Megosztás a következőn keresztül:

Az Active Directory-integráció konfigurálása és használata ügynök-hozzárendeléshez

A System Center Operations Manager lehetővé teszi, hogy kihasználja az Active Directory Domain Servicesbe (AD DS) irányuló befektetését, mivel lehetővé teszi, hogy ügynök által felügyelt számítógépeket rendeljen hozzá felügyeleti csoportokhoz. Ez a cikk segít létrehozni és kezelni a tároló konfigurációját az Active Directoryban, valamint az ügynökök hozzárendelését a felügyeleti kiszolgálókhoz, amelyekhez jelenteniük kell.

Active Directory Domain Services-tároló létrehozása felügyeleti csoporthoz

Az alábbi parancssori szintaxissal és eljárással létrehozhat egy Active Directory Domain Service-tárolót (AD DS) egy System Center – Operations Manager felügyeleti csoporthoz. MOMADAdmin.exe erre a célra szolgál, és az Operations Manager felügyeleti kiszolgálóval van telepítve. MOMADAdmin.exe a megadott tartomány rendszergazdájának kell futtatnia.

Parancssor szintaxisa:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Fontos

Ha az érték szóközt tartalmaz, idézőjelek közé kell helyeznie egy értéket.

  • ManagementGroupName annak a felügyeleti csoportnak a neve, amely számára egy Active Directory tárolót hoznak létre.

  • MOMAdminSecurityGroup egy tartománybiztonsági csoport, tartomány\security_group formátum, amely tagja a műveletirendszergazdák biztonsági szerepkörének a felügyeleti csoport esetében.

  • RunAsAccount: Ez az a tartományi fiók, amelyet a felügyeleti kiszolgáló az AD objektumainak olvasására, írására és törlésére használ. Használja a tartomány\felhasználónév formátumot.

  • tartomány annak a tartománynak a neve, amelyben a felügyeleti csoport tárolója létrejön. MOMADAdmin.exe csak akkor futtatható tartományok között, ha közöttük kétirányú megbízhatósági kapcsolat áll fenn.

Az Active Directory-integráció működéséhez a biztonsági csoportnak globális biztonsági csoportnak kell lennie (ha az Active Directory-integrációnak több tartományban kell működnie kétirányú megbízhatósági kapcsolattal) vagy egy helyi tartománycsoportnak (ha az Active Directory-integrációt csak egy tartományban használják)

Ha biztonsági csoportot szeretne hozzáadni az Operations Manager Rendszergazdák csoportjához, kövesse az alábbi eljárást.

  1. Az Operatív konzolon válassza a Felügyeletlehetőséget.

  2. A Adminisztráció munkaterületen válassza a Biztonságalatti felhasználói szerepköröket.

  3. A Felhasználói szerepkörökterületen válassza Operations Manager-rendszergazdák, majd válassza a Tulajdonságok műveletet, vagy kattintson a jobb gombbal Operations Manager-rendszergazdák, és válassza Tulajdonságoklehetőséget.

  4. Válassza a Hozzáadása lehetőséget a Csoport kijelölése párbeszédpanel megnyitásához.

  5. Válassza ki a kívánt biztonsági csoportot, majd a párbeszédpanel bezárásához válassza az OK lehetőséget.

  6. Válassza az OK lehetőséget felhasználói szerepkör tulajdonságainakbezárásához.

Jegyzet

Javasoljuk, hogy az Operations Manager-rendszergazdák szerepkörhöz használjunk egy biztonsági csoportot, amely több csoportot is tartalmazhat. Így a csoportok és a csoportok tagjai hozzáadhatók és eltávolíthatók a csoportokból anélkül, hogy a tartományi rendszergazdának manuális lépéseket kellene végrehajtania az olvasási és gyermektörlési engedélyek hozzárendeléséhez a felügyeleti csoport tárolójához.

Az AD DS-tároló létrehozásához használja az alábbi eljárást.

  1. Nyisson meg egy parancssort rendszergazdaként.

  2. A parancssorba például írja be a következőket:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Jegyzet

Az alapértelmezett elérési út a C:\Program Files\Microsoft System Center 2016\Operations Manager.

Jegyzet

Az alapértelmezett elérési út a C:\Program Files\Microsoft System Center\Operations Manager.

  1. Az előző parancssori példa a következő lesz:

    1. Futtassa a MOMADAdmin.exe segédprogramot a parancssorból.

    2. Hozza létre a "Message Ops" AD DS felügyeleti csoport tárolóját a MessageDom tartomány AD DS sémagyökerében. Ha ugyanazt a felügyeleti csoport AD DS-tárolót további tartományokban szeretné létrehozni, futtassa az MOMADAdmin.exe mindegyik tartományhoz.

