如何設定與使用 Active Directory 整合以用於代理程式指派

  • 發行項

重要

此版本的 Operations Manager 已終止支援。 我們建議您 升級至 Operations Manager 2022

System Center Operations Manager 可讓您使用 Active Directory Domain Services (AD DS) 來將受代理程式管理的電腦指派給管理群組,從而充分利用您在 Active Directory Domain Services (AD DS) 中的投資。 本文將協助您在 Active Directory 中建立和管理容器的組態,以及應該回報管理伺服器代理程式的代理程式指派。

建立管理群組的 Active Directory 網域服務容器

您可以使用下列命令列語法和程序來針對 System Center - Operations Manager 管理群組建立 Active Directory Domain Services (AD DS) 容器。 MOMADAdmin.exe 乃為此目的而設計,而且會與 Operations Manager 管理伺服器一併安裝。 只有該特定網域的系統管理員可執行 MOMADAdmin.exe。

命令列語法:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

重要

如果此值中包含空格,您必須將此值包含在引號中。

  • ManagementGroupName 是正在為其建立 AD 容器的管理群組的名稱。

  • MOMAdminSecurityGroup 是網域安全性群組 (格式為 domain\security_group),為管理群組的 Operations Manager 系統管理員安全性角色的成員。

  • RunAsAccount:這是管理伺服器將在 AD 中讀取、寫入和刪除物件的網域帳戶。 請使用「網域\使用者名稱」格式。

  • Domain 是將於其中建立管理群組容器之網域的名稱。 只有當網域之間存在雙向信任時,才能跨網域執行 MOMADAdmin.exe。

若要執行 Active Directory 整合,安全性群組必須是通用安全性群組 (如果 Active Directory 整合需要在包含雙向信任的多個網域中運作) 或本機網域群組 (如果 Active Directory 整合只在一個網域中使用)

若要將安全性群組新增至 Operations Manager 系統管理員群組,請使用下列程序。

  1. 在 Operations 主控台中,選取 [系統管理] 。

  2. 在 [系統管理] 工作區中,選取 [安全性] 下的 [使用者角色] 。

  3. [使用者角色] 中,選取 [Operations Manager 系統管理員] ,然後選取 [ 屬性 ] 動作,或以滑鼠右鍵按兩下 [Operations Manager 系統管理員 ],然後選取 [ 屬性]。

  4. 選取 [新增 ] 以開啟 [ 選取群組 ] 對話框。

  5. 選取所需的安全組,然後選取 [ 確定 ] 以關閉對話方塊。

  6. 選取 [確定 ] 以關閉 [使用者角色屬性]。

注意

我們建議您為 Operations Manager 系統管理員角色使用一個安全性群組,該安全性群組可以包含數個群組。 如此一來,即可新增群組的增群和成員,以及從群組移除群組和成員,而不需網域系統管理員執行手動步驟,將管理群組容器的讀取與刪除子權限指派給它們。

使用下列程序建立 AD DS 容器。

  1. 以系統管理員身分開啟命令提示字元。

  2. 例如,在提示字元中,輸入下列內容:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

注意

默認路徑為 C:\Program Files\Microsoft System Center 2016\Operations Manager。

注意

默認路徑為 C:\Program Files\Microsoft System Center\Operations Manager。

  1. 上述命令列範例將:

    1. 從命令列執行 MOMADAdmin.exe 公用程式。

    2. MessageDom 網域的 AD DS 結構描述根中建立 "Message Ops" 管理群組 AD DS 容器。 若要在其他網域建立同樣的管理群組 AD DS 容器,請在每個網域執行 MOMADAdmin.exe。

    3. MessageDom\MessageADIntAcct 網域使用者帳戶新增至 MessageDom\MessageOMAdmins AD DS 安全性群組,然後將管理該 AD DS 容器的必要權限指派給該安全性 AD DS 群組。

如何使用 Active Directory 網域服務將電腦指派至管理伺服器

Operations Manager 代理程式指派和 [容錯移轉精靈] 會建立代理程式指派規則,其使用 Active Directory 網域服務 (AD DS) 將電腦指派至管理群組,並且指派電腦的主要管理伺服器和次要管理伺服器。 使用下列程序啟動並使用精靈。

重要

您需先針對管理群組建立 Active Directory 網域服務容器,才能執行 [代理程式指派和容錯移轉精靈]。

代理程式指派和故障轉移精靈不會部署代理程式。 您必須手動使用 MOMAgent.msi 將代理程式部署至電腦。

變更代理程式指派規則會導致電腦不再受管理群組指派,因此也不再受管理群組監視。 因為這些電腦不再將活動訊號傳送至管理群組,所以這些電腦的狀態會變更為「重大」。 這些計算機可以從管理群組中刪除,如果計算機未指派給其他管理群組,則可以卸載 Operations Manager 代理程式。

