Archiv pro štítek: SCOM 2007

Cumulative Update 6 for System Center Operations Manager 2007 R2

Cumulative Update 6 for System Center Operations Manager 2007 R2 is available:

… resolves the following issues:

  • RMS promotion fails if NetworkName and PrincipalNames are not in sync for agents.
  • UI is limited to only 100 MB for the Memory Usage field in the wizard.
  • Additional OIDs in auth certificate are not processed correctly.
  • AEM creates duplicate computer objects in OpsMgr based on Agents NetBIOS name.
  • Cannot open reporting pane on OpsMgr 2007 R2 remote console.
  • Cannot view schedule for scheduled report.
  • ManagementServerConfigTool with the option „promoterms“ fails because it stops polling the SDK Service.
  • OpsMgr reports are failing on Windows 7 with the error: „Cannot initialize report.“
  • ACS events have „n/a“ as their category in the ACS database.
  • Watch agentless monitoring listener to detect failure to respond.
  • SCOM SDK memory leak on cryptography keys and cryptography contexts.
  • After you click Edit Schedule, a message box appears, and you cannot save the change value.
  • Audit events can be lost when the AdtServer process crashes.

… resolves the following cross-platform issues:

  • The installation process for the IBM AIX 6.1 agent incorrectly checks for AIX 5.3 packages.
  • After a system restart, the OpsMgr agent for Solaris may start to run before local file systems are mounted.
  • On Red Hat Linux version 4 and SUSE Linux version 9, LVM disks are not discovered and cannot be monitored.
  • The OpsMgr agent for AIX does not report the arguments for monitored processes.
  • When Microsoft security update MS12-006 is installed on an OpsMgr management server, that management server can no longer communicate with the OpsMgr agent on any Linux or UNIX server.
  • On HP-UX, OpsMgr cannot discover and monitor a logical volume that is composed of more than 127 physical volumes.

Navíc přidává podporu pro další systémy:

  • IBM AIX 7.1 (POWER).
  • Oracle Solaris 11 (x86 and SPARC).

SCOM: Agent proxy enabled – pro všechny agenty?

Ve spoustě případů je nutné nastavit tuto vlastnost, jinak MP nebude správně fungovat (MP pro Exchange, DC, Cluster, …). Není potom jednodušší globálně všem agentům nastavit rovnou …? Nenalezl jsem informace, že by to zásadně vadilo.

Bylo publikováno několik skriptů a v komentáři dole uvedeného odkazu uvádí Daniele Musceta globální příkaz, který nelze z GUI použít:

There is also a GLOBAL Setting for the whole management Group (like there was in MOM2005) but it is not exposed in the UI.
Set-DefaultSetting -Name HealthService\ProxyingEnabled -Value True
Once you do this, ALL agents should automatically inerit it and you won’t have to do it again. I don’t think it is supported, and I have not personally done TESTING with it, but it should work.

Zdroj: How to set Agent proxy enabled for all agents – Kevin Holman.

WMI a skript zjišťující využití sítě ve Windows Server Operating System MP

Windows Server Operating System Management Pack, verze 6.0.6958.0 obsahuje monitory  a pravidla, která pomocí skriptu Microsoft.Windows.Server.NetwokAdapter.BandwidthUsed.ModuleType.vbs zjišťují vytížení síťových adaptérů (percent bandwith used Read / Write / Total). Kevin Holman uvádí čtyři možné problémy s tímto skriptem použitým v celkem dvakrát šesti případech (monitory a pravidla pro Windows 2003 a 2008):

  • Skript spotřebuje velké množství prostředků CPU – procesem wmiprvse.exe  po dobu několika sekund.
  • Proces cscript a instance skriptu je spouštěna pro každý síťový adaptér v systému, fyzický i virtuální – to násobí zatížení systému.
  • Pro řadu případů teamed network adapters nenalezne skript očekávané třídy WMI. Záleží na dodavateli HW, zda classes chybí a zda uvidíme chybovou zprávu „invalid class“.
  • Na serverech Windows 2003 jsou hlášené i problémy v souvislosti s knihovnou netman.dll a následným zastavením nebo selháním dalších služeb.
Detaily:

 

SCOM: DataAccessLayer Event 33333

Dvě události číslo 33333 a 10801 mohou indikovat problém agenta SCOM na DC, Exchange a členech clusteru (node):

