Condividi tramite

Configurare e usare l'integrazione di Active Directory per l'assegnazione dell'agente

  • Articolo

System Center Operations Manager consente di sfruttare gli investimenti in Dominio di Active Directory Services (AD DS) consentendo di usarlo per assegnare computer gestiti dall'agente ai gruppi di gestione. Questo articolo illustra come creare e gestire la configurazione del contenitore in Active Directory e l'assegnazione dell'agente degli agenti dei server di gestione deve segnalare a .

Creare un contenitore Dominio di Active Directory Services per un gruppo di gestione

È possibile usare la sintassi della riga di comando e la procedura seguenti per creare un contenitore di servizi di Dominio di Active Directory (AD DS) per un gruppo di gestione di System Center Operations Manager. MOMADAdmin.exe viene fornito a questo scopo e viene installato con il server di gestione di Operations Manager. MOMADAdmin.exe deve essere eseguito da un amministratore del dominio specificato.

Sintassi della riga di comando:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Se il valore contiene uno spazio, è necessario inserire un valore tra virgolette.

  • ManagementGroupName è il nome del gruppo di gestione per il quale viene creato un contenitore di Active Directory.

  • MOMAdminSecurityGroup è un gruppo di sicurezza del dominio, dominio\security_group formato, membro del ruolo di sicurezza Amministratori operations manager per il gruppo di gestione.

  • RunAsAccount: account di dominio che verrà usato dal server di gestione per leggere, scrivere ed eliminare oggetti in AD. Usare il formato domain\username.

  • Dominio è il nome del dominio in cui verrà creato il contenitore del gruppo di gestione. MOMADAdmin.exe possono essere eseguiti tra domini solo se esiste un trust bidirezionale tra di essi.

Per il funzionamento dell'integrazione di Active Directory, il gruppo di sicurezza deve essere un gruppo di sicurezza globale (se l'integrazione di Active Directory deve funzionare in più domini con trust bidirezionali) o un gruppo di dominio locale (se l'integrazione di Active Directory viene usata solo in un dominio)

Per aggiungere un gruppo di sicurezza al gruppo Administrators di Operations Manager, seguire questa procedura.

  1. Nella Console operatore selezionare Amministrazione.

  2. Nell'area di lavoro Amministrazione selezionare Ruoli utente in Sicurezza.

  3. In Ruoli utente selezionare Amministratori di Operations Manager e selezionare l'azione Proprietà oppure fare clic con il pulsante destro del mouse su Amministratori di Operations Manager e scegliere Proprietà.

  4. Selezionare Aggiungi per aprire la finestra di dialogo Seleziona gruppo .

  5. Selezionare il gruppo di sicurezza desiderato e quindi selezionare OK per chiudere la finestra di dialogo.

  6. Selezionare OK per chiudere Proprietà ruolo utente.

Nota

È consigliabile usare un gruppo di sicurezza, che potrebbe contenere diversi gruppi, per il ruolo Amministratori di Operations Manager. In questo modo, i gruppi e i membri dei gruppi possono essere aggiunti e rimossi dai gruppi senza che un amministratore di dominio debba eseguire passaggi manuali per assegnarle autorizzazioni di lettura ed eliminazione figlio al contenitore del gruppo di gestione.

Usare la procedura seguente per creare il contenitore di Active Directory Domain Services.

  1. Aprire un prompt dei comandi come amministratore.

  2. Al prompt, ad esempio, immettere quanto segue:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Nota

Il percorso predefinito è C:\Programmi\Microsoft System Center 2016\Operations Manager.

Nota

Il percorso predefinito è C:\Programmi\Microsoft System Center\Operations Manager.

  1. L'esempio della riga di comando precedente:

    1. Eseguire l'utilità MOMADAdmin.exe dalla riga di comando.

    2. Creare il contenitore di Active Directory Domain Services del gruppo di gestione "Message Ops" nella radice dello schema di Active Directory Domain Services del dominio MessageDom . Per creare lo stesso contenitore di Active Directory Domain Services del gruppo di gestione in domini aggiuntivi, eseguire MOMADAdmin.exe per ogni dominio.

