System Center Operations Manager 2007 R2 – Etki Alanı Denetleyiciler İzlenemiyor (Gri Sağlık Durumu)

Sorun: Ajan Kuruldu, Domain Controller’lar İzlenemiyor

System Center Operations Manager’ı ortamınıza kurduğunuz zaman, Etki Alanı Denetleyicilerinizi (Domain Controller) gri sağlık durumunda (izlenemiyor durumda) görebilirsiniz. Bu durumu düzeltmek için Domain Controller’ınıza oturum açıp sağlık önbelleğini (health cache) temizlediniz ancak Etki Alanı Denetleyicilerinizin sağlık durumu değişmiyor. Ajanını manuel ya da uzaktan kaldırıp tekrar kurdunuz, Active Directory Management Pack’inizi kaldırıp tekrardan kurdunuz sonuç yine değişmedi. Bazı durumlarda da sağlık servisini (healthservice.exe) durmuş olduğunu gördünüz.

Analiz: Çakışan Yetkiler

Bu durumda ne yazık ki Olay Günlükleri ne Etki Alanı Denetleyicisi ne de Yönetim Sunucusu tarafında bir hata kaydedilmiyor. Olay üzerinde biraz da durduğumuzda sebebin yetkilendirmeler ile ilgili olabileceği ihtimali ortaya çıkıyor.

Ajan kurulum sürecine baktığımızda, SCOM ajanını uzaktan kurarken “Computer and Device Management Wizard” penceresindeki “Administrator Account” altında sağlık servisinin hangi haklar ile çalışacağını belirliyoruz. Biz ne kadar bu hesabın Yönetici hesabı olmasını istesek de (hatta Etki Alanı Yöneticisi – Domain Controller Administrator), Operations Manager bu servisin sistem hesabı ile çalışmasını istiyor. Bu ise Operations Manager’ın varsayılan çalışma şekli: Operations Manager, NT AUTHORITYSYSTEM hesabının makinede çalışan sağlık servisi’ne (health service) ulaşmasını engelliyor. Burada açık bir çelişki var: ajan sağlık servisinin sistem hesabı ile çalışmasını istiyor ancak sistem hesabının da servise erişimini engelliyor.

Çözüm: Yetkilerin Gözden Geçirilmesi ve NT AUTHORITYSYSTEM Hesabına Yetki verilmesi

Sorunu çözebilmek için Operations Manager yönetici hesabının Etki Alanı Denetleyiciler üzerinde aşağıdaki yetkilere sahip olup olmadıklarını kontrol etmemiz gerekiyor:

  • Allow log on locally (sadece Domain Admins ve Enterprise Admins gruplarına üye olan hesaplar Etki Alanı Denetleyicilerinde oturum açabilirler. Bu sebepten Operations Manager yönetici hesabının Domain Admins grubuna üye yapmanızı tavsiye ederim),
  • Log on through Terminal Services (yukarıdaki konu ile aynı),
  • Log on as a batch job,
  • Log on as a service.

Yukarıdaki haklar ilk bakışta çok fazla gerekebilir ancak ileride hiç beklenmedik ve işin içinden çıkılmayacak sorunlara yol açmamak için Operations Manager yönetici hesabına Domain Admins hakkı vermek yeterli olacaktır.

Eğer Operations Manager yönetici hesabına ilgili hakları verdiyseniz, o zaman Etki Alanı Denetleyicinize oturum açıp, bir komut satırı penceresi açıp (tavsiyem “Yönetici olarak çalıştır”manız) aşağıdaki işlemleri yapın:

  • cd komutu ile System Center Opetations Manager kurulumunu yaptığınız dizine geçiş yapın. Kurulum sırasında varsayılan ayarları değiştirmediyseniz bu dizin %programfiles%System Center Operations Manager 2007 olmalıdır,
  • hslockdown /a komutunu çalıştırın. Bu komutun çıktısı size izin verilen (allowed) ve engellenen (denied) hesapları gösterecektir.
  • NT AUTHORITYSYSTEM kullanıcısını engellenen hesaplardan çıkartmak için hslockdown “Yönetim_Grubu_Adınız” –R “NT AUTHORITYSYSTEM” komutunu çalıştırın. Eğer Yönetim Grubu adınız SCOM_MGM ise, komut hslockdown “SCOM_MGM” –R “NT AUTHORITYSYSTEM” olacaktır (tırnak işaretlerine dikkat edin)

Bu komutu çalıştırdıktan sonra komut satırında net stop healthservice ve sonrasında net start healthservice ile sağlık servisini durdurup tekrardan başlatın. Sağlık servisi yeniden başladıktan birkaç dakika sonra Etki Alanı Denetleyiciniz izleniyor durumda olacaktır. Ancak atlamamanız gereken bir konu var: birden çok Etki Alanı Denetleyiciniz varsa, bu adımları bu sorunu yaşadığınız her Etki Alanı Denetleyicisinde ayrı ayrı çalıştırmanız gerekir.

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap / Değiştir )

Connecting to %s