SCOMで監視するまで

System Center Support Team の黒田です。

今回はSystem Center Operations Manager（以下、SCOM）で監視を行うために押さえておくべき条件について触れたいと思います。

 

SCOMの場合、SCOM管理サーバーが所属しているドメインと同じドメインに所属しているサーバーを監視することが可能です。

また、ワークグループ環境であったり、ドメインが異なったりする環境のサーバーも監視することも可能です。

 

しかし、構成によってSCOMで監視を行うまでの手順が異なります。

また、正常に監視できない等のトラブルが発生した場合に実施していただく情報採取の内容も異なってきます。

 

今回はその異なる状況について、プッシュインストールでの監視が可能か、証明書を利用した監視となるかの観点で整理しました。

構築時の計画や手順の作成、トラブルシュート時の役に立てば幸いです。

 

 

>> プッシュインストールでの監視

以下の条件①もしくは条件②を満たす場合、証明書を利用した監視ではなくSCOM管理サーバーからのプッシュインストールで監視を行うことが可能です。

なお、条件②は2つの条件を満たす必要がありますので、ご注意ください。

 

- 条件①

1. SCOM管理サーバーと同じドメインに監視対象のサーバーが所属している。

 

- 条件②

1. SCOM管理サーバーと異なるドメインに監視対象のサーバーが所属しているが、それらのドメイン間で双方向の信頼関係を結んでいる。
2. 信頼の種類は フォレスト である。

 

～ 参考情報 ～

※信頼の種類について

ドメイン間の信頼には4つの種類があります。[フォレスト]以外に[外部]や[領域]などがあります。

詳しくは以下に情報を公開しておりますのでご確認ください。

 

信頼の種類とは

https://technet.microsoft.com/ja-jp/library/cc730798(v=ws.11).aspx

 

 

>> 証明書を利用した監視

以下の条件①もしくは条件②を満たす場合は、SCOM管理サーバーからエージェントをプッシュインストールできないため、証明書を利用した監視を行う必要があります。

なお、条件②は2つの条件のいずれかを満たす場合ですので、ご注意ください。

 

- 条件①

1.監視対象のサーバーがドメインに所属しておらず、ワークグループコンピュータである。

 

- 条件②

1. SCOM管理サーバーと異なるドメインに監視対象のサーバーが所属しているが、それらのドメイン間で双方向の信頼関係を結んでいない。
2. 信頼関係を結んでいるが種類は 外部 など、フォレスト以外である。

 

どちらの条件とも、Kerberos認証を利用できない状況ですので、それ以外の手段でSCOM管理サーバーと監視対象のサーバーで認証が必要です。

 

このため、上記の条件を満たしている場合は、証明書による監視が必要です。

構築手順はSCOM 2012 R2 向けにホワイトペーパーとしても公開されておりますので、ご参照ください。

 

• ホワイトペーパー

System Center 2012 R2 Operations Manager カスタマイズ実践編 ステップ バイ ステップ評価ガイド (Word、6.56 MB) https://download.microsoft.com/download/0/7/7/07739D21-6624-4C64-8899-E11395AE88CE/SCOM2012R2_CUSTOM_v1.0.docx

※P.61「ワークグループのコンピュータの監視」をご覧ください。証明書を利用した監視についての詳細をご確認いただく事ができます。

 

以下に構築時の作業フローを記載いたしますので、併せてご確認ください。

 

• 作業フロー

1. ADCSの構築（スタンドアロンCA/エンタープライズCA いずれも可能）
2. 証明書チェーンをSCOM管理サーバー、監視対象のサーバーそれぞれにインポート
3. SCOM管理サーバー、監視対象のサーバーで証明書を作成し、インポート
4. 監視対象のサーバーでエージェントを手動インストール（SCOMのインストールメディアが必要）
5. 監視対象のサーバーでエージェントが利用する証明書を指定する
6. SCOM管理サーバーでエージェントを [保留の管理] にて承認する（※）

※SCOM管理サーバーで手動インストールのエージェントを自動で承認する設定を実施している場合、こちらの手順は不要です。