次の方法で共有

エージェントの割り当てのために Active Directory 統合を構成し、使用する方法

  • [アーティクル]

重要

このバージョンの Operations Manager はサポート終了に達しました。 Operations Manager 2022 にアップグレードすることをお勧めします。

System Center Operations Manager では、エージェントで管理されたコンピューターを管理グループに割り当てるために使用できるようにすることで、Active Directory Domain Services (AD DS) を利用できます。 この記事は、Active Directory でコンテナーの構成を作成および管理し、エージェントが報告する必要がある管理サーバーのエージェントの割り当てを行う際に役立ちます。

管理グループの Active Directory Domain Services コンテナーを作成する

次のコマンドライン構文と手順を使用して、System Center - Operations Manager 管理グループの Active Directory ドメイン サービス (AD DS) コンテナーを作成できます。 MOMADAdmin.exe は、この処理のために提供されており、Operations Manager 管理サーバーと共にインストールされています。 MOMADAdmin.exe を実行するのは、指定されたドメインの管理者である必要があります。

コマンド ライン構文:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

重要

値にスペースを含める場合は、値を引用符で囲む必要があります。

  • ManagementGroupName は、AD コンテナーの作成対象となる管理グループの名前です。

  • MOMAdminSecurityGroup は、domain\security_group という形式をとるドメイン セキュリティ グループであり、管理グループの Operations Managers 管理者セキュリティ ロールのメンバです。

  • RunAsAccount: これは、AD のオブジェクトの読み取り、書き込み、および削除に管理サーバーによって使用されるドメイン アカウントです。 「domain\username」の形式を使用します。

  • Domain は、管理グループ コンテナーが作成されるドメインの名前です。 MOMADAdmin.exe は、双方向の信頼関係があるドメイン間でのみ実行可能です。

Active Directory の統合が機能するには、セキュリティ グループがグローバル セキュリティ グループ (Active Directory の統合が双方向の信頼がある複数ドメインで機能させる必要がある場合) かローカル ドメイン グループ (Active Directory の統合を 1 つのドメインでのみ使用する場合) のいずれかでなければいけません。

次の手順で Operations Manager 管理者グループにセキュリティ グループを追加します。

  1. オペレーション コンソールで [管理] を選択します。

  2. [管理] ワークスペースで、 [セキュリティ] の下にある [ユーザー ロール] を選択します。

  3. [ユーザー ロール] で[Operations Manager 管理者] を選択し、[プロパティ] アクションを選択するか、[Operations Manager 管理者] を右クリックして [プロパティ] を選択します

  4. [ 追加] を 選択して、[ グループの選択 ] ダイアログを開きます。

  5. 目的のセキュリティ グループを選択し、[ OK] を 選択してダイアログを閉じます。

  6. [ OK] を選択 して ユーザー ロールのプロパティを閉じます。

Note

Operations Manager 管理者ロールには 1 つのセキュリティ グループ (これに複数のグループが含まれる場合もあります) を使用することを推奨します。 こうすることで、ドメイン管理者が手動で管理グループ コンテナーに対する子の読み取りと削除のアクセス権をグループに割り当てる必要なしに、グループとグループ メンバーの追加と削除が可能になります。

次の手順で AD DS コンテナーを作成します。

  1. コマンド プロンプトを管理者として開きます。

  2. プロンプトで、たとえば、次のように入力します。

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Note

既定のパスは C:\Program Files\Microsoft System Center 2016\Operations Manager です。

注意

既定のパスは C:\Program Files\Microsoft System Center\Operations Manager です。

  1. 上記のコマンドラインの例では、次の操作が実行されます。

    1. コマンド ラインから MOMADAdmin.exe ユーティリティが実行されます。

    2. MessageDom ドメインの AD DS スキーマ ルートに、管理グループ AD DS コンテナーとして "Message Ops" が作成されます。 他のドメインに同じ管理グループ AD DS コンテナーを作成するには、ドメインごとに MOMADAdmin.exe を実行します。

