Konfigurace a používání integrace služby Active Directory pro přiřazování agentů

  • Článek

Důležité

Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.

System Center Operations Manager umožňuje využít výhod investic do Active Directory Domain Services (AD DS) tím, že ho můžete použít k přiřazení počítačů spravovaných agentem ke skupinám pro správu. Tento článek vám pomůže vytvořit a spravovat konfiguraci kontejneru ve službě Active Directory a přiřazení agenta serverů pro správu by se agenti měli hlásit do.

Vytvoření kontejneru služeb Active Directory Domain Services pro skupinu pro správu

K vytvoření kontejneru služby Doména služby Active Directory Service (AD DS) pro skupinu pro správu System Center – Operations Manager můžete použít následující syntaxi a postup příkazového řádku. K tomuto účelu je poskytován soubor MOMADAdmin.exe, který se instaluje na serveru pro správu v nástroji Operations Manager. Soubor MOMADAdmin.exe musí spustit správce zadané domény.

Syntaxe příkazového řádku:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Důležité

Pokud hodnota obsahuje mezeru, musíte hodnotu zapsat do uvozovek.

  • ManagementGroupName je název skupiny pro správu, pro kterou se vytváří kontejner služby AD.

  • MOMAdminSecurityGroup je skupina zabezpečení domény, formátu domain\security_group, která je členem role zabezpečení správců nástroje Operations Managers pro skupinu pro správu.

  • RunAsAccount: Jedná se o účet domény, který bude server pro správu používat ke čtení, zápisu a odstraňování objektů ve službě AD. Použijte formát domena\uziv_jmeno.

  • Domain je název domény, ve které bude kontejner skupiny pro správu vytvořen. Soubor MOMADAdmin.exe lze spouštět napříč doménami, jen pokud mezi nimi existuje obousměrný vztah důvěryhodnosti.

Aby integrace služby Active Directory fungovala, musí být skupina zabezpečení globální skupinou zabezpečení (pokud má integrace služby Active Directory fungovat v několika doménách s obousměrným vztahem důvěrnosti) nebo místní doménovou skupinou (pokud se integrace služby Active Directory používá jen v jedné doméně).

Pokud chcete ke skupině správců nástroje Operations Manager přidat skupinu zabezpečení, použijte následující postup.

  1. V konzole Operations Console vyberte možnost Správa.

  2. V pracovním prostoru Správa vyberte z nabídky Zabezpečení možnost Role uživatelů.

  3. V části Role uživatelů vyberte Správci Operations Manageru a vyberte akci Vlastnosti nebo klikněte pravým tlačítkem na Správci Operations Manageru a vyberte Vlastnosti.

  4. Výběrem možnosti Přidat otevřete dialogové okno Vybrat skupinu .

  5. Vyberte požadovanou skupinu zabezpečení a pak kliknutím na OK dialogové okno zavřete.

  6. Vyberte OK a zavřete vlastnosti role uživatele.

Poznámka

Pro roli správce nástroje Operations Manager doporučujeme použít jednu skupinu zabezpečení, která může obsahovat několik skupin. Tímto způsobem lze do skupin přidávat skupiny a členy skupin a také je odebírat, aniž by správce domény musel kontejneru skupiny pro správu ručně přiřazovat oprávnění ke čtení a odstraňování podřízených objektů.

K vytvoření kontejneru služby AD DS použijte následující postup.

  1. Otevřete příkazový řádek jako správce.

  2. Na příkazovém řádku zadejte například následující:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Poznámka

Výchozí cesta je C:\Program Files\Microsoft System Center 2016\Operations Manager.

Poznámka

Výchozí cesta je C:\Program Files\Microsoft System Center\Operations Manager.

  1. Předcházející příkazový řádek:

    1. Spustí z příkazového řádku nástroj MOMADAdmin.exe.

    2. V kořenu schématu služby AD DS domény MessageDom vytvořte kontejner skupiny pro správu služby AD DS Message Ops. Pokud chcete vytvořit stejný kontejneru skupiny pro správu služby AD DS v dalších doménách, spusťte nástroj MOMADAdmin.exe pro jednotlivé domény.

