Installieren eines Gatewayservers

Wichtig

Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.

Mithilfe von Gatewayservern wird die Agentverwaltung von Computern aktiviert, die sich außerhalb der Kerberos-Vertrauensgrenzen von Verwaltungsgruppen befinden, beispielsweise in einer nicht vertrauenswürdigen Domäne. Der Gatewayserver wird als Konzentrationspunkt für die Kommunikation zwischen Agent und Verwaltungsserver verwendet. Die Kommunikation von Agents in nicht vertrauenswürdigen Domänen erfolgt mit dem Gatewayserver, und die Kommunikation des Gatewayservers erfolgt mit einem oder mehreren Verwaltungsservern. Da die Kommunikation der Gatewayserver und Verwaltungsserver nur über einen Port (TCP 5723) erfolgt, muss bei zwischengeschalteten Firewalls nur dieser Port geöffnet sein, um die Verwaltung von mehreren mit Agents verwalteten Computern zu ermöglichen. In einer Einzeldomäne können mehrere Gatewayserver eingerichtet werden, sodass ein Failover der Agents möglich ist, wenn die Verbindung zu einem Gatewayserver unterbrochen wird. Entsprechend kann ein einzelner Gatewayserver für ein Failover zwischen Verwaltungsservern konfiguriert werden, sodass keine einzelne Fehlerquelle in der Kommunikationskette vorhanden ist.

Da sich der Gatewayserver in einer Domäne befindet, die für die Domäne mit der Verwaltungsgruppe als nicht vertrauenswürdig gilt, müssen Identität, Agent, Gateway- und Verwaltungsserver jedes Computers mithilfe von Zertifikaten ermittelt werden. Mit dieser Vorgehensweise ist die Operations Manager-Anforderung einer gegenseitigen Authentifizierung erfüllt.

Stellen Sie sicher, dass der Server die Mindestsystemanforderungen für System Center – Operations Manager erfüllt. Weitere Informationen finden Sie unter Systemanforderungen für System Center Operations Manager.

Hinweis

Wenn Ihre Sicherheitsrichtlinien TLS 1.0 und 1.1 einschränken, schlägt die Installation einer neuen Rolle des Operations Manager 2016-Gatewayservers fehl, da das Installationsmedium keine Updates für die Unterstützung von TLS 1.2 enthält. Diese Rolle kann nur installiert werden, indem TLS 1.0 auf dem System aktiviert, Update Rollup 4 angewendet und dann TLS 1.2 auf dem System aktiviert wird. Diese Einschränkung gilt nicht für Operations Manager Version 1801.

How to deploy a gateway server (So stellen Sie einen Gatewayserver bereit)

  1. Fordern Sie Zertifikate für jeden Computer innerhalb der Agent-, Gatewayserver- und Verwaltungsserverkette an.

  2. Importieren Sie diese Zertifikate mithilfe des Tools MOMCertImport.exe in die Zielcomputer.

  3. Verteilen Sie Microsoft.EnterpriseManagement.GatewayApprovalTool.exe auf dem Verwaltungsserver.

  4. Führen Sie das Tool Microsoft.EnterpriseManagement.GatewayApprovalTool.exe aus, um die Kommunikation zwischen dem Verwaltungsserver und dem Gateway zu initiieren.

  5. Den Gatewayserver installieren

Vorbereiten der Installation

Vorbereitung

  1. Für die Bereitstellung von Gatewayservern sind Zertifikate erforderlich. Sie benötigen Zugriff auf eine Zertifizierungsstelle. Dabei kann es sich um eine öffentliche Zertifizierungsstelle wie VeriSign handeln, oder Sie können Microsoft-Zertifikatdienste verwenden. In diesem Verfahren sind die Schritte zum Anfordern, Abrufen und Importieren eines Zertifikats über die Microsoft-Zertifikatdienste beschrieben.

