Menginstal server gateway

Penting

Versi Operations Manager ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke Operations Manager 2022.

Server gateway biasanya digunakan untuk mengaktifkan pemantauan komputer klien yang berada di luar batas kepercayaan Kerberos dari grup manajemen. Namun, mereka juga dapat digunakan dalam domain yang sama jika ada kebutuhan untuk memisahkan lingkungan karena segmentasi jaringan, atau memiliki agen "jauh" yang terhubung ke grup manajemen.

Agen berkomunikasi langsung dengan server gateway, dan server gateway berkomunikasi dengan satu atau beberapa server manajemen. Beberapa server gateway dapat ditempatkan dalam satu domain sehingga agen dapat melakukan failover dari satu ke yang lain jika mereka kehilangan komunikasi dengan gateway utama mereka. Demikian pula, server gateway tunggal dapat dikonfigurasi untuk gagal di antara server manajemen sehingga tidak ada satu titik kegagalan dalam rantai komunikasi. Server gateway bertindak sebagai proksi untuk komunikasi server agen-ke-manajemen, memungkinkan hanya satu port yang akan dibuka di antara jaringan sebagai pengganti banyak. Sertifikat harus digunakan untuk menetapkan identitas setiap komputer ketika berada di luar batas kepercayaan Kerberos. Tanpa sertifikat, sistem mungkin tersambung, tetapi menolak untuk berkomunikasi karena tidak dapat mengautentikasi koneksi.

Sebelum melanjutkan, pastikan server Anda memenuhi persyaratan sistem minimum untuk Pusat Sistem - Manajer Operasi. Untuk informasi selengkapnya, lihat Persyaratan Sistem untuk Manajer Operasi Pusat Sistem.

Catatan

Jika kebijakan keamanan Anda membatasi TLS 1.0 dan 1.1, menginstal peran server gateway Operations Manager 2016 baru akan gagal karena media penyiapan tidak menyertakan pembaruan untuk mendukung TLS 1.2. Satu-satunya cara Anda dapat menginstal peran ini adalah dengan mengaktifkan TLS 1.0 pada sistem, menerapkan Pembaruan Rollup 4, lalu mengaktifkan TLS 1.2 pada sistem. Batasan ini tidak berlaku untuk Operations Manager versi 1801.

Prasyarat

Ada tiga hal utama yang perlu kita siapkan dan siapkan sebelum melanjutkan penginstalan peran gateway dalam skenario standar:

1. Sertifikat perlu dibuat untuk gateway dan server manajemen dan diinstal ke penyimpanan sertifikat.
   • Jika gateway dan server klien sedang digunakan dalam skenario Grup Kerja, maka klien juga memerlukan sertifikat.
2. Server gateway yang dimaksudkan harus "Disetujui" untuk menjadi gateway dalam grup manajemen sebelum penginstalan.
3. Port 5723 harus dibuka antara gateway dan server manajemen seperti yang didefinisikan dalam panduan di sini: Mengonfigurasi Firewall untuk Operations Manager

Sertifikat dan Resolusi nama

1. Penyebaran server gateway di domain tanpa kepercayaan transitif dua arah, atau dalam grup kerja, memerlukan penggunaan sertifikat untuk autentikasi. Server manajemen utama dan failover memerlukannya selain gateway yang tersambung ke server tersebut. Sertifikat ini dapat berasal dari CA Microsoft Certificate Services, atau CA pihak ketiga, jika dikonfigurasi dengan benar untuk Operations Manager. Jika Anda memerlukan bantuan untuk membuat sertifikat ini, gunakan panduan di sini: Dapatkan sertifikat untuk digunakan dengan Windows Server dan Manajer Operasi Pusat Sistem

   Catatan

   • Server gateway yang berada di domain yang sama atau dalam batas kepercayaan bersama karena grup manajemen tidak memerlukan sertifikat.
   • Jika gateway dan agen berada dalam grup kerja, maka kita akan memerlukan sertifikat untuk setiap server manajemen, gateway, dan komputer klien yang akan dipantau karena tidak ada domain dalam grup kerja untuk memfasilitasi autentikasi sistem.

