Aracı ataması için Active Directory Tümleştirmesi’ni yapılandırma ve kullanma

System Center Operations Manager, aracıyla yönetilen bilgisayarları yönetim gruplarına atamak için kullanmanızı sağlayarak Active Directory Domain Services (AD DS) yatırımlarınızdan yararlanmanızı sağlar. Bu makale, Active Directory'de kapsayıcının yapılandırmasını oluşturmanıza ve yönetmenize yardımcı olur ve aracıların raporlaması gereken yönetim sunucularının aracı ataması gerekir.

Bir yönetim grubu için Active Directory Etki Alanı Hizmetleri Kapsayıcısı oluşturma

System Center - Operations Manager yönetim grubu için bir Active Directory Etki Alanı Hizmeti (AD DS) kapsayıcısı oluşturmak üzere aşağıdaki komut satırı söz dizimini ve yordamı kullanabilirsiniz. MOMADAdmin.exe bu amaç için sağlanır ve Operations Manager yönetim sunucusu ile birlikte yüklenir. MOMADAdmin.exe belirtilen etki alanının yöneticisi tarafından çalıştırılmalıdır.

Komut satırı sözdizimi:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Önemli

Değer bir boşluk içeriyorsa, tırnak işaretleri içine bir değer girmelisiniz.

• ManagementGroupName bir AD kapsayıcısı hangi yönetim grubu için oluşturulmuşsa, o yönetim grubunun adıdır.

• MOMAdminSecurityGroup, etki alanı\güvenlik_grubu biçiminde bir etki alanı güvenlik grubudur ve yönetim grubunun Operations Managers Yöneticiler güvenlik rolünün bir üyesidir.

• RunAsAccount: Bu, yönetim sunucusu tarafından AD'deki nesneleri okumak, yazmak ve silmek için kullanılacak etki alanı hesabıdır. Etki alanı\kullanıcı biçimini kullanın.

• Etki alanı yönetim grubu kapsayıcısının içinde oluşturulacağı etki alanının adıdır. MOMADAdmin.exe dosyasının etki alanları arasında çalıştırılabilmesi için etki alanları arasında çift yönlü güven olması gerekir.

Active Directory tümleştirmesinin çalışması için güvenlik grubu ya bir genel güvenlik grubu olmalıdır (Active Directory tümleştirmesi birden çok etki alanında çift yönlü güven ile çalışması gerekiyorsa) ya da bir yerel etki alanı grubu olmalıdır (Active Directory tümleştirmesi yalnızca bir etki alanında kullanılıyorsa)

Operations Manager Yöneticiler grubuna bir güvenlik grubu eklemek için aşağıdaki yordamı kullanın.

1. İşletim konsolunda Yönetim’i seçin.

2. Yönetim çalışma alanında, Kullanıcı Rolleri’ni Güvenlik altından seçin.

3. Kullanıcı Rolleri'ndeOperations Manager Yöneticileri'ni seçin ve Özellikler eylemini seçin veya Operations Manager Yöneticileri'ne sağ tıklayıp Özellikler'i seçin.

4. Grup Seç iletişim kutusunu açmak için Ekle'yi seçin.

5. İstediğiniz güvenlik grubunu seçin ve ardından tamam'ı seçerek iletişim kutusunu kapatın.

6. Kullanıcı Rolü Özellikleri'ni kapatmak için Tamam'ı seçin.

Not

Operations Manager Yöneticiler rolü için birden fazla grup içerebilen tek güvenlik grubu öneririz. Böylece, gruplar ve grup üyeleri, bir etki alanı yöneticisinin onlara Yönetim Grubu kapsayıcısında elle Alt Öğe Okuma ve Silme izinleri atamasına gerek kalmadan gruplara eklenip kaldırılabilirler.

AD DS kapsayıcısını oluşturmak için aşağıdaki yordamı kullanın.

1. Yönetici olarak bir komut istemi açın.

2. İstemde, örneğin, aşağıdakileri girin:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Not

Varsayılan yol C:\Program Files\Microsoft System Center\Operations Manager'dır.

3. Öndeki komut satırı örneğinde:

   1. Komut satırından MOMADAdmin.exe yardımcı programını çalıştırın.

   2. "Message Ops" Yönetim Grubu AD DS kapsayıcısını MessageDom etki alanının AD DS şema kökünde oluşturun. Ek etki alanlarında aynı Yönetim Grubu AD DS kapsayıcısını oluşturmak için her etki alanı için MOMADAdmin.exe'yi çalıştırın.

