После обновления OpsMgr до версии 2012 не работают оповещения


После миграции с Operations Manager 2007 R2 на версию System Center 2012 оповещения не заработали сразу, хотя все было настроено и разрешено.

Проблема решилась установкой UCMS 3.0 и перезагрузкой сервера.

Загрузить UCMA можно по ссылке http://www.microsoft.com/download/en/details.aspx?id=20958

Реклама

Настройка рассылки уведомлений в Operation Manager 2007 R2 через Lync Server 2010


 

Operation Manager 2007 R2 имеет встроенные средства рассылки  уведомлений по разным каналам: электронная почта, SMS, вызов скрипта и, наконец, мгновенные сообщения.

В этой статье мы рассмотрим, как настроить отправку мгновенных сообщений (instant messaging) из сервера Operation Manager 2007 R2 с помощью сервера Lync Server 2010

Operation Manager 2007 R2 выпушен достаточно давно, и в документации описано как настроить  отправку уведомлений через сервер Office Communication Server 2007/R2 Enable an instant message notification channel. Мы не будем цитировать документацию: достаточно ее открыть и выполнить настройки по описанным в ней процедурам:

1.       Настроить учетную запись RunAs (от ее имени отправляются мгновенные сообщения)

2.       Настроить канал Channel

3.       Настроить подписчиков Subscribers

Но этого было не достаточно для того, чтобы уведомления стали приходить получателям.  Дополнительно надо было еще настроить сам OCS сервер, чтобы разрешить подключение со стороны сервера OpsMgr. Для этого надо было прописать его имя или адрес на закладке Host Authorization в консоле управления OCS.

Вот пример такой настройки http://ict.myjewe.nl/ict/?p=174

И вот настал момент миграции с OCS 2007 R2 на новый сервер Lync Server 2010.

1.       В настройках канала рассылки мгновенных сообщений в консоле OpsMgr было заменено имя сервера OCS на новое имя сервера  Lync (точнее сказать пула).

2.       В консоле управления Lync  учетная запись, от имени которой отправляются сообщения из OpsMgr, была перенесена на новый пул Lync сервера. Выполнена проверка регистрации учетной записи в клиенте Lync сервера  – регистрация на пуле проходит успешно, сообщения принимаются  и отправляются.

После этого возник вопрос: «А как прописать OpsMgr как доверенный сервер, если в Lync нет  закладки  Host Authorization?».

После изучения вопроса получилась следующая процедура:

1.       Запустить Lync Server Management Shell

2.       Создать новый пул приложений:

New-CsTrustedApplicationPool -Identity OpsMgr.domain.ru  -ComputerFqdn OpsMgr.domain.ruThrottleAsServer $true —TreatAsAuthenticated $true -Registrar lync.sipdomain.ru

где

OpsMgr.domain.ru         это имя сервера Operation Manager 2007 R2

lync.sipdomain.ru            это имя пула на Lync Server 2010

3.       Создать приложение:

NewCsTrustedApplicationApplicationID OpsMgr.domain.ru  -TrustedApplicationPoolFqdn  OpsMgr.domain.ru  -Port 5061

4.       Применить настройки:

Enable-CsTopology

5.       Теперь ждем появления в логе Lync Server сообщения о загрузке списка доверенных серверов и убеждаемся, что он пополнился сервером OpsMgr

Log Name:      Lync Server

Source:        LS IM MCU

Date:          5/19/2011 9:20:36 AM

Event ID:      33022

Task Category: (1019)

Level:         Information

Keywords:      Classic

User:          N/A

Computer:      Lync.domain.ru

Description:

Lync Server IM MCU setting trusted server list

Lync.domain.ru

sql.domain.ru

pstngateway.domain.ru

OpsMgr.domain.ru  

6.       Еще один элемент настройки. В моей конфигурации OpsMgr работает под управлением Windows Server 2003, а Lync Server под управленим Windows Server 2008 R2 SP1. Такое сочетание привело к появлению в логах Lync Server-а ошибки:

Log Name:      Lync Server

Source:        LS Protocol Stack

Date:          5/19/2011 9:36:14 AM

Event ID:      14614

Task Category: (1001)

Level:         Error

Keywords:      Classic

User:          N/A

Computer:      Lync.domain.ru

Description:

User authentication with NTLM protocol failed with error SEC_E_UNSUPPORTED_FUNCTION. This indicates a potential mismatch between security policy settings on the client and server computers.

