Installieren eines Gatewayservers

Wichtig

Diese Version von Operations Manager hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Operations Manager 2022 durchzuführen.

Gatewayserver werden in der Regel verwendet, um die Überwachung von Clientcomputern zu ermöglichen, die sich außerhalb der Kerberos-Vertrauensstellungsgrenze von Verwaltungsgruppen befinden. Sie können jedoch auch innerhalb derselben Domäne verwendet werden, wenn es erforderlich ist, die Umgebung aufgrund der Netzwerksegmentierung aufzuteilen oder "weit entfernte" Agents eine Verbindung mit der Verwaltungsgruppe herzustellen.

Agents kommunizieren direkt mit dem Gatewayserver, und der Gatewayserver kommuniziert mit mindestens einem Verwaltungsserver. Mehrere Gatewayserver können in einer einzelnen Domäne platziert werden, sodass die Agents ein Failover von einem zum anderen ausführen können, wenn sie die Kommunikation mit ihrem primären Gateway verlieren. Ebenso kann ein einzelner Gatewayserver für ein Failover zwischen Verwaltungsservern konfiguriert werden, sodass in der Kommunikationskette kein Single Point of Failure vorhanden ist. Der Gatewayserver fungiert als Proxy für die Agent-zu-Verwaltungsserver-Kommunikation, sodass nur ein Port zwischen Netzwerken anstelle von vielen geöffnet werden kann. Zertifikate müssen verwendet werden, um die Identität jedes Computers außerhalb der Kerberos-Vertrauensgrenze festzulegen. Ohne Zertifikate stellen die Systeme möglicherweise eine Verbindung her, verweigern jedoch die Kommunikation, da die Verbindung nicht authentifiziert werden kann.

Bevor Sie fortfahren, stellen Sie sicher, dass Ihr Server die Mindestsystemanforderungen für System Center – Operations Manager erfüllt. Weitere Informationen finden Sie unter Systemanforderungen für System Center Operations Manager.

Hinweis

Wenn Ihre Sicherheitsrichtlinien TLS 1.0 und 1.1 einschränken, schlägt die Installation einer neuen Operations Manager 2016-Gatewayserverrolle fehl, da die Setupmedien die Updates zur Unterstützung von TLS 1.2 nicht enthalten. Diese Rolle kann nur installiert werden, indem TLS 1.0 auf dem System aktiviert, Update Rollup 4 angewendet und dann TLS 1.2 auf dem System aktiviert wird. Diese Einschränkung gilt nicht für Operations Manager Version 1801.

Voraussetzungen

Es gibt drei wichtige Dinge, die wir bereit und eingerichtet haben müssen, bevor wir mit der Installation der Gatewayrolle in einem Standardszenario fortfahren können:

1. Zertifikate müssen für das Gateway und die Verwaltungsserver generiert und in den Zertifikatspeichern installiert werden.
   • Wenn das Gateway und die Clientserver in einem Arbeitsgruppenszenario verwendet werden, benötigen die Clients auch Zertifikate.
2. Der beabsichtigte Gatewayserver muss "Genehmigt" sein, um ein Gateway innerhalb der Verwaltungsgruppe vor der Installation zu sein.
3. Port 5723 muss zwischen dem Gateway und dem Verwaltungsserver geöffnet werden, wie im Folgenden beschrieben: Konfigurieren einer Firewall für Operations Manager

Zertifikate und Namensauflösung

1. Die Bereitstellung von Gatewayservern in Domänen ohne bidirektionale transitive Vertrauensstellung oder in einer Arbeitsgruppe erfordert die Verwendung von Zertifikaten für die Authentifizierung. Der primäre Verwaltungsserver und der Failoververwaltungsserver benötigen zusätzlich zu dem Gateway, das eine Verbindung mit ihnen herstellt. Diese Zertifikate können von einer Microsoft Certificate Services-Zertifizierungsstelle oder einer Drittanbieterzertifizierungsstelle stammen, wenn sie für Operations Manager ordnungsgemäß konfiguriert sind. Wenn Sie Hilfe beim Erstellen dieser Zertifikate benötigen, verwenden Sie den folgenden Leitfaden: Abrufen eines Zertifikats für die Verwendung mit Windows-Servern und System Center Operations Manager

   Hinweis

   • Gatewayserver, die sich in derselben Domäne oder in einer gemeinsamen Vertrauensstellungsgrenze wie die Verwaltungsgruppe befinden, erfordern keine Zertifikate.
   • Wenn sich das Gateway und die Agents in einer Arbeitsgruppe befinden, benötigen wir Zertifikate für jeden Verwaltungsserver, jedes Gateway und jeden Clientcomputer, die überwacht werden, da keine Domäne innerhalb einer Arbeitsgruppe vorhanden ist, um die Authentifizierung von Systemen zu ermöglichen.

