Instalace serveru brány

Důležité

Tato verze Operations Manageru dosáhla konce podpory. Doporučujeme upgradovat na Operations Manager 2022.

Servery brány se obvykle používají k povolení monitorování klientských počítačů, které jsou mimo hranici důvěryhodnosti protokolu Kerberos skupin pro správu. Dají se ale použít také v rámci stejné domény, pokud je potřeba prostředí rozdělit z důvodu segmentace sítě nebo aby se ke skupině pro správu připojili "vzdálení" agenti.

Agenti komunikují přímo se serverem brány a server brány komunikuje s jedním nebo několika servery pro správu. V jedné doméně může být umístěno více serverů brány, aby agenti mohli převzít služby při selhání z jednoho na druhý, pokud ztratí komunikaci se svou primární bránou. Podobně je možné nakonfigurovat jeden server brány tak, aby při selhání převzal služby mezi servery pro správu, takže v komunikačním řetězci neexistuje jediný bod selhání. Server brány funguje jako proxy server pro komunikaci agenta se serverem pro správu a umožňuje otevření pouze jednoho portu mezi sítěmi místo mnoha. Certifikáty se musí použít k vytvoření identity každého počítače mimo hranice důvěryhodnosti protokolu Kerberos. Bez certifikátů se systémy můžou připojit, ale odmítnout komunikaci, protože připojení nemůžou ověřit.

Než budete pokračovat, ujistěte se, že váš server splňuje minimální požadavky na systém pro System Center – Operations Manager. Další informace najdete v tématu Požadavky na systém pro nástroj System Center Operations Manager.

Poznámka

Pokud vaše zásady zabezpečení omezují protokol TLS 1.0 a 1.1, instalace nové role serveru brány Operations Manageru 2016 selže, protože instalační médium neobsahuje aktualizace pro podporu protokolu TLS 1.2. Tuto roli můžete nainstalovat jedině tak, že v systému povolíte protokol TLS 1.0, použijete kumulativní aktualizaci 4 a pak v systému povolíte protokol TLS 1.2. Toto omezení se nevztahuje na Operations Manager verze 1801.

Požadavky

Před pokračováním v instalaci role brány ve standardním scénáři musíme mít připravené a připravené tři hlavní věci:

1. Certifikáty je potřeba vygenerovat pro bránu a servery pro správu a nainstalovat je do úložišť certifikátů.
   • Pokud se brána a klientské servery používají ve scénáři pracovní skupiny, potřebují certifikáty také klienti.
2. Zamýšlený server brány musí být před instalací schválen, aby byl bránou v rámci skupiny pro správu.
3. Mezi bránou a serverem pro správu musí být otevřený port 5723, jak je definováno v této příručce: Konfigurace brány firewall pro Operations Manager

Certifikáty a překlad názvů

1. Nasazení serverů brány v doménách bez obousměrného tranzitivního vztahu důvěryhodnosti nebo v pracovní skupině vyžaduje použití certifikátů k ověřování. Primární servery pro správu a servery pro správu s podporou převzetí služeb při selhání je potřebují kromě brány, která se k nim připojuje. Tyto certifikáty můžou pocházet od certifikační autority Microsoftu nebo od certifikační autority třetí strany, pokud jsou správně nakonfigurované pro Operations Manager. Pokud potřebujete pomoc s vytvářením těchto certifikátů, použijte tuto příručku: Získání certifikátu pro použití se servery Windows a nástrojem System Center Operations Manager.

   Poznámka

   • Servery brány, které jsou ve stejné doméně nebo ve sdílené hranici důvěryhodnosti jako skupina pro správu, nevyžadují certifikáty.
   • Pokud jsou brána a agenti v pracovní skupině, budeme potřebovat certifikáty pro každý server pro správu, bránu a klientský počítač, které budou monitorovány, protože v pracovní skupině není žádná doména pro ověřování systémů.

2. Mezi počítači spravovanými agentem a serverem brány a mezi serverem brány a serverem brány musí existovat spolehlivý překlad názvů. Ten se obvykle provádí prostřednictvím DNS. Pokud ale není možné získat správný překlad ip adres prostřednictvím DNS, může být nutné ručně vytvořit záznamy v souboru hostitelů jednotlivých počítačů.

   Důležité

   Před předáním ověřování mezi servery jsou kontrolovány překlady dopředných a reverzních ip adres. Pokud při kontrole IP adresy obdržíme jiný název hostitele nebo plně kvalifikovaný název domény, ověřování se nezdaří.

   Tip

   Soubor hosts se nachází v adresáři %SystemRoot%\system32\drivers\etc a obsahuje pokyny pro konfiguraci. Musí se upravit v Poznámkovém bloku nebo jiné aplikaci spuštěné jako správce.

Registrace brány ve skupině pro správu

Aby se zabránilo pozdějším problémům, je důležité před instalací zaregistrovat a schválit zamýšlený počítač brány jako bránu, jinak riskujeme, že bránu vyzvedneme jako agenta.

