Condividi tramite

Configurare e usare l'integrazione di Active Directory per l'assegnazione dell'agente

System Center Operations Manager consente di sfruttare il tuo investimento in Active Directory Domain Services (AD DS) permettendoti di usarlo per assegnare i computer gestiti dall'agente ai gruppi di gestione. Questo articolo illustra come creare e gestire la configurazione del contenitore in Active Directory, e l'assegnazione degli agenti ai server di gestione a cui devono riferire.

Crea un contenitore Servizi di dominio Active Directory per un gruppo di gestione

È possibile usare la sintassi della riga di comando e la procedura seguenti per creare un contenitore di servizi di Dominio di Active Directory (AD DS) per un gruppo di gestione di System Center Operations Manager. MOMADAdmin.exe viene fornito a questo scopo e viene installato con il server di gestione di Operations Manager. MOMADAdmin.exe deve essere eseguito da un amministratore del dominio specificato.

Sintassi della riga di comando:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Se il valore contiene uno spazio, è necessario inserire un valore tra virgolette.

  • ManagementGroupName è il nome del gruppo di gestione per il quale viene creato un contenitore di Active Directory.

  • MOMAdminSecurityGroup è un gruppo di sicurezza del dominio, nel formato dominio\security_group, membro del ruolo di sicurezza degli Amministratori dei Operations Manager del gruppo di gestione.

  • RunAsAccount: account di dominio che verrà usato dal server di gestione per leggere, scrivere ed eliminare oggetti in AD. Usare il formato domain\username.

  • Dominio è il nome del dominio in cui verrà creato il contenitore del gruppo di gestione. MOMADAdmin.exe possono essere eseguiti tra domini solo se esiste un trust bidirezionale tra di essi.

Per il funzionamento dell'integrazione di Active Directory, il gruppo di sicurezza deve essere un gruppo di sicurezza globale (se l'integrazione di Active Directory deve funzionare in più domini con trust bidirezionali) o un gruppo di dominio locale (se l'integrazione di Active Directory viene usata solo in un dominio)

Per aggiungere un gruppo di sicurezza al gruppo Administrators di Operations Manager, seguire questa procedura.

  1. Nella Console operatore selezionare Amministrazione.

  2. Nell'area di lavoro Amministrazione selezionare Ruoli utente in Sicurezza.

  3. In Ruoli utente selezionare Amministratori di Operations Manager e selezionare l'azione Proprietà oppure fare clic con il pulsante destro del mouse su Amministratori di Operations Manager e scegliere Proprietà.

  4. Selezionare Aggiungi per aprire la finestra di dialogo Seleziona gruppo .

  5. Selezionare il gruppo di sicurezza desiderato e quindi selezionare OK per chiudere la finestra di dialogo.

  6. Selezionare OK per chiudere Proprietà ruolo utente.

Nota

Consigliamo di utilizzare un gruppo di sicurezza, che potrebbe contenere diversi gruppi, per il ruolo di Amministratori di Operations Manager. In questo modo, i gruppi e i membri dei gruppi possono essere aggiunti e rimossi dai gruppi senza che un amministratore di dominio debba eseguire passaggi manuali per assegnare loro autorizzazioni di lettura e di eliminazione dei figli al contenitore del gruppo di amministrazione.

Usare la procedura seguente per creare il contenitore di Active Directory Domain Services.

  1. Apri un prompt dei comandi come amministratore.

  2. Al prompt, ad esempio, immettere quanto segue:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Nota

Il percorso predefinito è C:\Programmi\Microsoft System Center 2016\Operations Manager.

Nota

Il percorso predefinito è C:\Programmi\Microsoft System Center\Operations Manager.

  1. L'esempio della riga di comando precedente eseguirà:

    1. Eseguire l'utilità MOMADAdmin.exe dalla riga di comando.

    2. Creare il contenitore di Active Directory Domain Services del gruppo di gestione "Message Ops" nella radice dello schema di Active Directory Domain Services del dominio MessageDom . Per creare lo stesso contenitore di Active Directory Domain Services del gruppo di gestione in domini aggiuntivi, eseguire MOMADAdmin.exe per ogni dominio.

