Installera en gatewayserver

Viktigt

Den här versionen av Operations Manager har nått slutet av supporten, vi rekommenderar att du uppgraderar till Operations Manager 2022.

Gateway-servrar används för att aktivera agenthantering av datorer som ligger utanför gränsen för Kerberos-förtroende för hanteringsgrupper, till exempel i en domän som inte är betrodd. Gateway-servern fungerar som en samlingspunkt för kommunikationen mellan agent och hanteringsserver. Agenter i domäner som inte är betrodda kommunicerar med gateway-servern, och gateway-servern kommunicerar med en eller flera hanteringsservrar. Eftersom kommunikationen mellan gateway-servern och hanteringsservrarna bara sker över en port (TCP 5723) är det den enda port som måste öppnas för eventuella mellanliggande brandväggar för att aktivera hantering av flera agenthanterade datorer. Det går att placera flera gateway-servrar i en enda domän så att agenterna kan redundansväxla mellan varandra om de tappar kontakten med någon av gateway-servrarna. På samma sätt kan också en enskild gateway-server konfigureras för redundansväxling mellan hanteringsservrar så att ingen enskild felpunkt uppstår i kommunikationskedjan.

Eftersom gateway-servern ligger i en domän som inte är betrodd av den domän där hanteringsgruppen finns, måste varje dators identitet, agent, gateway-server och hanteringsserver fastställas med certifikat. Det här uppfyller Operations Managers krav på ömsesidig autentisering.

Du måste se till att servern uppfyller de lägsta systemkraven för System Center – Operations Manager. Mer information finns i Systemkrav för System Center Operations Manager.

Anteckning

Om dina säkerhetsprinciper begränsar TLS 1.0 och 1.1 misslyckas installationen av en ny Operations Manager 2016-gatewayserverroll eftersom installationsmediet inte innehåller uppdateringar för att stödja TLS 1.2. Det enda sättet att installera den här rollen är genom att aktivera TLS 1.0 på systemet, tillämpa Samlad uppdatering 4 och sedan aktivera TLS 1.2 på systemet. Den här begränsningen gäller inte för Operations Manager version 1801.

Distribuera en gateway-server

1. Begär certifikat för datorer i agent-, hanteringsserver- och gateway-serverkedjan.

2. Importera certifikaten till måldatorerna med hjälp av verktyget MOMCertImport.exe.

3. Distribuera Microsoft.EnterpriseManagement.GatewayApprovalTool.exe till hanteringsservern.

4. Kör verktyget Microsoft.EnterpriseManagement.GatewayApprovalTool.exe för att initiera kommunikationen mellan hanteringsservern och gateway-servern

5. Installera gateway-servern.

Förberedelser inför installation

Innan du börjar

1. Distributionen av gateway-servrar kräver certifikat. Du måste ha åtkomst till en certifikatutfärdare (CA). Detta kan vara en offentlig certifikatutfärdare som VeriSign, men du kan också använda Microsoft Certifikattjänster. Den här proceduren beskriver steg för steg hur du begär, skaffar och importerar ett certifikat från Microsoft Certifikattjänster.

2. Tillförlitlig namnmatchning måste finnas mellan de agenthanterade datorerna och gateway-servern och mellan gateway-servern och hanteringsservrarna. Den här namnmatchning görs normalt via DNS. Om en korrekt namnmatchning via DNS inte är möjlig kan du dock behöva skapa poster manuellt i varje dators värdfil.

   Anteckning

   Värdfilen finns i katalogen \Windows\system32\drivers\ och innehåller konfigurationsanvisningar.

Skaffa datorcertifikat från Microsoft Certifikattjänster

Mer information finns i Active Directory-certifikattjänster

Distribuera Microsoft.EnterpriseManagement.GatewayApprovalTool

Verktyget Microsoft.EnterpriseManagement.GatewayApprovalTool.exe behövs endast på hanteringsservern och behöver bara köras en gång.

Så här kopierar du Microsoft.EnterpriseManagement.GatewayApprovalTool.exe till hanteringsservrar

1. Öppna installationsmediet för Operations Manager \SupportTools\ (amd64 eller x86) från en målhanteringsserver.

2. Kopiera Microsoft.EnterpriseManagement.GatewayApprovalTool.exe från installationsmediet till Operations Manager-installationskatalogen.

