des SDK- und Konfigurationsdienstkontos in Operations Manager 2007

13

Ändern des Kennworts des Windows-Dienstkontos für den SQL Server Reporting Service in Operations Manager 2007

Festlegen des Aktionskontos auf mehreren Computern in Operations Manager 2007

Ändern des Kennworts des IIS ReportServer-Anwendungspoolkontos in Operations Manager 2007Wenn sich das Kennwort des Kontos, das Sie beim Setup des Berichtsservers als Datenlesekonto angegeben haben, ändert, können Sie das Kennwort des IIS ReportServer-Anwendungspoolkontos auf dem Computer, auf dem SQL Server Reporting Services ausgeführt wird, wie nachfolgend beschrieben ändern.

1. Klicken Sie auf dem Computer, auf dem SQL Server Reporting Services ausgeführt führt, auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

2. Erweitern Sie im Internetinformationsdienste-Manager das Element <Computername> (lokaler Computer), erweitern Sie Anwendungspools, klicken Sie mit der rechten Maustaste auf ReportServer<INSTANZ>, und klicken Sie dann auf Eigenschaften.

3. Klicken Sie im Dialogfeld ReportServer<INSTANZ> Eigenschaften auf Identität.4. Geben Sie im Textfeld Kennwort das neue Passwort ein, und klicken Sie dann auf OK.

5. Schließen Sie den Internetinformationsdienste-Manager.



Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007Wenn sich das Kennwort des Kontos, das Sie beim Setup des Berichtsservers als Datenlesekonto angegeben haben, ändert, können Sie das Ausführungskonto-Kennwort auf dem Berichtsserver wie nachfolgend beschrieben ändern.

1. Klicken Sie auf dem Hostcomputer des Berichtsservers auf dem Windows-Desktop auf Start, zeigen Sie auf Programme und auf Microsoft SQL Server 2005, zeigen Sie auf Konfigurationstools, und klicken Sie dann auf Reporting Services-Konfiguration.

2. Klicken Sie im Dialogfeld Auswahl der Berichtsserver-Installationsinstanz auf Verbinden.

So ändern Sie das IIS ReportServer-Anwendungspoolkonto

So ändern Sie das Kennwort des Berichtsserver-Ausführungskontos

14

3. Klicken Sie unter Konfigurations-Manager für Reporting Services im linken Bereich auf Ausführungskonto.

4. Geben Sie im Bereich Ausführungskonto das neue Kennwort für das Ausführungskonto ein.

5. Klicken Sie auf Übernehmen, und klicken Sie dann auf Beenden, um den Konfigurations-Manager für Reporting Services zu schließen.

Siehe auchÄndern des Kennworts des IIS ReportServer-Anwendungspoolkontos in Operations Manager 2007


Ändern des SDK- und Konfigurationsdienstkontos in Operations Manager 2007Während der Installation von Operations Manager 2007 werden Sie aufgefordert, Anmeldeinformationen für zwei Dienste einzugeben. Die Namen dieser Dienste haben sich mit Operations Manager 2007 R2 geändert. Wenn Sie das Kennwort für die von Ihnen bereitgestellten Anmeldeinformationen ändern oder andere Anmeldeinformationen verwenden möchten, richten Sie sich nach dem entsprechenden Verfahren für die von Ihnen verwendete Version von Operations Manager.

Hinweis Für beide Dienste müssen dieselben Anmeldeinformationen verwendet werden.

1. Klicken Sie auf dem Hostcomputer des Stammverwaltungsservers auf dem Windows-Desktop auf Start, und klicken Sie dann auf Ausführen.

2. Geben Sie im Dialogfeld Ausführen services.mscein, und klicken Sie dann auf OK.

3. Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf SDK-Dienst, und klicken Sie dann auf Eigenschaften.

4. Klicken Sie im Dialogfeld SDK-Eigenschaften auf die Registerkarte Anmelden.

5. Geben Sie neue Anmeldeinformationen ein, oder ändern Sie das Kennwort der vorhandenen Anmeldeinformationen, und klicken Sie dann auf OK.

6. Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf Konfigurationsdienst, und klicken Sie dann auf Eigenschaften.

7. Klicken Sie im Dialogfeld Konfigurationseigenschaften auf die Registerkarte Anmelden.

8. Geben Sie neue Anmeldeinformationen ein, oder ändern Sie das Kennwort der

So ändern Sie die Anmeldeinformationen oder das Kennwort für die Operations Manager 2007 SP1-Dienste

15

vorhandenen Anmeldeinformationen, und klicken Sie dann auf OK.

9. Beenden Sie den SDK- und den Konfigurationsdienst, und starten Sie beide Dienste neu.

1. Klicken Sie auf dem Hostcomputer des Stammverwaltungsservers auf dem Windows-Desktop auf Start, und klicken Sie dann auf Ausführen.


3. Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf System Center-Datenzugriffsdienst, und klicken Sie dann auf Eigenschaften.

4. Klicken Sie im Dialogfeld System Center-Datenzugriffsdienst-Eigenschaften auf die Registerkarte Anmelden.


6. Klicken Sie in der Liste der Dienste mit der rechten Maustaste auf System Center-Verwaltungskonfigurationsdienst, und klicken Sie dann auf Eigenschaften.

7. Klicken Sie im Dialogfeld System Center-Verwaltungskonfigurationseigenschaften auf die Registerkarte Anmelden.


9. Beenden Sie den System Center-Datenzugriffsdienst und den System Center-Verwaltungskonfigurationsdienst, und starten Sie diese beiden Dienste neu.

Ändern des Kennworts des Windows-Dienstkontos für den SQL Server Reporting Service in Operations Manager 2007Wenn sich das Kennwort des Kontos, das Sie beim Setup des Berichtsservers als Datenlesekonto angegeben haben, ändert, müssen Sie das Kennwort des Windows-Dienstkontos für SQL Server Reporting Services (SRS) auf dem Computer, auf dem SRS ausgeführt wird, wie nachfolgend beschrieben ändern.

1. Klicken Sie auf dem Computer, auf dem SQL Server Reporting Services ausgeführt wird, auf dem Windows-Desktop auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Ausführen.


3. Führen Sie in der Liste Dienste einen Bildlauf nach unten durch, klicken Sie mit der rechten Maustaste auf SQL Server Reporting Services (<INSTANZ>), und klicken Sie

So ändern Sie die Anmeldeinformationen oder das Kennwort für die Operations Manager 2007 R2-Dienste

So ändern Sie das Kennwort des Windows-Dienstkontos für SQL Server Reporting Services

16

dann auf Eigenschaften.

4. Klicken Sie im Dialogfeld SQL Server Reporting Services (<INSTANZ>) Eigenschaften auf Anmelden.

5. Geben Sie in den Textfeldern Kennwort und Kennwort bestätigen das neue Kennwort ein, und klicken Sie dann auf OK.

6. Schließen Sie Dienste, und schließen Sie dann Verwaltung.

Siehe auchÄndern des Kennworts des IIS ReportServer-Anwendungspoolkontos in Operations Manager 2007

Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager 2007

Festlegen des Aktionskontos auf mehreren Computern in Operations Manager 2007Dieses Verfahren zeigt Ihnen, wie Sie das Windows PowerShell-Skript set-ActionAccount.ps1 verwenden können, um das Aktionskonto auf mehreren Computern festzulegen. Sie müssen das Skript set-ActionAccount.ps1 auf den Computer herunterladen, der zum Hosten der Betriebskonsole und der Operations Manager 2007-Befehlsshell verwendet wird. Weitere Informationen zum Skript set-ActionAccount.ps1 finden Sie unter SC Ops Mgr 2007 Resource Kit (http://go.microsoft.com/fwlink/?LinkId=92596, möglicherweise in englischer Sprache).

Sie können die Computer angeben, für die Sie das Aktionskonto ändern möchten, indem Sie eine neue Computergruppe erstellen oder indem Sie eine Computergruppe aus dem ermittelten Inventar auswählen. Beide Verfahren werden in den nachfolgenden Abschnitten beschrieben. Im Rahmen dieser Verfahren wird davon ausgegangen, dass das Skript set-ActionAccount.ps1 in den Benutzerordner Eigene Dateien auf Laufwerk C heruntergeladen wurde.

1. Melden Sie sich beim Computer mit einem Konto an, das der Operations Manager-Administratorrolle der Operations Manager 2007-Verwaltungsgruppe angehört.

2. Klicken Sie in der Betriebskonsole auf die Schaltfläche Überwachung.

Hinweis Bei Ausführung der Betriebskonsole auf einem Computer, der kein Verwaltungsserver ist, wird das Dialogfeld Mit Server verbinden angezeigt. Geben Sie in das Textfeld Servername den Namen des Operations Manager 2007-Verwaltungsservers ein, der mit der Betriebskonsole verbunden werden soll.

3. Klicken Sie im Überwachungsbereich mit der rechten Maustaste auf Überwachung, zeigen Sie auf Neu, und klicken Sie dann auf Statusansicht.

4. Geben Sie im Dialogfeld Eigenschaften im Textfeld Name einen neuen Namen für diese

So legen Sie das Aktionskonto auf mehreren Computern fest

17


Ansicht ein (z. B. Computergruppe).

5. Klicken Sie auf der Registerkarte Kriterien im Listenfeld Daten anzeigen, die verknüpft sind mit auf die Schaltfläche mit den Auslassungspunkten (…).

6. Geben Sie Computergruppe im Textfeld Suchen nach des Dialogfelds Zieltyp auswählen ein, klicken Sie auf Alle Ziele anzeigen, wählen Sie Computergruppe in der Liste aus, und klicken Sie dann auf OK.

7. Klicken Sie im Dialogfeld Eigenschaften auf OK.

8. Erweitern Sie im Überwachungsbereich das Element Überwachung, und klicken Sie dann auf die gerade erstellte Ansicht (z. B. Computergruppe).

9. Klicken Sie im Ergebnisbereich (z. B. Ergebnisbereich Computergruppe) mit der rechten Maustaste auf die Computergruppe mit den Zielcomputern, für die Sie das Aktionskonto ändern möchten, klicken Sie auf Öffnen, und klicken Sie dann auf Befehlsshell.

10. Geben Sie im Windows PowerShell-Fenster zuerst den Pfad zum Skript, dann den Skriptnamen und zum Schluss das Aktionskonto an, das Sie ändern möchten. Geben Sie beispielsweise C:\Dokumente und Einstellungen\<Benutzer>\Eigene Dateien\set-ActionAccount "ActionAccount" ein, (wobei "ActionAccount" für die Anmeldeinformationen (Domäne\Benutzername) des Aktionskontos steht, das Sie auf mehreren Computern festlegen möchten), und drücken Sie dann die EINGABETASTE.


2. Klicken Sie in der Betriebskonsole auf die Schaltfläche Überwachung.


3. Erweitern Sie im Überwachungsbereich das Element Überwachung, und klicken Sie dann auf Ermitteltes Inventar.

4. Erweitern Sie im Aktionsbereich das Element Statusaktionen, und klicken Sie dann auf Zieltyp ändern.

5. Wählen Sie im Dialogfeld Zieltyp auswählen die Option Alle Ziele anzeigen aus.

6. Geben Sie im Textfeld Suchen nach Folgendes ein: Computergruppe.

7. Klicken Sie in der Spalte Ziel auf Computergruppe, und klicken Sie dann auf OK.

8. Klicken Sie im Ergebnisbereich für das ermittelte Inventar (Computergruppe) mit der rechten Maustaste auf die Computergruppe mit den Zielcomputern, für die Sie das

So legen Sie das Aktionskonto auf mehreren Computern mithilfe des ermittelten Inventars fest

18

Aktionskonto ändern möchten, klicken Sie auf Öffnen, und klicken Sie dann auf Befehlsshell.

9. Geben Sie im Windows PowerShell-Fenster zuerst den Pfad zum Skript, dann den Skriptnamen und zum Schluss das Aktionskonto an, das Sie ändern möchten. Geben Sie beispielsweise C:\Dokumente und Einstellungen\<Benutzer>\Eigene Dateien\set-ActionAccount "ActionAccount" ein, (wobei "ActionAccount" für die Anmeldeinformationen (Domäne\Benutzername) des Aktionskontos steht, das Sie auf mehreren Computern festlegen möchten), und drücken Sie dann die EINGABETASTE.

Rollenbasierte Sicherheit in Operations Manager 2007Verwenden Sie die Betriebskonsole, die Webkonsole, die Windows PowerShell oder benutzerdefinierte Anwendungen, um auf Operations Manager 2007 zuzugreifen und Änderungen vorzunehmen. In allen Fällen sorgt die rollenbasierte Sicherheit dafür, dass die bereitgestellten Benutzeranmeldeinformationen Mitglieder einer Operations Manager-Benutzerrolle sind.

Mit Operations Manager 2007 können die verschiedensten Anwendungen in Unternehmen überwacht werden, und diese Anwendungen können von mehreren Teams verwaltet werden. Als Operations Manager-Administrator können Sie den Zugriff dieser Teams einschränken, damit jedes Team nur auf die eigenen Überwachungsdaten zugreifen kann. Die rollenbasierte Sicherheit ermöglicht es Ihnen, einen teambasierten Zugriff auf Überwachungsdaten, Tools und Aktionen zu gewähren.

Terminologie und KonzepteDie nachfolgende Tabelle bietet einen Überblick über die Terminologie zum Thema rollenbasierte Sicherheit.

Term Bedeutung

Vorgang/Berechtigung Eine sicherungsfähige Aktion wie das Auflösen von Warnungen, das Ausführen von Tasks, das Außerkraftsetzen von Monitoren, das Erstellen von Benutzerrollen, das Anzeigen von Warnungen, das Anzeigen von Ereignissen usw. Eine Liste der verfügbaren Vorgänge finden Sie in Anhang A.

Profil Eine Sammlung von Vorgängen, die einer Person gewährt werden (z. B. einem Administrator oder Operator).

19

Term Bedeutung

Operations Manager 2007 umfasst die folgenden Profile:

Administrator

Erweiterter Operator

Autor

Operator

Schreibgeschützter Operator

Bericht-Operator

Bericht-Sicherheitsadministrator

Bereich Definiert die Grenzen für die Ausführung von Profilvorgängen (z. B. Tasks und Gruppen).

Benutzerrollen Kombination aus Profil und Bereich.

Rollenzuweisung Eine Zuordnung von Windows-Benutzern und -Gruppen zu Operations Manager-Rollen.

BereichAlle Management Pack-Objekte, zum Beispiel Attribute, Monitore, Objektermittlungen, Regeln, Tasks und Ansichten, sind durch Ziele eingeschränkt (auch Typen oder Klassen genannt). Ein Ziel steht laut Definition in einem Management Pack für einen bestimmten Objekttyp. Alle Objekte dieses Typs haben einige gemeinsame Eigenschaften. Überall, wo Objekte dieses Typs existieren, gibt es ein einheitliches Verfahren zur Ermittlung dieser Objekte, einen gemeinsamen Satz von Eigenschaften, die ermittelt werden können, sowie ein einheitliches Verfahren zur Überwachung dieser Objekte. Standardmäßig werden vor dem Import von Management Packs 163 Ziele in Operations Manager 2007 erstellt.

Gruppen stellen logische Sammlungen von Objekten wie Windows-basierte Computer, Festplatten oder Instanzen von Microsoft SQL Server dar.

Bei den Tasks kann es sich um Agenttasks oder Konsolentasks handeln. Eine Remoteausführung von Agenttasks ist auf einem Agent oder einem Verwaltungsserver möglich, während Konsolentasks nur auf dem lokalen Computer ausgeführt werden können. Darüber hinaus sind Konsolentasks nicht durch Benutzerrollen eingeschränkt; sie stehen für alle Benutzer zur Verfügung. In Operations Manager 2007 können Sie eine Batchdatei oder ein Skript als einen Task remote oder lokal ausführen. Wird der Task jedoch von einer Warnung oder einem Ereignis generiert, kann er nur lokal ausgeführt werden.

Ansichten sind Gruppen verwalteter Objekte, die eine Gemeinsamkeit aufweisen, die in den Ansichtseigenschaften definiert ist. Wenn Sie eine Ansicht auswählen, wird eine Abfrage an die

20

Operations Manager-Datenbank gesendet, und die Ergebnisse der Abfrage werden im Ergebnisbereich angezeigt.

BenutzerrolleIn Operations Manager 2007 wird eine Benutzerrolle durch Definieren einer Kombination aus Profil und Bereich erstellt. Sie erstellen eine Benutzerrolle aus einem von fünf vordefinierten Profilen, bzw. aus einem von sieben vordefinierten Profilen, wenn die Berichterstattung installiert ist, und definieren anschließend einen geeigneten Bereich. In der nachfolgenden Tabelle finden Sie Definitionen zu den einzelnen Profiltypen sowie einen entsprechenden Bereich für jeden Typ.

Profiltyp Profilbeschreibung Rollenbereich

Administrator Verfügt über umfassende Berechtigungen für Operations Manager; eine Bereichsdefinition für das Administratorprofil wird nicht unterstützt.

Vollständiger Zugriff auf alle Daten, Dienste, Verwaltungs- und Entwurfstools von Operations Manager

Erweiterter Operator Verfügt über einen eingeschränkten Zugriff zum Ändern der Operations Manager-Konfiguration; kann Außerkraftsetzungen von Regeln erstellen; überwacht Ziele oder Gruppen von Zielen innerhalb des konfigurierten Bereichs. Ein "Erweiterter Operator" erbt außerdem Rechte für "Operator".

Kann gegenüber aktuell vorhandenen und zukünftig importierten Gruppen, Ansichten und Tasks eingeschränkt werden.

Autor Kann Tasks, Regeln, Monitore und Ansichten innerhalb des konfigurierten Bereichs erstellen, bearbeiten und löschen. Ein "Autor" erbt außerdem Rechte für "Erweiterter Operator".

Kann gegenüber aktuell vorhandenen und zukünftig importierten Zielen, Gruppen, Ansichten und Tasks eingeschränkt werden. Die Besonderheit der Rolle "Autor" besteht darin, dass sie der einzige Profiltyp ist, der gegenüber den Zielen eingeschränkt werden kann.

Operator Kann innerhalb des konfigurierten Bereichs

Kann gegenüber aktuell vorhandenen und zukünftig

21

Profiltyp Profilbeschreibung Rollenbereich

Warnungen bearbeiten oder löschen, Tasks ausführen und auf Ansichten zugreifen. Ein "Operator" erbt außerdem Rechte für "Schreibgeschützter Operator".

importierten Gruppen, Ansichten und Tasks eingeschränkt werden.

Schreibgeschützter Operator Kann innerhalb des konfigurierten Bereichs Warnungen anzeigen und auf Ansichten zugreifen.

Kann gegenüber aktuell vorhandenen und zukünftig importierten Gruppen und Ansichten eingeschränkt werden.

Bericht-Operator Kann innerhalb des konfigurierten Bereichs Berichte anzeigen.

Gilt für alle Bereiche.

Bericht-Sicherheitsadministrator Ermöglicht die Integration der SQL Server Reporting Services-Sicherheit in Operations Manager-Rollen.

Kein Bereich

Wichtig Wenn Sie einem Benutzerrollenmitglied ein Computerkonto hinzufügen, haben alle Dienste auf diesem Computer Zugriff auf SDK. Es wird empfohlen, keiner Benutzerrolle ein Computerkonto hinzuzufügen.

Mit Ausnahme der Administratorrolle können Sie die Active Directory-Sicherheitsgruppen oder einzelne Konten zu jeder dieser vordefinierten Rollen zuordnen. Sie können Active Directory-Sicherheitsgruppen nur der Administratorrolle zuordnen.

Indem Sie Benutzer oder eine Gruppe zu einer Rolle hinzufügen, erhalten die einzelnen Benutzer die Berechtigungen der jeweiligen Rollen für die Objekte des festgelegten Bereichs (dies schließt auch geerbte Objekte ein).

Hinweis Die vordefinierten Rollen gelten für alle Bereiche, und bieten Zugriff auf alle Gruppen, Ansichten, Ziele und Tasks (außer für den Bericht-Sicherheitsadministrator).

Operations Manager ermöglicht Ihnen außerdem, benutzerdefinierte Rollen basierend auf den Profilen "Operator", "Schreibgeschützter Operator", "Autor" und "Erweiterter Operator" zu erstellen. Beim Erstellen der Rolle können Sie die Bereiche von Gruppen, Tasks und Ansichten, auf die die Rolle zugreifen kann, weiter einschränken. Sie können z. B. eine Rolle mit dem Namen "Exchange-Operator" erstellen, und den Bereich auf Exchange-bezogene Gruppen,

22

Ansichten und Tasks beschränken. Benutzerkonten, die dieser Rolle zugewiesen werden, können Aktionen auf Operatorebene nur für Exchange-bezogene Objekte ausführen.

Wichtig Erstellen Sie unbedingt eine Domänensicherheitsgruppe für die Operations Manager-Administratorrolle. Diese Gruppe muss bei der ersten Setupausführung für eine Verwaltungsgruppe vorhanden sein.

Weitere Informationen zur Verwaltung von Sicherheitsrollen, Konten und Profilen in Operations Manager 2007 finden Sie unter dem Thema How to Administer Security Roles, Accounts, and Profiles in Operations Manager 2007 (Verwalten von Sicherheitsrollen, Konten und Profilen in Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=88131, möglicherweise in englischer Sprache).

