Настройка и использование интеграции Active Directory для назначения агента

System Center Operations Manager позволяет эффективно использовать инвестиции в доменные службы Active Directory Domain Services (AD DS), предоставляя возможность использовать их для назначения управляемых агентом компьютеров группам управления. Эта статья поможет вам создать конфигурацию контейнера в Active Directory и управлять ею, а также назначать агенты серверов управления.

Создание контейнера доменных служб Active Directory для группы управления

Следующие синтаксис командной строки и процедура используются для создания контейнера доменных служб Active Directory для группы управления System Center Operations Manager. Для этого предусмотрен файл MOMADAdmin.exe, устанавливаемый вместе с сервером управления Operations Manager. MOMADAdmin.exe должен запускаться администратором указанного домена.

Синтаксис командной строки:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Важно!

Значения с пробелами следует вводить в кавычках.

• ManagementGroupName — имя группы управления, для которой создается контейнер Active Directory.

• MOMAdminSecurityGroup — группа безопасности домена (формат domain\security_group), которая является членом роли безопасности "Администраторы Operations Manager" для данной группы управления.

• RunAsAccount. Это учетная запись домена, которая будет использоваться сервером управления для чтения, записи и удаления объектов в AD. Используйте формат "домен\пользователь".

• Domain — имя домена, в котором будет создан контейнер группы управления. MOMADAdmin.exe можно выполнять в рамках нескольких доменов, если между ними существуют двухсторонние отношения доверия.

Чтобы интеграция с Active Directory работала, данная группа безопасности должна быть глобальной группой безопасности (если интеграция с Active Directory используется в нескольких доменах с двусторонними отношениями доверия) или локальной группой домена (если интеграция с Active Directory используется только в одном домене).

Чтобы добавить группу безопасности в группу "Администраторы Operations Manager" используйте следующую процедуру.

1. В консоли управления выберите Администрирование.

2. В рабочей области Администрирование выберите Роли пользователя в разделе Безопасность.

3. В разделе Роли пользователей выберите Администраторы Operations Manager и выберите действие Свойства или щелкните правой кнопкой мыши Администраторы Operations Manager и выберите Свойства.

4. Нажмите кнопку Добавить , чтобы открыть диалоговое окно Выбор группы .

5. Выберите нужную группу безопасности и нажмите кнопку ОК , чтобы закрыть диалоговое окно.

6. Нажмите кнопку ОК , чтобы закрыть свойства роли пользователя.

Примечание

Рекомендуется сделать членом роли "Администраторы Operations Manager" одну группу безопасности, которая может включать несколько групп. Таким образом группы и члены групп могут добавляться или удаляться из групп без необходимости администратору домена вручную назначать им разрешения на чтение и удаление дочерних объектов для данного контейнера группы управления.

Чтобы создать контейнер AD DS, воспользуйтесь следующей процедурой.

1. Откройте командную строку как администратор.

2. Например, в командной строке введите следующее:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Примечание

Путь по умолчанию — C:\Program Files\Microsoft System Center\Operations Manager.

3. Команда из предыдущего примера командной строки выполняет следующие действия.

   1. Запустите программу MOMADAdmin.exe из командной строки.

   2. Создайте контейнер доменных служб Active Directory группы управления "Message Ops" в корне схемы доменных служб Active Directory домена MessageDom. Чтобы этот же контейнер доменных служб Active Directory группы управления создать и в других доменах, запустите MOMADAdmin.exe для каждого домена.

   3. Добавьте учетную запись компьютера MessageDom\MessageADIntAcct в группу безопасности доменных служб Active Directory MessageDom\MessageOMAdmins и назначьте этой группе безопасности доменных служб Active Directory права, необходимые для управления данным контейнером доменных служб Active Directory.

Использование доменных служб Active Directory для назначения компьютеров серверам управления

Мастер назначения агентов Operations Manager и настройки их переключения создают правило назначения агентов, в котором доменные службы Active Directory используются для назначения компьютеров группе управления и назначения им основного и дополнительных серверов управления. Следующие процедуры используются для запуска и использования данного мастера.

Важно!

Прежде чем запускать мастер назначения агентов и настройки их переключения, для данной группы управления необходимо создать контейнер доменных служб Active Directory.

Мастер назначения агента и отработки отказа не развертывает агент. Необходимо вручную развернуть агент на компьютерах с помощью файла MOMAgent.msi.

Изменение правила назначения агентов может привести к тому, что компьютеры больше не будут принадлежать группе управления и, следовательно, не будут ей наблюдаться. Состояние этих компьютеров изменится на критическое, так как они больше не отправляют периодические сигналы группе управления. Эти компьютеры можно удалить из группы управления. Если компьютер не назначен другим группам управления, агент Operations Manager можно удалить.

