Installieren eines Gatewayservers

Gatewayserver werden in der Regel verwendet, um die Überwachung von Clientcomputern zu ermöglichen, die sich außerhalb der Kerberos-Vertrauensgrenze von Verwaltungsgruppen befinden. Sie können jedoch auch innerhalb derselben Domäne verwendet werden, wenn die Umgebung aufgrund einer Netzwerksegmentierung aufgeteilt werden muss oder wenn „weit entfernte“ Agenten eine Verbindung zur Verwaltungsgruppe herstellen sollen.

Agenten kommunizieren direkt mit dem Gatewayserver, und der Gatewayserver kommuniziert mit einem oder mehreren Verwaltungsservern. Mehrere Gateway-Server können in einer einzigen Domäne platziert werden, so dass die Agenten von einem zum anderen überwechseln können, wenn sie die Kommunikation mit ihrem primären Gateway verlieren. In ähnlicher Weise kann ein einzelner Gateway-Server so konfiguriert werden, dass er zwischen den Verwaltungsservern wechselt, so dass es in der Kommunikationskette keinen einzigen Ausfallpunkt gibt. Der Gatewayserver fungiert als Proxy für die Kommunikation zwischen Agent-zu-Verwaltunsservern, sodass nur ein Port zwischen Netzwerken anstelle von vielen geöffnet werden kann. Es müssen Zertifikate verwendet werden, um die Identität der einzelnen Computer einzurichten, wenn sie sich außerhalb der Kerberos-Vertrauensgrenze befinden. Ohne Zertifikate können die Systeme zwar eine Verbindung herstellen, aber die Kommunikation verweigern, da die Verbindung nicht authentifiziert werden kann.

Bevor Sie fortfahren, stellen Sie sicher, dass Ihr Server die Mindestsystemanforderungen für System Center – Operations Manager erfüllt. Weitere Informationen finden Sie unter Systemanforderungen für System Center Operations Manager.

Hinweis

Wenn Ihre Sicherheitsrichtlinien TLS 1.0 und 1.1 einschränken, schlägt die Installation einer neuen Operations Manager 2016-Gatewayserverrolle fehl, da die Setupmedien nicht die Updates zur Unterstützung von TLS 1.2 enthalten. Sie können diese Funktion nur installieren, indem Sie TLS 1.0 auf dem System aktivieren, Update Rollup 4 anwenden und dann TLS 1.2 auf dem System aktivieren.

Voraussetzungen

Bevor wir mit der Installation der Gateway-Rolle in einem Standardszenario fortfahren, müssen drei wichtige Dinge vorbereitet und eingerichtet werden:

1. Zertifikate müssen für das Gateway und die Management Server generiert und in den Zertifikatspeichern installiert werden.
   • Wenn das Gateway und die Clientcomputer in einem Arbeitsgruppenszenario verwendet werden, benötigen die Clients auch Zertifikate.
2. Der beabsichtigte Gatewayserver muss vor der Installation als Gateway innerhalb der Verwaltungsgruppe „Genehmigt“ sein.
3. Port 5723 muss zwischen dem Gateway und dem Verwaltungsserver geöffnet werden, wie in der Anleitung hier definiert: Konfiguration einer Firewall für Operations Manager

Zertifikate und Namensauflösung

1. Die Bereitstellung von Gatewayservern in Domänen ohne eine bidirektionale transitive Vertrauensstellung oder in einer Arbeitsgruppe erfordert die Verwendung von Zertifikaten für die Authentifizierung. Der primäre und der Ausfallsicherungs- Verwaltungsserver benötigen zusätzlich zu dem Gateway, das eine Verbindung zu ihnen herstellt, einen weiteren. Diese Zertifikate können von einer Zertifizierungsstelle für Microsoft-Zertifikatdienste CA oder einer Zertifizierungsstelle eines Drittanbieters stammen, sofern diese für Operations Manager ordnungsgemäß konfiguriert sind. Wenn Sie Hilfe bei der Erstellung dieser Zertifikate benötigen, verwenden Sie den Leitfaden hier: Erstellen eines Zertifikats zur Verwendung mit Windows Servern und System Center Operations Manager

   Hinweis

   • Gatewayserver, die sich in derselben Domäne oder in einer gemeinsamen Vertrauensgrenze befinden wie die Verwaltungsgruppe, erfordern keine Zertifikate.
   • Wenn sich das Gateway und die Agenten in einer Arbeitsgruppe befinden, benötigen wir Zertifikate für jeden Verwaltungsserver, jedes Gateway und jeden Client-Computer, der überwacht werden soll, da es innerhalb einer Arbeitsgruppe keine Domäne gibt, die die Authentifizierung der Systeme erleichtert.

