게이트웨이 서버 설치

게이트웨이 서버는 일반적으로 관리 그룹의 Kerberos 트러스트 경계 외부에 있는 클라이언트 컴퓨터의 모니터링을 사용하도록 설정하는 데 사용됩니다. 그러나 네트워크 분할로 인해 환경을 분할하거나 "멀리 떨어진" 에이전트를 관리 그룹에 연결해야 하는 경우 동일한 도메인 내에서 사용할 수도 있습니다.

에이전트는 게이트웨이 서버와 직접 통신하고 게이트웨이 서버는 하나 이상의 관리 서버와 통신합니다. 여러 게이트웨이 서버를 단일 도메인에 배치하여 주 게이트웨이와의 통신이 끊어질 경우 에이전트가 한 도메인에서 다른 도메인으로 장애 조치(failover)할 수 있습니다. 마찬가지로, 단일 게이트웨이 서버는 통신 체인에 단일 실패 지점이 없도록 관리 서버 간에 장애 조치(failover)하도록 구성할 수 있습니다. 게이트웨이 서버는 에이전트-관리 서버 통신을 위한 프록시 역할을 하므로 많은 포트 대신 하나의 포트만 네트워크 간에 열 수 있습니다. Kerberos 트러스트 경계 외부에 있는 경우 각 컴퓨터의 ID를 설정하는 데 인증서를 사용해야 합니다. 인증서가 없으면 시스템이 연결할 수 있지만 연결을 인증할 수 없어서 통신을 거부합니다.

계속하기 전에 서버가 System Center - Operations Manager에 대한 최소 시스템 요구 사항을 충족하는지 확인합니다. 자세한 내용은 System Center Operations Manager에 대한 시스템 요구 사항을 참조하세요.

참고 항목

보안 정책이 TLS 1.0 및 1.1을 제한하는 경우 설치 미디어에 TLS 1.2를 지원하는 업데이트가 포함되지 않으므로 새 Operations Manager 2016 게이트웨이 서버 역할을 설치하지 못합니다. 이 역할을 설치할 수 있는 유일한 방법은 시스템에서 TLS 1.0을 사용하도록 설정하고 업데이트 롤업 4를 적용한 다음 시스템에서 TLS 1.2를 사용하도록 설정하는 것입니다.

필수 조건

표준 시나리오에서 게이트웨이 역할 설치를 진행하기 전에 준비해야 하는 세 가지 주요 사항이 있습니다.

1. 게이트웨이 및 관리 서버에 대해 인증서를 생성하고 인증서 저장소에 설치해야 합니다.
   • 게이트웨이 및 클라이언트 서버가 작업 그룹 시나리오에서 사용되는 경우 클라이언트에도 인증서가 필요합니다.
2. 의도한 게이트웨이 서버는 설치하기 전에 관리 그룹 내의 게이트웨이가 되도록 "승인됨"이어야 합니다.
3. 다음 가이드 에 정의된 대로 게이트웨이와 관리 서버 간에 포트 5723을 열어야 합니다. Operations Manager용 방화벽 구성

인증서 및 이름 확인

1. 양방향 전이적 트러스트가 없는 도메인 또는 작업 그룹에 게이트웨이 서버를 배포하려면 인증을 위해 인증서를 사용해야 합니다. 기본 및 장애 조치(failover) 관리 서버에는 연결하는 게이트웨이 외에도 서버가 필요합니다. 이러한 인증서는 Operations Manager에 대해 올바르게 구성된 경우 Microsoft Certificate Services CA 또는 타사 CA에서 가져올 수 있습니다. 이러한 인증서를 만드는 데 도움이 필요한 경우 다음 가이드를 사용합니다. Windows Server 및 System Center Operations Manager에서 사용할 인증서 가져오기

   참고 항목

   • 관리 그룹과 동일한 도메인 또는 공유 신뢰 경계에 있는 게이트웨이 서버는 인증서가 필요하지 않습니다.
   • 게이트웨이 및 에이전트가 작업 그룹에 있는 경우 시스템 인증을 위해 작업 그룹 내에 도메인이 없으므로 모니터링할 각 관리 서버, 게이트웨이 및 클라이언트 컴퓨터에 대한 인증서가 필요합니다.

