如何配置和使用 Active Directory 集成以便进行代理分配

  • 项目

重要

此版本的 Operations Manager 已终止支持。 建议 升级到 Operations Manager 2022

System CenterOperations Manager 使你能够使用 Active Directory 域服务 (AD DS) 将代理托管计算机分配到管理组,从而使你能够利用你在 Active Directory 域服务方面的投资。 本文将帮助你在 Active Directory 中创建和管理容器的配置,以及代理分配的管理服务器代理应向其报告。

为管理组创建 Active Directory 域服务容器

可以使用以下命令行语法和过程为 System Center - Operations Manager 管理组创建 Active Directory 域服务 (AD DS) 容器。 MOMADAdmin.exe 正是为此目的而提供,并随 Operations Manager 管理服务器一起安装。 MOMADAdmin.exe 必须由指定的域的管理员运行。

命令行语法:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

重要

如果值包含空格,则必须将值放入引号内。

  • ManagementGroupName 是为其创建 AD 容器的管理组的名称。

  • MOMAdminSecurityGroup 是指域安全组,格式为 domain\security_group,它是管理组的 Operations Manager 管理员安全角色的成员。

  • RunAsAccount:这是管理服务器将用于在 AD 中读取、写入和删除对象的域帐户。 请使用“domain\username”格式。

  • Domain 是指将在其中创建管理组容器的域的名称。 只有当域之间具有双向信任关系时,MOMADAdmin.exe 才可以跨域运行。

为使 Active Directory 集成工作,安全组必须是全局安全组(如果 Active Directory 集成需要在具有双向信任关系的多个域中工作)或者本地域组(如果 Active Directory 集成仅用于一个域)

使用以下过程可将安全组添加到 Operations Manager 管理员组。

  1. 在操作控制台中,选择“管理” 。

  2. 在“管理” 工作区中,在“安全” 下选择“用户角色” 。

  3. “用户角色”中,选择“ Operations Manager 管理员 ”并选择 “属性” 操作,或右键单击“ Operations Manager 管理员 ”并选择“ 属性”。

  4. 选择 “添加 ”以打开 “选择组 ”对话框。

  5. 选择所需的安全组,然后选择“ 确定 ”以关闭对话框。

  6. 选择“ 确定” 关闭 “用户角色属性”。

注意

建议对 Operations Manager 管理员角色使用一个安全组(可能包含多个组)。 这样做可以在组中添加和删除组以及组的成员,域管理员不必执行手动步骤来向这些组和组的成员分配对管理组容器的读取和删除子项权限。

使用以下步骤来创建 AD DS 容器。

  1. 以管理员身份打开命令提示符。

  2. 例如,在提示符下输入以下内容:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

注意

默认路径为 C:\Program Files\Microsoft System Center 2016\Operations Manager。

注意

默认路径为 C:\Program Files\Microsoft System Center\Operations Manager。

  1. 上述命令行示例将:

    1. 从命令行运行 MOMADAdmin.exe 实用程序。

    2. MessageDom 域的 AD DS 架构根目录中创建 "Message Ops" 管理组 AD DS 容器。 要在其他域中创建相同的管理组 AD DS 容器,请为每个域运行 MOMADAdmin.exe。

    3. MessageDom\MessageADIntAcct 计算机帐户添加到 MessageDom\MessageOMAdmins AD DS 安全组,并为 AD DS 安全组分配用于管理 AD DS 容器所需的权限。

如何使用 Active Directory 域服务将计算机分配到管理服务器

Operations Manager 代理分配和故障转移向导创建代理分配规则,以使用 Active Directory 域服务 (AD DS) 将计算机分配到管理组并且分配计算机的主管理服务器和辅助管理服务器。 使用以下过程启动和使用该向导。

重要

在运行代理分配和故障转移向导之前,必须先为管理组创建 Active Directory 域服务容器。

代理分配和故障转移向导不会部署代理。 必须使用 MOMAgent.msi 将代理手动部署到计算机。

更改代理分配规则可能导致不再将计算机分配到管理组,从而导致管理组不再监视这些计算机。 由于这些计算机不再将向管理组发送检测信号,因此这些计算机的状态将更改为“严重”。 可以从管理组中删除这些计算机,如果计算机未分配给其他管理组,则可以卸载 Operations Manager 代理。