2. Resolusi nama yang andal harus ada antara komputer yang dikelola agen dan server gateway, dan antara server gateway dan server manajemen. Resolusi nama ini biasanya dilakukan melalui DNS. Namun, jika tidak dimungkinkan untuk mendapatkan resolusi nama yang tepat melalui DNS, mungkin perlu untuk membuat entri secara manual di setiap file host komputer.

   Penting

   Resolusi nama maju dan balik diperiksa sebelum autentikasi akan diteruskan antar server. Jika kami menerima nama host atau FQDN yang berbeda saat memeriksa Alamat IP, maka autentikasi akan gagal.

   Tip

   File host terletak di %SystemRoot%\system32\drivers\etc direktori, dan berisi petunjuk untuk konfigurasi. Ini harus diedit di Notepad atau aplikasi lain yang dijalankan sebagai Administrator.

Mendaftarkan gateway dengan grup manajemen

Untuk mencegah masalah nanti, penting untuk mendaftar dan menyetujui mesin gateway yang dimaksudkan sebagai gateway sebelum penginstalan, jika tidak, kami menjalankan risiko gateway diambil sebagai agen.

Langkah-langkah ini harus dilakukan dari server manajemen, sebaiknya server utama atau "RMSE" Anda.

1. Ada executable yang disertakan dengan media penginstalan Operations Manager yang disebut "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe," yang dapat ditemukan di media penginstalan di bawah ..\SupportTools\amd64\.

2. Setelah ditemukan, salin file yang dapat dieksekusi ini dan file konfigurasi dengan nama yang sama ke jalur penginstalan di bawah: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Buka Prompt Perintah sebagai administrator dan navigasikan ke direktori penginstalan Manajer Operasi. (mis. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Gunakan perintah berikut untuk mendaftarkan gateway yang dimaksudkan sebagai gateway, pastikan untuk mengganti nama server dengan nama Anda sendiri:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Catatan

   Jika Anda ingin mencegah server gateway memulai komunikasi dengan server manajemen, sertakan parameter /ManagementServerInitiatesConnection=True seperti yang digunakan dalam perintah berikut. Jika tidak, komunikasi default akan dimulai dari gateway itu sendiri. Ini berguna jika Anda ingin mencegah akses masuk ke domain utama dari jaringan tempat gateway berada.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Jika persetujuan berhasil, pesan The approval of server <GatewayFQDN> completed successfully. dikembalikan.

6. Jika Anda perlu menghapus server gateway dari grup manajemen, jalankan perintah yang sama, tetapi ganti /Action=Create/Action=Delete bendera .

7. Buka konsol Operasi ke tampilan Pemantauan. Pilih tampilan Inventori yang Ditemukan untuk melihat bahwa server gateway ada. Ini juga harus dapat dilihat di bawah Administrasi > Manajemen Perangkat > Server Manajemen.

Proses pemasangan

Setelah server gateway yang dimaksudkan terdaftar di grup manajemen, saatnya untuk menginstal peran di gateway baru.

Catatan

Penginstalan akan gagal saat memulai Penginstal Windows (misalnya, menginstal server gateway dengan mengklik dua kali MOMGateway.msi) jika kebijakan keamanan lokal "Kontrol Akun Pengguna: Jalankan semua administrator dalam Mode Persetujuan Admin" diaktifkan.

