Windows 计算机的身份验证和数据加密
适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager 包括如下功能:管理服务器、网关服务器、报表服务器、操作数据库、报表数据仓库、代理、Web 控制台和操作控制台。 本节说明如何执行身份验证和识别数据加密的连接通道。
基于证书的身份验证
如果 Operations Manager 代理和管理服务器被不受信任的林或工作组边界隔离,则需要实施基于证书的身份验证。 以下各节提供有关这些情况的信息和从基于 Windows 的证书颁发机构获取和安装证书的特定过程。
设置代理和管理服务器在同一信任边界中的通信
代理和管理服务器使用 Windows 身份验证相互进行身份验证,验证后管理服务器才接受来自代理的数据。 Kerberos V5 协议是提供身份验证的默认方法。 为了使基于 Kerberos 的相互身份验证运行,代理和管理服务器必须安装在 Active Directory 域中。 如果代理和管理服务器位于不同的域中,则域之间必须存在完全信任。 在此方案中,代理和管理服务器之间的数据通道在完成相互身份验证后被加密。 身份验证和加密不需要用户干预。
设置代理和管理服务器跨信任边界的通信
代理可能被部署到与管理服务器(域 A)不同的域中(域 B),并且域之间可能不存在双向信任。 由于两个域之间不存在信任,一个域中的代理无法使用 Kerberos 协议对另一个域中的管理服务器进行身份验证。 仍然会在每个域内的 Operations Manager 功能之间进行相互身份验证。
此情况的解决方案是在代理所处的同一域中安装网关服务器,然后在网关服务器和管理服务器上安装证书以实现相互身份验证和数据加密。 使用网关服务器意味着你只需要域 B 中的一个证书以及越过防火墙的一个端口,如下图所示。
.jpeg "跨域信任")
设置跨域通信 - 工作组边界
在你的环境中,你可能已将一个或两个代理部署到防火墙内的工作组。 工作组中的代理无法使用 Kerberos 协议对域中的管理服务器进行身份验证。 此情况的解决方案是在主持代理和代理连接到的管理服务器的计算机上安装证书,如下图所示。
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
在此方案中,代理必须手动安装。 |
.jpeg "域和工作组之间的信任")
在主持代理和管理服务器的计算机上使用这两者的同一证书颁发机构 (CA) 执行以下步骤:
从 CA 申请证书。
批准 CA 上的证书申请。
在计算机证书存储中安装批准的证书。
使用 MOMCertImport 工具配置 Operations Manager。
这些是在网关服务器上安装证书要执行的相同步骤,除非你不安装或运行网关批准工具。
确认证书安装
如果已正确安装证书,则下列事件会被写入 Operations Manager 事件日志。
类型 |
源 |
事件 ID |
常规 |
|---|---|---|---|
信息 |
OpsMgr 连接器 |
20053 |
OpsMgr 连接器已成功加载指定的身份验证证书。 |
在证书安装期间,你需要运行 MOMCertImport 工具。 MOMCertImport 工具完成后,已导入证书的序列号将被写入注册表的下列子项下。
.jpeg "System_CAPS_caution"){kind=icon} 小心 |
|---|
注册表编辑不当可能会严重损坏系统。 在对注册表进行更改之前,应备份计算机上任何有价值的数据。 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
管理服务器、网关服务器和代理之间的身份验证和数据加密
这些 Operations Manager 功能之间的通信始于相互身份验证。 如果通信通道两端都存在证书,则证书将用于相互身份验证;或者,使用 Kerberos V5 协议。 如果任何两个功能被不受信任的域隔离,则必须使用证书执行相互身份验证。
正常通信(如事件、警报和管理包部署)都在此通道上进行。 上图显示在被路由到管理服务器的其中一个代理上正在生成的警报示例。 从代理到网关服务器,Kerberos 安全包用来加密数据,因为网关服务器和代理处于同一域中。 警报被网关服务器解密,并使用管理服务器的证书重新加密。 管理服务器接收到警报后,此管理服务器解密消息并使用 Kerberos 协议重新加密,将其发送到管理服务器之后管理服务器解密该警报。
管理服务器和代理之间的部分通信可能包括凭据信息;例如,配置数据和任务。 代理和管理服务器之间的数据通道除正常的通道加密外还添加其他层次的加密。 无需用户干预。
管理服务器和操作控制台、Web 控制台服务器和报表服务器
使用 Windows Communication Foundation (WCF) 技术来完成管理服务器、操作控制台、Web 控制台服务器或报表服务器之间的身份验证和数据加密。 最初尝试使用用户凭据进行身份验证。 最先尝试使用 Kerberos 协议。 如果 Kerberos 协议无法进行身份验证,则尝试使用 NTLM。 如果身份验证仍然失败,系统会提示用户提供凭据。 完成身份验证后,如果使用 NTLM,则数据流加密为 Kerberos 协议或 SSL 的函数。
如果为报表服务器和管理服务器,发生身份验证后,管理服务器和 SQL Server 报表服务器之间则会建立数据连接。 这是完全使用 Kerberos 协议完成的;因此,管理服务器和报表服务器必须位于受信任的域中。 有关 WCF 的详细信息,请参阅 MSDN 文章什么是 Windows Communication Foundation。
