Настройка и использование интеграции Active Directory для назначения агентаHow to configure and use Active Directory Integration for agent assignment

Важно!

Поддержка этой версии Operations Manager прекращена. Рекомендуем перейти на Operations Manager 2019.This version of Operations Manager has reached the end of support, we recommend you to upgrade to Operations Manager 2019.

System Center Operations Manager позволяет эффективно использовать инвестиции в доменные службы Active Directory Domain Services (AD DS), предоставляя возможность использовать их для назначения управляемых агентом компьютеров группам управления.System Center Operations Manager allows you to take advantage of your investment in Active Directory Domain Services (AD DS) by enabling you to use it to assign agent-managed computers to management groups. В этом разделе содержатся сведения о создании конфигурации контейнера в Active Directory и управления ей, а также о назначении серверов управления, которым должны подчиняться агенты.This topic will help you create and manage the configuration of the container in Active Directory, and agent assignment of management servers agents should report to.

Создание контейнера доменных служб Active Directory для группы управленияCreate an Active Directory Domain Services Container for a management group

Следующие синтаксис командной строки и процедура используются для создания контейнера доменных служб Active Directory для группы управления System Center Operations Manager.You can use the following command-line syntax and procedure to create an Active Directory Domain Service (AD DS) container for a System Center - Operations Manager management group. Для этого предусмотрен файл MOMADAdmin.exe, устанавливаемый вместе с сервером управления Operations Manager.MOMADAdmin.exe is provided for this purpose and is installed with the Operations Manager management server. MOMADAdmin.exe должен запускаться администратором указанного домена.MOMADAdmin.exe must be run by an administrator of the specified domain.

Синтаксис командной строки:Command line syntax:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Важно!

Значения с пробелами следует вводить в кавычках.You must put a value inside quotation marks if the value contains a space.

  • ManagementGroupName — имя группы управления, для которой создается контейнер Active Directory.ManagementGroupName is the name of the management group for which an AD container is being created.

  • MOMAdminSecurityGroup — группа безопасности домена (формат domain\security_group), которая является членом роли безопасности "Администраторы Operations Manager" для данной группы управления.MOMAdminSecurityGroup is a domain security group, domain\security_group format, which is a member of the Operations Managers Administrators security role for the management group.

  • RunAsAccount — это учетная запись домена, которая будет использоваться сервером управления для чтения, записи и удаления объектов в AD.RunAsAccount: This is the domain account which will be used by the management server to read, write, and delete objects in AD. Используйте формат "домен\пользователь".Use the format domain\username.

  • Domain — имя домена, в котором будет создан контейнер группы управления.Domain is the name of the domain in which the management group container will be created. MOMADAdmin.exe можно выполнять в рамках нескольких доменов, если между ними существуют двухсторонние отношения доверия.MOMADAdmin.exe can be run across domains only if a two-way trust exists between them.

Чтобы интеграция с Active Directory работала, данная группа безопасности должна быть глобальной группой безопасности (если интеграция с Active Directory используется в нескольких доменах с двусторонними отношениями доверия) или локальной группой домена (если интеграция с Active Directory используется только в одном домене).For Active Directory integration to work, the security group must be either a global security group (if Active Directory integration needs to function in multiple domains with two-way trusts) or a local domain group (if Active Directory integration is only used in one domain)

Чтобы добавить группу безопасности в группу "Администраторы Operations Manager" используйте следующую процедуру.To add a security group to the Operations Manager Administrators group, use the following procedure.

  1. В консоли управления выберите Администрирование.In Operations console, select Administration.

  2. В рабочей области Администрирование выберите Роли пользователя в разделе Безопасность.In the Administration workspace, select User Roles under Security.

  3. В окне Роли пользователя выберите Администраторы Operations Manager, а затем выберите действие Свойства или правой кнопкой мыши щелкните Администраторы Operations Manager и выберите пункт Свойства.In User Roles, select Operations Manager Administrators and click the Properties action or right click Operations Manager Administrators and select Properties.

  4. Нажмите кнопку Добавить, чтобы открыть диалоговое окно Выбор группы.Click Add to open the Select Group dialog box.