2. Zwischen den vom Agent verwalteten Computern und dem Gatewayserver sowie zwischen dem Gatewayserver und dem Verwaltungsserver muss eine zuverlässige Namensauflösung vorhanden sein. Diese Namensauflösung erfolgt üblicherweise über DNS. Wenn es jedoch nicht möglich ist, die richtige Namensauflösung über DNS zu erhalten, ist es möglicherweise erforderlich, Einträge in der Hostdatei jedes Computers manuell zu erstellen.

   Wichtig

   Weiterleitungs- und Reversenamenauflösungen werden überprüft, bevor die Authentifizierung zwischen Servern erfolgt. Wenn wir beim Überprüfen der IP-Adresse einen anderen Hostnamen oder FQDN erhalten, tritt ein Fehler bei der Authentifizierung auf.

   Tipp

   Die Hostdatei befindet sich im %SystemRoot%\system32\drivers\etc Verzeichnis und enthält die Anweisungen für die Konfiguration. Dies muss in einem Editor oder einer anderen Anwendung bearbeitet werden, die als Administrator ausgeführt wird.

Registrieren des Gateways bei der Verwaltungsgruppe

Um spätere Probleme zu vermeiden, ist es wichtig, den beabsichtigten Gatewaycomputer vor der Installation als Gateway zu registrieren und zu genehmigen. Andernfalls besteht das Risiko, dass das Gateway als Agent verwendet wird.

Diese Schritte müssen von einem Verwaltungsserver ausgeführt werden, vorzugsweise von Ihrem primären oder "RMSE"-Server.

1. Im Operations Manager-Installationsmedium "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" ist eine ausführbare Datei enthalten, die im Installationsmedium unter ..\SupportTools\amd64\zu finden ist.

2. Kopieren Sie diese ausführbare Datei und die Konfigurationsdatei mit demselben Namen in den Installationspfad unter: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Öffnen Sie eine Eingabeaufforderung als Administrator, und navigieren Sie zum Operations Manager-Installationsverzeichnis. (Beispiel cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Verwenden Sie den folgenden Befehl, um das beabsichtigte Gateway als Gateway zu registrieren, stellen Sie sicher, dass Sie die Servernamen durch Ihre eigenen ersetzen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Hinweis

   Wenn Sie verhindern möchten, dass der Gatewayserver die Kommunikation mit einem Verwaltungsserver initiiert, fügen Sie den Parameter /ManagementServerInitiatesConnection=True ein, wie er im folgenden Befehl verwendet wird. Andernfalls wird die Kommunikation standardmäßig über das Gateway selbst initiiert. Dies ist hilfreich, wenn Sie den eingehenden Zugriff auf die primäre Domäne über das Netzwerk, in dem sich das Gateway befindet, verhindern möchten.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Wenn die Genehmigung erfolgreich war, wird die Nachricht The approval of server <GatewayFQDN> completed successfully. zurückgegeben.

6. Wenn Sie den Gatewayserver aus der Verwaltungsgruppe entfernen müssen, führen Sie denselben Befehl aus, ersetzen /Action=Create sie jedoch durch das /Action=Delete Flag.

7. Öffnen Sie die Ansicht „Überwachung“ in der Betriebskonsole. Wählen Sie die Ansicht „Ermitteltes Inventar“, um zu überprüfen, ob der Gatewayserver angezeigt wird. Sie sollte auch unter Verwaltung > Geräteverwaltung > Verwaltungsserver angezeigt werden können.

Installationsvorgang

Sobald der beabsichtigte Gatewayserver bei der Verwaltungsgruppe registriert ist, ist es an der Zeit, die Rolle auf dem neuen Gateway zu installieren.

Hinweis

Eine Installation schlägt beim Starten von Windows Installer fehl (z. B. beim Installieren eines Gatewayservers durch Doppelklicken auf MOMGateway.msi), wenn die lokale Sicherheitsrichtlinie "Benutzerkontensteuerung: Ausführen aller Administratoren im Admin Genehmigungsmodus" aktiviert ist.