2. 신뢰할 수 있는 이름 확인은 에이전트 관리 컴퓨터와 게이트웨이 서버 간에, 게이트웨이 서버와 관리 서버 사이에 있어야 합니다. 이 이름 확인은 일반적으로 DNS를 통해 수행됩니다. 그러나 DNS를 통해 적절한 이름 확인을 가져올 수 없는 경우 각 컴퓨터의 호스트 파일에 항목을 수동으로 만들어야 할 수 있습니다.

   Important

   인증이 서버 간에 전달되기 전에 전달 및 역방향 이름 확인이 확인됩니다. IP 주소를 확인할 때 다른 호스트 이름 또는 FQDN을 받으면 인증이 실패합니다.

   팁

   호스트 파일은 %SystemRoot%\system32\drivers\etc 디렉터리에 있으며 구성 지침이 포함되어 있습니다. 관리자 권한으로 실행되는 메모장이나 다른 응용 프로그램에서 편집해야 합니다.

관리 그룹에 게이트웨이 등록

나중에 발생하는 문제를 방지하려면 설치 전에 의도한 게이트웨이 컴퓨터를 게이트웨이로 등록하고 승인해야 합니다. 그렇지 않으면 게이트웨이가 에이전트로 선택될 위험이 있습니다.

이러한 단계는 관리 서버( 기본 또는 "RMSE" 서버)에서 수행해야 합니다.

1. 아래의 설치 미디어에서 찾을 수 있는 "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe"라는 Operations Manager 설치 미디어에 ..\SupportTools\amd64\포함된 실행 파일이 있습니다.

2. 일단 찾은 후에는 이 실행 파일과 동일한 이름의 구성 파일을 아래의 설치 경로에 복사합니다. %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. 관리자 권한으로 명령 프롬프트를 열고 Operations Manager 설치 디렉터리로 이동합니다. (예: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. 다음 명령을 사용하여 원하는 게이트웨이를 게이트웨이로 등록하여 서버 이름을 사용자 고유의 이름으로 바꿉니다.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   참고 항목

   게이트웨이 서버가 관리 서버와의 통신을 시작하지 못하도록 하려면 다음 명령에 사용된 /ManagementServerInitiatesConnection=True 매개 변수를 포함합니다. 그렇지 않으면 기본적으로 게이트웨이 자체에서 통신이 시작됩니다. 이는 게이트웨이가 있는 네트워크에서 기본 도메인에 대한 인바운드 액세스를 방지하려는 경우에 유용합니다.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. 승인이 성공하면 메시지가 The approval of server <GatewayFQDN> completed successfully. 반환됩니다.

6. 관리 그룹에서 게이트웨이 서버를 제거해야 하는 경우 동일한 명령을 실행하지만 플래그를 /Action=Delete 대체 /Action=Create 합니다.

7. 모니터링 보기에 대한 운영 콘솔을 엽니다. 검색된 인벤토리 보기를 선택하여 게이트웨이 서버가 있는지 확인합니다. 또한 관리 > 장치 관리 > 관리 서버에서 볼 수 있어야 합니다.

설치 프로세스

의도한 게이트웨이 서버가 관리 그룹에 등록되면 새 게이트웨이에 역할을 설치해야 합니다.

참고 항목

로컬 보안 정책 "사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행"을 사용하도록 설정된 경우 Windows Installer를 시작할 때(예: MOMGateway.msi 두 번 클릭하여 게이트웨이 서버 설치) 설치가 실패합니다.

팁

설치하는 동안 문제가 발생하는 경우 로그는 다음과 같습니다. %LocalAppData%\SCOM\Logs

GUI를 사용하여 설치

다음 단계에 따라 게이트웨이 서버를 설치합니다.