管理服务器和报表数据仓库
管理服务器和报表数据仓库之间存在两条通信通道:
监视主机进程由运行状况服务(System Center 管理服务)在管理服务器中生成
管理服务器中的 System Center Data Access 服务
监视主机进程和报表数据仓库
默认情况下,运行状况服务生成的监视主机进程(负责将收集的事件或性能计数器写入数据仓库),可以通过作为报表安装期间指定的数据写入程序帐户运行来实现 Windows 集成的身份验证。 帐户凭据安全存储在称为数据仓库操作帐户的运行方式帐户中。 此运行方式帐户是称为数据仓库帐户(与实际的收集规则关联)的运行方式配置文件的成员。
如果报表数据仓库和管理服务器被信任边界隔离(例如,处于无信任的不同域中),则 Windows 集成的身份验证将不运行。 要解决此情况,监视主机进程可以使用 SQL Server 身份验证连接到报表数据仓库。 为此,请使用 SQL 帐户凭据创建新的运行方式帐户(帐户类型为“简单”)并让其成为运行方式配置文件(称为数据仓库 SQL Server 身份验证帐户)的成员,管理服务器作为目标计算机。
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
默认情况下,运行方式配置文件(数据仓库 SQL Server 身份验证帐户)通过使用同一名称的运行方式帐户被分配一个特定帐户。 不要对与运行方式配置文件(数据仓库 SQL Server 身份验证帐户)关联的帐户做任何更改。 你可以创建自己的帐户和运行方式帐户,并在配置 SQL Server 身份验证时使其成为运行方式配置文件(数据仓库 SQL Server 身份验证帐户)的成员。 |
下面部分概述 Windows 集成的身份验证和 SQL Server 身份验证的各种帐户凭据、运行方式帐户和运行方式配置文件之间的关系。
默认:Windows 集成的身份验证
运行方式配置文件:数据仓库帐户
运行方式帐户:数据仓库操作帐户
凭据:数据写入程序帐户(安装期间指定)
运行方式配置文件:数据仓库 SQL Server 身份验证帐户
运行方式帐户:数据仓库 SQL Server 身份验证帐户
凭据:Operations Manager 创建的特定帐户(不要更改)
可选:SQL Server 身份验证
运行方式配置文件:数据仓库 SQL Server 身份验证帐户
运行方式帐户:你创建的运行方式帐户。
凭据:你创建的帐户。
System Center Data Access 服务和报表数据仓库
默认情况下,System Center Data Access 服务负责从报表数据仓库读取数据并使其在报表参数区域中可用,可以通过作为 Operations Manager 安装期间定义的数据访问服务和配置服务帐户运行来实现 Windows 集成的身份验证。
如果报表数据仓库和管理服务器被信任边界隔离(例如,处于无信任的不同域中),则 Windows 集成的身份验证将不运行。 要解决此情况,System Center Data Access 服务可以使用 SQL Server 身份验证连接到报表数据仓库。 为此,请使用 SQL 帐户凭据创建新的运行方式帐户(帐户类型为“简单”)并让其成为运行方式配置文件(称为报表 SDK SQL Server 身份验证帐户)的成员,管理服务器作为目标计算机。
| 重要事项 |
|---|
默认情况下,运行方式配置文件(报表 SDK SQL Server 身份验证帐户)通过使用同一名称的运行方式帐户被分配一个特定帐户。 不要对与运行方式配置文件(报表 SDK SQL Server 身份验证帐户)关联的帐户做任何更改。 你可以创建自己的帐户和运行方式帐户,并在配置 SQL Server 身份验证时使其成为运行方式配置文件(报表 SDK SQL Server 身份验证帐户)的成员。 |
下面部分概述 Windows 集成的身份验证和 SQL Server 身份验证的各种帐户凭据、运行方式帐户和运行方式配置文件之间的关系。
默认:Windows 集成的身份验证
数据访问服务和配置服务帐户(在 Operations Manager 安装期间定义的)
运行方式配置文件:报表 SDK SQL Server 身份验证帐户
运行方式帐户:报表 SDK SQL Server 身份验证帐户
凭据:Operations Manager 创建的特殊帐户(不要更改)
可选:SQL Server 身份验证
运行方式配置文件:数据仓库 SQL Server 身份验证帐户
运行方式帐户:你创建的运行方式帐户。
凭据:你创建的帐户。
操作控制台和报表服务器
操作控制台使用 HTTP 在端口 80 上连接到报表服务器。 使用 Windows 身份验证执行身份验证。 可以使用 SSL 通道加密数据。 有关在操作控制台和报表服务器之间使用 SSL 的其他信息,请参阅如何配置为使用 SSL 连接到报表服务器时操作控制台。
报表服务器和报表数据仓库
使用 Windows 身份验证完成报表服务器和报表数据仓库之间的身份验证。 报表安装期间指定为数据读取器帐户的帐户成为报表服务器上的执行帐户。 如果要更改此帐户的密码,你将需要在 SQL Server 中使用 Reporting Services 配置管理器完成相同的密码更改。 有关重置此密码的详细信息,请参阅如何更改报表服务器执行帐户密码。 报表服务器和报表数据仓库之间的数据未加密。