    3. Aggiungere l'account utente di dominio MessageDom\MessageADIntAcct al gruppo di sicurezza MessageDom\MessageOMAdmins ACTIVE Domain Services e assegnare al gruppo di sicurezza di Active Directory Domain Services i diritti necessari per gestire il contenitore di Active Directory Domain Services.

Usare Dominio di Active Directory Servizi per assegnare computer ai server di gestione

L'assegnazione e il failover guidato dell'agente di Operations Manager crea una regola di assegnazione dell'agente che usa servizi di Dominio di Active Directory per assegnare computer a un gruppo di gestione e assegnare i server di gestione primari e secondari dei computer. Utilizzare le procedure seguenti per avviare e usare la procedura guidata.

Importante

Il contenitore Dominio di Active Directory Services per il gruppo di gestione deve essere creato prima di eseguire l'assegnazione e il failover guidato dell'agente.

L'assegnazione e il failover guidato dell'agente non distribuisce l'agente. È necessario distribuire manualmente l'agente nei computer usando MOMAgent.msi.

La modifica della regola di assegnazione dell'agente può comportare l'assegnazione dei computer a cui il gruppo di gestione non viene più assegnato e quindi monitorato dal gruppo di gestione. Lo stato di questi computer passerà a critico, perché i computer non inviano più heartbeat al gruppo di gestione. Questi computer possono essere eliminati dal gruppo di gestione e, se il computer non è assegnato ad altri gruppi di gestione, l'agente di Operations Manager può essere disinstallato.

Avviare l'assegnazione e il failover guidato dell'agente di Operations Manager

  1. Accedere al computer con un account membro del ruolo Amministratori di Operations Manager.

  2. Nella console operatore selezionare Amministrazione.

  3. Nell'area di lavoro Amministrazione selezionare Server di gestione.

  4. Nel riquadro Server di gestione fare clic con il pulsante destro del mouse sul server di gestione o sul server gateway in modo che sia Server di gestione primario per i computer restituiti dalle regole create nella procedura seguente e quindi selezionare Proprietà.

    Nota

    I server gateway funzionano come i server di gestione in questo contesto.

  5. Nella finestra di dialogo Proprietà server di gestione selezionare la scheda Assegnazione automatica agente e quindi selezionare Aggiungi per avviare l'assegnazione e il failover guidato dell'agente.

  6. Nella pagina Introduzione della Creazione guidata assegnazione e failover agente selezionare Avanti.

    Nota

    La pagina Introduzione non viene visualizzata se la procedura guidata è stata eseguita e non visualizzare di nuovo questa pagina è stata selezionata.

  7. Nella pagina Dominio eseguire le operazioni seguenti:

    Nota

    Per assegnare computer da più domini a un gruppo di gestione, eseguire l'Assegnazione dell'agente e la Procedura guidata failover per ogni dominio.

    • Selezionare il dominio dei computer dall'elenco a discesa Nome di dominio. Il server di gestione e tutti i computer nel pool di risorse assegnazione agente di Active Directory devono essere in grado di risolvere il nome di dominio.

      Importante

      Il server di gestione e i computer che si desidera gestire devono essere in domini attendibili bidirezionali.

    • Impostare Seleziona profilo RunAs sul profilo RunAs associato all'account RunAs fornito quando MOMADAdmin.exe è stato eseguito per il dominio. L'account predefinito usato per eseguire l'assegnazione dell'agente è l'account azione predefinito specificato durante l'installazione, detto anche account di assegnazione dell'agente basato su Active Directory. Questo account rappresenta le credenziali utilizzate per la connessione all'istanza di Active Directory del dominio specificato e la modifica di oggetti Active Directory e devono corrispondere all'account specificato durante l'esecuzione di MOMAdmin.exe. Se questo non era l'account usato per eseguire MOMADAdmin.exe, selezionare Usa un account diverso per eseguire l'assegnazione dell'agente nel dominio specificato e quindi selezionare o creare l'account dall'elenco a discesa Seleziona profilo RunAs. Il profilo account di assegnazione agente basato su Active Directory deve essere configurato per l'uso di un account amministratore di Operations Manager, che viene distribuito a tutti i server nel pool di risorse assegnazione agente ACTIVE Directory.