Ausführende Konten und ausführende Profile in Operations Manager 2007In einem Management Pack definierte Regeln, Tasks, Monitore und Ermittlungen erfordern die Ausführung von Anmeldeinformationen auf einem Zielcomputer. Standardmäßig werden Regeln, Tasks, Monitore und Ermittlungen unter Verwendung des Standardaktionskontos für den Agent oder Server ausgeführt. Wird die Aktion beispielsweise auf einem Agent ausgeführt, werden die für diese Aktion verwendeten Anmeldeinformationen vom Agentaktionskonto übernommen. Weitere Informationen zu Aktionskonten finden Sie im Abschnitt Kontoinformationen für Operations Manager 2007 in diesem Handbuch.

Mithilfe von ausführenden Konten und Profilen können Sie unterschiedliche Regeln, Tasks, Monitore und Ermittlungen unter verschiedenen Konten auf verschiedenen Computern ausführen. Management Packs haben nicht mehr dieselbe Identität; somit haben Sie die Möglichkeit, ein Konto mit geringen Rechten als Aktionskonto zu verwenden. Ausführende Konten unterstützen die folgenden Kontotypen:

Windows – Windows-Anmeldeinformationen, beispielsweise Domäne\Benutzername oder Benutzername@vollqualifizierter_Domänenname sowie das zugehörige Kennwort

Community String – SNMP 2.0-Community String

Standardauthentifizierung – standardmäßige Webauthentifizierung

Einfache Authentifizierung – beliebige Kombination aus Benutzernamen und Kennwort, beispielsweise Webformular, SQL-Authentifizierung oder eine sonstige Lösung, die einen Benutzernamen und ein Kennwort akzeptiert

Digestauthentifizierung – standardmäßige Digest-Webauthentifizierung

Binäre Authentifizierung – benutzerdefinierte Authentifizierung

Aktionskonto – Windows-Anmeldeinformationen, die nur dem Aktionskonto-Profil zugewiesen werden können

23




Mithilfe von ausführenden Konten können Sie die Berechtigungen, die für Regeln, Tasks, Monitore und Ermittlungen für bestimmte Computer verwendet werden sollen, nach Bedarf festlegen.

Daten zwischen dem Stammverwaltungsserver und dem Zielcomputer werden verschlüsselt, wenn Anmeldeinformationen übertragen werden, und die Anmeldeinformationen werden sicher auf dem Zielcomputer gespeichert.

Ein bestimmter Task, eine bestimmte Regel, ein bestimmter Monitor oder eine bestimmte Ermittlung kann einem ausführenden Profil zugeordnet werden. Diese Zuordnung erfolgt bei Erstellung des Management Packs. Der Operations Manager-Administrator hat die Möglichkeit, andere ausführende Konten für das jeweilige ausführende Profil auf dem Zielcomputer zuzuweisen.

Ein Beispiel: Alice arbeitet gerade an einem SQL-Management Pack und erstellt den Task "Get DB Statistics". Alice weiß, dass die Berechtigungen des Aktionskontos nicht ausreichen werden, um diesen Task auszuführen; allerdings verfügt der SQL-Administrator Bob über ausreichende Berechtigungen. Alice muss den Task daher so konfigurieren, dass er mit Bobs Anmeldeinformationen ausgeführt wird.

Beim Erstellen des Management Packs erstellt Sam ein ausführendes Profil mit dem Namen "DB Operators" und ordnet es dem Taskmodul zu. Wenn das SQL-Management Pack, das den Task "Get DB Statistics" enthält, in Operations Manager 2007 importiert wird, wird auch das dem Task zugeordnete ausführende Profil importiert, und "DB-Operatoren" wird in der Liste der verfügbaren ausführenden Profile angezeigt.

Der Operations Manager 2007-Administrator erstellt ein ausführendes Konto, das mit den Anmeldeinformationen von Alice konfiguriert ist. Das ausführende Konto wird dann mit dem ausführenden Profil verknüpft, das der Task verwendet. Der Zielcomputer, auf dem das ausführende Konto verwendet wird, ist explizit im ausführenden Profil angegeben.

Hinweis Das Standardkonto für das ausführende Profil ist das Aktionskonto. Wählen Sie als Aktionskonto ein Konto mit den entsprechenden Berechtigungen aus, und beachten Sie außerdem Folgendes: Ein Domänenadministrator ist i. d. R. ungeeignet.

Operations Manager 2007-Administratoren können mit jedem ausführenden Profil unterschiedliche ausführende Konten für verschiedene Computer verknüpfen. Diese Zuordnung erweist sich dann als nützlich, wenn das ausführende Profil auf einem anderen Computer verwendet wird und jeder Computer unterschiedliche Anmeldeinformationen erfordert. Alice verfügt über die Benutzerrechte zur Ausführung des Tasks auf Computer 1, auf dem SQL Server ausgeführt wird, während Bob über die Benutzerrechte für Computer 2 mit SQL Server verfügt. In dieser Situation werden separate ausführende Konten für Alice und Bob erstellt, und beide Konten werden ein und demselben ausführenden Profil zugeordnet. Diese Zuordnung muss auf zwei separaten Computern erfolgen.

24

Ausführende Profile in Operations Manager 2007Neben den ausführenden Profilen, die Sie erstellen können, umfasst Operations Manager 2007 die in der nachfolgenden Tabelle beschriebenen ausführenden Profile. Diese Profile werden von Operations Manager 2007 selbst verwendet.

Name Beschreibung Ausführendes Konto

Active Directory-basiertes Agentzuweisungskonto

Dieses Konto wird vom Active Directory-basierten Agentzuweisungsmodul verwendet, um Zuweisungseinstellungen für Active Directory zu veröffentlichen.

Lokales System-Windows-Konto

Konto zur automatischen Agentverwaltung

Dieses Konto wird zur automatischen Diagnose von Agentfehlern verwendet.

Keine

Clientüberwachung-Aktionskonto Falls dieses Konto angegeben ist, wird es von Operations Manager 2007 verwendet, um alle Clientüberwachungsmodule auszuführen. Falls dieses Konto nicht angegeben ist, verwendet Operations Manager 2007 das Standardaktionskonto.

Keine

Konto für verbundene Verwaltungsgruppen

Dieses Konto wird vom Operations Manager Management Pack verwendet, um die Integrität der Verbindung zu den verbundenen Verwaltungsgruppen zu überwachen.

Keine

Data Warehouse-Konto Falls dieses Konto angegeben ist, wird es anstelle des Standardaktionskontos zur Ausführung aller Sammlungs- und Synchronisierungsregeln für das Data Warehouse verwendet. Sofern dieses Konto nicht vom Data Warehouse-SQL-Authentifizierungskonto überschrieben wird, wird es von den Sammlungs- und

Keine

25


Synchronisierungsregeln zum Herstellen einer Verbindung zu den Data Warehouse-Datenbanken über die integrierte Windows-Authentifizierung verwendet.

Data Warehouse-Berichtsbereitstellungskonto

Die Auto-Bereitstellungsprozeduren für den Data Warehouse-Bericht führen mithilfe dieses Kontos verschiedene Operationen zur Berichtsbereitstellung aus.


Data Warehouse-SQL Server-Authentifizierungskonto

Falls dieser Anmeldename und dieses Passwort festgelegt sind, werden sie von den Sammlungs- und Synchronisierungsregeln zum Herstellen einer Verbindung zu den Data Warehouse-Datenbanken über SQL Server-Authentifizierung verwendet.


Standardaktionskonto Das Standardaktionskonto des Integritätsdiensts

Die beim Setup bereitgestellten Kontoanmeldeinformationen.

MPUpdate-Aktionskonto Dieses Konto wird von der MPUpdate-Benachrichtigung verwendet.

Keine

Benachrichtigungskonto Von Benachrichtigungsregeln verwendetes Windows-Konto Verwenden Sie die E-Mail-Adresse dieses Kontos bei E-Mail-Nachrichten und Sofortnachrichten als Adresse im Feld "Von".

Keine

Konto für operative Datenbank Dieses Konto wird zum Lesen und Schreiben von Daten in die Operations Manager-Datenbank verwendet.

Keine

Überwachungskonto mit besonderen Rechten

Dieses Profil wird für Überwachungen verwendet, die

Keine

26


nur mit umfangreichen Berechtigungen für ein System ausgeführt werden können, beispielsweise Überwachungen, die die Berechtigungen "Lokales System" oder "Lokaler Administrator" erfordern. Das Profil ist standardmäßig auf die Berechtigung "Lokales System" gesetzt, sofern diese Einstellung nicht gezielt für ein Zielsystem außer Kraft gesetzt wird.

Berichts-SDK-SQL Server-Authentifizierungskonto

Falls dieser Anmeldename und dieses Passwort festgelegt sind, werden sie vom SDK-Dienst zum Herstellen einer Verbindung zu den Data Warehouse-Datenbanken über SQL Server-Authentifizierung verwendet.


Reserviert Dieses Profil ist reserviert und darf nicht verwendet werden.

Keine

Validierungsbenachrichtigungsabonnement-Konto

Konto, das vom Modul für Validierungsbenachrichtigungsabonnements verwendet wird, das überprüft, ob Benachrichtigungsabonnements im Gültigkeitsbereich liegen. Dieses Profil erfordert Administratorrechte.

Lokales System-Windows-Konto

Windows-Cluster-Aktionskonto Dieses Profil wird für alle Ermittlungs- und Überwachungsaktivitäten von Windows-Clusterkomponenten verwendet. Dieses Profil ist standardmäßig für die verwendeten Aktionskonten konfiguriert, sofern keine konkreten Benutzereingaben gemacht werden.

Keine

WS-Verwaltungsaktionskonto Dieses Profil wird für den Zugriff Keine

27


auf die WS-Verwaltung verwendet.

Ausführende Konten und ausführende Profile in Operations Manager 2007 R2Ab Operations Manager 2007 R2 stehen die folgenden zusätzlichen Features für ausführende Konten und ausführende Profile zur Verfügung: Verteilung und Adressierung. Die nachfolgenden Abschnitte enthalten Informationen zur Verteilung und Adressierung sowie die sicherheitsrelevanten Auswirkungen dieser Features.

Verteilung und ZielgruppenadressierungDie Verteilung und die Zielgruppenadressierung müssen bei ausführenden Konten ordnungsgemäß konfiguriert werden, damit das ausführende Profil einwandfrei funktioniert.

Bei der Konfiguration eines ausführenden Profils wählen Sie die ausführenden Konten aus, die dem Profil zugewiesen werden sollen. Nach Einrichtung dieser Zuordnung können Sie angeben, für welche Klasse, welche Gruppe oder welches Objekt das ausführende Konto verwendet werden soll, um Tasks, Regeln, Monitore oder Ermittlungen auszuführen.

Verteilung ist ein Attribut ausführender Konten; Sie können vorgeben, welche Computer die Anmeldeinformationen eines ausführenden Kontos erhalten. Sie können die Anmeldeinformationen an alle mit Agent verwalteten Computer oder nur an ausgewählte Computer verteilen.

Beispiel einer Zielgruppenadressierung für ein ausführendes Konto: Der physische Computer ABC hostet zwei Instanzen von Microsoft SQL Server, Instanz X und Instanz Y. Jede Instanz verwendet eigene Anmeldeinformationen für das Konto sa . Sie können ein ausführendes Konto mit den sa -Anmeldeinformationen für Instanz X und ein anderes ausführendes Konto mit den sa -Anmeldeinformationen für Instanz Y erstellen. Wenn Sie das ausführende Profil für SQL Server konfigurieren, weisen Sie die Anmeldeinformationen beider ausführender Konten dem Profil zu (z. B. unter den Namen X und Y) und geben vor, dass die Anmeldeinformationen des ausführenden Kontos X für die Instanz X von SQL Server verwendet werden sollen und die Anmeldeinformationen des ausführenden Kontos Y für die Instanz Y. Sie müssen außerdem die Verteilung der Anmeldeinformationen beider ausführender Konten an den physischen Computer ABC konfigurieren.

Beispiel einer Verteilung für ein ausführendes Konto: SQL-Server1 und SQL-Server2 sind zwei verschiedene physische Computer. SQL-Server1 verwendet die Anmeldeinformationen "Benutzername1" und "Kennwort1" für das SQL-Konto sa . SQL-Server2 verwendet die Anmeldeinformationen "Benutzername2" und "Kennwort2" für das SQL-Konto sa . Das SQL-Management Pack umfasst ein ausführendes Profil, das für alle SQL-Server verwendet wird. Sie können nun ein ausführendes Konto für die Anmeldeinformationen von Benutzername1 und ein zweites für die von Benutzername2 einrichten. Beide ausführenden Konten sind dem gleichen

28

ausführenden Profil für SQL Server zugewiesen und können für die Verteilung an die geeigneten Computer konfiguriert werden. Benutzername1 wird an SQL-Server1 verteilt und Benutzername2 an SQL-Server2. Die zwischen dem Verwaltungsserver und dem Zielcomputer gesendeten Kontoinformationen werden verschlüsselt.

Sicherheit bei ausführenden KontenIn Operations Manager 2007 SP1 werden die Anmeldeinformationen ausführender Konten an alle mit Agent verwalteten Computer verteilt (weniger sichere Option). In Operations Manager 2007 R2 werden die Anmeldeinformationen ausführender Konten nur an die von Ihnen angegebenen Computer verteilt (sicherere Option). Eine automatische Verteilung ausführender Konten auf Basis der Ermittlung würde ein Sicherheitsrisiko (s. Beispiel u.) bedeuten. Aus diesem Grund gibt es in Operations Manager keine Option zur automatischen Verteilung.

Beispiel: Operations Manager 2007 erkennt einen Computer als Server für SQL Server 2005 am Vorhandensein eines Registrierungsschlüssels. Derselbe Registrierungsschlüssel kann auf einem Computer erstellt werden, auf dem keine Instanz von SQL Server 2005 ausgeführt wird. Eine automatische Verteilung der Anmeldeinformationen an alle mit Agent verwalteten Computer, die als SQL Server 2005-Computer erkannt wurden, durch Operations Manager birgt das Risiko einer Verteilung an solche Computer, die nur vorgeben, SQL-Server zu sein. Dort stünden sie dann allen Personen mit Administratorberechtigung für diesen Server zur Verfügung.

Wenn Sie ein ausführendes Konto mithilfe von Operations Manager 2007 R2 erstellen, müssen Sie auswählen, ob dieses einer normalen Sicherheit oder einer erhöhten Sicherheit unterliegen soll. Bei Auswahl der erhöhten Sicherheit müssen Sie, wenn Sie das ausführende Konto einem ausführenden Profil zuweisen, die Namen der Computer angeben, an die die Anmeldeinformationen des Kontos verteilt werden sollen. Durch eine aktive Benennung der Zielcomputer können Sie das oben beschriebene Spoofingszenario vermeiden. Bei Auswahl der normalen Sicherheit müssen Sie keine Computer angeben. Die Anmeldeinformationen werden an alle mit Agent verwalteten Computer verteilt.

Hinweis Bei allen Versionen von Operations Manager 2007 müssen die Anmeldeinformationen eines ausführenden Kontos über Rechte für eine lokale Anmeldung verfügen, damit das Modul funktioniert.

Siehe auchKontoinformationen für Operations Manager 2007

Rollenbasierte Sicherheit in Operations Manager 2007

Erstellen einer Ausführung als Konto in Operations Manager 2007Dieses Verfahren enthält ein Beispiel zum Erstellen eines ausführenden Kontos mithilfe eines Satzes Windows-Anmeldeinformationen. Zudem erfahren Sie, wie Sie die Eigenschaften des

29

ausführenden Kontos bearbeiten und damit die Sicherheitsstufe und Verteilung der Anmeldeinformationen ändern können. Verwenden Sie dieses Verfahren auch für alle anderen Kontotypen. Weitere Informationen über die anderen Kontotypen finden Sie unter Anmeldeinformationstypen in Operations Manager 2007.

Die Anmeldeinformationen, die Sie in einem ausführenden Konto angeben, werden gemäß des Management Packs, in dem sie sich befinden, zum Ausführen von Tasks, Regeln, Monitoren und Ermittlungen verwendet. Im Management Pack-Handbuch finden Sie die Einstellungen, die Sie zum Konfigurieren des ausführenden Kontos und des ausführenden Profils benötigen.

1. Melden Sie sich bei der Betriebskonsole mit einem Konto an, das der Operations Manager-Administratorenrolle der Operations Manager 2007-Verwaltungsgruppe angehört.

2. Klicken Sie in der Betriebskonsole auf Verwaltung.

3. Erweitern Sie im Verwaltungsbereich den Knoten Verwaltung, klicken Sie auf Ausführen als und Konfiguration, klicken Sie mit der rechten Maustaste auf Konten und dann auf Ausführendes Konto erstellen.

4. Klicken Sie auf der Seite Einführung des Assistenten zum Erstellen von ausführenden Konten auf Weiter.

5. Gehen Sie auf der Seite Allgemeine Einstellungen folgendermaßen vor:

a. Wählen Sie in der Liste Typ des ausführenden Kontos: den Typ Windows aus.

b. Geben Sie im Feld Anzeigename einen Anzeigenamen ein.

c. Optional können Sie in das Feld Beschreibung auch eine Beschreibung eingeben.

d. Klicken Sie dann auf Weiter.6. Geben Sie auf der Seite Anmeldeinformationen einen Benutzernamen und das

zugehörige Kennwort ein, und wählen Sie dann die Domäne für das Konto aus, das Sie zu einem Mitglied dieses ausführenden Kontos machen möchten.

7. Klicken Sie dann auf Weiter.8. Wählen Sie auf der Seite Verteilungssicherheit je nach Bedarf die Option Normale

Sicherheit oder Erhöhte Sicherheit aus.

9. Klicken Sie auf Erstellen.

10. Klicken Sie auf der Seite Status der Erstellung des ausführenden Kontos auf Schließen.

Beim Erstellen eines ausführenden Kontos werden Sie darauf hingewiesen, dass das ausführende Konto einem ausführenden Profil zugeordnet werden muss, und die Option zum Konfigurieren der Verteilung der Anmeldeinformationen für ausführende Konten wird nicht angezeigt. Beide Vorgänge können mithilfe des Assistenten für ausführende Profile durchgeführt werden. Sie können die Verteilung der Anmeldeinformationen für ausführende Konten aber auch konfigurieren, indem Sie die Eigenschaften des ausführenden Kontos wie im Folgenden beschrieben bearbeiten.

So erstellen Sie eine Ausführung als Konto

30


2. Erweitern Sie im Bereich Verwaltung den Knoten Verwaltung, klicken Sie auf Ausführen als und Konfiguration, und wählen Sie den Container Konten aus.

3. Doppelklicken Sie im Ergebnisbereich auf das ausführende Konto, das Sie bearbeiten möchten, um die zugehörigen Eigenschaften zu öffnen.

4. Auf der Seite Eigenschaften des ausführenden Kontos können Sie die Werte auf den Registerkarten Allgemeine Eigenschaften, Anmeldeinformationen oder Verteilung bearbeiten. In diesem Fall wählen Sie die Registerkarte Verteilung aus.

5. Klicken Sie auf der Registerkarte Verteilung im Bereich Ausgewählte Computer auf Hinzufügen, um das Tool Computersuche zu öffnen.

6. Klicken Sie auf der Seite Computersuche auf die Liste Option, und wählen Sie eine der folgenden Optionen aus:

a. Suche nach Computernamen (Standard), und geben Sie den Computernamen in das Feld Filtern nach: (optional) ein.

b. Vorgeschlagene Computer anzeigen; wenn Sie das Objekt des ausführenden Kontos bereits einem ausführenden Profil zugewiesen haben, wird hier eine Liste der ermittelten Computer angezeigt, auf denen der überwachte Dienst ausgeführt wird.

c. Verwaltungsserver anzeigen; in einigen Fällen, beispielsweise bei der plattformübergreifenden Überwachung, wird die gesamte Überwachung von einem Verwaltungsserver durchgeführt. Daher müssen die Anmeldeinformationen an alle Verwaltungsserver verteilt werden, die die Überwachung durchführen.

7. Optional können Sie auch einen Wert in das Feld Filtern nach: (optional) eingeben, um die Suchergebnisse einzuschränken, und auf Suchen klicken. Im Feld Verfügbare Objekte wird eine Liste mit Computern angezeigt, die den Suchkriterien entsprechen.

8. Wählen Sie die Computer aus, an die die Anmeldeinformationen verteilt werden sollen, und klicken Sie auf Hinzufügen. Die Computer werden im Feld Ausgewählte Objekte angezeigt.

9. Klicken Sie auf OK. Damit kehren Sie zur Registerkarte Verteilung zurück, und die Computer werden angezeigt. Klicken Sie auf OK.

Siehe auchErstellen und Konfigurieren eines ausführenden Profils in Operations Manager 2007

Erstellen und Konfigurieren eines ausführenden Profils in Operations Manager 2007Das Verfahren zum Erstellen und Konfigurieren eines ausführenden Profils besteht aus vier Schritten:

So ändern Sie die Eigenschaften des ausführenden Kontos

31

1. Auswahl der Klasse, Gruppe oder Objekte, auf die das ausführende Konto angewendet werden soll

2. Erstellen und Konfigurieren der ausführenden Konten

3. Zuweisen der ausführenden Konten zu dem ausführenden Profil

4. Konfigurieren und Verteilen der Anmeldeinformationen des Objekts des ausführenden Kontos an spezifische Computer

Nachfolgend wird erläutert, wie ein neues ausführendes Profils erstellt wird. Der die Konfiguration ausführender Profile betreffende Verfahrensteil kann auch zum Ändern vorhandener ausführender Profile verwendet werden. Bei dem nachfolgenden Vorgang wird davon ausgegangen, dass Sie zuvor noch kein ausführendes Profil erstellt haben.

1. Melden Sie sich bei der Betriebskonsole mit einem Konto an, das der Operations Manager-Administratorrolle der Operations Manager 2007-Verwaltungsgruppe angehört.


