Freigeben über

  • Artikel

Informationen zu Gatewayservern in Operations Manager

 

Betrifft: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

In System Center 2012 – Operations Manager muss eine gegenseitige Authentifizierung zwischen Agents und Verwaltungsserver erfolgen, bevor ein Informationsaustausch zwischen den Komponenten möglich ist. Damit das Authentifizierungsverfahren zwischen den beiden Komponenten sicher ausgeführt werden kann, erfolgt es verschlüsselt. Wenn sich Agent und Verwaltungsserver in der gleichen Active Directory-Domäne oder in Active Directory-Domänen befinden, zwischen denen Vertrauensbeziehungen eingerichtet wurden, können die durch Active Directory verfügbaren Kerberos V5-Authentifizierungsmechnismen verwendet werden. Wenn sich Agents und Verwaltungsserver nicht innerhalb der gleichen Vertrauensgrenze befinden, müssen andere Mechanismen genutzt werden, um die Anforderung einer sicheren gegenseitigen Authentifizierung zu erfüllen.

In Operations Manager kann dies über die Nutzung von X.509-Zertifikaten erfolgen, die für jeden Computer ausgegeben werden. Wenn viele Computer durch Agents überwacht werden, ist der Aufwand für die Verwaltung der zahlreichen Zertifikate entsprechend hoch. Wenn zwischen den Agents und den Verwaltungsservern eine Firewall installiert ist, müssen zusätzlich mehrere autorisierte Endpunkte definiert und in den Firewallregeln verwaltet werden, damit eine Kommunikation zwischen den Komponenten möglich ist.

Mithilfe der Operations Manager-Serverrolle „Gatewayserver“ kann dieser Verwaltungsaufwand reduziert werden. Gatewayserver werden innerhalb der Vertrauensgrenze der Agents implementiert und können in die obligatorische gegenseitige Authentifizierung einbezogen werden. Da sie sich innerhalb der gleichen Vertrauensgrenze wie die Agents befinden, wird das Kerberos V5-Protokoll für Active Directory zwischen den Agents und dem Gatewayserver genutzt. Eine Kommunikation der einzelnen Agents erfolgt dann nur mit den Gatewayservern, die für sie „sichtbar“ sind. Zwischen Gatewayservern und den Verwaltungsservern findet eine Kommunikation statt.

Zur Unterstützung der obligatorischen sicheren gegenseitigen Authentifizierung zwischen den Gatewayservern und den Verwaltungsservern müssen zwar Zertifikate ausgegeben und installiert werden, jedoch nur für die Gateway- und die Verwaltungsserver. Die Anzahl der erforderlichen Zertifikate wird auf diese Weise reduziert, und im Fall einer zwischengeschalteten Firewall wird die Anzahl der in den Firewallregeln zu definierenden autorisierten Endpunkte ebenfalls vermindert. In der folgenden Abbildung werden die Authentifizierungsbeziehungen in einer Verwaltungsgruppe unter Verwendung eines Gatewayservers erläutert.

Authentifizierung mit Gatewayserver

Informationen zum Installieren eines Gatewayservers finden Sie unter Bereitstellen eines Gatewayservers im Bereitstellungshandbuch.