에이전트 할당에 Active Directory 통합을 구성하고 사용하는 방법

System Center Operations Manager를 사용하면 AD DS(Active Directory 도메인 Services)에 대한 투자를 활용하여 관리 그룹에 에이전트 관리 컴퓨터를 할당하는 데 사용할 수 있습니다. 이 문서는 Active Directory에서 컨테이너의 구성을 만들고 관리하는 데 도움이 되며 관리 서버 에이전트의 에이전트 할당은 보고해야 합니다.

관리 그룹에 대한 Active Directory 도메인 Services 컨테이너 만들기

다음 명령줄 구문 및 프로시저를 사용하여 System Center - Operations Manager 관리 그룹에 대한 AD DS(Active Directory 도메인 Service) 컨테이너를 만들 수 있습니다. MOMADAdmin.exe 이 용도로 제공되며 Operations Manager 관리 서버와 함께 설치됩니다. MOMADAdmin.exe 지정된 도메인의 관리자가 실행해야 합니다.

명령줄 구문:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Important

값에 공백이 포함된 경우 값을 따옴표 안에 넣어야 합니다.

• ManagementGroupName 은 AD 컨테이너를 만드는 관리 그룹의 이름입니다.

• MOMAdminSecurityGroup 은 도메인 보안 그룹인 domain\security_group 형식으로, 관리 그룹에 대한 Operations Manager 관리자 보안 역할의 구성원입니다.

• RunAsAccount: 관리 서버에서 AD에서 개체를 읽고 쓰고 삭제하는 데 사용할 도메인 계정입니다. domain\username 형식을 사용합니다.

• 도메인 은 관리 그룹 컨테이너를 만들 도메인의 이름입니다. MOMADAdmin.exe 도메인 간에 양방향 트러스트가 있는 경우에만 도메인 간에 실행할 수 있습니다.

Active Directory 통합이 작동하려면 보안 그룹은 전역 보안 그룹(Active Directory 통합이 양방향 트러스트가 있는 여러 도메인에서 작동해야 하는 경우) 또는 로컬 도메인 그룹(Active Directory 통합이 한 도메인에서만 사용되는 경우)이어야 합니다.

Operations Manager 관리자 그룹에 보안 그룹을 추가하려면 다음 절차를 사용합니다.

1. 운영 콘솔에서 관리를 선택합니다.

2. 관리 작업 영역에서 보안에서 사용자 역할을 선택합니다.

3. 사용자 역할에서 Operations Manager 관리자를 선택하고 속성 작업을 선택하거나 Operations Manager 관리자를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

4. 추가를 선택하여 그룹 선택 대화 상자를 엽니다.

5. 원하는 보안 그룹을 선택한 다음 확인을 선택하여 대화 상자를 닫습니다.

6. 확인을 선택하여 사용자 역할 속성을 닫습니다.

참고 항목

여러 그룹을 포함할 수 있는 하나의 보안 그룹을 Operations Manager 관리자 역할에 사용하는 것이 좋습니다. 이렇게 하면 도메인 관리자가 읽기 및 삭제 자식 권한을 관리 그룹 컨테이너에 할당하는 수동 단계를 수행할 필요가 없는 그룹에서 그룹 및 그룹 구성원을 추가하고 제거할 수 있습니다.

다음 절차에 따라 AD DS 컨테이너를 만듭니다.

1. 관리자 권한으로 명령 프롬프트를 엽니다.

2. 예를 들어 프롬프트에서 다음을 입력합니다.

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

참고 항목

기본 경로는 C:\Program Files\Microsoft System Center\Operations Manager입니다.

3. 앞의 명령줄 예제는 다음과 같습니다.

   1. 명령줄에서 MOMADAdmin.exe 유틸리티를 실행합니다.

   2. MessageDom 도메인의 AD DS 스키마 루트에 "Message Ops" 관리 그룹 AD DS 컨테이너를 만듭니 다. 추가 도메인에서 동일한 관리 그룹 AD DS 컨테이너를 만들려면 각 도메인에 대해 MOMADAdmin.exe 실행합니다.