2. Zuverlässige Namensauflösung muss zwischen den vom Agent verwalteten Computern und dem Gatewayserver und zwischen dem Gatewayserver und dem Verwaltungsserver vorhanden sein. Diese Namensauflösung erfolgt in der Regel über DNS. Wenn es jedoch nicht möglich ist, die richtige Namensauflösung über DNS zu erhalten, ist es möglicherweise erforderlich, Einträge in der Hostdatei der einzelnen Computer manuell zu erstellen.

   Wichtig

   Weiterleitungs- und Reversenamenauflösungen werden überprüft, bevor die Authentifizierung zwischen Servern übergeben wird. Wenn beim Überprüfen der IP-Adresse ein anderer Hostname oder ein anderer FQDN empfangen wird, schlägt die Authentifizierung fehl.

   Tipp

   Die Hostdatei befindet sich im %SystemRoot%\system32\drivers\etc-Verzeichnis und enthält die Anweisungen für die Konfiguration. Dies muss in einem Editor oder einer anderen Anwendung bearbeitet werden, die als Administrator ausgeführt wird.

Registrieren des Gateways bei der Verwaltungsgruppe

Um spätere Probleme zu vermeiden, ist es wichtig, den vorgesehenen Gateway-Rechner vor der Installation als Gateway zu registrieren und zu genehmigen, da sonst die Gefahr besteht, dass der Gateway als Agent erkannt wird.

Diese Schritte müssen von einem Verwaltungsserver ausgeführt werden, vorzugsweise von Ihrem primären oder „RMSE"-Server.

1. Es gibt eine ausführbare Datei, die in den Operations Manager-Installationsmedien mit dem Namen „Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" enthalten ist, die sich auf den Installationsmedien befindet unter ..\SupportTools\amd64\.

2. Kopieren Sie diese ausführbare Datei und die Konfigurationsdatei mit demselben Namen in den Installationspfad unter: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Öffnen Sie eine Eingabeaufforderung als Admin, und navigieren Sie zum Installationsverzeichnis des Operations Manager. (Beispiel cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Verwenden Sie den folgenden Befehl, um das gewünschte Gateway als ein solches zu registrieren und die Servernamen durch Ihre eigenen zu ersetzen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Hinweis

   Wenn Sie verhindern möchten, dass der Gateway-Server die Kommunikation mit einem Verwaltungsserver initiiert, fügen Sie den Parameter /ManagementServerInitiatesConnection=True ein, wie im folgenden Befehl verwendet. Andernfalls wird die Kommunikation standardmäßig vom Gateway selbst initiiert. Dies ist hilfreich, wenn Sie den eingehenden Zugriff auf die primäre Domäne aus dem Netzwerk verhindern möchten, in dem sich das Gateway befindet.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Wenn die Genehmigung erfolgreich ist, wird die Nachricht The approval of server <GatewayFQDN> completed successfully. zurückgemeldet.

6. Wenn Sie den Gateway-Server aus der Verwaltungsgruppe entfernen müssen, führen Sie denselben Befehl aus, ersetzen aber das Kennzeichen /Action=Delete durch /Action=Create.

7. Öffnen Sie die Betriebskonsole in der Überwachungsansicht. Wählen Sie die Ansicht „Erkanntes Inventar“ aus, um zu sehen, ob der Gateway-Server vorhanden ist. Sie sollte auch unter Verwaltung > Geräteverwaltung > Verwaltungsservern angezeigt werden.

Installationsvorgang

Sobald der beabsichtigte Gatewayserver bei der Verwaltungsgruppe registriert ist, ist es an der Zeit, die Rolle auf dem neuen Gateway zu installieren.

Hinweis

Eine Installation schlägt beim Starten von Windows Installer fehl (z. B. die Installation eines Gateway-Servers durch Doppelklicken auf MOMGateway.msi), wenn die lokale Sicherheitsrichtlinie „Benutzerkontensteuerung: Alle Admins im Admin-Genehmigungsmodus ausführen“ aktiviert ist.