  2. Zwischen den über Agents verwalteten Computern und dem Gatewayserver sowie zwischen dem Gatewayserver und den Verwaltungsservern muss eine zuverlässige Namensauflösung implementiert sein. Diese Namensauflösung erfolgt üblicherweise über DNS. Wenn keine ordnungsgemäße Namensauflösung über DNS möglich ist, müssen möglicherweise in den Hostdateien der einzelnen Computer Einträge erstellt werden.

    Hinweis

    Die Hostdatei befindet sich im Verzeichnis „\Windows\system32\drivers\“ und enthält Anweisungen zur Konfiguration.

Abrufen von Computerzertifikaten aus Microsoft-Zertifikatdiensten

Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste.

Verteilen von Microsoft.EnterpriseManagement.GatewayApprovalTool

Das Tool Microsoft.EnterpriseManagement.GatewayApprovalTool.exe wird nur auf dem Verwaltungsserver benötigt und muss nur einmal ausgeführt werden.

Kopieren von Microsoft.EnterpriseManagement.GatewayApprovalTool.exe auf Verwaltungsserver
  1. Öffnen Sie von einem Zielverwaltungsserver aus das Verzeichnis „\SupportTools\(amd64 oder x86)“ auf dem Operations Manager-Installationsmedium.

  2. Kopieren Sie Microsoft.EnterpriseManagement.GatewayApprovalTool.exe vom Installationsmedium in das Operations Manager-Installationsverzeichnis.

Registrieren des Gateways für die Verwaltungsgruppe

Über dieses Verfahren wird der Gatewayserver bei der Verwaltungsgruppe registriert, und nach Abschluss dieses Vorgangs wird der Gatewayserver in der Ansicht „Ermitteltes Inventar“ der Verwaltungsgruppe angezeigt.

Ausführen des Gatewaygenehmigungstools
  1. Melden Sie sich auf dem Verwaltungsserver, der bei der Installation des Gatewayservers als Ziel angegeben wurde, über das Operations Manager-Administratorkonto an.

  2. Öffnen Sie eine Eingabeaufforderung, und navigieren Sie zum Operations Manager-Installationsverzeichnis bzw. zum Verzeichnis, in das Sie Microsoft.EnterpriseManagement.gatewayApprovalTool.exe kopiert haben.

  3. Führen Sie an einer Eingabeaufforderung folgenden Befehl aus: Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create

    Hinweis

    Um zu verhindern, dass der Gatewayserver die Kommunikation mit einem Verwaltungsserver initiiert, nehmen Sie den Parameter /ManagementServerInitiatesConnection in der Befehlszeile auf.

  4. Nach erfolgreicher Genehmigung wird Folgendes angezeigt: The approval of server <GatewayFQDN> completed successfully.

  5. Wenn der Gatewayserver aus der Verwaltungsgruppe entfernt werden muss, führen Sie denselben Befehl aus, ersetzen dabei jedoch /Action=Delete durch /Action=Create.

  6. Öffnen Sie die Ansicht „Überwachung“ in der Betriebskonsole. Wählen Sie die Ansicht „Ermitteltes Inventar“, um zu überprüfen, ob der Gatewayserver angezeigt wird.

Installieren des Gatewayservers

Über diese Vorgehensweise wird der Gatewayserver installiert. Der Server, der als Gatewayserver genutzt werden soll, sollte Mitglied derselben Domäne sein wie die von Agents verwalteten Computer, die Berichte an den Gatewayserver senden.

Tipp

Bei der Installation tritt ein Fehler auf, wenn Windows Installer gestartet wird (z. B. bei der Installation eines Gatewayservers durch Doppelklicken auf MOMGateway.msi), während die lokale Sicherheitsrichtlinie „Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen“ aktiviert ist.

Ausführen von Windows Installer für das Operations Manager-Gateway über ein Eingabeaufforderungsfenster
  1. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf Zubehör, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Navigieren Sie im Fenster Administrator: Eingabeaufforderung zum lokalen Laufwerk, auf dem das Operations Manager-Installationsmedium gehostet wird.