启动 Operations Manager 代理分配和故障转移向导

  1. 使用属于 Operations Manager 管理员角色成员的帐户登录到计算机。

  2. 在操作控制台中,选择“ 管理”。

  3. 在“管理”工作区中,选择“ 管理服务器”。

  4. 在“ 管理服务器 ”窗格中,右键单击管理服务器或网关服务器作为将在以下过程中创建的规则所返回的计算机 的主管理服务器 ,然后选择“ 属性”。

    注意

    在此上下文中,网关服务器与管理服务器的工作方式类似。

  5. “管理服务器属性 ”对话框中,选择“ 自动代理分配 ”选项卡,然后选择“ 添加 ”以启动代理分配和故障转移向导。

  6. 代理分配和故障转移向导“简介 ”页上,选择“ 下一步”。

    注意

    如果向导已运行,并且选中了“不再显示此页面”,则不会显示“简介”页。

  7. 在“域” 页上,执行以下操作:

    注意

    要将多个域中的计算机分配到管理组,请对每个域运行“代理分配和故障转移向导” 。

    • 从“域名”下拉列表中选择计算机的 。 AD 代理分配资源池中的所有管理服务器和计算机都必须能够解析该域名。

      重要

      管理服务器与想要管理的计算机必须位于双向信任域中。

    • 将“选择运行方式配置文件” 设置为对域运行 MOMADAdmin.exe 时提供的运行方式帐户的关联运行方式配置文件。 用于执行代理分配的默认帐户就是设置期间指定的默认操作帐户,也称为“基于 Active Directory 的代理分配帐户” 。 此帐户表示连接到指定域的 Active Directory 时和修改 Active Directory 对象时使用的凭据,且应与运行 MOMAdmin.exe 时指定的帐户匹配。 如果这不是用于运行 MOMADAdmin.exe 的帐户,请选择“ 使用其他帐户在指定域中执行代理分配”, 然后从“ 选择运行方式配置文件” 下拉列表中选择或创建该帐户。 必须将基于 Active Directory 的代理分配帐户配置文件配置为使用 Operations Manager 管理员帐户,该帐户将分发到 AD 代理分配资源池中的所有服务器。

      注意

      有关使用运行方式配置文件的详细信息,请参阅管理运行方式帐户和配置文件

  8. 在“ 包含条件 ”页上,在文本框中键入用于将计算机分配到此管理服务器的 LDAP 查询,然后选择“ 下一步 ”或选择“ 配置”。 如果选择“ 配置”,请执行以下操作:

    1. 在“ 查找计算机 ”对话框中,输入将计算机分配到此管理服务器所需的条件,或输入特定的 LDAP 查询。

      以下 LDAP 查询仅返回运行 Windows Server 操作系统的计算机,且排除域控制器。

      (&(objectCategory=computer)(operatingsystem=*server*))

      此示例 LDAP 查询仅返回运行 Windows Server 操作系统的计算机。 它将排除托管 Operations Manager 或 Service Manager 管理服务器角色的域控制器和服务器。

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      有关 LDAP 查询的详细信息,请参阅创建查询筛选器Active Directory: LDAP Syntax Filters(Active Directory:LDAP 语法筛选器)。

    2. 选择“确定”,然后选择“下一步”。

  9. “排除条件 ”页上,键入明确要阻止此管理服务器管理的计算机的 FQDN,然后选择“ 下一步”。

    重要

    必须使用分号、冒号或新行 (Ctrl+Enter) 来分隔您键入的计算机 FQDN。

  10. 在“ 代理故障转移 ”页上,选择“ 自动管理故障转移 ”,然后选择“ 创建 ”或选择“ 手动配置故障转移”。 如果选择“手动配置故障转移” ,请执行以下操作:

    1. 清除不希望代理故障转移到的管理服务器的检查框。

    2. 选择“创建”。

      注意

      使用“手动配置故障转移” 选项时,如果后续向管理组添加管理服务器并希望代理向新的管理服务器进行故障转移,必须再次运行此向导。

  11. “管理服务器属性 ”对话框中,选择“ 确定”。

注意

代理分配设置在 AD DS 中传播可能长达 1 个小时。

完成后,在管理组中创建以下规则,且面向“AD 分配资源池” 类。

AD 集成代理分配规则的屏幕截图。
此规则包括在“代理分配和故障转移向导” 中指定的代理分配配置信息,如 LDAP 查询。

若要确认管理组是否在 Active Directory 中成功发布信息,请在管理服务器(在其上定义了代理分配规则)的 Operations Manager 事件日志的运行状况服务模块中搜索事件 ID 11470。 在说明中,它应指出已成功添加已添加到代理分配规则的所有计算机。

显示 AD 集成代理分配成功事件的屏幕截图。

在 Active Directory 中的 OperationsManager<ManagementGroupName> 容器下,应看到已创建类似于以下示例的服务连接点 (SCP) 对象。

显示 AD 集成代理分配 AD 对象的屏幕截图。

该规则还会使用管理服务器 NetBIOS 名称创建两个安全组:第一个安全组后缀为“_PrimarySG<随机数>”,第二个安全组“_SecondarySG<随机数>”。 在此示例中,管理组中部署了两个管理服务器,主要安全组 ComputerB_Primary_SG_24901 成员身份包括与代理分配规则中定义的包含规则匹配的计算机,安全组 ComputerA_Secondary_SG_38838 成员身份包括主组 ComputerB_Primary_SG-29401 包含代理的计算机帐户的安全组,当主管理服务器无响应时,这些代理将故障转移到此辅助管理服务器。 SCP 名称是指管理服务器 NetBIOS 名称,带有后缀“_SCP”。

注意

在此示例中,它只显示来自单个管理组的对象,而不显示可能存在且配置了 AD 集成的其他管理组。

使用 Active Directory 集成设置进行手动代理部署

以下示例说明如何利用启用的 Active Directory 集成通过命令行手动安装 Windows 代理。

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

更改代理的 Active Directory 集成设置

你可以使用以下过程更改代理的 Active Directory 集成设置。

  1. 在代理管理的计算机上的控制面板中,双击“Microsoft Monitoring Agent”。

  2. 在“Operations Manager”选项卡上,清除或选择“通过 AD DS 自动更新管理组分配 ”。 如果选择此选项,则在代理启动时,代理将在 Active Directory 中查询代理所分配至的管理组的列表。 那些管理组(如果有)将添加到列表中。 如果清除此选项,则将从列表中删除分配给 Active Directory 中的代理的所有管理组。

  3. 选择“确定” 。

将 Active Directory 与不受信任的域相集成

  1. 在不受信任的域中创建有权在 AD 中读取、写入和删除对象的用户。
  2. 创建安全组(域本地或全局)。 向此组添加用户(步骤 1 中创建的用户)。
  3. 在不受信任的域中使用以下参数运行 MOMAdAdmin.exe:path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. 在 Operations Manager 中创建新的运行方式帐户;使用步骤 1 中创建的帐户。 确保为域名提供 FQDN,而不是 NetBIOS 名称 (例如:CONTOSO.COM\ADUser) 。
  5. 将帐户分配至 AD 分配资源池。
  6. 在默认管理包中创建新的运行方式配置文件。 如果此配置文件是在任何其他管理包中创建的,请务必密封该管理包,以便能将它引用到其他管理包。
  7. 将新创建的运行方式帐户添加到此配置文件,并将其定向到 AD 分配资源池
  8. 在 Operations Manager 中创建 Active Directory 集成规则。

注意

与不受信任的域集成后,每个管理服务器会显示警告消息 :服务器上的安全数据库没有用于此工作站信任关系的计算机帐户 ,指示验证 AD 分配所使用的运行方式帐户失败。 在 Operations Manager 事件日志中生成事件 ID 7000 或 1105。 但是,此警报对不受信任的域中的 AD 分配没有任何影响。

后续步骤

若要了解如何从操作控制台安装 Windows 代理,请参阅使用发现向导在 Windows 上安装代理,或者若要从命令行安装代理,请参阅使用 MOMAgent.msi 手动安装 Windows 代理