    3. Aggiungere l'account utente di dominio MessageDom\MessageADIntAcct al gruppo di sicurezza MessageDom\MessageOMAdmins dei servizi di dominio di Active Directory e assegnare al gruppo di sicurezza dei servizi di dominio di Active Directory i diritti necessari per gestire il contenitore dei servizi di dominio di Active Directory.

Usare i Servizi di dominio di Active Directory per assegnare i computer ai server di gestione

La guida guidata per l'assegnazione e il failover dell'agente di Operations Manager crea una regola di assegnazione dell'agente che utilizza Active Directory Domain Services (AD DS) per assegnare i computer a un gruppo di gestione e assegnare i server di gestione primari e secondari dei computer. Utilizzare le procedure seguenti per avviare e utilizzare la procedura guidata.

Importante

Il contenitore Servizi di dominio di Active Directory per il gruppo di gestione deve essere creato prima di eseguire la procedura guidata dell'assegnazione e del failover agenti.

La procedura guidata di assegnazione e failover non installa l'agente. È necessario distribuire manualmente l'agente nei computer usando MOMAgent.msi.

La modifica della regola di assegnazione dell'agente può comportare che i computer non vengano più assegnati e quindi non più monitorati dal gruppo di gestione. Lo stato di questi computer passerà a critico, perché i computer non inviano più heartbeat al gruppo di gestione. Questi computer possono essere eliminati dal gruppo di gestione e, se il computer non è assegnato ad altri gruppi di gestione, l'agente di Operations Manager può essere disinstallato.

Avviare la procedura guidata di assegnazione e failover dell'agente di Operations Manager

  1. Accedi al computer con un account che sia membro del ruolo Amministratori di Operations Manager.

  2. Nella console operatore selezionare Amministrazione.

  3. Nell'area di lavoro Amministrazione selezionare Server di gestione.

  4. Nel riquadro Server di gestione fare clic con il pulsante destro del mouse sul server di gestione o sul server gateway in modo che sia Server di gestione primario per i computer restituiti dalle regole create nella procedura seguente e quindi selezionare Proprietà.

    Nota

    I server gateway funzionano come i server di gestione in questo contesto.

  5. Nella finestra di dialogo Proprietà Server di Gestione, selezionare la scheda Assegnazione automatica dell'agente e quindi selezionare Aggiungi per avviare la procedura guidata di assegnazione e failover dell'agente.

  6. Nella Creazione guidata assegnazione e failover agente, nella pagina Introduzione, selezionare Avanti.

    Nota

    La pagina Introduzione non viene visualizzata se la procedura guidata è stata eseguita e non visualizzare di nuovo questa pagina è stata selezionata.

  7. Nella pagina Dominio eseguire le operazioni seguenti:

    Nota

    Per assegnare computer da più domini a un gruppo di gestione, eseguire la Procedura guidata di assegnazione dell'agente e failover per ogni dominio.

    • Selezionare il dominio dei computer dall'elenco a discesa Nome di dominio. Il server di gestione e tutti i computer nel gruppo di risorse dell'Agente di Assegnazione AD devono poter risolvere il nome di dominio.

      Importante

      Il server di gestione e i computer che si desidera gestire devono essere in domini attendibili bidirezionali.

    • Impostare Seleziona profilo Run As sul profilo Run As associato all'account Run As fornito quando è stato eseguito MOMADAdmin.exe per il dominio. L'account predefinito usato per eseguire l'assegnazione dell'agente è l'account azione predefinito specificato durante l'installazione, detto anche account di assegnazione dell'agente basato su Active Directory. Questo account rappresenta le credenziali utilizzate per la connessione all'istanza di Active Directory del dominio specificato e la modifica di oggetti Active Directory e devono corrispondere all'account specificato durante l'esecuzione di MOMAdmin.exe. Se questo non era l'account usato per eseguire MOMADAdmin.exe, selezionare Usa un account diverso per eseguire l'assegnazione dell'agente nel dominio specificato e quindi selezionare o creare l'account dall'elenco a discesa Seleziona profilo RunAs. Il profilo di account di assegnazione agente basato su Active Directory deve essere configurato per utilizzare un account amministratore di Operations Manager, distribuito a tutti i server nel pool di risorse di assegnazione agente di Active Directory.