   3. MessageDom\MessageADIntAcct 도메인 사용자 계정을 MessageDom\MessageOMAdmins AD DS 보안 그룹에 추가하고 보안 AD DS 그룹에 AD DS 컨테이너를 관리하는 데 필요한 권한을 할당합니다.

Active Directory 도메인 서비스를 사용하여 관리 서버에 컴퓨터를 할당하는 방법

Operations Manager 에이전트 할당 및 장애 조치 마법사는 AD DS(Active Directory 도메인 Services)를 사용하여 관리 그룹에 컴퓨터를 할당하고 컴퓨터의 기본 관리 서버 및 보조 관리 서버를 할당하는 에이전트 할당 규칙을 만듭니다. 마법사를 시작하고 사용하려면 다음 절차를 따르세요.

Important

에이전트 할당 및 장애 조치(failover) 마법사를 실행하기 전에 관리 그룹에 대한 Active Directory 도메인 Services 컨테이너를 만들어야 합니다.

에이전트 할당 및 장애 조치 마법사는 에이전트를 배포하지 않습니다. MOMAgent.msi 사용하여 컴퓨터에 에이전트를 수동으로 배포해야 합니다.

에이전트 할당 규칙을 변경하면 컴퓨터가 더 이상 할당되지 않으므로 관리 그룹에서 모니터링할 수 있습니다. 컴퓨터가 더 이상 관리 그룹에 하트비트를 보내지 않으므로 이러한 컴퓨터의 상태가 위험으로 변경됩니다. 이러한 컴퓨터는 관리 그룹에서 삭제할 수 있으며 컴퓨터가 다른 관리 그룹에 할당되지 않은 경우 Operations Manager 에이전트를 제거할 수 있습니다.

Operations Manager 에이전트 할당 및 장애 조치 마법사를 시작하려면

1. Operations Manager 관리자 역할의 멤버인 계정으로 컴퓨터에 로그인합니다.

2. 운영 콘솔에서 관리를 선택해 주세요.

3. 관리 작업 영역에서 관리 서버를 선택합니다.

4. 관리 서버 창에서 관리 서버 또는 게이트웨이 서버를 마우스 오른쪽 단추로 클릭하여 다음 절차에서 만들 규칙에 의해 반환된 컴퓨터의 기본 관리 서버가 된 다음 속성을 선택합니다.

   참고 항목

   게이트웨이 서버는 이 컨텍스트에서 관리 서버처럼 작동합니다.

5. 관리 서버 속성 대화 상자에서 자동 에이전트 할당 탭을 선택한 다음 추가를 선택하여 에이전트 할당 및 장애 조치 마법사를 시작합니다.

6. 에이전트 할당 및 장애 조치 마법사의 소개 페이지에서 다음을 선택합니다.

   참고 항목

   마법사가 실행되고 이 페이지를 다시 표시하지 않으면 소개 페이지가 표시되지 않습니다.

7. 도메인 페이지에서 다음을 수행합니다.

   참고 항목

   여러 도메인의 컴퓨터를 관리 그룹에 할당하려면 각 도메인에 대한 에이전트 할당 및 장애 조치 마법사 를 실행합니다.

   • 도메인 이름 드롭다운 목록에서 컴퓨터의 도메인을 선택합니다. 관리 서버와 AD 에이전트 할당 리소스 풀의 모든 컴퓨터가 도메인 이름을 확인할 수 있어야 합니다.

     Important

     관리 서버 및 관리하려는 컴퓨터는 양방향 신뢰할 수 있는 도메인에 있어야 합니다.

   • 실행 프로필 선택을 도메인에 대해 실행될 때 제공된 실행 계정과 연결된 실행 프로필로 MOMADAdmin.exe 설정합니다. 에이전트 할당을 수행하는 데 사용되는 기본 계정은 설치 중에 지정된 기본 작업 계정이며 Active Directory 기반 에이전트 할당 계정이라고도 합니다. 이 계정은 지정된 도메인의 Active Directory에 연결하고 Active Directory 개체를 수정할 때 사용되는 자격 증명을 나타내며 MOMAdmin.exe 실행할 때 지정된 계정과 일치해야 합니다. MOMADAdmin.exe 실행하는 데 사용된 계정이 아닌 경우 다른 계정 사용을 선택하여 지정된 도메인에서 에이전트 할당을 수행한 다음, 실행 프로필 선택 드롭다운 목록에서 계정을 선택하거나 만듭니다. AD 에이전트 할당 리소스 풀의 모든 서버에 배포되는 Operations Manager 관리자 계정을 사용하도록 Active Directory 기반 에이전트 할당 계정 프로필을 구성해야 합니다.