  3. Navigieren Sie zum Verzeichnis mit der MSI-Datei, geben Sie den Namen der MSI-Datei ein, und drücken Sie die EINGABETASTE.

Installieren des Gatewayservers
  1. Melden Sie sich mit Administratorrechten beim Gatewayserver an.

  2. Starten Sie auf dem Operations Manager-Installationsmedium Setup.exe.

  3. Klicken Sie im Bereich Installation auf den Link Gatewayverwaltungsserver.

  4. Klicken Sie auf dem Bildschirm Willkommen auf Weiter.

  5. Übernehmen Sie auf der Seite Zielordner die Standardeinstellung, oder klicken Sie auf Ändern, um ein anderes Installationsverzeichnis anzugeben. Klicken Sie dann auf Weiter.

  6. Geben Sie auf der Seite Verwaltungsgruppenkonfiguration im Feld Verwaltungsgruppenname den Namen der Zielverwaltungsgruppe ein, geben Sie im Feld Verwaltungsserver den Namen des Zielverwaltungsservers ein, überprüfen Sie, ob für Verwaltungsserverport der Wert 5723 ausgewählt ist, und klicken Sie dann auf Weiter. Dieser Port kann geändert werden, wenn Sie einen anderen Port für die Verwaltungsserverkommunikation in der Betriebskonsole aktiviert haben.

  7. Wählen Sie auf der Seite Gateway-Aktionskonto die Kontooption Lokales System aus, sofern Sie nicht eigens ein domänenbasiertes oder lokales computerbasiertes Gateway-Aktionskonto erstellt haben. Klicken Sie auf Weiter.

  8. Geben Sie auf der Seite Microsoft Update optional an, ob Microsoft Update verwendet werden soll, und klicken Sie dann auf Weiter.

  9. Klicken Sie auf der Seite Bereit zum Installieren auf Installieren.

  10. Klicken Sie auf der Seite Wird abgeschlossen auf Fertig stellen.

Installieren des Gatewayservers über eine Eingabeaufforderung
  1. Melden Sie sich mit Administratorrechten beim Gatewayserver an.

  2. Öffnen Sie mithilfe der Option Als Administrator ausführen ein Eingabeaufforderungsfenster.

  3. Führen Sie den folgenden Befehl aus, wobei path\Directory der Speicherort von Momgateway.msi und path\Logs der Speicherort für die Protokolldatei ist. Momgateway.msi befindet sich auf dem Operations Manager-Installationsmedium.

    %WinDir%\System32\msiexec.exe /i path\Directory\MOMGateway.msi /qn /l*v C:\Logs\GatewayInstall.log
    ADDLOCAL=MOMGateway
    MANAGEMENT_GROUP="<ManagementGroupName>"
    IS_ROOT_HEALTH_SERVER=0
    ROOT_MANAGEMENT_SERVER_AD=<ParentMSFQDN>
    ROOT_MANAGEMENT_SERVER_DNS=<ParentMSFQDN>
    ACTIONS_USE_COMPUTER_ACCOUNT=0
    ACTIONSDOMAIN=<DomainName>
    ACTIONSUSER=<ActionAccountName>
    ACTIONSPASSWORD=<Password>
    ROOT_MANAGEMENT_SERVER_PORT=5723
    [INSTALLDIR=<path\Directory>]
    

Importieren von Zertifikaten mit dem Tool MOMCertImport.exe

Führen Sie diesen Vorgang auf jedem Gatewayserver, Verwaltungsserver und Computer aus, der von Agents verwaltet wird und sich in einer nicht vertrauenswürdigen Domäne befindet.

Importieren von Computerzertifikaten mithilfe von MOMCertImport.exe
  1. Kopieren Sie das Tool „MOMCertImport.exe“ aus dem Verzeichnis „\SupportTools\(amd64 oder x86)“ des Installationsmediums in das Stammverzeichnis des Zielservers oder in das Operations Manager-Installationsverzeichnis, wenn es sich bei dem Zielserver um einen Verwaltungsserver handelt.