3. Erweitern Sie im Bereich "Verwaltung" den Knoten Verwaltung sowie Ausführen als > Konfiguration, und klicken Sie dann auf Profile. Klicken Sie mit der rechten Maustaste im Ergebnisbereich, und klicken Sie dann auf Ausführendes Profil erstellen. Wenn Sie den Assistenten für ausführende Profile zum ersten Mal verwenden, lesen Sie den Text auf der Seite Einführung durch.

4. Klicken Sie auf Weiter. 5. Gehen Sie auf der Seite Allgemeine Einstellungen folgendermaßen vor:

a. Geben Sie im Feld Anzeigename einen Anzeigenamen für das ausführende Profil ein.

b. Falls gewünscht, können Sie eine Beschreibung für das Profil eingeben.

c. Klicken Sie für Ziel-Management Pack auswählen auf Neu, um ein Außerkraftsetzungs-Management Pack zu erstellen, sofern dies noch nicht geschehen ist. Wenn Sie bereits ein Außerkraftsetzungs-Management Pack erstellt haben, wählen Sie dieses in der Dropdownliste aus, und fahren Sie mit Schritt 9 fort.

6. Geben Sie auf der Seite Allgemeine Eigenschaften des Assistenten zum Erstellen von Management Packs einen Namen in das Feld Name ein. Geben Sie, falls gewünscht, eine Beschreibung ein. Klicken Sie dann auf Weiter.

Tipp Wenn Sie ein Management Pack-Objekt erstellen, eine Regel oder einen Monitor deaktivieren oder eine Außerkraftsetzung erstellen, werden die Einstellungen von Operations Manager standardmäßig im Standard-Management Pack gespeichert. Es empfiehlt sich, für jedes versiegelte Management Pack, das angepasst werden soll, ein separates Management Pack zu erstellen, statt die angepassten Einstellungen im Standard-Management Pack zu speichern. Weitere Informationen finden Sie auf der

So erstellen Sie ein ausführendes Profil

32

Seite "Customizing Management Packs" (Anpassen von Management Packs) unter http://go.microsoft.com/fwlink/?LinkId=140601

7. Wenn Sie eine Zusammenfassung, die Konfiguration, zusätzliche Informationen und externe Wissensquellen zu dem Management Pack angeben möchten, klicken Sie auf der Seite Wissensdatenbankartikel auf Bearbeiten.

8. Klicken Sie auf Erstellen. Damit wird wieder die Seite Allgemeine Eigenschaften des Assistenten für ausführende Profile angezeigt.

9. Klicken Sie auf Weiter. 10. Klicken Sie auf der Seite Ausführende Konten auf Hinzufügen, um die Seite

Ausführendes Konto hinzufügen zu öffnen.

11. Klicken Sie auf Neu. Damit wird der Assistent zum Erstellen von ausführenden Konten mit der Seite Allgemeine Eigenschaften geöffnet.

12. Wählen Sie im Feld Typ des ausführenden Kontos den Typ des ausführenden Kontos aus, den Sie erstellen möchten. Welcher Typ das ist, ist dem Handbuch zum Management Pack zu entnehmen.

13. Geben Sie einen Namen im Feld Anzeigename: ein, geben Sie, falls gewünscht eine Beschreibung ein, und klicken Sie dann auf Weiter.

14. Geben Sie auf der Seite Anmeldeinformationen in die Felder Benutzername, Kennwort und Kennwort bestätigen die Anmeldeinformationen für das ausführende Konto ein.

15. Stellen Sie sicher, dass in der Liste Domäne die richtige Domäne für die Anmeldeinformationen ausgewählt ist. Klicken Sie dann auf Weiter.

16. Wählen Sie auf der Seite Verteilungssicherheit je nach Bedarf die Option Normale Sicherheit oder Erhöhte Sicherheit aus. Welche Option zu wählen ist, ist dem Management Pack-Handbuch zu entnehmen. Bei Auswahl der Option Normale Sicherheit sind die Anmeldeinformationen allen Administratoren auf den Zielcomputern zugänglich. Weitere Informationen zur Sicherheit bei der Verteilung von Anmeldeinformationen finden Sie unter Ausführende Profile und ausführende Konten in Operations Manager 2007.

17. Klicken Sie auf Erstellen.

18. Auf der Seite Status der Erstellung des ausführenden Kontos erscheint nach Abschluss der Erstellung eine Warnung. Lesen Sie diese, und klicken Sie dann auf Schließen. Damit wird wieder die Seite Ausführendes Konto hinzufügen angezeigt.

19. Wählen Sie basierend auf den Konfigurationsangaben im Management Pack-Handbuch im Bereich Dieses ausführende Konto wird zur Verwaltung der folgenden Objekte verwendet die Option Alle Zielobjekte oder Einer bestimmten Klasse oder Gruppe bzw. eines bestimmten Objekts aus.

20. Enthält das Feld Einer bestimmten Klasse oder Gruppe bzw. eines bestimmten Objekts bereits einen Wert, klicken Sie auf OK. Andernfalls klicken Sie auf Auswählen, und wählen Sie gemäß den Anweisungen im Management Pack-Handbuch die Option

33


Klasse, Gruppe oder Objekt aus. Damit wird die Seite Klassensuche, Gruppensuche bzw. Objektsuche geöffnet.

21. Geben Sie Ihre Such- bzw. Filterkriterien ein, und klicken Sie auf Suchen. Das Ergebnis wird im Feld Verfügbare Objekte angezeigt.

22. Wählen Sie das Objekt aus, für dessen Verwaltung das ausführende Konto verwendet werden soll, und klicken Sie auf OK.

23. Klicken Sie auf OK. Damit wird wieder die Seite Ausführende Konten des Assistenten für ausführende Profile angezeigt.

24. Wenn Sie weitere ausführende Konten einrichten möchten, klicken Sie auf Hinzufügen, und führen Sie die Schritte 10-23 erneut aus. Andernfalls klicken Sie auf Erstellen.

Hinweis Die nachfolgenden Schritte gelten für die Auswahl der Option Erhöhte Sicherheit. Wenn Sie Normale Sicherheit ausgewählt haben, fahren Sie mit Schritt 29 fort.

25. Auf der Seite Abschluss des Assistenten für ausführende Profile werden alle ausführenden Konten, für die die Option Erhöhte Sicherheit ausgewählt wurde, in Form eines Links angezeigt. Sie müssen jetzt jedes ausführende Konto einzeln auswählen und die Verteilung von dessen Anmeldeinformationen konfigurieren.

26. Führen Sie auf einem Konto einen Doppelklick aus. Damit wird die Seite Eigenschaften des ausführenden Kontos mit der Registerkarte Verteilung geöffnet. Sie sehen nun die von Ihnen ausgewählte Sicherheitsstufe sowie die Liste Ausgewählte Computer. Beides kann auf dieser Seite bearbeitet werden.

27. Klicken Sie für Ausgewählte Computer auf Hinzufügen, und führen Sie die folgenden Schritte aus:

a. Wählen Sie Suche nach Computernamen (Standard), Vorgeschlagene Computer anzeigen oder Verwaltungsserver anzeigen aus.

b. Geben Sie, falls gewünscht, im Feld Filtern nach: (optional) einen Wert ein.

c. Klicken Sie auf Suchen. Das Ergebnis wird im Feld Verfügbare Objekte angezeigt.

d. Wählen Sie die gewünschten Computer aus, und klicken Sie auf Hinzufügen. Die Computer werden damit in das Feld Ausgewählte Objekte aufgenommen.

e. Klicken Sie auf OK.

28. Klicken Sie auf OK. Damit wird wieder die Seite Abschluss des Assistenten für ausführende Profile angezeigt. Die Konten, für welche die Verteilung der Anmeldeinformationen konfiguriert wurde, sind mit einem grünen Häkchen gekennzeichnet.

29. Klicken Sie auf Schließen.

Siehe auchErstellen einer Ausführung als Konto in Operations Manager 2007

34

Ändern eines ausführenden Profils

Ändern eines ausführenden ProfilsBereits vorhandene ausführende Profile wurden möglicherweise mithilfe des Verfahrens zum Erstellen und Konfigurieren eines benutzerdefinierten ausführenden Profils von Ihnen erstellt, oder sie wurden beim Importieren eines Management Packs erstellt, das ein Profil enthält. Gehen Sie wie folgt vor, um die Eigenschaften eines vorhandenen ausführenden Profils zu ändern.

1. Öffnen Sie die Betriebskonsole mit einem Konto, das der Operations Manager 2007-Administratorrolle angehört.

2. Wählen Sie die Ansicht Verwaltung aus.

3. Wählen Sie in der Ansicht Verwaltung des Navigationsbereichs den Container Profile aus.

4. Doppelklicken Sie im Ergebnisbereich auf das Profil, dessen Eigenschaften Sie bearbeiten möchten. Damit wird der Assistent für ausführende Profile geöffnet, der die zuvor konfigurierten Einstellungen enthält.

5. Auf der Seite Allgemeine Eigenschaften können Sie die Werte in den Feldern Anzeigename und Beschreibung ändern.

6. Klicken Sie dann auf Weiter. 7. Auf der Seite Ausführende Konten können Sie weitere ausführende Konten hinzufügen,

die Einstellungen vorhandener ausführender Konten ändern und ausführende Konten entfernen, die dem ausführenden Profil nicht mehr zugeordnet sein sollen.

8. Sobald Sie Ihre Änderungen abgeschlossen haben, klicken Sie auf Speichern.

9. Auf der Seite Abschluss müssen Sie im Feld Ausführende Konten mit erhöhter Sicherheit: nacheinander jedes Konto einzeln auswählen und die Verteilung der Anmeldeinformationen für die einzelnen ausführenden Konten konfigurieren. Weitere Informationen zum Konfigurieren der Verteilung der Anmeldeinformationen für ausführende Konten finden Sie unter: Erstellen und Konfigurieren eines ausführenden Profils in Operations Manager 2007

10. Sobald Sie die Verteilung konfiguriert haben, klicken Sie auf Schließen.

Authentifizierung und Datenverschlüsselung für Windows-Computer in Operations Manager 2007Operations Manager 2007 besteht unter anderem aus den folgenden Komponenten: Stammverwaltungsserver, Verwaltungsserver, Gatewayserver, Berichtsserver, Operations Manager-Datenbank, Berichterstattungs-Data Warehouse, Agent, Webkonsole und

So ändern Sie ein vorhandenes ausführendes Profil

35

Betriebskonsole. In diesem Abschnitt wird erläutert, wie die Authentifizierung erfolgt; außerdem werden hier Verbindungskanäle für die Datenverschlüsselung aufgezeigt.

Zertifikatbasierte AuthentifizierungWenn ein Operations Manager-Agent und Verwaltungsserver durch eine nicht vertrauenswürdige Gesamtstruktur oder eine Arbeitsgruppengrenze getrennt sind, muss eine zertifikatbasierte Authentifizierung implementiert werden. Die nachfolgenden Abschnitte enthalten Informationen zu diesen Situationen sowie Verfahren zum Abrufen und Installieren von Zertifikaten von Windows-basierten Zertifizierungsstellen.

Einrichten der Kommunikation zwischen Agents und Verwaltungsservern innerhalb derselben VertrauensgrenzeEin Agent und der Verwaltungsserver verwenden die Windows-Authentifizierung, um sich gegenseitig zu authentifizieren, bevor der Verwaltungsserver Daten vom Agent akzeptiert. Das Kerberos-Protokoll (Version 5) ist die Standardmethode für die Authentifizierung. Damit eine Kerberos-basierte gegenseitige Authentifizierung möglich ist, müssen die Agents und der Verwaltungsserver in einer Active Directory-Domäne installiert sein. Befinden sich Agent und Verwaltungsserver in unterschiedlichen Domänen, muss volle Vertrauenswürdigkeit zwischen den Domänen bestehen. In diesem Szenario wird, sobald eine gegenseitige Authentifizierung erfolgt ist, der Datenkanal zwischen dem Agent und dem Verwaltungsserver verschlüsselt. Für die Authentifizierung und Verschlüsselung ist kein Benutzereingriff erforderlich.

Einrichten der Kommunikation zwischen Agents und Verwaltungsservern über Vertrauensgrenzen hinwegEin oder mehrere Agents werden möglicherweise in einer Domäne (Domäne B) bereitgestellt, die vom Verwaltungsserver (Domäne A) getrennt ist, und zwischen diesen beiden Domänen besteht möglicherweise keine bidirektionale Vertrauensstellung. Da keine Vertrauensstellung zwischen den beiden Domänen besteht, können sich die Agents der einen Domäne nicht mit dem Kerberos-Protokoll beim Verwaltungsserver in der anderen Domäne authentifizieren. Es erfolgt jedoch nach wie vor eine gegenseitige Authentifizierung zwischen den Operations Manager 2007-Komponenten innerhalb jeder Domäne.

Eine Lösung für dieses Problem besteht darin, einen Gatewayserver in derselben Domäne zu installieren, in der sich die Agents befinden, und dann Zertifikate auf dem Gatewayserver und dem Verwaltungsserver zu installieren, um eine gegenseitige Authentifizierung sowie eine Datenverschlüsselung zu erzielen. Der Einsatz des Gatewayservers bedeutet, dass Sie nur ein Zertifikat in Domäne B und nur einen Port durch die Firewall hindurch benötigen (siehe nachfolgende Abbildung).

36

Weitere Informationen finden Sie unter den folgenden Themen in diesem Sicherheitshandbuch:

Abrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007

Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-Zertifizierungsstelle in Operations Manager 2007



Einrichten der Kommunikation über Domänen- und Arbeitsgruppengrenzen hinwegIn Ihrer Umgebung gibt es möglicherweise Agents, die für eine Arbeitsgruppe innerhalb Ihrer Firewall bereitgestellt wurden. Die Agents dieser Arbeitsgruppe können sich beim Verwaltungsserver in der Domäne nicht mit dem Kerberos-Protokoll authentifizieren. Eine Lösung für dieses Problem besteht darin, Zertifikate sowohl auf dem Hostcomputer des Agents, als auch auf dem Verwaltungsserver, zu dem der Agent eine Verbindung herstellt, zu installieren (siehe nachfolgende Abbildung).

Hinweis In diesem Szenario muss der Agent manuell installiert werden.

37

Führen Sie sowohl auf dem Hostcomputer des Agents als auch auf dem Verwaltungsserver, der dieselbe Zertifizierungsstelle verwendet, die folgenden Schritte aus:

Fordern Sie die erforderlichen Zertifikate von der Zertifizierungsstelle an.

Genehmigen Sie die Zertifikatanforderungen bei der Zertifizierungsstelle.

Installieren Sie die genehmigten Zertifikate in den Zertifikatspeichern der Computer.

Verwenden Sie das MOMCertImport-Tool, um Operations Manager 2007 zu konfigurieren.

Dies sind dieselben Schritte wie beim Installieren von Zertifikaten auf einem Gatewayserver, mit dem Unterschied, dass Sie das Gatewaygenehmigungstool weder installieren noch ausführen. Weitere Informationen finden Sie unter den folgenden Themen in diesem Sicherheitshandbuch:





Assistent für die ZertifikatgenerierungDie erforderlichen Schritte für das Generieren, Abrufen und Installieren von Zertifikaten finden Sie in diesem Sicherheitshandbuch. Ein spezieller Assistent für die Zertifikatgenerierung erleichtert diesen Vorgang. Weitere Informationen finden Sie im Blogbeitrag. Obtaining Certificates for Non-Domain Joined Agents Made Easy With Certificate Generation Wizard (Assistent für die Zertifikatgenerierung erleichtert das Anfordern von Zertifikaten für Agents, die keiner Domäne angehören) (http://go.microsoft.com/fwlink/?LinkId=128392).

Hinweis Der Assistent für die Zertifikatgenerierung wird OHNE MÄNGELGEWÄHR und ohne Garantien bereitgestellt; hiermit werden keine Rechtsansprüche übertragen. Für den

38




Einsatz dieses Dienstprogramms gelten die hier angegebenen Bedingungen: http://www.microsoft.com/info/cpyright.htm (möglicherweise in englischer Sprache)

Bestätigen der ZertifikatinstallationWenn Sie das Zertifikat ordnungsgemäß installiert haben, wird das nachfolgende Ereignis in das Operations Manager-Ereignisprotokoll geschrieben.

Ebene Quelle Ereignis-ID Allgemein

Informationen OpsMgr Connector 20053 Der OpsMgr Connector hat das angegebene Authentifizierungszertifikat erfolgreich geladen.

Bei der Einrichtung eines Zertifikats führen Sie das MOMCertImport-Tool aus. Wenn das MOMCertImport-Tool seine Arbeit beendet hat, wird die Seriennummer des importierten Zertifikats in den nachfolgenden Unterschlüssel der Registrierung geschrieben.

Vorsicht Durch eine fehlerhafte Bearbeitung der Registrierung können schwere Systemschäden verursacht werden. Bevor Änderungen an der Registrierung vorgenommen werden, sollten Sie eine Sicherungskopie aller wichtigen Daten auf dem Computer erstellen.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Authentifizierung und Datenverschlüsselung zwischen Stammverwaltungsserver, Verwaltungsserver, Gatewayserver und AgentsDie Kommunikation zwischen diesen Operations Manager-Komponenten beginnt mit der gegenseitigen Authentifizierung. Falls Zertifikate auf beiden Seiten des Kommunikationskanals vorliegen, werden diese Zertifikate für die gegenseitige Authentifizierung verwendet; andernfalls wird das Kerberos-Protokoll (Version 5) verwendet. Sind zwei der vorhandenen Komponenten über eine nicht vertrauenswürdige Domäne hinweg getrennt, muss eine gegenseitige Authentifizierung mithilfe von Zertifikaten erfolgen.

Gängige Kommunikationsaktivitäten wie Ereignisse, Warnungen sowie die Bereitstellung eines Management Packs erfolgen über diesen Kanal. Die vorangehende Abbildung zeigt ein Beispiel für eine auf einem der Agents generierte Warnung, die an den Stammverwaltungsserver weitergeleitet wird. Vom Agent zum Gatewayserver wird das Kerberos-Sicherheitspaket verwendet, um die Daten zu verschlüsseln, da sich der Gatewayserver und der Agent in derselben Domäne befinden. Die Warnung wird vom Gatewayserver ent- und mithilfe von Zertifikaten für den Verwaltungsserver erneut verschlüsselt. Nachdem der Verwaltungsserver die Warnung empfangen hat, entschlüsselt der Verwaltungsserver die Nachricht, verschlüsselt sie

39

http://www.microsoft.com/info/cpyright.htm

erneut mithilfe des Kerberos-Protokolls und sendet die Nachricht an den Stammverwaltungsserver, wo die Warnung entschlüsselt wird.

Einige Kommunikationsaktivitäten zwischen dem Stammverwaltungsserver und dem Agent umfassen möglicherweise Anmeldeinformationen, beispielsweise Konfigurationsdaten und -tasks. Der Datenkanal zwischen dem Agent und dem Verwaltungsserver stellt eine weitere Verschlüsselungsschicht zusätzlich zur normalen Kanalverschlüsselung dar. Hierfür ist kein Benutzereingriff erforderlich.

Stammverwaltungsserver und Operations Manager-DatenbankInformationen zu ausführenden Konten werden in verschlüsselter Form in der Operations Manager-Datenbank gespeichert; dies erfolgt mithilfe eines symmetrischen Schlüsselpaares, das von Operations Manager 2007 erstellt wurde. Sollte der Stammverwaltungsserver einmal ersetzt werden müssen, wäre der neue Stammverwaltungsserver nicht in der Lage, die verschlüsselten Daten aus der Datenbank auszulesen. Das in Operations Manager 2007 enthaltene SecureStorageBackup-Tool wird verwendet, um diesen Verschlüsselungsschlüssel zu sichern und wiederherzustellen.

Wichtig Führen Sie das SecureStorageBackup-Tool aus, um den Schlüssel des Stammverwaltungsservers zu Sicherungszwecken zu exportieren. Ohne Sicherung des Stammverwaltungsserver-Schlüssels müssten Sie alle ausführenden Konten neu eingeben, wenn Sie den Stammverwaltungsserver neu erstellen müssen. In größeren Umgebungen könnten von einer solchen Maßnahme Hunderte von Konten betroffen sein. Weitere Informationen zum SecureStorageBackup-Tool finden Sie unter dem Thema How to Backup and Restore Encryption Keys in Operations Manager 2007 (Sichern und Wiederherstellen von Verschlüsselungsschlüsseln in Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=87387, möglicherweise in englischer Sprache).

Informationen zur Wiederherstellung in Notfällen, die den Ausfall des Stammverwaltungsservers umfassen, mit oder ohne Sicherung des Verschlüsselungsschlüssels, finden Sie im Knowledge Base-Artikel mit dem Titel Nachdem Sie den Root Management Server Server in Microsoft System Center Operations Manager 2007 ersetzen oder neu installieren, ist der Root Management Server Verschlüsselungsschlüssel nicht verfügbar (http://go.microsoft.com/fwlink/?LinkId=112310).

Stammverwaltungsserver und Betriebskonsole, Webkonsolenserver und BerichtsserverDie Authentifizierung und Datenverschlüsselung zwischen dem Stammverwaltungsserver und der Betriebskonsole, dem Webkonsolenserver oder dem Berichtsserver erfolgt mithilfe der WCF-Technologie (Windows Communication Foundation), ehemaliger Codename "Indigo". Zunächst erfolgt ein Authentifizierungsversuch mithilfe der Anmeldeinformationen des Benutzers. Das Kerberos-Protokoll wird als erstes versucht. Falls das Kerberos-Protokoll nicht funktioniert, wird

40







ein weiterer Versuch mithilfe von NTLM unternommen. Schlägt die Authentifizierung weiterhin fehl, wird der Benutzer aufgefordert, die erforderlichen Anmeldeinformationen bereitzustellen. Sobald die Authentifizierung erfolgt ist, wird der Datenstrom verschlüsselt; dies erfolgt über das Kerberos-Protokoll oder SSL, falls NTLM verwendet wird.

