Konfigurieren und Verwenden der Active Directory-Integration für die Agentzuweisung

Mit System Center Operations Manager können Sie von Ihrer Investition in die Active Directory Domain Services (AD DS) profitieren, indem Sie mit Agents verwaltete Computer über AD DS zu Verwaltungsgruppen zuweisen. Dieser Artikel hilft Ihnen beim Erstellen und Verwalten der Konfiguration des Containers in Active Directory, und die Agentzuweisung von Verwaltungsserver-Agents sollte Bericht erstatten.

Erstellen eines Active Directory-Domänendienstcontainers für eine Verwaltungsgruppe

Die folgende Befehlszeilensyntax und Vorgehensweise kann zum Erstellen eines Active Directory Domain Service-Containers (AD DS) für eine Operations Manager-Verwaltungsgruppe in System Center verwendet werden. Zu diesem Zweck wird das Programm MOMADAdmin.exe bereitgestellt, das mit dem Operations Manager-Verwaltungsserver installiert wird. MOMADAdmin.exe muss von einem Administrator der angegebenen Domäne ausgeführt werden.

Befehlszeilensyntax:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Wichtig

Sie müssen einen Wert in Anführungszeichen setzen, wenn dieser ein Leerzeichen enthält.

• ManagementGroupName ist der Name der Verwaltungsgruppe, für die ein AD-Container erstellt wird.

• MOMAdminSecurityGroup ist eine Domänensicherheitsgruppe mit dem Format Domäne\Sicherheitsgruppe, die ein Mitglied der Operations Manager-Sicherheitsrolle „Administratoren“ für die Verwaltungsgruppe ist.

• RunAsAccount: Dies ist das Domänenkonto, das vom Verwaltungsserver zum Lesen, Schreiben und Löschen von Objekten in AD verwendet wird. Verwenden Sie das Format Domäne\Benutzername.

• Domäne ist der Name der Domäne, in der der Verwaltungsgruppencontainer erstellt wird. „MOMADAdmin.exe“ kann nur auf verschiedenen Domänen ausgeführt werden, wenn eine bidirektionale Vertrauensstellung zwischen ihnen vorhanden ist.

Damit die Integration von Active Directory ausgeführt werden kann, muss die Sicherheitsgruppe entweder eine globale Sicherheitsgruppe (wenn die Integration von Active Directory in mehreren Domänen mit bidirektionaler Vertrauensstellung ausgeführt werden soll) oder eine lokale Domänengruppe sein (wenn die Integration von Active Directory nur in einer Domäne verwendet wird)

Um eine Sicherheitsgruppe in eine Administratorgruppe in Operations Manager hinzuzufügen, folgen Sie den unten stehenden Schritten.

1. Klicken Sie in der Betriebskonsole auf Verwaltung.

2. Wählen Sie im Arbeitsbereich Verwaltung unter Sicherheit die Option Benutzerrollen aus.

3. Wählen Sie unter Benutzerrollendie Option Operations Manager-Administratoren und dann die Aktion Eigenschaften aus, oder klicken Sie mit der rechten Maustaste auf Operations Manager-Administratoren , und wählen Sie Eigenschaften aus.

4. Wählen Sie Hinzufügen aus, um das Dialogfeld Gruppe auswählen zu öffnen.

5. Wählen Sie die gewünschte Sicherheitsgruppe aus, und wählen Sie dann OK aus, um das Dialogfeld zu schließen.

6. Wählen Sie OK aus, um benutzerrolleneigenschaften zu schließen.

Hinweis

Es wird empfohlen, dass Sie als Operations Manager-Administratorrolle eine Sicherheitsgruppe verwenden, die möglicherweise mehrere Gruppen enthält. Auf diese Weise können Gruppen und Gruppenmitglieder hinzugefügt und entfernt werden, ohne dass ein Domänenadministrator manuelle Schritte für das Zuweisen von untergeordneten Lese- und Löschberechtigungen für den Verwaltungsgruppencontainer ausführen muss.

Gehen Sie wie folgt vor, um den AD DS-Container zu erstellen.

1. Öffnen Sie eine Eingabeaufforderung als Administrator.

2. Geben Sie an der Eingabeaufforderung beispielsweise Folgendes ein:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Hinweis

Der derzeitige Standardpfad lautet: C:\Programme\Microsoft System Center\Operations Manager.

3. Im vorhergehenden Befehlszeilenbeispiel wird

   1. das Befehlszeilenprogramm „MOMADAdmin.exe“ von der Befehlszeile aus ausgeführt.

   2. Erstellen Sie den AD DS-Container der Verwaltungsgruppe „Message Ops“ im AD DS-Schemastammverzeichnis der Domäne MessageDom. Wenn derselbe AD DS-Verwaltungsgruppencontainer in weiteren Domänen erstellt werden soll, muss das Programm MOMADAdmin.exe für jede Domäne ausgeführt werden.

