Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Manajer Operasi Pusat Sistem terdiri dari fitur seperti server manajemen, server gateway, Server pelaporan, Database operasional, Gudang data pelaporan, agen, konsol web, dan konsol Operasi. Artikel ini menjelaskan bagaimana autentikasi dilakukan dan mengidentifikasi saluran koneksi tempat data dienkripsi.
Autentikasi Certificate-Based
Ketika agen Manajer Operasi dan server manajemen dipisahkan oleh batas forest atau grup kerja yang tidak tepercaya, autentikasi berbasis sertifikat perlu diimplementasikan. Bagian berikut memberikan informasi tentang situasi ini dan prosedur khusus untuk mendapatkan dan menginstal sertifikat dari otoritas sertifikasi berbasis Windows.
Menyiapkan Komunikasi Antara Agen dan Server Manajemen Dalam Batas Kepercayaan yang Sama
Agen dan server manajemen menggunakan autentikasi Windows untuk saling mengautentikasi satu sama lain sebelum server manajemen menerima data dari agen. Protokol Kerberos versi 5 adalah metode default untuk menyediakan autentikasi. Agar autentikasi timbayar berbasis Kerberos berfungsi, agen dan server manajemen harus diinstal di domain Direktori Aktif. Jika agen dan server manajemen berada di domain terpisah, kepercayaan penuh harus ada di antara domain. Dalam skenario ini, setelah autentikasi bersama terjadi, saluran data antara agen dan server manajemen dienkripsi. Tidak ada intervensi pengguna yang diperlukan agar autentikasi dan enkripsi terjadi.
Menyiapkan Komunikasi Antara Agen dan Server Manajemen Di Seluruh Batas Kepercayaan
Agen (atau agen) mungkin disebarkan ke domain (domain B) terpisah dari server manajemen (domain A), dan tidak ada kepercayaan dua arah yang mungkin ada di antara domain. Karena tidak ada kepercayaan antara kedua domain, agen dalam satu domain tidak dapat mengautentikasi dengan server manajemen di domain lain menggunakan protokol Kerberos. Otentikasi antara fitur-fitur Manajer Operasi dalam setiap domain tetap berlangsung.
Solusi untuk situasi ini adalah menginstal server gateway di domain yang sama tempat agen berada, lalu menginstal sertifikat di server gateway dan server manajemen untuk mencapai autentikasi timbayar dan enkripsi data. Penggunaan server gateway berarti Anda hanya memerlukan satu sertifikat di domain B dan hanya satu port melalui firewall, seperti yang diperlihatkan dalam ilustrasi berikut.
Menyiapkan Komunikasi Melintasi Domain – Batas Kerja Kelompok
Di lingkungan Anda, Anda mungkin memiliki satu atau dua agen yang disebarkan ke grup kerja di dalam firewall Anda. Agen dalam grup kerja tidak dapat mengautentikasi dengan server manajemen di domain menggunakan protokol Kerberos. Solusi untuk situasi ini adalah menginstal sertifikat di komputer yang menghosting agen dan server manajemen yang disambungkan agen, seperti yang ditunjukkan dalam ilustrasi berikut.
Nota
Dalam skenario ini, agen harus diinstal secara manual.
Lakukan langkah-langkah berikut pada komputer yang menghosting agen dan server manajemen menggunakan otoritas sertifikasi (CA) yang sama untuk masing-masing:
- Meminta sertifikat dari CA.
- Menyetujui permintaan sertifikat pada CA.
- Instal sertifikat yang disetujui di penyimpanan sertifikat komputer.
- Gunakan alat MOMCertImport untuk mengonfigurasi Operations Manager.
Nota
Sertifikat dengan KEYSPEC selain 1 tidak didukung.
Ini adalah langkah yang sama untuk menginstal sertifikat di server gateway, kecuali Anda tidak menginstal atau menjalankan alat persetujuan gateway
Mengonfirmasi Penginstalan Sertifikat
Jika Anda telah menginstal sertifikat dengan benar, peristiwa berikut ditulis ke dalam log peristiwa Manajer Operasi.
| Jenis | Sumber | ID Peristiwa | Umum |
|---|---|---|---|
| Informasi | Konektor OpsMgr | 20053 | Konektor OpsMgr telah berhasil memuat sertifikat autentikasi yang ditentukan. |
Selama penyiapan sertifikat, Anda menjalankan alat MOMCertImport. Setelah alat MOMCertImport selesai, nomor seri sertifikat yang Anda impor ditulis ke registri di subkunjung berikut.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Peringatan
Salah mengedit registri dapat sangat merusak sistem Anda. Sebelum membuat perubahan pada registri, Anda harus mencadangkan data bernilai apa pun di komputer.