Tipp

Wenn während der Installation Probleme auftreten, befinden sich die Protokolle hier: %LocalAppData%\SCOM\Logs

Installieren mit der GUI

Um einen Gatewayserver zu installieren, führen Sie folgende Schritte aus:

1. Melden Sie sich mit Administratorrechten beim Gatewayserver an.
2. Starten Sie auf dem Operations Manager-Installationsmedium Setup.exe.
3. Wählen Sie im Bereich Installation den Link Gateway Management Server (nicht den langen Link „Installieren“ am unteren Rand des Fensters).
4. Wählen Sie auf dem Begrüßungsbildschirm die Option Weiter aus.
5. Übernehmen Sie auf der Seite Zielordner die Standardeinstellung oder wählen Sie Ändern aus, um ein anderes Installationsverzeichnis auszuwählen, und wählen Sie Weiter aus.
6. Geben Sie auf der Seite Verwaltungsgruppenkonfiguration den Namen der Zielverwaltungsgruppe in das Feld Name der Verwaltungsgruppe ein, geben Sie den Namen des Zielverwaltungsservers in das Feld Verwaltungsserver ein, stellen Sie sicher, dass das Feld Port des Verwaltungsservers 5723 lautet, und wählen Sie Weiter aus.
7. Wählen Sie auf der Seite Gateway-Aktionskonto die Option Lokales System aus, es sei denn, Sie verwenden ein auf einer Domäne oder einem lokalen Computer basierendes Gateway-Aktionskonto. Wählen Sie Weiter aus.
8. Geben Sie auf der Seite Microsoft Update optional an, ob Sie Microsoft Update verwenden möchten, und wählen Sie Next. (In der Regel sollte diese Auswahl Nein sein.)
9. Wählen Sie auf der Seite InstallationsbereitInstallierenaus.
10. Wählen Sie auf der Seite Abschließen die Option Fertigstellen aus.

Installation über die Eingabeaufforderung

Führen Sie die folgenden Schritte aus, um den Gatewayserver über die Eingabeaufforderung zu installieren:

1. Melden Sie sich mit Administratorrechten beim Gatewayserver an.
2. Öffnen Sie mithilfe von Als Administrator ausführen ein neues Eingabeaufforderungsfenster.
3. Führen Sie den folgenden Befehl aus, wobei path/to/Installer der Pfad des Installationsmediums ist. MOMGateway.msi“ ist in den Operations Manager-Installationsmedien zu finden unter ..\gateway\amd64\.

Tipp

Die ^-Zeichen sollen eine mehrzeilige Eingabe in das Konsolenfenster ermöglichen und die Bearbeitung erleichtern. Wenn dies in Ihrer Umgebung nicht funktioniert, entfernen Sie die ^-Zeichen und bearbeiten Sie den Befehl so, dass er in einer Zeile steht.

Wenn Sie LocalSystem als Aktionskonto verwenden:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Wenn Sie einen Domänenbenutzer als Aktionskonto verwenden:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Wichtig

Das Kennwort des Aktionskontos darf in der Eingabeaufforderung keine „unzulässigen" Zeichen enthalten, wie: & < > ( ) @ ^ | ". Wenn dies der Fall ist, schlägt die Installation fehl, da es nicht möglich ist, die Zeichenfolge zu analysieren. Das Kennwort muss so geändert werden, dass es diese Zeichen nicht enthält, und es muss dann im Befehl selbst in Anführungszeichen gesetzt werden.

Importieren von Zertifikaten mit dem tool MOMCertImport.exe

Führen Sie diesen Vorgang auf jedem Gateway- und Verwaltungsserver zusammen mit allen Clientcomputern aus, die in einer Arbeitsgruppe als Agent verwaltet werden sollen.

1. Stellen Sie sicher, dass die Zertifikate installiert sind, bevor Sie fortfahren
2. Suchen Sie die MOMCertImport.exe-Datei in den Installationsmedien unter ..\SupportTools\amd64\
3. Kopieren Sie diese Datei in das Stammverzeichnis des Zielservers oder in das Operations Manager-Installationsverzeichnis.
   • Beispiel: %ProgramFiles%\Microsoft System Center\Operations Manager\Server
4. Öffnen Sie eine Eingabeaufforderung als Admin, und ändern Sie das Verzeichnis in das, wo sich MOMCertImport.exe befindet.
   • Beispiel: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Führen Sie dann den Befehl MOMCertImport.exe /SubjectName subjectNameFQDNaus, wobei „subjectNameFQDN" der definierte Betreff des Zertifikats ist.
   • Sie können MOMCertImport.exe auch ohne Argumente ausführen, damit Sie ein Zertifikat aus einem Popup-Fenster auswählen können, das die Zertifikate im persönlichen Speicher des lokalen Computers anzeigt.
6. Bei Erfolg wird der Microsoft Monitoring Agent-Dienst neu gestartet und eventID 20053 im Ereignisprotokoll von Operations Manager protokolliert. Wenn diese EventID nicht vorhanden ist, überprüfen Sie die Details einer dieser IDs auf etwaige Probleme und nehmen Sie entsprechende Korrekturen vor: 20049,20050,20052,20066,20069,20077