Registrera gateway-servern med hanteringsgruppen

Den här proceduren registrerar gateway-servern med hanteringsgruppen. När det är klart visas gateway-servern i vyn Identifierat lager för hanteringsgruppen.

Så här kör du verktyget för gateway-godkännande

1. Logga in med Operations Manager-administratörskonton på hanteringsservern som var målet för gateway-serverinstallationen.

2. Öppna en kommandotolk och gå till installationskatalogen för Operations Manager eller till den katalog som du kopierade Microsoft.EnterpriseManagement.gatewayApprovalTool.exe till.

3. Kör Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create i kommandotolken

   Anteckning

   Du kan förhindra att gateway-servern initierar kommunikation med en hanteringsserver genom att lägga till parametern /ManagementServerInitiatesConnection på kommandoraden.

4. Om godkännandet lyckas visas The approval of server <GatewayFQDN> completed successfully.

5. Om du behöver ta bort gateway-servern från hanteringsgruppen kör du samma kommando men ersätter flaggan /Action=Delete med flaggan /Action=Create.

6. Öppna driftkonsolen i vyn Övervakning. Välj vyn Identifierat lager och kontrollera att gateway-servern är tillgänglig.

Installera gateway-servern

Den här proceduren beskriver hur du installerar gateway-servern. Den server som ska fungera som gateway-servern måste vara medlem i samma domän som de agenthanterade datorer som ska rapportera till den.

Tips

Installationen misslyckas om du startar Windows Installer (till exempel om du installerar en gateway-server genom att dubbelklicka på MOMGateway.msi) om den lokala säkerhetsprincipen User Account Control (UAC): Kör alla administratörer i Läge för administratörstillåtelse är aktiverad.

Så här kör du Windows Installer för gateway-servern för Operations Manager från Kommandotolken

1. Klicka på Start på Windows-skrivbordet, peka på Program, peka på Tillbehör, högerklicka på Kommandotolk och klicka sedan på Kör som administratör.

2. I fönstret Administratör: kommandotolk navigerar du till den lokala enhet som installationsmediet för Operations Manager finns på.

3. Navigera till katalogen där MSI-filen finns, skriv namnet på MSI-filen och tryck på Retur.

Så här installerar du gateway-servern

1. Logga in på gateway-servern med administratörsbehörighet.

2. Starta Setup.exe från installationsmediet för Operations Manager.

3. Klicka på länken Gatewayhanteringsserver i avsnittet Installera.

4. Klicka på Nästa på välkomstskärmen.

5. Acceptera standardinställningarna på sidan Målmapp eller klicka på Ändra om du vill välja en annan installationskatalog och klicka sedan på Nästa.

6. På sidan Konfiguration av hanteringsgrupp skriver du namnet på målhanteringsgruppen i fältet Namn på hanteringsgrupp, skriver namnet på målhanteringsservern i fältet Hanteringsserver, kontrollerar att fältet Hanteringsserverport har värdet 5723 och klickar sedan på Nästa. Den här porten kan ändras om du har aktiverat en annan port för kommunikationen med hanteringsservern i driftkonsolen.

7. På sidan Gateway-åtgärdskonto väljer du kontoalternativet Lokalt system såvida du inte specifikt har skapat ett domänbaserat eller lokalt datorbaserat gateway-åtgärdskonto. Klicka på Nästa.

8. På sidan Microsoft Update kan du välja om du vill använda Microsoft Update. Sedan klickar du på Nästa.

9. Klicka på Installera på sidan Klar att installera.

10. På sidan Slutför klickar du på Slutför.

Så här installerar du gateway-servern från Kommandotolken

1. Logga in på gateway-servern med administratörsbehörighet.

2. Öppna kommandotolksfönstret med alternativet Kör som administratör.

3. Kör följande kommando, där path\Directory är platsen för MOMGateway.msi och path\Logs är den plats där du vill spara loggfilen. MOMGateway.msi finns i Installationsmediet för Operations Manager.