Tyto kroky je třeba provést ze serveru pro správu, nejlépe z primárního serveru nebo serveru RMSE.

1. Instalační médium nástroje Operations Manager obsahuje spustitelný soubor s názvem "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", který najdete na instalačním médiu v části ..\SupportTools\amd64\.

2. Po umístění zkopírujte tento spustitelný soubor a konfigurační soubor se stejným názvem do instalační cesty v části: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Otevřete příkazový řádek jako správce a přejděte do instalačního adresáře nástroje Operations Manager. (např. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Pomocí následujícího příkazu zaregistrujte zamýšlenou bránu jako bránu a ujistěte se, že názvy serverů nahradíte vlastními názvy serverů:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Poznámka

   Pokud chcete serveru brány zabránit v zahájení komunikace se serverem pro správu, zahrňte parametr /ManagementServerInitiatesConnection=True , který je použitý v následujícím příkazu. Jinak se komunikace ve výchozím nastavení zahájí ze samotné brány. To je užitečné, pokud chcete zabránit příchozímu přístupu k primární doméně ze sítě, kde se nachází brána.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Pokud je schválení úspěšné, vrátí se zpráva The approval of server <GatewayFQDN> completed successfully. .

6. Pokud potřebujete odebrat server brány ze skupiny pro správu, spusťte stejný příkaz, ale nahraďte /Action=Create příznakem /Action=Delete .

7. Otevřete zobrazení Monitorování konzoly Operations Console. Vyberte zobrazení Zjištěný inventář, abyste zjistili, jestli je server brány přítomný. Měla by se zobrazit také v části Servery pro správu > Správa zařízení>.

Proces instalace

Jakmile je zamýšlený server brány zaregistrovaný ve skupině pro správu, je čas nainstalovat roli na novou bránu.

Poznámka

Instalace selže při spuštění Instalační služby systému Windows (například instalaci serveru brány poklikáním na MOMGateway.msi), pokud jsou povolené místní zásady zabezpečení Řízení uživatelských účtů: Spustit všechny správce v režimu schválení Správa.

Tip

Pokud během instalace narazíte na problémy, protokoly se nacházejí tady: %LocalAppData%\SCOM\Logs

Instalace pomocí grafického uživatelského rozhraní

K instalaci serveru brány použijte tento postup:

1. Přihlaste se k serveru brány s právy správce.
2. Z instalačního média Operations Manageru spusťte Setup.exe.
3. V oblasti Instalace vyberte odkaz Server pro správu brány (ne velký odkaz Nainstalovat v dolní části okna).
4. Na úvodní obrazovce vyberte Další.
5. Na stránce Cílová složka přijměte výchozí nastavení nebo vyberte Změnit a vyberte jiný instalační adresář a vyberte Další.
6. Na stránce Konfigurace skupiny pro správu zadejte název cílové skupiny pro správu do pole Název skupiny pro správu , do pole Server pro správu zadejte název cílového serveru pro správu , zkontrolujte, jestli je v poli Port serveru pro správu5723, a vyberte Další.
7. Na stránce Účet akce brány vyberte možnost Místní systémový účet, pokud nepoužíváte účet akce brány založený na doméně nebo místním počítači. Vyberte Další.
8. Na stránce Microsoft Update volitelně uveďte, jestli chcete použít službu Microsoft Update, a vyberte Další. (Obvykle by tento výběr měl být Ne.)
9. Na stránce Ready to Install (Připraveno k instalaci) vyberte Install (Nainstalovat).
10. Na stránce Dokončení vyberte Dokončit.

Instalace pomocí příkazového řádku

Pokud chcete nainstalovat server brány z příkazového řádku, postupujte takto:

1. Přihlaste se k serveru brány s právy správce.
2. Otevřete okno příkazového řádku pomocí možnosti Spustit jako správce.
3. Spusťte následující příkaz, kde path\to\Installer je cesta instalačního média. MOMGateway.msi najdete na instalačním médiu operations manageru v části ..\gateway\amd64\.

Tip

Znak ^ umožňuje víceřádkový vstup do okna konzoly a jednodušší úpravy. Pokud to ve vašem prostředí nefunguje, odeberte ^ znaků a upravte příkaz tak, aby byl na jednom řádku.

Pokud jako účet akce používáte LocalSystem :

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Pokud jako účet akce používáte uživatele domény :

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Důležité

Heslo účtu akce nesmí na příkazovém řádku obsahovat neplatné znaky, například : & < > ( ) @ ^ | ". Pokud ano, instalace selže, protože nemůže analyzovat řetězec, změnit heslo tak, aby neobsahovalo tyto znaky, a pak ho zabalte do dvojitých uvozovek v samotném příkazu.

Import certifikátů pomocí nástroje MOMCertImport.exe

Tuto operaci proveďte na každé bráně a serveru pro správu spolu se všemi klientskými počítači, které mají být spravovány agentem v pracovní skupině.

