Så här konfigurerar och använder du Active Directory-integrering för agenttilldelning

  • Artikel
  • 9 minuter för att läsa

Viktigt

Den här versionen av Operations Manager har nått slutet av supporten, vi rekommenderar att du uppgraderar till Operations Manager 2022.

System Center Operations Manager kan du dra nytta av din investering i Active Directory Domain Services (AD DS) genom att göra det möjligt för dig att använda den för att tilldela agenthanterade datorer till hanteringsgrupper. Det här avsnittet hjälper dig att skapa och hantera konfigurationen av containern i Active Directory samt tilldela agenter till hanteringsservrar som agenter rapporterar till.

Skapa en Active Directory Domain Services-container för en hanteringsgrupp

Du kan använda följande kommandoradssyntax och procedur för att skapa en Active Directory-domän Service-container (AD DS) för en System Center – Operations Manager-hanteringsgrupp. MOMADAdmin.exe finns för detta ändamål och installeras med Operations Manager-hanteringsservern. MOMADAdmin.exe måste köras av en administratör på den angivna domänen.

Kommandoradssyntax:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Viktigt

Om värdet innehåller blanksteg måste du placera det inom citattecken.

  • ManagementGroupName är namnet på hanteringsgruppen som en AD-container skapas för.

  • MOMAdminSecurityGroup är en domänsäkerhetsgrupp i domain\security_group-format som är medlem i säkerhetsrollen för Operations Managers-administratörer för hanteringsgruppen.

  • RunAsAccount: Det här är det domänkonto som används av hanteringsservern för att läsa, skriva och ta bort objekt i AD. Använd formatet domän\användarnamn.

  • Domän är namnet på domänen där hanteringsgruppens container kommer att skapas. MOMADAdmin.exe kan endast köras i flera domäner om ett dubbelriktat förtroende finns mellan dem.

För att Active Directory-integrering ska fungera måste säkerhetsgruppen antingen vara en global säkerhetsgrupp (om Active Directory-integreringen ska användas i flera domäner med dubbelriktat förtroende) eller en lokal domängrupp (om Active Directory-integreringen endast används i en domän)

Använd följande procedur för att lägga till en säkerhetsgrupp i gruppen Operations Manager-administratörer.

  1. Välj Administration i driftkonsolen.

  2. I arbetsytan Administration väljer du Användarroller under Säkerhet.

  3. I Användarroller väljer du Operations Manager-administratörer och klickar på åtgärden Egenskaper eller högerklickar på Operations Manager-administratörer och väljer Egenskaper.

  4. Klicka på Lägg till för att öppna dialogrutan Välj grupp.

  5. Markera den önskade säkerhetsgruppen och klicka sedan på OK för att stänga dialogrutan.

  6. Klicka på OK för att stänga Egenskaper för användarroll.

Anteckning

Vi rekommenderar att en säkerhetsgrupp som kan innehålla flera grupper används för Operations Manager-administratörsrollen. På så sätt kan grupper och medlemmar i grupper läggas till och tas bort från grupper utan att en domänadministratör behöver utföra manuella steg för att tilldela dem läs- och borttagnings-behörigheter för underobjekt för hanteringsgruppens container.

Skapa AD DS-containern med följande metod.

  1. Öppna en kommandotolk som administratör.

  2. I kommandotolken kan du till exempel skriva:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Anteckning

Standardsökvägen är C:\Program Files\Microsoft System Center 2016\Operations Manager.

Anteckning

Standardsökvägen är C:\Program Files\Microsoft System Center\Operations Manager.

  1. Föregående kommandoradsexempel kommer att:

    1. Köra verktyget MOMADAdmin.exe från kommandoraden.

    2. Skapa AD DS-hanteringsgruppens container "Message Ops" i AD DS-schemaroten för domänen MessageDom. Kör MOMADAdmin.exe för varje domän för att skapa samma AD DS hanteringsgrupp-container i ytterligare domäner.

    3. Lägg till domänanvändarkontot MessageDom\MessageADIntAcct till AD DS-säkerhetsgruppen MessageDom\MessageOMAdmins och tilldela AD DS-säkerhetsgruppen de behörigheter som krävs för att hantera AD DS-containern.

Så här använder du Active Directory Domain Services för att koppla datorer till hanteringsservrar

Med Operations Manager-guiden Agenttilldelning och redundans kan du skapa en agenttilldelningsregel som använder AD DS (Active Directory Domain Services) för att koppla datorer till en hanteringsgrupp samt för att koppla en dators primära och sekundära hanteringsservrar. Använd följande metoder för att starta och använda guiden.

Viktigt

Active Directory Domain Services-containern för hanteringsgruppen måste skapas innan du kör guiden Agenttilldelning och redundans.

Guiden Agenttilldelning och redundans distribuerar inte agenten. Du måste distribuera agenten manuellt till datorerna med MOMAgent.msi.