啟動 Operations Manager 代理程式指派和容錯移轉精靈

  1. 使用屬於 Operations Manager 系統管理員角色成員的帳戶登入電腦。

  2. 在 Operations 控制台中,選取 [ 系統管理]。

  3. 在 [系統管理] 工作區中,選取 [管理伺服器]。

  4. 在 [ 管理伺服器] 窗格中,以滑鼠右鍵按下管理伺服器或閘道伺服器,以做為您將在下列程式中建立之規則所傳回之電腦的主要 管理伺服器 ,然後選取 [ 屬性]。

    注意

    在此內容中,閘道伺服器的運作方式類似管理伺服器的運作方式。

  5. 在 [ 管理伺服器內容] 對話框中,選取 [ 自動代理程式指派 ] 索引標籤,然後選取 [ 新增 ] 以啟動 [代理程式指派和故障轉移精靈]。

  6. 在 [ 代理程式指派和故障轉移精靈] 的 [ 簡介 ] 頁面上,選取 [ 下一步]。

    注意

    如果精靈已執行,且未再次選取此頁面,則不會顯示 [簡介] 頁面。

  7. 在 [網域] 頁面上,執行下列動怍:

    注意

    若要將電腦從多重網域指派至管理群組,請針對每個網域執行 [代理程式指派和容錯移轉精靈] 。

    • 從 [ 功能變數名稱 ] 下拉式清單中選取電腦的網域。 AD 代理程式指派資源集區中的管理伺服器和所有電腦都必須可以解析網域名稱。

      重要

      管理伺服器和您要管理的電腦必須在雙向信任的網域中。

    • 將 [選取執行身分設定檔] 設定為網域執行 MOMADAdmin.exe 時所提供的「執行身分帳戶」相關「執行身分設定檔」。 用於執行代理程式指派的預設帳戶是安裝期間所指定的預設動作帳戶,也稱為「Active Directory 型代理程式指派帳戶」 。 此帳戶代表連線至指定網域的 Active Directory 以及修改 Active Directory 物件時所使用的認證,而且應該符合執行 MOMAdmin.exe 時指定的帳戶。 如果這不是用來執行 MOMADAdmin.exe 的帳戶,請選取 [ 使用不同的帳戶在指定的網域中執行代理程式指派], 然後從 [ 選取執行身分配置檔 ] 下拉式清單中選取或建立帳戶。 Active Directory 代理程式指派帳戶配置檔必須設定為使用 Operations Manager 系統管理員帳戶,此帳戶會散發至 AD 代理程式指派資源集區中的所有伺服器。

      注意

      如需執行身分設定檔和執行身分帳戶的詳細資訊,請參閱管理執行身分帳戶和設定檔

  8. 在 [ 包含準則 ] 頁面上,輸入LDAP查詢,以在文字框中將計算機指派給此管理伺服器,然後選取 [ 下一步], 或選取 [ 設定]。 如果您選取 [ 設定],請執行下列動作:

    1. 在 [ 尋找計算機] 對話框中,輸入指派計算機給此管理伺服器或輸入特定LDAP查詢所需的準則。

      下列 LDAP 查詢只會傳回執行 Windows Server 作業系統的電腦,且其會排除網域控制站。

      (&(objectCategory=computer)(operatingsystem=*server*))

      此範例 LDAP 查詢只會傳回執行 Windows Server 作業系統的電腦。 其會排除裝載 Operations Manager 或 Service Manager 管理伺服器角色的網域控制站和伺服器。

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      如需LDAP查詢的詳細資訊,請參閱 建立查詢篩選Active Directory:LDAP語法篩選

    2. 依序選取 [確定] 和 [下一步]。

  9. 在 [ 排除準則] 頁面上,輸入您明確想要防止此管理伺服器管理的計算機 FQDN,然後選取 [ 下一步]。

    重要

    您必須以分號、冒號或換行 (CTRL+ENTER) 分隔鍵入的電腦 FQDN。

  10. 在 [ 代理程式故障轉移 ] 頁面上,選取 [ 自動管理故障轉移 ],然後選取 [ 建立 ] 或選取 [手動設定故障轉移]。 如果您選取 [手動設定容錯移轉] ,請執行下列動作:

