Átjárókiszolgáló telepítése

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

Az átjárókiszolgálókat általában a felügyeleti csoportok Kerberos megbízhatósági határain kívül eső ügyfélszámítógépek figyelésére használják. Ugyanakkor ugyanazon a tartományon belül is használhatók, ha hálózati szegmentálás miatt fel kell osztani a környezetet, vagy ha a felügyeleti csoporthoz "távoli" ügynökök csatlakoznak.

Az ügynökök közvetlenül kommunikálnak az átjárókiszolgálóval, és az átjárókiszolgáló egy vagy több felügyeleti kiszolgálóval kommunikál. Több átjárókiszolgáló is elhelyezhető egyetlen tartományban, így az ügynökök feladatátvételt végezhetnek az egyikről a másikra, ha elveszítik az elsődleges átjáróval folytatott kommunikációt. Hasonlóképpen, egyetlen átjárókiszolgáló konfigurálható úgy, hogy feladatátvételt végezzenek a felügyeleti kiszolgálók között, hogy a kommunikációs láncban ne legyen egyetlen meghibásodási pont sem. Az átjárókiszolgáló proxyként szolgál az ügynökök közötti kiszolgáló-kommunikációhoz, így csak egy portot lehet megnyitni a hálózatok között a több helyett. Tanúsítványokat kell használni az egyes számítógépek identitásának létrehozásához, ha kívül esik a Kerberos megbízhatósági határain. Tanúsítványok nélkül a rendszerek csatlakozhatnak, de megtagadhatják a kommunikációt, mert nem tudják hitelesíteni a kapcsolatot.

A folytatás előtt győződjön meg arról, hogy a kiszolgáló megfelel a System Center – Operations Manager minimális rendszerkövetelményeinek. További információ: System Requirements for System Center Operations Manager (A System Center Operations Manager rendszerkövetelményei).

Megjegyzés

Ha a biztonsági házirendek korlátozzák a TLS 1.0-s és 1.1-et, az új Operations Manager 2016-os átjárókiszolgálói szerepkör telepítése sikertelen lesz, mert a telepítési adathordozó nem tartalmazza a TLS 1.2-t támogató frissítéseket. Ezt a szerepkört csak úgy telepítheti, ha engedélyezi a TLS 1.0-t a rendszeren, alkalmazza a 4. kumulatív frissítést, majd engedélyezze a TLS 1.2-t a rendszeren. Ez a korlátozás nem vonatkozik az Operations Manager 1801-es verziójára.

Előfeltételek

Az átjárószerepkör normál forgatókönyvben történő telepítése előtt három fontos dologra van szükség:

1. A tanúsítványokat létre kell hozni az átjáró és a felügyeleti kiszolgáló(ok) számára, és telepíteni kell őket a tanúsítványtárolókba.
   • Ha az átjárót és az ügyfélkiszolgálókat munkacsoport-forgatókönyvben használják, akkor az ügyfeleknek tanúsítványokra is szükségük van.
2. A kívánt átjárókiszolgálónak "Jóváhagyva" kell lennie ahhoz, hogy a felügyeleti csoport átjárója legyen a telepítés előtt.
3. Az 5723-as portot meg kell nyitni az átjáró és a felügyeleti kiszolgáló között a következő útmutatóban leírtak szerint: Tűzfal konfigurálása az Operations Managerhez

Tanúsítványok és névfeloldás

1. Az átjárókiszolgálók kétirányú tranzitív megbízhatósági kapcsolat nélküli tartományokban vagy munkacsoportokban történő üzembe helyezéséhez tanúsítványokat kell használni a hitelesítéshez. Az elsődleges és feladatátvételi felügyeleti kiszolgálóknak a hozzájuk csatlakozó átjárón kívül is szükség van rájuk. Ezek a tanúsítványok a Microsoft Tanúsítványszolgáltatások hitelesítésszolgáltatójától vagy egy külső hitelesítésszolgáltatótól származhatnak, ha megfelelően vannak konfigurálva az Operations Managerhez. Ha segítségre van szüksége ezeknek a tanúsítványoknak a létrehozásához, használja az alábbi útmutatót: Tanúsítvány beszerzése Windows Serverekkel és System Center Operations Managerrel való használatra

   Megjegyzés

   • A felügyeleti csoporttal azonos tartományba vagy megosztott megbízhatósági csoportba tartozó átjárókiszolgálókhoz nincs szükség tanúsítványokra.
   • Ha az átjáró és az ügynökök munkacsoportba tartoznak, akkor minden felügyeleti kiszolgálóhoz, átjáróhoz és ügyfélszámítógéphez tanúsítványra lesz szükségünk, amelyek figyelve lesznek, mivel a munkacsoporton belül nincs tartomány a rendszerek hitelesítésének elkeserítéséhez.

