Konfigurieren und Verwenden der Active Directory-Integration für die Agentzuweisung
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
Mit System Center Operations Manager können Sie von Ihrer Investition in die Active Directory Domain Services (AD DS) profitieren, indem Sie mit Agents verwaltete Computer über AD DS zu Verwaltungsgruppen zuweisen. In diesem Thema erhalten Sie Informationen zum Erstellen und Verwalten der Konfiguration des Containers in AD, und der Agentzuweisungen der Verwaltungsserver, an die Agents Rückmeldung erstatten.
Erstellen eines Active Directory-Domänendienstcontainers für eine Verwaltungsgruppe
Die folgende Befehlszeilensyntax und Vorgehensweise kann zum Erstellen eines Active Directory Domain Service-Containers (AD DS) für eine Operations Manager-Verwaltungsgruppe in System Center verwendet werden. Zu diesem Zweck wird das Programm MOMADAdmin.exe bereitgestellt, das mit dem Operations Manager-Verwaltungsserver installiert wird. MOMADAdmin.exe muss von einem Administrator der angegebenen Domäne ausgeführt werden.
Befehlszeilensyntax:
<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
Wichtig
Sie müssen einen Wert in Anführungszeichen setzen, wenn dieser ein Leerzeichen enthält.
ManagementGroupName ist der Name der Verwaltungsgruppe, für die ein AD-Container erstellt wird.
MOMAdminSecurityGroup ist eine Domänensicherheitsgruppe mit dem Format Domäne\Sicherheitsgruppe, die ein Mitglied der Operations Manager-Sicherheitsrolle „Administratoren“ für die Verwaltungsgruppe ist.
RunAsAccount: Dies ist das Domänenkonto, das vom Verwaltungsserver verwendet wird, um Objekte in AD zu lesen, zu schreiben und zu löschen. Verwenden Sie das Format Domäne\Benutzername.
Domäne ist der Name der Domäne, in der der Verwaltungsgruppencontainer erstellt wird. „MOMADAdmin.exe“ kann nur auf verschiedenen Domänen ausgeführt werden, wenn eine bidirektionale Vertrauensstellung zwischen ihnen vorhanden ist.
Damit die Integration von Active Directory ausgeführt werden kann, muss die Sicherheitsgruppe entweder eine globale Sicherheitsgruppe (wenn die Integration von Active Directory in mehreren Domänen mit bidirektionaler Vertrauensstellung ausgeführt werden soll) oder eine lokale Domänengruppe sein (wenn die Integration von Active Directory nur in einer Domäne verwendet wird)
Um eine Sicherheitsgruppe in eine Administratorgruppe in Operations Manager hinzuzufügen, folgen Sie den unten stehenden Schritten.
Klicken Sie in der Betriebskonsole auf Verwaltung.
Wählen Sie im Arbeitsbereich Verwaltung unter Sicherheit die Option Benutzerrollen aus.
Klicken Sie unter Benutzerrollen auf Operations Manager-Administratoren und dann auf die Aktion Eigenschaften, oder klicken Sie mit der rechten Maustaste auf Operations Manager-Administratoren, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf Hinzufügen, um das Dialogfeld Gruppe auswählen zu öffnen.
Wählen Sie die gewünschte Sicherheitsgruppe aus, und klicken Sie dann auf OK, um das Dialogfeld zu schließen.
Klicken Sie auf OK, um die Benutzerrolleneigenschaften zu schließen.
Hinweis
Es wird empfohlen, dass Sie als Operations Manager-Administratorrolle eine Sicherheitsgruppe verwenden, die möglicherweise mehrere Gruppen enthält. Auf diese Weise können Gruppen und Gruppenmitglieder hinzugefügt und entfernt werden, ohne dass ein Domänenadministrator manuelle Schritte für das Zuweisen von untergeordneten Lese- und Löschberechtigungen für den Verwaltungsgruppencontainer ausführen muss.
