エージェントの割り当てに Active Directory 統合を構成して使用する
System Center Operations Manager を使用すると、Active Directory ドメイン Services (AD DS) への投資を利用できます。これを使用して、エージェントで管理されたコンピューターを管理グループに割り当てることができます。 この記事では、Active Directory でコンテナーの構成を作成および管理し、エージェントが報告する必要がある管理サーバーのエージェント割り当てを行う際に役立ちます。
次のコマンド ライン構文と手順を使用して、System Center - Operations Manager 管理グループの Active Directory ドメイン Service (AD DS) コンテナーを作成できます。 MOMADAdmin.exeは、この目的のために提供され、Operations Manager 管理サーバーと共にインストールされます。 MOMADAdmin.exeは、指定したドメインの管理者が実行する必要があります。
コマンド ライン構文:
<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
重要
値にスペースが含まれている場合は、引用符内に値を入れる必要があります。
ManagementGroupName は、AD コンテナーが作成される管理グループの名前です。
MOMAdminSecurityGroup はドメイン セキュリティ グループ domain\security_group 形式であり、管理グループの Operations Managers Administrators セキュリティ ロールのメンバーです。
RunAsAccount: これは、AD のオブジェクトの読み取り、書き込み、削除に管理サーバーによって使用されるドメイン アカウントです。 domain\username 形式を使用します。
Domain は、管理グループ コンテナーが作成されるドメインの名前です。 MOMADAdmin.exeは、ドメイン間に双方向の信頼が存在する場合にのみ実行できます。
Active Directory 統合を機能させるには、セキュリティ グループがグローバル セキュリティ グループ (双方向の信頼を持つ複数のドメインで機能する必要がある場合) またはローカル ドメイン グループ (Active Directory 統合が 1 つのドメインでのみ使用されている場合) のいずれかである必要があります。
Operations Manager Administrators グループにセキュリティ グループを追加するには、次の手順に従います。
オペレーション コンソールで、 Administration を選択します。
Administration ワークスペースで、Security の下にある User Roles を選択します。
User Rolesで、Operations Manager Administrators を選択しPropertiesアクションを選択するか、Operations Manager Administratorsを右クリックしてPropertiesを選択します。
[追加 選択 を選択して、 グループの選択 ダイアログを開きます。
目的のセキュリティ グループを選択し、 OK を選択してダイアログを閉じます。
OKを選択してユーザー ロールのプロパティを閉じます。
注意
Operations Manager 管理者ロールには、複数のグループを含むセキュリティ グループを 1 つ使用することをお勧めします。 そうすることで、ドメイン管理者が管理グループ コンテナーに対する子の読み取りと削除のアクセス許可を割り当てる手動の手順を実行する必要なく、グループのグループとメンバーをグループに追加したり、グループから削除したりできます。
AD DS コンテナーを作成するには、次の手順に従います。
コマンド プロンプトを管理者として開きます。
たとえば、プロンプトで次のように入力します。
"C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**
注意
既定のパスは C:\Program Files\Microsoft System Center 2016\Operations Manager です。
注意
既定のパスは C:\Program Files\Microsoft System Center\Operations Manager です。
上記のコマンド ラインの例では、次のようになります。
コマンド ラインから MOMADAdmin.exe ユーティリティを実行します。
MessageDom ドメインの AD DS スキーマ ルートに、"Message Ops" Management Group AD DS コンテナーを作成します。 追加のドメインに同じ管理グループ AD DS コンテナーを作成するには、ドメインごとにMOMADAdmin.exeを実行します。
MessageDom\MessageADIntAcct ドメイン ユーザー アカウントを MessageDom\MessageOMAdmins AD DS セキュリティ グループに追加し、AD DS コンテナーを管理するために必要な権限をセキュリティ AD DS グループに割り当てます。
Operations Manager エージェントの割り当ておよびフェールオーバー ウィザードでは、Active Directory ドメイン Services (AD DS) を使用してコンピューターを管理グループに割り当て、コンピューターのプライマリ管理サーバーとセカンダリ管理サーバーを割り当てるエージェント割り当て規則が作成されます。 ウィザードを開始して使用するには、次の手順に従います。
重要
エージェントの割り当ておよびフェールオーバー ウィザードを実行する前に、管理グループの Active Directory ドメイン Services コンテナーを作成する必要があります。