    3. MessageDom\MessageADIntAcct ドメイン ユーザー アカウントが MessageDom\MessageOMAdmins AD DS セキュリティ グループに追加され、AD DS コンテナーの管理に必要な権限がセキュリティ AD DS グループに割り当てられます。

Active Directory Domain Services を使用してコンピューターを管理サーバーに割り当てる方法

Operations Manager エージェントの割り当てとフェールオーバー ウィザードにより、コンピューターを管理グループに割り当てたり、コンピューターのプライマリおよびセカンダリ管理サーバーを割り当てるのに Active Directory Domain Services (AD DS) を使用するエージェント割り当てルールを作成します。 このウィザードを開始し、使用するには、次の手順を使用します。

重要

エージェントの割り当てとフェールオーバー ウィザードを実行する前に、管理グループ用の Active Directory Domain Services コンテナーを作成する必要があります。

エージェントの割り当てとフェールオーバー ウィザードでは、エージェントは展開されません。 MOMAgent.msi を使用してエージェントをコンピューターに手動で展開する必要があります。

エージェントの割り当てルールを変更すると、コンピューターは管理グループに割り当てられなくなり、管理グループで監視されなくなります。 これらのコンピューターは管理グループにハートビートを送信しなくなるため、これらのコンピューターの状態は "重大" になります。 これらのコンピューターは管理グループから削除でき、コンピューターが他の管理グループに割り当てられていない場合は、Operations Manager エージェントをアンインストールできます。

Operations Manager エージェントの割り当てとフェールオーバー ウィザードを開始するには

  1. Operations Manager 管理者ロールのメンバーであるアカウントを使用して、コンピューターにサインインします。

  2. オペレーション コンソールで、[管理] を選択 します

  3. [管理] ワークスペースで、[ 管理サーバー] を選択します。

  4. [ 管理サーバー ] ウィンドウで、次の手順で作成する規則によって返されるコンピューターの プライマリ管理サーバーとなる管理サーバー またはゲートウェイ サーバーを右クリックし、[ プロパティ] を選択します。

    Note

    ゲートウェイ サーバーは、ここでは管理サーバーと同じように機能します。

  5. [ 管理サーバーのプロパティ ] ダイアログで、[ エージェントの自動割り当て ] タブを選択し、[ 追加 ] を選択してエージェントの割り当てとフェールオーバー ウィザードを開始します。

  6. エージェントの 割り当てとフェールオーバー ウィザードの [ 概要 ] ページで、[ 次へ] を選択します。

    注意

    ウィザードが実行され、[このページをもう一度表示しない] が選択されている場合、[概要] ページは表示されません。

  7. [ドメイン] ページで、次の操作を行います。

    Note

    複数のドメインからコンピューターを管理グループに割り当てる場合は、各ドメインでエージェントの割り当てとフェールオーバー ウィザードを実行します。

    • [ドメイン名] ドロップダウン リストからコンピューターの ドメインを 選択します。 管理サーバーと AD エージェント割り当てリソース プール内のすべてのコンピューターが、このドメイン名を解決できる必要があります。

      重要

      管理する管理サーバーとコンピューターは、双方向で信頼されたドメインになければいけません。

    • [実行プロファイルを選択してください] を、MOMADAdmin.exe をドメインで実行したときに指定された実行アカウントに関連付けられている実行プロファイルに設定します。 エージェントの割り当てを実行するために使用される既定のアカウントは、セットアップ時に指定された既定のアクション アカウントであり、Active Directory ベースのエージェント割り当てアカウントとも呼ばれています。 このアカウントは、指定したドメインの Active Directory に接続して Active Directory オブジェクトを変更するときに使用する資格情報であり、MOMAdmin.exe の実行時に指定したアカウントに一致する必要があります。 MOMADAdmin.exe の実行に使用したアカウントではない場合は、[ 別のアカウントを使用して指定したドメインでエージェントの割り当てを実行 する] を選択し、[ 実行プロファイルの選択 ] ドロップダウン リストからアカウントを選択または作成します。 Active Directory ベースのエージェント割り当てアカウント プロファイルは、AD エージェント割り当てリソース プール内のすべてのサーバーに配布される Operations Manager 管理者アカウントを使用するように構成する必要があります。