   3. MessageDom\MessageADIntAcct etki alanı kullanıcısı hesabını MessageDom\MessageOMAdmins AD DS güvenlik grubuna ekleyin ve AD DS kapsayıcısını yönetmek için gereken hakları AD DS güvenlik grubuna atayın.

Bilgisayarları yönetim sunucularına atamak için Active Directory Etki Alanı Hizmetleri’ni Kullanma

Operations Manager Aracısı Atama ve Yük Devretme Sihirbazı, bilgisayarları bir yönetim grubuna atamak ve bir bilgisayarın birincil yönetim sunucusunu ve ikincil yönetim sunucusunu atamak üzere Active Directory Etki Alanı Hizmetleri'ni (AD DS) kullanan bir aracı ataması kuralı oluşturur. Sihirbazı başlatmak ve kullanmak için aşağıdaki yordamları kullanın.

Önemli

Yönetim grubu için Active Directory Etki Alanı Hizmetleri kapsayıcısı Aracı Atama ve Yük Devretme Sihirbazı çalıştırılmadan önce oluşturulmalıdır.

Aracı Atama ve Yük Devretme Sihirbazı aracıyı dağıtmaz. Aracıyı MOMagent.msi kullanarak bilgisayarlara elle dağıtmanız gerekir.

Aracı atama kuralını değiştirmek bilgisayarların atamasını kaldırıp, yönetim grubu tarafından izlenmesini durdurabilir. Bu bilgisayarların durumu kritik olarak değişir, çünkü bilgisayarlar yönetim grubuna sinyal aralıkları göndermemeye başlar. Bu bilgisayarlar yönetim grubundan silinebilir ve bilgisayar diğer yönetim gruplarına atanmazsa Operations Manager aracısı kaldırılabilir.

Operations Manager Aracısı Atama ve Yük Devretme Sihirbazı'nı başlatmak için

1. Operations Manager Yöneticiler rolünün üyesi olan bir hesapla bilgisayarda oturum açın.

2. İşletim konsolunda Yönetim'i seçin.

3. Yönetim çalışma alanında Yönetim Sunucuları'nı seçin.

4. Yönetim Sunucuları bölmesinde, aşağıdaki yordamda oluşturacağınız kurallar tarafından döndürülen bilgisayarlar için Birincil Yönetim Sunucusu olacak yönetim sunucusuna veya ağ geçidi sunucusuna sağ tıklayın ve özellikler'i seçin.

   Not

   Ağ geçidi sunucuları bu bağlamda yönetim sunucuları gibi çalışır.

5. Yönetim Sunucusu Özellikleri iletişim kutusunda Otomatik Aracı Ataması sekmesini seçin ve ardından Aracı Atama ve Yük Devretme Sihirbazı'nı başlatmak için Ekle'yi seçin.

6. Aracı Atama ve Yük Devretme Sihirbazı'nınGiriş sayfasında İleri'yi seçin.

   Not

   Sihirbaz çalıştırıldıysa ve Bu sayfayı bir daha gösterme seçiliyse Giriş sayfası görünmez.

7. Etki Alanı sayfasında, şunları yapın:

   Not

   Birden çok etki alanından bir yönetim grubuna bilgisayarlar atamak için Aracı Atama ve Yük Devretme Sihirbazı’nı her etki alanı için çalıştırın.

   • Etki alanı adı açılan listesinden bilgisayarların etki alanını seçin. Yönetim sunucusu ve AD Aracı Ataması kaynak havuzu içindeki tüm bilgisayarların etki alanı adını çözümleyebilmesi gerekir.

     Önemli

     Yönetim sunucusu ile yönetmek istediğiniz bilgisayarlar çift yönlü güvenilen etki alanında olmalıdır.

   • Farklı Çalıştır Profili Seçin ayarını, MOMADAdmin.exe etki alanı için çalıştırıldığında sağlanan Farklı Çalıştır hesabı ile ilişkili Farklı Çalıştır profiline ayarlayın. Aracı ataması gerçekleştirmek için kullanılan varsayılan hesap, Kurulum sırasında belirtilen varsayılan eylem hesabıdır ve Active Directory Tabanlı Aracı Atama Hesabı olarak da adlandırılır. Bu hesap, belirtilen etki alanının Active Directory'sine bağlanılıp Active Directory nesnelerini değiştirirken kullanılan kimlik bilgilerini temsil eder ve MOMAdmin.exe çalıştırılırken belirtilen hesapla eşleşmesi gerekir. Bu, MOMADAdmin.exe çalıştırmak için kullanılan hesap değilse, Belirtilen etki alanında aracı ataması gerçekleştirmek için farklı bir hesap kullan'ı seçin ve ardından Farklı Çalıştır Profili Seç açılan listesinden hesabı seçin veya oluşturun. Active Directory Tabanlı Aracı Atama Hesabı profili, AD Aracı Ataması kaynak havuzundaki tüm sunuculara dağıtılan bir Operations Manager yönetici hesabı kullanacak şekilde yapılandırılmalıdır.