2. Megbízható névfeloldásnak kell lennie az ügynök által felügyelt számítógépek és az átjárókiszolgáló, valamint az átjárókiszolgáló és a felügyeleti kiszolgáló között. A névfeloldás általában a DNS-sel történik. Ha azonban nem lehet helyes névfeloldást lekérni a DNS-sel, előfordulhat, hogy manuálisan kell létrehozni a bejegyzéseket az egyes számítógépek gazdagépfájljában.

   Fontos

   A továbbítási és fordított névfeloldásokat a rendszer ellenőrzi, mielőtt a hitelesítés átmegy a kiszolgálók között. Ha az IP-cím ellenőrzésekor eltérő állomásnevet vagy teljes tartománynevet kapunk, a hitelesítés sikertelen lesz.

   Tipp

   A gazdagépfájl a %SystemRoot%\system32\drivers\etc könyvtárban található, és tartalmazza a konfigurációs utasításokat. Ezt a jegyzettömbben vagy más, rendszergazdaként futtatott alkalmazásban kell szerkeszteni.

Az átjáró regisztrálása a felügyeleti csoporttal

A későbbi problémák elkerülése érdekében fontos, hogy a telepítés előtt regisztrálja és hagyja jóvá a kívánt átjárógépet átjáróként, ellenkező esetben fennáll annak a veszélye, hogy az átjáró ügynökként lesz felvéve.

Ezeket a lépéseket egy felügyeleti kiszolgálóról kell végrehajtani, lehetőleg az elsődleges vagy az "RMSE" kiszolgálóról.

1. Az Operations Manager "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" nevű telepítési adathordozója tartalmaz egy végrehajtható fájlt, amely a telepítési adathordozón ..\SupportTools\amd64\található.

2. Miután megtalálta, másolja ezt a végrehajtható fájlt és az azonos nevű konfigurációs fájlt a következő telepítési útvonalra: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Nyisson meg egy parancssort rendszergazdaként, és lépjen az Operations Manager telepítési könyvtárába. (pl. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. A következő paranccsal regisztrálja a kívánt átjárót átjáróként, és cserélje le a kiszolgálóneveket a sajátjára:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Megjegyzés

   Ha meg szeretné akadályozni, hogy az átjárókiszolgáló kommunikációt kezdeményezzon egy felügyeleti kiszolgálóval, adja meg a /ManagementServerInitiatesConnection=True paramétert az alábbi parancsban használt módon. Ellenkező esetben alapértelmezés szerint maga az átjáró kezdeményezi a kommunikációt. Ez akkor hasznos, ha meg szeretné akadályozni az elsődleges tartomány bejövő hozzáférését az átjárót tartalmazó hálózatról.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Ha a jóváhagyás sikeres, a rendszer visszaadja az üzenetet The approval of server <GatewayFQDN> completed successfully. .

6. Ha el kell távolítania az átjárókiszolgálót a felügyeleti csoportból, futtassa ugyanazt a parancsot, de helyettesítse /Action=Create a /Action=Delete jelölőt.

7. Az operatív konzolon nyissa meg a Figyelés nézetet. A Felderített leltár nézet kiválasztásával megnézheti, hogy az átjárókiszolgáló szerepel-e a csoportban. A Felügyeleti > Eszközkezelés > felügyeleti kiszolgálók területen is megtekinthetőnek kell lennie.

A telepítési folyamat

Miután a kívánt átjárókiszolgáló regisztrálva van a felügyeleti csoportban, ideje telepíteni a szerepkört az új átjáróra.

Megjegyzés

A Telepítés sikertelen lesz a Windows Installer indításakor (például egy átjárókiszolgáló telepítése a MOMGateway.msi duplán kattintva), ha a "Felhasználói fiókok felügyelete: Az összes rendszergazda futtatása Rendszergazda jóváhagyási módban" helyi biztonsági házirend engedélyezve van.