Gehen Sie wie folgt vor, um den AD DS-Container zu erstellen.
Öffnen Sie eine Eingabeaufforderung als Administrator.
Geben Sie z. B. Folgendes an der Eingabeaufforderung ein:
"C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**Hinweis
Der Standardpfad für System Center 2016 – Operations Manager lautet: C:\Programme\Microsoft System Center 2016\Operations Manager. Für allen höheren Releases (1801, 1807 und 2019) lautet der Standardpfad „C:\Programme\Microsoft System Center\Operations Manager“.
Im vorhergehenden Befehlszeilenbeispiel wird
das Befehlszeilenprogramm „MOMADAdmin.exe“ von der Befehlszeile aus ausgeführt.
Erstellen Sie den AD DS-Container der Verwaltungsgruppe „Message Ops“ im AD DS-Schemastammverzeichnis der Domäne MessageDom. Wenn derselbe AD DS-Verwaltungsgruppencontainer in weiteren Domänen erstellt werden soll, muss das Programm MOMADAdmin.exe für jede Domäne ausgeführt werden.
Fügen Sie das Computerkonto MessageDom\MessageADIntAcct der AD DS-Sicherheitsgruppe MessageDom\MessageOMAdmins hinzu, und weisen Sie der AD DS-Sicherheitsgruppe die zum Verwalten des AD DS-Containers erforderlichen Rechte zu.
Zuweisen von Computern zu Verwaltungsservern mithilfe der Active Directory-Domänendienste
Der Agentzuordnungs- und Failover-Assistent von Operations Manager erstellt eine Agentzuweisungsregel, die Active Directory-Domänendienste (AD DS) zur Zuweisung von Computern zu einer Verwaltungsgruppe und zur Zuweisung der primären und sekundären Verwaltungsserver der Computer verwendet. Mit den folgenden Verfahren können Sie den Assistenten starten und verwenden.
Wichtig
Der Active Directory Domain Services-Container für die Verwaltungsgruppe muss vor der Ausführung des Agentzuordnungs- und Failover-Assistent erstellt werden.
Der Agentzuordnungs- und Failover-Assistent stellt den Agent nicht bereit. Sie müssen den Agent für Computer manuell bereitstellen, die MOMAgent.msi verwenden.
Eine Änderung der Agentzuweisungsregel kann dazu führen, dass Computer nicht mehr der Verwaltungsgruppe zugewiesen sind und daher nicht mehr von ihr überwacht werden. Die Computer nehmen den Status „kritisch“ an, weil die Computer keine Takte mehr an die Verwaltungsgruppe senden. Sie können diese Computer aus der Verwaltungsgruppe löschen, und wenn der Computer keiner anderen Verwaltungsgruppe zugewiesen ist, können Sie den Operations Manager-Agent deinstallieren.
So starten Sie den Agentzuordnungs- und Failover-Assistenten in Operations Manager
Melden Sie sich beim Computer mit einem Konto an, das Mitglied der Operations Manager-Administratorrolle ist.
Klicken Sie in der Betriebskonsole auf Verwaltung.
Klicken Sie im Arbeitsbereich Verwaltung auf Verwaltungsserver.
Klicken Sie im Bereich Verwaltungsserver mit der rechten Maustaste auf den Verwaltungsserver oder den Gatewayserver, der der primäre Verwaltungsserver für die Computer sein soll, die von den Regeln zurückgegeben werden, die Sie im nachfolgenden Verfahren erstellen. Klicken Sie dann auf Eigenschaften.
Hinweis
Gatewayserver funktionieren in diesem Zusammenhang wie Verwaltungsserver.
Klicken Sie im Dialogfeld Verwaltungsservereigenschaften auf die Registerkarte Automatische Agentzuweisung, und klicken Sie dann auf Hinzufügen, um den Agentzuordnungs- und Failover-Assistenten zu starten.