    3. Do skupiny zabezpečení služby AD DS MessageDom\MessageOMAdmins přidejte účet uživatele domény MessageDom\MessageADIntAcct a přiřaďte skupině zabezpečení služby AD DS práva nezbytná pro správu kontejneru služby AD DS.

Používání služby Active Directory Domain Services pro přiřazování počítačů k serverům pro správu

Průvodce přiřazením agentů a převzetím služeb při selhání nástroje Operations Manager vytvoří pravidlo přiřazení agenta, které používá služby Active Directory Domain Services (AD DS) pro přiřazování počítačů ke skupině pro správu a přiřazování primárního a sekundárního serveru pro správu počítačů. Ke spuštění a používání průvodce použijte následující postup.

Důležité

Kontejner služeb Active Directory Domain Services pro skupinu pro správu je nutné vytvořit před spuštěním Průvodce přiřazením agenta a převzetím služeb při selhání.

Průvodce přiřazením agenta a převzetím služeb při selhání agenta agenta nenasadí. Agenta musíte k počítačům nasadit ručně pomocí souboru MOMAgent.msi.

Změna pravidla přiřazení agenta může způsobit zrušení přiřazení k počítačům, a tím i monitorování skupinou pro správu. Stav těchto počítačů se změní na Kritický, protože počítače již nebudou odesílat skupině pro správu prezenční signály. Tyto počítače je možné ze skupiny pro správu odstranit, a pokud počítač není přiřazený k jiným skupinám pro správu, je možné agenta nástroje Operations Manager odinstalovat.

Spuštění Průvodce přiřazením agenta a převzetím služeb při selhání nástroje Operations Manager

  1. Přihlaste se k počítači pomocí účtu, který je členem role Správce nástroje Operations Manager.

  2. V konzole Operations Console vyberte Správa.

  3. V pracovním prostoru Správa vyberte Servery pro správu.

  4. V podokně Servery pro správu klikněte pravým tlačítkem na server pro správu nebo server brány, aby byly primárním serverem pro správu pro počítače vrácené pravidly, která vytvoříte v následujícím postupu, a pak vyberte Vlastnosti.

    Poznámka

    Servery brány fungují v tomto kontextu jako servery pro správu.

  5. V dialogovém okně Vlastnosti serveru pro správu vyberte kartu Automatické přiřazení agenta a pak výběrem možnosti Přidat spusťte Průvodce přiřazením agenta a převzetím služeb při selhání.

  6. V Průvodci přiřazením agenta a převzetím služeb při selhání na stránce Úvod vyberte Další.

    Poznámka

    Úvodní stránka se nezobrazí, pokud byl průvodce spuštěn a byla vybrána možnost Nezobrazovat tuto stránku znovu.

  7. Na stránce Doména postupujte takto:

    Poznámka

    Pokud chcete skupině pro správu přiřadit počítače z několika domén, spusťte Průvodce přiřazením agenta a převzetím služeb při selhání pro jednotlivé domény.

    • V rozevíracím seznamu Název domény vyberte doménu počítačů. Server pro správu a všechny počítače ve fondu zdrojů přiřazení agenta na základě adresáře AD musejí umět přeložit název domény.

      Důležité

      Server pro správu a počítače, které chcete spravovat, musejí být nakonfigurovány v doménách s obousměrným vztahem důvěryhodnosti.

    • Možnost Výběr profilu Spustit jako nastavte na Profil Spustit jako přidružený k účtu Spustit jako, který byl vytvořen při spuštění souboru MOMADAdmin.exe pro doménu. Výchozím účtem pro přiřazení agenta je výchozí účet akce zadaný během nastavování, který se označuje také jako Účet přiřazení agenta na základě Active Directory. Tento účet představuje pověření, která se použijí při připojení ke službě Active Directory zadané domény a ke změně objektů služby Active Directory. Měl by se shodovat s účtem zadaným při spuštění souboru MOMAdmin.exe. Pokud se nejedná o účet použitý ke spuštění MOMADAdmin.exe, vyberte Použít jiný účet k přiřazení agenta v zadané doméně a pak vyberte nebo vytvořte účet v rozevíracím seznamu Vybrat profil Spustit jako . Profil účtu přiřazení agenta založeného na službě Active Directory musí být nakonfigurovaný tak, aby používal účet správce nástroje Operations Manager, který je distribuován na všechny servery ve fondu zdrojů přiřazení agenta SLUŽBY AD.