    3. Adja hozzá a MessageDom\MessageADIntAcct tartományi felhasználói fiókot az MessageDom\MessageOMAdmins AD DS biztonsági csoporthoz, és rendelje hozzá a biztonsági AD DS-csoportot az AD DS-tároló kezeléséhez szükséges jogosultságokkal.

Számítógépek hozzárendelése felügyeleti kiszolgálókhoz az Active Directory Domain Services használatával

Az Operations Manager ügynök-hozzárendelési és feladatátvételi varázslója létrehoz egy ügynök-hozzárendelési szabályt, amely az Active Directory Domain Services (AD DS) használatával rendeli hozzá a számítógépeket egy felügyeleti csoporthoz, és hozzárendeli a számítógépek elsődleges felügyeleti kiszolgálóját és másodlagos felügyeleti kiszolgálóit. A varázsló elindításához és használatához kövesse az alábbi eljárásokat.

Fontos

Az Ügynök-hozzárendelés és feladatátvétel varázsló futtatása előtt létre kell hozni a felügyeleti csoport Active Directory Domain Services-tárolóját.

Az Ügynök-hozzárendelési és helyreállítási varázsló nem telepíti az ügynököt. Az ügynököt manuálisan kell üzembe helyeznie a számítógépeken a MOMAgent.msihasználatával.

Az ügynök-hozzárendelési szabály módosítása eredményezheti, hogy a számítógépek nincsenek hozzárendelve a felügyeleti csoporthoz, és így már nem figyelik őket. Ezeknek a számítógépeknek az állapota kritikusra változik, mert a számítógépek már nem küldenek szívveréseket a felügyeleti csoportnak. Ezek a számítógépek törölhetők a felügyeleti csoportból, és ha a számítógép nincs más felügyeleti csoportokhoz rendelve, az Operations Manager-ügynök eltávolítható.

Az Operations Manager-ügynök hozzárendelésének és feladatátvételi varázslójának elindítása

  1. Jelentkezzen be a számítógépre egy olyan fiókkal, amely tagja az Operations Manager rendszergazdáinak szerepkörének.

  2. Az operatív konzolon válassza a Felügyeletlehetőséget.

  3. Az Adminisztráció munkaterületen válassza a Management Serverslehetőséget.

  4. A Felügyeleti kiszolgálók panelen kattintson a jobb gombbal a felügyeleti kiszolgálóra vagy átjárókiszolgálóra, hogy elsődleges felügyeleti kiszolgáló a következő eljárásban létrehozott szabályok által visszaadott számítógépekhez, majd válassza a Tulajdonságoklehetőséget.

    Jegyzet

    Az átjárókiszolgálók a felügyeleti kiszolgálókhoz hasonlóan működnek ebben a környezetben.

  5. A Felügyeleti kiszolgáló tulajdonságai párbeszédpanelen válassza az Automatikus ügynök-hozzárendelés lapot, majd válassza a Hozzáadás lehetőséget az Ügynök-hozzárendelés és feladatátvétel varázsló elindításához.

  6. Az Ügynök-hozzárendelés és feladatátvétel varázslóBevezetés lapján válassza Továbblehetőséget.

    Jegyzet

    A Bevezetés lap nem jelenik meg, ha a varázslót futtatták, és a Ne jelenjen meg újra ez a lap opció ki lett választva.

  7. A(z) tartomány lapon végezze el a következőket:

    Jegyzet

    Ha több tartományból szeretne számítógépeket hozzárendelni egy felügyeleti csoporthoz, futtassa az Ügynök-hozzárendelés és feladatátvétel varázsló minden tartományhoz.

    • Válassza ki a számítógépek tartományát a Tartománynév legördülő listából. A felügyeleti kiszolgálónak és az AD-ügynök-hozzárendelési erőforráskészlet összes számítógépének képesnek kell lennie a tartománynév feloldására.

      Fontos

      A felügyeleti kiszolgálónak és a kezelni kívánt számítógépeknek kétirányú megbízható tartományokban kell lenniük.

    • Állítsa a Futtatási profil kiválasztása opciót arra a Futtatási profilra, amely a Futtatási fiókhoz van társítva, és amelyet a MOMADAdmin.exe futtatásakor a tartományhoz adtak meg. Az ügynök-hozzárendelés végrehajtásához használt alapértelmezett fiók a telepítés során megadott alapértelmezett műveletfiók, más néven az Active Directory-alapú ügynök-hozzárendelési fiók. Ez a fiók a megadott tartomány Active Directory-objektumaihoz való csatlakozáskor és az Active Directory-objektumok módosításakor használt hitelesítő adatokat jelöli, és meg kell egyeznie a MOMAdmin.exefuttatásakor megadott fiókkal. Ha nem ez a fiók került felhasználásra a MOMADAdmin.exefuttatásához, válassza a Másik fiók használata a megadott tartományban történő ügynök-hozzárendeléshez lehetőséget, majd válassza ki vagy hozza létre a fiókot a Futtató profil kiválasztása legördülő listából. Az Active Directory-alapú ügynök-hozzárendelési fiók profilt úgy kell konfigurálni, hogy egy Operations Manager-rendszergazdai fiókot használjon, amely az AD-ügynök-hozzárendelési erőforráskészlet összes kiszolgálója számára el van osztva.

