Operations Manager 中的身份验证和数据加密

  • 项目

重要

此版本的 Operations Manager 已终止支持。 建议 升级到 Operations Manager 2022

System Center Operations Manager 包括如下功能:管理服务器、网关服务器、报表服务器、操作数据库、报表数据仓库、代理、Web 控制台和操作控制台。 本文介绍如何执行身份验证,并标识加密数据的连接通道。

基于证书的身份验证

如果 Operations Manager 代理和管理服务器被不受信任的林或工作组边界隔离,则需实施基于证书的身份验证。 以下各节提供有关这些情况的信息和从基于 Windows 的证书颁发机构获取和安装证书的特定过程。

设置代理和管理服务器在同一信任边界中的通信

代理和管理服务器使用 Windows 身份验证相互进行身份验证,验证后管理服务器才接受来自代理的数据。 Kerberos V5 协议是提供身份验证的默认方法。 为了使基于 Kerberos 的相互身份验证运行,代理和管理服务器必须安装在 Active Directory 域中。 如果代理和管理服务器位于不同的域中,则域之间必须存在完全信任。 在此方案中,代理和管理服务器之间的数据通道在完成相互身份验证后被加密。 身份验证和加密不需要用户干预。

设置代理和管理服务器跨信任边界的通信

代理可能被部署到与管理服务器(域 A)不同的域中(域 B),并且域之间可能不存在双向信任。 由于两个域之间没有信任关系,因此一个域中的代理无法使用 Kerberos 协议向另一个域中的管理服务器进行身份验证。 仍会在每个域内的 Operations Manager 功能之间进行相互身份验证。

此情况的解决方案是在代理所处的同一域中安装网关服务器,然后在网关服务器和管理服务器上安装证书以实现相互身份验证和数据加密。 使用网关服务器意味着你只需要域 B 中的一个证书以及越过防火墙的一个端口,如下图所示。

使用网关监视不受信任的代理的插图。

设置跨域通信 - 工作组边界

在你的环境中,你可能已将一个或两个代理部署到防火墙内的工作组。 工作组中的代理无法使用 Kerberos 协议向域中的管理服务器进行身份验证。 此情况的解决方案是在主持代理和代理连接到的管理服务器的计算机上安装证书,如下图所示。

注意

在此方案中,代理必须手动安装。

工作组中“监视不受信任的代理”的插图。

在主持代理和管理服务器的计算机上使用这两者的同一证书颁发机构 (CA) 执行以下步骤:

  1. 从 CA 申请证书。
  2. 批准 CA 上的证书申请。
  3. 在计算机证书存储中安装批准的证书。
  4. 使用 MOMCertImport 工具配置 Operations Manager。

注意

不支持 KEYSPEC 为 1 以外的证书。

这些步骤与在网关服务器上安装证书的步骤相同,但未安装或运行网关审批工具

确认证书安装

如果已正确安装证书,则会将以下事件写入 Operations Manager 事件日志。

类型 事件 ID 常规
信息 OpsMgr 连接器 20053 OpsMgr 连接器已成功加载指定的身份验证证书。

在证书安装期间,你需要运行 MOMCertImport 工具。 MOMCertImport 工具完成后,已导入证书的序列号将被写入注册表的下列子项下。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

注意

错误编辑注册表会严重损坏您的系统。 在更改注册表之前,应备份计算机上任何有价值的数据。

管理服务器、网关服务器和代理之间的身份验证和数据加密

这些 Operations Manager 功能之间的通信始于相互身份验证。 如果通信通道两端都存在证书,则证书将用于相互身份验证;或者,使用 Kerberos V5 协议。 如果任何两个功能被不受信任的域隔离,则必须使用证书执行相互身份验证。 正常通信(如事件、警报和管理包部署)都在此通道上进行。 上图显示在被路由到管理服务器的其中一个代理上正在生成的警报示例。 从代理到网关服务器,Kerberos 安全包用来加密数据,因为网关服务器和代理处于同一域中。 警报被网关服务器解密,并使用管理服务器的证书重新加密。 网关服务器将加密消息发送到管理服务器,然后管理服务器将解密警报。 管理服务器和代理之间的部分通信可能包括凭据信息;例如,配置数据和任务。 代理和管理服务器之间的数据通道除正常的通道加密外还添加其他层次的加密。 无需用户干预。

管理服务器和操作控制台、Web 控制台服务器和报表服务器

使用 Windows Communication Foundation (WCF) 技术完成管理服务器、操作控制台、Web 控制台服务器或报表服务器之间的身份验证和数据加密。 最初尝试使用用户凭据进行身份验证。 最先尝试使用 Kerberos 协议。 如果 Kerberos 协议不起作用,则再次尝试使用 NTLM。 如果身份验证仍然失败,系统会提示用户提供凭据。 进行身份验证后,数据流将作为 Kerberos 协议或 SSL(如果使用 NTLM)的功能进行加密。

对于报表服务器和管理服务器,执行身份验证后,将在管理服务器和 SQL Server 报表服务器之间建立数据连接。 这是完全使用 Kerberos 协议完成的;因此,管理服务器和报表服务器必须位于受信任的域中。 有关 WCF 的详细信息,请参阅 MSDN 文章 什么是 Windows Communication Foundation