  5. Выберите требуемую группу безопасности, а затем нажмите кнопку ОК, чтобы закрыть это диалоговое окно.Select the desired security group, and then click OK to close the dialog box.

  6. Нажмите кнопку ОК, чтобы закрыть окно Свойства роли пользователя.Click OK to close User Role Properties.

Примечание

Рекомендуется сделать членом роли "Администраторы Operations Manager" одну группу безопасности, которая может включать несколько групп.We recommend one security group, which might contain several groups, be used for the Operations Manager Administrators role. Таким образом группы и члены групп могут добавляться или удаляться из групп без необходимости администратору домена вручную назначать им разрешения на чтение и удаление дочерних объектов для данного контейнера группы управления.That way, groups and members of groups can be added and removed from groups without a domain administrator needing to perform manual steps to assign them Read and Delete Child permissions to the Management Group container.

Чтобы создать контейнер AD DS, воспользуйтесь следующей процедурой.Use the following procedure to create the AD DS container.

  1. Откройте командную строку как администратор.Open a command prompt as an administrator.

  2. В командной строке, например, введите следующее:At the prompt, for example, type the following:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

    Примечание

    Путь установки по умолчанию для System Center 2016 — Operations Manager — C:\Program Files\Microsoft System Center 2016\Operations Manager.For System Center 2016 - Operations Manager, the default path is C:\Program Files\Microsoft System Center 2016\Operations Manager. Путь установки по умолчанию для всех более поздних выпусков (1801, 1807 и 2019) — C:\Program Files\Microsoft System Center\Operations Manager.For all later releases (1801, 1807 and 2019), the default path is C:\Program Files\Microsoft System Center\Operations Manager.

  3. Команда из предыдущего примера командной строки выполняет следующие действия.The preceding command-line example will:

    1. Запустите программу MOMADAdmin.exe из командной строки.Run the MOMADAdmin.exe utility from the command line.

    2. Создайте контейнер доменных служб Active Directory группы управления "Message Ops" в корне схемы доменных служб Active Directory домена MessageDom.Create the "Message Ops" Management Group AD DS container in the AD DS schema root of the MessageDom domain. Чтобы этот же контейнер доменных служб Active Directory группы управления создать и в других доменах, запустите MOMADAdmin.exe для каждого домена.To create the same Management Group AD DS container in additional domains, run MOMADAdmin.exe for each domain.

    3. Добавьте учетную запись компьютера MessageDom\MessageADIntAcct в группу безопасности доменных служб Active Directory MessageDom\MessageOMAdmins и назначьте этой группе безопасности доменных служб Active Directory права, необходимые для управления данным контейнером доменных служб Active Directory.Add the MessageDom\MessageADIntAcct domain user account to the MessageDom\MessageOMAdmins AD DS security group and assign the security AD DS group the rights necessary to manage the AD DS container.

Использование доменных служб Active Directory для назначения компьютеров серверам управленияHow to Use Active Directory Domain Services to assign computers to management servers

Мастер назначения агентов Operations Manager и настройки их переключения создают правило назначения агентов, в котором доменные службы Active Directory используются для назначения компьютеров группе управления и назначения им основного и дополнительных серверов управления.The Operations Manager Agent Assignment and Failover Wizard creates an agent assignment rule that uses Active Directory Domain Services (AD DS) to assign computers to a management group and assign the computers' primary management server and secondary management servers. Следующие процедуры используются для запуска и использования данного мастера.Use the following procedures to start and use the wizard.

Важно!

Прежде чем запускать мастер назначения агентов и настройки их переключения, для данной группы управления необходимо создать контейнер доменных служб Active Directory.The Active Directory Domain Services container for the management group must be created prior to running the Agent Assignment and Failover Wizard.

Мастер назначения агентов и настройки их переключения не развертывает данный агент.The Agent Assignment and Failover Wizard does not deploy the agent. Необходимо вручную развернуть агент на компьютерах с помощью файла MOMAgent.msi.You must manually deploy the agent to the computers using MOMAgent.msi.

