Verwenden von Active Directory zum Zuweisen von Computern

Letzte Aktualisierung: Mai 2009

Betrifft: Operations Manager 2007 R2, Operations Manager 2007 SP1

Sie können die Active Directory-Domänendienste verwenden, um durch Agents verwaltete Computer ihren jeweiligen Verwaltungsgruppen zuzuweisen. So weisen Sie Computer unter Verwendung der Active Directory-Domänendienste Verwaltungsgruppen zu

• Als Funktionsebene der Active Directory-Domänendienste-Domänen muss Windows 2000 pur, Windows Server 2003 oder Windows Server 2008 eingesetzt werden.

• Mit Agents verwaltete Computer und der Stammverwaltungsserver müssen sich in derselben Domäne oder in Domänen mit bidirektionaler Vertrauensstellung befinden.

Hinweis

Ungeachtet dessen, ob die Zuweisung von Computern zu einer Verwaltungsgruppe mithilfe von Active Directory-Domänendienste vorgenommen wird, müssen sich mit Agents verwaltete Computer und deren Stammverwaltungsserver sowie der sekundäre Verwaltungsserver in derselben Domäne oder in Domänen mit bidirektionaler Vertrauensstellung befinden, oder es muss ein Gatewayserver verwendet werden. Weitere Informationen zu Gatewayservern finden Sie im Operations Manager 2007-Sicherheitshandbuchhttps://go.microsoft.com/fwlink/?LinkId=64017 (möglicherweise in englischer Sprache).

Das Konfigurieren von Agents zum Abrufen ihrer Verwaltungsgruppeninformationen von Active Directory-Domänendienste ist auch nützlich, wenn in Ihrem Unternehmen Images zum Bereitstellen von Computern verwendet werden. Fügen Sie z. B. den Operations Management 2007-Agent dem Microsoft SQL Server-Image hinzu, und konfigurieren Sie den Agent so, dass er seine Verwaltungsgruppeninformationen aus Active Directory abruft. Wenn Sie aus einem Image einen neuen Server mit SQL Server initialisieren, wird der Server automatisch so konfiguriert, dass er von der entsprechenden Microsoft System Center Operations Manager 2007-Verwaltungsgruppe verwaltet wird und die anwendbaren Management Packs herunterlädt.

Beim Zuweisen von Computer an Operations Manager 2007-Verwaltungsgruppen mithilfe von Active Directory-Domänendienste werden die folgenden Formulierungen verwendet:

1. Ein Domänenadministrator erstellt über MOMADAdmin.exe in den Domänen der Computer, die mit der Operations Manager 2007-Verwaltungsgruppe verwaltet werden, einen Active Directory-Domänendienste-Container. Der Active Directory-Domänendienste-Sicherheitsgruppe, die beim Ausführen von MOMADAdmin.exe angegeben wird, werden untergeordnete Lese- und Löschberechtigungen für den Container gewährt. Wenn ein Container auf diese Weise erstellt wird, erhalten Operations Manager-Administratoren die erforderliche Berechtigung, dem Container nach Bedarf Verwaltungsserver hinzuzufügen und die Zuweisung von Computern vorzunehmen. Dazu müssen sie keine Domänenadministratoren sein.

2. Ein Operations Manager-Administrator weist dem Stammverwaltungsserver und dem sekundären Verwaltungsserver Computer zu. Weitere Informationen finden Sie im nächsten Abschnitt unter Zuweisen von Computern zu Operations Manager 2007-Verwaltungsservern mithilfe von Active Directory.

3. Der Operations Manager 2007-Agent wird auf den gewünschten Computern bereitgestellt und so konfiguriert, dass er seine Verwaltungsgruppeninformationen von Active Directory über MOMAgent.msi erhält. Weitere Informationen finden Sie unter Bereitstellen von Agents unter Verwendung der Befehlszeile.

   Hinweis

   Die Active Directory-Integration ist für Agents, die über die Betriebskonsole installiert wurden, deaktiviert. Standardmäßig ist bei Agents, die manuell über MOMAgent.msi installiert werden, die Active Directory-Integration aktiviert. Um die Active Directory-Integration für manuelle Installationen zu deaktivieren, verwenden Sie den Befehlszeilenparameter USE_SETTINGS_FROM_AD=0 wie unter Bereitstellen von Agents unter Verwendung der Befehlszeile erklärt.

Zuweisen von Computern zu Operations Manager 2007-Verwaltungsservern mithilfe von Active Directory

Der Agentzuordnungs- und Failover-Assistent von Operations Manager 2007 erstellt eine Agentzuweisungsregel, die Active Directory-Domänendienste verwendet, um einer Verwaltungsgruppe Computern zuzuweisen und den primären sowie die sekundären Verwaltungsserver für den Computer festzulegen. Mit den folgenden Verfahren können Sie den Assistenten starten und verwenden.

Hinweis

Der Agentzuordnungs- und Failover-Assistent stellt den Agent nicht bereit. Stellen Sie den Agent mithilfe von MOMAgent.msi auf Computern bereit.

Eine Änderung der Agentzuweisungsregel kann dazu führen, dass Computer nicht mehr der Verwaltungsgruppe zugewiesen sind und daher nicht mehr von ihr überwacht werden. Die Computer nehmen den Status "kritisch" an, weil die Computer keine Takte mehr an die Verwaltungsgruppe senden. Sie können diese Computer aus der Verwaltungsgruppe löschen, und wenn der Computer keiner anderen Verwaltungsgruppe zugewiesen ist, können Sie den Operations Manager 2007-Agent deinstallieren.