Event Type: Warning
Event Source: DataAccessLayer
Event Category: None
Event ID: 33333
Date: 11/2/2009
Time: 8:11:24
User: N/A
Computer: NAME
Description:
Data Access Layer rejected retry on SqlError:
Request: p_ManagedEntityInsert
Class: 16
Number: 777980008
Message: Health service ( A3CD389E-0C17-C2DA-3587-F1F262188B36 ) should not
generate data about this managed object ( D774F816-742B-09AF-1D3E-1DA59D9DD1BD ).

 a

Event Type: Error
Event Source: Health Service Modules
Event Category: None
Event ID: 10801
Date: 11/2/2009
Time: 8:11:24
User: N/A
Computer: NAME
Description:
Discovery data couldn’t be insert to the database. This could have happened because of one of the following reasons:

– Discovery data is stale. The discovery data is generated by an MP recently deleted.
– Database connectivity problems or database running out of space.
– Discovery data received is not valid.
The following details should help to further diagnose:
Health service ( A3CD389E-0C17-C2DA-3587-F1F262188B36 ) should not generate data about this managed object ( D774F816-742B-09AF-1D3E-1DA59D9DD1BD )..

Chyba může být způsobena tím, že server (domain controller, Exchange nebo cluster node) není konfigurován jako proxy. Náprava problému – nastavit ve vlastnostech agenta:

Allow this agent to act as a proxy and discover managed objects on other computers

(Operations Console / Administration / Agent Managed / <SERVER NAME> / Security)

Aby se změna uplatnila, musí se příslušný agent restartovat (služba healthservice – System Center Management).

 

XPLAT XPERTS

Stránky http://blog.xplatxperts.com  (BridgeWays) nejsou v poslední době aktualizované, ale přesto mohou stále posloužit pro inspiraci nejen pro monitorování aplikací různých platforem, začínajícím uživatelům SCOM i zkušeným administrátorům.

Zaujala mne zde série popisující monitorování distribuovaných aplikací

Part 1 – Associating Components
Part 2 – Building the Service Model
Part 3 – Building Custom Views
Part 4 – Building Performance Views
Part 5 – Service Level Objectives

SQL collation „SQL_Latin1_General_CP1_CI_AS“

Aktualizace 2014:

Požadavky na databázový server pro SCOM 2012 R2(http://technet.microsoft.com/library/dn281933.aspx) uvádějí: SQL_* collations are being deprecated for their Windows equivalents.

Zatím stále zůstává požadavek stejného nastavení pro databáze DW a temp, pracovní databáze SCOMu může být s jiným nastavením, ale pouze pokud je na jiném databázovém serveru. Microsoft se postupně snaží tyto požadavky mezi jednotlivými komponentami System Center sjednotit, ale jde to pomalu. Podrobnosti zde

The SCOM data warehouse installer will always install the data warehouse with SQL_Latin1_General_CP1_CI_AS regardless of the SQL Server collation.  Until this issue is fixed, please always install the SCOM data warehouse on a SQL Server with the SQL_Latin1_General_CP1_CI_AS collation.  There are some compatibility issues when the Temp database on the DW SQL Server instance is anything other than SQL_Latin1_General_CP1_CI_AS and the data warehouse DB is SQL_Latin1_General_CP1_CI_AS.

Původní můj článek z 3. 2. 2012:

Dva nové užitečné reporty ze sady Microsoft.Windows.Server.Reports.mp, která je součástí sady pro Windows Server Operating System Management Pack for Operations Manager 2007 verze 6.0.6958.0 (zde ) striktně vyžadují správné nastavení volby Collation už při instalaci samotného serveru SQL. U jiných reportů jsem se s podobným problémem ve svém letitém testovacím prostředí nesetkal. Samotné databáze OperationsManager toto nastavení mají – což je zřejmě kolizní stav …?

Nastavení serveru:

Nastavení databáze:

Reporty:

Chyba:

Změnit se to dá bohužel pouze novou instalacií serveru SQL:

Workaround:
When installing SQL server be sure to select SQL collation SQL_Latin1_General_CP1_CI_AS. If OpsMgr has already been installed you will have to reinstall SQL and OpsMgr to change the SQL collation. (SQL collation „SQL_Latin1_General_CP1_CI_AS“ needs to be designated for installing OpsMgr DB).

Reporty jsou oba velmi užitečné, jak napovídají i oba příklady uvedené na blogu Kevina Holmana:

 a

 

SCOM ADMP: oprava některých pravidel

Neoficiální oprava MP pro Active Directory Windows 2008, týká se i verze 6.0.7670.0.

ADMP – Workaround for Some Broken Win2k8 Rules – JIMMY HARPER’S OPERATIONS MANAGER BLOG – TechNet Blogs.