     Not

     Farklı Çalıştır profilleri ve Farklı Çalıştır hesapları hakkında daha fazla bilgi edinmek için, bkz. Farklı Çalıştır Hesaplarını ve Profillerini Yönetme.

8. Ekleme Ölçütleri sayfasında, metin kutusuna bilgisayarları bu yönetim sunucusuna atamak için LDAP sorgusunu yazın ve İleri'yi seçin veya Yapılandır'ı seçin. Yapılandır'ı seçerseniz aşağıdakileri yapın:

   1. Bilgisayarları Bul iletişim kutusunda, bilgisayarları bu yönetim sunucusuna atamak için istenen ölçütleri girin veya belirli LDAP sorgunuzu girin.

      Aşağıdaki LDAP sorgusu yalnızca Windows Server işletim sistemini çalıştıran bilgisayarları döndürür ve etki alanı denetleyicilerini dışlar.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Bu örnek LDAP sorgusu yalnızca Windows Server işletim sistemini çalıştıran bilgisayarları döndürür. Operations Manager veya Service Manager yönetim sunucusu rolünü barındıran etki alanı denetleyicilerini ve sunucuları dışlar.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      LDAP sorguları hakkında daha fazla bilgi için bkz. Sorgu Filtresi Oluşturma ve Active Directory: LDAP Söz Dizimi Filtreleri.

   2. Tamam'ı ve ardından İleri'yi seçin.

9. Dışlama Ölçütleri sayfasında, bu yönetim sunucusu tarafından yönetilmesini açıkça engellemek istediğiniz bilgisayarların FQDN'sini yazın ve İleri'yi seçin.

   Önemli

   Yazdığınız bilgisayar FDQN’lerini noktalı virgül, virgül veya yeni bir satır (CTRL + ENTER) ile ayırmanız gerekir.

10. Aracı Yük Devretme sayfasında Yük devretmeyiotomatik olarak yönet'i seçin ve Oluştur'u veya Yük devretmeyi el ile yapılandır'ı seçin. Yük devretmeyi el ile yapılandır’ı seçerseniz, aşağıdakileri yapın:

    1. Aracıların yük devretmesini istemediğiniz yönetim sunucularının onay kutularını temizleyin.

    2. Oluştur’u seçin.

       Not

       Yük devretmeyi el ile yapılandır’ı seçerseniz, bundan sonra bir yönetim grubuna yönetim sunucusu ekler ve aracıların yeni yönetim sunucusuna yük devretmesini isterseniz sihirbazı yeniden çalıştırmanız gerekir.

11. Yönetim Sunucusu Özellikleri iletişim kutusunda Tamam'ı seçin.

Not

Aracı atama seçeneğinin AD DS'de yayılması bir saate kadar sürebilir.

Tamamlandığında, yönetim grubunda aşağıdaki kural oluşturulur ve AD Atama Kaynak Havuzu sınıfını hedefler.


Bu kural LDAP sorgusu gibi Aracı Atama ve Yük Devretme Sihirbazı’nda belirttiğiniz aracı ataması yapılandırma bilgilerini içerir.

Yönetim grubunun bilgilerini Active Directory'de başarıyla yayınladığını doğrulamak için aracı atama kuralının tanımlandığı yönetim sunucusunda bulunan Operations Manager olay günlüğündeki kaynak Sistem Sağlık Durumu Modülleri’nde Olay Kimliği 11470’i aratın. Açıklamada, aracı atama kuralına eklenen tüm bilgisayarları başarıyla eklediğini belirtmelidir.

Active Directory'de OperationsManager<ManagementGroupName> kapsayıcısının altında, aşağıdaki örneğe benzer şekilde oluşturulan hizmet bağlantı noktası (SCP) nesnelerini görmeniz gerekir.

