Bereitstellen eines Gatewayservers im Szenario mit mehreren Servern und einer Verwaltungsgruppe

  • Artikel

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

Mithilfe von Gatewayservern wird die Agentverwaltung von Computern aktiviert, die sich außerhalb der Kerberos-Vertrauensgrenzen von Verwaltungsgruppen befinden, wie etwa in einer nicht vertrauenswürdigen Domäne. Der Gatewayserver dient als Konzentrationspunkt für die Kommunikation zwischen Agent und Verwaltungsserver. Agents in nicht vertrauenswürdigen Domänen kommunizieren mit dem Gatewayserver, und der Gatewayserver kommuniziert mit einem oder mehreren Verwaltungsservern. Da der Gatewayserver und die Verwaltungsserver nur über einen Port (TCP 5723) kommunizieren, muss bei zwischengeschalteten Firewalls nur dieser Port geöffnet sein, um die Verwaltung mehrerer mit Agents verwalteter Computer zu ermöglichen. In einer Einzeldomäne können mehrere Gatewayserver eingerichtet werden, sodass ein Failover der Agents möglich ist, wenn die Verbindung zu einem Gatewayserver unterbrochen wird. Entsprechend kann ein einzelner Gatewayserver für ein Failover zwischen Verwaltungsservern konfiguriert werden, sodass keine einzelne Fehlerquelle in der Kommunikationskette vorhanden ist.

Da sich der Gatewayserver in einer Domäne befindet, die für die Domäne mit der Verwaltungsgruppe als nicht vertrauenswürdig gilt, müssen Identität, Agent, Gateway- und Verwaltungsserver jedes Computers mithilfe von Zertifikaten ermittelt werden. Diese Vorgehensweise erfüllt die Operations-Manager-Anforderung für die gegenseitige Authentifizierung.

Hinweis

Um Computer, welche sich außerhalb der Vertrauensgrenzen der Verwaltungsserver befinden, ohne Verwendung eines Gatewayservers zu überwachen, müssen Sie Zertifikate auf den Verwaltungsservern und den zu überwachenden Computern installieren und manuell verwalten. Wenn diese Konfiguration anstelle der Verwendung eines Gatewayservers verwendet wird, müssen für die Kommunikation zwischen Agent und Verwaltungsserver weitere Ports geöffnet werden. Eine Liste mit allen erforderlichen Ports finden Sie unter Überwachung durch Agents und ohne Agents und Operations Manager 2007 Supported Configurations (Unterstützte Konfigurationen in Operations Manager 2007) (https://go.microsoft.com/fwlink/?LinkId=86539).

Übersicht über das Verfahren

  1. Fordern Sie Zertifikate für jeden Computer in der Kette Agent, Gatewayserver, Verwaltungsserver an.

  2. Importieren Sie diese Zertifikate mithilfe des Tools "MOMCertImport.exe" von Operations Manager 2007 auf die Zielcomputer.

    Hinweis

    Informationen zum Abrufen und Importieren eines Zertifikats mithilfe einer Unternehmenszertifizierungsstelle finden Sie unter https://go.microsoft.com/fwlink/?LinkId=100716. Informationen zur Verwendung einer eigenständigen Zertifizierungsstelle finden Sie unter https://go.microsoft.com/fwlink/?LinkId=100717.

  3. Stellen Sie Microsoft.EnterpriseManagement.gatewayApprovalTool.exe auf dem Verwaltungsserver bereit.

  4. Führen Sie das Tool "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" aus, um die Kommunikation zwischen dem Verwaltungsserver und dem Gatewayserver zu initiieren.

  5. Installieren Sie den Gatewayserver.

Vorbereiten der Installation

Vorbereitung

  1. Für die Bereitstellung von Gatewayservern sind Zertifikate erforderlich. Sie müssen Zugang zu einer Zertifizierungsstelle haben. Dies kann eine öffentliche Zertifizierungsstelle wie z.B. VeriSign sein, oder Sie können die Microsoft Zertifikatdienste nutzen. Das folgende Verfahren umfasst die Schritte zum Anfordern, Abrufen und Importieren eines Zertifikats von den Microsoft Zertifikatdiensten.

  2. Zwischen den mit Agents verwalteten Computern und dem Gatewayserver sowie zwischen dem Gatewayserver und den Verwaltungsservern muss eine zuverlässige Namensauflösung vorhanden sein. Diese Namensauflösung erfolgt gewöhnlich durch DNS. Falls es jedoch nicht möglich ist, eine richtige Namensauflösung durch DNS zu erhalten, kann es erforderlich sein, manuell Einträge in der Hostdatei jedes Computers zu erstellen.

    Hinweis

    Die Hostdatei befindet sich im Verzeichnis "\Windows\system32\drivers\etc", und sie enthält Anweisungen für die Konfiguration.

