Freigeben über


Konfigurieren und Verwenden der Active Directory-Integration für die Agent-Zuweisung

Mit System Center Operations Manager können Sie die Vorteile Ihrer Investition in Active Directory Domain Services (AD DS) nutzen, indem Sie diese dazu verwenden, von Agenten verwaltete Computer Verwaltungsgruppen zuzuweisen. Dieser Artikel hilft Ihnen bei der Erstellung und Verwaltung der Konfiguration des Containers in Active Directory und bei der Zuweisung der Verwaltungsserver, an die die Agenten berichten sollen.

Erstellen eines Active Directory-Domänendienste-Containers für eine Verwaltungsgruppe

Sie können die folgende Befehlszeilensyntax und -prozedur verwenden, um einen Active Directory Domain Service (AD DS)-Container für eine System Center - Operations Manager-Verwaltungsgruppe zu erstellen. MOMADAdmin.exe wird zu diesem Zweck bereitgestellt und mit dem Operations Manager-Verwaltungsserver installiert. MOMADAdmin.exe muss von einem Administrator der angegebenen Domäne ausgeführt werden.

Befehlszeilensyntax

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Wichtig

Sie müssen einen Wert in Anführungszeichen setzen, wenn der Wert ein Leerzeichen enthält.

  • ManagementGroupName ist der Name der Verwaltungsgruppe, für die ein AD-Container erstellt wird.

  • MOMAdminSecurityGroup ist eine Domänensicherheitsgruppe im Format domain\security_group, die ein Mitglied der Sicherheitsrolle Operations Managers Administrators für die Verwaltungsgruppe ist.

  • RunAsAccount: Dies ist das Domänenkonto, das vom Verwaltungsserver zum Lesen, Schreiben und Löschen von Objekten im AD verwendet wird. Verwenden Sie das Format Domäne\Benutzername.

  • Domäne ist der Name der Domäne, in der der Verwaltungsgruppencontainer erstellt wird. MOMADAdmin.exe können nur dann über Domänen hinweg ausgeführt werden, wenn zwischen ihnen eine bidirektionale Vertrauensstellung vorhanden ist.

Damit die Active Directory-Integration funktioniert, muss die Sicherheitsgruppe entweder eine globale Sicherheitsgruppe sein (wenn die Active Directory-Integration in mehreren Domänen mit wechselseitigen Vertrauensstellungen funktionieren soll) oder eine lokale Domänengruppe (wenn die Active Directory-Integration nur in einer Domäne verwendet wird).

Wenn Sie der Gruppe „Operations Manager-Administratoren" eine Sicherheitsgruppe hinzufügen möchten, führen Sie das folgende Verfahren aus.

  1. Wählen Sie in der Betriebskonsole Verwaltung aus.

  2. Wählen Sie im Arbeitsbereich Verwaltung die Option Benutzerrollen unter Sicherheit aus.

  3. Wählen Sie unter Benutzerrollen den Eintrag Operationsmanager-Administratoren und wählen Sie die Aktion Eigenschaften oder klicken Sie mit der rechten Maustaste auf Operationsmanager-Administratoren und wählen Sie Eigenschaften.

  4. Wählen Sie Hinzufügen aus, um den Dialog Gruppe auswählen zu öffnen.

  5. Wählen Sie die gewünschte Sicherheitsgruppe und dann OK aus, um das Dialogfeld zu schließen.

  6. Wählen Sie OK aus, um Benutzerrollen Eigenschaften zu schließen.

Hinweis

Es wird eine Sicherheitsgruppe empfohlen, die möglicherweise mehrere Gruppen enthält, für die Rolle "Operations Manager-Administratoren" verwendet werden. Auf diese Weise können Gruppen und Mitglieder von Gruppen hinzugefügt und aus Gruppen entfernt werden, ohne dass ein Domänenadministrator manuelle Schritte durchführen muss, um ihnen Lese- und Löschberechtigungen für den Verwaltungsgruppen-Container zuzuweisen.