   3. Fügen Sie das Computerkonto MessageDom\MessageADIntAcct der AD DS-Sicherheitsgruppe MessageDom\MessageOMAdmins hinzu, und weisen Sie der AD DS-Sicherheitsgruppe die zum Verwalten des AD DS-Containers erforderlichen Rechte zu.

Zuweisen von Computern zu Verwaltungsservern mithilfe der Active Directory-Domänendienste

Der Agentzuordnungs- und Failover-Assistent von Operations Manager erstellt eine Agentzuweisungsregel, die Active Directory-Domänendienste (AD DS) zur Zuweisung von Computern zu einer Verwaltungsgruppe und zur Zuweisung der primären und sekundären Verwaltungsserver der Computer verwendet. Mit den folgenden Verfahren können Sie den Assistenten starten und verwenden.

Wichtig

Der Active Directory Domain Services-Container für die Verwaltungsgruppe muss vor der Ausführung des Agentzuordnungs- und Failover-Assistent erstellt werden.

Der Agentzuweisungs- und Failover-Assistent stellt den Agent nicht bereit. Sie müssen den Agent für Computer manuell bereitstellen, die MOMAgent.msi verwenden.

Eine Änderung der Agentzuweisungsregel kann dazu führen, dass Computer nicht mehr der Verwaltungsgruppe zugewiesen sind und daher nicht mehr von ihr überwacht werden. Die Computer nehmen den Status „kritisch“ an, weil die Computer keine Takte mehr an die Verwaltungsgruppe senden. Diese Computer können aus der Verwaltungsgruppe gelöscht werden, und wenn der Computer nicht anderen Verwaltungsgruppen zugewiesen ist, kann der Operations Manager-Agent deinstalliert werden.

So starten Sie den Agentzuordnungs- und Failover-Assistenten in Operations Manager

1. Melden Sie sich beim Computer mit einem Konto an, das Mitglied der Rolle Operations Manager-Administratoren ist.

2. Wählen Sie in der Betriebskonsole die Option Verwaltung aus.

3. Wählen Sie im Arbeitsbereich Verwaltung die Option Verwaltungsserver aus.

4. Klicken Sie im Bereich Verwaltungsserver mit der rechten Maustaste auf den Verwaltungsserver oder Gatewayserver, der als primärer Verwaltungsserver für die Computer gilt, die von den Regeln zurückgegeben werden, die Sie im folgenden Verfahren erstellen, und wählen Sie dann Eigenschaften aus.

   Hinweis

   Gatewayserver funktionieren in diesem Zusammenhang wie Verwaltungsserver.

5. Wählen Sie im Dialogfeld Eigenschaften des Verwaltungsservers die Registerkarte Automatische Agentzuweisung aus, und wählen Sie dann Hinzufügen aus, um den Agentzuweisungs- und Failover-Assistenten zu starten.

6. Wählen Sie im Agentzuweisungs- und Failover-Assistenten auf der Seite Einführung die Option Weiter aus.

   Hinweis

   Die Seite Einführung wird nicht angezeigt, wenn der Assistent ausgeführt wurde und diese Seite nicht erneut anzeigen ausgewählt wurde.

7. Gehen Sie auf der Seite Domäne folgendermaßen vor:

   Hinweis

   Für die Zuweisung von Computern aus mehreren Domänen zu einer Verwaltungsgruppe wird für jede Domäne der Agentzuordnungs- und Failover-Assistent ausgeführt.

   • Wählen Sie in der Dropdownliste Domänenname die Domäne der Computer aus. Der Verwaltungsserver und alle Computer im Ressourcenpool der AD-Agentzuordnung müssen den Domänennamen auflösen können.

     Wichtig

     Der Verwaltungsserver und die zu verwaltenden Computer müssen sich in Domänen mit bidirektionaler Vertrauensstellung befinden.

   • Stellen Sie die Option Ausführung als Profil auswählen auf das ausführende Profil ein, das mit dem ausführenden Konto verknüpft wurde, das bei der Ausführung von MOMADAdmin.exe für die Domäne bereitgestellt wurde. Das für die Agentzuweisung verwendete Standardkonto ist das während der Einrichtung festgelegte Standardaktionskonto, das auch als AD-basiertes Agentzuweisungskonto bezeichnet wird. Dieses Konto repräsentiert die bei der Verbindung mit Objekten eines festgelegten oder modifizierten AD einer Domäne verwendeten Anmeldeinformationen, und sollte mit dem bei der Ausführung von MOMAdmin.exe festgelegten Konto übereinstimmen. Wenn dies nicht das Konto war, das zum Ausführen MOMADAdmin.exe verwendet wurde, wählen Sie Verwenden eines anderen Kontos zum Ausführen der Agentzuweisung in der angegebenen Domäne und dann das Konto in der Dropdownliste Ausführende Profil auswählen aus, oder erstellen Sie das Konto. Das Profil des Active Directory-basierten Agent-Zuweisungskontos muss für die Verwendung eines Operations Manager-Administratorkontos konfiguriert werden, das an alle Server im Ressourcenpool für die AD-Agent-Zuweisung verteilt wird.