 

The last failure was this SIP message:

 

Trace-Correlation-Id: 1897277886

Instance-Id: 0006772E

Direction: no-direction-info

Message-Type: request

Start-Line: REGISTER sip:sipdomain.ru SIP/2.0

From: <sip:MS-IM@ sipdomain.ru >;epid=5D-D9-C5-BE-10;tag=5f6e725018

To: <sip:MS-IM@ sipdomain.ru >

CSeq: 4 REGISTER

Call-ID: 8e8a69a76caf4efba08645a31dd02086

Contact: <sip:OM.domain.ru:2541;maddr=172.16.0.113;ms-received-cid=181A600>;methods=»Notify, Benotify»

Via: SIP/2.0/TLS 172.16.0.113:2541;branch=z9hG4bKb75d3795;ms-received-port=2541;ms-received-cid=181A600

MAX-FORWARDS: 70

AUTHORIZATION: NTLM qop=»auth»,realm=»SIP Communications Service»,targetname=»Lync.domain.ru»,gssapi-data=»TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAABQAFABIAAAACgAKAFwAAAAEAAQAZgAAABAAEACaAAAAVYKQQgUCzg4AAAAPUgBVAE0AUwBEAE8ATQBBAEkATgBNAFMALQBJAE0ATwBNAPynSD7i5JVXxI/eQTiG5Gzf2B5H3lDh2fynSD7i5JVXxI/eQTiG5Gzf2B5H3lDh2Rx/JevHOWAlWW9obmcOR/o=»,opaque=»CAAB00E3″

CONTENT-LENGTH: 0

EVENT: Registration

SUPPORTED: ms-forking

SUPPORTED: com.microsoft.msrtc.presence

USER-AGENT: RTCC/2.0.6017.0

 

 

Cause: This error can occur if the settings in «Network security: Minimum session security for NTLM SSP based (including secure RPC) clients» policy on the client computer are not the same as the settings in the «Network security: Minimum session security for NTLM SSP based (including secure RPC) servers» policy on this server.  By default, the «Require 128-bit encryption» setting is disabled for computers running Windows Server 2008, Windows Vista, Windows Server 2003, Windows 2000 Server, or Windows XP. For computers running Windows 7 or Windows Server 2008 R2, this setting enabled by default.

Resolution:

Ensure that the «Network security: Minimum session security for NTLM SSP based (including secure RPC) clients» policy settings on the computers from which users log on are the same as «Network security: Minimum session security for NTLM SSP based (including secure RPC) servers» policy settings on this server.

/eQTiG5Gzf2B5H3lDh2fynSD7i5JVXxI/eQTiG5Gzf2B5H3lDh2Rx/JevHOWAlWW9obmcOR/o=»,opaque=»CAAB00E3″

CONTENT-LENGTH: 0

EVENT: Registration

SUPPORTED: ms-forking

SUPPORTED: com.microsoft.msrtc.presence

USER-AGENT: RTCC/2.0.6017.0

</Data>

  </EventData>

</Event>

 

Собственно лечение указано в самом сообщении. На сервере OpsMgr запускаем оснастку Local Security Policy, открываем Local Policies Security Settings, выставляем параметр «Network security: Minimum session security for NTLM SSP based (including secure RPC) servers» равным «Require 128-bit  encryption» и перезагружаем сервер.

7.       Осталось проверить, что уведомления доставляются получателям.

 

Когда путь пройден –  видите как все просто!

OpsMgr и несколько доменов


 

Ситуация: OpsMgr мониторит серверы в нескольких доменах.

(К слову. Если домены связаны доверительными отношениями и работает Kerberos, то агенты прозрачно аутентифицируются на OpsMgr. Иначе надо использовать сертификаты.)

Задача. За домены отвечают разные люди. Поэтому нужно управлять настройками (перекрытиями) и делать оповещения на основе доменной принадлежности объектов. Например, если на сервере переполнился диск, то оповещение отправлятся администратору того домена, которому принадлежит сервер.

Для этого надо создать группы для каждого домена. Причем используя динамическое членство, чтобы новые объекты домена автоматически попадали в группу домена и, как следствие, все настройки применялись автоматически. Например, ввели в домен новый сервер, поставили на него агент, сервер автоматически появился в группе, к нему автоматически применились настройки соответствующие группе, и автоматически пошли оповещения нужному человеку.