Bei einem Berichtsserver und einem Stammverwaltungsserver wird nach erfolgter Authentifizierung eine Datenverbindung zwischen dem Stammverwaltungsserver und dem SQL Server-Berichtsserver hergestellt. Hierbei wird ausschließlich das Kerberos-Protokoll verwendet; der Stammverwaltungsserver und der Berichtsserver müssen sich daher in vertrauenswürdigen Domänen befinden. Weitere Informationen zu WCF finden Sie im MSDN-Artikel Was ist die Windows Communication Foundation? (http://go.microsoft.com/fwlink/?LinkId=87429).

Verwaltungsserver und Berichterstattungs-Data WarehouseEs gibt zwei Kommunikationskanäle zwischen einem Verwaltungsserver und dem Berichterstattungs-Data Warehouse:

Der vom Integritätsdienst auf einem Verwaltungsserver oder einem Stammverwaltungsserver erzeugte überwachende Hostprozess

Der SDK-Dienst auf dem Stammverwaltungsserver

Überwachender Hostprozess und Berichterstattungs-Data WarehouseStandardmäßig erzielt der vom Integritätsdienst erzeugte überwachende Hostprozess, der für das Schreiben der gesammelten Ereignisse und Leistungsindikatoren in das Data Warehouse zuständig ist, die integrierte Windows-Authentifizierung, indem er als das beim Berichterstattungssetup angegebene Datenschreibkonto ausgeführt wird. Die Anmeldeinformationen für das Konto sind in einem ausführenden Konto mit dem Namen Data Warehouse-Aktionskonto sicher gespeichert. Dieses ausführende Konto gehört einem ausführenden Profil mit dem Namen Data Warehouse-Konto an (das mit den tatsächlichen Sammlungsregeln verknüpft ist).

Wenn das Berichterstattungs-Data Warehouse und der Verwaltungsserver durch eine Vertrauensgrenze getrennt sind (beispielsweise wenn sich beide in unterschiedlichen Domänen ohne Vertrauensstellung befinden), kann die integrierte Windows-Authentifizierung nicht verwendet werden. Um diese Situation zu vermeiden, kann der überwachende Hostprozess die Verbindung zum Berichterstattungs-Data Warehouse mithilfe der SQL Server-Authentifizierung herstellen. Erstellen Sie dazu ein neues ausführendes Konto (des Typs "Einfach") mit den Anmeldeinformationen des SQL-Kontos, machen Sie dieses Konto zu einem Mitglied des ausführenden Profils mit dem Namen "Data Warehouse-SQL Server-Authentifizierungskonto", und legen Sie den Verwaltungsserver als Zielcomputer fest.

Wichtig Standardmäßig war das ausführende Profil "Data Warehouse-SQL Server-Authentifizierungskonto" über das ausführende Konto mit demselben Namen einem speziellen Konto zugewiesen. Nehmen Sie keine Änderungen an dem Konto vor, das mit dem ausführenden Data Warehouse-SQL Server-Authentifizierungskonto verknüpft ist.

41



Erstellen Sie stattdessen Ihr eigenes Konto und Ihr eigenes ausführendes Konto, und machen Sie das ausführende Konto zu einem Mitglied des ausführenden Profils "Data Warehouse-SQL Server-Authentifizierungskonto", wenn Sie die SQL Server-Authentifizierung konfigurieren.

Nachfolgend wird die Beziehung zwischen den verschiedenen Kontoanmeldeinformationen, den ausführenden Konten und den ausführenden Profile für die integrierte Windows-Authentifizierung sowie die SQL Server-Authentifizierung beschrieben.

Standard: Integrierte Windows-AuthentifizierungAusführendes Profil: Data Warehouse-Konto

Ausführendes Konto: Data Warehouse-Aktionskonto

Anmeldeinformationen: Datenschreibkonto (beim Setup angegeben)

Ausführendes Profil: Data Warehouse-SQL Server-Authentifizierungskonto

Ausführendes Konto: Data Warehouse-SQL Server-Authentifizierungskonto

Anmeldeinformationen: Von Operations Manager erstelltes Spezialkonto (nicht ändern)

Optional: SQL Server-AuthentifizierungAusführendes Profil: Data Warehouse-SQL Server-Authentifizierungskonto

Ausführendes Konto: Ein von Ihnen erstelltes ausführendes Konto.

Anmeldeinformationen: Ein von Ihnen erstelltes Konto.

Der System Center-Datenzugriffsdienst oder der SDK-Dienst und das Berichterstattungs-Data WarehouseDer in Operations Manager 2007 SP1 enthaltene SDK-Dienst heißt in Operations Manager 2007 R2 "System Center-Datenzugriffsdienst".

Standardmäßig erzielt der System Center-Datenzugriffsdienst (SDK-Dienst), der dafür zuständig ist, Daten aus dem Berichterstattungs-Data Warehouse auszulesen und diese im Bereich "Berichtsparameter" zur Verfügung zu stellen, die integrierte Windows-Authentifizierung, indem er als das beim Setup von Operations Manager 2007 definierte SDK- und Konfigurationsdienstkonto ausgeführt wird.

Wenn das Berichterstattungs-Data Warehouse und der Verwaltungsserver durch eine Vertrauensgrenze getrennt sind (beispielsweise wenn sich beide in unterschiedlichen Domänen ohne Vertrauensstellung befinden), würde die integrierte Windows-Authentifizierung nicht funktionieren. Um diese Situation zu vermeiden, kann der System Center-Datenzugriffsdienst bzw. der SDK-Dienst die Verbindung zum Berichterstattungs-Data Warehouse mithilfe der SQL Server-Authentifizierung herstellen. Erstellen Sie dazu ein neues ausführendes Konto (des Typs "Einfach") mit den Anmeldeinformationen des SQL-Kontos, machen Sie dieses Konto zu einem Mitglied des ausführenden Profils mit dem Namen "Berichts-SDK-SQL Server-Authentifizierungskonto", und legen Sie den Verwaltungsserver als Zielcomputer fest.

42

Wichtig Standardmäßig war das ausführende Profil "Berichts-SDK-SQL Server-Authentifizierungskonto" über das ausführende Konto mit demselben Namen einem speziellen Konto zugewiesen. Nehmen Sie keine Änderungen an dem Konto vor, das mit dem ausführenden Berichts-SDK-SQL Server-Authentifizierungskonto verknüpft ist. Erstellen Sie stattdessen Ihr eigenes Konto und Ihr eigenes ausführendes Konto, und machen Sie das ausführende Konto zu einem Mitglied des ausführenden Profils "Berichts-SDK-SQL Server-Authentifizierungskonto", wenn Sie die SQL Server-Authentifizierung konfigurieren.

Nachfolgend wird die Beziehung zwischen den verschiedenen Kontoanmeldeinformationen, den ausführenden Konten und den ausführenden Profile für die integrierte Windows-Authentifizierung sowie die SQL Server-Authentifizierung beschrieben.

Standard: Integrierte Windows-AuthentifizierungSDK- und Konfigurationsdienstkonto (beim Setup von Operations Manager definiert)

Ausführendes Profil: Berichts-SDK-SQL Server-Authentifizierungskonto

Ausführendes Konto: Berichts-SDK-SQL Server-Authentifizierungskonto

Anmeldeinformationen: Von Operations Manager erstelltes Spezialkonto (nicht ändern)

Optional: SQL Server-AuthentifizierungAusführendes Profil: Data Warehouse-SQL Server-Authentifizierungskonto

Ausführendes Konto: Ein von Ihnen erstelltes ausführendes Konto.

Anmeldeinformationen: Ein von Ihnen erstelltes Konto.

Betriebskonsole und BerichtsserverDie Betriebskonsole stellt an Port 80 über HTTP eine Verbindung zum Berichtsserver her. Die Authentifizierung erfolgt mithilfe der Windows-Authentifizierung. Daten können unter Verwendung des SSL-Kanals verschlüsselt werden. Weitere Informationen zur Verwendung von SSL zwischen der Betriebskonsole und dem Berichtsserver finden Sie unter Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007 weiter hinten im Sicherheitshandbuch.

Berichtsserver und Berichterstattungs-Data WarehouseDie Authentifizierung zwischen dem Berichtsserver und dem Berichterstattungs-Data Warehouse erfolgt mithilfe der Windows-Authentifizierung. Das Konto, das beim Setup für die Berichterstattung als Datenlesekonto angegeben wurde, wird zum Ausführungskonto auf dem Berichtsserver. Falls das Kennwort für das Konto geändert wird, müssen Sie dieselbe Kennwortänderung mithilfe des Konfigurations-Managers für Reporting Services in SQL Server 2005 vornehmen. Weitere Informationen zum Zurücksetzen dieses Kennworts finden Sie unter Ändern des Kennworts des Berichtsserver-Ausführungskontos in Operations Manager

43

2007. Die Daten zwischen dem Berichtsserver und dem Berichterstattungs-Data Warehouse werden nicht verschlüsselt.


Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007





Entfernen von mit MOMCertImport importierten Zertifikaten in Operations Manager 2007

Konfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007Um die Betriebskonsole für die Verwendung von SSL beim Herstellen einer Verbindung zu einem Berichtsserver zu konfigurieren, müssen Sie zunächst ein SSL-Zertifikat in IIS installieren.

Starten Sie den Internetinformationsdienste-Manager auf dem Berichtsserver, um ein SSL-Zertifikat anzufordern und zu installieren. Weitere Informationen zum Implementieren von SSL in IIS finden Sie im Knowledge Base-Artikel Wie Implementieren von SSL in II (http://go.microsoft.com/fwlink/?LinkId=87862).

Mit dem folgenden Verfahren konfigurieren Sie die Betriebskonsole für den Einsatz von SSL.


2. Klicken Sie in der Betriebskonsole auf die Schaltfläche Verwaltung.


3. Erweitern Sie im Verwaltungsbereich Verwaltung, erweitern Sie Geräteverwaltung, und

So konfigurieren Sie die Betriebskonsole für die Verwendung von SSL

44


klicken Sie dann auf Einstellungen.

4. Klicken Sie im Einstellungsbereich mit der rechten Maustaste auf Berichterstattung, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie auf der Registerkarte Allgemein unter Berichtsservereinstellungen auf die Dropdownliste URL des Berichtsservers, und wählen Sie dann https:// aus.

6. Ändern Sie die URL, indem Sie :80 durch :443 ersetzen. Klicken Sie anschließend auf OK.

Siehe auchAbrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007



Abrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007Die folgenden Verfahren enthalten die Schritte zum Anfordern eines Zertifikats von einer Unternehmenszertifizierungsstelle mithilfe der Zertifikatdienste, einem Feature von Windows 2000 Server und Windows Server 2003. Um ein Zertifikat auf diese Weise abzurufen, müssen Sie wie folgt vorgehen:

Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.

Importieren Sie das vertrauenswürdige Stammzertifikat.

Erstellen Sie eine Zertifikatvorlage.

Fordern Sie ein Zertifikat von der Unternehmenszertifizierungsstelle an.

Importieren Sie das Zertifikat in Operations Manager.

1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installiert haben (z. B. beim Gatewayserver oder beim Verwaltungsserver).

2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv.

3. Klicken Sie auf der Seite Willkommen auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste.

4. Klicken Sie auf der Seite Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Sperrliste auf Codierungsmethode sowie Base 64, und klicken Sie dann auf Download der Zertifizierungsstellen-Zertifikatkette.

So laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter

45

5. Klicken Sie im Dialogfeld Dateidownload auf Speichern, und speichern Sie das Zertifikat, z. B. VertrZS.p7b.

6. Sobald der Downloadvorgang abgeschlossen ist, können Sie Internet Explorer schließen.

1. Klicken Sie auf dem Windows-Desktop auf Start und anschließend auf Ausführen.

2. Geben Sie im Dialogfeld Ausführen den Befehl mmc ein, und klicken Sie dann auf OK.

3. Klicken Sie im Fenster Console1 auf Datei, und klicken Sie dann auf Snap-In hinzufügen/entfernen.

4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen.

5. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Zertifikate, und klicken Sie dann auf Hinzufügen.

6. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.

7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.

8. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Schließen.

9. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK.

10. Erweitern Sie im Fenster Console1 zuerst Zertifikate (Lokaler Computer) und anschließend Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie dann auf Zertifikate.

11. Klicken Sie mit der rechten Maustaste auf Zertifikate, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Importieren.

12. Klicken Sie im Zertifikatimport-Assistenten auf Weiter.13. Klicken Sie auf der Seite Zu importierende Datei auf Durchsuchen, und wählen Sie

das Verzeichnis aus, in das Sie die Datei des Zertifizierungsstellenzertifikats heruntergeladen haben, z. B. VertrZS.p7b. Wählen Sie die Datei aus, und klicken Sie auf Öffnen.

14. Klicken Sie auf der Seite Zu importierende Datei auf Alle Zertifikate in folgendem Speicher speichern, und stellen Sie sicher, dass Vertrauenswürdige Stammzertifizierungsstellen im Feld Zertifikatspeicher angezeigt wird. Klicken Sie dann auf Weiter.

15. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

1. Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.

So importieren Sie das vertrauenswürdige Stammzertifikat

So erstellen Sie eine Zertifikatvorlage

46

2. Erweitern Sie im Navigationsbereich den Namen der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.

3. Klicken Sie in der Konsole Zertifikatvorlagen im Ergebnisbereich mit der rechten Maustaste auf IPSec (Offlineanforderung), und klicken Sie dann auf Doppelte Vorlage.

4. Geben Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften der neuen Vorlage in das Textfeld Vorlagenanzeigename einen neuen Namen für diese Vorlage ein (z. B. OperationsManagerCert).

5. Wählen Sie auf der Registerkarte Anforderungsverarbeitung die Option Exportieren von privatem Schlüssel zulassen aus, und klicken Sie dann auf Kryptografiedienstanbieter.

6. Wählen Sie im Dialogfeld Kryptografiedienstanbieter auswählen den Anbieter aus, der Ihre Geschäftsanforderungen am besten erfüllt, und klicken Sie dann auf OK.

Hinweis Windows 2000 Server kann mit Microsoft Enhanced Cryptographic Provider 1.0 ausgeführt werden. Windows Server 2003 und Windows XP können mit Microsoft RSA SChannel Cryptographic Provider ausgeführt werden.

7. Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie dann unter Erweiterungen in dieser Vorlage auf Anwendungsrichtlinien und anschließend auf Bearbeiten.

8. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf IP-Sicherheits-IKE, dazwischenliegend, und klicken Sie dann auf Entfernen.

9. Klicken Sie auf Hinzufügen, und halten Sie in der Liste Anwendungsrichtlinien die STRG-Taste gedrückt, um mehrere Elemente aus der Liste auszuwählen. Klicken Sie auf Clientauthentifizierung und Serverauthentifizierung, und klicken Sie dann auf OK.

10. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

11. Klicken Sie auf die Registerkarte Sicherheit, und vergewissern Sie sich, dass die Gruppe Authentifizierte Benutzer über Lese- und Registrierungsberechtigungen verfügt. Klicken Sie dann auf OK.

1. Klicken Sie im Zertifizierungsstellen-Snap-In mit der rechten Maustaste auf den Ordner Zertifikatvorlagen, zeigen Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

2. Wählen Sie im Feld Zertifikatvorlagen aktivieren, die von Ihnen erstellte Zertifikatvorlage aus, und klicken Sie dann auf OK.

1. Melden Sie sich bei dem Computer an, auf dem Sie ein Zertifikat installieren möchten (z. B. beim Gatewayserver oder beim Verwaltungsserver).

So fügen Sie die Vorlage dem Ordner "Zertifikatvorlagen" hinzu

So fordern Sie ein Zertifikat von einer Unternehmenszertifizierungsstelle an

47

2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung mit dem Computer her, der die Zertifikatdienste hostet (z. B. http://<Servername>/certsrv).

3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Zertifikat anfordern.

4. Klicken Sie auf der Seite Zertifikat anfordern auf Erweiterte Zertifikatanforderung.

5. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

6. Führen Sie auf der Seite Erweiterte Zertifikatanforderung folgende Aktionen aus:

a. Wählen Sie unter Zertifikatvorlage den Namen der von Ihnen erstellten Vorlage aus (z. B. OperationsManagerCert).

b. Geben Sie unter Identifikationsinformationen für Offlinevorlage im Feld Name einen eindeutigen Namen ein, z. B. den vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) des Computers, für den Sie das Zertifikat anfordern. Geben Sie in den restlichen Feldern die entsprechenden Informationen ein.

Hinweis Wenn der in das Feld Name eingegebene FQDN nicht mit dem Computernamen übereinstimmt, wird ein Eingabefehler mit der Ereignis-ID 20052 angezeigt.

c. Klicken Sie unter Schlüsseloptionen auf Neuen Schlüsselsatz erstellen. Wählen Sie im Feld Kryptografiedienstanbieter den Anbieter aus, der Ihre Geschäftsanforderungen am besten erfüllt. Wählen Sie unter Schlüsselgröße die Größe, die am besten Ihre Geschäftsanforderungen erfüllt. Wählen Sie Automatischer Schlüsselcontainername aus. Vergewissern Sie sich, dass die Option Schlüssel als "Exportierbar" markieren ausgewählt ist, und deaktivieren Sie Schlüssel in Datei exportieren sowie Verstärkte Sicherheit für den privaten Schlüssel aktivieren. Klicken Sie dann auf Zertifikat in lokalem Zertifikatspeicher aufbewahren.

Hinweis Windows 2000 Server kann mit Microsoft Enhanced Cryptographic Provider 1.0 ausgeführt werden. Windows Server 2003 und Windows XP können mit Microsoft RSA SChannel Cryptographic Provider ausgeführt werden.

d. Wählen Sie unter Weitere Optionen unter Anforderungsformat die Option CMC aus. Wählen Sie in der Liste Hashalgorithmus die Option SHA-1 aus, und deaktivieren Sie Anforderung in Datei speichern. Geben Sie dann im Feld Anzeigename den FQDN des Computers an, für den Sie das Zertifikat anfordern.

e. Klicken Sie auf Absenden.

f. Wenn die Meldung Mögliche Skriptingverletzung angezeigt wird, klicken Sie auf Ja.

48

g. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

h. Wenn das Dialogfeld Mögliche Skriptingverletzung angezeigt wird, klicken Sie auf Ja.

i. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.

1. Melden Sie sich beim Computer mit einem Konto an, das ein Mitglied der Verwaltungsgruppe ist.


3. Geben Sie im Dialogfeld Ausführen cmd ein, und klicken Sie dann auf OK.

4. Geben Sie an der Eingabeaufforderung <Laufwerksbuchstabe> ein: (wobei <Laufwerksbuchstabe> für das Laufwerk steht, auf dem sich das Installationsmedium für Operations Manager 2007 befindet), und drücken Sie dann die EINGABETASTE.

5. Geben Sie cd\SupportTools\i386 ein, und drücken Sie dann die EINGABETASTE.

Hinweis Geben Sie auf 64-Bit-Computern Folgendes ein: cd\SupportTools\amd64

6. Geben Sie Folgendes ein:

MOMCertImport /SubjectName <Zertifikatantragstellername>7. Drücken Sie die EINGABETASTE.

Siehe auchKonfigurieren der Betriebskonsole für den Einsatz von SSL beim Herstellen einer Verbindung zu einem Berichtsserver in Operations Manager 2007





Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-Zertifizierungsstelle in Operations Manager 2007Die folgenden Verfahren enthalten die Schritte zum Anfordern eines Zertifikats von einer Unternehmenszertifizierungsstelle mithilfe der Zertifikatdienste, einem Feature von

So importieren Sie Zertifikate mithilfe von MOMCertImport

49

Windows 2000 Server und Windows Server 2003. Um ein Zertifikat auf diese Weise abzurufen, müssen Sie wie folgt vorgehen:

Führen Sie die folgenden Verfahren aus:

Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.

Importieren Sie das vertrauenswürdige Stammzertifikat.

Fordern Sie ein Zertifikat von der eigenständigen Zertifizierungsstelle an.

Genehmigen Sie die ausstehende Zertifikatanforderung. Wenn Ihre Zertifikatdienste so konfiguriert sind, dass Zertifikate automatisch genehmigt werden, fahren Sie mit dem nächsten Verfahren, dem Abrufen des Zertifikats, fort. Andernfalls muss der Zertifizierungsstellenadministrator das Zertifikat mithilfe des Verfahrens für den Zertifikatabruf ausstellen.

Rufen Sie das Zertifikat ab.

Importieren Sie das Zertifikat mithilfe des Dienstprogramms MOMCertImport in Operations Manager.












6. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und



50

klicken Sie dann auf Weiter.7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler

Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.











3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Zertifikat anfordern.


5. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

6. Führen Sie auf der Seite Erweiterte Zertifikatanforderung folgende Aktionen aus:

a. Geben Sie unter Identifikationsinformationen im Feld Name einen eindeutigen Namen ein, z. B. den vollqualifizierten Domänennamen (FQDN, Fully Qualified Domain Name) des Computers, für den Sie das Zertifikat anfordern. Geben Sie in den restlichen Feldern die entsprechenden Informationen ein.

Hinweis Wenn der in das Feld Name eingegebene FQDN nicht mit dem

So fordern Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle an

51

Computernamen übereinstimmt, wird ein Eingabefehler mit der Ereignis-ID 20052 angezeigt.

b. Unter Typ des erforderlichen Zertifikats:

Klicken Sie auf die Liste, und wählen Sie dann Sonstige aus.