Autentikasi dan enkripsi data antara server manajemen, server Gateway, dan agen
Komunikasi di antara fitur Operations Manager ini dimulai dengan autentikasi bersama. Jika sertifikat ada di kedua ujung saluran komunikasi, sertifikat akan digunakan untuk autentikasi bersama; jika tidak, protokol Kerberos versi 5 digunakan. Jika ada dua fitur yang dipisahkan di seluruh domain yang tidak tepercaya, autentikasi bersama harus dilakukan menggunakan sertifikat. Komunikasi normal, seperti peristiwa, pemberitahuan, dan penyebaran paket manajemen, terjadi melalui saluran ini. Ilustrasi sebelumnya menunjukkan contoh peringatan yang dihasilkan oleh salah satu agen yang dirutekan ke server manajemen. Dari agen ke server gateway, paket keamanan Kerberos digunakan untuk mengenkripsi data, karena server gateway dan agen berada di domain yang sama. Pemberitahuan didekripsi oleh server gateway dan dienkripsi ulang menggunakan sertifikat untuk server manajemen. Server gateway mengirim pesan terenkripsi ke server manajemen tempat server manajemen mendekripsi pemberitahuan. Beberapa komunikasi antara server manajemen dan agen dapat mencakup informasi kredensial; misalnya, data konfigurasi dan tugas. Saluran data antara agen dan server manajemen menambahkan lapisan enkripsi lain selain enkripsi saluran normal. Tidak diperlukan intervensi pengguna.
Server manajemen dan konsol Operasi, server konsol Web, dan Server pelaporan
Autentikasi dan enkripsi data antara server manajemen dan konsol Operasi, server konsol Web, atau Server pelaporan dicapai dengan menggunakan teknologi Windows Communication Foundation (WCF). Upaya awal autentikasi dilakukan dengan menggunakan kredensial pengguna. Protokol Kerberos dicoba terlebih dahulu. Jika protokol Kerberos tidak berfungsi, upaya lain dilakukan menggunakan NTLM. Jika autentikasi masih gagal, pengguna akan diminta untuk memberikan kredensial. Setelah autentikasi terjadi, aliran data dienkripsi sebagai fungsi protokol Kerberos atau SSL jika NTLM digunakan.
Dalam kasus server Pelaporan dan server manajemen, setelah autentikasi terjadi, koneksi data dibuat antara server manajemen dan SQL Server Reporting Server. Ini dicapai dengan menggunakan protokol Kerberos secara ketat; oleh karena itu, server manajemen dan Server Pelaporan harus berada di domain tepercaya. Untuk informasi selengkapnya tentang WCF, lihat artikel MSDN Apa itu Windows Communication Foundation.
Server manajemen dan Gudang data pelaporan
Ada dua saluran komunikasi antara server manajemen dan gudang data Pelaporan:
- Proses host pemantauan yang dihasilkan oleh layanan kesehatan (layanan Manajemen Pusat Sistem) di server manajemen
- Layanan Akses Data Pusat Sistem di server manajemen
Memantau Proses Host dan Pelaporan Gudang Data
Secara default, proses host pemantauan yang dihasilkan oleh Layanan Kesehatan, yang bertanggung jawab untuk menulis peristiwa yang dikumpulkan dan penghitung kinerja ke gudang data, mencapai Autentikasi Terintegrasi Windows dengan berjalan sebagai Akun Penulis Data yang ditentukan selama Penyiapan Pelaporan. Kredensial akun disimpan dengan aman di akun "Run As" yang disebut Akun Tindakan Gudang Data. Akun Jalankan Sebagai ini adalah anggota Profil Run As yang disebut Akun Gudang Data (yang terkait dengan aturan pengumpulan aktual).
Jika gudang data Pelaporan dan server manajemen dipisahkan oleh batas kepercayaan (misalnya, masing-masing berada di domain yang berbeda tanpa kepercayaan), Maka Autentikasi Terintegrasi Windows tidak akan berfungsi. Untuk mengatasi situasi ini, proses host pemantauan dapat terhubung ke gudang data Pelaporan menggunakan Autentikasi SQL Server. Untuk melakukan ini, buat Akun Run As baru (dari jenis Akun Sederhana) dengan kredensial akun SQL dan jadikan sebagai anggota Profil Jalankan Sebagai bernama Akun Autentikasi SQL Server Gudang Data, dengan menetapkan server manajemen sebagai komputer target.
Penting
Secara default, Akun Autentikasi Jalankan Sebagai Profil, Gudang Data SQL Server diberi akun khusus melalui penggunaan Akun Jalankan Sebagai dengan nama yang sama. Jangan pernah membuat perubahan apa pun pada akun yang terkait dengan Profil Jalankan Sebagai, Akun Autentikasi SQL Server untuk Gudang Data. Sebagai gantinya, buat akun Anda sendiri dan Akun Run As Anda sendiri, lalu jadikan Akun Run As anggota dari Profil Run As, Akun Autentikasi SQL Server Gudang Data saat mengonfigurasi Autentikasi SQL Server.
