Condividi tramite


Installare un server gateway

I server gateway vengono in genere usati per abilitare il monitoraggio dei computer client che non rientrano nel limite di attendibilità Kerberos dei gruppi di gestione. Tuttavia, possono anche essere usati all'interno dello stesso dominio se è necessario suddividere l'ambiente a causa della segmentazione di rete o avere agenti "lontani" si connettono al gruppo di gestione.

Gli agenti comunicano direttamente con il server gateway e il server gateway comunica con uno o più server di gestione. È possibile inserire più server gateway in un singolo dominio in modo che gli agenti possano eseguire il failover da uno all'altro se perdono la comunicazione con il gateway primario. Analogamente, è possibile configurare un singolo server gateway per eseguire il failover tra i server di gestione in modo che non esista un singolo punto di errore nella catena di comunicazione. Il server gateway funge da proxy per la comunicazione da agente a server di gestione, consentendo l'apertura di una sola porta tra reti al posto di molti. I certificati devono essere usati per stabilire l'identità di ogni computer quando non rientrano nel limite di attendibilità Kerberos. Senza certificati, i sistemi potrebbero connettersi, ma rifiutare di comunicare a causa dell'impossibilità di autenticare la connessione.

Prima di continuare, assicurarsi che il server soddisfi i requisiti minimi di sistema per System Center Operations Manager. Per altre informazioni, vedere Requisiti di sistema per System Center Operations Manager.

Nota

Se i criteri di sicurezza limitano TLS 1.0 e 1.1, l'installazione di un nuovo ruolo del server gateway di Operations Manager 2016 avrà esito negativo perché il supporto di installazione non include gli aggiornamenti per supportare TLS 1.2. L'unico modo per installare questo ruolo consiste nell'abilitare TLS 1.0 nel sistema, applicare l'aggiornamento cumulativo 4 e quindi abilitare TLS 1.2 nel sistema.

Prerequisiti

Prima di procedere con l'installazione del ruolo del gateway in uno scenario standard, è necessario disporre di tre aspetti principali:

  1. I certificati devono essere generati per il gateway e il o i server Management e installati negli archivi certificati.
    • Se i server gateway e client vengono usati in uno scenario di gruppo di lavoro, anche i client necessitano di certificati.
  2. Il server gateway previsto deve essere "Approvato" per essere un gateway all'interno del gruppo di gestione prima dell'installazione.
  3. La porta 5723 deve essere aperta tra il gateway e il server di gestione, come definito nella guida qui: Configurazione di un firewall per Operations Manager

Certificati e risoluzione dei nomi

  1. La distribuzione di server gateway in domini senza un trust transitivo bidirezionale o in un gruppo di lavoro richiede l'uso di certificati per l'autenticazione. I server di gestione primario e di failover necessitano di un server di gestione oltre al gateway che si connette a tali server. Questi certificati possono provenire da una CA di Servizi certificati Microsoft o da una CA di terze parti, se configurati correttamente per Operations Manager. Se è necessaria assistenza per la creazione di questi certificati, usare la guida qui: Ottenere un certificato da usare con i server Windows e System Center Operations Manager

    Nota

    • I server gateway che si trovano nello stesso dominio o in un limite di attendibilità condivisa del gruppo di gestione non richiedono certificati.
    • Se il gateway e gli agenti si trovano in un gruppo di lavoro, saranno necessari certificati per ogni server di gestione, gateway e computer client che verrà monitorato perché non è presente alcun dominio all'interno di un gruppo di lavoro per facilitare l'autenticazione dei sistemi.
  2. La risoluzione dei nomi affidabile deve esistere tra i computer gestiti dall'agente e il server gateway e tra il server gateway e il server di gestione. Questa risoluzione dei nomi viene in genere eseguita tramite DNS. Tuttavia, se non è possibile ottenere una risoluzione dei nomi corretta tramite DNS, potrebbe essere necessario creare manualmente voci nel file hosts di ogni computer.

    Importante

    Le risoluzioni dei nomi in avanti e inverso vengono controllate prima che l'autenticazione passi tra server. Se si riceve un nome host o un nome di dominio completo diverso durante il controllo dell'indirizzo IP, l'autenticazione avrà esito negativo.

    Suggerimento

    Il file hosts si trova nella %SystemRoot%\system32\drivers\etc directory e contiene le istruzioni per la configurazione. Questa operazione deve essere modificata in un Blocco note o in un'altra applicazione eseguita come amministratore.