Tipp

Nachdem das Zertifikat erfolgreich importiert wurde, können Sie hier eine gespiegelte Version des Fingerabdrucks in der Registrierung sehen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurieren von Gatewayservern für die Ausfallsicherung zwischen Verwaltungsservern

Standardmäßig kommunizieren Gatewayserver nur mit einem Verwaltungsserver, der primär ist. Wenn diese Verbindung verloren geht, werden das Gateway und alle angeschlossenen Agenten in der Konsole als grau angezeigt und nicht mehr überwacht. Wenn Sie mehrere Verwaltungsserver haben, können wir dieses Problem verhindern, indem wir Verwaltungsserver konfigurieren, auf die das Gateway ausweichen kann, bis der primäre Server wieder verfügbar ist. Konfigurieren einer DHCP-Ausfallsicherung:

Wir verwenden das Cmdlet Set-SCOMParentManagementServer in der Operations Manager-Shell, wie im folgenden Beispiel gezeigt, um einen Gateway-Server so zu konfigurieren, dass ein Ausfallsicherung für mehrere Verwaltungsserver erfolgt. Die Befehle können über jede Befehlsshell in der Verwaltungsgruppe ausgeführt werden.

1. Melden Sie sich am Computer mit einem Konto an, das Mitglied der Administratorrolle von Operations Manager ist.

2. Führen Sie im Startmenü Operations Manager-Shell unter dem Ordner „Microsoft System Center" aus.

3. Führen Sie auf der Konsole die folgenden Befehle aus:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Hinweis

   Sie können einen Ausfallsicherungsserver nicht so einstellen, dass er mit dem Primärserver identisch ist, ohne gleichzeitig oder zuerst den Primärserver zu ändern. Wenn Sie den Primärserver ändern und auf einen Sekundärserver umstellen möchten, verwenden Sie die folgenden Befehle:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Verketten mehrerer Gatewayserver

Es ist zwar ungewöhnlich, aber manchmal ist es notwendig, mehrere Gateways miteinander zu verbinden, um über mehrere nicht vertrauenswürdige Grenzen hinweg zu überwachen. In diesem Abschnitt wird beschrieben, wie mehrere Gateways miteinander verkettet werden.

Hinweis

• Sie sollten jeweils ein Gateway installieren und überprüfen, ob jedes neu installierte Gateway ordnungsgemäß konfiguriert ist und in der SCOM-Konsole als fehlerfrei angezeigt wird, bevor Sie der Kette ein weiteres Gateway hinzufügen.
• Wenn Sie das Gatewayende der Kette zum gleichen Ressourcenpool hinzufügen, konfigurieren Sie die Ausfallsicherung nicht mithilfe des Befehls Set-SCOMParentManagementServer. In einem solchen Szenario funktioniert der Pool nicht wie erwartet. Damit die Ausfallsicherungskonfiguration und der Ressourcenpool zusammen funktionieren, sollte das Gateway-Ende der Kette denselben übergeordneten Rechner haben.

Um eine Gateway-Kette zu konfigurieren, verwenden wir das Tool Microsoft.EnterpriseManagement.GatewayApprovalTool.exe, wie wir es auch für den ersten Gateway-Server getan haben. Dieses Mal müssen wir jedoch den „ManagementServerName" als upstream-Gatewayserver in der Kette festlegen. Wenn GW02 beispielsweise eine Verbindung mit GW01 herstellt, ist GW01 der „Verwaltungsserver" in diesem Szenario.

1. Melden Sie sich auf einem Ihrer Verwaltungsserver an, auf dem das GatewayApprovalTool Setup bereits eingerichtet ist.

2. Öffnen Sie eine Eingabeaufforderung als Admin und navigieren Sie zum Tool.

3. Führen Sie dann den folgenden Befehl aus, um den nachgeschalteten Gateway-Server zu genehmigen, und achten Sie darauf, dass Sie die Servernamen durch Ihre eigenen ersetzen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installieren Sie die Gatewayrolle auf einem neuen Server.

5. Konfigurieren Sie die Zertifikate zwischen GW01 und GW02 auf die gleiche Weise wie Zertifikate zwischen einem Gateway- und einem Verwaltungsserver. Die Integritätsdienst kann nur ein einzelnes Zertifikat laden und verwenden. Daher wird dasselbe Zertifikat vom übergeordneten und untergeordneten Element des Gateways in der Kette verwendet.

Nächste Schritte

Um die Reihenfolge und die Schritte für die Installation der Operations Manager-Serverrollen auf mehreren Servern in Ihrer Verwaltungsgruppe zu verstehen, siehe Verteilte Bereitstellung von Operations Managern.