Tipp

Ha a telepítés során problémákat tapasztal, a naplók itt találhatók: %LocalAppData%\SCOM\Logs

Telepítés a grafikus felhasználói felület használatával

Az átjárókiszolgáló telepítéséhez kövesse az alábbi lépéseket:

1. Jelentkezzen be az átjárókiszolgálóra rendszergazdai jogosultságokkal.
2. Az Operations Manager telepítési adathordozójáról indítsa el a Setup.exe fájlt.
3. A Telepítés területen válassza az Átjárókezelési kiszolgáló hivatkozást (ne a nagy "Telepítés" hivatkozást az ablak alján).
4. Az Üdvözlőképernyőn válassza a Tovább gombot.
5. A Célmappa lapon fogadja el az alapértelmezett értéket, vagy válassza a Módosítás lehetőséget egy másik telepítési könyvtár kiválasztásához, majd válassza a Tovább gombot.
6. A Felügyeleti csoport konfigurációja lapon adja meg a cél felügyeleti csoport nevét a Felügyeleti csoport neve mezőben, írja be a célfelügyeleti kiszolgáló nevét a Felügyeleti kiszolgáló mezőbe, ellenőrizze, hogy a Felügyeleti kiszolgáló portja mező 5723-ra van-e kapcsolva, és válassza a Tovább gombot.
7. Az Átjáróműveleti fiók lapon válassza a Helyi rendszerfiók lehetőséget, kivéve, ha tartományalapú vagy helyi számítógépalapú átjáróműveleti fiókot használ. Kattintson a Tovább gombra.
8. A Microsoft Update lapon adja meg, hogy szeretné-e használni a Microsoft Update-et, majd válassza a Tovább gombot. (Ennek a kijelölésnek általában Nemnek kell lennie.)
9. A Telepítésre kész lapon válassza a Telepítés lehetőséget.
10. A Befejezés lapon válassza a Befejezés lehetőséget.

Telepítés a parancssor használatával

Az átjárókiszolgáló parancssorból való telepítéséhez kövesse az alábbi lépéseket:

1. Jelentkezzen be az átjárókiszolgálóra rendszergazdai jogosultságokkal.
2. A Futtatás rendszergazdaként beállítással nyissa meg a parancsablakot.
3. Futtassa a következő parancsot, ahol a elérési út\to\Installer a telepítési adathordozó elérési útja. A MOMGateway.msi az Operations Manager telepítési adathordozójában ..\gateway\amd64\, a alatt található.

Tipp

A ^ karakterek lehetővé teszik a többsoros bevitelt a konzolablakba, és egyszerűbben szerkeszthetők. Ha ez nem működik a környezetben, távolítsa el a ^ karaktereket, és szerkessze a parancsot, hogy egy sorban legyen.

Ha a LocalSystemet használja műveleti fiókként:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Ha tartományi felhasználót használ műveleti fiókként:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Fontos

A műveleti fiók jelszava nem tartalmazhat "illegális" karaktereket a parancssorban, például: & < > ( ) @ ^ | ". Ha igen, a telepítés sikertelen lesz, mivel nem tudja elemezni a sztringet, módosítsa úgy a jelszót, hogy ne tartalmazza ezeket a karaktereket, majd csomagolja be dupla idézőjelek közé a parancson belül.

Tanúsítványok importálása az MOMCertImport.exe eszközzel

Hajtsa végre ezt a műveletet minden átjárón és felügyeleti kiszolgálón, valamint minden olyan ügyfélszámítógépen, amelyet egy munkacsoportban kell ügynökként kezelni.

1. A folytatás előtt győződjön meg arról, hogy a tanúsítványok telepítve vannak
2. Keresse meg a telepítési adathordozón található MOMCertImport.exe fájlt a ..\SupportTools\amd64\
3. Másolja ezt a fájlt a célkiszolgáló gyökérkönyvtárába vagy az Operations Manager telepítési könyvtárába
   • Például: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Nyisson meg egy parancssort rendszergazdaként, és módosítsa a könyvtárat arra a könyvtárra, amelyben MOMCertImport.exe.
   • Például: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Ezután futtassa a parancsot MOMCertImport.exe /SubjectName subjectNameFQDN, amelyben a "subjectNameFQDN" a tanúsítványban megadott tulajdonos.
   • Argumentumok nélkül is futtathatja a parancsot MOMCertImport.exe , hogy lehetővé tegye a tanúsítvány kiválasztását egy előugró ablakból, amely a helyi gép személyes tárolójában jeleníti meg a tanúsítványokat.
6. Ha sikeres, a Microsoft Monitoring Agent szolgáltatás újraindul, és a rendszer naplózza a 20053-os eseményazonosítót az Operations Manager eseménynaplójába. Ha ez az eseményazonosító nem jelenik meg, figyelje meg az ilyen azonosítók részleteit az esetleges problémák esetén, és ennek megfelelően végezze el a javításokat: 20049,20050,20052,20066,20069,20077

