ゲートウェイ サーバーをインストールする

重要

このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。

ゲートウェイ サーバーは、通常、管理グループの Kerberos 信頼境界外にあるクライアント コンピューターの監視を有効にするために使用されます。 ただし、ネットワークのセグメント化のために環境を分割する必要がある場合や、"遠く離れた" エージェントを管理グループに接続する必要がある場合は、同じドメイン内で使用することもできます。

エージェントはゲートウェイ サーバーと直接通信し、ゲートウェイ サーバーは 1 つ以上の管理サーバーと通信します。 エージェントがプライマリ ゲートウェイとの通信を失った場合に一方から他方にフェールオーバーできるように、複数のゲートウェイ サーバーを 1 つのドメインに配置できます。 同様に、単一のゲートウェイ サーバーを管理サーバー間でフェールオーバーするように構成して、通信チェーンに単一障害点が存在しないようにすることができます。 ゲートウェイ サーバーは、エージェントと管理サーバー間の通信のプロキシとして機能し、ネットワーク間で多数のポートを開くようにします。 Kerberos の信頼境界外にある場合は、証明書を使用して各コンピューターの ID を確立する必要があります。 証明書がない場合、システムは接続する可能性がありますが、接続を認証できないために通信を拒否します。

続行する前に、サーバーが System Center - Operations Manager の最小システム要件を満たしていることを確認します。 詳細については、System Center Operations Manager のシステム要件に関する記事をご覧ください。

Note

セキュリティ ポリシーで TLS 1.0 と 1.1 が制限されている場合、セットアップ メディアに TLS 1.2 をサポートするための更新プログラムが含まれていないため、新しい Operations Manager 2016 ゲートウェイ サーバー ロールのインストールは失敗します。 このロールをインストールする唯一の方法は、システムで TLS 1.0 を有効にし、更新プログラムのロールアップ 4 を適用してから、システムで TLS 1.2 を有効にすることです。 この制限は、Operations Manager バージョン 1801 には適用されません。

前提条件

標準シナリオでゲートウェイ ロールのインストールを続行する前に、準備を整え、準備しておく必要がある主なものは 3 つあります。

1. ゲートウェイと管理サーバー用に証明書を生成し、証明書ストアにインストールする必要があります。
   • ワークグループ シナリオでゲートウェイとクライアント サーバーが使用されている場合は、クライアントにも証明書が必要です。
2. インストールする前に、目的のゲートウェイ サーバーを管理グループ内のゲートウェイとして "承認済み" にする必要があります。
3. ゲートウェイと管理サーバーの間でポート 5723 を開く必要があります。「Operations Manager 用ファイアウォールの構成」のガイドで定義されているとおりです。

証明書と名前解決

1. 双方向の推移的な信頼を持たないドメインまたはワークグループにゲートウェイ サーバーを展開するには、認証に証明書を使用する必要があります。 プライマリ管理サーバーとフェールオーバー管理サーバーには、それらに接続しているゲートウェイに加えて 1 台が必要です。 これらの証明書は、Operations Manager 用に正しく構成されている場合は、Microsoft Certificate Services CA またはサードパーティ CA から取得できます。 これらの証明書の作成に関するサポートが必要な場合は、「Windows サーバーと System Center Operations Manager で使用する証明書を取得する」のガイドを使用してください

   注意

   • 管理グループと同じドメインまたは共有信頼境界内にあるゲートウェイ サーバーでは、証明書は必要ありません。
   • ゲートウェイとエージェントがワークグループ内にある場合は、システムの認証を簡単に行うためにワークグループ内にドメインがないため、監視される管理サーバー、ゲートウェイ、およびクライアント コンピューターごとに証明書が必要になります。

2. 信頼できる名前解決は、エージェントで管理されるコンピューターとゲートウェイ サーバーの間、およびゲートウェイ サーバーと管理サーバーの間に存在する必要があります。 通常、この名前解決は DNS を使って行います。 ただし、DNS を使用して適切な名前解決を取得できない場合は、各コンピューターの hosts ファイルにエントリを手動で作成する必要がある場合があります。

   重要

   サーバー間で認証が渡される前に、前方および逆の名前解決がチェックされます。 IP アドレスを確認するときに別のホスト名または FQDN を受け取った場合、認証は失敗します。

   ヒント

   hosts ファイルはディレクトリ内にあり %SystemRoot%\system32\drivers\etc 、構成の指示が含まれています。 これは、メモ帳で編集するか、管理者として実行する他のアプリケーションで行う必要があります。

ゲートウェイを管理グループに登録する

後の問題を防ぐには、インストール前に目的のゲートウェイ マシンをゲートウェイとして登録して承認することが重要です。そうしないと、ゲートウェイがエージェントとして取得されるリスクが発生します。

