Megosztás a következőn keresztül:

Active Directory-integráció konfigurálása és használata ügynök-hozzárendeléshez

  • Cikk

Fontos

Az Operations Manager ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen az Operations Manager 2022-re.

A System Center Operations Manager lehetővé teszi, hogy kihasználja a Active Directory tartományi szolgáltatások (AD DS) befektetéseit azáltal, hogy lehetővé teszi, hogy ügynök által felügyelt számítógépeket rendeljen hozzá felügyeleti csoportokhoz. Ez a cikk segítséget nyújt a tároló Active Directoryban való konfigurálásának létrehozásához és kezeléséhez, valamint a felügyeleti kiszolgálók ügynökeinek ügynök-hozzárendeléséhez.

Az Active Directory tartományi szolgáltatások tárolójának létrehozása felügyeleti csoporthoz

Az alábbi parancssori szintaxissal és eljárással Active Directory-tartomány service (AD DS) tárolót hozhat létre a System Center – Operations Manager felügyeleti csoport számára. Erre a célra használható az Operations Manager felügyeleti kiszolgáló részeként telepített MOMADAdmin.exe fájl. A MOMADAdmin.exe fájlt a megadott tartomány rendszergazdája futtathatja.

Parancssori szintaxis:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Fontos

Ha az érték szóközt tartalmaz, akkor idézőjelek közé kell tenni.

  • ManagementGroupName: annak a felügyeleti csoportnak neve, amelyhez a létrehozandó AD-tároló tartozik.

  • MOMAdminSecurityGroup: annak a tartományi biztonsági csoportnak a neve tartomány\biztonsági_csoport formátumban, amely az Operations Manager-rendszergazdák szerepkör tagja a felügyeleti csoportban.

  • RunAsAccount: Ez az a tartományi fiók, amelyet a felügyeleti kiszolgáló az objektumok olvasására, írására és törlésére fog használni az AD-ben. A használandó formátum tartomány\felhasználónév.

  • Domain: annak a tartománynak a neve, amelyben a felügyeleti csoport tárolója létre lesz hozva. A MOMADAdmin.exe tartományok között csak akkor futtatható, ha kétirányú megbízhatósági kapcsolat van közöttük.

Az Active Directory-integráció sikeres működéséhez a biztonsági csoportnak vagy globális biztonsági csoportnak (ha az Active Directory-integráció több tartományban fog működni kétirányú megbízhatósági kapcsolattal), vagy helyi biztonsági csoportnak kell lennie (ha az Active Directory-integráció csak egy tartományban lesz használva)

Az Operations Manager Rendszergazdák csoportjához az alábbi eljárással adhat hozzá biztonsági csoportot.

  1. Az operatív konzolon válassza az Adminisztráció lehetőséget.

  2. Az Adminisztráció munkaterületen válassza a Felhasználói szerepek lehetőséget a Biztonság csomóponton.

  3. A Felhasználói szerepkörök területen válassza az Operations Manager-rendszergazdák lehetőséget, válassza a Tulajdonságok műveletet, vagy kattintson a jobb gombbal az Operations Manager-rendszergazdák elemre, és válassza a Tulajdonságok lehetőséget.

  4. Válassza a Hozzáadás lehetőséget a Csoport kiválasztása párbeszédpanel megnyitásához.

  5. Válassza ki a kívánt biztonsági csoportot, majd kattintson az OK gombra a párbeszédpanel bezárásához.

  6. A felhasználói szerepkör tulajdonságainak bezárásához kattintson az OK gombra.

Megjegyzés

Az Operations Manager rendszergazdai szerepköréhez ajánlatos egy biztonsági csoportot használni, amely további csoportokat is tartalmazhat. Ezzel lehetővé válik, hogy csoportokat és csoporttagokat anélkül lehessen csoportokhoz hozzáadni és eltávolítani onnan, hogy a tartományi rendszergazdának manuálisan kellene hozzájuk rendelnie olvasási és gyermekobjektum-törlési jogosultságokat a Felügyeleti csoport tárolójában.