Klicken Sie im Agentzuordnungs- und Failover-Assistenten auf der Seite Einführung auf Weiter.
Hinweis
Die Seite Einführung wird nicht angezeigt, wenn der Assistent bereits ausgeführt wurde und dabei die Option Diese Seite nicht mehr anzeigen ausgewählt wurde.
Gehen Sie auf der Seite Domäne folgendermaßen vor:
Hinweis
Für die Zuweisung von Computern aus mehreren Domänen zu einer Verwaltungsgruppe wird für jede Domäne der Agentzuordnungs- und Failover-Assistent ausgeführt.
Wählen Sie aus der Dropdownliste Domänenname die Domäne der Computer aus. Der Verwaltungsserver und alle Computer im Ressourcenpool der AD-Agentzuordnung müssen den Domänennamen auflösen können.
Wichtig
Der Verwaltungsserver und die zu verwaltenden Computer müssen sich in Domänen mit bidirektionaler Vertrauensstellung befinden.
Stellen Sie die Option Ausführung als Profil auswählen auf das ausführende Profil ein, das mit dem ausführenden Konto verknüpft wurde, das bei der Ausführung von MOMADAdmin.exe für die Domäne bereitgestellt wurde. Das für die Agentzuweisung verwendete Standardkonto ist das während der Einrichtung festgelegte Standardaktionskonto, das auch als AD-basiertes Agentzuweisungskonto bezeichnet wird. Dieses Konto repräsentiert die bei der Verbindung mit Objekten eines festgelegten oder modifizierten AD einer Domäne verwendeten Anmeldeinformationen, und sollte mit dem bei der Ausführung von MOMAdmin.exe festgelegten Konto übereinstimmen. Wenn dies nicht das Konto war, das für die Ausführung von MOMADAdmin.exe verwendet wurde, wählen Sie Agentzuweisung in der angegebenen Domäne über ein anderes Konto durchführen aus, und erstellen oder wählen Sie dann das Konto aus der Dropdownliste Ausführung als Profil auswählen aus. Das Profil Active Directory-basiertes Agentzuweisungskonto muss so konfiguriert sein, dass es ein Administratorkonto von Operations Manager verwendet, das auf alle Server im Ressourcenpool der AD-Agentzuordnung verteilt ist.
Hinweis
Weitere Informationen zum Verwenden von ausführenden Profilen finden Sie unter Verwalten von ausführenden Konten und Profilen.
Geben Sie auf der Seite Einschließungskriterien entweder die LDAP-Abfrage für die Zuweisung von Computern zu diesem Verwaltungsserver in das Textfeld ein und klicken dann auf Weiter, oder klicken Sie auf Konfigurieren. Wenn Sie auf Konfigurieren klicken, gehen Sie wie folgt vor:
Geben Sie im Dialogfeld Computer suchen die gewünschten Kriterien für die Zuweisung von Computern zu diesem Verwaltungsserver oder Ihre festgelegte LDAP-Abfrage ein.
Mit der folgenden LDAP-Abfrage werden nur Computer zurückgegeben, auf denen das Windows Server-Betriebssystem ausgeführt wird. Domänencontroller sind ausgeschlossen.
(&(objectCategory=computer)(operatingsystem=*server*))Mit dieser LDAP-Beispielabfrage werden nur Computer zurückgegeben, auf denen das Windows Server-Betriebssystem ausgeführt wird. Domänencontroller und Server, auf denen die Operations Manager- oder Service Manager-Verwaltungsserverrolle gehostet wird, sind ausgeschlossen.
(&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))Weitere Informationen zu LDAP-Abfragen finden Sie unter Erstellen eines Abfragefilters und unter Active Directory: LDAP-Syntaxfilter.
Klicken Sie auf OK und dann auf Weiter.
Geben Sie auf der Seite Ausschließungskriterien den FQDN von Computern ein, die explizit nicht von diesem Verwaltungsserver verwaltet werden sollen, und klicken Sie dann auf Weiter.
