SCOM – Agent Proxy verstehen und einsetzen

SCOM – Agent Proxy verstehen und einsetzen

Keine Kommentare zu SCOM – Agent Proxy verstehen und einsetzen

Wer bereits den System Center Operations Manager einsetzt ist sicherlich schon über den Agent Proxy gestolpert. Über den Agent Proxy findet man oftmals nur eine Anleitung zum Einschalten oder Deaktivieren. Fragt man nach dem Zweck der Funktion so findet man als Erklärung oft nur:

“Allow this agent to act as a proxy and discover managed objects on other computers”

Zudem gibt es rege Diskussionen ob es ein Sicherheitsrisiko darstellt den Agent Proxy auf allen Agents zu aktivieren.

Heute möchte ich das Thema SCOM Agent Proxy einmal näher betrachten:

Funktion

Ziel des Agent Proxy ist es mittels eines installierten Agents Informationen über übergeordnete Entitäten zu erhalten. Also beispielsweise auf einem DC auch Infos über die Domäne zu erhalten, welche ja nicht nur auf diesem Server existiert.

Versuchen wir beispielsweise ein Windows Server Failover Cluster zu monitoren. Der installierte Agent auf den Failover-Cluster-Nodes ist zunächst nur in der Lage eine Discovery der lokalen Komponenten und Dienste vorzunehmen. Ebenso wird also auch nur das Monitoring der lokalen Dienste möglich sein. Die Entität wird somit nur als Klasse “Windows Server” ermittelt.

Der Agent Proxy ist nicht aktiviert:
agentproxy

Daher wird der Agent nur die Windows Server Komponenten ermitteln und monitoren:
proxy1

Möchte man nun aber auch die Discovery und das Monitoring der Cluster-Ressourcen ermöglich, so muss es dem Agent gestattet werden über andere Computer (und somit auch Cluster-Ressourcen) zu berichten. Der Agent ist dann in der Lage zusätzlich zu den lokalen Komponenten und Diensten auch die im Cluster gehaltenen Komponenten und Dienste zu ermitteln und zu überwachen.

proxy2

Die Agent Proxy Funktion wird in vielen Management Packs verwendet (ob ein MP die Funktion verwendet ist im MP Guide hinterlegt). Daher tendiere ich dazu diese Funktion an allen Agents zu aktivieren. Jedoch gibt es diesbezüglich geteilte Meinungen. Das Risiko besteht darin, dass durch ein fehlerhaftes Management Pack oder einen Angriff eine Kettenreaktion ausgelöst wird. Wird beispielsweise die überwachte Clusterressource angegriffen, so dass Unmengen an Warnings und Alerts entstehen, so werden diese durch den Server mit aktiviertem Agent Proxy übermittelt. Daher wird auch auf diesem Server die Last steigen und diese dann direkt an den SCOM-Server weitergegeben.

Solange man jedoch nur signierte MPs aus vertrauenswürdigen Quellen verwendet und die sonstigen Sicherheitseinstellungen auf den Servern keinen “Freifahrtsschein” enthalten, spricht meiner Meinung nach nichts gegen das Aktivieren dieser Einstellung. Ich habe selbst noch keine negativen Auswirkungen gesehn. Im Gegensatz beugt man Fehlern bei der Discovery vor, sobald MPs eingesetzt werden, welche dies benötigen.

Konfiguration

Um die Agent Proxy Funktion zu aktivieren, kann man wahlweise in der Konsole den Haken an jedem Agent setzen:
agentproxy2

oder man nimmt die PowerShell um alle Clients zu aktivieren:

Damit auch zukünftige Clients per default die Funktion des Agent Proxy aktiviert haben kann folgendes Script verwendet werden.

About the author:

Ich bin Eric Berg und bin Senior IT-Consultant für Microsoft Solutions und hauptsächlich im Bereich Virtualisierung, Client-Lifecycle Management, Private und Public Cloud aktiv. Seit 2015 bin ich System Center Cloud und Datacenter MVP. Seit 2014 bin ich Microsoft Partner Technical Solutions Professional (P-TSP) und agiere im Auftrag von Microsoft mit Kunden rund um die oben beschriebenen Themen. Alle Gedanken, Meinungen und Ideen auf dieser Website sind von mir und spiegeln nicht die Haltung meines Arbeitgebers oder von Microsoft wieder.

Related Posts

Leave a comment

Back to Top