Verwenden Sie das folgende Verfahren, um einen AD DS Container zu erstellen:

  1. Öffnen Sie als Administrator eine Eingabeaufforderung.

  2. Geben Sie in die Eingabeaufforderung beispielsweise Folgendes ein:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Hinweis

Der Standardpfad lautet: C:\Programme\Microsoft System Center 2016\Operations Manager

Hinweis

Der derzeitige Standardpfad lautet: C:\Programme\Microsoft System Center\Operations Manager.

  1. IDas vorangehende Befehlszeilenbeispiel wird:

    1. Führen Sie das Dienstprogramm MOMADAdmin.exe über die Befehlszeile aus.

    2. Erstellen Sie den „Message Ops“ Management Group AD DS Container im AD DS Schemastamm der MessageDom Domäne. Um die gleiche Verwaltungsgruppe AD DS-Container in weiteren Domänen zu erstellen, führen Sie MOMADAdmin.exe für jede Domäne aus.

    3. Fügen Sie das Domänenbenutzerkonto MessageDom\MessageADIntAcct zur AD DS-Sicherheitsgruppe MessageDom\MessageOMAdmins hinzu und weisen Sie der AD DS-Sicherheitsgruppe die für die Verwaltung des AD DS-Containers erforderlichen Rechte zu.

Verwenden von Active Directory-Domäne Services zum Zuweisen von Computern zu Verwaltungsservern

Der Operations Manager-Assistent für Agent-Zuweisung und Ausfallsicherung erstellt eine Agent-Zuweisungsregel, die Active Directory Domain Services (AD DS) verwendet, um Computer einer Verwaltungsgruppe zuzuweisen und den primären Verwaltungsserver und die sekundären Verwaltungsserver der Computer zuzuweisen. Führen Sie zum Ausführen des Assistenten das folgende Verfahren aus:

Wichtig

Der Container der Active Directory-Domänendienste für die Verwaltungsgruppe muss vor der Ausführung des Assistenten für Agentenzuweisung und Ausfallsicherung erstellt werden.

Der Agentenzuweisungs- und Ausfallsicherungs-Assistent stellt den Agenten nicht bereit. Sie müssen den Agenten manuell mithilfe von MOMAgent.msi auf den Computern bereitstellen.

Eine Änderung der Agentenzuweisungsregel kann dazu führen, dass Computer nicht mehr der Verwaltungsgruppe zugewiesen und damit auch nicht mehr von ihr überwacht werden. Der Zustand dieser Computer ändert sich in "kritisch", da die Computer keine Takte mehr an die Verwaltungsgruppe senden. Diese Computer können aus der Verwaltungsgruppe gelöscht werden, und wenn der Computer anderen Verwaltungsgruppen nicht zugewiesen ist, kann der Operations Manager-Agent deinstalliert werden.

Starten des Operations Manager-Agent-Zuweisungs- und Failover-Assistenten

  1. Melden Sie sich am Computer mit einem Konto an, das Mitglied der Administratorrolle von Operations Manager ist.

  2. Wählen Sie in der Betriebskonsole Verwaltung.

  3. Wählen Sie im Arbeitsbereich Verwaltung die Option Management Server.

  4. Klicken Sie im Bereich Verwaltungsserver mit der rechten Maustaste auf den Verwaltungsserver oder den Gateway-Server, der als Primärer Verwaltungsserver für die Computer dienen soll, die von den Regeln zurückgemeldet werden, die Sie im folgenden Verfahren erstellen, und wählen Sie dann Eigenschaften.

    Hinweis

    Gatewayserver funktionieren wie Verwaltungsserver in diesem Kontext.

  5. Wählen Sie im Dialogfeld Eigenschaften des Management-Servers die Registerkarte Automatische Agentenzuweisung und wählen Sie dann Hinzufügen, um den Assistenten für Agentenzuweisung und Failover zu starten.