Geben Sie in das Feld OID Folgendes ein: 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2.

c. Treffen Sie unter Schlüsseloptionen die folgende Auswahl:

Klicken Sie auf Neuen Schlüsselsatz erstellen.

Wählen Sie im Feld CSP Microsoft Enhanced Cryptographic Provider v1.0 aus.

Wählen Sie unter Schlüsselverwendung Beides aus.

Wählen Sie unter Schlüsselgröße 1024 aus.

Wählen Sie Automatischer Schlüsselcontainername aus.

Wählen Sie Schlüssel als "Exportierbar" markieren aus.

Deaktivieren Sie Schlüssel in Datei exportieren (für Windows Server 2008 AD CS nicht erforderlich).

Deaktivieren Sie Verstärkte Sicherheit für den privaten Schlüssel aktivieren.

Klicken Sie auf Zertifikat im lokalen Zertifikatspeicher aufbewahren.

d. Unter Weitere Optionen:

Wählen Sie unter Anforderungsformat CMC aus.

Wählen Sie in der Liste Hashalgorithmus SHA-1 aus.

Deaktivieren Sie Anforderung in Datei speichern.

Geben Sie im Feld Geeigneter Name den FQDN des Computers ein, für den Sie das Zertifikat anfordern.

e. Klicken Sie auf Absenden.

f. Wenn ein Dialogfeld zu einer möglichen Sicherheitsverletzung angezeigt wird, klicken Sie auf Ja.

g. Wenn die Seite Zertifikat steht noch aus angezeigt wird, können Sie den Browser schließen.

1. Melden Sie sich als Zertifizierungsstellenadministrator beim Hostcomputer der Zertifikatdienste an.

2. Klicken Sie auf dem Windows-Desktop auf Start > Programme > Verwaltung > Zertifizierungsstelle.

3. Erweitern Sie in Zertifizierungsstelle den Knoten für den Namen Ihrer Zertifizierungsstelle, und klicken Sie dann auf Ausstehende Anforderungen.

4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die ausstehende Anforderung des vorherigen Schritts, zeigen Sie auf Alle Tasks, und klicken Sie dann auf

So genehmigen Sie die ausstehende Zertifikatanforderung

52

Ausstellen.

5. Klicken Sie auf Ausgestellte Zertifikate, und vergewissern Sie sich, dass das gerade ausgestellte Zertifikat aufgeführt wird.

6. Schließen Sie Zertifizierungsstelle.



3. Klicken Sie auf der Seite Willkommen der Microsoft Zertifikatdienste auf Status ausstehender Zertifikatanforderungen anzeigen.

4. Klicken Sie auf der Seite Status ausstehender Zertifikatanforderungen anzeigen auf das angeforderte Zertifikat.

5. Klicken Sie auf der Seite Zertifikat wurde ausgestellt auf Dieses Zertifikat installieren.

6. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja.

7. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.








MOMCertImport7. Klicken Sie im Dialogfeld Zertifikat auswählen auf das Zertifikat, dass Sie im

vorangehenden Abschnitt abgerufen haben, und klicken Sie dann auf OK.

Hinweis

So rufen Sie das Zertifikat ab

So importieren Sie Zertifikate mithilfe von MOMCertImport

53

Wenn mehrere Zertifikate angezeigt werden, wählen Sie das Zertifikat, für das als vorgesehener Verwendungszweck Serverauthentifizierung, Clientauthentifizierung aufgeführt ist, und das Zertifikat, dessen Anzeigename mit dem Anzeigenamen übereinstimmt, den Sie in Schritt 6d des Verfahrens "So fordern Sie ein Zertifikat von einer eigenständigen Zertifizierungsstelle an" definiert haben, aus.

8. Im Befehlsdialogfeld wird die Meldung Das Zertifikat wurde installiert. Überprüfen Sie das Operations Manager-Protokoll in der Ereignisanzeige, um die Kanalkonnektivität zu gewährleisten angezeigt.






Abrufen eines Zertifikats mithilfe einer Windows Server 2008-Unternehmenszertifizierungsstelle in Operations Manager 2007Mit den Verfahren in diesem Thema können Sie ein Zertifikat von dem Windows Server 2008-Computer abrufen, der zum Hosten der Active Directory-Zertifikatdienste (AD CS) der Stammzertifizierungsstelle des Unternehmens verwendet wird. Verwenden Sie das Befehlszeilendienstprogramm CertReq, um ein Zertifikat anzufordern und zu akzeptieren, und eine Weboberfläche, um das Zertifikat zu übermitteln sowie abzurufen.

Es wird davon ausgegangen, dass AD CS installiert ist, eine HTTPS-Bindung erstellt und das zugehörige Zertifikat installiert wurde. Informationen zum Erstellen einer HTTPS-Bindung finden Sie unter dem Thema Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle.

Wichtig Der Inhalt dieses Themas bezieht sich auf die Standardeinstellungen für Windows Server 2008 AD CS; dies umfasst beispielsweise die Einstellung der Schlüssellänge auf 2048, die Auswahl von Microsoft Software Key Storage Provider als CSP sowie die Verwendung des Secure-Hash-Algorithmus (SHA-1). Werten Sie diese Auswahl im Hinblick auf die Anforderungen der Sicherheitsrichtlinien Ihres Unternehmens aus.

54

Die allgemeine Vorgehensweise für das Abrufen eines Zertifikats von einer Unternehmenszertifizierungsstelle ist wie folgt:

1. Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.

2. Importieren Sie das vertrauenswürdige Stammzertifikat.

3. Erstellen Sie eine Zertifikatvorlage.

4. Fügen Sie die Zertifikatvorlage dem Ordner Zertifikatvorlagen hinzu.

5. Erstellen Sie eine Setupinformationsdatei für die Verwendung mit dem Befehlszeilendienstprogramm CertReq.

6. Erstellen Sie eine Anforderungsdatei.

7. Reichen Sie eine Anforderung an die Zertifizierungsstelle ein.

8. Importieren Sie das Zertifikat in den Zertifikatspeicher.

9. Importieren Sie das Zertifikat mithilfe von MOMCertImport in Operations Manager.













7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler



55

Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.









1. Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.

2. Erweitern Sie im Navigationsbereich den Namen der Zertifizierungsstelle, klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Verwalten.

3. Klicken Sie in der Konsole Zertifikatvorlagen im Ergebnisbereich mit der rechten Maustaste auf IPSec (Offlineanforderung), und klicken Sie dann auf Doppelte Vorlage.

4. Wählen Sie im Dialogfeld Doppelte Vorlage die Option Windows Server 2003 Enterprise Edition, und klicken Sie dann auf OK.

Hinweis Die Option für die Windows Server 2008 Enterprise Edition wird derzeit nicht unterstützt.

5. Geben Sie auf der Registerkarte Allgemein im Dialogfeld Eigenschaften der neuen Vorlage in das Textfeld Vorlagenanzeigename einen neuen Namen für diese Vorlage ein (z. B. OperationsManagerZert).

6. Wählen Sie auf der Registerkarte Anforderungsverarbeitung die Option Exportieren von privatem Schlüssel zulassen aus.

7. Klicken Sie auf die Registerkarte Erweiterungen. Klicken Sie dann unter Erweiterungen

So erstellen Sie eine Zertifikatvorlage

56

in dieser Vorlage auf Anwendungsrichtlinien und anschließend auf Bearbeiten.

8. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf IP-Sicherheits-IKE, dazwischenliegend, und klicken Sie dann auf Entfernen.

9. Klicken Sie auf Hinzufügen, und halten Sie in der Liste Anwendungsrichtlinien die STRG-Taste gedrückt, um mehrere Elemente aus der Liste auszuwählen. Klicken Sie auf Clientauthentifizierung und Serverauthentifizierung, und klicken Sie dann auf OK.

10. Klicken Sie im Dialogfeld Anwendungsrichtlinienerweiterung bearbeiten auf OK.

11. Klicken Sie auf die Registerkarte Sicherheit, und vergewissern Sie sich, dass die Gruppe Authentifizierte Benutzer über die Berechtigungen Lesen und Registrieren verfügt. Klicken Sie dann auf OK.

12. Schließen Sie die Konsole Zertifikatvorlagen.

1. Klicken Sie auf dem Computer mit der Unternehmenszertifizierungsstelle im Zertifizierungsstellen-Snap-In mit der rechten Maustaste auf den Ordner Zertifikatvorlagen, zeigen Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

2. Wählen Sie im Feld Zertifikatvorlagen aktivieren die von Ihnen erstellte Zertifikatvorlage aus, z. B. OperationsManagerZert, und klicken Sie dann auf OK.

1. Klicken Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie ein Zertifikat anfordern möchten, auf Start und dann auf Ausführen.

2. Geben Sie im Dialogfeld Ausführen Notepad ein, und klicken Sie dann auf OK.

3. Erstellen Sie eine Textdatei mit dem folgenden Inhalt:

[NewRequest]Subject="CN=<FQDN des Computers, für den Sie das Zertifikat erstellen (z. B. Gatewayserver oder Verwaltungsserver).>"

Exportable=TRUEKeyLength=2048KeySpec=1KeyUsage=0xf0MachineKeySet=TRUE[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1OID=1.3.6.1.5.5.7.3.2

4. Speichern Sie die Datei mit der Dateinamenerweiterung .inf (z. B. RequestConfig.inf).5. Schließen Sie Microsoft Editor.

So fügen Sie die Vorlage dem Ordner "Zertifikatvorlagen" hinzu

So erstellen Sie eine Setupinformationsdatei (.inf)

57



3. Geben Sie im Befehlsfenster CertReq –New –f RequestConfig.inf CertRequest.reqein, und drücken Sie dann die EINGABETASTE.

4. Verwenden Sie Microsoft Editor, um die so entstandene Datei (z. B. CertRequest.req) zu öffnen, und kopieren Sie den Inhalt dieser Datei in die Zwischenablage.

1. Öffnen Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie ein Zertifikat anfordern möchten, Internet Explorer, und stellen Sie dann eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv).

Hinweis Wurde auf der Zertifikatdienste-Website keine HTTPS-Bindung konfiguriert, kann der Browser keine Verbindung herstellen. Siehe hierzu das Thema Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle in diesem Handbuch.

2. Klicken Sie auf der Seite Willkommen der Active Directory-Zertifikatdienste auf Zertifikat anfordern.


4. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.

5. Fügen Sie auf der Seite Zertifikat- oder Erneuerungsanforderung einreichen im Textfeld Gespeicherte Anforderung den Inhalt der Datei CertRequest.req ein, die Sie in Schritt 4 des vorangegangenen Verfahrens kopiert haben.

6. Wählen Sie für Zertifikatvorlage die von Ihnen erstellte Zertifikatvorlage aus (z. B. OperationsManagerZert), und klicken Sie dann auf Absenden.

7. Wählen Sie auf der Seite Zertifikat wurde ausgestellt die Option Base-64-codiert aus, und klicken Sie dann auf Download des Zertifikats.

8. Klicken Sie im Dialogfeld Dateidownload - Sicherheitswarnung auf Speichern, und speichern Sie das Zertifikat (z. B. unter dem Namen NeuesZertifikat.cer).

9. Schließen Sie Internet Explorer.

1. Klicken Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie das

So erstellen Sie eine Anforderungsdatei für die Verwendung mit einer Unternehmenszertifizierungsstelle

So reichen Sie eine Anforderung an eine Unternehmenszertifizierungsstelle ein

So importieren Sie das Zertifikat in den Zertifikatspeicher

58

Zertifikat konfigurieren möchten, auf Start und dann auf Ausführen.


3. Geben Sie im Befehlsfenster CertReq –Accept NewCertifiate.cerein, und drücken Sie dann die EINGABETASTE.

1. Melden Sie sich bei dem Computer, auf dem Sie das Zertifikat installiert haben, mit einem Konto an, das Mitglied der Verwaltungsgruppe ist.













Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2008-Zertifizierungsstelle in Operations Manager 2007Mit den Verfahren in diesem Thema können Sie ein Zertifikat von einem eigenständigen Windows Server 2008-basierten Computer abrufen, der zum Hosten der Active Directory-Zertifikatdienste (AD CS) verwendet wird. Verwenden Sie das Befehlszeilendienstprogramm CertReq, um ein Zertifikat anzufordern und zu akzeptieren, und eine Weboberfläche, um das Zertifikat zu übermitteln sowie abzurufen.

So importieren Sie das Zertifikat mithilfe von MOMCertImport in Operations Manager

59

Es wird davon ausgegangen, dass AD CS installiert ist, eine HTTPS-Bindung verwendet wird und das zugehörige Zertifikat installiert wurde. Informationen zum Erstellen einer HTTPS-Bindung finden Sie unter dem Thema Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle.

Wichtig Der Inhalt dieses Themas bezieht sich auf die Standardeinstellungen für Windows Server 2008 AD CS; dies umfasst beispielsweise die Einstellung der Schlüssellänge auf 2048, die Auswahl von Microsoft Software Key Storage Provider als CSP sowie die Verwendung des Secure-Hash-Algorithmus (SHA-1). Werten Sie diese Auswahl im Hinblick auf die Anforderungen der Sicherheitsrichtlinien Ihres Unternehmens aus.

Die allgemeine Vorgehensweise für das Abrufen eines Zertifikats von einer eigenständigen Zertifizierungsstelle ist wie folgt:

1. Laden Sie das vertrauenswürdige Stammzertifikat einer Zertifizierungsstelle herunter.

2. Importieren Sie das vertrauenswürdige Stammzertifikat.

3. Erstellen Sie eine Setupinformationsdatei für die Verwendung mit dem Befehlszeilendienstprogramm CertReq.

4. Erstellen Sie eine Anforderungsdatei.

5. Reichen Sie mithilfe der Anforderungsdatei eine Anforderung an die Zertifizierungsstelle ein.

6. Genehmigen Sie die ausstehende Zertifikatanforderung.

7. Rufen Sie das Zertifikat von der Zertifizierungsstelle ab.

8. Importieren Sie das Zertifikat in den Zertifikatspeicher.

9. Importieren Sie das Zertifikat mithilfe von MOMCertImport in Operations Manager.









60







7. Vergewissern Sie sich, dass im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen.










2. Geben Sie im Dialogfeld Ausführen Notepad ein, und klicken Sie dann auf OK.

3. Erstellen Sie eine Textdatei mit dem folgenden Inhalt:

[NewRequest]Subject="CN=<FQDN des Computers, für den Sie das Zertifikat erstellen (z. B. Gatewayserver oder Verwaltungsserver).>"

So erstellen Sie eine Setupinformationsdatei (.inf)

61

Exportable=TRUEKeyLength=2048KeySpec=1KeyUsage=0xf0MachineKeySet=TRUE[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1OID=1.3.6.1.5.5.7.3.2

4. Speichern Sie die Datei mit der Dateinamenerweiterung .inf (z. B. RequestConfig.inf).5. Schließen Sie Microsoft Editor.



3. Geben Sie im Befehlsfenster CertReq –New –f RequestConfig.inf CertRequest.reqein, und drücken Sie dann die EINGABETASTE.

4. Öffnen Sie die so entstandene Datei (z. B. CertRequest.req) mit Microsoft Editor. Kopieren Sie den Inhalt dieser Datei in die Zwischenablage.

1. Öffnen Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie ein Zertifikat anfordern möchten, Internet Explorer, und stellen Sie dann eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. https://<Servername>/certsrv).

Hinweis Wurde auf der Zertifikatdienste-Website keine HTTPS-Bindung konfiguriert, kann der Browser keine Verbindung herstellen. Siehe hierzu das Thema Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-Zertifizierungsstelle in diesem Handbuch.

2. Klicken Sie auf der Seite Willkommen der Active Directory-Zertifikatdienste auf Zertifikat anfordern.


4. Klicken Sie auf der Seite Erweiterte Zertifikatanforderung auf Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet, oder eine Erneuerungsanforderung, die eine Base64-codierte PKCS7-Datei verwendet, ein.

5. Fügen Sie auf der Seite Zertifikat- oder Erneuerungsanforderung einreichen im Textfeld Gespeicherte Anforderung den Inhalt der Datei CertRequest.req ein, die Sie

So erstellen Sie eine Anforderungsdatei für die Verwendung mit einer eigenständigen Zertifizierungsstelle

So reichen Sie eine Anforderung an eine eigenständige Zertifizierungsstelle ein

62

in Schritt 4 des vorangehenden Verfahrens kopiert haben, und klicken Sie dann auf Absenden.


1. Melden Sie sich als Administrator der Zertifizierungsstelle beim AD CS-Hostcomputer (Active Directory-Zertifikatdienste) an.

2. Klicken Sie auf dem Windows-Desktop auf Start > Programme > Verwaltung > Zertifizierungsstelle.

3. Erweitern Sie in Zertifizierungsstelle den Knoten für den Namen Ihrer Zertifizierungsstelle, und klicken Sie dann auf Ausstehende Anforderungen.

4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf die ausstehende Anforderung des vorherigen Schritts, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Ausstellen.

5. Klicken Sie auf Ausgestellte Zertifikate, und vergewissern Sie sich, dass das gerade ausgestellte Zertifikat aufgeführt wird.

6. Schließen Sie Zertifizierungsstelle.


2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung zum Hostcomputer der Zertifikatdienste her (z. B. http://<Servername>/certsrv).

3. Klicken Sie auf der Seite Willkommen der Active Directory-Zertifikatdienste auf Status ausstehender Zertifikatanforderungen anzeigen.

4. Klicken Sie auf der Seite Status ausstehender Zertifikatanforderungen anzeigen auf das angeforderte Zertifikat.

5. Wählen Sie auf der Seite Zertifikat wurde ausgestellt die Option Base-64-codiert aus, und klicken Sie dann auf Download des Zertifikats.

6. Klicken Sie im Dialogfeld Dateidownload - Sicherheitswarnung auf Speichern, und speichern Sie das Zertifikat (z. B. unter dem Namen NeuesZertifikat.cer).

7. Wenn auf der Seite Zertifikat wurde installiert die Meldung Das neue Zertifikat wurde installiert angezeigt wird, können Sie den Browser schließen.


1. Klicken Sie auf dem Hostcomputer der Operations Manager-Komponente, für die Sie das Zertifikat konfigurieren möchten, auf Start und dann auf Ausführen.


So genehmigen Sie die ausstehende Zertifikatanforderung

So rufen Sie das Zertifikat ab

So importieren Sie das Zertifikat in den Zertifikatspeicher

63

3. Geben Sie im Befehlsfenster CertReq –Accept NewCertifiate.cerein, und drücken Sie dann die EINGABETASTE.

1. Melden Sie sich bei dem Computer, auf dem Sie das Zertifikat installiert haben, mit einem Konto an, das Mitglied der Verwaltungsgruppe ist.













Entfernen von mit MOMCertImport importierten Zertifikaten in Operations Manager 2007Mit dem folgenden Verfahren entfernen Sie Zertifikate, die zuvor mithilfe des MOMCertImport-Tools importiert wurden.


So importieren Sie das Zertifikat mithilfe von MOMCertImport in Operations Manager

So entfernen Sie mithilfe des MOMCertImport-Tools importierte Zertifikate

64







MOMCertImport /Removeein, und drücken Sie dann die EINGABETASTE.




Ändern des ausführenden Kontos, das einem ausführenden Profil zugeordnet istStandardmäßig ist den nachfolgenden ausführenden Profilen ein ausführendes Konto zugeordnet.

Data Warehouse-Konto

Data Warehouse-Konfigurationssynchronisierungs-Readerkonto




Beispiel: Dem ausführenden Profil "Data Warehouse-SQL Server-Authentifizierungskonto" ist das ausführende Konto "Data Warehouse-SQL Server-Authentifizierungskonto" zugeordnet. In diesem Beispiel können Sie mit dem folgenden Verfahren das ausführende Konto ändern, das dem ausführenden Profil "Data Warehouse-SQL Server-Authentifizierungskonto" zugeordnet ist. Hierbei wird davon ausgegangen, dass das neue ausführende Konto, das Sie diesem ausführenden Profil zuordnen möchten, bereits erstellt wurde. Weitere Informationen zu ausführenden Konten und ausführenden Profilen finden Sie unter dem Thema How to Administer Security Roles, Accounts, and Profiles in Operations Manager 2007 (Verwalten von Sicherheitsrollen, Konten und Profilen in Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=88131, möglicherweise in englischer Sprache).

65





2. Klicken Sie in der Betriebskonsole auf die Schaltfläche Verwaltung.


3. Erweitern Sie im Verwaltungsbereich das Element Verwaltung und anschließend Sicherheit, und klicken Sie dann auf Ausführende Profile.

4. Klicken Sie im Bereich Ausführende Profile mit der rechten Maustaste auf Data Warehouse-SQL Server-Authentifizierungskonto, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie im Dialogfeld Ausführendes Profil - Data Warehouse SQL Server-Authentifizierungskonto auf die Registerkarte Ausführende Konten.

6. Klicken Sie unter Ausführende Konten auf den Zielcomputer, und klicken Sie dann auf Bearbeiten.

7. Klicken Sie im Dialogfeld Alternatives ausführendes Konto bearbeiten auf die Liste Ausführendes Konto, wählen Sie das neue ausführende Konto, das Sie diesem ausführenden Profil zuweisen möchten, und klicken Sie dann auf OK.

