Operations Manager ゲートウェイ サーバーについて
適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager では、エージェントと管理サーバーとの間で情報を交換する前に相互認証を実行する必要があります。 これらの間での認証プロセスは、保護のために暗号化されます。 エージェントと管理サーバーが同じ Active Directory ドメイン内に存在する場合、または信頼関係が確立された異なる Active Directory ドメイン内に存在する場合は、Active Directory によって提供される Kerberos V5 認証メカニズムを使用します。 エージェントと管理サーバーが同じ信頼境界内に配置されていない場合は、セキュリティで保護された相互認証の要件を満たすために他のメカニズムを使用する必要があります。
Operations Manager では、これは各コンピューターに対して発行される X.509 証明書を使用して実現されます。 エージェントが監視しているコンピューターが多数ある場合、それらすべての証明書を管理するには管理のオーバーヘッドが増大します。 また、エージェントと管理サーバーとの間にファイアウォールがある場合は、それらの通信を許可するように、ファイアウォール ルールによって複数の承認されたエンドポイントを定義および保守する必要があります。
この管理オーバーヘッドを軽減するために、Operations Manager にはゲートウェイ サーバーという新しいサーバー ロールが用意されています。 ゲートウェイ サーバーは、エージェントの信頼境界内に配置され、必須の相互認証に関与できます。 エージェントと同じ信頼境界内に存在するので、エージェントとゲートウェイ サーバーの間では Active Directory 用の Kerberos V5 プロトコルが使用されます。 各エージェントは、エージェントが認識しているゲートウェイ サーバーとのみ通信します。 ゲートウェイ サーバーは管理サーバーと通信します。
ゲートウェイ サーバーと管理サーバーとの間のセキュリティで保護された必須の相互認証をサポートするために、証明書を発行し、インストールする必要があります。ただしそれは、ゲートウェイ サーバーと管理サーバーに対してのみです。 これにより、必要な証明書の数が削減されます。また、ファイアウォールが介在している場合でも、ファイアウォール ルールで定義する承認されたエンドポイントの数が削減されます。 次の図はゲートウェイ サーバーを使用している管理グループ内での認証関係を示します。
ゲートウェイ サーバーのインストールに関する情報につては、展開ガイドの「ゲートウェイ サーバーの展開」を参照してください。