  6. Wählen Sie im Agentenzuweisungs- und Ausfallsicherungs-Assistenten auf der Seite Einführung die Option Weiter aus.

    Hinweis

    Die Seite Einführung wird nicht angezeigt, wenn der Assistent ausgeführt wurde und Diese Seite nicht mehr anzeigen gewählt wurde.

  7. Gehen Sie auf der Seite Domain wie folgt vor:

    Hinweis

    Um Computer aus mehreren Domänen einer Verwaltungsgruppe zuzuweisen, führen Sie den Agentenzuweisungs- und Ausfallsicherungs-Assistenten für jede Domäne aus.

    • Wählen Sie die Domäne der Computer aus der Dropdown-Liste Domänenname aus. Der Verwaltungsserver und alle Computer im AD-Agent-Zuordnungsressourcenpool müssen in der Lage sein, den Domänennamen aufzulösen.

      Wichtig

      Der Verwaltungsserver und die Computer, die Sie verwalten möchten, müssen bidirektionale vertrauenswürdige Domänen sein.

    • Setzen Sie „Ausführen als“-Profil auf das "Ausführen als"-Profil, das mit dem "Ausführen als"-Konto verknüpft ist, das beim Ausführen von MOMADAdmin.exe für die Domäne angegeben wurde. Das Standardkonto, das zum Ausführen der Agentenzuweisung verwendet wird, ist das Standardaktionskonto, das während des Setups angegeben wird, auch als Active Directory-basiertes Agenten-Zuweisungskonto bezeichnet. Dieses Konto stellt Anmeldeinformationen dar, die beim Herstellen einer Verbindung mit dem Active Directory der angegebenen Domäne und dem Ändern von Active Directory-Objekten verwendet werden, und sollte mit dem Konto übereinstimmen, das beim Ausführen von MOMAdmin.exe angegeben wurde. Wenn dies nicht das Konto war, das zum Ausführen von MOMADAdmin.exe verwendet wurde, wählen Sie Ein anderes Konto für die Agent-Zuweisung in der angegebenen Domäne verwenden, und wählen oder erstellen Sie dann das Konto aus der Dropdown-Liste Auswahl von Ausführen-als-Profil. Das Profil Active Directory Based Agent Assignment Account muss so konfiguriert werden, dass ein Operations Manager-Administratorkonto verwendet wird, das auf alle Server im AD Agent Assignment-Ressourcenpool verteilt wird.

      Hinweis

      Weitere Informationen zu „Ausführen-als"-Profilen und „Ausführen-als"-Konten finden Sie unter Verwalten von „Ausführen-als"-Konten und -Profilen.

  8. Geben Sie auf der Seite Einschlusskriterien entweder die LDAP-Abfrage für die Zuweisung von Computern zu diesem Verwaltungsserver in das Textfeld ein und wählen Sie dann Weiter oder wählen Sie Konfigurieren. Wenn Sie Konfigurieren auswählen, gehen Sie wie folgt vor:

    1. Geben Sie im Dialogfeld Computer suchen die gewünschten Kriterien für die Zuordnung von Computern zu diesem Verwaltungsserver ein oder geben Sie Ihre spezifische LDAP-Abfrage ein.

      Die folgende LDAP-Abfrage gibt nur Computer zurück, auf denen das Windows Server-Betriebssystem ausgeführt wird und Domänencontroller ausschließt.

      (&(objectCategory=computer)(operatingsystem=*server*))

      In diesem Beispiel für eine LDAP-Abfrage werden nur Computer zurückgegeben, auf denen das Windows Server-Betriebssystem ausgeführt wird. Es schließt Domänen-Controller und -Server aus, die die Operations Manager- oder Dienst-Manager-Verwaltungsserverrolle hosten.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Weitere Informationen zu LDAP-Abfragen finden Sie unter Erstellen eines Abfragefilters und unter Active Directory: LDAP-Syntaxfilter.