Изменение правила назначения агентов может привести к тому, что компьютеры больше не будут принадлежать группе управления и, следовательно, не будут ей наблюдаться.Changing the agent assignment rule can result in computers no longer being assigned to, and therefore monitored by, the management group. Состояние этих компьютеров изменится на критическое, так как они больше не отправляют периодические сигналы группе управления.The state of these computers will change to critical, because the computers no longer send heartbeats to the management group. Эти компьютеры можно удалить из данной группы управления. Кроме того, если компьютер не назначен другим группам управления, то агент Operations Manager можно удалить.These computers can be deleted from the management group and, if the computer is not assigned to other management groups, the Operations Manager agent can be uninstalled.

Запуск мастера назначения агентов Operations Manager и настройки их переключенияTo start the Operations Manager Agent Assignment and Failover Wizard

  1. Войдите на компьютер с помощью учетной записи, являющейся участником роли "Администраторы" Operations Manager.Log on to the computer with an account that is a member of the Operations Manager Administrators role.

  2. В консоли управления нажмите кнопку Администрирование.In the Operations console, click Administration.

  3. В рабочей области "Администрирование" щелкните Серверы управления.In the Administration workspace, click Management Servers.

  4. В панели Серверы управления щелкните правой кнопкой мыши имя сервера управления или сервера шлюза, который должен стать основным сервером управления для компьютеров, возвращаемых в результате обработки правил, которые будут созданы при выполнении следующей процедуры, а затем выберите пункт Свойства.In the Management Servers pane, right-click the management server or gateway server to be Primary Management Server for the computers returned by the rules you will create in the following procedure, and then click Properties.

    Примечание

    В данном контексте серверы шлюза функционируют подобно серверам управления.Gateway servers work like management servers in this context.

  5. В диалоговом окне Свойства сервера управления перейдите на вкладку Автоматическое назначение агентов, а затем нажмите кнопку Добавить, чтобы запустить мастер назначения агентов и настройки их переключения.In the Management Server Properties dialog box, click the Auto Agent Assignment tab, and then click Add to start the Agent Assignment and Failover Wizard.

  6. На странице Введение мастера назначения агентов и настройки их переключения нажмите кнопку Далее.In the Agent Assignment and Failover Wizard, on the Introduction page, click Next.

    Примечание

    Страница Введение не появляется при запуске мастера, если был установлен флажок Больше не показывать эту страницу.The Introduction page does not appear if the wizard has been run and Do not show this page again was selected.

  7. На странице Домен сделайте следующее.On the Domain page, do the following:

    Примечание

    Чтобы назначить компьютеры из нескольких доменов одной группе управления, запускайте мастер назначения агентов и настройки их переключения для каждого домена.To assign computers from multiple domains to a management group, run the Agent Assignment and Failover Wizard for each domain.

    • Выберите домен компьютеров из раскрывающегося списка Доменное имя.Select the domain of the computers from the Domain name drop-down list. Сервер управления и все компьютеры в пуле ресурсов назначения агента AD должны разрешать имя домена.The management server and all computers in the AD Agent Assignment resource pool must be able to resolve the domain name.

      Важно!

      Сервер управления и компьютеры, которыми требуется управлять, должны принадлежать доменам с двусторонними отношениями доверия.The management server and the computers that you want to manage must be in two-way trusted domains.