Tipp

Wenn während der Installation Probleme auftreten, befinden sich die Protokolle hier: %LocalAppData%\SCOM\Logs

Installation mithilfe der GUI

Führen Sie die folgenden Schritte aus, um den Gatewayserver zu installieren:

1. Melden Sie sich beim Gatewayserver mit Administratorrechten an.
2. Starten Sie auf dem Operations Manager-Installationsmedium Setup.exe.
3. Wählen Sie im Bereich Installieren den Link Gatewayverwaltungsserver aus (nicht den großen Link "Installieren", am unteren Rand des Fensters).
4. Wählen Sie auf dem Begrüßungsbildschirm die Option Weiter aus.
5. Übernehmen Sie auf der Seite Zielordner den Standardwert, oder wählen Sie Ändern aus, um ein anderes Installationsverzeichnis auszuwählen, und wählen Sie Dann Weiter aus.
6. Geben Sie auf der Seite Konfiguration der Verwaltungsgruppe den Namen der Zielverwaltungsgruppe im Feld Name der Verwaltungsgruppe ein, geben Sie den Namen des Zielverwaltungsservers in das Feld Verwaltungsserver ein, überprüfen Sie, ob das Feld Verwaltungsserverport5723 ist, und wählen Sie Weiter aus.
7. Wählen Sie auf der Seite Gatewayaktionskonto die Option Lokales Systemkonto aus, es sei denn, Sie verwenden ein domänenbasiertes oder lokales computerbasiertes Gatewayaktionskonto. Wählen Sie Weiter aus.
8. Geben Sie auf der Seite Microsoft Update optional an, ob Sie Microsoft Update verwenden möchten, und wählen Sie Weiter aus. (In der Regel sollte diese Auswahl Nein sein.)
9. Wählen Sie auf der Seite Produkt kann installiert werden die Option Installieren aus.
10. Wählen Sie auf der Seite Abgeschlossendie Option Fertig stellen aus.

Installieren mithilfe der Eingabeaufforderung

Führen Sie die folgenden Schritte aus, um den Gatewayserver über die Eingabeaufforderung zu installieren:

1. Melden Sie sich beim Gatewayserver mit Administratorrechten an.
2. Öffnen Sie mithilfe der Option Als Administrator ausführen ein Eingabeaufforderungsfenster.
3. Führen Sie den folgenden Befehl aus, wobei path\to\Installer der Pfad des Installationsmediums ist. Die MOMGateway.msi finden Sie im Operations Manager-Installationsmedium unter ..\gateway\amd64\.

Tipp

Die ^-Zeichen sollen eine mehrzeilige Eingabe in das Konsolenfenster und eine einfachere Bearbeitung ermöglichen. Wenn dies in Ihrer Umgebung nicht funktioniert, entfernen Sie die ^-Zeichen, und bearbeiten Sie den Befehl so, dass er sich in einer Zeile befindet.

Wenn Sie LocalSystem als Aktionskonto verwenden:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Wenn Sie einen Domänenbenutzer als Aktionskonto verwenden:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Wichtig

Das Kennwort des Aktionskontos darf keine "unzulässigen" Zeichen in der Eingabeaufforderung enthalten, z. B.: & < > ( ) @ ^ | ". Wenn dies der Fall ist, schlägt die Installation fehl, da die Zeichenfolge nicht analysiert werden kann, das Kennwort so geändert werden kann, dass es diese Zeichen nicht enthält, und es dann in doppelte Anführungszeichen innerhalb des Befehls selbst umschließt.

Importieren von Zertifikaten mit dem MOMCertImport.exe-Tool

Führen Sie diesen Vorgang auf jedem Gateway und Verwaltungsserver sowie auf allen Clientcomputern aus, die in einer Arbeitsgruppe mit einem Agent verwaltet werden sollen.

1. Stellen Sie sicher, dass die Zertifikate installiert sind, bevor Sie fortfahren.
2. Suchen Sie die dateiMOMCertImport.exe auf dem Installationsmedium unter ..\SupportTools\amd64\
3. Kopieren Sie diese Datei in das Stammverzeichnis des Zielservers oder in das Operations Manager-Installationsverzeichnis.
   • Beispiel: %ProgramFiles%\Microsoft System Center\Operations Manager\Server
4. Öffnen Sie eine Eingabeaufforderung als Administrator, und ändern Sie das Verzeichnis in das Verzeichnis, in dem sich MOMCertImport.exe befindet.
   • Beispiel: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Führen Sie dann den Befehl MOMCertImport.exe /SubjectName subjectNameFQDNaus, wobei "subjectNameFQDN" der definierte Antragsteller für das Zertifikat ist.
   • Sie können auch ohne Argumente ausführen MOMCertImport.exe , damit Sie ein Zertifikat aus einem Popupfenster auswählen können, in dem die Zertifikate im persönlichen Speicher des lokalen Computers angezeigt werden.
6. Bei erfolgreicher Ausführung wird der Microsoft Monitoring Agent-Dienst neu gestartet, und eventID 20053 wird im Operations Manager-Ereignisprotokoll protokolliert. Wenn diese eventID nicht vorhanden ist, beachten Sie die Details einer dieser IDs bei Problemen, und nehmen Sie entsprechende Korrekturen vor: 20049,20050,20052,20066,20069,20077