    1. 清除您不想讓代理程式故障轉移之管理伺服器的複選框。

    2. 選取 [建立]。

      注意

      使用 [手動設定容錯移轉] 選項時,如果您之後將管理伺服器新增至管理群組,而且想要代理程式容錯移轉到新的管理伺服器,則必須再執行一次精靈。

  11. 在 [ 管理伺服器內容] 對話框中,選取 [確定]。

注意

代理程式指派設定傳播到 AD DS 最多需要一小時時間。

完成時,下列規則會在管理群組中建立,並將目標設為「AD 指派資源集區」 類別。

AD 整合代理程式指派規則的螢幕快照。
此規則包含您已在 [代理程式指派和容錯移轉精靈] 中指定的代理程式指派設定資訊,例如 LDAP 查詢。

若要確認管理群組是否在 Active Directory 中成功發行資訊,請從下列模組搜尋事件識別碼 11470:已在其上定義代理程式指派規則之管理伺服器上 Operations Manager 事件記錄檔中的來源健全狀況服務模組。 在描述中,它應該指出它已成功新增至代理程式指派規則的所有計算機。

顯示AD整合代理程式指派成功事件的螢幕快照。

在 Active Directory 的 OperationsManager<ManagementGroupName> 容器下,您應該會看到服務連接點 (SCP) 類似下列範例所建立的物件。

顯示AD整合代理程式指派AD物件的螢幕快照。

此規則也會建立兩個安全組,其名稱為管理伺服器 NetBIOS 名稱:後綴為 “_PrimarySG<隨機數>”的第一個安全組,第二個安全組則為 「_SecondarySG<隨機數>」。 在此範例中,管理群組中部署了兩部管理伺服器,而主要安全組 ComputerB_Primary_SG_24901 成員資格包含符合代理程式指派規則中定義的包含規則的計算機,而安全組 ComputerA_Secondary_SG_38838 成員資格包括主要群組 ComputerB_Primary_SG-29401 包含代理程式機器帳戶的安全組,會在主要管理伺服器沒有回應時故障轉移至此次要管理伺服器。 SCP 名稱是尾碼為 “_SCP” 的管理伺服器 NetBIOS 名稱。

注意

在此範例中,它只會顯示來自單一管理群組的物件,而不是可能存在且也設定 AD 整合的其他管理群組。

使用 Active Directory 整合設定的手動代理程式部署

下列命令列範例會手動安裝已啟用 Active Directory 整合的 Windows 代理程式。

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

變更代理程式的 Active Directory 整合設定

您可以使用下列程序變更代理程式的 Active Directory 整合設定。

  1. 在代理程式管理的計算機上,在 [控制台] 中,按兩下 [Microsoft Monitoring Agent]。

  2. 在 [Operations Manager] 索引標籤上,清除或選取 [自動更新來自 AD DS 的管理群組指派] 。 如果選取此選項,在代理程式啟動時,代理程式將會查詢 Active Directory,以取得指派給它的管理群組清單。 這些管理群組 (如果有的話) 將會新增到清單中。 如果清除此選項,Active Directory 中指派給代理程式的所有管理群組就會從清單中移除。

  3. 選取 [確定]。

整合 Active Directory 與不信任的網域

  1. 在具有AD中讀取、寫入和刪除物件許可權的不受信任網域中建立使用者。
  2. 建立安全性群組 (網域本地或全域)。 將在步驟 1 中建立的使用者新增至此群組。
  3. 使用下列參數在不受信任的網域上執行 MOMAdAdmin.exe:<path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount 網域><>
  4. 在 Operations Manager 中建立新的執行身分帳戶;使用步驟 1 中建立的帳戶。 請確定功能變數名稱是以 FQDN 提供,而不是 NetBIOS 名稱 (For Ex: CONTOSO.COM\ADUser) 。
  5. 將帳戶分配給 AD 指派資源集區。
  6. 在預設管理元件中建立新的執行身分配置檔。 若在其他管理組件中建立此設定檔,請務必密封該管理組件,以便其他管理組件參照。
  7. 將新建立的執行身分帳戶新增至此配置檔,並將其目標設為AD指派資源集區
  8. 在 Operations Manager 中建立 Active Directory 整合規則。

注意

與不受信任的網域整合之後,每部管理伺服器都會顯示伺服器上的警告訊息 安全性資料庫沒有此工作站信任關係的計算機帳戶 ,指出 AD 指派所使用的執行身分帳戶驗證失敗。 系統會在 Operations Manager 事件記錄檔中產生事件識別碼 7000 或 1105。 不過,此警示對不受信任的網域中的 AD 指派沒有任何影響。

後續步驟

若要了解如何從 Operations 主控台安裝 Windows 代理程式,請參閱使用探索精靈在 Windows 上安裝代理程式,或者,若要了解如何從命令列安裝代理程式,請參閱使用 MOMAgent.msi 手動安裝 Windows 代理程式