8. Klicken Sie im Dialogfeld Ausführendes Profil - Data Warehouse SQL Server-Authentifizierungskonto auf OK.

Konfigurieren einer HTTPS-Bindung für eine Windows Server 2008-ZertifizierungsstelleWenn Sie eine neue Zertifizierungsstelle erstmalig für die Verwendung mit Operations Manager 2007 einrichten, müssen Sie mit dem nachfolgenden Verfahren eine HTTPS-Bindung für diese Zertifizierungsstelle konfigurieren.

1. Klicken Sie auf dem Hostcomputer der Zertifizierungsstelle auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

2. Erweitern Sie im Dialogfeld Internetinformationsdienste-Manager im Bereich

So ändern Sie das ausführende Konto, das einem ausführenden Profil zugeordnet ist

So konfigurieren Sie eine HTTPS-Bindung

66

Verbindungen Ihren Computernamen, erweitern Sie Sites (Standorte), und klicken Sie dann auf Standardwebsite.

3. Klicken Sie im Bereich Aktionen auf Bindungen.

4. Klicken Sie im Dialogfeld Websitebindungen auf Hinzufügen.

5. Wählen Sie im Dialogfeld Sitebindung hinzufügen im Menü Typ die Option https aus.

6. Wählen Sie in der Liste SSL-Zertifikat den Eintrag aus, der mit dem Namen Ihres Computers übereinstimmt, und klicken Sie dann auf OK.

7. Klicken Sie im Dialogfeld Websitebindungen auf Schließen.

8. Klicken Sie im Bereich Verbindungen unter Standardwebsite auf CertSrv.

9. Klicken Sie im Bereich /CertSrv Home mit der rechten Maustaste auf SSL-Einstellungen, und klicken Sie dann auf Feature öffnen.

10. Klicken Sie im Bereich SSL-Einstellungen auf SSL erforderlich, und klicken Sie dann auf 128-Bit-SSL erforderlich.

11. Klicken Sie im Bereich Aktionen auf Übernehmen, und schließen Sie dann den Internetinformationsdienste-Manager.

Authentifizierung und Datenverschlüsselung für UNIX- und Linux-BetriebssystemeMit Operations Manager 2007 R2 können Sie Agents für UNIX- oder Linux-basierte Computer bereitstellen. In einer solchen Umgebung steht die Kerberos-Authentifizierung nicht zur Verfügung. Aus diesem Grund werden Zertifikate zwischen dem Verwaltungsserver und den UNIX- oder Linux-basierten Computern verwendet. In diesem Szenario werden die Zertifikate von Verwaltungsserver selbst signiert. (Es ist zwar auch möglich, Zertifikate von Drittanbietern zu verwenden; dies ist aber nicht erforderlich.)

Es gibt zwei Methoden, wie Sie Agents bereitstellen können. Sie können den Ermittlungs-Assistenten verwenden, oder Sie können einen Agent manuell installieren. Von diesen beiden Methoden ist die manuelle Agentinstallation die sicherere Option. Wenn Sie den Ermittlungs-Assistenten verwenden, um Agents mithilfe von Push auf einen UNIX- oder Linux-basierten Computer zu übertragen, vertrauen Sie darauf, dass der Computer, auf dem Sie die Agents bereitstellen, wirklich der vermutete Computer ist. Wenn Sie den Ermittlungs-Assistenten für die Agentbereitstellung verwenden, ist dies mit einem größeren Risiko verbunden als wenn Sie die Agents auf Computern im öffentlichen Netzwerk oder in einem Umkreisnetzwerk bereitstellen. In diesem Abschnitt des Sicherheitshandbuchs wird erläutert, wie Sie einen Agent manuell auf einem UNIX- oder Linux-basierten Computern bereitstellen können.

Wenn Sie den Ermittlungs-Assistenten verwenden, um einen Agent bereitzustellen, führt dieser die folgenden Funktionen aus:

67

Bereitstellung Der Ermittlungs-Assistent kopiert das Agentpaket auf den UNIX- oder Linux-basierten Computer und startet dann den Installationsprozess.

Zertifikatsignierung Operations Manager ruft das Zertifikat vom Agent ab, signiert das Zertifikat, stellt das Zertifikat wieder für den Agent bereit und startet dann den Agent neu.

Ermittlung Der Ermittlungs-Assistent ermittelt den Computer und prüft, ob das Zertifikat gültig ist. Wenn der Ermittlungs-Assistent feststellt, dass der Computer ermittelt werden kann und das Zertifikat gültig ist, nimmt er den neu ermittelten Computer in die Operations Manager-Datenbank auf.

Wenn Sie einen Agent manuell bereitstellen, führen Sie die ersten beiden Schritte, die sonst der Ermittlungs-Assistent übernimmt, selbst aus: Bereitstellung und Zertifikatsignierung. Anschließend verwenden Sie den Ermittlungs-Assistenten, um den Computer in die Operations Manager-Datenbank aufzunehmen.

Wenn bereits Zertifikate auf dem System existieren, werden diese Zertifikate im Rahmen der Agentinstallation wiederverwendet. Es werden keine neuen Zertifikate erstellt. Zertifikate werden nicht automatisch gelöscht, wenn Sie einen Agent deinstallieren. Sie müssen die im Ordner /etc/opt/microsoft/scx/ssl aufgeführten Zertifikate manuell löschen. Um die Zertifikate bei Installation erneut zu generieren, müssen Sie diesen Ordner vor der Agentinstallation entfernen.

Hashwerte für die Agent-Binärdateien finden Sie in diesem Handbuch unter Anhang B – Liste der Hashwerte für UNIX- und Linux-Agents.

Anweisungen zum manuellen Bereitstellen eines Agents finden Sie unter dem Thema "Manually Installing Cross-platform Agents" (Manuelles Installieren plattformübergreifender Agents) im Operations Manager 2007 R2-Betriebshandbuch (http://go.microsoft.com/fwlink/?LinkID=146211, möglicherweise in englischer Sprache). Gehen Sie dann wie nachfolgend beschrieben vor, um die Zertifikate zu installieren.

Überlegungen zu Firewalls unter UNIX und LinuxWenn Sie über eine Firewall auf Ihrem UNIX- oder Linux-basierten Computer verfügen, müssen Sie Port 1270 (eingehend) öffnen. Diese Portnummer ist nicht konfigurierbar. Wenn Sie Agents in einer Umgebung mit niedriger Sicherheitsstufe bereitstellen und den Ermittlungs-Assistenten für das Bereitstellen und Signieren von Zertifikaten verwenden, müssen Sie den SSH-Port öffnen. Die SSH-Portnummer ist konfigurierbar. Standardmäßig verwendet SSH den eingehenden TCP-Port 22.

68


Manuelles Installieren von Zertifikaten für eine plattformübergreifende UnterstützungBevor Sie dieses Verfahren starten, müssen Sie bereits einen Agent manuell installiert haben. Um das Verfahren ausführen zu können, benötigen Sie ein Stammkonto oder ein Konto mit erhöhten Rechten.

1. Suchen Sie auf dem Hostcomputer des UNIX- oder Linux-Betriebssystems die Datei /etc/opt/microsoft/scx/ssl/scx-host-<hostname>.pem, und kopieren oder übertragen Sie diese Datei sicher an einen beliebigen Speicherort auf dem Computer, der zum Hosten von Operations Manager 2007 R2 verwendet wird.

2. Klicken Sie auf dem Hostcomputer von Operations Manager 2007 R2 auf dem Windows-Desktop auf Start, und klicken Sie dann auf Ausführen.

3. Geben Sie im Dialogfeld Ausführen cmdein, und drücken Sie dann die EINGABETASTE.

4. Wechseln Sie zu dem Speicherort, an den Sie scx.pem kopiert haben.

5. Geben Sie den Befehl scxcertconfig -sign scx-host-<Hostname>.pem scx_new.pemein, und drücken Sie dann die EINGABETASTE. Dieser Befehl bewirkt eine Selbstsignierung Ihres Zertifikats (scx-host-<Hostname>.pem) und die anschließende Speicherung des neuen Zertifikats (scx-host-<hostname>_new.pem).

Hinweis Stellen Sie sicher, dass das Operations Manager-Installationsverzeichnis in Ihrer Pfadangabe enthalten ist, oder verwenden Sie den vollqualifizierten Pfad der Datei scxcertconfig.exe.

6. Kopieren oder übertragen Sie die Datei scx_new.pem sicher in den Ordner /etc/opt/microsoft/scx/ssl auf dem Hostcomputer des UNIX- oder Linux-Betriebssystems. Hierdurch wird die ursprüngliche Datei scx-host-<hostname>.pem ersetzt.

7. Starten Sie den Agent neu, indem Sie Folgendes eingeben: sxadmin –restart.

1. Starten Sie auf dem Hostcomputer von Operations Manager 2007 R2 die Operations Manager-Konsole, und klicken Sie dann auf Verwaltung.

2. Klicken Sie im Bereich Verwaltung auf Ermittlungs-Assistent.3. Klicken Sie im Assistenten für die Verwaltung von Computern und Geräten auf der Seite

Ermittlungstyp auf Unix/Linux-Computer, und klicken Sie dann auf Weiter.4. Klicken Sie auf der Seite Ermittlungsmethode auf Hinzufügen.

5. Wählen Sie im Dialogfeld Einrichtung der Ermittlungskriterien im Bereich Ermittlungsbereich die Option DNS-Name aus, und geben Sie dann den

So installieren Sie Zertifikate für eine plattformübergreifende Unterstützung

So ermitteln Sie einen UNIX- oder Linux-Computer mithilfe von Operations Manager 2007 R2

69

vollqualifizierten Domänennamen des UNIX- oder Linux-Computers ein, den Sie hinzufügen möchten.

6. Geben Sie im Bereich Anmeldeinformationen den Benutzernamen und das Kennwort eines gültigen Kontos ein, und klicken Sie dann auf OK.

7. Stellen Sie sicher, dass auf der Seite Ermittlungsmethode die Option Ermittlung auf SSH-Basis aktivieren nicht ausgewählt ist; wählen Sie, sofern erforderlich, den Verwaltungsserver aus, der für das Signieren des Zertifikats verwendet wird, und klicken Sie dann auf Ermitteln.

8. Wählen Sie auf der Seite Computer zur Verwaltung auswählen den Computer aus, und klicken Sie dann auf Weiter.

9. Klicken Sie auf der Seite Zusammenfassung auf Fertig.

Verwenden einer Firewall in Verbindung mit Operations Manager 2007

SicherheitshandbuchIm Microsoft Operations Manager 2007-Sicherheitshandbuch finden Sie wichtige Informationen zu weiterführenden Schutzmaßnahmen für Ihre Operations Manager 2007-Umgebung mithilfe des Sicherheitskonfigurations-Assistenten (SCW). Der Sicherheitskonfigurations-Assistent ist ein Tool zur Angriffsflächenreduzierung für Produkte mit den Betriebssystemen Windows Server 2003 Service Pack 1 (SP1), Windows Server 2003 Service Pack 2 (SP2) und Windows Server 2003 R2.

Neben praktischen Konfigurationsempfehlungen enthält dieses Handbuch auch Informationen zur Aktualisierung gesperrter Agents, der Anpassung von Portnummern, wenn andere Einstellungen als die Standardeinstellungen gewählt wurden, sowie einige Beispiele zu verstärkten Sicherheitsmaßnahmen für Server und Agents. Auch wenn die meisten Serveradministratoren von diesem Handbuch profitieren können, wurde es speziell für Administratoren geschrieben, die für die Sicherheit in Operations Manager 2007-Umgebungen verantwortlich sind. Weitere Informationen finden Sie im System Center Operations Manager 2007 SCW Roles and Security Hardening Guide for Windows Server 2003 (Sicherheitshandbuch zu System Center Operations Manager 2007-SCW-Rollen für Windows Server 2003) (http://go.microsoft.com/fwlink/?LinkId=120136).

Herstellen der Verbindung zum Berichterstattungs-Data Warehouse über eine FirewallIn diesem Abschnitt wird beschrieben, wie Sie Ihre Umgebung für die Platzierung eines Berichterstattungs-Data Warehouse hinter einer Firewall konfigurieren können.

70




Hinweis Eine Trennung von Betriebskonsole, Stammverwaltungsserver, Verwaltungsserver und/oder Berichtsserver, sei es per Firewall oder über eine Vertrauensgrenze hinweg, wird nicht unterstützt.

In Umgebungen, in denen das Berichterstattungs-Data Warehouse durch eine Firewall vom Stammverwaltungs- und vom Berichtsserver getrennt ist, kann die integrierte Windows-Authentifizierung nicht verwendet werden. In diesem Fall müssen Sie die SQL Server-Authentifizierung zu konfigurieren. Die nachfolgenden Abschnitte enthalten Informationen zur Aktivierung der SQL Server-Authentifizierung zwischen dem Stammverwaltungsserver (oder Verwaltungsserver), dem Berichtsserver und dem Berichterstattungs-Data Warehouse (siehe hierzu die nachfolgende Abbildung).

Verwaltungsserver und Berichterstattungs-Data WarehouseDie folgenden Schritte sind zur Aktivierung der SQL Server-Authentifizierung erforderlich:

1. Erstellen Sie auf dem Hostcomputer des Berichterstattungs-Data Warehouse eine SQL-Anmeldung in der entsprechenden Rolle als Lese- und Schreibberechtigter. Die für dieses Konto bereitgestellten Anmeldeinformationen müssen auf dem Computer, auf dem SQL Server ausgeführt wird, zu einem Mitglied der folgenden Rollen in der OperationsManagerDW-Datenbank gemacht werden.

a. OpsMgrWriter

b. db_owner (nur für die Besitzerverwaltungsgruppe in der Datenbank)

2. Erstellen Sie auf dem Hostcomputer des Stammverwaltungsservers ein ausführendes Konto (Typ: "Einfach") mit den Anmeldeinformationen des vorherigen Schritts.

71

3. Ordnen Sie dieses ausführende Konto dem ausführenden Profil mit dem Namen "Data Warehouse-SQL Server-Authentifizierungskonto" zu, und adressieren Sie dieses ausführende Profil auf jeden Verwaltungsserver. Weitere Information finden Sie unter Ändern des ausführenden Kontos, das einem ausführenden Profil zugeordnet ist in diesem Handbuch.

Falls es eine Firewall zwischen dem Verwaltungsserver und dem Berichterstattungs-Data Warehouse gibt, müssen Sie Port 1433 öffnen.

Berichtsserver und Berichterstattungs-Data WarehouseFalls es eine Firewall oder eine Vertrauensgrenze zwischen dem Berichtsserver und dem Berichterstattungs-Data Warehouse gibt, muss eine Punkt-zu-Punkt-Verbindung eingerichtet werden.

Das Konto, das beim Setup für die Berichterstattung als Datenlesekonto angegeben wurde, wird hierbei zum Ausführungskonto auf dem Berichtsserver. Dieses Konto wird auch verwendet, um die Verbindung zum Berichterstattungs-Data Warehouse herzustellen.

Sie müssen die Portnummer des Computers, auf dem SQL Server und das Berichterstattungs-Data Warehouse ausgeführt werden, ermitteln und in die Tabelle dbo.MT_DataWarehouse in der Operations Manager-Datenbank eingeben. Weitere Informationen finden Sie unter Konfigurieren des Berichterstattungs-Data Warehouse für die Überwachung eines bestimmten TCP/IP-Ports in diesem Handbuch.

Berichtsserver und Stammverwaltungsserver sind durch eine Firewall getrenntBei der Installation der Berichterstattung wird möglicherweise die Fehlermeldung Es konnte nicht überprüft werden, ob der aktuelle Benutzer ein Mitglied der sysadmin-Rolle ist angezeigt, wenn der Berichtsserver und der Stammverwaltungsserver durch eine Firewall getrennt sind. Diese Fehlermeldung erscheint u. U. auch dann, wenn die richtigen Firewallports geöffnet wurden. Dieser Fehler tritt nach Eingabe des Computernamens für den Stammverwaltungsserver beim Klicken auf Weiter auf. Die Fehlermeldung erscheint möglicherweise auch, weil beim Setup für die Berichterstattung keine Verbindung zur Operations Manager-Datenbank auf dem Stammverwaltungsserver hergestellt werden konnte. In dieser Umgebung müssen Sie die Portnummer des Computers, auf dem SQL Server ausgeführt wird, ermitteln und dann die Operations Manager-Datenbank für die Verwendung dieser Portnummer konfigurieren. Weitere Informationen finden Sie unter dem Thema Konfigurieren der Operations Manager-Datenbank für die Überwachung eines bestimmten TCP/IP-Ports in diesem Handbuch.

PortzuweisungenIn der folgenden Tabelle ist die Interaktion von Operations Manager 2007-Komponenten über eine Firewall aufgeführt. Zudem enthält sie Informationen über die für die Kommunikation zwischen den Komponenten verwendeten Ports, die Richtung, in die der eingehende Port zu öffnen ist, und darüber, ob die Portnummer geändert werden kann.

72

Operations Manager 2007 SP1-Komponente A

Portnummer und -richtung

Operations Manager 2007 SP1-Komponente B

Konfigurierbar Hinweis

Stammverwaltungsserver

1433 --->

Operations Manager-Datenbank

Ja (Setup)

Verwaltungsserver 1433 --->

Operations Manager-Datenbank

Ja (Setup)

Verwaltungsserver 5723, 5724 --->


Nein Port 5724 muss für die Installation dieser Komponente offen sein und kann nach erfolgter Installation geschlossen werden.

Gatewayserver 5723 --->


Nein


1433 --->

Berichterstattungs-Data Warehouse

Nein

Berichtsserver 5723, 5724 --->


Nein Port 5724 muss für die Installation dieser Komponente offen sein und kann nach erfolgter Installation geschlossen werden.

Betriebskonsole 5724 --->


Nein

Connector Framework-Quelle

51905 --->


Nein

Webkonsolenserver 5724 --->


Nein

Webkonsolenbrowser 51908 --->

Webkonsolenserver Ja (IIS-Verwaltung)

Port 51908 ist der Standardport, der

73





beim Auswählen der Windows-Authentifizierung verwendet wird. Wenn Sie die Formularauthentifizierung auswählen, müssen Sie ein SSL-Zertifikat installieren und einen verfügbaren Port für die HTTPS-Funktionalität der Operations Manager 2007 WebConsole-Website konfigurieren.

Verbundener Stammverwaltungsserver (lokal)

5724 --->

Verbundener Stammverwaltungsserver (verbunden)

Nein

Agent mit MOMAgent.msi installiert

5723 --->


Ja (Setup)


5723 --->

Verwaltungsserver Ja (Setup)


5723 --->

Gatewayserver Ja (Setup)

Gatewayserver 5723 --->

Verwaltungsserver Ja (Setup)

Agent (Weiterleitung der Überwachungssammel

51909 --->

Verwaltungsserver-Überwachungssammeldienste

Ja (Registrierung)

74





dienste)

Clientdaten der Ausnahmenüberwachung ohne Agents

51906 --->

Verwaltungsserver mit Dateifreigabe zur Ausnahmenüberwachung ohne Agents

Ja (Assistent für Clientüberwachung)

Clientdaten des Programms zur Verbesserung der Benutzerfreundlichkeit

51907 --->

Verwaltungsserver (Endpunkt des Programms zur Verbesserung der Benutzerfreundlichkeit)

Ja (Assistent für Clientüberwachung)

Betriebskonsole (Berichte)

80 ---> SQL Reporting Services

Nein Die Betriebskonsole verwendet Port 80, um eine Verbindung zur SQL Reporting Services-Website herzustellen.

Berichtsserver 1433 --->

Berichterstattungs-Data Warehouse

Ja

Verwaltungsserver (Überwachungssammeldienste)

1433 --->

Datenbank der Überwachungssammeldienste

Ja

Konfigurieren der Operations Manager-Datenbank für die Überwachung eines bestimmten TCP/IP-PortsFühren Sie die folgenden Schritte aus, um einen statischen Port für die Operations Manager-Datenbank zu konfigurieren:

Verwenden Sie den SQL Server-Konfigurations-Manager, um die dynamische Portadressierung zu deaktivieren, geben Sie einen statischen Port an, deaktivieren und beenden Sie den SQL Server-Browserdienst, und starten Sie den Dienst SQL Server-<Instanz> neu.

Aktualisieren Sie die Tabelle dbo.MT_ManagementGroup mit der statischen Portnummer.

75

Bearbeiten Sie die Registrierung, um die statische Portnummer auf dem Stammverwaltungsserver zu konfigurieren.

Vorsicht Durch eine fehlerhafte Bearbeitung der Registrierung können schwere Systemschäden verursacht werden. Bevor Änderungen an der Registrierung vorgenommen werden, sollten Sie eine Sicherungskopie aller wichtigen Daten erstellen.

1. Melden Sie sich beim Hostcomputer der Operations Manager-Datenbank an.

2. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme und auf Microsoft SQL Server 2005, zeigen Sie auf Konfigurationstools, und klicken Sie dann auf SQL Server-Konfigurations-Manager.

3. Erweitern Sie im Dialogfeld das Element SQL Server 2005-Netzwerkkonfiguration, und klicken Sie dann auf Protokolle für <INSTANZ>.

4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf TCP/IP, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie im Dialogfeld TCP/IP-Eigenschaften auf die Registerkarte IP-Adressen.

6. Es erscheinen jetzt einige IP-Adressen im Format IP1, IP2 bis IPAll. Eine dieser Adressen steht für die IP-Adresse des Loopbackadapters – 127.0.0.1. Zusätzlich werden weitere IP-Adressen für jede computerseitige IP-Adresse angezeigt. Erweitern Sie IP1, IP2 bis IPAll.

7. Bereiche IPn: Wenn das Dialogfeld Dynamische TCP-Ports den Wert 0 enthält, was darauf hinweist, dass das Datenbankmodul derzeit dynamische Ports überwacht, löschen Sie die 0.