Wichtig
Sie müssen die eingegebenen Computer-FQDNs mit einem Semikolon, einem Doppelpunkt oder einer neuen Zeile (STRG+Eingabetaste) voneinander trennen.
Wählen Sie auf der Seite Agentfailover entweder die Option Failover automatisch verwalten aus, und klicken Sie dann auf Erstellen, oder wählen Sie Failover manuell konfigurieren aus. Wenn Sie auf Failover manuell konfigurieren klicken, gehen Sie wie folgt vor:
Deaktivieren Sie die Kontrollkästchen für die Verwaltungsserver, die Agents nicht für ein Failover verwenden sollen.
Klicken Sie auf Erstellen.
Hinweis
Wenn Sie die Option Failover manuell konfigurieren auswählen, müssen Sie den Assistenten erneut ausführen, wenn Sie zu einem späteren Zeitpunkt der Verwaltungsgruppe einen Verwaltungsserver hinzufügen und die Agents den neuen Verwaltungsserver für ein Failover verwenden sollen.
Klicken Sie im Dialogfeld Verwaltungsservereigenschaften auf OK.
Denken Sie daran, dass es bis zu einer Stunde dauern kann, bis die Agentzuweisungseinstellung in AD DS weitergegeben wird.
Wenn der Vorgang abgeschlossen ist, wird die folgende Regel in der Verwaltungsgruppe erstellt, die die Klasse Ressourcenpool „AD-Zuordnung“ als Ziel ansetzt.

Diese Regel beinhaltet Informationen zur Agentzuweisungskonfiguration, die Sie im Assistent für Agentzuweisung und Agentfailover festlegen, wie etwa die LDAP-Abfrage.
Wenn Sie sichergehen möchten, dass die Verwaltungsgruppe ihre Information erfolgreich in AD veröffentlicht hat, suchen Sie im Ereignisprotokoll von Operations Manager auf dem Verwaltungsserver, auf dem die Agentzuweisungsregel definiert wurde, nach der Ereignis-ID 11470. In der Beschreibung sollte angegeben sein, dass alle Computer, die der Agentzuweisungsrolle hinzugefügt wurden, erfolgreich hinzugefügt wurden.

In Active Directory sollten unter dem Container „OperationsManager<ManagementGroupName>“, ähnlich wie in folgendem Beispiel, die erstellten Objekte des Dienstverbindungspunkts (Service Connection Point, SCP) angezeigt werden.

Die Regel erstellt außerdem zwei Sicherheitsgruppen mit dem NetBIOS-Namen des Verwaltungsservers – die erste mit dem Suffix „_PrimarySG<beliebige Zahl>” und die zweite mit dem Suffix „_SecondarySG”<beliebige Zahl>. In diesem Beispiel werden zwei Verwaltungsserver in der Verwaltungsgruppe bereitgestellt. Die primäre Sicherheitsgruppenmitgliedschaft ComputerB_Primary_SG_24901 enthält Computer, die mit der in Ihrer Agentzuweisungsregel definierten Einschließungsregel übereinstimmen. Die Sicherheitsgruppenmitgliedschaft ComputerA_Secondary_SG_38838 enthält die Sicherheitsgruppe der primären Gruppe, ComputerB_Primary_SG-29401, die das Computerkonto der Agents umfasst, die ein Failover auf diesen sekundären Verwaltungsserver ausführen, wenn der primäre Verwaltungsserver nicht reagiert. Der SCP-Name ist der NetBIOS-Name des Verwaltungsserver mit dem Suffix „_SCP“.
Hinweis
In diesem Beispiel werden nur Objekte einer einzelnen Verwaltungsgruppe angezeigt und nicht etwa andere möglicherweise vorhandene Verwaltungsgruppe, die mit einer AD-Integration konfiguriert wurden.