      Jegyzet

      További információ a Run As profilokról és a Run As fiókokról: Run As fiókok és profilok kezelése.

  8. A belefoglalási feltételek lapon írja be a szövegmezőbe a számítógépek felügyeleti kiszolgálóhoz való hozzárendeléséhez használt LDAP-lekérdezést, majd válassza a Tovább, vagy a Konfiguráláslehetőséget. Ha a konfigurálása lehetőséget választja, tegye a következőket:

    1. A Számítógépek keresése párbeszédpanelen adja meg a kívánt feltételeket a számítógépek felügyeleti kiszolgálóhoz való hozzárendeléséhez, vagy adja meg az adott LDAP-lekérdezést.

      Az alábbi LDAP-lekérdezés csak a Windows Server operációs rendszert futtató számítógépeket adja vissza, és kizárja a tartományvezérlőket.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Ez a példa LDAP-lekérdezés csak a Windows Server operációs rendszert futtató számítógépeket adja vissza. Kizárja az Operations Manager vagy a Service Manager felügyeleti kiszolgálói szerepkört futtató tartományvezérlőket és kiszolgálókat.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      További információ az LDAP-lekérdezésekről: Lekérdezésszűrő létrehozása és Active Directory: LDAP szintaxisszűrők.

    2. Válassza az OK, majd a Továbblehetőséget.

  9. A Kizárási feltételek lapon írja be azoknak a számítógépeknek a teljes tartománynevét, amelyeket kifejezetten meg szeretne akadályozni abban, hogy a felügyeleti kiszolgáló kezelje őket, majd válassza a Következőlehetőséget.

    Fontos

    A beírt számítógép teljes tartományneveit pontosvesszővel, kettősponttal vagy új vonallal (CTRL+ENTER) kell elválasztania.

  10. Az Ügynök Feladatátvétel lapján válassza a Automatikus feladatátvétel kezelése lehetőséget, és válassza a Létrehozás vagy válassza a Feladatátvétel manuális konfigurálásalehetőséget. Ha a feladatátvétel manuális konfigurálásátválasztja, tegye a következőket:

    1. Törölje azoknak a felügyeleti kiszolgálóknak a jelölőnégyzeteinek jelölését, amelyekre nem szeretné, hogy az ügynökök átirányításra kerüljenek.

    2. Válassza a létrehozása lehetőséget.

      Jegyzet

      A Feladatátvétel manuális konfigurálása opcióval újra futtatnia kell a varázslót, ha a későbbiekben hozzáad egy felügyeleti kiszolgálót a felügyeleti csoporthoz, és azt szeretné, hogy az ügynökök az új felügyeleti kiszolgálóra hajtsanak végre feladatátvételt.

  11. A Felügyeleti kiszolgáló tulajdonságai párbeszédpanelen válassza OKlehetőséget.

Jegyzet

Az ügynök-hozzárendelési beállítás propagálása az AD DS-ben akár egy órát is igénybe vehet.

Miután elkészült, a következő szabály jön létre a felügyeleti csoportban, és az AD hozzárendelési erőforrás-készlet osztályt célba veszi.

Képernyőkép az AD-integrációs ügynök hozzárendelési szabályáról.
Ez a szabály tartalmazza az ügynök-hozzárendelés konfigurációs adatait, amelyeket az Ügynök-hozzárendelés és feladatátvétel varázsló, például az LDAP-lekérdezésben adott meg.

Annak ellenőrzéséhez, hogy a felügyeleti csoport sikeresen közzétette-e az adatait az Active Directoryban, keresse meg az 11470-as eseményazonosítót a forrásállapot-szolgáltatási modulokból az Operations Manager eseménynaplójában azon a felügyeleti kiszolgálón, amelyen az ügynök-hozzárendelési szabály meg lett határozva. A leírásban meg kell adnia, hogy sikeresen hozzáadta az ügynök-hozzárendelési szabályhoz hozzáadott összes számítógépet.

Képernyőkép az AD-integrációs ügynök hozzárendelésének sikeres eseményről.

Az Active Directoryban az OperationsManager<ManagementGroupName> tárolóban az alábbi példához hasonló szolgáltatáskapcsolati pont (SCP) objektumoknak kell megjelennie.

Képernyőkép az AD-integrációs ügynök hozzárendelési AD-objektumairól.