Kural ayrıca yönetim sunucusu NetBIOS adıyla iki güvenlik grubu oluşturur: birincisi "rastgele sayı> _PrimarySG<" soneki ve ikincisi de "rastgele sayı> _SecondarySG<". Bu örnekte, yönetim grubunda dağıtılan iki yönetim sunucusu vardır ve birincil güvenlik grubu ComputerB_Primary_SG_24901 üyeliği aracı atama kuralınızda tanımlanan ekleme kuralıyla eşleşen bilgisayarları içerir ve güvenlik grubu ComputerA_Secondary_SG_38838 üyeliği birincil grubu ComputerB_Primary_SG-29401 içerir birincil yönetim sunucusunun yanıt vermemesi durumunda bu ikincil yönetim sunucusuna yük devredecek aracıların makine hesabını içeren güvenlik grubu. SCP adı, “_SCP” son ekiyle yönetim sunucusu NetBIOS adıdır.

Not

Bu örnekte, mevcut olabilecek ve AD tümleştirmesi ile yapılandırılan diğer yönetim gruplarını değil, yalnızca tek bir yönetim grubundaki nesneleri gösterir.

Active Directory Tümleştirme Ayarı ile el ile aracı dağıtımı

Active Directory Tümleştirmesi etkinleştirilmiş olarak Windows aracısını el ile yüklemek için komut satırı örneği aşağıda verilmiştir.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Bir aracı için Active Directory Tümleştirme Ayarını değiştirme

Aşağıdaki yordamı kullanarak aracı için Active Directory tümleştirme ayarını değiştirebilirsiniz.

1. Aracıyla yönetilen bilgisayardaki Denetim Masası Microsoft Monitoring Agent'a çift tıklayın.

2. Operations Manager sekmesinde, Yönetim grubu atamalarını AD DS'den otomatik olarak güncelleştir'in işaretini kaldırın veya seçin. Bu seçeneği seçtiğinizde aracı, aracının başlatılması sırasında atanmış olduğu yönetim grupları listesi için Active Directory'de bir sorgulama yapar. Varsa, bu yönetim grupları listeye eklenir. Bu seçimi temizlediğinizde, Active Directory'de aracıya atanan tüm yönetim grupları listeden çıkarılır.

3. Tamam’ı seçin.

Active Directory'yi güvenilmeyen etki alanıyla tümleştirme

1. AD'deki nesneleri okuma, yazma ve silme izinlerine sahip güvenilmeyen bir etki alanında kullanıcı oluşturun.
2. Bir güvenlik grubu (etki alanı yerel veya genel) oluşturun. Kullanıcıyı (1. adımda oluşturulan) bu gruba ekleyin.
3. Güvenilmeyen etki alanındaMOMAdAdmin.exeşu parametrelerle çalıştırın: <yol>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Etki Alanı>
4. Operations Manager'da yeni bir Farklı Çalıştır hesabı oluşturun; 1. adımda oluşturulan hesabı kullanın. Etki alanı adının NetBIOS adıyla değil FQDN ile sağlandığından emin olun (Örneğin: CONTOSO.COM\ADUser için).
5. Hesabı AD Atama Kaynak Havuzu'na dağıtın.
6. Varsayılan yönetim paketinde yeni bir Farklı Çalıştır profili oluşturun. Bu profil başka bir yönetim paketinde oluşturulduysa, diğer yönetim paketine başvurulabilmesi için yönetim paketinin mühürlendiğinden emin olun.
7. Yeni oluşturulan Farklı Çalıştır hesabını bu profile ekleyin ve AD Atama Kaynak Havuzu'na hedefleyin
8. Operations Manager'da Active Directory tümleştirme kurallarını oluşturun.

Not

Güvenilmeyen etki alanıyla tümleştirmeden sonra, her yönetim sunucusu, AD ataması tarafından kullanılan Farklı Çalıştır hesabının doğrulanamadılığını gösteren bu iş istasyonu güven ilişkisi için sunucudaki Güvenlik veritabanının bir bilgisayar hesabı yok uyarı iletisini görüntüler. Olay Kimliği 7000 veya 1105 Operations Manager Olay günlüğünde oluşturulur. Ancak, bu uyarının güvenilmeyen bir etki alanındaki AD ataması üzerinde herhangi bir etkisi yoktur.

Sonraki adımlar

Windows aracısının İşletim konsolundan nasıl yükleneceğini anlamak için bkz. Keşif Sihirbazı Kullanarak Windows Üzerinde Aracı Yükleme veya aracıyı komut satırından yüklemek için bkz. Windows Aracısını MOMAgent.msi Kullanarak El ile Yükleme.