Active Directory-integratie configureren en gebruiken voor agenttoewijzing

Met System Center Operations Manager kunt u profiteren van uw investering in Active Directory Domain Services (AD DS) door deze te gebruiken voor het toewijzen van door agents beheerde computers aan beheergroepen. Dit artikel helpt u bij het maken en beheren van de configuratie van de container in Active Directory, en bij het toewijzen van agents aan beheerservers waaraan agents moeten rapporteren.

Een Active Directory Domain Services-container maken voor een beheergroep

U kunt de volgende opdrachtregelsyntaxis en -procedure gebruiken om een AD DS-container (Active Directory-domein Service) te maken voor een System Center - Operations Manager-beheergroep. Voor dit doeleinde is MOMADAdmin.exe geleverd en geïnstalleerd op de Operations Manager-beheerserver. MOMADAdmin.exe moet worden uitgevoerd door een beheerder van het opgegeven domein.

Opdrachtregelsyntaxis:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Belangrijk

Plaats waarden tussen aanhalingstekens als ze een spatie bevatten.

• ManagementGroupName is de naam van de beheergroep waarvoor een AD-container wordt gemaakt.

• MOMAdminSecurityGroup is een domeinbeveiligingsgroep met de indeling domein\beveiligingsgroep, die lid is van de beveiligingsrol Operations Manager-beheerder voor de beheergroep.

• RunAsAccount: Dit is het domeinaccount dat door de beheerserver wordt gebruikt voor het lezen, schrijven en verwijderen van objecten in AD. Gebruik de indeling domein\gebruikersnaam.

• Domain is de naam van het domein waarin de beheergroepcontainer wordt gemaakt. MOMADAdmin.exe kan in meerdere domeinen worden uitgevoerd als er een wederzijdse vertrouwensrelatie bestaat.

Voor de juiste werking van Active Directory-integratie moet de beveiligingsgroep een globale beveiligingsgroep zijn (als Active Directory-integratie moet werken in meerdere domeinen met een wederzijdse vertrouwensrelatie) of een lokale domeingroep (als Active Directory-integratie in slechts één domein wordt gebruikt).

Gebruik de volgende procedure om een beveiligingsgroep toe te voegen aan de beheerdersgroep in Operations Manager.

1. Selecteer Beheer in de Operations-console.

2. Selecteer in de werkruimte Beheer de optie Gebruikersrollen onder Beveiliging.

3. Selecteer in GebruikersrollenOperations Manager-beheerders en selecteer de actie Eigenschappen of klik met de rechtermuisknop op Operations Manager-beheerders en selecteer Eigenschappen.

4. Selecteer Toevoegen om het dialoogvenster Groep selecteren te openen.

5. Selecteer de gewenste beveiligingsgroep en selecteer vervolgens OK om het dialoogvenster te sluiten.

6. Selecteer OK om Eigenschappen van gebruikersrol te sluiten.

Notitie

U kunt het beste één beveiligingsgroep (die meerdere groepen kan bevatten) gebruiken voor de rol Operations Manager-beheerder. Dit zorgt ervoor dat groepen en groepsleden kunnen worden toegevoegd aan of verwijderd uit groepen, zonder dat een domeinbeheerder handmatig de machtigingen Lezen en Onderliggend object verwijderen hoeft toe te wijzen voor de beheergroepcontainer.

Gebruik de volgende procedure om de AD DS-container te maken.

1. Open een opdrachtprompt als beheerder.

2. Voer bij de prompt bijvoorbeeld het volgende in:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Notitie

Het standaardpad is C:\Program Files\Microsoft System Center\Operations Manager.

3. De voorgaande opdrachtregelopdracht doet het volgende:

   1. Het hulpprogramma MOMADAdmin.exe wordt uitgevoerd vanaf de opdrachtregel.

   2. De AD DS-container Message Ops voor de beheergroep wordt gemaakt in de AD DS-schemabasis van het domein MessageDom. Als u dezelfde AD DS-container voor de beheergroep wilt maken in andere domeinen, voert u MOMADAdmin.exe voor elk domein uit.