Az AD DS-tároló létrehozásához kövesse az alábbi eljárást.

  1. Nyisson meg egy parancssort rendszergazdaként.

  2. Írja be például a következőt a parancssorba:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Megjegyzés

Az alapértelmezett elérési út a C:\Program Files\Microsoft System Center 2016\Operations Manager.

Megjegyzés

Az alapértelmezett elérési út a C:\Program Files\Microsoft System Center\Operations Manager.

  1. Az előző parancssori példa az alábbi tevékenységeket végzi el:

    1. A parancssorból futtatja a MOMADAdmin.exe eszközt.

    2. Létrehozza a felügyeleti csoport "Message Ops" AD DS-tárolóját a MessageDom tartományban az AD DS-séma gyökerében. Ha a felügyeleti csoport AD DS-tárolóját további tartományokban is létre szeretné hozni, futtassa a MOMADAdmin.exe fájlt mindegyik kívánt tartomány esetén.

    3. Hozzáadja a MessageDom\MessageADIntAcct tartományi felhasználói fiókot a MessageDom\MessageOMAdmins AD DS biztonsági csoporthoz, és hozzárendeli az AD DS-tároló felügyeletéhez szükséges jogosultságokat a biztonsági AD DS-csoporthoz.

Az Active Directory tartományi szolgáltatások használata számítógépek felügyeleti kiszolgálókhoz való hozzárendeléséhez

Az Operations Manager Ügynök-hozzárendelés és feladatátvétel varázsló egy ügynök-hozzárendelési szabályt hoz létre, amely az Active Directory Domain Servicest (AD DS-t) használja a számítógépek felügyeleti csoporthoz való hozzárendeléséhez, valamint az elsődleges felügyeleti kiszolgáló és a másodlagos felügyeleti kiszolgáló hozzárendeléséhez. A varázsló elindításához és használatához használja az alábbi eljárást.

Fontos

Az Ügynök-hozzárendelés és feladatátvétel varázsló futtatása előtt létre kell hoznia a felügyeleti csoport tárolóját az Active Directory Domain Servicesben.

Az Ügynök-hozzárendelés és feladatátvétel varázsló nem telepíti az ügynököt. Az ügynököt manuálisan kell üzembe helyeznie a számítógépeken a MOMAgent.msi használatával.

Az ügynök-hozzárendelési szabály megváltoztatása azt eredményezheti, hogy a számítógép már nem lesz a felügyeleti csoporthoz hozzárendelve, így az nem tudja tovább figyelni a számítógépet. A számítógép állapota kritikusra változik, mert az nem tud szívverést küldeni a felügyeleti csoportnak. Ezek a számítógépek törölhetők a felügyeleti csoportból, és ha a számítógép nincs más felügyeleti csoportokhoz rendelve, az Operations Manager-ügynök eltávolítható.

Az Operations Manager Ügynök-hozzárendelés és Feladatátvétel varázslójának elindítása

  1. Jelentkezzen be a számítógépre egy olyan fiókkal, amely tagja az Operations Manager-rendszergazdák szerepkörnek.

  2. Az operatív konzolon válassza az Adminisztráció lehetőséget.

  3. Az Adminisztráció munkaterületen válassza a Felügyeleti kiszolgálók lehetőséget.

  4. A Felügyeleti kiszolgálók panelen kattintson a jobb gombbal a felügyeleti kiszolgálóra vagy átjárókiszolgálóra a következő eljárásban létrehozott szabályok által visszaadott számítógépek elsődleges felügyeleti kiszolgálójaként , majd válassza a Tulajdonságok lehetőséget.

    Megjegyzés

    Ebben a környezetben az átjárókiszolgálók a felügyeleti kiszolgálókhoz hasonlóan működnek.

