SC2012 R2 : Operations Manager สีเทาแห่งการนิ่งเฉย

0
559

สวัสดีแฟนๆ ชาว MVPSKILL ทุกๆ ท่านครับ ผมกลับมาแล้วครับ รอบนี้ขอเข้าเนื้อหาที่เกี่ยวข้องกับตัว System Center version ใหม่นิดนึงนะครับ

เดียวจะค่อยๆ ทยอยมาอับเดตบทความเกี่ยวกับตัวอื่นๆ ที่อยู่ใน System Center Suite ในคราวถัดๆ ไปครับ

เข้าเรื่อง ที่ผมจั่วหัวข้อไว้ว่า Operation Manager สีเทาแห่งการนิ่งเฉย อย่าเพิ่งตกใจนะครับว่าตัว Operations Manager มันมีอะไรหรือเปล่า

จั่วหัวซะน่ากลัวเลย (555 ชอบให้ตื่นเต้น) ถ้าใครได้เคยลองใช้งานหรือที่ออฟฟิศก็ใช้ตัวนี้ในการคอยตรวจสอบระบบ servers , network, application (monitoring) อยู่แล้ว

จะรู้ดีว่ามีสีเทาเกิดขึ้นที่เครื่อง server ใดๆ เองก็ตามไม่ใช่เรื่องดีนัก เพราะว่าตัว Management Server เองจะไม่สามารถรู้สถานะของเครื่องๆ นั้นว่าเกิดอะไรขึ้นบ้าง หรือพูดง่ายๆ ว่า

ตัว Management Server มันไม่ได้ Monitor server เครื่องนั้นแล้วนั้นเอง ที่นี้พูดถึงสี หรือสัญลักษณ์บนตัว Operations Manager นั้นหลักๆ เลยก็จะมีสีอยู่ด้วยกันไม่กี่สีตามรูปครับ

image

สีเขียวสื่อได้ถึงการทำงานของระบบนั้นๆ ปกติ (Healthy)

สีเหลืองสื่อได้ถึงการทำงานของระบบนั้นๆ มีอะไรผิดปกติแต่อยู่ในระดับที่พอรับได้ (Warning)

สีแดงสื่อถึงการทำงานเริ่มจะสงผลต่อระบบ เช่นใช้งานไม่ได้ ไม่สามารถให้บริการกับผู้ใช้งานได้ (Critical)

ส่วนสี่ที่ผมจะนำมาอธิบายของบทความนี้จะไม่ได้อยู่ใน เขียว เหลือง แดง แต่เป็นสีเทา (Grey)

ขอเกริ่นนำระบบที่ผมติดตั้งแล้วเจอปัญหาดังกล่าวนี้ก่อนละกันครับในระบบที่ผมทดสอบจะประกอบไปด้วย servers ดังนี้

1. Domain Controller 2 Servers (เครื่องละ Site, subnet)

2. SQL 2012 (Database operations manager)

3. SC2012R2: Operations Manager (Management Server)

จากนั้นผมทำการ Import Management Packs ที่ใช้สำหรับ Monitor Core Infrastructure พื้นฐานเช่น Windows Server, DNS, DHCP, AD,DFS ฯลฯ

ทำการติดตั้ง SCOM Agent ลงบนเครื่อง Domain Controller ทั้งสองเครื่อง

หลังจากที่ติดตั้ง Agent ไปแล้วตัว MS ได้ทำการ Discover บนเครื่อง Domain Controller ไปได้สักพักหนึ่ง (ไม่ถึง 30 นาที)

สถานะ Agent ของเครื่อง Domain Controller ก็กลายเป็นสีเทา

1_Agent Status

ถ้าเราไปดู Alert ว่าเกิดอะไรขึ้นก่อนหน้าที่ Agent มันจะกลายเป็นสีเทา ได้ใจความประมาณว่า agent service มัน stop ไป

2_Alert DC1

3_Alert DC2

ปัญหานี้ไม่ใช่ปัญหาใหญ่ครับ เพราะกรณีใครติดตั้ง SCOM แล้วกำหนด Action Account เป็น Domain user ธรรมดา

ซึ่งเวลาไป Monitor อะไรก็ตามบน Domain Controller แน่นอนครับสิทธิ์มันไม่ถึง แล้วจะทำยังไงดี ไปให้สิทธิ์ Action Account เป็น member

ใน Domain Admins Group เลยดีไหมครับ?   ทำได้ครับแต่ไม่แนะนำ

ที่นี้วิธีการแก้ก็มีสองวิธี

วิธีที่ 1. ไปสร้าง Account Profile ขึ้นมาสำหรับ Monitor กลุ่ม Server ที่เป็น Domain Controller โดย Account ที่ใช้อาจจะอยู่ในกลุ่ม Domain Admins ก็ได้ (แต่กรณี monitor server อื่นๆ ก็จะไปเป็น action account ที่เป็น domain user ปกติ เหมือนเดิม)

วิธีที่ 2. ใช้ HSLockdown command ไปเพิ่มสิทธิ์ให้ service account ของ SCOM Agent ที่ลงบนเครื่อง Domain Controller สามารถมีสิทธิ์ที่จำเป็นในการ Monitor

 

ผมเลือกวิธีที่ 2 เพราะวิธีที่ 1 เค้าจะนิยมแบบนี้ แต่วิธีที่ 2 คนจะไม่ค่อยรู้ (จะโชว์เทพว่างั้น)

OK ขั้นแรกนะครับเราจะตรวจสอบก่อนว่าสิทธิ์ของ agent เดิมนั้นมีอะไรอยู่

4_HSLockdown_HOM-DC

ได้ความว่า Allowed มีแค่ “NT AUTHORITYAuthenticated Users” เท่านั้น

แค่นี้สิทธิ์ก็ไม่ได้สิ เพราะว่าในขึ้นตอนที่เราติดตั้ง Agent เราใช้ service account อะไรในการรัน services (ของผมใช้ system account)

5_Agent service run

 

ดังนั้นผลที่ได้จากการแสดง Allowed ที่ได้จาก HSLockdown command ผมจะต้องเพิ่มสิทธ์ให้กับ system account เข้าไปเพื่อให้ SCOM Agent สามารถเข้าไป monitor domain controller ได้

Fix1_Add NT_System

จัดการ restart HealthService หนึ่งครั้งตามคำแนะนำ

Fix2_Restart HealthService

ลอง refresh console สักหนึ่งครั้งดูผลว่าสถานะเครื่อง HOM-DC กลับมาเขียวสดในเหมือนเดิมแล้วหรือยัง?

Resolve1_Green

 

ที่นี้ก็เหลืออีกหนึ่งเครื่องที่ผมต้องไปจัดการต่อ หวังว่าคงจะมีประโยชน์สำหรับชาว IT PRO ที่อยู่ในโลกของ System Center กันนะครับ

เตรียมพบกับบทความต่อไปจาก The Voice ที่นี้เร็วๆ นี้ !!!