Manuelle Bereitstellung von Agents mit der Einstellung für die Active Directory-Integration
Unten stehend finden Sie ein Beispiel für die Befehlszeile, mit der Sie den Windows-Agent mithilfe der aktivierten AD-Integration manuell installieren können.
%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1
Ändern der Einstellung für die Active Directory-Integration eines Agents
Mit dem folgenden Verfahren können Sie die Einstellung für die Active Directory-Integration eines Agents ändern.
Klicken Sie auf dem mit Agents verwalteten Computer in der Systemsteuerung den Microsoft Monitoring Agent doppelt an.
Deaktivieren oder aktivieren Sie auf der Registerkarte Operations Manager das Kontrollkästchen Verwaltungsgruppenzuweisungen aus AD DS automatisch aktualisieren. Wenn Sie dieses Kontrollkästchen aktivieren, wird beim Start des Agents von diesem eine Liste der Verwaltungsgruppen aus Active Directory abgerufen, denen der Agent zugewiesen ist. Vorhandene Verwaltungsgruppen werden der Liste hinzugefügt. Wenn Sie dieses Kontrollkästchen deaktivieren, werden alle dem Agent in Active Directory zugewiesenen Verwaltungsgruppen aus der Liste entfernt.
Klicken Sie auf OK.
Integration von Active Directory mit nicht vertrauenswürdigen Domänen
- Erstellen Sie einen Benutzer in einer nicht vertrauenswürdigen Domäne mit Berechtigungen zum Lesen, Schreiben und Löschen von Objekten in Active Directory.
- Erstellen Sie eine Sicherheitsgruppe (domänenlokal oder global). Fügen Sie den Benutzer (in Schritt 1 erstellt) dieser Gruppe hinzu.
- Führen Sie für die nicht vertrauenswürdige Domäne MOMAdAdmin.exe mit den folgenden Parametern aus: path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
- Erstellen Sie ein neues „Ausführen als“-Konto in Operations Manager, und verwenden Sie dabei das in Schritt 1 erstellte Konto. Stellen Sie sicher, dass der Domänenname mit dem vollqualifizierten Domänennamen (FQDN) und nicht mit dem NetBIOS-Namen angegeben wird (z. B. CONTOSO.COM\ADUser).
- Verteilen Sie das Konto an den AD-Zuordnungsressourcenpool.
- Erstellen Sie ein neues „Ausführen als“-Profil im standardmäßigen Management Pack. Wenn dieses Profil in einem anderen Management Pack erstellt wird, stellen Sie sicher, dass das Management Pack versiegelt wird, damit auf andere Management Pack-Instanzen verwiesen werden kann.
- Fügen Sie das neu erstellte „Ausführen als“-Konto diesem Profil hinzu, und richten Sie es an den AD-Zuordnungsressourcenpool.
- Erstellen Sie die Active Directory-Integrationsregeln in Operations Manager.
Hinweis
Nach der Integration in eine nicht vertrauenswürdige Domäne zeigt jeder Verwaltungsserver die Warnmeldung Sicherheitsdatenbank auf dem Server hat kein Computerkonto für diese Arbeitsstations-Vertrauensstellung an, die angibt, dass bei der Überprüfung der Ausführung als von der AD-Zuweisung verwendetes Konto ein Fehler aufgetreten ist. Ereignis-ID 7000 oder 1105 wird im Operations Manager-Ereignisprotokoll generiert. Diese Warnung wirkt sich jedoch nicht auf die AD-Zuweisung in einer nicht vertrauenswürdigen Domäne aus.
Nächste Schritte
Weitere Informationen zur Installation des Windows-Agents aus der Betriebskonsole finden Sie unter Agentinstallation unter Windows mithilfe des Ermittlungs-Assistenten; Informationen zur Installation des Agents aus der Befehlszeile finden Sie unter Manuelles Installieren des Windows-Agents mithilfe von „MOMAgent.msi“.