エージェントの割り当ておよびフェールオーバー ウィザードでは、エージェントは展開されません。 MOMAgent.msiを使用して、エージェントをコンピューターに手動で展開する必要があります。
エージェントの割り当てルールを変更すると、コンピューターが管理グループに割り当てられなくなり、管理グループによって監視される可能性があります。 コンピューターが管理グループにハートビートを送信しなくなったため、これらのコンピューターの状態は重大に変わります。 これらのコンピューターは管理グループから削除でき、コンピューターが他の管理グループに割り当てられていない場合は、Operations Manager エージェントをアンインストールできます。
Operations Manager 管理者ロールのメンバーであるアカウントを使用してコンピューターにサインインします。
Operations コンソールで、 [管理]を選択します。
[管理] ワークスペースで、[管理サーバー] 選択。
管理サーバー ウィンドウで、次の手順で作成する規則によって返されるコンピューターの管理サーバーまたはゲートウェイ サーバーを右クリックPrimary 管理サーバーし、Properties を選択します。
注意
ゲートウェイ サーバーは、このコンテキストで管理サーバーと同様に動作します。
Management サーバーのプロパティ ダイアログで、Auto エージェントの割り当て] タブを選択し、[追加] を選択してエージェントの割り当てとフェールオーバー ウィザードを開始します。
Agent の割り当ておよびフェールオーバー ウィザードでIntroduction ページで、[次へを選択。
注意
ウィザードが実行され、このページをもう一度表示しない場合、Introduction ページは表示されませんが選択されました。
Domain ページで、次の操作を行います。
注意
複数のドメインのコンピューターを管理グループに割り当てるには、ドメインごとに Agent 割り当ておよびフェールオーバー ウィザード を実行します。
ドメイン名ドロップダウン リストからコンピューターのドメインを選択します。 管理サーバーと AD エージェント割り当てリソース プール内のすべてのコンピューターがドメイン名を解決できる必要があります。
重要
管理サーバーと管理するコンピューターは、双方向の信頼されたドメインに存在する必要があります。
実行プロファイルの選択ドメインの実行時に指定された実行アカウントに関連付けられている実行プロファイルMOMADAdmin.exe設定します。 エージェントの割り当てを実行するために使用される既定のアカウントは、セットアップ時に指定された既定のアクション アカウントであり、 Active Directory ベースのエージェント割り当てアカウントとも呼ばれます。 このアカウントは、指定したドメインの Active Directory に接続し、Active Directory オブジェクトを変更するときに使用される資格情報を表し、MOMAdmin.exeの実行時に指定されたアカウントと一致する必要があります。 MOMADAdmin.exeの実行に使用したアカウントでない場合は、[ 別のアカウントを使用して指定したドメインでエージェントの割り当てを実行 し、 実行プロファイル ドロップダウン リストからアカウントを選択または作成します。 Active Directory ベースのエージェント割り当てアカウント プロファイルは、AD エージェント割り当てリソース プール内のすべてのサーバーに配布される Operations Manager 管理者アカウントを使用するように構成する必要があります。
注意
実行プロファイルと実行アカウントの詳細については、「 実行アカウントと実行プロファイルの管理を参照してください。
[ Inclusion Criteria ページで、この管理サーバーにコンピューターを割り当てるための LDAP クエリをテキスト ボックスに入力し、 [次へ]、[ ] を選択するか、[ 構成] を選択。 構成を選択した場合は、次の操作を行います。
[コンピューターの検索] ダイアログで、この管理サーバーにコンピューターを割り当てるための条件を入力するか、特定の LDAP クエリを入力します。
次の LDAP クエリでは、Windows Server オペレーティング システムを実行しているコンピューターのみが返され、ドメイン コントローラーは除外されます。
(&(objectCategory=computer)(operatingsystem=*server*))
この LDAP クエリの例では、Windows Server オペレーティング システムを実行しているコンピューターのみが返されます。 Operations Manager または Service Manager 管理サーバーの役割をホストしているドメイン コントローラーとサーバーは除外されます。
(&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))
LDAP クエリの詳細については、「クエリ フィルターの作成」と「Active Directory: LDAP 構文フィルター」を参照してください。
[OK] を選択し、 [次へ] を選択します。
Exclusion Criteria ページで、この管理サーバーで管理されないようにするコンピューターの FQDN を明示的に入力し、Next を選択します。
重要
入力するコンピューターの FQDN は、セミコロン、コロン、または改行 (Ctrl + Enter キー) で区切る必要があります。
Agent フェールオーバー ページで、自動フェールオーバーの管理を選択しCreateを選択するかフェールオーバーの構成を選択します。 フェールオーバーを構成するを選択した場合は、次の操作を行います。
エージェントをフェールオーバーしない管理サーバーのチェック ボックスをオフにします。
[作成] を選択します
注意
Manually フェールオーバーの構成オプションを使用して、後で管理サーバーを管理グループに追加し、エージェントを新しい管理サーバーにフェールオーバーする場合は、ウィザードをもう一度実行する必要があります。