    • Установите флажок Выбрать профиль запуска от имени для профиля запуска от имени, связанного с учетной записью запуска от имени, предоставленной после запуска MOMADAdmin.exe для данного домена.Set Select Run As Profile to the Run As profile associated with the Run As account provided when MOMADAdmin.exe was run for the domain. Для выполнения назначения агентов по умолчанию используется заданная по умолчанию учетная запись действия, указанная во время установки, которая также называется учетной записью назначения агентов на основе Active Directory.The default account used to perform agent assignment is the default action account specified during Setup, also referred to as the Active Directory Based Agent Assignment Account. Эта учетная запись представляет учетные данные, используемые при подключении к службе Active Directory указанного домена и изменении объектов Active Directory. Они должны соответствовать учетной записи, указанной при выполнении MOMAdmin.exe.This account represents credentials used when connecting to the specified domain's Active Directory and modifying Active Directory objects, and should match the account specified when running MOMAdmin.exe. Если это не была учетная запись, которая использовалась для запуска MOMADAdmin.exe, установите флажок Использовать другую учетную запись для назначения агентов в указанном домене, а затем выберите или создайте учетную запись из раскрывающегося списка Выбрать профиль запуска от имени.If this was not the account used to run MOMADAdmin.exe, select Use a different account to perform agent assignment in the specified domain, and then select or create the account from the Select Run As Profile drop-down list. Учетная запись назначения агента на основе Active Directory должна быть настроена для использования учетной записи администратора Operations Manager, которая распространяется на все серверы в пуле ресурсов назначения агента AD.The Active Directory Based Agent Assignment Account profile must be configured to use an Operations Manager administrator account which is distributed to all servers in the AD Agent Assignment resource pool.

      Примечание

      Дополнительные сведения об использовании профилей запуска от имени см. в разделе Управление учетными записями и профилями запуска от имени.For more information about Run As profiles and Run As accounts, see Managing Run As Accounts and Profiles.

  8. На странице Критерии включения либо введите в текстовом поле LDAP-запрос для назначения компьютеров данному серверу управления и затем нажмите кнопку Далее, либо нажмите кнопку Настроить.On the Inclusion Criteria page, either type the LDAP query for assigning computers to this management server in the text box and then click Next, or click Configure. После нажатия кнопки Настроить сделайте следующее.If you click Configure, do the following:

    1. В диалоговом окне Поиск компьютеров введите требуемые критерии для назначения компьютеров данному серверу управления либо введите конкретный LDAP-запрос.In the Find Computers dialog box, type the desired criteria for assigning computers to this management server or type in your specific LDAP query.

      Следующий LDAP-запрос возвращает только компьютеры под управлением Windows Server и исключает контроллеры домена:The following LDAP query only returns computers running the Windows Server operating system, and it excludes domain controllers.

      (&(objectCategory=computer)(operatingsystem=*server*))

      В этом примере LDAP-запрос возвращает только компьютеры, работающие под управлением ОС Windows Server.This example LDAP query only returns computers running the Windows Server operating system. Он исключает контроллеры домена и серверы, на которых размещается роль сервера управления Operations Manager или Service Manager.It excludes domain controllers and servers hosting the Operations Manager or Service Manager management server role.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Дополнительные сведения о LDAP-запросах см. в статьях Creating a Query Filter (Создание фильтра запроса) и Active Directory: LDAP Syntax Filters (Active Directory: фильтры синтаксиса LDAP).For more information about LDAP queries, see Creating a Query Filter and Active Directory: LDAP Syntax Filters.

    2. Нажмите кнопки ОКи Далее.Click OK, and then click Next.

  9. На странице Критерии исключения введите полные доменные имена компьютеров, которые не должны управляться данным сервером управления, а затем нажмите кнопку Далее.On the Exclusion Criteria page, type the FQDN of computers that you explicitly want to prevent from being managed by this management server, and then click Next.

    Важно!

    При вводе полные доменные имена компьютеров должны разделяться точкой с запятой, запятой или новой строкой (CTRL+ENTER).You must separate the computer FQDNs that you type with a semicolon, colon, or a new line (CTRL+ENTER).

  10. На странице Переключение агентов при сбое либо установите флажок Автоматически управлять переключением, а затем нажмите кнопку Создать, либо установите флажок Настроить переключение вручную.On the Agent Failover page, either select Automatically manage failover and click Create or select Manually configure failover. В случае установки флажка Настроить переключение вручную сделайте следующее.If you select Manually configure failover, do the following:

    1. Снимите флажки серверов управления, на которые агенты не должны переключаться при сбое.Clear the check boxes of the management servers to which you do not want the agents to failover.

    2. Нажмите кнопку Создать.Click Create.