So starten Sie den Agentzuordnungs- und Failover-Assistenten in Operations Manager 2007

1. Melden Sie sich bei der Betriebskonsole mit einem Konto an, das der Operations Manager-Administratorrolle der Operations Manager 2007-Verwaltungsgruppe angehört.

2. Klicken Sie auf die Schaltfläche Verwaltung.

3. Erweitern Sie im Verwaltungsbereich den Knoten Verwaltung, erweitern Sie den Knoten Geräteverwaltung, und klicken Sie auf Verwaltungsserver.

4. Klicken Sie im Bereich Verwaltungsserver mit der rechten Maustaste auf den Verwaltungsserver oder den Gatewayserver, der der primäre Verwaltungsserver für die Computer sein soll, die von den Regeln zurückgegeben werden, die Sie im nachfolgenden Verfahren erstellen, und klicken Sie dann auf Eigenschaften.

5. Klicken Sie im Dialogfeld Verwaltungsservereigenschaften auf die Registerkarte Agentverwaltung, und klicken Sie dann auf Hinzufügen, um den Agentzuordnungs- und Failover-Assistenten zu starten.

So verwenden Sie den Agentzuordnungs- und Failover-Assistenten in Operations Manager 2007, um Computer einer Verwaltungsgruppe zuzuweisen

1. Klicken Sie im Agentzuordnungs- und Failover-Assistenten auf der Seite Einführung auf Weiter.

   Hinweis

   Die Seite Einführung wird nicht angezeigt, wenn der Assistent bereits ausgeführt wurde und dabei die Option Diese Seite nicht mehr anzeigen ausgewählt wurde.

2. Gehen Sie auf der Seite Domäne folgendermaßen vor:

   Hinweis

   Für die Zuweisung von Computern aus mehreren Domänen zu einer Verwaltungsgruppe wird für jede Domäne der Agentzuordnungs- und Failover-Assistent ausgeführt.

   • Wählen Sie aus der Dropdownliste Domänenname die Domäne der Computer aus. Der Verwaltungsserver muss den Domänennamen auflösen können.

   Wichtig

   Der Verwaltungsserver und der Computer, die verwaltet werden sollen, müssen sich in Domänen mit bidirektionaler Vertrauensstellung befinden.

   • Legen Sie die Option Ausführendes Profil auswählen auf das ausführende Profil fest, das dem bei der Ausführung von MOMADAdmin.exe für die Domäne bereitgestellten ausführenden Konto zugeordnet ist. Das für die Agentzuweisung verwendete Standardkonto ist das Computerkonto für den Stammverwaltungsserver, das auch als Active Directory-basiertes Agentzuweisungskonto bezeichnet wird. Wenn dies nicht das Konto war, das für die Ausführung von MOMADAdmin.exe verwendet wurde, wählen Sie Agentzuweisung in der angegebenen Domäne über ein anderes Konto durchführen aus, und erstellen oder wählen Sie dann das Konto aus der Dropdownliste Ausführendes Profil auswählen aus.

     Hinweis

     Weitere Informationen zu ausführenden Profilen und ausführenden Konten finden Sie im Operations Manager 2007-Sicherheitshandbuch.

3. Geben Sie auf der Seite Einschließungskriterien entweder die LDAP-Abfrage für die Zuweisung von Computern zu diesem Verwaltungsserver in das Textfeld ein und klicken dann auf Weiter, oder klicken Sie auf Konfigurieren. Wenn Sie auf Konfigurieren klicken, gehen Sie wie folgt vor:

   1. Geben Sie im Dialogfeld Computer suchen die gewünschten Kriterien für die Zuweisung von Computern zu diesem Verwaltungsserver ein.

   2. Klicken Sie auf OK und dann auf Weiter.

   Hinweis

   Die folgende LDAP-Abfrage gibt Computer mit einem Namen zurück, der mit "MsgOps" beginnt (&(sAMAccountType=805306369)(objectCategory=computer)(cn=MsgOps*)) Weitere Informationen zu LDAP-Abfragen finden Sie unter Creating a Query Filter (Erstellen eines Abfragefilters) in der Microsoft Developer Network-Bibliothek (https://go.microsoft.com/fwlink/?LinkId=73366).

4. Geben Sie auf der Seite Ausschließungsregel den vollqualifizierten Domänennamen (FQDN) von Computern ein, die explizit nicht von diesem Verwaltungsserver verwaltet werden sollen, und klicken Sie dann auf Weiter.

   Wichtig

   Sie müssen die eingegebenen Computer-FQDNs mit einem Semikolon, einem Doppelpunkt oder einer neuen Zeile (STRG+Eingabetaste) voneinander trennen.

5. Wählen Sie auf der Seite Agentfailover entweder die Option Failover automatisch verwalten aus, und klicken Sie dann auf Erstellen, oder wählen Sie Failover manuell konfigurieren aus. Wenn Sie auf Failover manuell konfigurieren klicken, gehen Sie wie folgt vor:

   1. Deaktivieren Sie die Kontrollkästchen für die Verwaltungsserver, die Agents nicht für ein Failover verwenden sollen.

   2. Klicken Sie auf Erstellen.

      Hinweis

      Wenn Sie die Option Failover manuell konfigurieren auswählen, müssen Sie den Assistenten erneut ausführen, wenn Sie zu einem späteren Zeitpunkt der Verwaltungsgruppe einen Verwaltungsserver hinzufügen und die Agents den neuen Verwaltungsserver für ein Failover verwenden sollen.

6. Klicken Sie im Dialogfeld Verwaltungsservereigenschaften auf OK.

   Hinweis

   Es kann bis zu einer Stunde dauern, bis die Agentzuweisungseinstellung in Active Directory-Domänendienste weitergegeben wird.