8. Bereich IPAll: Wenn das Feld Dynamische TCP-Ports eine Portnummer enthält (steht für die zugewiesene dynamische Portnummer), löschen Sie diese Portnummer.

9. Bereich IPAll: Geben Sie im Dialogfeld TCP-Port die statische Portnummer ein, die Sie verwenden möchten, und klicken Sie dann auf OK.

10. Klicken Sie im Dialogfeld SQL Server-Konfigurations-Manager auf SQL Server 2005-Dienste.

11. Klicken Sie im Ergebnisbereich SQL Server-Konfigurations-Manager mit der rechten Maustaste auf SQL Server-Browser, und wählen Sie Eigenschaften aus.

12. Klicken Sie im Dialogfeld Eigenschaften des SQL Server-Browsers auf die Registerkarte Dienst.

13. Klicken Sie auf der Registerkarte Dienst auf Startmodus. Klicken Sie in der Liste Startmodus auf Deaktiviert, und klicken Sie dann auf OK.

14. Klicken Sie im Ergebnisbereich SQL Server-Konfigurations-Manager mit der rechten Maustaste auf SQL Server-Browser, und klicken Sie dann auf Beenden.

So konfigurieren Sie die Portnummer der Operations Manager-Datenbank

76

15. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf SQL Server (<Instanzname>), und klicken Sie dann auf Neu starten.

16. Schließen Sie den SQL Server-Konfigurations-Manager.

1. Klicken Sie auf dem Hostcomputer der Operations Manager-Datenbank auf dem Windows-Desktop auf Start, zeigen Sie auf Programme und auf Microsoft SQL Server 2005, und klicken Sie dann auf SQL Server Management Studio.

2. Wählen Sie im Dialogfeld Mit Server verbinden in der Liste Servertyp das Element Datenbankmodul aus.

3. Geben Sie in der Liste Servername den Servernamen, die Instanz und die Portnummer für Ihre Operations Manager-Datenbank ein (z. B. Computer\<Instanz>).

4. Wählen Sie in der Liste Authentifizierung das Element Windows-Authentifizierung aus, und klicken Sie dann auf Verbinden.

5. Erweitern Sie im Bereich Objekt-Explorer den Eintrag Datenbanken, erweitern Sie OperationsManager und dann Tabellen, klicken Sie mit der rechten Maustaste auf dbo.MT_ManagementGroup, und klicken Sie dann auf Tabelle öffnen.

6. Führen Sie im Ergebnisbereich einen Bildlauf nach rechts durch, bis zur Spalte mit dem Titel SQLServerName_<guid>.

7. Geben Sie in der ersten Zeile computer\<Instanz> ein, gefolgt von einem Komma und einem Leerzeichen, und geben Sie dann die SQL Server-Portnummer ein (z. B. computer\INSTANZ1, <Port>).

8. Klicken Sie auf Datei und dann auf Beenden.

1. Melden Sie sich beim Hostcomputer des Stammverwaltungsservers an.

2. Klicken Sie auf dem Windows-Desktop auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

3. Erweitern Sie im Registrierungs-Editor den Schlüssel HKEY_LOCAL_MACHINE und die Elemente SOFTWARE, Microsoft, Microsoft Operations Manager, 3.0, und klicken Sie dann auf Setup.

4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf DatabaseServerName, und klicken Sie dann auf Ändern.

5. Hängen Sie im Dialogfeld Zeichenfolge bearbeiten im Feld Datenwert an den Eintrag für den Namen des Datenbankservers ein Komma und eine Leerstelle an, und geben Sie dann die Portnummer ein. Beispiel: <Computername>\<Instanz>, <Portnummer>.

6. Klicken Sie auf OK.

So geben Sie die SQL Server-Portnummer in die Tabelle "dbo.MT_ManagementGroup" ein

So bearbeiten Sie die Registrierung auf dem Stammverwaltungsserver

77

Konfigurieren des Berichterstattungs-Data Warehouse für die Überwachung eines bestimmten TCP/IP-PortsFühren Sie die folgenden Verfahren aus, um einen statischen Port für das Berichterstattungs-Data Warehouse zu konfigurieren:

Verwenden Sie den SQL Server-Konfigurations-Manager, um die dynamische Portadressierung zu deaktivieren, geben Sie einen statischen Port an, deaktivieren und beenden Sie den SQL Server-Browserdienst, und starten Sie den Dienst SQL Server-<Instanz> neu.

Aktualisieren Sie die Tabelle dbo.MT_ManagementGroup mit der statischen Portnummer.

Aktualisieren Sie die Tabelle dbo.MemberDatabase mit der statischen Portnummer.

Bearbeiten Sie die Registrierung, um die statische Portnummer auf dem Stammverwaltungsserver zu konfigurieren.

Vorsicht Durch eine fehlerhafte Bearbeitung der Registrierung können schwere Systemschäden verursacht werden. Bevor Änderungen an der Registrierung vorgenommen werden, sollten Sie eine Sicherungskopie aller wichtigen Daten erstellen.

Bearbeiten Sie die SQL Server Reporting Services-Einstellungen.

1. Melden Sie sich beim Hostcomputer des Berichterstattungs-Data Warehouse an.

2. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme und auf Microsoft SQL Server 2005, zeigen Sie auf Konfigurationstools, und klicken Sie dann auf SQL Server-Konfigurations-Manager.

3. Erweitern Sie im Dialogfeld das Element SQL Server 2005-Netzwerkkonfiguration, und klicken Sie dann auf Protokolle für <INSTANZ>.

4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf TCP/IP, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie im Dialogfeld TCP/IP-Eigenschaften auf die Registerkarte IP-Adressen.

6. Es erscheinen jetzt einige IP-Adressen im Format IP1, IP2 bis IPAll. Eine dieser Adressen steht für die IP-Adresse des Loopbackadapters – 127.0.0.1. Zusätzlich werden weitere IP-Adressen für jede computerseitige IP-Adresse angezeigt. Erweitern Sie IP1, IP2 bis IPAll.

7. Bereiche IPn: Wenn das Dialogfeld Dynamische TCP-Ports den Wert 0 enthält, was darauf hinweist, dass das Datenbankmodul derzeit dynamische Ports überwacht, löschen Sie die 0.

8. Bereich IPAll: Wenn das Feld Dynamische TCP-Ports eine Portnummer enthält (steht für die zugewiesene dynamische Portnummer), löschen Sie diese Portnummer.

9. Bereich IPAll: Geben Sie im Dialogfeld TCP-Port die statische Portnummer ein, die Sie

So konfigurieren Sie die Portnummer der Operations Manager-Datenbank

78

verwenden möchten, und klicken Sie dann auf OK.

10. Klicken Sie im Dialogfeld SQL Server-Konfigurations-Manager auf SQL Server 2005-Dienste.

11. Klicken Sie im Ergebnisbereich SQL Server-Konfigurations-Manager mit der rechten Maustaste auf SQL Server-Browser, und wählen Sie Eigenschaften aus.

12. Klicken Sie im Dialogfeld Eigenschaften des SQL Server-Browsers auf die Registerkarte Dienst.

13. Klicken Sie auf der Registerkarte Dienst auf Startmodus. Klicken Sie in der Liste Startmodus auf Deaktiviert, und klicken Sie dann auf OK.

14. Klicken Sie im Ergebnisbereich SQL Server-Konfigurations-Manager mit der rechten Maustaste auf SQL Server-Browser, und klicken Sie dann auf Beenden.

15. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf SQL Server (<Instanzname>), und klicken Sie dann auf Neu starten.

16. Schließen Sie den SQL Server-Konfigurations-Manager.

1. Klicken Sie auf dem Hostcomputer der Operations Manager-Datenbank auf dem Windows-Desktop auf Start, zeigen Sie auf Programme und auf Microsoft SQL Server 2005, und klicken Sie dann auf SQL Server Management Studio.


3. Geben Sie in der Liste Servername den Server und die Instanz für Ihre Operations Manager-Datenbank ein (z. B. Computer\INSTANZ1).


5. Erweitern Sie im Bereich Objekt-Explorer den Eintrag Datenbanken, erweitern Sie OperationsManager und dann Tabellen, klicken Sie mit der rechten Maustaste auf dbo.MT_DataWarehouse, und klicken Sie dann auf Tabelle öffnen.

6. Führen Sie im Ergebnisbereich einen Bildlauf nach rechts durch, bis zur Spalte mit dem Titel MainDatabaseServerName_<guid>.

7. Geben Sie in der ersten Zeile computer\<Instanz> ein, gefolgt von einem Komma und einem Leerzeichen, und geben Sie dann die SQL Server-Portnummer ein (z. B. computer\<Instanz>, <Port>).


1. Klicken Sie auf dem Hostcomputer des Berichterstattungs-Data Warehouse auf dem Windows-Desktop auf Start, zeigen Sie auf Programme und auf Microsoft

So geben Sie die SQL Server-Portnummer in die Tabelle "dbo.MT_ManagementGroup" ein

So geben Sie die SQL Server-Portnummer in die Tabelle "dbo.MemberDatabase" ein

79

SQL Server 2005, und klicken Sie dann auf SQL Server Management Studio.


3. Geben Sie in der Liste Servername den Server und die Instanz für Ihre Operations Manager-Datenbank ein (z. B. computer\<Instanz>).


5. Erweitern Sie im Bereich Objekt-Explorer den Eintrag Datenbanken, erweitern Sie OperationsManagerDW und dann Tabellen, klicken Sie mit der rechten Maustaste auf dbo.MemberDatabase, und klicken Sie dann auf Tabelle öffnen.

6. Führen Sie im Ergebnisbereich einen Bildlauf nach rechts durch, bis zur Spalte mit dem Titel ServerName.

7. Geben Sie in der ersten Zeile computer\<Instanz> ein, gefolgt von einem Komma und einem Leerzeichen, und geben Sie dann die SQL Server-Portnummer ein (z. B. computer\<Instanz>, <Port>).



2. Klicken Sie auf dem Windows-Desktop auf Start und auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

3. Erweitern Sie im Registrierungs-Editor den Schlüssel HKEY_LOCAL_MACHINE und die Elemente SOFTWARE, Microsoft, Microsoft Operations Manager, 3.0, und klicken Sie dann auf Berichterstattung.

4. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf DWDBInstance, und klicken Sie dann auf Ändern.

5. Hängen Sie im Dialogfeld Zeichenfolge bearbeiten im Feld Datenwert an den Eintrag für den Namen des Datenbankservers ein Komma und eine Leerstelle an, und geben Sie dann die Portnummer ein. Beispiel: <Computername>\<Instanz>, <Portnummer>.

6. Klicken Sie auf OK.


2. Öffnen Sie Internet Explorer, und stellen Sie eine Verbindung zu http://<Computername>/Berichte$<Instanzname> her.

3. Klicken Sie auf die Registerkarte Inhalt.4. Klicken Sie auf der rechten Seite der Symbolleiste auf Details anzeigen.

5. Klicken Sie auf Data Warehouse Main.

6. Suchen Sie im Textfeld Verbindungszeichenfolge die Zeile mit dem Text

So bearbeiten Sie die Registrierung auf dem Berichtsserver

So bearbeiten Sie SQL Server Reporting Services

80

source=<Computer>\<Instanz>;initial.7. Hängen Sie an den Instanznamen ein Komma und eine Leerstelle an, und geben Sie

dann die statische Portnummer ein. Beispiel: source=<Computer>\<Instanz>, <Port>;initial.

8. Klicken Sie auf Übernehmen, und schließen Sie dann den Browser.

Verwenden von Zertifikaten mit ACS in Operations Manager 2007Wenn sich die ACS-Weiterleitung (Überwachungssammeldienst) in einer anderen Domäne als die ACS-Sammlung befindet und keine bidirektionale Vertrauensstellung zwischen diesen beiden Domänen besteht, müssen Zertifikate verwendet werden, damit eine Authentifizierung zwischen der ACS-Weiterleitung und der ACS-Sammlung erfolgen kann.

Es wird davon ausgegangen, dass auf dem Hostcomputer der ACS-Weiterleitung die folgenden Ereignisse bereits stattgefunden haben, bevor Zertifikate für ACS eingerichtet werden:

Auf dem Computer, der für die ACS-Weiterleitung verwendet werden soll, ist bereits ein Agent installiert. Weitere Informationen finden Sie unter dem Thema Bereitstellen des Operations Manager 2007-Agents über den Setup-Assistenten (http://go.microsoft.com/fwlink/?LinkId=91128, möglicherweise in englischer Sprache).

Auf dem Hostcomputer des Agents wurde bereits ein Zertifikat (Zertifizierungsstellenzertifikat [CA]) installiert. Weitere Informationen finden Sie unter dem Thema Zertifikate in Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=91129, möglicherweise in englischer Sprache).

Im Hinblick auf den Hostcomputer der ACS-Sammlung wird davon ausgegangen, dass die nachfolgenden Maßnahmen bereits getroffen wurden, bevor Zertifikate für ACS eingerichtet werden:

Auf dem Verwaltungsserver, der zum Hosten der ACS-Sammlung verwendet wird, wurde ein Zertifikat (Zertifizierungsstellenzertifikat) installiert. Weitere Informationen finden Sie unter dem Thema Zertifikate in Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=91129, möglicherweise in englischer Sprache).

Der ausstehende Agent wurde genehmigt, und die Kommunikation zwischen dem Agent und dem Verwaltungsserver funktioniert ordnungsgemäß (der Agent erscheint in der Operations Manager-Konsole mit dem Status Fehlerfrei, und für den Agent wurden Management Packs bereitgestellt). Weitere Informationen finden Sie unter dem Thema Genehmigen eines für eine Verwaltungsgruppe installierten Operations Manager 2007-Agents mit MOMAgent.msi (http://go.microsoft.com/fwlink/?LinkId=91130, möglicherweise in englischer Sprache).

Die ACS-Sammlung und die ACS-Datenbank sind bereits installiert. Weitere Informationen finden Sie unter dem Thema Installieren von ACS-Sammlungen und -Datenbanken (http://go.microsoft.com/fwlink/?LinkId=91142, möglicherweise in englischer Sprache).

81









Es folgt ein allgemeiner Überblick über die erforderlichen Schritte zur Verwendung von Zertifikaten mit ACS.

Hinweis Zertifikate, die für unterschiedliche Komponenten in Operations Manager 2007 (z. B. ACS-Sammlung, ACS-Weiterleitung, Agent, Gatewayserver, Verwaltungsserver oder Stammverwaltungsserver) verwendet werden, müssen von derselben Zertifizierungsstelle ausgegeben werden.

Auf dem Hostcomputer der ACS-Sammlung:

Führen Sie ADTServer -c aus.

Ordnen Sie das ACS-Weiterleitungszertifikat in Active Directory zu.

Aktivieren Sie ACS in der Operations Manager-Konsole.

Auf dem Hostcomputer der ACS-Weiterleitung:

Exportieren Sie das Zertifikat auf einen Datenträger, ein USB-Flashlaufwerk oder eine Netzwerkfreigabe.

Führen Sie ADTAgent -c aus.

Siehe auchKonfigurieren von Zertifikaten in der ACS-Sammlung in Operations Manager 2007

Konfigurieren von Zertifikaten in der ACS-Weiterleitung in Operations Manager 2007

Konfigurieren von Zertifikaten in der ACS-Sammlung in Operations Manager 2007Führen Sie nach der Installation von Zertifikaten zwischen dem Agent und dem Verwaltungsserver sowie der Bereitstellung von ACS die folgenden Verfahren auf den Hostcomputern der ACS-Sammlung aus, um ACS für die Verwendung von Zertifikaten zu konfigurieren.

Hinweis Nachdem Sie diese Verfahren ausgeführt haben, müssen Sie die ACS-Weiterleitungen aktivieren. Weitere Informationen finden Sie unter dem Thema How to Enable ACS Forwarders in Operations Manager 2007 (Aktivieren von ACS-Weiterleitungen in Operations Manager 2007) (http://go.microsoft.com/fwlink/?LinkId=91143, möglicherweise in englischer Sprache).



3. Geben Sie an der Eingabeaufforderung Folgendes ein: <Laufwerkbuchstabe>: (wobei <Laufwerkbuchstabe> für das Laufwerk steht, auf dem das Betriebssystem installiert ist),

So weisen Sie der ACS-Sammlung ein Zertifikat zu

82




und drücken Sie dann die EINGABETASTE.

4. Geben Sie cd %systemroot% ein, und drücken Sie dann die EINGABETASTE.

5. Geben Sie cd system32\security\adtserver ein, und drücken Sie dann die EINGABETASTE.

6. Geben Sie net stop adtserver ein, und drücken Sie dann die EINGABETASTE.

7. Geben Sie adtserver -c ein, und drücken Sie dann die EINGABETASTE.

8. Suchen Sie in der nummerierten Liste mit Zertifikaten nach dem Zertifikat für Operations Manager, geben Sie die Nummer in der Liste ein (i. d. R. 1), und drücken Sie dann die EINGABETASTE.

9. Geben Sie net start adtserver ein, und drücken Sie dann die EINGABETASTE.

1. Melden Sie sich beim Hostcomputer für Active Directory an.

2. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer.

3. Erweitern Sie den Domänennamen, klicken Sie mit der rechten Maustaste auf Computer, zeigen Sie auf Neu, und klicken Sie dann auf Computer.

4. Geben Sie im Dialogfeld Neues Objekt - Computer den NetBIOS-Namen des Hostcomputers der ACS-Weiterleitung ein, und klicken Sie dann auf Weiter. Wiederholen Sie diesen Schritt für jeden Computer, der zum Hosten einer ACS-Weiterleitung verwendet wird.

5. Vergewissern Sie sich, dass im Dialogfeld Verwaltet die Option Verwalteter Computer nicht ausgewählt ist, und klicken Sie dann auf Weiter.

6. Klicken Sie im Dialogfeld Neues Objekt - Computer auf Fertig stellen.

7. Klicken Sie unter Active Directory-Computer und -Benutzer im rechten Bereich mit der rechten Maustaste auf den (bzw. die) hinzugefügten Computer, und klicken Sie dann auf Namenszuordnungen.

8. Klicke Sie im Dialogfeld Sicherheitsidentitätszuordnung auf X.509-Zertifikate, und klicken Sie dann auf Hinzufügen.

9. Klicken Sie im Dialogfeld Zertifikat hinzufügen auf das Menü Suchen in, wählen Sie den Speicherort aus, an dem sich das exportierte Zertifikat befindet, und klicken Sie dann auf Öffnen.

10. Stellen Sie im Dialogfeld Zertifikat hinzufügen sicher, dass Antragsteller für alternative Sicherheitsidentität ausgewählt ist, und klicken Sie dann auf OK.

11. Klicken Sie im Dialogfeld Sicherheitsidentitätszuordnung auf OK.

12. Wiederholen Sie die Schritte 4–11 für jeden hinzugefügten Computer.

So konfigurieren Sie eine benannte Zuordnung zum Zertifikat

83

Siehe auchVerwenden von Zertifikaten mit ACS in Operations Manager 2007

Konfigurieren von Zertifikaten in der ACS-Weiterleitung in Operations Manager 2007

Konfigurieren von Zertifikaten in der ACS-Weiterleitung in Operations Manager 2007Führen Sie nach der Installation von Zertifikaten zwischen dem Agent und dem Verwaltungsserver sowie der Bereitstellung von ACS die folgenden Verfahren auf den Hostcomputern der ACS-Weiterleitung aus, um ACS für die Verwendung von Zertifikaten zu konfigurieren.



3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.




7. Wählen Sie im Dialogfeld Computer auswählen die Option Lokaler Computer (Computer, auf dem diese Konsole ausgeführt wird) aus, und klicken Sie dann auf Fertig stellen.



10. Erweitern Sie unter Konsolenstamm\Zertifikate (Lokaler Computer) das Element Zertifikate (Lokaler Computer), erweitern Sie Persönlich, und klicken Sie dann auf Zertifikate.

11. Klicken Sie im Ergebnisbereich mit der rechten Maustaste auf das Zertifikat, das Sie für Operations Manager verwenden, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Exportieren.

12. Klicken Sie im Zertifikatexport-Assistenten auf der Seite Willkommen auf Weiter.13. Wählen Sie auf der Seite Privaten Schlüssel exportieren die Option Nein, privaten

Schlüssel nicht exportieren aus, und klicken Sie dann auf Weiter.14. Wählen Sie auf der Seite Format der zu exportierenden Datei die Option DER-codiert-

binär X.509 (.CER) aus, und klicken Sie dann auf Weiter.15. Klicken Sie auf der Seite Zu exportierende Datei auf Durchsuchen.

16. Wählen Sie auf der Seite Speichern unter einen Ordner und einen Dateinamen für das Zertifikat, stellen Sie sicher, dass als Speichertyp die Einstellung DER-codiertes

So exportieren Sie das Zertifikat

84

binäres X.509 (*.cer) ausgewählt ist, und klicken Sie dann auf Speichern.

Hinweis Sie müssen dieses Zertifikat auf den Hostcomputer der ACS-Sammlung kopieren. Wählen Sie daher einen Speicherort, der von der ACS-Sammlung gelesen werden kann. Eine weitere Möglichkeit besteht darin, das Zertifikat auf einem Datenträger, USB-Flashlaufwerk oder einer Netzwerkfreigabe zu speichern. Darüber hinaus wird empfohlen, dass Sie den Computernamen in den Dateinamen aufnehmen, wenn Sie Zertifikate von mehr als einem Computer exportieren.

17. Vergewissern Sie sich auf der Seite Zu exportierende Datei, dass der Pfad- und der Dateiname korrekt sind, klicken Sie auf Weiter und dann auf Fertig stellen.