Registrare il gateway con il gruppo di gestione

Per evitare problemi successivi, è importante registrare e approvare il computer gateway previsto come gateway prima dell'installazione. In caso contrario, il gateway viene prelevato come agente.

Questi passaggi devono essere eseguiti da un server di gestione, preferibilmente dal server primario o "RMSE".

  1. È disponibile un eseguibile incluso nel supporto di installazione di Operations Manager denominato "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", disponibile nel supporto di installazione in ..\SupportTools\amd64\.

  2. Una volta individuato, copiare il file eseguibile e il file di configurazione con lo stesso nome nel percorso di installazione in: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

  3. Aprire un prompt dei comandi come amministratore e passare alla directory di installazione di Operations Manager. (ad esempio cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

  4. Usare il comando seguente per registrare il gateway previsto come gateway per assicurarsi di sostituire i nomi del server con i propri:

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
    

    Nota

    Se si vuole impedire al server gateway di avviare la comunicazione con un server di gestione, includere il parametro /ManagementServerInitiatesConnection=True usato nel comando seguente. In caso contrario, per impostazione predefinita, la comunicazione avvierà dal gateway stesso. Ciò è utile se si vuole impedire l'accesso in ingresso al dominio primario dalla rete in cui risiede il gateway.

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
    
  5. Se l'approvazione ha esito positivo, viene restituito il messaggio The approval of server <GatewayFQDN> completed successfully. .

  6. Se è necessario rimuovere il server gateway dal gruppo di gestione, eseguire lo stesso comando, ma sostituire /Action=Create con il /Action=Delete flag .

  7. Aprire la Console operatore per la visualizzazione Monitoraggio. Selezionare la visualizzazione Inventario individuato per verificare che il server gateway sia presente. Deve anche essere visualizzabile in Amministrazione > Gestione dispositivi > Server di gestione.

Processo di installazione

Dopo aver registrato il server gateway previsto con il gruppo di gestione, è possibile installare il ruolo nel nuovo gateway.

Nota

Un'installazione avrà esito negativo quando si avvia Windows Installer (ad esempio, l'installazione di un server gateway facendo doppio clic su MOMGateway.msi) se il criterio di sicurezza locale "Controllo account utente: Esegui tutti gli amministratori in modalità approvazione amministratore" è abilitato.

Suggerimento

Se si verificano problemi durante l'installazione, i log si trovano qui: %LocalAppData%\SCOM\Logs

Per installare il server gateway, seguire questa procedura:

  1. Accedere al server gateway con diritti di Amministratore.
  2. Dal supporto di installazione di Operations Manager avviare Setup.exe.
  3. Nell'area Installa selezionare il collegamento Server di gestione gateway (non il collegamento "Installa" di grandi dimensioni, nella parte inferiore della finestra).
  4. Nella schermata iniziale selezionare Avanti.
  5. Nella pagina Cartella di destinazione accettare l'impostazione predefinita oppure selezionare Cambia per selezionare una directory di installazione diversa e selezionare Avanti.
  6. Nella pagina Configurazione gruppo di gestione immettere il nome del gruppo di gestione di destinazione nel campo Nome gruppo di gestione, immettere il nome del server di gestione di destinazione nel campo Server di gestione, verificare che il campo Porta server di gestione sia 5723 e selezionare Avanti.
  7. Nella pagina Account azione gateway selezionare l'opzione Account di sistema locale, a meno che non si usi un account azione gateway basato su dominio o locale. Selezionare Avanti.
  8. Nella pagina Microsoft Update indicare facoltativamente se si vuole usare Microsoft Update e selezionare Avanti. (In genere questa selezione deve essere No.)
  9. Nella pagina Inizio installazione fare clic su Installa.
  10. Nella pagina Completamento selezionare Fine.

Importare i certificati con lo strumento di MOMCertImport.exe

Eseguire questa operazione in ogni gateway e server di gestione, insieme a tutti i computer client che devono essere gestiti in un gruppo di lavoro.