1. 관리자 권한으로 게이트웨이 서버에 로그인합니다.
2. Operations Manager 설치 미디어에서 Setup.exe 시작합니다.
3. 설치 영역에서 게이트웨이 관리 서버 링크(창 아래쪽에 있는 큰 "설치" 링크 아님)를 선택합니다.
4. 시작 화면에서 다음을 선택합니다.
5. 대상 폴더 페이지에서 기본값을 적용하거나 변경을 선택하여 다른 설치 디렉터리를 선택하고 다음을 선택합니다.
6. 관리 그룹 구성 페이지의 관리 그룹 이름 필드에 대상 관리 그룹 이름을 입력하고, 관리 서버 필드에 대상 관리 서버 이름을 입력하고, 관리 서버 포트 필드가 5723인지 확인하고, 다음을 선택합니다.
7. 도메인 기반 또는 로컬 컴퓨터 기반 게이트웨이 작업 계정을 사용하지 않는 한 게이트웨이 작업 계정 페이지에서 로컬 시스템 계정 옵션을 선택합니다. 다음을 선택합니다.
8. Microsoft 업데이트 페이지에서 필요에 따라 Microsoft 업데이트를 사용할지 여부를 지정하고 다음을 선택합니다. (일반적으로 이 선택은 아니요여야 합니다.)
9. 설치 준비 페이지에서 설치를 선택합니다.
10. 완료 페이지에서 마침을 선택합니다.

명령 프롬프트를 사용하여 설치

다음 단계에 따라 명령 프롬프트에서 게이트웨이 서버를 설치합니다.

1. 관리자 권한으로 게이트웨이 서버에 로그인합니다.
2. 관리자로 실행 옵션을 사용하여 명령 프롬프트 창을 엽니다.
3. 다음 명령을 실행합니다. 여기서 path\to\Installer 는 설치 미디어의 경로입니다. MOMGateway.msi 아래의 Operations Manager 설치 미디어에서 ..\gateway\amd64\찾을 수 있습니다.

팁

^ 문자는 콘솔 창에 여러 줄 입력을 허용하고 쉽게 편집할 수 있습니다. 사용자 환경에서 작동하지 않는 경우 ^ 문자를 제거하고 명령을 한 줄로 편집합니다.

LocalSystem을 작업 계정으로 사용하는 경우:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

도메인 사용자를 작업 계정으로 사용하는 경우:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Important

작업 계정 암호는 명령 프롬프트에 다음과 같은 & < > ( ) @ ^ | ""불법" 문자를 포함할 수 없습니다. 이 경우 문자열을 구문 분석할 수 없으므로 설치가 실패하고, 암호를 이러한 문자가 포함되지 않도록 변경한 다음, 명령 자체 내에서 큰따옴표로 래핑합니다.

MOMCertImport.exe 도구를 사용하여 인증서 가져오기

작업 그룹에서 에이전트를 관리해야 하는 모든 클라이언트 컴퓨터와 함께 각 게이트웨이 및 관리 서버에서 이 작업을 수행합니다.

1. 계속하기 전에 인증서가 설치되어 있는지 확인합니다.
2. 아래의 설치 미디어에 있는 MOMCertImport.exe 파일을 찾습니다. ..\SupportTools\amd64\
3. 이 파일을 대상 서버의 루트 디렉터리 또는 Operations Manager 설치 디렉터리에 복사합니다.
   • 예: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. 관리자 권한으로 명령 프롬프트를 열고 디렉터리를 MOMCertImport.exe 디렉터리로 변경합니다.
   • 예: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. 그런 다음 명령을 MOMCertImport.exe /SubjectName subjectNameFQDN실행합니다. 여기서 "subjectNameFQDN"은 인증서에 정의된 주체입니다.
   • 또한 인수 없이 실행 MOMCertImport.exe 하여 로컬 컴퓨터 개인 저장소의 인증서를 표시하는 팝업 창에서 인증서를 선택할 수 있습니다.
6. 성공하면 Microsoft Monitoring Agent 서비스가 다시 시작되고 eventID 20053이 Operations Manager 이벤트 로그에 기록됩니다. 이 eventID가 없는 경우 문제에 대한 이러한 ID 중 하나의 세부 정보를 관찰하고 그에 따라 수정합니다. 20049,20050,20052,20066,20069,20077