  2. Öffnen Sie als Administrator ein Eingabeaufforderungsfenster, und ändern Sie das Verzeichnis in das Verzeichnis mit MOMCertImport.exe. Führen Sie dann momcertimport.exe /SubjectName <certificate subject name> aus. Dadurch kann das Zertifikat von Operations Manager verwendet werden.

Konfigurieren von Gatewayservern für ein Failover zwischen Verwaltungsservern

Wenngleich Gatewayserver mit jedem Verwaltungsserver in der Verwaltungsgruppe kommunizieren können, muss diese Kommunikation konfiguriert werden. In diesem Szenario werden die sekundären Verwaltungsserver als Ziele für ein Gatewayserverfailover festgelegt.

Verwenden Sie den Befehl Set-SCOMParentManagementServer in der Operations Manager-Shell, wie im folgenden Beispiel gezeigt, um ein Gatewayserverfailover auf mehrere Verwaltungsserver zu konfigurieren. Die Befehle können in jeder Befehlsshell in der Verwaltungsgruppe ausgeführt werden.

Konfigurieren eines Gatewayserverfailovers zwischen Verwaltungsservern
  1. Melden Sie sich beim Verwaltungsserver mit einem Konto an, das Mitglied der Administratorrolle für die Verwaltungsgruppe ist.

  2. Klicken Sie auf dem Windows-Desktop auf Start, zeigen Sie auf Programme, zeigen Sie auf System Center Operations Manager, und klicken Sie dann auf Befehlsshell.

  3. Geben Sie in der Befehlsshell die folgenden Befehle ein:

    $GatewayServer = Get-SCOMGatewayManagementServer-Namen "ComputerName.Contoso.com" $FailoverServer = Get-SCOMManagementServer-Namen "ManagementServer.Contoso.com","ManagementServer2.Contoso.com" Set-SCOMParentManagementServer - GatewayServer $GatewayServer - FailoverServer $FailoverServer

Konfigurieren einer Kette aus mehreren Gatewayservern

In einigen Fällen kann es notwendig sein, mehrere Gateways in einer Kette zu verbinden, um eine Überwachung über verschiedene nicht vertrauenswürdige Grenzen hinweg zu ermöglichen. In diesem Thema wird beschrieben, wie mehrere Gateways miteinander „verkettet“ werden.

Hinweis

  • Installieren Sie jeweils nur ein Gateway, und überprüfen Sie die ordnungsgemäße Konfiguration des neu installierten Gateways, bevor Sie ein weiteres Gateway zur Kette hinzufügen.
  • Wenn Sie das Gatewayende der Kette demselben Ressourcenpool hinzufügen, konfigurieren Sie kein Failover auf die andere Kette mithilfe des Befehls Set-SCOMParentManagementServer. In einem solchen Szenario funktioniert der Pool nicht wie erwartet. Damit die Failoverkonfiguration und der Ressourcenpool zusammen funktionieren, sollte das Gatewayende der Kette dasselbe übergeordnete Element haben.
  1. Führen Sie auf dem Verwaltungsserver, der bei der Installation des Gateways als Ziel angegeben wurde, das Tool Microsoft.EnterpriseManagement.GatewayApprovalTool.exe aus, um die Kommunikation zwischen dem Verwaltungsserver und dem Gateway zu initiieren.
  2. Öffnen Sie eine Eingabeaufforderung, navigieren Sie zum Operations Manager-Installationsverzeichnis, und führen Sie den folgenden Befehl aus: Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create
  3. Installieren Sie den Gatewayserver auf einem neuen Server.
  4. Gehen Sie bei der Konfiguration der Zertifikate zwischen Gateways genauso vor, wie bei Zertifikaten zwischen einem Gateway und einem Verwaltungsserver. Der Integritätsdienst kann jeweils nur ein einziges Zertifikat laden und verwenden. Daher wird ein und dasselbe Zertifikat vom übergeordneten und untergeordneten Gateway innerhalb der Kette verwendet.

Nächste Schritte