管理服务器和报表数据仓库

管理服务器和报表数据仓库之间存在两条通信通道:

  • 监视主机进程由运行状况服务(System Center 管理服务)在管理服务器中生成
  • 管理服务器中的 System Center Data Access 服务

监视主机进程和报表数据仓库

默认情况下,运行状况服务生成的监视主机进程(负责将收集的事件或性能计数器写入数据仓库),可以通过作为报表安装期间指定的数据写入程序帐户运行来实现 Windows 集成的身份验证。 帐户凭据安全存储在称为数据仓库操作帐户的运行方式帐户中。 此运行方式帐户是称为数据仓库帐户(与实际的收集规则关联)的运行方式配置文件的成员。

例如,如果报表数据仓库和管理服务器由信任边界 (分隔,则每个都驻留在不同的域中,没有信任) ,则 Windows 集成身份验证将不起作用。 要解决此情况,监视主机进程可以使用 SQL Server 身份验证连接到报表数据仓库。 为此,请使用 SQL 帐户凭据创建新的运行方式帐户(帐户类型为“简单”)并让其成为运行方式配置文件(称为数据仓库 SQL Server 身份验证帐户)的成员,管理服务器作为目标计算机。

重要

默认情况下,运行方式配置文件(数据仓库 SQL Server 身份验证帐户)通过使用同一名称的运行方式帐户被分配一个特定帐户。 不要对与运行方式配置文件(数据仓库 SQL Server 身份验证帐户)关联的帐户做任何更改。 你可以创建自己的帐户和运行方式帐户,并在配置 SQL Server 身份验证时使其成为运行方式配置文件(数据仓库 SQL Server 身份验证帐户)的成员。

下面部分概述 Windows 集成的身份验证和 SQL Server 身份验证的各种帐户凭据、运行方式帐户和运行方式配置文件之间的关系。

默认:Windows 集成的身份验证

  1. 运行方式配置文件:数据仓库帐户

    • 运行方式帐户:数据仓库操作
    • 帐户凭据:数据编写器帐户(在安装期间指定)

  2. 运行方式配置文件:数据仓库 SQL Server 身份验证帐户

    • 运行方式帐户:数据仓库 SQL Server 身份验证
    • 帐户凭据:Operations Manager (创建的特殊帐户不会更改)

可选:SQL Server 身份验证

  1. 运行方式配置文件:数据仓库 SQL Server 身份验证帐户
    • 运行方式帐户:在安装期间指定的运行方式帐户。
    • 帐户凭据:在安装期间指定的帐户。

System Center Data Access 服务和报表数据仓库

默认情况下,System Center Data Access 服务负责从报表数据仓库读取数据,并使其在报表参数区域中可用,可以通过在 Operations Manager 安装期间运行定义的 Data Access 服务和配置服务帐户来实现 Windows 集成身份验证。

例如,如果报告数据仓库和管理服务器由信任边界 (分隔,则每个都驻留在不同的域中,没有信任) ,则 Windows 集成身份验证将不起作用。 要解决此情况,System Center Data Access 服务可以使用 SQL Server 身份验证连接到报表数据仓库。 为此,请使用 SQL 帐户凭据创建新的运行方式帐户(帐户类型为“简单”)并让其成为运行方式配置文件(称为报表 SDK SQL Server 身份验证帐户)的成员,管理服务器作为目标计算机。

重要

默认情况下,运行方式配置文件(报表 SDK SQL Server 身份验证帐户)通过使用同一名称的运行方式帐户被分配一个特定帐户。 切勿对与运行方式配置文件、报告 SDK SQL Server身份验证帐户关联的帐户进行任何更改。 你可以创建自己的帐户和运行方式帐户,并在配置 SQL Server 身份验证时使其成为运行方式配置文件(报表 SDK SQL Server 身份验证帐户)的成员。

下面部分概述 Windows 集成的身份验证和 SQL Server 身份验证的各种帐户凭据、运行方式帐户和运行方式配置文件之间的关系。

默认:Windows 集成的身份验证

  1. 数据访问服务和配置服务帐户(在 Operations Manager 安装期间定义的)

    • 运行方式配置文件:报表 SDK SQL Server 身份验证帐户
    • 运行方式帐户:报表 SDK SQL Server 身份验证帐户
    • 帐户凭据:Operations Manager (创建的特殊帐户不会更改)

  2. 可选:SQL Server 身份验证

    • 运行方式配置文件:数据仓库 SQL Server 身份验证帐户
    • 运行方式帐户:在安装期间指定的运行方式帐户。
    • 帐户凭据:在安装期间指定的帐户。

操作控制台和报表服务器

操作控制台使用 HTTP 在端口 80 上连接到报表服务器。 使用 Windows 身份验证执行身份验证。 可以使用 SSL 通道加密数据。

报表服务器和报表数据仓库

使用 Windows 身份验证完成报表服务器和报表数据仓库之间的身份验证。 报表安装期间指定为数据读取器帐户的帐户成为报表服务器上的执行帐户。 如果帐户的密码应更改,则需要使用 SQL Server 中的Reporting Services Configuration Manager进行相同的密码更改。 报表服务器和报表数据仓库之间的数据未加密。