팁

인증서를 성공적으로 가져오면 레지스트리에서 미러된 버전의 지문을 볼 수 있습니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

관리 서버 간 장애 조치(failover)를 위한 게이트웨이 서버 구성

기본적으로 게이트웨이 서버는 하나의 관리 서버( 기본 서버)와만 통신합니다. 이 연결이 끊어지면 게이트웨이 및 연결된 에이전트가 콘솔에 회색으로 표시되고 모니터링되지 않습니다. 관리 서버가 여러 개 있는 경우 주 서버를 다시 사용할 수 있을 때까지 게이트웨이가 장애 조치(failover)할 수 있는 관리 서버를 구성하여 이 문제를 방지할 수 있습니다. 장애 조치(failover)를 구성하려면:

다음 예제와 같이 Operations Manager 셸에서 Set-SCOMParentManagementServer cmdlet을 사용하여 게이트웨이 서버를 여러 관리 서버로 장애 조치하도록 구성합니다. 명령은 관리 그룹의 모든 명령 셸에서 실행할 수 있습니다.

1. Operations Manager 관리자 역할의 멤버인 계정을 사용하여 관리 서버에 로그인합니다.

2. 시작 메뉴에서 "Microsoft System Center" 폴더에서 Operations Manager 셸을 실행합니다.

3. 콘솔에서 다음 명령을 실행합니다.

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   참고 항목

   주 서버를 동시에 변경하지 않고는 장애 조치(failover) 서버를 주 서버와 동일하게 설정하거나 먼저 설정할 수 없습니다. 주 복제본을 변경하고 보조 복제본으로 설정하려면 다음 명령을 사용합니다.

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

여러 게이트웨이 서버 연결

드물지만 신뢰할 수 없는 여러 경계를 모니터링하기 위해 여러 게이트웨이를 함께 연결해야 하는 경우도 있습니다. 이 섹션에서는 여러 게이트웨이를 함께 연결하는 방법을 설명합니다.

참고 항목

• 한 번에 하나의 게이트웨이를 설치하고 새로 설치된 각 게이트웨이가 올바르게 구성되어 있고 체인에 다른 게이트웨이를 추가하기 전에 SCOM 콘솔에서 정상으로 표시되는지 확인해야 합니다.
• 동일한 리소스 풀에 게이트웨이 끝 체인을 추가하는 경우 Set-SCOMParentManagementServer 명령을 사용하여 다른 체인으로 장애 조치(failover)를 구성하지 마세요. 이러한 시나리오에서는 풀이 예상대로 작동하지 않습니다. 장애 조치(failover) 구성 및 리소스 풀이 함께 작동하려면 체인의 게이트웨이 끝에 동일한 부모가 있어야 합니다.

게이트웨이 체인을 구성하기 위해 초기 게이트웨이 서버에 대해 했던 것처럼 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 도구를 활용합니다. 그러나 이번에는 "ManagementServerName"을 체인의 업스트림 게이트웨이 서버로 설정해야 합니다. 예를 들어 GW02가 GW01에 연결하려는 경우 GW01은 이 시나리오의 "ManagementServer"입니다.

1. GatewayApprovalTool이 이미 설정된 관리 서버 중 하나에 로그인합니다.

2. 관리자 권한으로 명령 프롬프트를 열고 도구가 저장된 디렉터리로 이동합니다.

3. 그런 다음, 아래 명령을 실행하여 다운스트림 게이트웨이 서버를 승인하여 서버 이름을 사용자 고유의 이름으로 바꿉니다.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. 새 서버에 게이트웨이 역할을 설치합니다.

5. 게이트웨이와 관리 서버 간에 인증서를 구성하는 것과 동일한 방식으로 GW01과 GW02 간에 인증서를 구성합니다. 상태 관리 서비스 단일 인증서만 로드하고 사용할 수 있습니다. 따라서 체인에 있는 게이트웨이의 부모 및 자식에서 동일한 인증서를 사용합니다.

다음 단계

관리 그룹의 여러 서버에 Operations Manager 서버 역할을 설치하는 순서 및 단계를 이해하려면 Operations Manager의 분산 배포를 참조하세요.