     Hinweis

     Weitere Informationen zum Verwenden von ausführenden Profilen finden Sie unter Verwalten von ausführenden Konten und Profilen.

8. Geben Sie auf der Seite Inklusionskriterien entweder die LDAP-Abfrage zum Zuweisen von Computern zu diesem Verwaltungsserver in das Textfeld ein, und wählen Sie dann Weiter aus, oder wählen Sie Konfigurieren aus. Wenn Sie Konfigurieren auswählen, gehen Sie wie folgt vor:

   1. Geben Sie im Dialogfeld Computer suchen die gewünschten Kriterien für die Zuweisung von Computern zu diesem Verwaltungsserver ein, oder geben Sie Ihre spezifische LDAP-Abfrage ein.

      Mit der folgenden LDAP-Abfrage werden nur Computer zurückgegeben, auf denen das Windows Server-Betriebssystem ausgeführt wird. Domänencontroller sind ausgeschlossen.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Mit dieser LDAP-Beispielabfrage werden nur Computer zurückgegeben, auf denen das Windows Server-Betriebssystem ausgeführt wird. Domänencontroller und Server, auf denen die Operations Manager- oder Service Manager-Verwaltungsserverrolle gehostet wird, sind ausgeschlossen.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Weitere Informationen zu LDAP-Abfragen finden Sie unter Erstellen eines Abfragefilters und unter Active Directory: LDAP-Syntaxfilter.

   2. Wählen Sie OK und anschließend Weiter aus.

9. Geben Sie auf der Seite Ausschlusskriterien den FQDN der Computer ein, deren Verwaltung durch diesen Verwaltungsserver explizit verhindert werden soll, und wählen Sie dann Weiter aus.

   Wichtig

   Sie müssen die eingegebenen Computer-FQDNs mit einem Semikolon, einem Doppelpunkt oder einer neuen Zeile (STRG+Eingabetaste) voneinander trennen.

10. Wählen Sie auf der Seite Agentfailover entweder Failover automatisch verwalten aus, und wählen Sie Erstellen oder Failover manuell konfigurieren aus. Wenn Sie auf Failover manuell konfigurieren klicken, gehen Sie wie folgt vor:

    1. Deaktivieren Sie die Kontrollkästchen der Verwaltungsserver, auf die die Agents kein Failover ausführen sollen.

    2. Klicken Sie auf Erstellen.

       Hinweis

       Wenn Sie die Option Failover manuell konfigurieren auswählen, müssen Sie den Assistenten erneut ausführen, wenn Sie zu einem späteren Zeitpunkt der Verwaltungsgruppe einen Verwaltungsserver hinzufügen und die Agents den neuen Verwaltungsserver für ein Failover verwenden sollen.

11. Wählen Sie im Dialogfeld Eigenschaften des VerwaltungsserversOK aus.

Hinweis

Es kann bis zu einer Stunde dauern, bis die Agentzuweisungseinstellung in AD DS weitergegeben wird.

Wenn der Vorgang abgeschlossen ist, wird die folgende Regel in der Verwaltungsgruppe erstellt, die die Klasse Ressourcenpool „AD-Zuordnung“ als Ziel ansetzt.


Diese Regel beinhaltet Informationen zur Agentzuweisungskonfiguration, die Sie im Assistent für Agentzuweisung und Agentfailover festlegen, wie etwa die LDAP-Abfrage.

Wenn Sie sichergehen möchten, dass die Verwaltungsgruppe ihre Information erfolgreich in AD veröffentlicht hat, suchen Sie im Ereignisprotokoll von Operations Manager auf dem Verwaltungsserver, auf dem die Agentzuweisungsregel definiert wurde, nach der Ereignis-ID 11470. In der Beschreibung sollte sie angeben, dass alle Computer, die der Agentzuweisungsregel hinzugefügt wurden, erfolgreich hinzugefügt wurden.

In Active Directory sollten unter dem Container „OperationsManager<ManagementGroupName>“, ähnlich wie in folgendem Beispiel, die erstellten Objekte des Dienstverbindungspunkts (Service Connection Point, SCP) angezeigt werden.