Запуск мастера назначения агентов Operations Manager и настройки их переключения

1. Войдите на компьютер с учетной записью, которая является членом роли администраторов Operations Manager.

2. В консоли управления выберите Администрирование.

3. В рабочей области Администрирование выберите Серверы управления.

4. В области Серверы управления щелкните правой кнопкой мыши сервер управления или сервер шлюза, чтобы он был основным сервером управления для компьютеров, возвращаемых правилами, которые вы создадите в следующей процедуре, и выберите Свойства.

   Примечание

   В данном контексте серверы шлюза функционируют подобно серверам управления.

5. В диалоговом окне Свойства сервера управления перейдите на вкладку Автоматическое назначение агента , а затем нажмите кнопку Добавить , чтобы запустить мастер назначения агента и отработки отказа.

6. В мастере назначения агента и отработки отказа на странице Введение нажмите кнопку Далее.

   Примечание

   Страница Введение не отображается, если мастер был запущен и выбран параметр Не показывать эту страницу снова .

7. На странице Домен сделайте следующее.

   Примечание

   Чтобы назначить компьютеры из нескольких доменов одной группе управления, запускайте мастер назначения агентов и настройки их переключения для каждого домена.

   • Выберите домен компьютеров из раскрывающегося списка Доменное имя . Сервер управления и все компьютеры в пуле ресурсов назначения агента AD должны разрешать имя домена.

     Важно!

     Сервер управления и компьютеры, которыми требуется управлять, должны принадлежать доменам с двусторонними отношениями доверия.

   • Установите флажок Выбрать профиль запуска от имени для профиля запуска от имени, связанного с учетной записью запуска от имени, предоставленной после запуска MOMADAdmin.exe для данного домена. Для выполнения назначения агентов по умолчанию используется заданная по умолчанию учетная запись действия, указанная во время установки, которая также называется учетной записью назначения агентов на основе Active Directory. Эта учетная запись представляет учетные данные, используемые при подключении к службе Active Directory указанного домена и изменении объектов Active Directory. Они должны соответствовать учетной записи, указанной при выполнении MOMAdmin.exe. Если это не учетная запись, используемая для запуска MOMADAdmin.exe, выберите Использовать другую учетную запись для выполнения назначения агента в указанном домене, а затем выберите или создайте учетную запись в раскрывающемся списке Выбор профиля запуска от имени. Профиль учетной записи назначения агента на основе Active Directory должен быть настроен для использования учетной записи администратора Operations Manager, которая распространяется на все серверы в пуле ресурсов назначения агента AD.

     Примечание

     Дополнительные сведения об использовании профилей запуска от имени см. в разделе Управление учетными записями и профилями запуска от имени.

8. На странице Критерии включения в текстовом поле введите запрос LDAP для назначения компьютеров этому серверу управления, а затем нажмите кнопку Далее или настроить. Если вы выберете Настроить, сделайте следующее:

   1. В диалоговом окне Поиск компьютеров введите необходимые условия для назначения компьютеров этому серверу управления или введите конкретный запрос LDAP.

      Следующий LDAP-запрос возвращает только компьютеры под управлением Windows Server и исключает контроллеры домена:

      (&(objectCategory=computer)(operatingsystem=*server*))

      В этом примере LDAP-запрос возвращает только компьютеры, работающие под управлением ОС Windows Server. Он исключает контроллеры домена и серверы, на которых размещается роль сервера управления Operations Manager или Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Дополнительные сведения о LDAP-запросах см. в статьях Создание фильтра запроса и Active Directory: фильтры синтаксиса LDAP.

   2. Нажмите кнопку ОК, а затем кнопку Далее.

9. На странице Критерии исключения введите полное доменное имя компьютеров, которыми необходимо явно запретить управление с помощью этого сервера управления, а затем нажмите кнопку Далее.

   Важно!

   При вводе полные доменные имена компьютеров должны разделяться точкой с запятой, запятой или новой строкой (CTRL+ENTER).

10. На странице Отработка отказа агента выберите Автоматически управлять отработой отказа и щелкните Создать или выберите Настроить отработку отказа вручную. В случае установки флажка Настроить переключение вручную сделайте следующее.

    1. Снимите флажки проверка серверов управления, на которые не нужно выполнять отработку отказа агентов.

    2. Нажмите кнопку создания.

       Примечание

       После установки флажка Настроить переключение вручную необходимо еще раз запустить мастер, если в дальнейшем в данную группу управления добавляется сервер управления и требуется, чтобы агенты при сбое переключались на новый сервер управления.