      Note

      実行プロファイルと実行アカウントの使用の詳細については、「実行アカウントと実行プロファイルの管理」を参照してください。

  8. [ 包含条件 ] ページで、テキスト ボックスにコンピューターをこの管理サーバーに割り当てるための LDAP クエリを入力し、[ 次へ ] を選択するか、[ 構成] を選択します。 [構成] を選択した場合は、次の操作を行います。

    1. [ コンピューターの検索 ] ダイアログで、この管理サーバーにコンピューターを割り当てるための必要な条件を入力するか、特定の LDAP クエリを入力します。

      次の LDAP クエリでは、Windows Server オペレーティング システムを稼働しているコンピューターのみが返され、ドメイン コントローラーは除外されます。

      (&(objectCategory=computer)(operatingsystem=*server*))

      この LDAP クエリの例では、Windows Server オペレーティング システムを稼働しているコンピューターのみが返されます。 Operations Manager または Service Manager 管理サーバー ロールをホストしているドメイン コントローラーとサーバーは除外されます。

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      LDAP クエリの詳細については、「クエリ フィルターの作成」と「Active Directory: LDAP 構文フィルター」を参照してください。

    2. [OK] を選択し、 [次へ] を選択します。

  9. [ 除外条件 ] ページで、この管理サーバーによる管理を明示的に禁止するコンピューターの FQDN を入力し、[ 次へ] を選択します。

    重要

    コンピューターの FQDN は、セミコロン、コロン、または改行 (Ctrl+Enter) で区切る必要があります。

  10. [ エージェントのフェールオーバー ] ページで、[ フェールオーバーの自動管理 ] を選択し、[ 作成 ] を選択するか、[ フェールオーバーの手動構成] を選択します。 [フェールオーバーの手動構成] を選択した場合は、次の操作を行います。

    1. エージェントをフェールオーバーしない管理サーバーのチェック ボックスをオフにします。

    2. [作成] を選択します

      Note

      後で管理サーバーを管理グループに追加し、エージェントを新しい管理サーバーにフェールオーバーする場合は、 [フェールオーバーの手動構成] を選択してもう一度ウィザードを実行する必要があります。

  11. [ 管理サーバーのプロパティ ] ダイアログで、[ OK] を選択します

注意

エージェントの割り当て設定が AD DS に反映されるには、最大 1 時間かかる場合があります。

完了すると、次のルールが管理グループで作成され、AD 割り当てのリソース プール クラスをターゲットにします。

AD 統合エージェントの割り当てルールのスクリーンショット。
このルールには、LDAP クエリなど、エージェントの割り当てとフェールオーバー ウィザードで指定したエージェント割り当て構成情報が含まれます。

管理グループが Active Directory でその情報を正常に公開したことを確認するには、エージェント割り当てルールが定義されている管理サーバーの Operations Manager イベント ログで、Health Service Modules というソースからイベント ID 11470 を探してください。 説明では、エージェントの割り当てルールに追加されたすべてのコンピューターが正常に追加されたことを示す必要があります。

AD 統合エージェントの割り当ての成功イベントを示すスクリーンショット。

Active Directory の OperationsManager<ManagementGroupName> コンテナーに、次の例のようなサービス接続ポイント (SCP) オブジェクトが作成されているはずです。