[ 管理サーバーのプロパティ ダイアログで、 OKを選択します。
注意
エージェントの割り当て設定が AD DS に反映されるまでに最大 1 時間かかる場合があります。
完了すると、管理グループに次の規則が作成され、 AD 割り当てリソース プール クラスを対象とします。
この規則には、LDAP クエリなど、 Agent 割り当ておよびフェールオーバー ウィザードで指定したエージェント割り当ての構成情報が含まれます。
管理グループが Active Directory で情報を正常に発行したかどうかを確認するには、エージェント割り当てルールが定義されている管理サーバーの Operations Manager イベント ログで、ソース ヘルス サービス モジュールからイベント ID 11470 を検索します。 説明では、エージェントの割り当て規則に追加されたすべてのコンピューターが正常に追加されたことを示す必要があります。
Active Directory の OperationsManager<ManagementGroupName> コンテナーに、次の例のようなサービス接続ポイント (SCP) オブジェクトが作成されているはずです。
また、管理サーバー NetBIOS 名の名前を持つ 2 つのセキュリティ グループも作成されます。最初のセキュリティ グループにはサフィックス "_PrimarySG<random number>"、もう 1 つは "_SecondarySG<random number>" です。 この例では、管理グループに 2 つの管理サーバーが展開され、プライマリ セキュリティ グループ ComputerB_Primary_SG_24901 メンバーシップには、エージェント割り当て規則で定義されているインクルード規則に一致したコンピューターが含まれ、セキュリティ グループ ComputerA_Secondary_SG_38838 メンバーシップにはプライマリ グループ ComputerB_Primary_SG-29401 が含まれます プライマリ管理サーバーが応答しない場合にこのセカンダリ管理サーバーにフェールオーバーするエージェントのマシン アカウントを含むセキュリティ グループ。 SCP 名は、"_SCP" というサフィックスを持つ管理サーバーの NetBIOS 名です。
注意
この例では、1 つの管理グループのオブジェクトのみを表示し、存在する可能性があり、AD 統合で構成されている他の管理グループは表示しません。
Active Directory 統合を有効にして Windows エージェントを手動でインストールするコマンド ラインの例を次に示します。
%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1
エージェントの Active Directory 統合設定を変更するには、次の手順を使用できます。
エージェントで管理されるコンピューターのコントロール パネルで、Microsoft Monitoring Agent をダブルクリックします。
[ Operations Manager タブで、AD DS から管理グループの割り当てを自動的に更新する をオフまたは選択。 このオプションの選択をオンにすると、エージェントは起動時に Active Directory に対してクエリを実行し、割り当てられた管理グループの一覧を取得します。 該当する管理グループがある場合は、それらが一覧に追加されます。 このオプションの選択をオフにすると、Active Directory でエージェントに割り当てられている管理グループはすべて一覧から削除されます。
[OK] を選択します。
- AD でオブジェクトの読み取り、書き込み、削除を行うアクセス許可を持つユーザーを信頼されていないドメインに作成します。
- セキュリティ グループ (ドメイン ローカルまたはグローバル) を作成します。 (手順 1 で作成した) ユーザーをこのグループに追加します。
- 信頼されないドメインで、MOMAdAdmin.exe を次のパラメーターを指定して実行します: <path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
- Operations Manager で新しい実行アカウントを作成する。手順 1 で作成したアカウントを使用します。 ドメイン名に NetBIOS 名ではなく FQDN が指定されていることを確認します (例: CONTOSO.COM\ADUser)。
- アカウントを AD 割り当てリソース プールに配布します。
- 既定の管理パックに新しい実行プロファイルを作成します。 このプロファイルが他の管理パックで作成されている場合は、管理パックをシールして、他の管理パックを参照できるようにします。
- 新しく作成した実行アカウントをこのプロファイルに追加し、それを AD 割り当てリソース プールにターゲットにします
- Operations Manager で Active Directory 統合規則を作成します。
注意
信頼されていないドメインとの統合後、各管理サーバーには警告メッセージが表示されます サーバー上のSecurity データベースには、このワークステーションの信頼関係のコンピューター アカウントがありません AD 割り当てで使用される実行アカウントの検証に失敗したことを示します。 イベント ID 7000 または 1105 は、Operations Manager イベント ログに生成されます。 ただし、このアラートは、信頼されていないドメインの AD 割り当てには影響しません。
オペレーション コンソールから Windows エージェントをインストールする方法については、「検出ウィザードを使用して Windows にエージェントをインストールする」を参照するかコマンド ラインからエージェントをインストールする方法については、「MOMAgent.msiを使用して Windows エージェントを手動でインストールするを参照してください。