    2. Wählen Sie OK und anschließend Weiter aus.

  9. Geben Sie auf der Seite Ausschlusskriterien den FQDN von Computern ein, die ausdrücklich nicht von diesem Verwaltungsserver verwaltet werden sollen, und wählen Sie dann Weiter.

    Wichtig

    Sie müssen die eingegebenen Computer-FQDNs durch ein Semikolon, einen Doppelpunkt oder eine neue Zeile (STRG+ENTER) trennen.

  10. Wählen Sie auf der Seite Ausfallsicherungs-Agent entweder Ausfallsicherung automatisch verwalten und wählen Sie Erstellen oder wählen Sie Ausfallsicherung manuell konfigurieren. Wenn Sie Manuelles Konfigurieren der Ausfallsicherung wählen, gehen Sie wie folgt vor:

    1. Deaktivieren Sie die Kontrollkästchen der Verwaltungsserver, auf die die Agents nicht fehlschlagen sollen.

    2. Klicken Sie auf Erstellen.

      Hinweis

      Bei der Option Ausfallsicherung manuell konfigurieren müssen Sie den Assistenten erneut ausführen, wenn Sie später einen Managementserver zur Verwaltungsgruppe hinzufügen und die Agenten auf den neuen Managementserver vor Ausfall sichern möchten.

  11. Wählen Sie im Dialog Eigenschaften des Verwaltungsservers OK aus.

Hinweis

Es kann bis zu einer Stunde dauern, bis die Agentzuweisungseinstellung in AD DS verteilt wird.

Nach Abschluss wird die folgende Regel in der Verwaltungsgruppe erstellt und zielt auf die AD Assignment Resource Pool-Klasse ab.

Screenshot der Regel für die Zuweisung von AD-Integrationsagenten.
Diese Regel enthält die Konfigurationsinformationen für die Agentenzuweisung, die Sie im Agentenzuweisungs- und Ausfallsicherungsassistenten angegeben haben, z. B. die LDAP-Abfrage.

Um zu überprüfen, ob die Verwaltungsgruppe ihre Informationen erfolgreich in Active Directory veröffentlicht hat, suchen Sie im Operations Manager-Ereignisprotokoll auf dem Verwaltungsserver, auf dem die Agentenzuweisungsregel definiert wurde, nach der Ereignis-ID 11470 der Quelle „Health Service Modules“. In der Beschreibung sollte angegeben werden, dass alle Computer, die der Agentenzuweisungsregel zugeordnet wurden, erfolgreich hinzugefügt wurden.

Screenshot des Erfolgsereignisses für die Zuweisung des AD-Integrationsagenten.

In Active Directory sollten unter dem Container „OperationsManager<ManagementGroupName>“, ähnlich wie in folgendem Beispiel, die erstellten Objekte des Dienstverbindungspunkts (Service Connection Point, SCP) angezeigt werden.

Screenshot der Zuweisung von AD-Objekten durch den AD-Integrationsagenten.

Die Regel erstellt auch zwei Sicherheitsgruppen mit dem Namen des NetBIOS-Namens des Verwaltungsservers: die erste mit dem Suffix „_PrimarySG<beliebige Zahl>“ und die zweite „_SecondarySG<beliebige Zahl>“. In diesem Beispiel sind in der Verwaltungsgruppe zwei Verwaltungsserver implementiert, und die Mitgliedschaft der primären Sicherheitsgruppe ComputerB_Primary_SG_24901 umfasst Computer, die der in Ihrer Agent-Zuweisungsregel definierten Einschlussregel entsprechen, und die Mitgliedschaft der Sicherheitsgruppe ComputerA_Secondary_SG_38838 umfasst die primäre Gruppe ComputerB_Primary_SG- 29401, die das Computerkonto der Agents enthält, die auf diesen sekundären Verwaltungsserver ausweichen würden, wenn der primäre Verwaltungsserver nicht mehr reagiert. Der SCP-Name ist der NetBIOS-Name des Verwaltungsserver mit dem Suffix „_SCP“.