      Примечание

      После установки флажка Настроить переключение вручную необходимо еще раз запустить мастер, если в дальнейшем в данную группу управления добавляется сервер управления и требуется, чтобы агенты при сбое переключались на новый сервер управления.With the Manually configure failover option, you must run the wizard again if you subsequently add a management server to the management group and want the agents to failover to the new management server.

  11. В диалоговом окне Свойства сервера управления нажмите кнопку ОК.In the Management Server Properties dialog box, click OK.

    Учтите, что применение настроек назначения агентов в AD DS может занять до одного часа.Note that it can take up to one hour for the agent assignment setting to propagate in AD DS.

По завершении следующее правило создается в группе управления и целевые объекты пула ресурсов назначения AD класса.When complete, the following rule is created in the management group and targets the AD Assignment Resource Pool class.

Правило назначения агентов интеграции Active DirectoryAD Integration agent assignment rule
Это правило содержит сведения о конфигурации назначения агентов, указанные в мастере назначения агентов и настройки их переключения, например LDAP-запрос.This rule includes the agent assignment configuration information that you specified in the Agent Assignment and Failover Wizard, such as the LDAP query.

Чтобы убедиться, что группа управления успешно опубликовала свои данные в Active Directory, найдите событие с кодом 11 470 в исходных модулях службы работоспособности в журнале событий Operations Manager на сервере управления, где было определено правило назначения агентов.To confirm if the management group successfully published its information in Active Directory, search for Event ID 11470 from source Health Service Modules in the Operations Manager event log on the management server the agent assignment rule was defined on. В описании должно быть указано, что успешно добавлены все компьютеры, которые были добавлены в правило назначения агентов.In the description it should state that it successfully added all the computers that were the added to the agent assignment rule.

Событие успешного назначения агентов интеграции Active Directory

В Active Directory в контейнере OperationsManager<ManagementGroupName> должны отображаться созданные объекты точки подключения службы (SCP), аналогичные приведенным в примере.In Active Directory, under the OperationsManager<ManagementGroupName> container, you should see the service connection point (SCP) objects created similar to the following example.

Объекты назначения агентов интеграции Active DirectoryAD Integration agent assignment AD objects

Правило также создает две группы безопасности с именем, совпадающим с NetBIOS-именем сервера управления, — первую с суффиксом "_PrimarySG<random number>" и вторую с суффиксом "_SecondarySG<random number>".The rule also creates two security groups with the name of the management server NetBIOS name, the first one with the suffix “_PrimarySG<random number>” and the second one “_SecondarySG<random number>”. В этом примере два сервера управления развернуты в группе управления. В основную группу безопасности ComputerB_Primary_SG_24901 входят компьютеры, которые соответствуют правилу включения, определенному в правиле назначения агентов. В группу безопасности ComputerA_Secondary_SG_38838 входит основная группа безопасности ComputerB_Primary_SG 29401, содержащая учетную запись компьютера агентов, который переключится на дополнительный сервер управления в случае отказа основного сервера.In this example, there are two management servers deployed in the management group and the primary security group ComputerB_Primary_SG_24901 membership includes computers which matched the include rule defined in your agent assignment rule and the security group ComputerA_Secondary_SG_38838 membership includes the primary group ComputerB_Primary_SG-29401 security group containing the machine account of agents that would failover to this secondary management server in the event the primary management server is unresponsive. Имя SCP — это NetBIOS-имя сервера управления с суффиксом "_SCP".The SCP name is the management server NetBIOS name with the suffix “_SCP”.

Примечание

В этом примере показаны только объекты из одной группы управления, но не из другой, которая может существовать и также настроена с интеграцией AD.In this example, it is only showing objects from a single management group and not other management groups that may exist and also configured with AD integration.

Ручное развертывание агентов с помощью параметра интеграции Active DirectoryManual agent deployment with Active Directory Integration Setting

Ниже приведен пример командной строки для ручной установки агента Windows с включенной интеграцией Active Directory.Below is an example of the command line to manually install the Windows agent with Active Directory Integration enabled.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Изменение параметра интеграции Active Directory для агентаChanging the Active Directory Integration Setting for an agent

Чтобы изменить параметр интеграции Active Directory для агента, можно использовать следующую процедуру.You can use the following procedure to change the Active Directory integration setting for an agent.