Abrufen von Computerzertifikaten von den Microsoft Zertifikatdiensten

Weitere Informationen finden Sie in den Abschnitten Abrufen eines Zertifikats mithilfe einer eigenständigen Windows Server 2003-Zertifizierungsstelle in Operations Manager 2007 und Abrufen eines Zertifikats mithilfe einer Windows Server 2003-Unternehmenszertifizierungsstelle in Operations Manager 2007 im Sicherheitshandbuch unter https://go.microsoft.com/fwlink/?LinkId=97878.

Verteilen des Tools "Microsoft.EnterpriseManagement.GatewayApprovalTool"

Das Tool "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" wird nur auf dem Verwaltungsserver benötigt, und es muss nur einmal ausgeführt werden.

So kopieren Sie Microsoft.EnterpriseManagement.GatewayApprovalTool.exe auf Verwaltungsserver

  1. Öffnen Sie von einem Ziel-Verwaltungsserver aus das Verzeichnis "\SupportTools" des Installationsmediums.

  2. Kopieren Sie die Datei "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" vom Installationsmedium in das Installationsverzeichnis von Operations Manager 2007, in der Regel c:\Programme\System Center Operations Manager 2007.

Registrieren des Gateways bei der Verwaltungsgruppe

Mit diesem Verfahren wird der Gatewayserver bei der Verwaltungsgruppe registriert, und wenn dies abgeschlossen ist, erscheint der Gatewayserver in der Ansicht "Ermitteltes Inventar" der Verwaltungsgruppe.

So führen Sie das Gatewaygenehmigungstool aus

  1. Melden Sie sich mit dem Operations Manager-Administratorkonto bei dem Verwaltungsserver an, der während der Installation des Gatewayservers als Ziel angegeben wurde.

  2. Öffnen Sie ein Eingabeaufforderungsfenster, und steuern Sie das Verzeichnis "\Programme\System Center Operations Manager 2007" an oder das Verzeichnis, in das Sie Microsoft.EnterpriseManagement.gatewayApprovalTool.exe kopiert haben.

  3. Führen Sie an der Eingabeaufforderung Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create aus.

  4. Bei erfolgreicher Genehmigung wird " The approval of server <GatewayFQDN> completed successfully." angezeigt.

  5. Wenn Sie den Gatewayserver aus der Verwaltungsgruppe entfernen müssen, führen Sie denselben Befehl aus, wobei Sie jedoch das Flag /Action=Delete anstelle des Flags /Action=Create verwenden müssen.

  6. Öffnen Sie in der Betriebskonsole die Ansicht "Überwachung". Wählen Sie die Ansicht "Ermitteltes Inventar" aus, um zu prüfen, ob der Gatewayserver vorhanden ist.

Installieren des Microsoft Operations Manager 2007-Gatewayservers

Mit diesem Verfahren wird der Gatewayserver installiert. Der als Gatewayserver vorgesehene Server muss derselben Domäne oder Arbeitsgruppe angehören wie die mit Agents verwalteten Computer, die Berichte an ihn senden.

Tipp

Eine Installation schlägt fehl, wenn Windows Installer (zum Beispiel beim Installieren eines Gatewayservers durch Doppelklicken auf MOMGateway.msi) auf einem Computer gestartet wird, der Windows Server 2008 ausführt, falls die lokale Sicherheitsrichtlinie "Benutzerkontensteuerung: Alle Administratoren im Administratorbestätigungsmodus ausführen" aktiviert ist (was die Standardeinstellung in Windows Server 2008 ist).

So führen Sie Operations Manager 2007 Gateway Windows Installer an einer Eingabeaufforderung für Windows Server 2008 aus

  1. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Navigieren Sie im Fenster Administrator: Eingabeaufforderung zum lokalen Laufwerk, auf dem das Operations Manager 2007-Installationsmedium zur Verfügung steht.

  3. Navigieren Sie zu dem Verzeichnis, in dem sich die MSI-Datei befindet, geben Sie den Namen der MSI-Datei ein, und drücken Sie dann die EINGABETASTE.

So installieren Sie den Microsoft Operations Manager 2007-Gatewayserver

  1. Melden Sie sich beim Gatewayserver mit Administratorrechten an.

  2. Starten Sie vom Operations Manager 2007-Installationsmedium aus SetupOM.exe.

  3. Klicken Sie im Bereich Installieren auf die Verknüpfung Operations Manager 2007 R2 Gateway installieren.

  4. Klicken Sie auf der Seite Willkommen auf Weiter.

  5. Übernehmen Sie auf der Seite Zielordner die Standardeinstellung, oder klicken Sie auf Ändern, um ein anderes Installationsverzeichnis auszuwählen, und klicken Sie dann auf Weiter.

  6. Geben Sie auf der Seite Verwaltungsgruppenkonfiguration den Namen der Ziel-Verwaltungsgruppe in das Feld Verwaltungsgruppenname ein, geben Sie den Namen des Ziel-Verwaltungsservers in das Feld Verwaltungsserver ein, überprüfen Sie, ob das Feld Verwaltungsserverport den Wert 5723 enthält, und klicken Sie dann auf Weiter. Dieser Port kann geändert werden, wenn Sie in der Betriebskonsole einen anderen Port für die Kommunikation mit dem Verwaltungsserver aktiviert haben.