11. В диалоговом окне Свойства сервера управления нажмите кнопку ОК.

Примечание

Распространение настроек назначения агентов в доменных службах Active Directory может занять до одного часа.

По завершении следующее правило создается в группе управления и целевые объекты пула ресурсов назначения AD класса.


Это правило содержит сведения о конфигурации назначения агентов, указанные в мастере назначения агентов и настройки их переключения, например LDAP-запрос.

Чтобы убедиться, что группа управления успешно опубликовала свои данные в Active Directory, найдите событие с кодом 11 470 в исходных модулях службы работоспособности в журнале событий Operations Manager на сервере управления, где было определено правило назначения агентов. В описании должно быть указано, что он успешно добавил все компьютеры, добавленные в правило назначения агента.

В Active Directory в контейнере OperationsManager<ManagementGroupName> должны отображаться созданные объекты точки подключения службы (SCP), аналогичные приведенным в примере.

Правило также создает две группы безопасности с именем NetBIOS-имени сервера управления: первая с суффиксом "_PrimarySG<случайное число>", вторая " _SecondarySG<случайное число>". В этом примере в группе управления развернуты два сервера управления, а основная группа безопасности ComputerB_Primary_SG_24901 членство включает компьютеры, которые соответствуют правилу включения, определенному в правиле назначения агента, а группа безопасности ComputerA_Secondary_SG_38838 членство включает основную группу ComputerB_Primary_SG-29401 группа безопасности, содержащая учетную запись компьютера агентов, которые будут выполнять отработку отказа на этот дополнительный сервер управления в случае, если основной сервер управления не отвечает. Имя SCP — это NetBIOS-имя сервера управления с суффиксом "_SCP".

Примечание

В этом примере отображаются только объекты из одной группы управления, но не из других групп управления, которые могут существовать и настроены с интеграцией AD.

Ручное развертывание агентов с помощью параметра интеграции Active Directory

Ниже приведен пример командной строки для ручной установки агента Windows с включенной интеграцией Active Directory.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Изменение параметра интеграции Active Directory для агента

Чтобы изменить параметр интеграции Active Directory для агента, можно использовать следующую процедуру.

1. На компьютере, управляемом агентом, в панель управления дважды щелкните Microsoft Monitoring Agent.

2. На вкладке Operations Manager установите или снимите флажок Автоматически обновлять назначения групп управления из доменных служб Active Directory. Если этот флажок установлен, то при запуске агент будет запрашивать в Active Directory список групп управления, которым он назначен. При наличии таких групп управления они будут добавлены в список. Если флажок снят, то все группы управления, назначенные агенту в Active Directory, будут удалены из списка.

3. Щелкните ОК.

Интеграция Active Directory с недоверенным доменом

1. Создайте пользователя в недоверенном домене с разрешениями на чтение, запись и удаление объектов в AD.
2. Создайте группу безопасности (локальную для домена или глобальную). Добавьте в эту группу пользователя, созданного на шаге 1.
3. Запустите MOMAdAdmin.exe для недоверенного домена со следующими параметрами: путь>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>.
4. Создайте учетную запись запуска от имени в Operations Manager; используйте учетную запись, созданную на шаге 1. Убедитесь, что доменное имя указано с полным доменным именем, а не netBIOS-именем (например, CONTOSO.COM\ADUser).
5. Выделите учетную запись в пул ресурсов назначения Active Directory.
6. Создайте профиль запуска от имени в пакете управления по умолчанию. Если вы создадите этот профиль в любом другом пакете управления, обязательно запечатайте этот пакет, чтобы он был доступен для ссылки другому пакету.
7. Добавьте созданную учетную запись запуска от имени в этот профиль и нацелите ее на пул ресурсов назначения AD.
8. Создайте правила интеграции Active Directory в Operations Manager.

Примечание

После интеграции с недоверенным доменом каждый сервер управления отображает предупреждающее сообщение База данных безопасности на сервере не имеет учетной записи компьютера для этого отношения доверия рабочей станции , указывающее, что проверка учетной записи запуска от имени, используемой назначением AD, завершилась сбоем. В журнале событий Operations Manager создаются события с идентификатором 7000 или 1105. Однако это оповещение не влияет на назначение AD в недоверенном домене.

Дальнейшие шаги

Чтобы понять, как установить агент Windows из консоли управления, см. сведения в разделе Установка агента в ОС Windows с помощью мастера обнаружения. Сведения об установке агента из командной строки см. в разделе Установка агента Windows вручную с помощью MOMAgent.msi.