Die Regel erstellt auch zwei Sicherheitsgruppen mit dem Namen des NetBIOS-Verwaltungsservers: die erste mit dem Suffix "_PrimarySG<Zufallszahl>" und die zweite "_SecondarySG<Zufallszahl>". In diesem Beispiel werden zwei Verwaltungsserver in der Verwaltungsgruppe bereitgestellt, und die primäre Sicherheitsgruppe ComputerB_Primary_SG_24901 Mitgliedschaft umfasst Computer, die der in Ihrer Agentzuweisungsregel definierten Include-Regel entsprechen, und die Sicherheitsgruppe ComputerA_Secondary_SG_38838 Mitgliedschaft umfasst die primäre Gruppe ComputerB_Primary_SG-29401 Sicherheitsgruppe, die das Computerkonto von Agents enthält, die ein Failover auf diesen sekundären Verwaltungsserver ausführen würden, wenn der primäre Verwaltungsserver nicht reagiert. Der SCP-Name ist der NetBIOS-Name des Verwaltungsserver mit dem Suffix „_SCP“.

Hinweis

In diesem Beispiel werden nur Objekte aus einer einzelnen Verwaltungsgruppe und nicht andere Verwaltungsgruppen angezeigt, die möglicherweise vorhanden und auch mit DER AD-Integration konfiguriert sind.

Manuelle Bereitstellung von Agents mit der Einstellung für die Active Directory-Integration

Unten stehend finden Sie ein Beispiel für die Befehlszeile, mit der Sie den Windows-Agent mithilfe der aktivierten AD-Integration manuell installieren können.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Ändern der Einstellung für die Active Directory-Integration eines Agents

Mit dem folgenden Verfahren können Sie die Einstellung für die Active Directory-Integration eines Agents ändern.

1. Doppelklicken Sie auf dem vom Agent verwalteten Computer im Systemsteuerung auf Microsoft Monitoring Agent.

2. Deaktivieren oder aktivieren Sie auf der Registerkarte Operations Manager das Kontrollkästchen Verwaltungsgruppenzuweisungen aus AD DS automatisch aktualisieren. Wenn Sie dieses Kontrollkästchen aktivieren, wird beim Start des Agents von diesem eine Liste der Verwaltungsgruppen aus Active Directory abgerufen, denen der Agent zugewiesen ist. Vorhandene Verwaltungsgruppen werden der Liste hinzugefügt. Wenn Sie dieses Kontrollkästchen deaktivieren, werden alle dem Agent in Active Directory zugewiesenen Verwaltungsgruppen aus der Liste entfernt.

3. Klicken Sie auf OK.

Integration von Active Directory mit nicht vertrauenswürdigen Domänen

1. Erstellen Sie einen Benutzer in einer nicht vertrauenswürdigen Domäne mit Berechtigungen zum Lesen, Schreiben und Löschen von Objekten in AD.
2. Erstellen Sie eine Sicherheitsgruppe (domänenlokal oder global). Fügen Sie den Benutzer (in Schritt 1 erstellt) dieser Gruppe hinzu.
3. Führen Sie für die nicht vertrauenswürdige Domäne MOMAdAdmin.exe mit den folgenden Parametern aus: path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
4. Erstellen Sie ein neues ausführenes Konto in Operations Manager. verwenden Sie das in Schritt 1 erstellte Konto. Stellen Sie sicher, dass der Domänenname mit FQDN und nicht mit NetBIOS-Name (z. B. CONTOSO.COM\ADUser) angegeben wird.
5. Verteilen Sie das Konto an den AD-Zuordnungsressourcenpool.
6. Erstellen Sie ein neues ausführenes Profil im Standardverwaltungspaket. Wenn dieses Profil in einem anderen Management Pack erstellt wird, stellen Sie sicher, dass das Management Pack versiegelt wird, damit auf andere Management Pack-Instanzen verwiesen werden kann.
7. Fügen Sie diesem Profil das neu erstellte ausführende Konto hinzu, und richten Sie es an den AD-Zuweisungsressourcenpool aus.
8. Erstellen Sie die Active Directory-Integrationsregeln in Operations Manager.

Hinweis

Nach der Integration in nicht vertrauenswürdige Domäne zeigt jeder Verwaltungsserver die Warnmeldung An, dass die Sicherheitsdatenbank auf dem Server kein Computerkonto für diese Arbeitsstationsvertrauensbeziehung aufweist, die angibt, dass bei der Überprüfung des ausführenden Kontos, das von der AD-Zuweisung verwendet wird, ein Fehler aufgetreten ist. Ereignis-ID 7000 oder 1105 wird im Operations Manager-Ereignisprotokoll generiert. Diese Warnung hat jedoch keine Auswirkungen auf die AD-Zuweisung in einer nicht vertrauenswürdigen Domäne.

Nächste Schritte

Weitere Informationen zur Installation des Windows-Agents aus der Betriebskonsole finden Sie unter Agentinstallation unter Windows mithilfe des Ermittlungs-Assistenten; Informationen zur Installation des Agents aus der Befehlszeile finden Sie unter Manuelles Installieren des Windows-Agents mithilfe von „MOMAgent.msi“.