   3. Het domeingebruikersaccount MessageDom\MessageADIntAcct wordt toegevoegd aan de AD DS-beveiligingsgroep MessageDom\MessageOMAdmins, en de AD DS-beveiligingsgroep krijgt de rechten toegewezen voor het beheer van de AD DS-container.

Active Directory Domain Services gebruiken om computers toe te wijzen aan beheerservers

Met de wizard Agenttoewijzing en failover van Operations Manager maakt u een regel voor agenttoewijzing die gebruikmaakt van Active Directory Domain Services (AD DS) om computers toe te wijzen aan een beheergroep en de primaire en secundaire beheerservers toe te wijzen. Gebruik de volgende procedures om de wizard te starten en gebruiken.

Belangrijk

De Active Directory Domain Services-container voor de beheergroep moet zijn gemaakt voordat u de wizard Agenttoewijzing en failover start.

De wizard Agenttoewijzing en failover implementeert de agent niet. U moet de agent handmatig implementeren op de computers met MOMAgent.msi.

Als u de agenttoewijzingsregel wijzigt, kan dat ertoe leiden dat computers niet langer zijn toegewezen aan en worden bewaakt door de beheergroep. De status van deze computers wordt gewijzigd in kritiek, omdat ze niet langer heartbeats naar de beheergroep verzenden. Deze computers kunnen worden verwijderd uit de beheergroep en als de computer niet is toegewezen aan andere beheergroepen, kan de Operations Manager-agent worden verwijderd.

De wizard Agenttoewijzing en failover van Operations Manager starten

1. Meld u aan bij de computer met een account dat lid is van de rol Operations Manager-beheerders.

2. Selecteer Beheer in de Operations-console.

3. Selecteer beheerservers in de werkruimte Beheer.

4. Klik in het deelvenster Beheerservers met de rechtermuisknop op de beheerserver of gatewayserver die primaire beheerserver moet zijn voor de computers die worden geretourneerd door de regels die u in de volgende procedure maakt en selecteer vervolgens Eigenschappen.

   Notitie

   In deze context werken gatewayservers hetzelfde als beheerservers.

5. Selecteer in het dialoogvenster Eigenschappen van beheerserver het tabblad Automatische agenttoewijzing en selecteer vervolgens Toevoegen om de wizard Agenttoewijzing en failover te starten.

6. Selecteer in de wizard Agenttoewijzing en failover op de pagina Inleiding de optie Volgende.

   Notitie

   De pagina Inleiding wordt niet weergegeven als de wizard is uitgevoerd en Deze pagina niet opnieuw weergeven is geselecteerd.

7. Ga als volgt te werk op de pagina Domein:

   Notitie

   Als u computers uit meerdere domeinen wilt toewijzen aan een beheergroep, voert u de wizard Agenttoewijzing en failover uit voor elk domein.

   • Selecteer het domein van de computers in de vervolgkeuzelijst Domeinnaam . De beheerserver en alle computers in de resourcegroep AD-agenttoewijzing moeten de domeinnaam kunnen omzetten.

     Belangrijk

     De beheerserver en de computers die u wilt beheren, moeten zich in domeinen met een wederzijdse vertrouwensrelatie bevinden.

   • Stel bij Selecteer een Run As-profiel het Run As-profiel dat is gekoppeld aan het Uitvoeren als-account dat u hebt opgegeven bij het uitvoeren van MOMADAdmin.exe voor het domein. Het standaardaccount voor het uitvoeren van agenttoewijzingen is het standaardactie-account dat is opgegeven tijdens de installatie, en dat ook wel het account voor de toewijzing van agents via Active Directory wordt genoemd. Dit account vertegenwoordigt referenties die worden gebruikt bij het verbinden met de opgegeven Active Directory van het domein en het wijzigen van Active Directory-objecten. Het moet overeenkomen met het account dat u opgeeft bij het uitvoeren van MOMADAdmin.exe. Als dit niet het account was dat is gebruikt om MOMADAdmin.exe uit te voeren, selecteert u Een ander account gebruiken om agenttoewijzing uit te voeren in het opgegeven domein en selecteert of maakt u het account in de vervolgkeuzelijst Uitvoeren als-profiel selecteren . Het profiel active directory-agenttoewijzingsaccount moet worden geconfigureerd voor het gebruik van een Operations Manager-beheerdersaccount, dat wordt gedistribueerd naar alle servers in de resourcegroep ad-agenttoewijzing.