      Nota

      Per altre informazioni sui profili RunAs e sugli account RunAs, vedere Gestione di account e profili RunAs.

  8. Nella pagina Criteri di inclusione digitare la query LDAP per l'assegnazione di computer a questo server di gestione nella casella di testo e quindi selezionare Avanti oppure selezionare Configura. Se si seleziona Configura, eseguire le operazioni seguenti:

    1. Nella finestra di dialogo Trova computer immettere i criteri desiderati per l'assegnazione di computer a questo server di gestione o immettere la query LDAP specifica.

      La query LDAP seguente restituisce solo i computer che eseguono il sistema operativo Windows Server ed esclude i controller di dominio.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Questa query LDAP di esempio restituisce solo i computer che eseguono il sistema operativo Windows Server. Esclude i controller di dominio e i server che ospitano il ruolo del server di gestione di Operations Manager o Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Per altre informazioni sulle query LDAP, vedere Creazione di un filtro di query e Active Directory: filtri di sintassi LDAP.

    2. Seleziona OK e quindi Avanti.

  9. Nella pagina Criteri di esclusione digitare il nome di dominio completo dei computer che si desidera impedire in modo esplicito di essere gestito da questo server di gestione e quindi selezionare Avanti.

    Importante

    È necessario separare gli FQDN del computer che digitate con un punto e virgola, due punti o una nuova riga (CTRL (CONTROL) + INVIO).

  10. Nella pagina Failover agente, selezionare Gestisci automaticamente il failover e selezionare Crea oppure selezionare Configura manualmente il failover. Se si seleziona Configura manualmente il failover, eseguire le operazioni seguenti:

    1. Deselezionare le caselle di controllo dei server di gestione per i quali non si desidera che gli agenti eseguano il failover.

    2. Seleziona Crea.

      Nota

      Con l'opzione Configura manualmente il failover , è necessario eseguire di nuovo la procedura guidata se successivamente si aggiunge un server di gestione al gruppo di gestione e si vuole che gli agenti eseguano il failover nel nuovo server di gestione.

  11. Nella finestra di dialogo Proprietà server di gestione selezionare OK.

Nota

L'impostazione di assegnazione dell'agente può richiedere fino a un'ora per propagarsi in Active Directory Domain Services.

Al termine, la seguente regola viene creata nel gruppo di gestione e ha come destinazione la classe Pool di risorse di assegnazione di Active Directory.

Screenshot della regola di assegnazione dell'agente di integrazione di Active Directory.
Questa regola include le informazioni di configurazione dell'assegnazione dell'agente specificate nella Procedura guidata di Assegnazione e Failover dell'agente, ad esempio la query LDAP.

Per verificare se il gruppo di gestione ha pubblicato correttamente le informazioni in Active Directory, cercare l'ID evento 11470 dall'origine Moduli del Servizio di Integrità nel registro eventi di Operations Manager nel server di gestione in cui è stata definita la regola di assegnazione dell'agente. Nella descrizione dovrebbe indicare che sono stati aggiunti correttamente tutti i computer aggiunti alla regola di assegnazione dell'agente.

Screenshot che mostra l'evento di esito positivo dell'assegnazione dell'agente di Integrazione Active Directory.

In Active Directory, nel contenitore OperationsManager<ManagementGroupName> , dovrebbero essere visualizzati gli oggetti del punto di connessione del servizio (SCP) creati in modo simile all'esempio seguente.

Screenshot che mostra l'assegnazione degli oggetti AD dell'agente di Integrazione Active Directory.