3. Geben Sie an der Eingabeaufforderung Folgendes ein: <Laufwerkbuchstabe>: (wobei <Laufwerkbuchstabe> für das Laufwerk steht, auf dem das Betriebssystem installiert ist), und drücken Sie dann die EINGABETASTE.

4. Geben Sie cd %systemroot% ein, und drücken Sie dann die EINGABETASTE.

5. Geben Sie cd system32 ein, und drücken Sie dann die EINGABETASTE.

6. Geben Sie adtagent -c ein, und drücken Sie dann die EINGABETASTE.

7. Eine nummerierte Liste mit Zertifikaten wird angezeigt. Suchen Sie nach dem Zertifikat für Operations Manager, geben Sie die Nummer in der Liste ein (i. d. R. 1), und drücken Sie dann die EINGABETASTE.

8. Geben Sie exit ein, um das das Befehlsfenster zu schließen.

Siehe auchKonfigurieren von Zertifikaten in der ACS-Sammlung in Operations Manager 2007

Verwenden von Zertifikaten mit ACS in Operations Manager 2007

Sicherheitsüberlegungen für die Verwaltung ohne Agent in Operations Manager 2007Bei der Verwaltung ohne Agent können Sie Computer überwachen, ohne auf diesen einen Agent zu installieren. So können Sie beispielsweise die Verwaltung ohne Agent für Computer verwenden, die sich in speziellen Umgebungen befinden, in denen eine Agentinstallation nicht möglich ist.

So führen Sie den Befehl "adtagent" aus

85

Der Verwaltungsserver kommuniziert mit dem ohne Agent verwalteten Computer über den RPC-Port (TCP 135) sowie den DCOM-Portbereich, d. h., die Computerverwaltung ohne Agent außerhalb einer Firewall wird nicht unterstützt.

Um die Verwaltung ohne Agent verwenden zu können, muss das Aktionskonto des Verwaltungsservers auch ein lokaler Administrator auf dem Remotecomputer sein und sich in derselben Domäne befinden, oder es muss eine Vertrauensstellung zwischen den jeweiligen Domänen bestehen. So kann beispielsweise ein als Konto mit geringen Rechten ausgeführter Agent-Proxy nicht auf den WMI-Namespace zugreifen, und somit können keine Regeln, Skripte und Monitore ausgeführt werden.

Webkonsolensicherheit in Operations Manager 2007Der Webkonsolenserver bietet eine browserbasierte Alternative zum Überwachungsbereich der Operations Manager 2007-Betriebskonsole. Der Webkonsolenserver wird in der Regel verwendet, um folgendermaßen auf die Überwachungsdaten der Operations Manager 2007-Verwaltungsgruppe zuzugreifen:

Über das Internet

Ohne Installation der Betriebskonsole

Von einem Standort aus, an dem nur ein Anschluss mit geringer Bandbreite zur Verfügung steht

Wenn Benachrichtigungen mit Hyperlinks konfiguriert wurden, die auf die betreffenden Warnungen in der Webkonsole verweisen

Bei Installation der Webkonsole wird neben einer neuen Website ein neuer Anwendungspool in den Internetinformationsdiensten (IIS) installiert. Die neue Website hat den Namen Operations Manager 2007-Webkonsole, und der neue Anwendungspool heißt OPWebConsoleApp. Der Standardport für den Zugriff auf die Webkonsole über einen Browser mithilfe der Windows-basierten Authentifizierung ist 51908.

Während der Installation der Webkonsole werden Sie aufgefordert, die Windows-Authentifizierung oder die Formular-Authentifizierung auszuwählen. Für die Windows-Authentifizierung wird die Verwendung von SSL dringend empfohlen. In Verbindung mit der Formular-Authentifizierung ist SSL obligatorisch.

Die Windows-Authentifizierung kann verwendet werden, wenn alle Benutzer über das Intranet auf Operations Manager zugreifen.

Hinweis Bei Auswahl der Windows-Authentifizierung muss der Webkonsolenserver auf dem Stammverwaltungsserver installiert werden.

Wenn Ihre Benutzer über das Internet auf die Webkonsole zugreifen, wählen Sie Formular-Authentifizierung verwenden aus.

86

Hinweis Ein bewährtes Verfahren für den Webkonsolenzugriff über das Internet ist die formularbasierte Authentifizierung mit SSL.

Sowohl bei der formularbasierten als auch bei der Windows-Authentifizierung müssen die von Ihnen bereitgestellten Anmeldeinformationen Mitglied einer Benutzerrolle in Operations Manager 2007 sein.

Verfügbarmachen der Webkonsole im InternetEin bewährtes Verfahren für die Implementierung des Internetzugriffs auf die Webkonsole besteht darin, den Webkonsolenserver in ein Umkreisnetzwerk mit Internetanbindung zu integrieren. Konfigurieren Sie die Webkonsole für die Verwendung der formularbasierten Authentifizierung, und installieren Sie ein SSL/TLS-Zertifikat in IIS. Sie müssen den Port 5724 zwischen dem Webkonsolenserver und Operations Manager 2007 öffnen. Der Kanal zwischen dem Webkonsolenserver und dem Stammverwaltungsserver ist verschlüsselt.

Weitere Informationen finden Sie im Knowledge Base-Artikel Wie Implementieren von SSL in II (http://go.microsoft.com/fwlink/?LinkId=87862).

Anhang A – Liste der Vorgänge in Operations Manager 2007Dieser Anhang enthält eine Liste der Vorgänge, die in Operations Manager 2007 für die einzelnen Profile verfügbar sind.

Bericht-OperatorDas Profil "Bericht-Operator" enthält einen Berechtigungssatz für Benutzer, die auf Berichte zugreifen müssen. Mit der auf dem Profil "Bericht-Operator" basierenden Rolle können Mitglieder entsprechend ihres konfigurierten Bereichs Berichte anzeigen.

Abrufen der Data Warehouse-Instanz für die Verwaltungsgruppe

Schreiben in Favoritenberichte

Löschen von Favoritenberichten

Lesen von Favoritenberichten

Aktualisieren von Favoritenberichten

Lesen von Berichten

Ausführen von Berichten

Schreibgeschützter OperatorDas Profil "Schreibgeschützter Operator" enthält einen Berechtigungssatz für Benutzer, die schreibgeschützten Zugriff auf Warnungen und Ansichten benötigen. Mit der auf dem Profil

87


"Schreibgeschützter Operator" basierenden Rolle können Mitglieder entsprechend ihres konfigurierten Bereichs Warnungen anzeigen und auf Ansichten zugreifen.

Lesen von Warnungen

Abrufen der Data Warehouse-Instanz für die Verwaltungsgruppe

Lesen des Auflösungsstatus

Lesen der Instanz eines Connectors

Lesen von Konsolentasks

Auflisten von Diagnoseobjekten

Auflisten von Diagnoseergebnissen

Auflisten von Ermittlungsobjekten laut Definition in einem Management Pack

Lesen von Ermittlungsregeln

Lesen von Ereignissen

Schreiben in Favoritenkonsolentasks

Löschen von Favoritenkonsolentasks

Auflisten von Favoritenkonsolentasks

Aktualisieren von Favoritenkonsolentasks

Schreiben von Favoritenansichten

Löschen von Favoritenansichten

Auflisten von Favoritenansichten

Aktualisieren von Favoritenansichten

Auflisten von Überwachungsobjekten

Auflisten von Überwachungsklassen

Auflisten von Überwachungsbeziehungsklassen

Auflisten von Management Packs

Auflisten von Monitortypen

Auflisten von Modultypen

Auflisten von Monitoren

Auflisten von Außerkraftsetzungen

Auflisten von Leistungsdaten

Auflisten von Ermittlungsobjekten laut Definition in einem Management Pack

Auflisten des Status früherer Wiederherstellungen

Auflisten der Beziehung zwischen überwachten Objekten

Auflisten von Regeln

Auflisten von gespeicherten Suchvorgängen

Aktualisieren von gespeicherten Suchvorgängen

Schreiben in gespeicherte Suchvorgänge

88

Löschen von gespeicherten Suchvorgängen

Auflisten des Status

Erteilen des Zugriffs auf verbundene Verwaltungsgruppen

Auflisten von Ansichten

Auflisten von Ansichtstypen

OperatorDas Profil "Operator" enthält einen Berechtigungssatz für Benutzer, die auf Warnungen, Ansichten und Tasks zugreifen müssen. Mit der auf dem Profil "Operator" basierenden Rolle können Mitglieder entsprechend ihres konfigurierten Bereichs auf Warnungen reagieren, Tasks ausführen und auf Ansichten zugreifen. Das Profil "Operator" umfasst neben den nachfolgend aufgeführten Rechten alle Rechte des Profils "Schreibgeschützter Operator".

Aktualisieren von Warnungen

Ausführen von Diagnosen

Erstellen von Favoritentasks

Löschen von Favoritentasks

Auflisten von Favoritentasks

Aktualisieren von Favoritentasks

Ausführen von Wiederherstellungsroutinen

Aktualisieren von Wartungsmoduseinstellungen

Auflisten von Benachrichtigungsaktionen

Löschen von Benachrichtigungsaktionen

Aktualisieren von Benachrichtigungsaktionen

Auflisten von Benachrichtigungsendpunkten

Auflisten von Benachrichtigungsempfängern

Löschen von Benachrichtigungsempfängern

Aktualisieren von Benachrichtigungsempfängern

Auflisten von Benachrichtigungsabonnements

Löschen von Benachrichtigungsabonnements

Aktualisieren von Benachrichtigungsabonnements

Auflisten von Tasks

Auflisten des Taskstatus

Ausführen von Tasks

Erweiterter OperatorDas Profil "Erweiterter Operator" enthält zusätzlich zur Operator-Berechtigung einen Berechtigungssatz für Benutzer, die auf eine begrenzte Optimierung der

89

Überwachungskonfiguration zugreifen müssen. Mit der auf dem Profil "Erweiterter Operator" basierenden Rolle können Mitglieder die Regel- und Monitorkonfigurationen für bestimmte Ziele oder Zielgruppen innerhalb des konfigurierten Bereichs außer Kraft setzen. Das Profil "Erweiterter Operator" umfasst neben den nachfolgend aufgeführten Rechten alle Rechte der Profile "Operator" und "Schreibgeschützter Operator".

Aktualisieren von Management Packs

Auflisten von Vorlagen

AutorDas Profil "Autor" enthält einen Berechtigungssatz für die Konfiguration der Überwachungskonfiguration. Mit der auf dem Profil "Autor" basierenden Rolle können Mitglieder die Überwachungskonfiguration (Tasks, Regeln, Monitore und Ansichten) innerhalb des konfigurierten Bereichs erstellen, bearbeiten und löschen. Zur Vereinfachung können Autoren auch so konfiguriert werden, dass der Berechtigungsbereich für "Erweiterter Operator" nach Gruppe definiert wird. Das Profil "Autor" umfasst neben den nachfolgend aufgeführten Rechten alle Rechte der Profile "Erweiterter Operator", "Operator" und "Schreibgeschützter Operator".

Erstellen von Management Packs

Löschen von Management Packs

Auflisten von ausführenden Profilen

AdministratorDas Profil "Administrator" umfasst alle in Operations Manager verfügbaren Rechte. Eine Bereichsdefinition für das Administratorprofil wird nicht unterstützt. Das Profil "Administrator" umfasst neben den nachfolgend aufgeführten Rechten alle Rechte der Profile "Autor", "Erweiterter Operator", "Operator" und "Schreibgeschützter Operator".

Erstellen des Auflösungsstatus

Löschen des Auflösungsstatus

Aktualisieren des Auflösungsstatus

Bereitstellen von Agents

Reparieren und Aktualisieren von installierten Agents

Deinstallieren von Agents

Auflisten von Agenteinstellungen

Aktualisieren von Agenteinstellungen

Auflisten von Agents

Starten und Beenden der Verwaltung von Computern oder Geräten über einen Proxy-Integritätsdienst

Auflisten von über einen Proxy-Integritätsdienst verwalteten Computern oder Geräten

Einfügen von neuen Computer- oder Geräteinstanzen

90

Löschen von Computer- oder Geräteinstanzen

Ausführen von Ermittlungstasks

Erstellen von Ereignissen

Auflisten von globalen Einstellungen

Aktualisieren von globalen Einstellungen

Exportieren von Management Packs

Auflisten von Verwaltungsservern

Löschen von Benachrichtigungsendpunkten

Aktualisieren von Benachrichtigungsendpunkten

Erstellen von Leistungsdaten

Erstellen von ausführenden Konten

Löschen von ausführenden Konten

Auflisten von ausführenden Konten

Aktualisieren von ausführenden Konten

Erstellen von Zuordnungen zwischen ausführenden Konten und ausführenden Profilen

Löschen von Zuordnungen zwischen ausführenden Konten und ausführenden Profilen

Auflisten von Zuordnungen zwischen ausführenden Konten und ausführenden Profilen

Aktualisieren von Zuordnungen zwischen ausführenden Konten und ausführenden Profilen

Erstellen von verbundenen Verwaltungsgruppen

Löschen von verbundenen Verwaltungsgruppen

Auflisten von Benutzerrollen

Löschen von Benutzerrollen

Aktualisieren von Benutzerrollen

Schreiben von Favoritenberichten

Löschen von Favoritenberichten

Lesen von Favoritenberichten

Aktualisieren von Favoritenberichten

Lesen von Berichten


Bericht-SicherheitsadministratorDas Profil "Bericht-Sicherheitsadministrator" enthält einen Berechtigungssatz, der die Integration der Sicherheit von SQL Server Reporting Services mit Operations Manager ermöglicht

Exportieren von Management Packs

Auflisten von Klassen laut Management Pack-Definition

Auflisten von Management Packs

91


Auflisten von Regeln

Anhang B – Liste der Hashwerte für UNIX- und Linux-AgentsDieser Anhang enthält eine Liste der Hashwerte für die Agent-Binärdateien für UNIX- und Linux-basierte Computer.

MD5-Hashwerte

Agent Datei MD5-Hash

AIX 5.3 POWER scx-1.0.4-248.aix.5.ppc.lpp.gz a8ef3ebbed8cef7e98030b77ce01079f

AIX 5.3 POWER scx-1.0.4-248.aix.6.ppc.lpp.gz 9d9a43a34576cc29cd150b947017d3fe

HPUX 11iv2 IA64 scx-1.0.4-248.hpux.11iv2.ia64.depot.Z

6d4faad6e35830d8df01cf2afcc33243

HPUX 11iv2 PARISC

scx-1.0.4-248.hpux.11iv2.parisc.depot.Z

12a611c53a9f02b8c49be1a6d4966e58

HPUX 11iv3 IA64 scx-1.0.4-248.hpux.11iv3.ia64.depot.Z

855518128e2a96b976b2dbdca6dec164

HPUX 11iv3 PARISC


5a08f1eadb99dc30d1ec25b2a8add395

RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm 4e6a0800d2a579c35837373ee988a3f2

RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm 5d059616e158d0cb0d36e43c81e4b218

RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm 1f47c05508f94ecd4329facbf6ff4d97

RHEl 5 x86 scx-1.0.4-248.rhel.5.x86.rpm ac291fff0ae029c46b4bb9b0fc65226e

SLES 9 x86 scx-1.0.4-248.sles.9.x86.rpm 2a81ce3f40eabe605f1c8ddcad141c28

SLES 10 x64 scx-1.0.4-248.sles.10.x64.rpm 9911d90e16445b32ecc4d6aed9775ff1

SLES 10 x86 scx-1.0.4-248.sles.10.x86.rpm 04f77082ddb4c12da045b298dc1eab61

Solaris 8 SPARC scx-1.0.4-248.solaris.8.sparc.pkg.Z

b3f5ab647d34d54b43f0810bb002f4c6

Solaris 9 SPARC scx-1.0.4-248.solaris.9.sparc.pkg.Z

eb67396ee081155615b5a2d5e851a176

Solaris 10 scx-1.0.4- 99ed166b51517b4356f66276b2b223dc

92

Agent Datei MD5-Hash

SPARC 248.solaris.10.sparc.pkg.Z

Solaris 10 x86 scx-1.0.4-248.solaris.10.x86.pkg.Z

dcf30dc553939aed648d0353342005cd

SHA1-Hashwerte

Agent Datei SHA1

AIX 5.3 POWER

scx-1.0.4-248.aix.5.ppc.lpp.gz da18adfccd7eae140ddca6177b9470e0b5776dfc

AIX 5.3 POWER

scx-1.0.4-248.aix.6.ppc.lpp.gz cf702d3e13254eb6c8eb476c748eba346b5e775b

HPUX 11iv2 IA64

scx-1.0.4-248.hpux.11iv2.ia64.depot.Z

ceaf9b0d732ac94184d7ccedfdb2e3b4c1b761d7

HPUX 11iv2 PARISC


cfa64d3d29f4ce7404229c6418983946cb46d415

HPUX 11iv3 IA64


2e33c132f73e8355f663c864e9c5f39ac4a7c1c0

HPUX 11iv3 PARISC


e1836db997d1992fdf9a0d2c9b41938f5bf880ec

RHEL 4 x64 scx-1.0.4-248.rhel.4.x64.rpm 7061fbaa60f7b7b260445a26a0783f2b663c18df

RHEL 4 x86 scx-1.0.4-248.rhel.4.x86.rpm a36c7c3abed1db65bf1c21d5d1eb0b30ef57afe3

RHEL 5 x64 scx-1.0.4-248.rhel.5.x64.rpm c112b0093c020615ee93e61b32e8f705a0f324b3

RHEl 5 x86 scx-1.0.4-248.rhel.5.x86.rpm 9bf4a5e8acaf24497cd24bf16017a1b173cb1d50

SLES 9 x86 scx-1.0.4-248.sles.9.x86.rpm 63796e9167ce6a04fe82eb5202c3c98dfa0dd37c

SLES 10 x64

scx-1.0.4-248.sles.10.x64.rpm 391004f7535a7185d6817ed327c024b2d0e3777a

SLES 10 x86

scx-1.0.4-248.sles.10.x86.rpm b6b9923b47753d013b69f1abd638f1a9c0788234

Solaris 8 SPARC

scx-1.0.4-248.solaris.8.sparc.pkg.Z

08c2059863c4aaa5ee79790a83bb8f9da4b3240a

Solaris 9 SPARC


21f14b470de0e8d311c66d55e438c55688c5aadf

93

Agent Datei SHA1

Solaris 10 SPARC


de0ddcf80dce18e0599ec20d29b57145126cee55

Solaris 10 x86

scx-1.0.4-248.solaris.10.x86.pkg.Z

499526bb43cb3ce9db6d7cf122b6bd5f15858bb4

SHA256-Hashwerte

Agent Datei SHA256

AIX 5.3 POWER

scx-1.0.4-248.aix.5.ppc.lpp.gz

40f93e6c5dabc07ae983814bd24bae2f9f53448dcd51d5cb4ac43e47e51a2506

AIX 5.3 POWER

scx-1.0.4-248.aix.6.ppc.lpp.gz

670e02e9af19bb3aea0593947676843faf6c360694bed41cd3a0bc0fd20fbbcc

HPUX 11iv2 IA64


a60e92bcfb53b7d49bfb2dcc909690cb955800922fd54e496a27796e684ec3fc

HPUX 11iv2 PARISC


553390b3ef4cc21375bc307855bb16c9865b196c4403605fe1df079f9f503d74

HPUX 11iv3 IA64


f102b4c36447b1a2c6a6b374228fba03ec0547e3750826a94578d28a219f516a

HPUX 11iv3 PARISC


8d43eab9b481d51f4b9efb74ec5eb03e08eb5d8556032e745588e9b3a2eb327d

RHEL 4 x64

scx-1.0.4-248.rhel.4.x64.rpm

382b7d7afd1075cc188626b59b8f48b1c7666bdfc29c6bed1ab3e8191c9394fe

RHEL 4 x86

scx-1.0.4-248.rhel.4.x86.rpm

281d51128b98526f2223fcea93ebd72cf1b46ee81f4f5a65a08c17d39c2fb7dc

RHEL scx-1.0.4- 6448da9d2fbdc75e662255edbf22e4523c38f614baf9a0bcea97

94

Agent Datei SHA256

5 x64 248.rhel.5.x64.rpm 95a17be578d4

RHEl 5 x86

scx-1.0.4-248.rhel.5.x86.rpm

70408343a052ea77960315dd76ff70b9b42aad2c8c41c50997e2d5e2d30f0b1d

SLES 9 x86

scx-1.0.4-248.sles.9.x86.rpm

e628120ae89004d828bd8334330b2c44ea6cb165985b39149d28084e8849f86a

SLES 10 x64

scx-1.0.4-248.sles.10.x64.rpm

20be0a828a355f907f9a8a7dedbd8900e83f9be14b304c10054d9619b0c9998d

SLES 10 x86

scx-1.0.4-248.sles.10.x86.rpm

854262692e324bcbf78501a6b5d5199a10b4e608bcbed6524a82bee205d1f256

Solaris 8 SPARC


ad3754a5064d7733b7b096c111efbf5630927852c07b16ea0799bf7aefb1740a

Solaris 9 SPARC


81bec81c17ea8a86833accbda8c6045147b08f38b600b7cea0dcc730a59b2d90

Solaris 10 SPARC


a37a23b3ec25f8c1294c248d13cb73bbe5a7ea8fe2631bfbb42c847f724a90da

Solaris 10 x86

scx-1.0.4-248.solaris.10.x86.pkg.Z

54abb0189e2b70c13644c901dc495b045bdc1e2a087a634b222ca42b4826d6c9

95

microsoftdownload.microsoft.com/.../om2007r2_securityguide.… · web viewoperations manager 2007...

Documents