     Notitie

     Zie de sectie Run As-accounts en -profielen beheren voor meer informatie over Uitvoeren als-accounts en Run As-profielen.

8. Typ op de pagina Opnamecriteria de LDAP-query voor het toewijzen van computers aan deze beheerserver in het tekstvak en selecteer vervolgens Volgende of Selecteer Configureren. Als u Configureren selecteert, gaat u als volgt te werk:

   1. Voer in het dialoogvenster Computers zoeken de gewenste criteria in voor het toewijzen van computers aan deze beheerserver of voer uw specifieke LDAP-query in.

      De volgende LDAP-query retourneert alleen computers met het Windows Server-besturingssysteem en sluit domeincontrollers uit.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Deze voorbeeld LDAP-query retourneert alleen computers met het Windows Server-besturingssysteem. Domeincontrollers en servers die als host fungeren voor de Operations Manager- of Service Manager-beheerserverfunctie worden uitgesloten.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Zie Een queryfilter maken en Active Directory: LDAP-syntaxisfilters voor meer informatie over LDAP-query's.

   2. Selecteer OK, en selecteer vervolgens Volgende.

9. Typ op de pagina Uitsluitingscriteria de FQDN van computers die u expliciet wilt voorkomen dat deze beheerserver wordt beheerd en selecteer vervolgens Volgende.

   Belangrijk

   U moet de FQDN’s van de computers die u toevoegt scheiden met een puntkomma, komma of nieuwe regel (Ctrl+Enter).

10. Selecteer op de pagina Agentfailoverde optie Failover automatisch beheren en selecteer Maken of Selecteer Failover handmatig configureren. Als u Failover handmatig configureren selecteert, moet u het volgende doen:

    1. Schakel de selectievakjes uit van de beheerservers waarnaar u niet wilt dat de agents een failover uitvoeren.

    2. Selecteer Maken.

       Notitie

       Als u kiest voor de optie Failover handmatig configureren, moet u de wizard opnieuw uitvoeren als u later een beheerserver wilt toevoegen aan de beheergroep en die nieuwe beheerserver wilt gebruiken voor de failover van de agents.

11. Selecteer OK in het dialoogvenster Eigenschappen van beheerserver.

Notitie

Het kan een uur duren voordat de instelling voor de agenttoewijzing is doorgegeven in AD DS.

Na voltooiing wordt de volgende regel gemaakt in de beheergroep, met als doel de klasse Bronnengroep AD-toewijzing.


Deze regel omvat de configuratie-informatie voor agenttoewijzing die u hebt opgegeven in de wizard Agenttoewijzing en failover, zoals de LDAP-query.

Om te controleren of de beheergroep de informatie heeft gepubliceerd in Active Directory, zoekt u naar gebeurtenis-id 11470 afkomstig van Health-servicemodules in het gebeurtenislogboek van Operations Manager, op de beheerserver waarop de agenttoewijzingsregel is gedefinieerd. In de beschrijving moet worden aangegeven dat alle computers die zijn toegevoegd aan de agenttoewijzingsregel zijn toegevoegd.

In Active Directory, onder de container OperationsManager<ManagementGroupName> , ziet u de SCP-objecten (Service Connection Point) die zijn gemaakt, vergelijkbaar met het volgende voorbeeld.