La regola crea anche due gruppi di sicurezza con il nome NetBIOS del server di gestione: il primo con il suffisso "_PrimarySG<numero> casuale" e il secondo "_SecondarySG<numero> casuale". In questo esempio sono presenti due server di gestione distribuiti nel gruppo di gestione e l'appartenenza al gruppo di sicurezza primario ComputerB_Primary_SG_24901 include computer che corrispondono alla regola di inclusione definita nella regola di assegnazione dell'agente, e l'appartenenza al gruppo di sicurezza ComputerA_Secondary_SG_38838 include il gruppo di sicurezza primario ComputerB_Primary_SG_29401, che contiene l'account computer degli agenti che eseguirebbero il failover a questo server di gestione secondario nel caso in cui il server di gestione primario non risponda. Il nome SCP è il nome NetBIOS del server di gestione con il suffisso "_SCP".

Nota

In questo esempio vengono visualizzati solo gli oggetti di un singolo gruppo di gestione e non altri gruppi di gestione che possono esistere e configurati anche con l'integrazione di ACTIVE Directory.

Distribuzione manuale dell'agente con l'impostazione di integrazione di Active Directory

Di seguito è riportato un esempio della riga di comando per installare manualmente l'agente Windows con l'integrazione di Active Directory abilitata.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Modificare l'impostazione di integrazione di Active Directory per un agente

È possibile utilizzare la seguente procedura per modificare l'impostazione di integrazione di Active Directory per un agente.

  1. Nel Pannello di controllo del computer gestito tramite agente, fare doppio clic su Microsoft Monitoring Agent.

  2. Nella scheda Operations Manager deselezionare o selezionare Aggiorna automaticamente le assegnazioni dei gruppi di gestione da Active Directory Domain Services. Se si seleziona questa opzione, all'avvio dell'agente, l'agente richiederà ad Active Directory un elenco dei gruppi di gestione a cui è stato assegnato. Questi gruppi di gestione, se presenti, verranno aggiunti all'elenco. Se si deseleziona questa opzione, tutti i gruppi di gestione assegnati all'agente in Active Directory verranno rimossi dall'elenco.

  3. Seleziona OK.

Integrare Active Directory con un dominio non attendibile

  1. Creare un utente in un dominio non attendibile con autorizzazioni per leggere, scrivere ed eliminare oggetti in AD.
  2. Creare un gruppo di sicurezza (locale o globale del dominio). Aggiungere l'utente (creato nel passaggio 1) a questo gruppo.
  3. Eseguire <
  4. Creare un nuovo account RunAs in Operations Manager; usare l'account creato nel passaggio 1. Assicurarsi che il nome di dominio sia fornito con FQDN, non con il nome NetBIOS (ad esempio: CONTOSO.COM\ADUser).
  5. Distribuire l'account al Pool di Assegnazione delle Risorse di Active Directory.
  6. Creare un nuovo profilo RunAs nel Management Pack predefinito. Se il profilo viene creato in un altro management pack, assicurarsi di sigillare il management pack in modo che possa essere riferito da altri management pack.
  7. Aggiungere l'account RunAs appena creato a questo profilo e assegnarlo al pool di risorse di assegnazione di AD
  8. Creare le regole di integrazione di Active Directory in Operations Manager.

Nota

Dopo l'integrazione con un dominio non attendibile, ogni server di gestione visualizza il messaggio di avviso Database di sicurezza nel server non dispone di un account computer per questa relazione di trust della workstation, con cui si indica che la convalida dell'account Run As utilizzato dall'assegnazione di Active Directory non è riuscita. L'ID evento 7000 o 1105 viene generato nel registro eventi di Operations Manager. Tuttavia, questo avviso non ha alcun effetto sull'assegnazione di Active Directory in un dominio non attendibile.

Passaggi successivi

Per informazioni su come installare l'agente Di Windows dalla Console operatore, vedere Installare l'agente in Windows tramite l'Individuazione guidata o installare l'agente dalla riga di comando, vedere Installare manualmente l'agente Windows tramite MOMAgent.msi.