AD 統合エージェントの割り当て AD オブジェクトを示すスクリーンショット。

また、管理サーバー NetBIOS 名の名前を持つ 2 つのセキュリティ グループも作成されます。最初のセキュリティ グループにはサフィックス "_PrimarySG<乱数>" が付き、2 つ目のセキュリティ グループは "_SecondarySG<乱数>" です。 この例では、管理グループに 2 つの管理サーバーが展開され、プライマリ セキュリティ グループ ComputerB_Primary_SG_24901 メンバーシップには、エージェントの割り当て規則で定義されているインクルード規則に一致したコンピューターが含まれており、セキュリティ グループ ComputerA_Secondary_SG_38838 メンバーシップにはプライマリ グループ ComputerB_Primary_SG-29401 が 含まれていますプライマリ管理サーバーが応答しない場合にこのセカンダリ管理サーバーにフェールオーバーするエージェントのマシン アカウントを含むセキュリティ グループ。 SCP 名は、接尾辞が “_SCP” の管理サーバー NetBIOS 名です。

Note

この例では、1 つの管理グループのオブジェクトのみを表示し、AD 統合で構成されている可能性がある他の管理グループは表示しません。

Active Directory 統合設定の手動によるエージェント展開

下は、手動で Windows エージェントをインストールし、Active Directory 統合を有効にするコマンド ラインの例です。

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

エージェントの Active Directory 統合設定を変更する

エージェントの Active Directory 統合設定を変更するには、次の手順を使用できます。

  1. エージェントで管理されているコンピューターのコントロール パネルで、[Microsoft Monitoring Agent] をダブルクリックします。

  2. [Operations Manager] タブで、 [管理グループの割り当てを AD DS から自動的に更新する] の選択をオンまたはオフにします。 このオプションの選択をオンにすると、エージェントは起動時に Active Directory に対してクエリを実行し、割り当てられた管理グループの一覧を取得します。 該当する管理グループがある場合は、それらが一覧に追加されます。 このオプションの選択をオフにすると、Active Directory でエージェントに割り当てられている管理グループはすべて一覧から削除されます。

  3. [OK] を選択します。

信頼できないドメインに Active Directory を統合する

  1. AD でオブジェクトの読み取り、書き込み、削除を行うアクセス許可を持つ、信頼されていないドメインにユーザーを作成します。
  2. セキュリティ グループ (ドメイン ローカルまたはグローバル) を作成します。 このグループに、(手順 1 で作成した) ユーザーを追加します。
  3. 信頼されないドメインで、MOMAdAdmin.exe を次のパラメーターを指定して実行します: path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Operations Manager で新しい実行アカウントを作成します。手順 1 で作成したアカウントを使用します。 ドメイン名に NetBIOS 名ではなく FQDN が指定されていることを確認します (例: CONTOSO.COM\ADUser)。
  5. そのアカウントを AD 割り当てリソース プールに配布します。
  6. 既定の管理パックに新しい実行プロファイルを作成します。 このプロファイルが他の管理パックで作成されている場合は、その管理パックを封印して、他の管理パックが参照できるようにします。
  7. 新しく作成した実行アカウントをこのプロファイルに追加し、AD 割り当てリソース プールにターゲットを設定します
  8. Operations Manager に Active Directory の統合規則を作成します。

Note

信頼されていないドメインとの統合後、各管理サーバーには、AD 割り当てによって使用される実行アカウントの検証に失敗したことを示す、 サーバー上のセキュリティ データベースにこのワークステーションの信頼関係のコンピューター アカウントがないことを 示す警告メッセージが表示されます。 Operations Manager イベント ログにイベント ID 7000 または 1105 が生成されます。 ただし、このアラートは、信頼されていないドメインの AD 割り当てには影響しません。

次のステップ

Operations コンソールから Windows エージェントをインストールする方法については、「検出ウィザードを使ってエージェントを Windows にインストールする」を参照してください。コマンド ラインからエージェントをインストールする方法については、「MOMAgent.msi を使用して Windows エージェントを手動でインストールする」を参照してください。