Создать группу включающую все компьютеры домена легко. Запускаем оснастку Operations Console — Authoring – Create New Group. Выбираем Windows Computer, добавляем условие с атрибутом NetbiosDomainName$  (или DNSDomainName$) равно «MyDomain».

clip_image001

Теперь если для этой группы выбрать в меню View Group Members, то откроется окно со списком всех компьютеров домена.

(Конечно можно создавать группу не на основе Windows Computer, а на более «точном» классе, например, Windows Server 2008.)

Группа готова и можно любое правило или монитор точно нацелить на нужный домен, задав перекрытие для этой группы. Что и требовалось.

Неожиданно обнаружилась засада с оповещениями. Оказывается оповещения рассылаются не на объекты Windows Computer и его наследников, а на объекты HealthServiceWatcher. Значит надо делать группу автоматически включающую объекты класса HealthServiceWatcher. К сожалению такие конструкции невозможно создавать в консоле управления и приходится строить их вручную.

Путь к решению был найден в статье http://wchomak.spaces.live.com/Blog/cns!F56EFE25599555EC!1506.entry?wa=wsignin1.0&sa=530974408

Делать одну группу мне не захотелось: смешивать разные объекты созданные для разных целей не есть хорошо. Поэтому я сделал для оповещений отдельную группу. В Operations Console создал пустую группу. Экспортировал MP. Открыл его в Notepad и добавил условие динамического членства: включать только объекты HealthServiceWatcher для которых объекты Windows Computer относятся к домену «MyDomain»:

            <MembershipRule>

              <MonitoringClass>$MPElement[Name="SystemCenter!Microsoft.SystemCenter.HealthServiceWatcher"]$</MonitoringClass>

              <RelationshipClass>$MPElement[Name="MicrosoftSystemCenterInstanceGroupLibrary6172210!Microsoft.SystemCenter.InstanceGroupContainsEntities"]$</RelationshipClass>

              <Expression>

                <Contains>

                  <MonitoringClass>$MPElement[Name="SystemCenter!Microsoft.SystemCenter.HealthService"]$</MonitoringClass>

                  <Expression>

                    <Contained>

                      <MonitoringClass>$MPElement[Name="MicrosoftWindowsLibrary6172210!Microsoft.Windows.Computer"]$</MonitoringClass>

                      <Expression>

                        <SimpleExpression>

                          <ValueExpression>

                            <Property>$MPElement[Name="MicrosoftWindowsLibrary6172210!Microsoft.Windows.Computer"]/NetbiosDomainName$</Property>

                          </ValueExpression>

                          <Operator>Equal</Operator>

                          <ValueExpression>

                            <Value>MyDomain</Value>

                          </ValueExpression>

                        </SimpleExpression>

                      </Expression>

                    </Contained>

                  </Expression>

                </Contains>

              </Expression>

            </MembershipRule>

 

После редактирования файла с MP, импортируем его обратно, ждем несколько минут, пока он активируется и проверяем членство в нашей группе: должны отобразиться все объекты HealthServiceWatcher нужного домена.

Теперь эту группу можно использовать для создания подписок на оповещения.

Полезные ссылки:

1.       Dynamic Computer Groups that send Heartbeat Alerts

2.       How to get alerts for domain group membership changes

3.       GroupCalc

4.       ExpressionType

5.       MembershipRuleType

6.       Monitoring for Heartbeat Failures on non-Server Agents

7.       Alert notification troubleshooting in System Center Operations Manager 2007

Не все так просто с мониторингом свободного места на дисках в Operations Manager


 

   В блоге одного из разработчиков Operations Manager есть прекрасная статья, в которой подробно описана теория применения различных видов мониторов, описаны мониторы свободного пространства дисков и, главное, дана методика их настройки.

   Статья достаточно длинная, но очень полезная: теория и методология могут быть перенесены на другие задачи мониторинга.

   Главная ценность статьи в том, что она показывает, как превратить мониторинг из источника лавины алертов, создающих только головную боль, и не заслуживающего никакого доверия, в действительно авторитетный инструмент, который помогает решать проблемы.

   Рекомендую почитать.

http://blogs.technet.com/b/jonathanalmquist/archive/2009/04/04/logical-disk-free-space-monitor.aspx