  1. Verificare che i certificati siano installati prima di continuare
  2. Individuare il file MOMCertImport.exe che si trova nel supporto di installazione in ..\SupportTools\amd64\
  3. Copiare questo file nella directory radice del server di destinazione o nella directory di installazione di Operations Manager
    • Ad esempio: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
  4. Aprire un prompt dei comandi come amministratore e passare alla directory in cui si trova MOMCertImport.exe.
    • Ad esempio: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
  5. Eseguire quindi il comando MOMCertImport.exe /SubjectName subjectNameFQDN, dove "subjectNameFQDN" è l'oggetto definito nel certificato.
    • È anche possibile eseguire MOMCertImport.exe senza argomenti per consentire di scegliere un certificato da una finestra popup che mostra i certificati nell'archivio personale del computer locale.
  6. In caso di esito positivo, il servizio Microsoft Monitoring Agent viene riavviato e eventID 20053 viene registrato nel registro eventi di Operations Manager. Se questo eventID non è presente, osservare i dettagli di uno di questi ID per eventuali problemi e apportare correzioni di conseguenza: 20049,20050,20052,20066,20069,20077

Suggerimento

Dopo aver importato correttamente il certificato, è possibile visualizzare una versione con mirroring dell'identificazione personale nel Registro di sistema qui: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configurare i server gateway per il failover tra server di gestione

Per impostazione predefinita, i server gateway comunicano solo con un server di gestione, il relativo server primario. Se la connessione viene persa, il gateway e gli agenti collegati vengono visualizzati come grigi nella console e non vengono monitorati. Se si dispone di più server di gestione, è possibile evitare questo problema configurando i server di gestione su cui il gateway può eseguire il failover fino a quando il database primario non sarà nuovamente disponibile. Per configurare un failover:

Viene usato il cmdlet Set-SCOMParentManagementServer nella shell di Operations Manager, come illustrato nell'esempio seguente, per configurare un server gateway per eseguire il failover in più server di gestione. I comandi possono essere eseguiti da qualsiasi shell dei comandi nel gruppo di gestione.

  1. Accedere a un server di gestione usando un account membro del ruolo Amministratori di Operations Manager.

  2. Dal menu Start eseguire il shell di Operations Manager nella cartella "Microsoft System Center".

  3. Nella console eseguire i comandi seguenti:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
    $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
    Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
    

    Nota

    Non è possibile impostare un server di failover sullo stesso server primario senza modificare il server primario contemporaneamente o prima. Se si vuole modificare il database primario e impostarlo su un database secondario, usare i comandi seguenti:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
    $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
    $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
    Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
    

Concatenare più server gateway

Sebbene non comune, a volte è necessario concatenare più gateway per monitorare più limiti non attendibili. Questa sezione descrive come concatenare più gateway.

Nota

  • È necessario installare un gateway alla volta e verificare che ogni gateway appena installato sia configurato correttamente e che venga visualizzato come integro nella console SCOM prima di aggiungere un altro gateway nella catena.
  • Quando si aggiungono i gateway alla fine della catena allo stesso pool di risorse, non configurare il failover nell'altra catena usando il comando Set-SCOMParentManagementServer . In uno scenario di questo tipo, il pool non funziona come previsto. Affinché la configurazione del failover e il pool di risorse funzionino insieme, la fine del gateway della catena deve avere lo stesso elemento padre.

Per configurare una catena di gateway, viene utilizzato lo strumento Microsoft.EnterpriseManagement.GatewayApprovalTool.exe proprio come è stato fatto per il server gateway iniziale. Tuttavia, questa volta è necessario impostare "ManagementServerName" come server gateway upstream nella catena. Ad esempio, se GW02 si connette a GW01, GW01 è "ManagementServer" in questo scenario.

  1. Accedere a uno dei server di gestione con GatewayApprovalTool già configurato.

  2. Aprire un prompt dei comandi come amministratore e passare alla directory in cui viene salvato lo strumento

  3. Eseguire quindi il comando seguente per approvare il server gateway downstream, assicurandosi di sostituire i nomi del server con i propri:

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
    
  4. Installare il ruolo gateway in un nuovo server.

  5. Configurare i certificati tra GW01 e GW02 nello stesso modo in cui si configurano i certificati tra un gateway e un server di gestione. Il Servizio integrità può solo caricare e usare un singolo certificato. Di conseguenza, lo stesso certificato viene usato dall'elemento padre e figlio del gateway nella catena.

Passaggi successivi

Per comprendere la sequenza e i passaggi per l'installazione dei ruoli del server Operations Manager in più server nel gruppo di gestione, vedere Distribuzione distribuita di Operations Manager.