Установка сервера шлюза

Важно!

Поддержка этой версии Operations Manager завершена. Мы рекомендуем выполнить обновление до Operations Manager 2022.

Серверы шлюза обычно используются для включения мониторинга клиентских компьютеров, которые находятся за пределами границы доверия Kerberos для групп управления. Однако их также можно использовать в том же домене, если необходимо разделить среду из-за сегментации сети или подключить "далеко" агенты к группе управления.

Агенты взаимодействуют напрямую с сервером шлюза, а сервер шлюза взаимодействует с одним или несколькими серверами управления. В одном домене можно разместить несколько серверов шлюза, чтобы агенты могли выполнять отработку отказа при потере связи с основным шлюзом. Аналогичным образом можно настроить один сервер шлюза для отработки отказа между серверами управления, чтобы в цепочке обмена данными не существовало единой точки отказа. Сервер шлюза выступает в качестве прокси-сервера для обмена данными между агентами и серверами управления, позволяя открывать только один порт между сетями вместо нескольких. Сертификаты должны использоваться для установки удостоверения каждого компьютера за пределами границы доверия Kerberos. Без сертификатов системы могут подключаться, но отказывают в обмене данными из-за невозможности проверки подлинности подключения.

Прежде чем продолжить, убедитесь, что сервер соответствует минимальным требованиям к системе для System Center Operations Manager. Дополнительные сведения см. в статье Требования к системе для System Center Operations Manager.

Примечание

Если политики безопасности ограничивают tls 1.0 и 1.1, установка новой роли сервера шлюза Operations Manager 2016 завершится ошибкой, так как установочный носитель не содержит обновлений для поддержки TLS 1.2. Единственный способ установить эту роль — включить TLS 1.0 в системе, применить накопительный пакет обновления 4, а затем включить TLS 1.2 в системе. Это ограничение не применяется к Operations Manager версии 1801.

Предварительные требования

Перед тем как продолжить установку роли шлюза в стандартном сценарии, необходимо подготовить три основных элемента.

1. Сертификаты должны быть созданы для шлюза и серверов управления и установлены в хранилищах сертификатов.
   • Если серверы шлюза и клиента используются в сценарии рабочей группы, клиентам также требуются сертификаты.
2. Перед установкой предполагаемый сервер шлюза должен быть утвержден, чтобы он был шлюзом в группе управления.
3. Порт 5723 должен быть открыт между шлюзом и сервером управления, как описано в руководстве по настройке брандмауэра для Operations Manager.

Сертификаты и разрешение имен

1. Для развертывания серверов шлюза в доменах без двустороннего транзитивного доверия или в рабочей группе требуется использование сертификатов для проверки подлинности. Основной сервер и серверы управления отработой отказа нуждаются в одном сервере в дополнение к шлюзу, который подключается к ним. Эти сертификаты могут поступать из ЦС служб сертификации Майкрософт или стороннего ЦС, если они настроены правильно для Operations Manager. Если вам нужна помощь с созданием этих сертификатов, воспользуйтесь руководством по получению сертификата для использования с серверами Windows и System Center Operations Manager.

   Примечание

   • Для серверов шлюза, которые находятся в том же домене или в пределах общей границы доверия, что и группа управления, сертификаты не требуются.
   • Если шлюз и агенты находятся в рабочей группе, нам потребуются сертификаты для каждого сервера управления, шлюза и клиентского компьютера, которые будут отслеживаться, так как в рабочей группе нет домена для проверки подлинности систем.

2. Между компьютерами, управляемыми агентом, и сервером шлюза, а также между сервером шлюза и сервером управления должно существовать надежное разрешение имен. Обычно такое разрешение имен осуществляется посредством DNS. Однако если невозможно получить правильное разрешение имен с помощью DNS, может потребоваться вручную создать записи в файле hosts каждого компьютера.

   Важно!

   Перед прохождением проверки подлинности между серверами проверяются разрешения имен вперед и обратно. Если при проверке IP-адреса мы получим другое имя узла или полное доменное имя, проверка подлинности завершится ошибкой.

   Совет

   Файл hosts находится в каталоге %SystemRoot%\system32\drivers\etc и содержит инструкции по настройке. Его необходимо изменить в Блокноте или другом приложении, запущенном от имени администратора.

Регистрация шлюза в группе управления

Чтобы избежать последующих проблем, важно зарегистрировать и утвердить компьютер шлюза в качестве шлюза перед установкой. В противном случае мы рискуем, что шлюз будет выбран в качестве агента.