  5. A Felügyeleti kiszolgáló tulajdonságai párbeszédpanelen válassza az Automatikus ügynök-hozzárendelés lapot, majd válassza a Hozzáadás lehetőséget az Ügynök-hozzárendelés és feladatátvétel varázsló elindításához.

  6. Az Ügynök-hozzárendelés és feladatátvétel varázslóBevezetés lapján válassza a Tovább gombot.

    Megjegyzés

    A Bevezető lap nem jelenik meg, ha a varázslót futtatták, és a Ne jelenjen meg újra ez a lap be van jelölve.

  7. A Tartomány lapon végezze el az alábbiakat:

    Megjegyzés

    Ha több tartományból szeretne számítógépeket felügyeleti csoporthoz hozzárendelni, mindegyik tartomány esetében futtassa az Ügynök-hozzárendelés és feladatátvétel varázslót.

    • Válassza ki a számítógépek tartományát a Tartománynév legördülő listából. A felügyeleti kiszolgálónak és az AD- ügynök hozzárendelése nevű erőforráskészlet minden számítógépének képesnek kell lennie feloldani a tartománynevet.

      Fontos

      A felügyeleti szervernek és a felügyelendő számítógépeknek kétirányú megbízhatósággal elérhető tartományban kell lennie.

    • A Futtató fiókot állítsa be a MOMADAdmin.exe fájlt futtatásakor megadott futtató fiókkal társított futtató profilhoz. Az ügynök-hozzárendeléshez használt alapértelmezett fiók a telepítés során megadott alapértelmezett műveleti fiók, amelyet Active Directory-alapú ügynök-hozzárendelési fióknak is nevezünk. Az ehhez a fiókhoz tartozó hitelesítő adatok a megadott tartományhoz tartozó Active Directoryhoz való kapcsolódáshoz és az Active Directory-objektumok módosításához lesznek használva, és a fióknak meg kell egyeznie a MOMAdmin.exe futtatásakor megadott fiókkal. Ha nem ez volt a MOMADAdmin.exe futtatásához használt fiók, válassza a Másik fiók használata ügynök-hozzárendelés végrehajtásához a megadott tartományban lehetőséget, majd válassza ki vagy hozza létre a fiókot a Futtató profil kiválasztása legördülő listából. Az Active Directory-alapú ügynök-hozzárendelési fiók profilját úgy kell konfigurálni, hogy egy Operations Manager-rendszergazdai fiókot használjon, amely az AD-ügynök hozzárendelési erőforráskészletének összes kiszolgálója között el van osztva.

      Megjegyzés

      A futtató profilokról és a futtató fiókokról további információt a Futtató fiókok és profilok kezelése című témakörben talál.

  8. A Belefoglalási feltételek lapon írja be a szövegmezőbe a számítógépek felügyeleti kiszolgálóhoz való hozzárendelésére szolgáló LDAP-lekérdezést, majd válassza a Tovább, vagy a Konfigurálás lehetőséget. Ha a Konfigurálás lehetőséget választja, tegye a következőket:

    1. A Számítógépek keresése párbeszédpanelen adja meg a kívánt feltételeket a számítógépek felügyeleti kiszolgálóhoz való hozzárendeléséhez, vagy adja meg az adott LDAP-lekérdezést.

      A következő LDAP-lekérdezés csak a Windows Server operációs rendszert futtató számítógépeket adja vissza, és kizárja a tartományvezérlőket.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Ez a példa LDAP-lekérdezés csak a Windows Server operációs rendszert futtató számítógépeket adja vissza. Kizárja az Operations Manager vagy Service Manager felügyeleti kiszolgálói szerepkört futtató tartományvezérlőket és kiszolgálókat.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      További információ az LDAP-lekérdezésekről: Lekérdezésszűrő létrehozása és Active Directory: LDAP-szintaxisszűrők.

    2. Válassza az OK, majd a Tovább gombot.

  9. A Kizárási feltételek lapon írja be azon számítógépek teljes tartománynevét, amelyeket kifejezetten meg szeretne akadályozni a felügyeleti kiszolgáló által történő felügyeletben, majd válassza a Tovább gombot.