      Poznámka

      Více informací o profilech Spustit jako a účtech Spustit jako najdete v článku Správa účtů a profilů Spustit jako.

  8. Na stránce Kritéria zahrnutí zadejte do textového pole dotaz LDAP pro přiřazení počítačů k tomuto serveru pro správu a pak vyberte Další, nebo vyberte Konfigurovat. Pokud vyberete Konfigurovat, postupujte takto:

    1. V dialogovém okně Najít počítače zadejte požadovaná kritéria pro přiřazení počítačů k tomuto serveru pro správu nebo zadejte konkrétní dotaz LDAP.

      Následující dotaz LDAP vrátí jenom počítače s operačním systémem Windows Server a vyloučí řadiče domény.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Tento ukázkový dotaz LDAP vrací pouze počítače s operačním systémem Windows Server. Nezahrnuje řadiče domény a servery hostující roli operations manageru nebo Service Manager serveru pro správu.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Další informace o dotazech LDAP najdete v tématech Vytvoření filtru dotazů a Active Directory: Filtry syntaxe LDAP.

    2. Vyberte OK a pak vyberte Další.

  9. Na stránce Kritéria vyloučení zadejte plně kvalifikovaný název domény počítačů, kterým chcete explicitně zabránit ve správě tímto serverem pro správu, a pak vyberte Další.

    Důležité

    Zadávané plně kvalifikované názvy počítačů musíte oddělit středníkem, dvojtečkou nebo novým řádkem (CTRL+ENTER).

  10. Na stránce Převzetí služeb při selhání agenta vyberte Automaticky spravovat převzetí služeb při selhání a vyberte Vytvořit nebo vyberte Ručně konfigurovat převzetí služeb při selhání. Pokud vyberete možnost Ručně konfigurovat převzetí služeb při selhání, proveďte toto:

    1. Zrušte zaškrtnutí políček serverů pro správu, na které nechcete, aby agenti při selhání při selhání.

    2. Vyberte Vytvořit.

      Poznámka

      V případě nastavení možnosti Ručně konfigurovat převzetí služeb při selhání musíte průvodce spustit znovu, pokud následně ke skupině pro správu přidáte server pro správu a chcete pro nový server pro správu nastavit převzetí služeb agenta při selhání.

  11. V dialogovém okně Vlastnosti serveru pro správu vyberte OK.

Poznámka

Aktivace nastavení přiřazení agenta ve službě AD DS může trvat až jednu hodinu.

Po dokončení se ve skupině pro správu vytvoří následující pravidlo, které cílí na třídu Fond zdrojů přiřazení služby AD.

Snímek obrazovky s pravidlem přiřazení agenta integrace služby AD
Toto pravidlo zahrnuje informace o konfiguraci přiřazení agenta zadaného v Průvodci přiřazením agenta a převzetím služeb při selhání, jako je dotaz protokolu LDAP.

Pokud chcete potvrdit, jestli skupina pro správu úspěšně zveřejnila informace ve službě Active Directory, vyhledejte v protokolu událostí zdrojových modulů služby Health Service nástroje Operations Manager na serveru pro správu, na kterém bylo pravidlo přiřazení agenta definováno, ID události 11470. V popisu by mělo být uvedeno, že se úspěšně přidaly všechny počítače, které byly přidány do pravidla přiřazení agenta.

Snímek obrazovky znázorňující událost úspěšného přiřazení agenta integrace služby AD

Ve službě Active Directory by se v kontejneru OperationsManager<ManagementGroupName> měly zobrazit vytvořené objekty spojovacího bodu služby (SCP) podobně jako v následujícím příkladu.