Tip

Jika Anda mengalami masalah selama penginstalan, log berada di sini: %LocalAppData%\SCOM\Logs

Menginstal menggunakan GUI

Ikuti langkah-langkah berikut untuk menginstal server gateway:

1. Masuk ke server gateway dengan hak Administrator.
2. Dari media penginstalan Manajer Operasi, mulai Setup.exe.
3. Di area Instal , pilih tautan Server manajemen gateway (bukan tautan "Instal" besar, menuju bagian bawah jendela).
4. Pada layar Selamat Datang, pilih Berikutnya.
5. Pada halaman Folder Tujuan , terima default, atau pilih Ubah untuk memilih direktori penginstalan lain, dan pilih Berikutnya.
6. Pada halaman Konfigurasi Grup Manajemen , masukkan nama grup manajemen target di bidang Nama Grup Manajemen , masukkan nama server manajemen target di bidang Server Manajemen , periksa apakah bidang Port Server Manajemen adalah 5723, dan pilih Berikutnya.
7. Pada halaman Akun Tindakan Gateway , pilih opsi Akun Sistem Lokal , kecuali Anda menggunakan akun Tindakan gateway berbasis domain atau berbasis komputer lokal. Pilih Selanjutnya.
8. Pada halaman Microsoft Update , secara opsional tunjukkan apakah Anda ingin menggunakan Microsoft Update, dan pilih Berikutnya. (Biasanya pilihan ini harus Tidak.)
9. Pada halaman Siap Diinstal , pilih Instal.
10. Pada halaman Penyelesaian , pilih Selesai.

Menginstal menggunakan Prompt Perintah

Ikuti langkah-langkah ini untuk menginstal server gateway dari prompt perintah:

1. Masuk ke server gateway dengan hak Administrator.
2. Buka jendela Wantian Perintah dengan menggunakan opsi Jalankan sebagai Administrator .
3. Jalankan perintah berikut, di mana path\to\Installer adalah jalur media penginstalan. MOMGateway.msi dapat ditemukan di media penginstalan Operations Manager di bawah ..\gateway\amd64\.

Tip

Karakter ^ adalah untuk memungkinkan input multibaris ke dalam jendela konsol dan pengeditan yang lebih mudah, jika ini tidak berfungsi di lingkungan Anda, hapus karakter ^ dan edit perintah agar berada di satu baris.

Jika Anda menggunakan LocalSystem sebagai akun tindakan:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Jika Anda menggunakan Pengguna Domain sebagai akun tindakan:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Penting

Kata sandi akun tindakan tidak boleh berisi karakter "ilegal" di Prompt Perintah, seperti: & < > ( ) @ ^ | ". Jika ya, penginstalan akan gagal karena tidak dapat mengurai string, mengubah kata sandi agar tidak berisi karakter ini, lalu membungkusnya dalam tanda kutip ganda dalam perintah itu sendiri.

Mengimpor sertifikat dengan alat MOMCertImport.exe

Lakukan operasi ini pada setiap gateway dan server manajemen, bersama dengan komputer klien apa pun yang akan dikelola agen dalam grup kerja.

1. Pastikan sertifikat diinstal sebelum melanjutkan
2. Temukan file MOMCertImport.exe yang terletak di media penginstalan di bawah ..\SupportTools\amd64\
3. Salin file ini ke direktori akar server target atau ke direktori penginstalan Manajer Operasi
   • Misalnya: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Buka Prompt Perintah sebagai administrator, dan ubah direktori ke direktori tempat MOMCertImport.exe berada.
   • Misalnya: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Kemudian jalankan perintah MOMCertImport.exe /SubjectName subjectNameFQDN, di mana "subjectNameFQDN" adalah subjek yang ditentukan pada sertifikat.
   • Anda juga dapat menjalankan MOMCertImport.exe tanpa argumen apa pun untuk memungkinkan Anda memilih sertifikat dari jendela pop-up yang memperlihatkan sertifikat di Penyimpanan Pribadi Komputer Lokal.
6. Jika berhasil, layanan Microsoft Monitoring Agent dimulai ulang dan eventID 20053 dicatat ke log peristiwa Manajer Operasi. Jika eventID ini tidak ada, amati detail salah satu ID ini untuk masalah apa pun dan lakukan koreksi yang sesuai: 20049,20050,20052,20066,20069,20077