これらの手順は、管理サーバー (できればプライマリ サーバーまたは "RMSE" サーバー) から実行します。

1. Operations Manager のインストール メディアに含まれる実行可能ファイルは、"Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" と呼ばれ、 のインストール メディア ..\SupportTools\amd64\にあります。

2. 見ついたら、この実行可能ファイルと同じ名前の構成ファイルを、次の下のインストール パスにコピーします。 %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. 管理者としてコマンド プロンプトを開き、Operations Manager インストール ディレクトリに移動します。 (例: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. 次のコマンドを使用して、目的のゲートウェイをゲートウェイとして登録し、サーバー名を独自の名前に置き換えます。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   注意

   ゲートウェイ サーバーが管理サーバーとの通信を開始できないようにするには、次のコマンドで使用する /ManagementServerInitiatesConnection=True パラメーターを含めます。 それ以外の場合、既定では、ゲートウェイ自体から通信が開始されます。 これは、ゲートウェイが存在するネットワークからプライマリ ドメインへの受信アクセスを防止する場合に役立ちます。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. 承認が成功すると、メッセージ The approval of server <GatewayFQDN> completed successfully. が返されます。

6. 管理グループからゲートウェイ サーバーを削除する必要がある場合は、同じコマンドを実行しますが、 フラグに/Action=Delete置き換えます/Action=Create。

7. オペレーション コンソールを開き、[監視] 表示に切り替えます。 [検出された一覧] 表示をクリックして、ゲートウェイ サーバーの存在していることを確認します。 [管理>デバイス管理>管理サーバー] にも表示できます。

インストール プロセス

目的のゲートウェイ サーバーが管理グループに登録されたら、新しいゲートウェイにロールをインストールします。

注意

ローカル セキュリティ ポリシー "ユーザー アカウント制御: すべての管理者を管理承認モードで実行する" が有効になっている場合、Windows インストーラーを起動するとインストールが失敗します (たとえば、MOMGateway.msi をダブルクリックしてゲートウェイ サーバーをインストールする)。

ヒント

インストール中に問題が発生した場合、ログは次の場所にあります。 %LocalAppData%\SCOM\Logs

GUI を使用してインストールする

ゲートウェイ サーバーをインストールするには、次の手順に従います。

1. 管理者権限でゲートウェイ サーバーにサインインします。
2. Operations Manager のインストール メディアから Setup.exe を実行します。
3. [ インストール ] 領域で、[ ゲートウェイ管理サーバー ] リンクを選択します (ウィンドウの下部にある大きな [インストール] リンクではありません)。
4. [ようこそ] 画面で、 [次へ] を選択します。
5. [ 宛先フォルダー] ページで、既定値をそのまま使用するか、[ 変更 ] を選択して別のインストール ディレクトリを選択し、[ 次へ] を選択します。
6. [管理グループの構成] ページで、[管理グループ名] フィールドにターゲット管理グループ名を入力し、[管理サーバー] フィールドにターゲット管理サーバー名を入力し、[管理サーバー ポート] フィールドが 5723 であることをチェックして、[次へ] を選択します。
7. [ ゲートウェイ アクション アカウント] ページで、ドメインベースまたはローカル コンピューターベースのゲートウェイ アクション アカウントを使用していない限り、[ローカル システム アカウント] オプションを選択します。 [次へ] を選択します。
8. [ Microsoft Update ] ページで、必要に応じて Microsoft Update を使用するかどうかを指定し、[ 次へ] を選択します。 (通常、この選択は [いいえ] にする必要があります)。
9. [インストールの準備完了] ページで、 [インストール] を選択します。
10. [完了] ページ で 、[完了] を選択 します。

コマンド プロンプトを使用してインストールする

コマンド プロンプトからゲートウェイ サーバーをインストールするには、次の手順に従います。

1. 管理者権限でゲートウェイ サーバーにサインインします。
2. [管理者として実行] オプションを使って、コマンド プロンプト ウィンドウを開きます。
3. 次のコマンドを実行します。 ここで、path\to\Installer はインストール メディアのパスです。 MOMGateway.msi は、Operations Manager のインストール メディアの の下にあります ..\gateway\amd64\。

ヒント

^ 文字は、コンソール ウィンドウへの複数行の入力を可能にし、簡単に編集できるようにするためです。これが環境で機能しない場合は、^ 文字を削除し、コマンドを 1 行に編集します。

アクション アカウントとして LocalSystem を使用している場合:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

アクション アカウントとして ドメイン ユーザー を使用している場合:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

重要

アクション アカウントのパスワードには、コマンド プロンプトに "無効な" 文字を含めることはできません。たとえば & < > ( ) @ ^ | "、 です。 その場合、文字列を解析できず、パスワードをこれらの文字を含まないように変更し、コマンド自体内で二重引用符で囲むため、インストールは失敗します。