    Fontos

    A számítógépekhez tartozó teljes tartományneveket pontosvesszővel, kettősponttal vagy új sor (CTRL+ENTER) karakterrel kell elválasztania egymástól.

  10. Az Ügynök feladatátvétele lapon válassza a Feladatátvétel automatikus kezelése , majd a Létrehozás vagy a Feladatátvétel manuális konfigurálása lehetőséget. Ha a Feladatátvétel manuális konfigurálása lehetőséget választotta, az alábbi eljárást kövesse:

    1. Törölje azon felügyeleti kiszolgálók jelölőnégyzeteinek jelölését, amelyekre nem szeretné, hogy az ügynökök feladatátvételt végezni tudjanak.

    2. Válassza a Létrehozás lehetőséget.

      Megjegyzés

      Ha a Feladatátvétel manuális konfigurálása lehetőséget választotta, és a felügyeleti csoporthoz később felügyeleti kiszolgálót ad hozzá, újra futtatnia kell a varázslót, ha azt szeretné, hogy az ügynökök az új felügyeleti kiszolgálóra irányuló feladatátvételt végezzenek.

  11. A Felügyeleti kiszolgáló tulajdonságai párbeszédpanelen válassza az OK gombot.

Megjegyzés

Akár egy órát is igénybe vehet, hogy az ügynök-hozzárendelési beállítás kiterjedjen az AD DS egészére.

A folyamat végén a felügyeleti csoportban az AD-hozzárendelési erőforráskészlet osztályt megcélzó alábbi szabály lesz létrehozva.

Képernyőkép az AD-integrációs ügynök hozzárendelési szabályáról.
A szabály tartalmazza az Ügynök-hozzárendelés és Feladatátvétel varázslóban megadott ügynök-hozzárendelési konfigurációra vonatkozó információkat is, például az LDAP-lekérdezést.

Ha ellenőrizni szeretné, hogy a felügyeleti csoport sikeresen közzétette az információkat az Active Directoryban, az Operations Manager naplójában keresse meg az állapotfigyelő szolgáltatási modulok forrású 11470 számú eseményt azon a felügyeleti kiszolgálón, amelyen az ügynök-hozzárendelési szabály definiálva lett. A leírásban meg kell adnia, hogy sikeresen hozzáadta az ügynök-hozzárendelési szabályhoz hozzáadott összes számítógépet.

Képernyőkép az AD-integrációs ügynök sikeres hozzárendelési eseményéről.

Az Active Directory OperationsManager<ManagementGroupName> tárolójában az alábbi példához hasonló szolgáltatáskapcsolódási pont (SCP) objektumoknak kell megjelennie.

Képernyőkép az AD-integrációs ügynök AD-objektumok hozzárendeléséről.

A szabály két biztonsági csoportot is létrehoz a felügyeleti kiszolgáló NetBIOS-nevével: az első a "_PrimarySG<véletlenszerű szám>" utótaggal, a második pedig "_SecondarySG<véletlenszerű számmal>". Ebben a példában két felügyeleti kiszolgáló van üzembe helyezve a felügyeleti csoportban, és az elsődleges biztonsági csoport ComputerB_Primary_SG_24901 tagság olyan számítógépeket tartalmaz, amelyek megfelelnek az ügynök-hozzárendelési szabályban meghatározott belefoglalási szabálynak, és a biztonsági csoport ComputerA_Secondary_SG_38838 tagság tartalmazza az elsődleges csoportot ComputerB_Primary_SG-29401 biztonsági csoport, amely azon ügynökök számítógépfiókját tartalmazza, amelyek feladatátvételt adnának át erre a másodlagos felügyeleti kiszolgálóra abban az esetben, ha az elsődleges felügyeleti kiszolgáló nem válaszol. A szolgáltatáskapcsolódási pont neve a felügyeleti kiszolgáló NetBIOS-nevéből és az „_SCP” utótagból tevődik össze.