   %WinDir%\System32\msiexec.exe /i path\Directory\MOMGateway.msi /qn /l*v C:\Logs\GatewayInstall.log
   ADDLOCAL=MOMGateway
   MANAGEMENT_GROUP="<ManagementGroupName>"
   IS_ROOT_HEALTH_SERVER=0
   ROOT_MANAGEMENT_SERVER_AD=<ParentMSFQDN>
   ROOT_MANAGEMENT_SERVER_DNS=<ParentMSFQDN>
   ACTIONS_USE_COMPUTER_ACCOUNT=0
   ACTIONSDOMAIN=<DomainName>
   ACTIONSUSER=<ActionAccountName>
   ACTIONSPASSWORD=<Password>
   ROOT_MANAGEMENT_SERVER_PORT=5723
   [INSTALLDIR=<path\Directory>]
   

Importera certifikat med MOMCertImport.exe-verktyget

Utför den här åtgärden på alla gateway-servrar, hanteringsservrar och datorer som ska hanteras av agenten och som finns i en domän som inte är betrodd.

Så här importerar du certifikat med hjälp av MOMCertImport.exe

1. Kopiera MOMCertImport.exe-verktyget från katalogen installation media \SupportTools\ (amd64 eller x86) till målserverns rot eller till installationskatalogen för Operations Manager om målservern är en hanteringsserver.

2. Öppna ett kommandotolksfönster som administratör och ändra katalogen till den katalog där MOMCertImport.exe finns och kör sedan momcertimport.exe /SubjectName <certificate subject name>. Nu kan certifikatet användas av Operations Manager. Du kan också köra momcertimport.exe utan argument så att du kan välja från ett grafiskt användargränssnitt (grafiskt användargränssnitt) en lista över certifikat i ditt personliga arkiv för lokala datorer.

Konfigurera gateway-servrar för redundansväxling mellan hanteringsservrar

Även om gateway-servrar kan kommunicera med alla hanteringsservrar i hanteringsgruppen kräver detta konfiguration. I det här scenariot identifieras de sekundära hanteringsservrarna som mål för en redundansväxling av gateway-servern.

Använd kommandot Set-SCOMParentManagementServer i Operations Manager-gränssnittet, som du ser i följande exempel, för att konfigurera en gateway-server för redundansväxling till flera hanteringsservrar. Kommandona kan köras från valfritt kommandogränssnitt i hanteringsgruppen.

Så här konfigurerar du gateway-servrar för redundansväxling mellan hanteringsservrar

1. Logga in på en hanteringsserver med ett konto som är medlem i rollen Administratörer för hanteringsgruppen.

2. Klicka på Start på Windows-skrivbordet, peka på Program, peka på System Center Operations Manager och klicka sedan på Shell för kommando.

3. Kör följande kommandon i Command Shell:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "ComputerName.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "ManagementServer.Contoso.com","ManagementServer2.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

Så här länkar du samman flera gateway-servrar

Ibland är det nödvändigt att länka samman flera gateway-servrar för att kunna utföra övervakning över flera obetrodda gränser. Det här avsnittet beskriver hur du kopplar ihop flera gateway-servrar.

Anteckning

• Du bör installera en gateway i taget och kontrollera att varje nyligen installerad gateway är korrekt konfigurerad innan du lägger till en till gateway i kedjan.
• När du lägger till gateways-kedjans slut i samma resurspool ska du inte konfigurera redundansväxling till den andra kedjan med hjälp av kommandot Set-SCOMParentManagementServer . I ett sådant scenario fungerar inte poolen som förväntat. För att redundanskonfigurationen och resurspoolen ska fungera tillsammans bör gatewayens slut i kedjan ha samma överordnade.

1. På hanteringsservern som var målet under installationen av gateway-servern initierar du kommunikationen mellan hanteringsservern och gateway-servern genom att köra verktyget Microsoft.EnterpriseManagement.GatewayApprovalTool.exe.
2. Öppna en kommandotolk och navigera till installationskatalogen för Operations Manager och kör sedan följande: Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create
3. Installera gateway-servern på en ny server.
4. Konfigurera certifikaten mellan gateway-servrarna på samma sätt som du konfigurerar certifikat mellan en gateway och en hanteringsserver. Hälsotjänsten kan bara läsa in och använda ett enda certifikat. Därför används samma certifikat av gateway-serverns överordnade och underordnade objekt i kedjan.

Nästa steg

• Se Fördelad distribution av Operations Manager för att förstå sekvensen och stegen för att installera Operations Manager-serverroller på flera servrar i hanteringsgruppen.