Эти действия должны выполняться на сервере управления, предпочтительно на сервере-источнике или сервере RMSE.

1. В состав установочного носителя Operations Manager входит исполняемый файл с именем "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", который можно найти на установочном носителе в разделе ..\SupportTools\amd64\.

2. После этого скопируйте этот исполняемый файл и файл конфигурации с тем же именем в путь установки в разделе : %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Откройте командную строку от имени администратора и перейдите в каталог установки Operations Manager. (Пример: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Используйте следующую команду, чтобы зарегистрировать предполагаемый шлюз в качестве шлюза, чтобы заменить имена серверов собственными:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Примечание

   Если вы хотите запретить серверу шлюза инициировать обмен данными с сервером управления, добавьте параметр /ManagementServerInitiatesConnection=True , который используется в следующей команде. В противном случае по умолчанию связь инициируется из самого шлюза. Это полезно, если вы хотите запретить входящий доступ к основному домену из сети, в которой находится шлюз.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Если утверждение прошло успешно, возвращается сообщение The approval of server <GatewayFQDN> completed successfully. .

6. Если необходимо удалить сервер шлюза из группы управления, выполните ту же команду, но замените /Action=Create/Action=Delete флаг .

7. Откройте представление "Мониторинг" в консоли управления. Выберите представление "Обнаруженная ведомость", чтобы проверить наличие сервера шлюза. Он также должен быть виден в разделе Серверы администрирования > Управление устройствами > управления.

процессе установки;

После регистрации предполагаемого сервера шлюза в группе управления пришло время установить роль на новом шлюзе.

Примечание

Установка завершится ошибкой при запуске установщика Windows (например, при установке сервера шлюза двойным щелчком MOMGateway.msi), если включена локальная политика безопасности "Контроль учетных записей пользователей: запуск всех администраторов в режиме утверждения Администратор".

Совет

Если во время установки возникают проблемы, журналы находятся здесь: %LocalAppData%\SCOM\Logs

Установка с помощью графического пользовательского интерфейса

Чтобы установить сервер шлюза, выполните следующие действия.

1. Войдите на сервер шлюза с правами администратора.
2. На установочном носителе Operations Manager запустите файл Setup.exe.
3. В области Установка выберите ссылку Сервер управления шлюзом (не большую ссылку "Установить" в нижней части окна).
4. На экране Добро пожаловать нажмите кнопку Далее.
5. На странице Конечная папка примите значение по умолчанию или нажмите кнопку Изменить , чтобы выбрать другой каталог установки, и нажмите кнопку Далее.
6. На странице Конфигурация группы управления введите имя целевой группы управления в поле Имя группы управления, введите имя целевого сервера управления в поле Сервер управления, проверка, что в поле Порт сервера управления указано значение 5723, и нажмите кнопку Далее.
7. На странице Учетная запись действия шлюза выберите параметр Учетная запись локальной системы , если вы не используете учетную запись действия шлюза на основе домена или локального компьютера. Выберите Далее.
8. На странице Центра обновления Майкрософт укажите, хотите ли вы использовать Центр обновления Майкрософт, и нажмите кнопку Далее. (Обычно это значение должно быть "Нет".)
9. На странице Все готово для установки выберите Установить.
10. На странице Завершение нажмите кнопку Готово.

Установка с помощью командной строки

Чтобы установить сервер шлюза из командной строки, выполните следующие действия:

1. Войдите на сервер шлюза с правами администратора.
2. Откройте окно командной строки с помощью команды Запуск от имени администратора .
3. Выполните следующую команду, где path\to\Installer — это путь к установочному носителю. MOMGateway.msi можно найти на установочном носителе Operations Manager в разделе ..\gateway\amd64\.

Совет

Символы ^ должны разрешать многострочный ввод в окне консоли и упростить редактирование. Если это не работает в вашей среде, удалите символы ^и измените команду, чтобы она была на одной строке.

Если вы используете LocalSystem в качестве учетной записи действия:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Если вы используете пользователя домена в качестве учетной записи действия:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Важно!

Пароль учетной записи действия не может содержать недопустимые символы в командной строке, например: & < > ( ) @ ^ | ". В этом случае установка завершится ошибкой, так как она не может проанализировать строку, измените пароль, чтобы они не содержали эти символы, а затем заключите его в двойные кавычки в самой команде.

Импорт сертификатов с помощью средства MOMCertImport.exe

Выполните эту операцию на каждом шлюзе и сервере управления, а также на всех клиентских компьютерах, управляемых агентом в рабочей группе.