  1. На управляемом агентом компьютере в панели управления дважды щелкните Microsoft Monitoring Agent.On the agent-managed computer, in Control Panel, double-click Microsoft Monitoring Agent.

  2. На вкладке Operations Manager установите или снимите флажок Автоматически обновлять назначения групп управления из доменных служб Active Directory.On the Operations Manager tab, clear or select Automatically update management group assignments from AD DS. Если этот флажок установлен, то при запуске агент будет запрашивать в Active Directory список групп управления, которым он назначен.If you select this option, on agent startup, the agent will query Active Directory for a list of management groups to which it has been assigned. При наличии таких групп управления они будут добавлены в список.Those management groups, if any, will be added to the list. Если флажок снят, то все группы управления, назначенные агенту в Active Directory, будут удалены из списка.If you clear this option, all management groups assigned to the agent in Active Directory will be removed from the list.

  3. Нажмите кнопку ОК.Click OK.

Интеграция Active Directory с недоверенным доменомIntegrate Active Directory with untrusted domain

  1. Создайте в недоверенном домене пользователя с разрешениями на чтение, запись и удаление объектов в AD.Create a user in an untrusted domain with permissions to read, write and delete objects in AD.
  2. Создайте группу безопасности (локальную для домена или глобальную).Create a security group (domain local or global). Добавьте в эту группу пользователя, созданного на шаге 1.Add the user (created in step 1) to this group.
  3. Выполните файл MOMAdAdmin.exe в недоверенном домене со следующими параметрами: <path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>.Run MOMAdAdmin.exe on the untrusted domain with the following parameters: <path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
  4. Создайте в Operations Manager новую учетную запись запуска от имени, используя учетную запись, созданную на шаге 1.Create a new run as account in Operations Manager, use the account created in step 1. Для домена должно быть указано полное доменное имя, а не имя NetBios (например: CONTOSO.COM\ADUser).Make sure that the domain name is provided with FQDN, not NetBIOS name (For Ex: CONTOSO.COM\ADUser).
  5. Выделите учетную запись в пул ресурсов назначения Active Directory.Distribute the account to the AD Assignment Resource Pool.
  6. Создайте новый профиль запуска от имени в пакете управления по умолчанию.Create a new run as profile in the default management pack. Если вы создадите этот профиль в любом другом пакете управления, обязательно запечатайте этот пакет, чтобы он был доступен для ссылки другому пакету.If this profile is created in any other management pack, ensure to seal the management pack so this can be referenced to other management pack.
  7. Добавьте созданную учетную запись запуска от имени в этот профиль и задайте ему пул ресурсов назначения Active Directory в качестве целевого объекта.Add the newly created run as account to this profile and target it to the AD Assignment Resource Pool
  8. Создайте правила интеграции Active Directory в Operations Manager.Create the Active Directory integration rules in Operations Manager.

Примечание

После интеграции с недоверенным доменом каждый сервер управления отображает предупреждение База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции, которое указывает на то, что учетная запись запуска от имени, используемая в назначении Active Directory, не прошла проверку.After the integration with untrusted domain, each management server displays the warning message Security database on the server does not have a computer account for this workstation trust relationship indicating that the validation of the run as account used by the AD assignment failed. В журнале событий Operations Manager создаются события с идентификатором 7000 или 1105.Event ID 7000 or 1105 are generated in the Operations Manager Event log. Хотя это предупреждение не влияет на назначение Active Directory в недоверенном домене.However, this alert does not have any impact on the AD assignment in untrusted domain.

Дальнейшие шагиNext steps

Чтобы понять, как установить агент Windows из консоли управления, см. сведения в разделе Установка агента в ОС Windows с помощью мастера обнаружения. Сведения об установке агента из командной строки см. в разделе Установка агента Windows вручную с помощью MOMAgent.msi.To understand how to install the Windows agent from the Operations console, see Install Agent on Windows Using the Discovery Wizard or to install the agent from the command line, see Install Windows Agent Manually Using MOMAgent.msi.