Hinweis

In diesem Beispiel werden nur Objekte aus einer einzelnen Verwaltungsgruppe und nicht andere Verwaltungsgruppen angezeigt, die möglicherweise vorhanden sind und auch mit der AD-Integration konfiguriert sind.

Manuelle Agenten-Bereitstellung mit Active Directory-Integrationseinstellung

Nachfolgend finden Sie ein Beispiel für die Befehlszeile, um den Windows-Agenten manuell zu installieren, wobei die Active Directory-Integration aktiviert ist.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Ändern der Active Directory-Integrationseinstellung für einen Agent

Sie können das folgende Verfahren verwenden, um die Active Directory-Integrationseinstellung für einen Agent zu ändern.

  1. Doppelklicken Sie auf dem mit dem Agent verwalteten Computer in der Systemsteuerung auf Microsoft Monitoring Agent.

  2. Deaktivieren Sie auf der Registerkarte Operations Manager die Option Verwaltungsgruppenzuordnungen automatisch aus AD DS aktualisieren aus. Wenn Sie diese Option auswählen, ruft der Agent beim Agentstart aus Active Directory eine Liste der Verwaltungsgruppen ab, denen er zugewiesen wurde. Diese Verwaltungsgruppen werden, falls vorhanden, der Liste hinzugefügt. Wenn Sie diese Option deaktivieren, werden alle dem Agent in Active Directory zugewiesenen Verwaltungsgruppen aus der Liste entfernt.

  3. Wählen Sie OK aus.

Integrieren von Active Directory in nicht vertrauenswürdige Domäne

  1. Erstellen Sie einen Benutzer in einer nicht vertrauenswürdigen Domäne mit Berechtigungen zum Lesen, Schreiben und Löschen von Objekten in AD.
  2. Erstellen sie eine Sicherheitsgruppe (domäne lokal oder global). Fügen Sie den Benutzer (in Schritt 1 erstellt) zu dieser Gruppe hinzu.
  3. Führen Sie für die nicht vertrauenswürdige Domäne MOMAdAdmin.exe mit den folgenden Parametern aus: <path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Erstellen Eines neuen „Ausführen-als"-Kontos in Operations Manager; verwenden Sie das Konto, welches in Schritt 1 erstellt wurde. Stellen Sie sicher, dass der Domänenname als FQDN und nicht als NetBIOS-Name angegeben wird (Beispiel: CONTOSO.COM\ADUser).
  5. Geben Sie das Konto an den AD-Zuweisungs-Ressourcenpool weiter.
  6. Erstellen Sie ein neues „Ausführen als“-Profil im Standardverwaltungspaket. Wenn dieses Profil in einem anderen Management-Pack erstellt wurde, versiegeln Sie das Management-Pack, damit es in einem anderen Management-Pack referenziert werden kann.
  7. Fügen Sie das neu erstellte „Ausführen-als“-Konto zu diesem Profil hinzu und richten Sie es auf den AD-Zuordnungsressourcenpool aus.
  8. Erstellen Sie die Active Directory-Integrationsregeln in Operations Manager.

Hinweis

Nach der Integration mit einer nicht vertrauenswürdigen Domäne zeigt jeder Verwaltungsserver die Warnmeldung Sicherheitsdatenbank auf dem Server verfügt nicht über ein Computerkonto für diese Arbeitsstations-Vertrauensbeziehung an, die angibt, dass die Validierung des von der AD-Zuweisung verwendeten „Ausführen-als"-Kontos fehlgeschlagen ist. Ereignis-ID 7000 oder 1105 werden im Operations Manager-Ereignisprotokoll generiert. Diese Warnung hat jedoch keine Auswirkungen auf die AD-Zuweisung in einer nicht vertrauenswürdigen Domäne.

Nächste Schritte

Informationen zur Installation des Windows-Agenten über die Operations-Konsole finden Sie unter Agent unter Windows mit dem Discovery Wizard installieren oder zur Installation des Agenten über die Befehlszeile unter Windows-Agent manuell mit MOMAgent.msi installieren.