Monitoring eines Domain Controllers mit Operations Manager 2012R2

Wir sind gerade dabei,  in unserer Umgebung einen SystemCenter Operations Manager 2012 R2 aufzusetzen, um diese zu überwachen.

Dabei ist mir Folgendes aufgefallen!

Nach dem Ausrollen des OpsMgr-Agenten auf unsere Domain-Controller hat sich der Status nicht in grün, sondern in grau geändert, was ja zunächst einmal aussagt, das alles, was überwacht wird, OK ist. Allerdings wird nicht alles überwacht, z.B. wird der Status des Windows Betriebssystems mit “Not monitored” angezeigt!

image

Ursache:

Bei der Installation des SCOM-Agenten habe ich die Defaulteinstellung des LocalSystem-Accounts benutzt. Welchem allerdings die Berechtigung auf die HealthService.EXE entzogen wurde.

Troubleshooting:

Schauen wir zunächst auf die Einstellungen des DCs.

  • Hierzu öffnen wir  eine administrative Eingabeaufforderung und gehen in das Verzeichnis des OpsMgr-Agenten
  • jetzt geben wir “HSLOCKDOWN /L” ein, welches die Berechtigungen ausgibt

Welche folgende Ausgabe anzeigen sollte:

image

Wie man hier sieht, ist dem Account NT-AUTHORITY\SYSTEM der Zugriff explizit verweigert worden!

Lösung:

Um das Problem zu lösen, müssen wir den LocalSystem von der Denied-Liste löschen. Dazu geben wir folgenden Befehl ein.

  • hslockdown “[Management Group Name]” /R “NT-AUTHORITY\SYSTEM”

Anschließend den Dienst “Microsoft Monitoring Agent” neustarten und die Ansicht im OpsMgr aktualisieren.

image

und alles ist grün!

Zwinkerndes Smiley

Übrigens: wenn ich nicht die DEFAULT Einstellung LocalSystem genutzt hätte, sondern einen DomainAccount, wäre dies direkt bei der Installation ausgeführt worden!

Jan Kappen
 

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitete bis August 2018 bei der Rachfahl IT-Solutions GmbH & Co. KG. Seit September 2018 arbeitet er als Senior Netzwerk- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Seit 2015 wird Jan Kappen im Bereich "File System Storage" bzw. "Cloud & Datacenter Management" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.