Megjegyzés

Ebben a példában csak egyetlen felügyeleti csoportból származó objektumokat jelenít meg, nem pedig más, az AD-integrációval konfigurált felügyeleti csoportokat.

Manuális ügynöktelepítés az Active Directory-integrációs beállításokkal

Az alábbi példában szereplő parancssori szintaxis manuálisan telepíti a Windows-ügynököt az Active Directory-integráció engedélyezésével.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Ügynök Active Directory-integrációs beállításainak megváltoztatása

A következő eljárás használatával módosíthatja az ügynökök Active Directory-integrációjának beállításait.

  1. Az ügynök által felügyelt számítógépen a Vezérlőpult kattintson duplán a Microsoft Monitoring Agent elemre.

  2. Az Operations Manager lapon jelölje be A felügyeleticsoport-hozzárendelések automatikus frissítése az AD DS-ből jelölőnégyzetet, vagy törölje belőle a jelet. Ha bejelöli ezt a beállítást, akkor az ügynök indulásakor az ügynök lekérdezi az Active Directory rendszerből azoknak a felügyeleti csoportoknak a listáját, amelyekhez társítva van. A lekérdezésre válaszul kapott felügyeleti csoportokat hozzáadja a listához. Ha törli a jelet a beállítás mellől, akkor az ügynökhöz az Active Directory rendszerben társított összes felügyeleti csoport lekerül a listáról.

  3. Válassza az OK lehetőséget.

Az Active Directory integrálása nem megbízható tartománnyal

  1. Hozzon létre egy olyan felhasználót egy nem megbízható tartományban, aki jogosult az objektumok olvasására, írására és törlésére az AD-ben.
  2. Hozzon létre egy biztonsági csoportot (tartomány helyi vagy globális). Adja hozzá a (1. lépésben létrehozott) felhasználót ehhez a csoporthoz.
  3. Futtassa MOMAdAdmin.exe a nem megbízható tartományon a következő paraméterekkel: <path>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><domain>
  4. Hozzon létre egy új futtató fiókot az Operations Managerben; használja az 1. lépésben létrehozott fiókot. Győződjön meg arról, hogy a tartománynév FQDN-nel van megadva, nem NetBIOS-névvel (például: CONTOSO.COM\ADUser).
  5. Ossza el a fiókot az AD-hozzárendelési erőforráskészletben.
  6. Hozzon létre egy új futtató profilt az alapértelmezett felügyeleti csomagban. Ha ez a profil bármely más felügyeleti csomagban van létrehozva, győződjön meg arról, hogy lezárja a felügyeleti csomagot, hogy az más felügyeleti csomagra hivatkozhasson.
  7. Adja hozzá az újonnan létrehozott futtató fiókot ehhez a profilhoz, és célozza meg az AD-hozzárendelési erőforráskészletben
  8. Hozza létre az Active Directory-integrációs szabályokat az Operations Managerben.

Megjegyzés

A nem megbízható tartománnyal való integrációt követően minden felügyeleti kiszolgáló megjeleníti a biztonsági adatbázis nem rendelkezik számítógépfiókkal a munkaállomás megbízhatósági kapcsolatához , ami azt jelzi, hogy az AD-hozzárendelés által használt futtató fiók érvényesítése sikertelen volt. A 7000- vagy 1105-ös eseményazonosító az Operations Manager eseménynaplójában jön létre. Ez a riasztás azonban nincs hatással az AD-hozzárendelésre egy nem megbízható tartományban.

Következő lépések

A Windows-ügynök operatív konzolból való telepítéséről részletesebben olvashat az Ügynök telepítése Windows rendszerre a Felderítés varázsló használatával című cikkben, míg az ügynök parancssorból való telepítéséről a Windows-ügynök manuális telepítése a MOMAgent.msi használatával című cikkből tájékozódhat.