Tipp

Nachdem das Zertifikat erfolgreich importiert wurde, wird hier eine gespiegelte Version des Fingerabdrucks in der Registrierung angezeigt: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurieren von Gatewayservern für das Failover zwischen Verwaltungsservern

Standardmäßig kommunizieren Gatewayserver nur mit einem Verwaltungsserver, dem primären Server. Wenn diese Verbindung unterbrochen wird, werden das Gateway und alle angeschlossenen Agents in der Konsole grau angezeigt und nicht überwacht. Wenn Sie über mehrere Verwaltungsserver verfügen, können wir dieses Problem verhindern, indem wir Verwaltungsserver konfigurieren, auf die das Gateway ein Failover ausführen kann, bis der primäre Server wieder verfügbar ist. So konfigurieren Sie ein Failover:

Wir verwenden das Cmdlet Set-SCOMParentManagementServer in der Operations Manager-Shell, wie im folgenden Beispiel gezeigt, um einen Gatewayserver für das Failover auf mehrere Verwaltungsserver zu konfigurieren. Die Befehle können in jeder Befehlsshell in der Verwaltungsgruppe ausgeführt werden.

1. Melden Sie sich bei einem Verwaltungsserver mit einem Konto an, das Mitglied der Rolle Operations Manager-Administratoren ist.

2. Führen Sie im Startmenü die Operations Manager-Shell unter dem Ordner "Microsoft System Center" aus.

3. Führen Sie in der Konsole die folgenden Befehle aus:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Hinweis

   Sie können einen Failoverserver nicht so festlegen, dass er dem primären Server entspricht, ohne den primären Server gleichzeitig oder zuerst zu ändern. Wenn Sie das primäre Element ändern und auf ein sekundäres Festlegen festlegen möchten, verwenden Sie die folgenden Befehle:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Verketten mehrerer Gatewayserver

Obwohl es ungewöhnlich ist, ist es manchmal erforderlich, mehrere Gateways miteinander zu verketten, um mehrere nicht vertrauenswürdige Grenzen hinweg zu überwachen. In diesem Abschnitt wird beschrieben, wie Mehrere Gateways miteinander verkettet werden.

Hinweis

• Sie sollten jeweils ein Gateway installieren und überprüfen, ob jedes neu installierte Gateway ordnungsgemäß konfiguriert ist und in der SCOM-Konsole als fehlerfrei angezeigt wird, bevor Sie ein weiteres Gateway zur Kette hinzufügen.
• Wenn Sie das Ende der Kette von Gateways demselben Ressourcenpool hinzufügen, konfigurieren Sie das Failover auf die andere Kette nicht mithilfe des Befehls Set-SCOMParentManagementServer . In einem solchen Szenario funktioniert der Pool nicht wie erwartet. Damit die Failoverkonfiguration und der Ressourcenpool zusammen funktionieren, sollte das Gatewayende der Kette dasselbe übergeordnete Element haben.

Zum Konfigurieren einer Gatewaykette verwenden wir das toolMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe genau wie für den anfänglichen Gatewayserver. Dieses Mal müssen wir jedoch "ManagementServerName" als Upstream Gatewayserver in der Kette festlegen. Wenn z. B. GW02 eine Verbindung mit GW01 herstellt, ist GW01 in diesem Szenario der "ManagementServer".

1. Melden Sie sich bei einem Ihrer Verwaltungsserver an, auf dem gatewayApprovalTool bereits eingerichtet ist.

2. Öffnen Sie eine Eingabeaufforderung als Administrator, und navigieren Sie zu dem Verzeichnis, in dem das Tool gespeichert ist.

3. Führen Sie dann den folgenden Befehl aus, um den Downstreamgatewayserver zu genehmigen, und stellen Sie sicher, dass Sie die Servernamen durch Ihre eigenen ersetzen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installieren Sie die Gatewayrolle auf einem neuen Server.

5. Konfigurieren Sie die Zertifikate zwischen GW01 und GW02 auf die gleiche Weise, wie Sie Zertifikate zwischen einem Gateway und einem Verwaltungsserver konfigurieren würden. Der Integritätsdienst kann jeweils nur ein einziges Zertifikat laden und verwenden. Daher wird ein und dasselbe Zertifikat vom übergeordneten und untergeordneten Gateway innerhalb der Kette verwendet.

Nächste Schritte

Informationen zur Reihenfolge und den Schritten zum Installieren der Operations Manager-Serverrollen auf mehreren Servern in Ihrer Verwaltungsgruppe finden Sie unter Verteilte Bereitstellung von Operations Manager.