Snímek obrazovky znázorňující objekty AD přiřazení agenta integrace SLUŽBY AD

Pravidlo také vytvoří dvě skupiny zabezpečení s názvem netBIOS serveru pro správu: první s příponou "_PrimarySG<náhodné číslo>" a druhá "_SecondarySG<náhodné číslo>". V tomto příkladu jsou ve skupině pro správu nasazené dva servery pro správu a primární skupina zabezpečení ComputerB_Primary_SG_24901 členství zahrnuje počítače, které odpovídají pravidlu zahrnutí definovanému v pravidle přiřazení agenta, a skupina zabezpečení ComputerA_Secondary_SG_38838 členství zahrnuje primární skupinu ComputerB_Primary_SG-29401 . skupina zabezpečení obsahující účet počítače agentů, kteří by převzali služby při selhání na tento sekundární server pro správu v případě, že primární server pro správu nereaguje. Názvem bodu připojení služby je název serveru pro správu NetBIOS s příponou „_SCP“.

Poznámka

V tomto příkladu se zobrazují jenom objekty z jedné skupiny pro správu, nikoli jiné skupiny pro správu, které můžou existovat a které jsou také nakonfigurované s integrací AD.

Ruční nasazení agenta pomocí nastavení integrace služby Active Directory

Níže je uveden příklad příkazového řádku pro ruční instalaci agenta Windows pomocí integrace služby Active Directory.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Změna nastavení integrace služby Active Directory pro agenta

Pomocí následujícího postupu můžete změnit nastavení integrace služby Active Directory pro agenta.

  1. Na počítači spravovaném agentem v Ovládací panely poklikejte na Microsoft Monitoring Agent.

  2. Na kartě Operations Manager zaškrtněte políčko Automaticky aktualizovat přiřazení skupin pro správu ze služby AD DS nebo jeho zaškrtnutí zrušte. Pokud políčko zaškrtnete, agent zadá při spuštění dotaz službě Active Directory na seznam skupin pro správu, ke kterým byl přiřazen. Tyto skupiny pro správu (pokud nějaké takové existují) budou přidány do seznamu. Pokud zaškrtnutí tohoto políčka zrušíte, budou všechny skupiny pro správu přiřazené agentovi v rámci služby Active Directory odebrány ze seznamu.

  3. Vyberte OK.

Integrace služby Active Directory s nedůvěryhodnou doménou

  1. Vytvořte uživatele v nedůvěryhodné doméně s oprávněními ke čtení, zápisu a odstraňování objektů ve službě AD.
  2. Vytvořte skupinu zabezpečení (místní nebo globální doménu). Přidejte uživatele (vytvořeného v kroku 1) do této skupiny.
  3. Spusťte MOMAdAdmin.exe v nedůvěryhodné doméně s následujícími parametry: <cesta>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Vytvořte nový účet Spustit jako v Operations Manageru. použijte účet vytvořený v kroku 1. Ujistěte se, že je název domény zadaný s plně kvalifikovaným názvem domény, nikoli s názvem NetBIOS (například CONTOSO.COM\ADUser).
  5. Distribuujte účet do fondu zdrojů přiřazení služby AD.
  6. Ve výchozí sadě Management Pack vytvořte nový profil Spustit jako. Pokud je tento profil vytvořen v jakékoli jiné sadě Management Pack, ujistěte se, že je sada Management Pack zapečetěná, aby se na tuto sadu bylo možné odkazovat na jinou sadu Management Pack.
  7. Přidejte do tohoto profilu nově vytvořený účet Spustit jako a zacílte ho do fondu zdrojů přiřazení služby AD.
  8. Vytvořte pravidla integrace služby Active Directory v nástroji Operations Manager.

Poznámka

Po integraci s nedůvěryhodnou doménou zobrazí každý server pro správu zprávu s upozorněním Databáze zabezpečení na serveru nemá účet počítače pro tento vztah důvěryhodnosti pracovní stanice , který označuje, že ověření účtu Spustit jako používaného přiřazením služby AD selhalo. V protokolu událostí nástroje Operations Manager se vygenerují události s ID 7000 nebo 1105. Tato výstraha ale nemá žádný vliv na přiřazení AD v nedůvěryhodné doméně.

Další kroky

Informace o tom, jak nainstalovat agenta Windows z konzoly Operations Console, najdete v tématu instalace agenta ve Windows pomocí průvodce zjišťováním. Informace o tom, jak nainstalovat agenta z příkazového řádku, najdete v tématu Ruční instalace agenta Windows pomocí souboru MOMAgent.msi.