SCOM agent: nestartuje healthservice

Pokud je server sledován současně ve dvou nebo více dohledech (multihomed agent, například provozní a bezpečnostní Management Group) může být příčinou chybná nebo poškozená konfigurace v jedné MG. Služba je společná pro všechny MG (až 4), ikona příslušného serveru je šedivá, agent nereaguje.

Setkal jsem se s případem, kdy v jedné ze dvou Management Group chyběla položka „WindowsAccountLockDownSD„, viz výpis dole, takže služba se nespustila a agent nebyl funkční ani v jedné MG. Vyzkoušel jsem dvě řešení problému.

Obě řešení zasahují do Registry, takže nezapomeň vytvořit zálohu alespoň části, ve které provádíš změny.

Řešení 1:

  1. odebrat uvedenou položku i ve skupině, kde je definována
  2. smazat celý adresář Program Files\System Center Operations Manager 2007\Health Service State
  3. spustit službu – net start healthservice
  4. služba nastartuje a běží.

Řešení 2:

  1. ve druhé MG, kde položka WindowsAccountLockDownSD  chybí, ji vytvoříme, například exportem celé sekce Registry, úpravou v editoru (Notepad) změníme jméno groupNameXYZ na požadované jméno cílové skupiny, v níž položka chybí,
  2. upravenou položku importujeme do konfigurace druhé skupiny,
  3. spustit službu – net start healthservice
  4. služba nastartuje a běží.

BEZ ZÁRUKY.

Každá instalace SCOM má vlastní hodnotu WindowsAccountLockDownSD pro službu healthservice. Na všech agentech je pak stejná a je možné ji kopírovat mezi servery a MG. Následující výpis je tedy pouze pro ilustraci:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\HealthService\Parameters\Management Groups\groupNameXYZ]
"WindowsAccountLockDownSD"=hex:00,01,04,80,30,00,00,00,40,00,00,00,00,00,00,00,\
  13,00,00,00,02,00,1c,00,01,00,00,00,00,00,14,00,01,00,00,00,01,01,00,00,00,\
  00,00,05,0b,0c,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,\
  00,00,00,00,00,05,20,00,00,00,20,02,00,01

SCOM: jak monitorovat vazbu GPO na OU v Active Directory

V systému, ve kterém používáme zásady skupiny (group policy) k nastavení konfigurace serverů a koncových počítačů uživatelů k vynucení důležitých položek (např. z bezpečnostních důvodů), může změna vazby (link) na organizační jednotku (OU) v Active Directory indikovat bezpečnostní problém. Jak nám SCOM 2007 může pomoci a co je třeba sledovat?

Nejprve musíme zajistit na doménových řadičích zapnutí Audit Policy: Directory Service Changes, nejlépe v Default Domain Controllers Policy (Computer Configuration / Policies / Windows Settings / Security Settings / Advanced Audit Policy Configuration / Audit Policies)

Vytvoříme výstrahu (alert), reagující na událost v bezpečnostním logu 5136: A directory service object was modified, přičemž nás zajímá změna atributu gPLink. Událost 5136 a její parametry (%n) podle dokumentace Microsoftu (Windows 7 and Windows Server 2008 R2 Security Event Descriptions.xls) vypadá takto

A directory service object was modified.

Subject:
Security ID: %3
Account Name: %4
Account Domain: %5
Logon ID: %6

Directory Service:
Name: %7
Type: %8

Object:
DN: %9
GUID: %10
Class: %11

Attribute:
LDAP Display Name: %12   <--- gPLink
Syntax (OID): %13
Value: %14

Operation:
Type: %15                <--- (Value Added, Value Deleted) 
Correlation ID: %1
Application Correlation ID: %2

Podmínka tedy bude vypadat takto pro výstrahu při odebrání vazby GP na OU:

(Event ID Equals 5136) And (Parameter 15  Equals Value Deleted) And (Parameter 12 Equals gPLink)

nebo pro přidání vazby:

(Event ID Equals 5136) And (Parameter 15  Equals Value Added) And (Parameter 12 Equals gPLink)

 

Postupy aktualizace na SCOM 2012 Beta

Microsoft Technet na stránce System Center Operations Manager 2012 Beta Upgrade Process Flow Diagram uvádí vývojový diagram podporovaných postupů přechodu z verze SCOM 2007 R2. Důvod, proč to zde zmiňuji je ten, že obrázek je provázaný pomocí odkazů na další dokumenty a diagramy, podrobně popisující podmínky a jednotlivé kroky (musíte skutečně na výše uvedenou stránku, zde je obrázek pouze pro ilustraci…).