      Nota

      Per altre informazioni sui profili RunAs e sugli account RunAs, vedere Gestione di account e profili RunAs.

  8. Nella pagina Criteri di inclusione digitare la query LDAP per l'assegnazione di computer a questo server di gestione nella casella di testo e quindi selezionare Avanti oppure selezionare Configura. Se si seleziona Configura, eseguire le operazioni seguenti:

    1. Nella finestra di dialogo Trova computer immettere i criteri desiderati per l'assegnazione di computer a questo server di gestione o immettere la query LDAP specifica.

      La query LDAP seguente restituisce solo i computer che eseguono il sistema operativo Windows Server ed esclude i controller di dominio.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Questa query LDAP di esempio restituisce solo i computer che eseguono il sistema operativo Windows Server. Esclude i controller di dominio e i server che ospitano il ruolo del server di gestione di Operations Manager o Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Per altre informazioni sulle query LDAP, vedere Creazione di un filtro di query e Active Directory: filtri di sintassi LDAP.

    2. Seleziona OK e quindi Avanti.

  9. Nella pagina Criteri di esclusione digitare il nome di dominio completo dei computer che si desidera impedire in modo esplicito di essere gestito da questo server di gestione e quindi selezionare Avanti.

    Importante

    È necessario separare gli FQDN del computer digitati con un punto e virgola, due punti o una nuova riga (CTRL+INVIO).

  10. Nella pagina Failover agente selezionare Gestisci automaticamente il failover e selezionare Crea o selezionare Configura manualmente il failover. Se si seleziona Configura manualmente il failover, eseguire le operazioni seguenti:

    1. Deselezionare le caselle di controllo dei server di gestione a cui non si vuole eseguire il failover degli agenti.

    2. Seleziona Crea.

      Nota

      Con l'opzione Configura manualmente il failover , è necessario eseguire di nuovo la procedura guidata se successivamente si aggiunge un server di gestione al gruppo di gestione e si vuole che gli agenti eseguano il failover nel nuovo server di gestione.

  11. Nella finestra di dialogo Proprietà server di gestione selezionare OK.

Nota

L'impostazione di assegnazione dell'agente può richiedere fino a un'ora per propagarsi in Active Directory Domain Services.

Al termine, la regola seguente viene creata nel gruppo di gestione e ha come destinazione la classe Pool di risorse di assegnazione DI ACTIVE Directory.

Screenshot della regola di assegnazione dell'agente di Integrazione Active Directory.
Questa regola include le informazioni di configurazione dell'assegnazione dell'agente specificate nell'Assegnazione dell'agente e nella Procedura guidata failover, ad esempio la query LDAP.

Per verificare se il gruppo di gestione ha pubblicato correttamente le informazioni in Active Directory, cercare l'ID evento 11470 dall'origine Servizio integrità Moduli nel registro eventi di Operations Manager nel server di gestione in cui è stata definita la regola di assegnazione dell'agente. Nella descrizione deve indicare che è stato aggiunto correttamente tutti i computer aggiunti alla regola di assegnazione dell'agente.

Screenshot che mostra l'evento di esito positivo dell'assegnazione dell'agente di Integrazione Active Directory.

In Active Directory, nel contenitore OperationsManager<ManagementGroupName> , dovrebbero essere visualizzati gli oggetti del punto di connessione del servizio (SCP) creati in modo simile all'esempio seguente.

Screenshot che mostra gli oggetti ad assegnazione dell'agente di Integrazione Active Directory.