A szabály két biztonsági csoportot is létrehoz a felügyeleti kiszolgáló NetBIOS-nevével: az első a "_PrimarySG<véletlenszerű szám>" utótaggal, a második pedig a "_SecondarySG<véletlenszerű szám>" utótaggal. Ebben a példában két felügyeleti kiszolgáló van üzembe helyezve a felügyeleti csoportban, és az elsődleges biztonsági csoport ComputerB_Primary_SG_24901 tagság olyan számítógépeket tartalmaz, amelyek megfelelnek az ügynök-hozzárendelési szabályban meghatározott belefoglalási szabálynak, és a biztonsági csoport ComputerA_Secondary_SG_38838 tagság tartalmazza az elsődleges csoportot ComputerB_Primary_SG-29401 biztonsági csoportot, amely tartalmazza azoknak az ügynököknek a gépi fiókját, amelyek feladatátvételt tennének a másodlagos felügyeleti kiszolgálóra abban az esetben, ha az elsődleges felügyeleti kiszolgáló nem válaszol. Az SCP neve a felügyeleti kiszolgáló NetBIOS-neve a "_SCP" utótaggal.

Jegyzet

Ebben a példában csak egyetlen felügyeleti csoport objektumait jeleníti meg, más, esetleg létező és AD-integrációval konfigurált felügyeleti csoportokat nem.

Manuális ügynöktelepítés az Active Directory-integrációs beállítással

Az alábbiakban egy példa látható arra a parancssorra, amellyel manuálisan telepítheti a Windows-ügynököt, és engedélyezve van az Active Directory-integráció.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Ügynök Active Directory-integrációs beállításának módosítása

Az alábbi eljárással módosíthatja egy ügynök Active Directory-integrációs beállítását.

  1. Az ügynök által felügyelt számítógépen, a Vezérlőpulton kattintson duplán a Microsoft Monitoring Agent elemre.

  2. Az Operations Manager lapján törölje vagy jelölje be Felügyeleti csoport hozzárendeléseinek automatikus frissítése az AD DS-. Ha ezt a lehetőséget választja, az ügynök indításakor az ügynök lekérdezi az Active Directoryt azoknak a felügyeleti csoportoknak a listájához, amelyekhez hozzá lett rendelve. Ha vannak ilyenek, ezek a felügyeleti csoportok fel lesznek véve a listára. Ha törli ezt a beállítást, az Active Directoryban az ügynökhöz rendelt összes felügyeleti csoport törlődik a listáról.

  3. Válassza OKlehetőséget.

Az Active Directory integrálása nem megbízható tartománnyal

  1. Hozzon létre egy felhasználót egy nem megbízható tartományban, amely jogosult az objektumok olvasására, írására és törlésére az AD-ben.
  2. Hozzon létre egy biztonsági csoportot (helyi vagy globális tartomány). Adja hozzá a (1. lépésben létrehozott) felhasználót ehhez a csoporthoz.
  3. Futtassa a MOMAdAdmin.exe a nem megbízható tartományban a következő paraméterekkel: <elérési út>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Hozzon létre egy új futtató fiókot az Operations Managerben; használja az 1. lépésben létrehozott fiókot. Győződjön meg arról, hogy a tartománynév FQDN (teljesen minősített tartománynév) alakban van megadva, nem pedig NetBIOS-névként (például: CONTOSO.COM\ADUser).
  5. Oszd ki a fiókot az AD-hozzárendelési erőforráskészletbe.
  6. Hozzon létre egy új futtató profilt az alapértelmezett felügyeleti csomagban. Ha ez a profil bármely más felügyeleti csomagban jön létre, zárja le a felügyeleti csomagot, hogy az más felügyeleti csomagra hivatkozhasson.
  7. Adja hozzá az újonnan létrehozott Run As fiókot ehhez a profilhoz, és rendelje hozzá az AD-hozzárendelési erőforráskészlethez
  8. Hozza létre az Active Directory-integrációs szabályokat az Operations Managerben.

Jegyzet

A nem megbízható tartománnyal való integráció után minden felügyeleti kiszolgáló megjeleníti a figyelmeztetést: A kiszolgáló biztonsági adatbázisában nincs számítógépfiók a munkaállomás megbízhatósági kapcsolatához. Ez jelzi, hogy az AD-hozzárendelésnél használt futtatási fiók érvényesítése sikertelen volt. A 7000- vagy 1105-ös eseményazonosító az Operations Manager eseménynaplójában jön létre. Ez a riasztás azonban nem befolyásolja a nem megbízható tartományban lévő AD-hozzárendelést.

Következő lépések

Ha meg szeretné érteni, hogyan telepítheti a Windows-ügynököt az Operations konzolról, olvassa el a Windows ügynök telepítése a Felderítési varázsló segítségével, vagy ha az ügynököt a parancssorból kívánja telepíteni, tekintse meg a Windows-ügynök kézi telepítése MOMAgent.msi.