Berikut ini menguraikan hubungan berbagai kredensial akun, Akun Jalankan Sebagai, dan Profil Jalankan Sebagai untuk Autentikasi Terintegrasi Windows dan Autentikasi SQL Server.
Default: Autentikasi Terintegrasi Windows
Jalankan Sebagai Profil: Akun Gudang Data
- Jalankan Sebagai Akun: Aksi Gudang Data
- Kredensial akun: Akun Penulis Data (ditentukan selama penyiapan)
Jalankan Sebagai Profil: Akun Autentikasi SQL Server Gudang Data
- Jalankan Sebagai Akun: Autentikasi SQL Server Gudang Data
- Kredensial akun: Akun khusus yang dibuat oleh Operations Manager (jangan ubah)
Opsional: Autentikasi SQL Server
- Jalankan Sebagai Profil: Akun Autentikasi SQL Server Gudang Data
- Jalankan Sebagai Akun: Akun Jalankan Sebagai yang Anda tentukan selama penyiapan.
- Kredensial akun: Akun yang Anda tentukan selama penyiapan.
Layanan Akses Data Pusat Sistem dan gudang data Pelaporan
Secara default, layanan Akses Data Pusat Sistem, yang bertanggung jawab untuk membaca data dari gudang data Pelaporan dan membuatnya tersedia di Area Parameter Laporan, mencapai Autentikasi Terintegrasi Windows dengan menjalankan sebagai Layanan Akses Data dan akun Layanan Konfigurasi yang ditentukan selama penyiapan Operations Manager.
Jika gudang data Pelaporan dan server manajemen dipisahkan oleh batas kepercayaan (misalnya, masing-masing berada di domain yang berbeda tanpa kepercayaan), Maka Autentikasi Terintegrasi Windows tidak akan berfungsi. Untuk mengatasi situasi ini, layanan Akses Data Pusat Sistem dapat terhubung ke gudang data Pelaporan menggunakan Autentikasi SQL Server. Untuk melakukan ini, buat Run As Account baru (dengan tipe akun Simple) dengan kredensial akun SQL dan jadikan anggota Run As Profile yang disebut Reporting SDK SQL Server Authentication Account dengan server manajemen sebagai komputer target.
Penting
Secara bawaan, Run As Profile, Akun Autentikasi SQL Server untuk Reporting SDK diberi akun khusus melalui penggunaan Run As Account dengan nama yang sama. Jangan pernah membuat perubahan apa pun pada akun yang terkait dengan Profil Jalankan Sebagai, Akun Autentikasi Server SQL SDK Pelaporan. Sebagai gantinya, buat akun Anda sendiri dan Run As Account Anda sendiri, dan jadikan Run As Account sebagai anggota Run As Profile serta Reporting SDK SQL Server Authentication Account saat mengonfigurasi Autentikasi SQL Server.
Berikut ini menguraikan hubungan berbagai kredensial akun, Akun Jalankan Sebagai, dan Profil Jalankan Sebagai untuk Autentikasi Terintegrasi Windows dan Autentikasi SQL Server.
Default: Autentikasi Terintegrasi Windows
Layanan Akses Data dan Akun Layanan Konfigurasi (ditentukan selama penyiapan Manajer Operasi)
- Jalankan Sebagai Profil: Melaporkan Akun Autentikasi SDK SQL Server
- Jalankan Sebagai Akun: Melaporkan Akun Autentikasi SDK SQL Server
- Kredensial akun: Akun khusus yang dibuat oleh Operations Manager (jangan ubah)
Opsional: Autentikasi SQL Server
- Jalankan Sebagai Profil: Akun Autentikasi SQL Server Gudang Data
- Jalankan Sebagai Akun: Akun Jalankan Sebagai yang Anda tentukan selama penyiapan.
- Kredensial akun: Akun yang Anda tentukan selama penyiapan.
Konsol operasi dan Server pelaporan
Konsol Operasi terhubung ke Server Pelaporan pada port 80 menggunakan HTTP. Autentikasi dilakukan menggunakan Autentikasi Windows. Data dapat dienkripsi dengan menggunakan saluran SSL.
Server pelaporan dan Gudang data pelaporan
Autentikasi antara Server Pelaporan dan gudang data Pelaporan dicapai menggunakan Autentikasi Windows. Akun yang ditentukan sebagai Akun Pembaca Data selama penyiapan Pelaporan menjadi Akun Eksekusi di Server Pelaporan. Jika kata sandi untuk akun harus berubah, Anda harus membuat perubahan kata sandi yang sama menggunakan Manajer Konfigurasi Layanan Pelaporan di SQL Server. Data antara Server Pelaporan dan gudang data Pelaporan tidak dienkripsi.