Om du ändrar agenttilldelningsregeln kan det leda till att datorer inte längre blir tillkopplade och därför inte längre övervakas av hanteringsgruppen. De här datorernas tillstånd ändras till kritiskt eftersom de inte längre skickar pulsslag till hanteringsgruppen. De här datorerna kan tas bort från hanteringsgruppen och om datorn inte är kopplad till andra hanteringsgrupper kan Operations Manager-agenten avinstalleras.

Starta Guiden Operations Manager agenttilldelning och redundans

  1. Logga in på datorn med ett konto som är medlem i rollen Operations Manager-administratörer.

  2. Klicka på Administration i driftkonsolen.

  3. I arbetsytan Administration klickar du på Hanteringsservrar.

  4. I fönstret Hanteringsservrar högerklickar du på den hanteringsserver eller gateway-server som du vill göra till Primär hanteringsserver för de datorer som returneras av de regler som du skapar med följande metod och sedan klickar du på Egenskaper.

    Anteckning

    Gateway-servrarna fungerar som hanteringsservrar i det här sammanhanget.

  5. I dialogrutan Egenskaper för hanteringsserver klickar du på fliken Automatisk agenttilldelning och sedan på Lägg till för att starta guiden Agenttilldelning och redundans.

  6. Klicka på Nästa på sidan Introduktion i Guiden Agenttilldelning och redundans.

    Anteckning

    Sidan Introduktion visas inte om guiden har körts och Visa inte den här sidan igen har valts.

  7. Gör följande på sidan Domän:

    Anteckning

    Kör Guiden Agenttilldelning och redundans för varje domän för att tilldela datorer till en hanteringsgrupp från flera domäner.

    • Välj datorernas domän i listrutan Domännamn. Hanteringsservern och alla datorer i resurspoolen för AD-agenttilldelning måste kunna matcha domännamnet.

      Viktigt

      Hanteringsservern och datorerna som du vill hantera måste finnas i ömsesidigt betrodda domäner.

    • Ange Välj Kör som-profil för Kör som-profilen som är kopplad till det Kör som-konto som var angivet när MOMADAdmin.exe kördes för domänen. Standardkontot som används för att utföra agenttilldelning är standardåtgärdskontot som angavs vid installationen, och det kallas även Active Directory Based Agent Assignment Account (Active Directory-baserat agenttilldelningskonto). Det här kontot motsvarar autentiseringsuppgifterna som används vid anslutning till den angivna domänens Active Directory och när du ändrar Active Directory-objekt, och bör vara det konto som du anger när du kör MOMAdmin.exe. Om det inte är kontot som användes för att köra MOMADAdmin.exe väljer du Använd ett annat konto för att utföra agenttilldelning i den angivna domänen och sedan väljer eller skapar du kontot från listrutan Välj Kör som-profil. Profilen för Active Directory Based Agent Assignment Account (Active Directory-baserat agenttilldelningskontot) måste konfigureras för att använda ett Operations Manager-administratörskonto som är distribuerat till alla servrar i resurspoolen för AD-Agenttilldelning.

      Anteckning

      Mer information om Kör som-profiler och Kör som-konton finns i avsnittet Hantera Kör som-konton och Kör som-profiler.

  8. På sidan Inkluderingsvillkor kan du antingen ange LDAP-frågan för att tilldela datorer till den här hanteringsservern i textrutan och sedan klicka på Nästa eller klicka på Konfigurera. Gör följande om du klickar på Konfigurera:

    1. I dialogrutan Find Computers (Sök efter datorer) anger du önskade kriterier för att tilldela datorer till den här hanteringsservern eller anger en specifik LDAP-fråga.

      Följande LDAP-fråga returnerar bara datorer som kör Windows Server-operativsystemet och utesluter domänkontrollanter.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Den här LDAP-exempelfrågan returnerar bara datorer som kör operativsystemet Windows Server. Den utesluter domänkontrollanter och servrar som är värdar för Operations Manager eller Service Manager hanteringsserverrollen.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Mer information om LDAP-frågor finns i Skapa ett frågefilter och Active Directory: LDAP-syntaxfilter.

    2. Klicka på OK och sedan på Nästa.

  9. På sidan Exkluderingsvillkor anger du det fullständiga domännamnet för datorer som du uttryckligen vill förhindra från att hanteras av den här hanteringsservern och sedan klickar du på Nästa.

    Viktigt

    Du måste avskilja datorns fullständiga domännamn som du anger med ett semikolon, ett kolon eller en ny rad (CTRL + RETUR).

  10. På sidan Agentredundans väljer du antingen Hantera redundans automatiskt och klickar på Skapa eller väljer Konfigurera redundans manuellt. Gör följande om du väljer Konfigurera redundans manuellt:

    1. Avmarkera kryssrutorna för de hanteringsservrar som du inte vill att agenterna ska utföra redundans på.

    2. Klicka på Skapa.

      Anteckning

      Med alternativet Konfigurera redundans manuellt måste du köra guiden igen om du senare lägger till en hanteringsserver till hanteringsgruppen och vill att agenterna ska redundansväxla till den nya hanteringsservern.