  7. Wählen Sie auf der Seite Gatewayaktionskonto die Kontooption Lokales System aus, sofern Sie nicht speziell ein domänenbasiertes oder lokales computerbasiertes Gatewayaktionskonto erstellt haben. Klicken Sie dann auf Weiter.

  8. Geben Sie auf der Seite Microsoft Update optional an, ob Sie Microsoft Update verwenden möchten, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf der Seite Bereit zum Installieren auf Installieren.

  10. Klicken Sie auf der Seite Die Installation wird abgeschlossen auf Fertig stellen.

Importieren von Zertifikaten mit dem Tool "MOMCertImport.exe"

Führen Sie diesen Arbeitsgang auf jedem Gatewayserver und Verwaltungsserver aus, sowie auf jedem Computer, welcher mit Agents verwaltet werden soll und welcher sich in einer nicht vertrauenswürdigen Domäne befindet.

So importieren Sie Computerzertifikate mithilfe von MOMCertImport.exe

  1. Kopieren Sie das Tool "MOMCertImport.exe" aus dem Verzeichnis "\SupportTools\<platform> (i386 or ia64)" des Installationsmediums in das Stammverzeichnis des Zielservers oder in das Installationsverzeichnis von Operations Manager 2007, falls der Zielserver ein Verwaltungsserver ist.

  2. Öffnen Sie ein Eingabeaufforderungsfenster, ändern Sie das Verzeichnis in das Verzeichnis, in dem sich MOMCertImport.exe befindet, und führen Sie dann momcertimport.exe /SubjectName <certificate subject name> aus. Dies bewirkt, dass das Zertifikat von Operations Manager verwendet werden kann.

Konfigurieren von Gatewayservern für Failover zwischen Verwaltungsservern

Obwohl Gatewayserver mit jedem Verwaltungsserver in der Verwaltungsgruppe kommunizieren können, muss dies konfiguriert werden. In diesem Szenario werden die sekundären Verwaltungsserver als Ziele für Gatewayserverfailover identifiziert, und der gruppierte Stammverwaltungsserver wird aus dem Failover ausgeschlossen. Dies ist eine typische bewährte Methode, die angewendet wird, um eine unnötige Last auf dem Stammverwaltungsserver zu verhindern.

Verwenden Sie, wie im folgenden Beispiel gezeigt, den Befehl "Set-ManagementServer-GatewayManagementServer" der Befehlsshell, um ein Gatewayserverfailover auf mehrere Verwaltungsserver zu konfigurieren. Die Befehle können in jeder Befehlsshell der Verwaltungsgruppe ausgeführt werden.

So konfigurieren Sie ein Gatewayserverfailover zwischen Verwaltungsservern

  1. Melden Sie sich beim Verwaltungsserver mit einem Konto an, das der Administratorrolle für die Verwaltungsgruppe angehört.

  2. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf System Center Operations Manager, und klicken Sie dann auf Befehlsshell.

  3. Gehen Sie in der Befehlsshell wie im Beispiel im nächsten Abschnitt dargestellt vor.

Beschreibung

Anhand des folgenden Beispiels kann ein Gatewayserverfailover auf mehrere Verwaltungsserver konfiguriert werden.

Code

$primaryMS = Get-ManagementServer | where {hier Ihre Filterangabe} $failoverMS = Get-ManagementServer | where {hier Ihre Filterangabe} $gatewayMS = Get-ManagementServer | where {hier Ihre Filterangabe} Set-ManagementServer -gatewayManagementServer: $gatewayMS -ManagementServer: $primaryMS -FailoverServer: $failoverMS

Kommentare

Im vorhergehenden Beispiel müssen Sie für die ersten drei Befehle eine Filteranweisung erstellen. Im nachfolgenden Beispiel sehen Sie einen Filterbefehl, der für die Suche nach dem Computer computername.com geschrieben wurde, der der $failoverMS-Variable zugewiesen wird:

$failoverMS = Get-ManagementServer | where {$_.Name –eq ’computername.com’ }

Um Hilfe mit dem Set-ManagementServer-Befehl aufzurufen, geben Sie Folgendes in das Befehlsshellfenster ein:

Get-help Set-ManagementServer -full

So überprüfen Sie, ob das Gatewayserverfailover ordnungsgemäß ausgeführt wird

  1. Öffnen Sie ein Befehlsfenster mithilfe der Option Als Administrator ausführen.

  2. Geben Sie an der Eingabeaufforderung netstat –n|findstr 5723 ein.

    Hiermit werden die Netzwerkverbindungen des Gatewayservers für Port 5723 gesucht, und es werden die IP-Adressen angezeigt, mit denen der Gatewayserver über diesen Port kommuniziert. Die IP-Adresse des neuen Verwaltungsservers sollte in der Liste aufgeführt sein.