Tip

Setelah sertifikat berhasil diimpor, Anda dapat melihat versi thumbprint yang dicerminkan dalam registri di sini: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Mengonfigurasi server gateway untuk failover antar server manajemen

Secara default, server gateway hanya berkomunikasi dengan satu server manajemen, server utamanya. Jika koneksi ini hilang, gateway dan agen terlampir ditampilkan sebagai abu-abu di konsol dan tidak dipantau. Jika Anda memiliki beberapa server manajemen, kami dapat mencegah masalah ini dengan mengonfigurasi server manajemen yang dapat dialihkan gateway hingga server utama tersedia lagi. Untuk mengonfigurasi failover:

Kami menggunakan cmdlet Set-SCOMParentManagementServer di shell Operations Manager, seperti yang ditunjukkan dalam contoh berikut, untuk mengonfigurasi server gateway untuk melakukan failover ke beberapa server manajemen. Perintah dapat dijalankan dari Command Shell apa pun di grup manajemen.

1. Masuk ke server manajemen menggunakan akun yang merupakan anggota peran Administrator Manajer Operasi.

2. Dari Menu Mulai, jalankan Operations Manager Shell di bawah folder "Pusat Sistem Microsoft".

3. Di konsol, jalankan perintah berikut:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Catatan

   Anda tidak dapat mengatur server failover agar sama dengan server utama tanpa mengubah server utama secara bersamaan, atau terlebih dahulu. Jika Anda ingin mengubah primer dan mengaturnya ke sekunder, gunakan perintah berikut:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Menautkan beberapa server gateway

Meskipun jarang, terkadang perlu untuk menautkan beberapa gateway bersama-sama untuk memantau di beberapa batas yang tidak tepercaya. Bagian ini menjelaskan cara menautkan beberapa gateway bersama-sama.

Catatan

• Anda harus menginstal satu gateway sekaligus, dan memverifikasi bahwa setiap gateway yang baru diinstal dikonfigurasi dengan benar dan ditampilkan sebagai sehat di konsol SCOM sebelum menambahkan gateway lain dalam rantai.
• Saat Anda menambahkan akhir rantai gateway ke kumpulan sumber daya yang sama, jangan konfigurasikan failover ke rantai lain dengan menggunakan perintah Set-SCOMParentManagementServer . Dalam skenario seperti itu, kumpulan tidak berfungsi seperti yang diharapkan. Agar konfigurasi failover dan kumpulan sumber daya berfungsi bersama-sama, ujung gateway rantai harus memiliki induk yang sama.

Untuk mengonfigurasi rantai gateway, kami menggunakan alat Microsoft.EnterpriseManagement.GatewayApprovalTool.exe seperti yang kami lakukan untuk server gateway awal. Namun, kali ini kita perlu mengatur "ManagementServerName" sebagai server gateway upstram dalam rantai. Misalnya, jika GW02 akan terhubung ke GW01, maka GW01 adalah "ManagementServer" dalam skenario ini.

1. Masuk ke salah satu server manajemen Anda yang sudah menyiapkan GatewayApprovalTool.

2. Buka Prompt Perintah sebagai administrator dan navigasikan ke direktori tempat alat disimpan

3. Kemudian jalankan perintah di bawah ini untuk menyetujui server gateway hilir, memastikan untuk mengganti nama server dengan nama Anda sendiri:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Instal peran gateway di server baru.

5. Konfigurasikan sertifikat antara GW01 dan GW02 dengan cara yang sama seperti Anda akan mengonfigurasi sertifikat antara gateway dan server manajemen. Layanan Kesehatan hanya dapat memuat dan menggunakan satu sertifikat. Oleh karena itu, sertifikat yang sama digunakan oleh induk dan anak gateway dalam rantai.

Langkah berikutnya

Untuk memahami urutan dan langkah-langkah untuk menginstal peran server Manajer Operasi di beberapa server di grup manajemen Anda, lihat Penyebaran Terdistribusi Manajer Operasi.