1. Než budete pokračovat, ujistěte se, že jsou certifikáty nainstalované.
2. Vyhledejte souborMOMCertImport.exe umístěný na instalačním médiu v části ..\SupportTools\amd64\
3. Zkopírujte tento soubor do kořenového adresáře cílového serveru nebo do instalačního adresáře nástroje Operations Manager.
   • Příklad: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Otevřete příkazový řádek jako správce a změňte adresář na adresář, ve kterém je MOMCertImport.exe.
   • Příklad: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Pak spusťte příkaz MOMCertImport.exe /SubjectName subjectNameFQDN, kde subjectNameFQDN je definovaný předmět certifikátu.
   • Můžete také spustit MOMCertImport.exe bez jakýchkoli argumentů, abyste mohli zvolit certifikát z automaticky otevíraných oken, ve kterých se zobrazí certifikáty v osobním úložišti místního počítače.
6. V případě úspěchu se služba Microsoft Monitoring Agent restartuje a do protokolu událostí nástroje Operations Manager se zaprotokoluje id události 20053. Pokud toto ID události neexistuje, podívejte se na podrobnosti o jednom z těchto ID a zjistěte případné problémy a proveďte odpovídající opravy: 20049,20050,20052,20066,20069,20077

Tip

Po úspěšném importu certifikátu uvidíte zrcadlenou verzi kryptografického otisku v registru tady: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurace serverů brány pro převzetí služeb při selhání mezi servery pro správu

Ve výchozím nastavení servery brány komunikují pouze s jedním serverem pro správu, který je primární. Pokud dojde ke ztrátě tohoto připojení, brána a všechny připojené agenty se v konzole zobrazí jako šedé a nebudou sledovány. Pokud máte více serverů pro správu, můžeme tomuto problému zabránit tím, že nakonfigurujeme servery pro správu, na které může brána převzít služby při selhání, dokud nebude primární server znovu dostupný. Konfigurace převzetí služeb při selhání:

Pomocí rutiny Set-SCOMParentManagementServer v prostředí Operations Manageru, jak je znázorněno v následujícím příkladu, nakonfigurujeme server brány tak, aby převzal služby při selhání více serverů pro správu. Příkazy můžete spustit z libovolného příkazového řádku ve skupině pro správu.

1. Přihlaste se k serveru pro správu pomocí účtu, který je členem role Správce nástroje Operations Manager.

2. Z nabídky Start spusťte prostředí Operations Manager Shell ve složce Microsoft System Center.

3. V konzole nástroje spusťte následující příkazy:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Poznámka

   Server s podporou převzetí služeb při selhání nelze nastavit tak, aby byl stejný jako primární server, aniž by se primární server současně měnil. Pokud chcete změnit primární a nastavit ji na sekundární, použijte následující příkazy:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Zřetězení více serverů brány

I když je to neobvyklé, někdy je nutné zřetězí několik bran dohromady, aby bylo možné monitorovat více nedůvěryhodných hranic. Tato část popisuje, jak zřetězených více bran dohromady.

Poznámka

• Před přidáním další brány do řetězu byste měli vždy instalovat jednu bránu a ověřit, jestli jsou všechny nově nainstalované brány správně nakonfigurované a že jsou v konzole SCOM v pořádku.
• Když přidáte konec řetězce bran do stejného fondu prostředků, nekonfigurujte převzetí služeb při selhání jiným řetězem pomocí příkazu Set-SCOMParentManagementServer . V takovém scénáři fond nefunguje podle očekávání. Aby konfigurace převzetí služeb při selhání a fond prostředků fungoval společně, musí mít konec brány řetězce stejný nadřazený objekt.

Ke konfiguraci řetězu bran používáme nástroj Microsoft.EnterpriseManagement.GatewayApprovalTool.exe stejně jako u počátečního serveru brány. Tentokrát ale musíme nastavit "ManagementServerName" jako nadřazený server brány v řetězci. Pokud se například GW02 připojí ke GW01, pak je V tomto scénáři serverem pro správu GW01.

1. Přihlaste se k jednomu ze serverů pro správu, který už má nastavenou aplikaci GatewayApprovalTool.

2. Otevřete příkazový řádek jako správce a přejděte do adresáře, ve kterém je nástroj uložený.

3. Potom spuštěním následujícího příkazu schválíte server podřízené brány a ujistěte se, že názvy serverů nahradíte vlastními:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Nainstalujte roli brány na nový server.

5. Nakonfigurujte certifikáty mezi GW01 a GW02 stejným způsobem, jako byste konfigurovali certifikáty mezi bránou a serverem pro správu. Služba Health Service může načíst a použít jenom jeden certifikát. Proto nadřazená a podřízená brána v řetězci používají stejný certifikát.

Další kroky

Informace o sekvenci a postupu instalace rolí serveru Operations Manageru na více serverů ve skupině pro správu najdete v tématu Distribuované nasazení nástroje Operations Manager.