Tipp

A tanúsítvány sikeres importálása után az ujjlenyomat tükrözött verzióját itt tekintheti meg a beállításjegyzékben: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Átjárókiszolgálók konfigurálása a felügyeleti kiszolgálók közötti feladatátvételhez

Alapértelmezés szerint az átjárókiszolgálók csak egy felügyeleti kiszolgálóval kommunikálnak, az elsődleges kiszolgálójukkal. Ha ez a kapcsolat megszakad, az átjáró és a csatlakoztatott ügynökök szürke színnel jelennek meg a konzolon, és nem figyelhetők. Ha több felügyeleti kiszolgálóval rendelkezik, ezt a problémát megakadályozhatjuk, ha olyan felügyeleti kiszolgálókat konfigurálunk, amelyekre az átjáró feladatátvételt végezhet, amíg az elsődleges ismét el nem érhető. Feladatátvétel konfigurálása:

A Set-SCOMParentManagementServer parancsmagot használjuk az Operations Manager-rendszerhéjban az alábbi példában látható módon, hogy egy átjárókiszolgálót konfiguráljunk több felügyeleti kiszolgáló feladatátvételére. A parancsok a felügyeleti csoport bármelyik rendszerhéjában futtathatók.

1. Jelentkezzen be egy felügyeleti kiszolgálóra egy olyan fiókkal, amely tagja az Operations Manager-rendszergazdák szerepkörnek.

2. A Start menüben futtassa a Operations Manager-rendszerhéj a "Microsoft System Center" mappában.

3. Futtassa a következő parancsokat a konzolon:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Megjegyzés

   A feladatátvevő kiszolgáló nem állítható be úgy, hogy az elsődleges kiszolgálóval azonos legyen anélkül, hogy az elsődleges kiszolgálót egyidejűleg vagy elsőként módosítaná. Ha módosítani szeretné az elsődleges elemet, és másodlagosra szeretné állítani, használja a következő parancsokat:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Több átjárókiszolgáló láncba helyezése

Gyakran előfordul, hogy több átjárót is össze kell láncba állítani, hogy több nem megbízható határt is figyelhessünk. Ez a szakasz azt ismerteti, hogyan lehet több átjárót összekapcsolni.

Megjegyzés

• Egyszerre egy átjárót kell telepítenie, és ellenőriznie kell, hogy minden újonnan telepített átjáró megfelelően van-e konfigurálva, és kifogástalan állapotú-e az SCOM-konzolon, mielőtt hozzáad egy másik átjárót a lánchoz.
• Amikor hozzáadja az átjárók láncvégét ugyanahhoz az erőforráskészlethez, ne konfigurálja a feladatátvételt a másik láncra a Set-SCOMParentManagementServer paranccsal. Ilyen esetben a készlet nem a várt módon működik. Ahhoz, hogy a feladatátvételi konfiguráció és az erőforráskészlet együtt működjön, a lánc átjáróvégének ugyanazzal a szülővel kell rendelkeznie.

Az átjárólánc konfigurálásához ugyanúgy használjuk az Microsoft.EnterpriseManagement.GatewayApprovalTool.exe eszközt, mint a kezdeti átjárókiszolgáló esetében. Ezúttal azonban be kell állítani a "ManagementServerName" értéket a lánc felsőbb rétegbeli átjárókiszolgálójaként. Ha például a GW02 csatlakozni fog a GW01-hez, akkor ebben a forgatókönyvben a GW01 a "ManagementServer".

1. Jelentkezzen be az egyik felügyeleti kiszolgálóra, amelyen már be van állítva a GatewayApprovalTool.

2. Nyisson meg egy parancssort rendszergazdaként, és lépjen arra a könyvtárra, ahová az eszközt mentette

3. Ezután futtassa az alábbi parancsot az alsóbb rétegbeli átjárókiszolgáló jóváhagyásához, biztosítva, hogy a kiszolgálóneveket a saját neveire cserélje:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Telepítse az átjárószerepkét egy új kiszolgálón.

5. Úgy konfigurálja a tanúsítványokat a GW01 és a GW02 között, ahogyan a tanúsítványokat az átjáró és a felügyeleti kiszolgáló között konfigurálná. Az Állapotfigyelő szolgáltatás csak egyetlen tanúsítványt tud betölteni és használni. Ezért a láncban szereplő átjáró szülője és gyermeke is ugyanazt a tanúsítványt használja.

Következő lépések

Az Operations Manager-kiszolgálói szerepkörök felügyeleti csoportban lévő több kiszolgálóra történő telepítésének sorrendjét és lépéseit lásd: Az Operations Manager elosztott üzembe helyezése.