MOMCertImport.exe ツールを使用して証明書をインポートする

この操作は、各ゲートウェイと管理サーバーに対して、ワークグループでエージェントで管理されるクライアント コンピューターと共に実行します。

1. 続行する前に証明書がインストールされていることを確認します
2. インストール メディアにある MOMCertImport.exe ファイルを見つけます。 ..\SupportTools\amd64\
3. このファイルをターゲット サーバーのルート ディレクトリまたは Operations Manager インストール ディレクトリにコピーします
   • 例: %ProgramFiles%\Microsoft System Center\Operations Manager\Server。
4. 管理者としてコマンド プロンプトを開き、ディレクトリを MOMCertImport.exe があるディレクトリに変更します。
   • 例: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. 次に、 コマンド を実行します MOMCertImport.exe /SubjectName subjectNameFQDN。ここで、"subjectNameFQDN" は証明書で定義されたサブジェクトです。
   • 引数を指定せずに を実行 MOMCertImport.exe して、ローカル コンピューターの個人用ストアの証明書を表示するポップアップ ウィンドウから証明書を選択することもできます。
6. 成功した場合、Microsoft Monitoring Agent サービスが再起動され、eventID 20053 が Operations Manager イベント ログに記録されます。 この eventID が存在しない場合は、次のいずれかの ID の詳細を確認して問題を確認し、それに応じて修正を行います。 20049,20050,20052,20066,20069,20077

ヒント

証明書が正常にインポートされると、ここにレジストリにミラー化されたバージョンの拇印が表示されます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

管理サーバー間のフェールオーバー用にゲートウェイ サーバーを構成する

既定では、ゲートウェイ サーバーはプライマリである 1 つの管理サーバーとのみ通信します。 この接続が失われた場合、ゲートウェイと接続されているエージェントはコンソールに灰色で表示され、監視されません。 複数の管理サーバーがある場合は、プライマリが再び使用可能になるまでゲートウェイがフェールオーバーできる管理サーバーを構成することで、この問題を回避できます。 フェールオーバーを構成するには:

次の例に示すように、Operations Manager シェルで Set-SCOMParentManagementServer コマンドレットを使用して、複数の管理サーバーにフェールオーバーするようにゲートウェイ サーバーを構成しています。 コマンドは、管理グループのコマンド シェルから実行できます。

1. Operations Manager 管理者ロールのメンバーであるアカウントを使用して、管理サーバーにサインインします。

2. [スタート] メニューから、"Microsoft System Center" フォルダーの下にあるOperations Manager シェルを実行します。

3. コンソールで、次のコマンドを実行します。

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   注意

   フェールオーバー サーバーをプライマリ サーバーと同じに設定するには、プライマリサーバーを同時に変更するか、最初に変更する必要があります。 プライマリを変更してセカンダリに設定する場合は、次のコマンドを使用します。

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

複数のゲートウェイ サーバーをチェーンする

一般的ではありませんが、複数の信頼されていない境界を越えて監視するために、複数のゲートウェイを連結することが必要な場合があります。 このセクションでは、複数のゲートウェイを連結する方法について説明します。

注意

• 一度に 1 つのゲートウェイをインストールし、チェーンに別のゲートウェイを追加する前に、新しくインストールされた各ゲートウェイが正しく構成され、SCOM コンソールで正常であることを確認する必要があります。
• チェーンのゲートウェイの末尾を同じリソース プールに追加する場合は、 Set-SCOMParentManagementServer コマンドを使用して他のチェーンへのフェールオーバーを構成しないでください。 このようなシナリオでは、プールは期待どおりに機能しません。 フェールオーバー構成とリソース プールを同時に機能させるには、チェーンのゲートウェイの末端が同じ親を持つ必要があります。

ゲートウェイ チェーンを構成するには、初期ゲートウェイ サーバーの場合と同様に 、Microsoft.EnterpriseManagement.GatewayApprovalTool.exe ツールを利用します。 ただし、今回は、"ManagementServerName" をチェーン内のアップストリーム ゲートウェイ サーバーとして設定する必要があります。 たとえば、GW02 が GW01 に接続する場合、このシナリオでは GW01 が "ManagementServer" になります。

1. GatewayApprovalTool が既に設定されている管理サーバーのいずれかにサインオンします。

2. 管理者としてコマンド プロンプトを開き、ツールが保存されているディレクトリに移動します

3. 次に、次のコマンドを実行してダウンストリーム ゲートウェイ サーバーを承認し、サーバー名を独自の名前に置き換えます。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. ゲートウェイ ロールを新しいサーバーにインストールします。

5. ゲートウェイと管理サーバーの間で証明書を構成するのと同じ方法で、GW01 と GW02 の間で証明書を構成します。 ヘルス サービスが読み込んで使用できるのは 1 つの証明書のみです。 そのため、チェーン内のゲートウェイの親と子で同じ証明書が使用されます。

次のステップ

管理グループ内の複数のサーバーに Operations Manager サーバーの役割をインストールするためのシーケンスと手順については、「 Operations Manager の分散展開」を参照してください。