La regola crea anche due gruppi di sicurezza con il nome NetBIOS del server di gestione: il primo con il suffisso "_PrimarySG<numero> casuale" e il secondo "_SecondarySG<numero> casuale". In questo esempio sono presenti due server di gestione distribuiti nel gruppo di gestione e l'appartenenza al gruppo di sicurezza primario ComputerB_Primary_SG_24901 include computer che corrispondono alla regola di inclusione definita nella regola di assegnazione dell'agente e l'appartenenza al gruppo di sicurezza ComputerA_Secondary_SG_38838 include il gruppo primario ComputerB_Primary_SG-29401 gruppo di sicurezza contenente l'account computer degli agenti che eseguirebbero il failover a questo server di gestione secondario nel caso in cui il server di gestione primario non risponda. Il nome SCP è il nome NetBIOS del server di gestione con il suffisso "_SCP".

Nota

In questo esempio vengono visualizzati solo gli oggetti di un singolo gruppo di gestione e non altri gruppi di gestione che possono esistere e configurati anche con l'integrazione di ACTIVE Directory.

Distribuzione manuale dell'agente con l'impostazione di integrazione di Active Directory

Di seguito è riportato un esempio della riga di comando per installare manualmente l'agente Windows con l'integrazione di Active Directory abilitata.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Modificare l'impostazione di integrazione di Active Directory per un agente

È possibile utilizzare la seguente procedura per modificare l'impostazione di integrazione di Active Directory per un agente.

  1. Nel Pannello di controllo del computer gestito tramite agente, fare doppio clic su Microsoft Monitoring Agent.

  2. Nella scheda Operations Manager deselezionare o selezionare Aggiorna automaticamente le assegnazioni dei gruppi di gestione da Servizi di dominio Active Directory. Se si seleziona questa opzione, all'avvio dell'agente, l'agente richiederà ad Active Directory un elenco dei gruppi di gestione a cui è stato assegnato. Questi gruppi di gestione, se presenti, verranno aggiunti all'elenco. Se si deseleziona questa opzione, tutti i gruppi di gestione assegnati all'agente in Active Directory verranno rimossi dall'elenco.

  3. Seleziona OK.

Integrare Active Directory con un dominio non attendibile

  1. Creare un utente in un dominio non attendibile con autorizzazioni per leggere, scrivere ed eliminare oggetti in AD.
  2. Creare un gruppo di sicurezza (locale o globale del dominio). Aggiungere l'utente (creato nel passaggio 1) a questo gruppo.
  3. Eseguire MOMAdAdmin.exe nel dominio non attendibile con i parametri seguenti: <path>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Creare un nuovo account RunAs in Operations Manager; usare l'account creato nel passaggio 1. Assicurarsi che il nome di dominio sia fornito con FQDN, non con il nome NetBIOS (ad esempio: CONTOSO.COM\ADUser).
  5. Distribuire l'account al pool di risorse di assegnazione di Active Directory.
  6. Creare un nuovo profilo RunAs nel Management Pack predefinito. Se questo profilo viene creato in qualsiasi altro Management Pack, assicurarsi di bloccare il Management Pack in modo che possa essere fatto riferimento ad altri Management Pack.
  7. Aggiungere l'account RunAs appena creato a questo profilo e assegnarlo al pool di risorse di assegnazione di AD
  8. Creare le regole di integrazione di Active Directory in Operations Manager.

Nota

Dopo l'integrazione con un dominio non attendibile, ogni server di gestione visualizza il messaggio di avviso Database di sicurezza nel server non dispone di un account computer per questa relazione di trust della workstation che indica che la convalida dell'account RunAs utilizzato dall'assegnazione di Active Directory non è riuscita. L'ID evento 7000 o 1105 viene generato nel registro eventi di Operations Manager. Tuttavia, questo avviso non ha alcun effetto sull'assegnazione di ACTIVE Directory in un dominio non attendibile.

Passaggi successivi

Per informazioni su come installare l'agente Di Windows dalla Console operatore, vedere Installare l'agente in Windows tramite l'Individuazione guidata o installare l'agente dalla riga di comando, vedere Installare manualmente l'agente Windows tramite MOMAgent.msi.