Met de regel worden ook twee beveiligingsgroepen gemaakt met de naam van de NetBIOS-naam van de beheerserver: de eerste met het achtervoegsel '_PrimarySG<willekeurig getal>' en de tweede groep '_SecondarySG<willekeurig getal>'. In dit voorbeeld zijn er twee beheerservers geïmplementeerd in de beheergroep en de primaire beveiligingsgroep ComputerB_Primary_SG_24901 lidmaatschap computers bevat die overeenkomen met de insluitingsregel die is gedefinieerd in uw agenttoewijzingsregel en de beveiligingsgroep ComputerA_Secondary_SG_38838 lidmaatschap de primaire groep ComputerB_Primary_SG-29401 omvat beveiligingsgroep met het computeraccount van agents die een failover naar deze secundaire beheerserver uitvoeren als de primaire beheerserver niet reageert. De SCP-naam is de NetBIOS-naam van de beheerserver met achtervoegsel ‘_SCP’.

Notitie

In dit voorbeeld worden alleen objecten van één beheergroep weergegeven en niet andere beheergroepen die mogelijk bestaan en ook zijn geconfigureerd met AD-integratie.

Handmatige implementatie van agents met de instelling voor Active Directory-integratie

Hieronder staat een voorbeeld van de opdrachtregel waarmee u de Windows-agent handmatig installeert met Active Directory-integratie ingeschakeld.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

De instelling voor Active Directory-integratie wijzigen voor een agent

U kunt de volgende procedure gebruiken om de instelling voor Active Directory-integratie te wijzigen voor een agent.

1. Dubbelklik op de door de agent beheerde computer in de Configuratiescherm op Microsoft Monitoring Agent.

2. Schakel op het tabblad Operations Manager het selectievakje Beheergroeptoewijzingen van AD DS automatisch bijwerken uit of in. Als u deze optie inschakelt, vraagt een agent bij het opstarten een lijst met beheergroepen waaraan de agent is toegewezen op bij Active Directory. Deze beheergroepen worden toegevoegd aan de lijst. Als u deze optie uitschakelt, worden alle beheergroepen die aan de agent zijn toegewezen in Active Directory verwijderd uit de lijst.

3. Selecteer OK.

Active Directory integreren met niet-vertrouwd domein

1. Maak een gebruiker in een niet-vertrouwd domein met machtigingen voor het lezen, schrijven en verwijderen van objecten in AD.
2. Maak een beveiligingsgroep (lokaal domein of globaal). Voeg de gebruiker (gemaakt in stap 1) toe aan deze groep.
3. Voer MOMAdAdmin.exe uit op het niet-vertrouwde domein met de volgende parameters: <pad>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Domain>
4. Een nieuw Uitvoeren als-account maken in Operations Manager; gebruik het account dat u in stap 1 hebt gemaakt. Zorg ervoor dat de domeinnaam is opgegeven met FQDN, niet netBIOS-naam (bijvoorbeeld: CONTOSO.COM\ADUser).
5. Distribueer het account naar de AD-toewijzingsresourcegroep.
6. Maak een nieuw Uitvoeren als-profiel in het standaard management pack. Als dit profiel is gemaakt in een ander management pack, moet u ervoor zorgen dat u het management pack verzegelt, zodat hier naar een ander management pack kan worden verwezen.
7. Voeg het zojuist gemaakte Uitvoeren als-account toe aan dit profiel en richt dit op de AD-toewijzingsresourcegroep
8. Maak de Active Directory-integratieregels in Operations Manager.

Notitie

Na de integratie met een niet-vertrouwd domein geeft elke beheerserver het waarschuwingsbericht Beveiligingsdatabase op de server heeft geen computeraccount voor deze werkstationvertrouwensrelatie . Dit geeft aan dat de validatie van het Uitvoeren als-account dat door de AD-toewijzing wordt gebruikt, is mislukt. Gebeurtenis-id 7000 of 1105 worden gegenereerd in het Operations Manager-gebeurtenislogboek. Deze waarschuwing heeft echter geen effect op de AD-toewijzing in een niet-vertrouwd domein.

Volgende stappen

Zie Agent in Windows installeren met de wizard Detectie voor meer informatie over het installeren van de Windows-agent vanuit de Operations-console. Zie Windows-agent handmatig installeren met MOMAgent.msi voor informatie over het installeren van de agent vanaf de opdrachtprompt.