  11. Klicka på fliken OK i dialogrutan Egenskaper för hanteringsserver.

    Observera att det kan ta upp till en timme innan agenttilldelningsinställningen sprids i AD DS.

När du är klar skapas följande regel i hanteringsgruppen, vars mål är klassen Resurspoolen för AD-tilldelning.

AD Integration agent assignment rule
Den här regeln innehåller konfigurationsinformation för agenttilldelning som du angav i Guiden Agenttilldelning och redundans, till exempel LDAP-frågan.

Sök efter händelse-ID 11470 från källan Health Service Modules i Operations Manager-händelseloggen på hanteringsservern där agenttilldelningsregeln var definierad för att kontrollera om hanteringsgruppen har publicerat informationen i Active Directory. I beskrivningen bör det anges att alla datorer som var tillagda i agenttilldelningsregeln har lagts till.

AD Integration agent assignment success event

Under containern OperationsManagerManagementGroupName<> i Active Directory bör du se de tjänstanslutningspunktobjekt (SCP) som skapats på liknande sätt som i följande exempel.

AD Integration agent assignment AD objects

Regeln skapar också två säkerhetsgrupper med namnet på hanteringsserverns NetBIOS-namn, den första med suffixet "_PrimarySG< randomnummer>" och det andra "_SecondarySG< randomnummer>". I det här exemplet finns det två hanteringsservrar som distribueras i hanteringsgruppen och den primära säkerhetsgruppen ComputerB_Primary_SG_24901 medlemskap omfattar datorer som matchade inkluderingsregeln som definierats i agenttilldelningsregeln och säkerhetsgruppen ComputerA_Secondary_SG_38838 medlemskap inkluderar den primära gruppen ComputerB_Primary_SG-29401 säkerhetsgrupp som innehåller datorkontot för agenter som redundansväxlar till den sekundära hanteringsservern om den primära hanteringsservern inte svarar. SCP-namnet är hanteringsserverns NetBIOS-namn med suffixet ”_SCP”.

Anteckning

I det här exemplet visas endast objekt från en enskild hanteringsgrupp och inte andra hanteringsgrupper som också kan finnas och vara konfigurerade med AD-integrering.

Manuell agentdistribution med inställningar för Active Directory-integrering

Nedan finns ett exempel med kommandoraden för att manuellt installera Windows-agenten med Active Directory-integrering aktiverat.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Ändra inställningen för Active Directory-integrering för en agent

Du kan använda följande metod för att ändra inställningen för Active Directory-integrering för en agent.

  1. Dubbelklicka på Microsoft Monitoring Agent på Kontrollpanelen på den agenthanterade datorn.

  2. Markera eller avmarkera Uppdatera hanteringsgrupptilldelningar automatiskt från AD DS på fliken Hanteringsgrupp. Om du väljer det alternativet frågar agenten vid starten Active Directory efter en lista över tilldelade hanteringsgrupper. Dessa eventuella hanteringsgrupper läggs till i listan. Om du avmarkerar alternativet tas alla hanteringsgrupper som tilldelats agenten i Active Directory bort från listan.

  3. Klicka på OK.

Integrera Active Directory med en obetrodd domän

  1. Skapa en användare i en obetrodd domän med behörighet att läsa, skriva och ta bort objekt i AD.
  2. Skapa en säkerhetsgrupp (lokal eller global domän). Lägg till användaren (som skapades i steg 1) i den här gruppen.
  3. Kör MOMAdAdmin.exe på den ej betrodda domänen med följande parametrar: <sökväg>\MOMADAdmin.exe <ManagementGroupNameMOMAdminSecurityGroupRunAsAccountDomain><><><>
  4. Skapa ett nytt Kör som-konto i Operations Manager och använd kontot som skapades i steg 1. Kontrollera att domännamnet har FQDN, inte NetBIOS-namn (till exempel CONTOSO.COM\ADUser).
  5. Distribuera kontot till AD-tilldelningsresurspoolen.
  6. Skapa en ny kör som-profil i standardhanteringspaketet. Om profilen har skapats i något annat hanteringspaket måste du försegla hanteringspaketet så att det kan refereras till andra hanteringspaket.
  7. Lägg till det nyligen skapade Kör som-kontot i den här profilen och rikta det till AD-tilldelningsresurspoolen
  8. Skapa Active Directory-integreringsregler i Operations Manager.

Anteckning

Efter integreringen med en obetrodd domän visar varje hanteringsserver varningsmeddelandet Säkerhetsdatabas på servern har inget datorkonto för den här arbetsstationsförtroenderelationen som anger att verifieringen av kör som-kontot som används av AD-tilldelningen misslyckades. Händelse-ID 7000 eller 1105 genereras i Operations Manager-händelseloggen. Den här aviseringen påverkar dock inte AD-tilldelningen i en ej betrodd domän.

Nästa steg

Om du vill lära dig hur du installerar Windows-agenten från Operations-konsolen kan du läsa Installera agent i Windows med identifieringsguiden eller om du vill installera agenten från kommandoraden kan du läsa Installera Windows-agenten manuellt med MOMAgent.msi.