1. Убедитесь, что сертификаты установлены, прежде чем продолжить
2. Найдите файлMOMCertImport.exe , расположенный на установочном носителе, в разделе ..\SupportTools\amd64\
3. Скопируйте этот файл в корневой каталог целевого сервера или в каталог установки Operations Manager.
   • Например, ). %ProgramFiles%\Microsoft System Center\Operations Manager\Server
4. Откройте командную строку от имени администратора и измените каталог на каталог, в котором находится MOMCertImport.exe.
   • Пример: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Затем выполните команду MOMCertImport.exe /SubjectName subjectNameFQDN, где subjectNameFQDN — это определенный субъект сертификата.
   • Вы также можете выполнить команду MOMCertImport.exe без аргументов, чтобы выбрать сертификат во всплывающем окне, в котором отображаются сертификаты в личном хранилище локального компьютера.
6. В случае успешного выполнения служба Microsoft Monitoring Agent перезапускается, а eventID 20053 записывается в журнал событий Operations Manager. Если этот идентификатор события отсутствует, просмотрите сведения об одном из этих идентификаторов для любых проблем и внесите соответствующие исправления: 20049,20050,20052,20066,20069,20077

Совет

После успешного импорта сертификата вы увидите зеркальную версию отпечатка в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Настройка серверов шлюза для отработки отказа между серверами управления

По умолчанию серверы шлюза взаимодействуют только с одним сервером управления, основным сервером. Если это подключение потеряно, шлюз и все подключенные агенты отображаются в консоли серым цветом и не отслеживаются. Если у вас несколько серверов управления, мы можем предотвратить эту проблему, настроив серверы управления, на которые шлюз может выполнять отработку отказа, пока основной сервер не будет снова доступен. Чтобы настроить отработку отказа, выполните следующие действия.

Мы используем командлет Set-SCOMParentManagementServer в оболочке Operations Manager, как показано в следующем примере, чтобы настроить сервер шлюза для отработки отказа на несколько серверов управления. Такие команды можно выполнять из любой командной оболочки в данной группе управления.

1. Войдите на сервер управления с помощью учетной записи, которая является членом роли администраторов Operations Manager.

2. В меню Пуск запустите оболочка Operations Manager в папке Microsoft System Center.

3. В консоли выполните следующие команды:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Примечание

   Сервер отработки отказа не может быть таким же, как и сервер-источник, не изменяя его одновременно или в первую очередь. Если вы хотите изменить основную базу данных и задать для нее значение вторичной, используйте следующие команды:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Цепочка нескольких серверов шлюзов

Хотя это редко, иногда необходимо связать несколько шлюзов, чтобы отслеживать несколько недоверенных границ. В этом разделе описывается, как объединить несколько шлюзов.

Примечание

• Необходимо установить по одному шлюзу за раз и убедиться, что каждый новый установленный шлюз настроен правильно и отображается как работоспособный в консоли SCOM, прежде чем добавлять другой шлюз в цепочку.
• При добавлении конца цепочки шлюзов в тот же пул ресурсов не настраивайте отработку отказа в другую цепочку с помощью команды Set-SCOMParentManagementServer . В таком сценарии пул не работает должным образом. Чтобы настроить отработку отказа и пул ресурсов для совместной работы, убедитесь, что конец шлюза имеет один и тот же родительский объект.

Чтобы настроить цепочку шлюзов, мы используем средствоMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe так же, как и для исходного сервера шлюза. Однако на этот раз необходимо задать ManagementServerName в качестве сервера шлюза вышестоящий в цепочке. Например, если GW02 собирается подключиться к GW01, в этом сценарии GW01 будет "ManagementServer".

1. Войдите на один из серверов управления, на который уже настроен GatewayApprovalTool.

2. Откройте командную строку от имени администратора и перейдите в каталог, в котором сохранено средство.

3. Затем выполните приведенную ниже команду, чтобы утвердить подчиненный сервер шлюза, заменив имена серверов собственными:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Установите роль шлюза на новом сервере.

5. Настройте сертификаты между GW01 и GW02 так же, как и сертификаты между шлюзом и сервером управления. Служба работоспособности может загрузить и использовать только один сертификат. Таким образом, как родительский, так и дочерний объекты шлюза в цепочке используют один и тот же сертификат.

Дальнейшие действия

Сведения о последовательности и действиях по установке ролей сервера Operations Manager на нескольких серверах в группе управления см. в статье Распределенное развертывание Operations Manager.