     참고 항목

     실행 프로필 및 실행 계정에 대한 자세한 내용은 실행 계정 및 프로필 관리를 참조 하세요.

8. 포함 조건 페이지에서 입력란에 이 관리 서버에 컴퓨터를 할당하기 위한 LDAP 쿼리를 입력한 다음 다음을 선택하거나 구성을 선택합니다. 구성을 선택하는 경우 다음을 수행합니다.

   1. 컴퓨터 찾기 대화 상자에서 이 관리 서버에 컴퓨터를 할당하기 위한 원하는 조건을 입력하거나 특정 LDAP 쿼리를 입력합니다.

      다음 LDAP 쿼리는 Windows Server 운영 체제를 실행하는 컴퓨터만 반환하며 도메인 컨트롤러는 제외됩니다.

      (&(objectCategory=computer)(operatingsystem=*server*))

      이 예제 LDAP 쿼리는 Windows Server 운영 체제를 실행하는 컴퓨터만 반환합니다. Operations Manager 또는 Service Manager 관리 서버 역할을 호스트하는 도메인 컨트롤러 및 서버는 제외됩니다.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      LDAP 쿼리에 대한 자세한 내용은 쿼리 필터 만들기 및 Active Directory: LDAP 구문 필터를 참조하세요.

   2. 확인을 선택하고 다음을 선택합니다.

9. 제외 조건 페이지에서 이 관리 서버에서 관리하지 못하도록 명시적으로 방지하려는 컴퓨터의 FQDN을 입력한 다음, 다음을 선택합니다.

   Important

   세미콜론, 콜론 또는 새 줄(Ctrl+Enter)을 사용하여 입력하는 컴퓨터 FQDN을 구분해야 합니다.

10. 에이전트 장애 조치(failover) 페이지에서 자동으로 장애 조치(failover) 관리를 선택하고 만들기를 선택하거나 수동으로 장애 조치(failover) 구성을 선택합니다. 장애 조치(failover) 수동 구성을 선택하는 경우 다음을 수행합니다.

    1. 에이전트가 장애 조치(failover)되지 않도록 하려는 관리 서버의 확인란을 선택 취소합니다.

    2. 만들기를 선택합니다.

       참고 항목

       장애 조치(failover) 수동 구성 옵션을 사용하면 관리 서버에 관리 서버를 추가하고 에이전트가 새 관리 서버로 장애 조치(failover)되도록 하려면 마법사를 다시 실행해야 합니다.

11. 관리 서버 속성 대화 상자에서 확인을 선택합니다.

참고 항목

에이전트 할당 설정이 AD DS에서 전파되는 데 최대 1시간이 걸릴 수 있습니다.

완료되면 다음 규칙이 관리 그룹에 만들어지고 AD 할당 리소스 풀 클래스를 대상으로 합니다.


이 규칙에는 에이전트 할당 및 장애 조치(failover) 마법사에서 지정한 에이전트 할당 구성 정보(예: LDAP 쿼리)가 포함됩니다.

관리 그룹이 Active Directory에 해당 정보를 성공적으로 게시했는지 확인하려면 에이전트 할당 규칙이 정의된 관리 서버의 Operations Manager 이벤트 로그에 있는 원본 상태 관리 서비스 모듈에서 이벤트 ID 11470을 검색합니다. 설명에서 에이전트 할당 규칙에 추가된 모든 컴퓨터를 성공적으로 추가했음을 명시해야 합니다.

Active Directory의 OperationsManager<ManagementGroupName> 컨테이너 아래에 다음 예와 유사하게 생성된 SCP(서비스 연결 지점) 개체가 표시되어야 합니다.

또한 규칙은 관리 서버 NetBIOS 이름의 이름으로 두 개의 보안 그룹을 만듭니다. 첫 번째는 접미사가 "_PrimarySG<난수>"이고 두 번째 보안 그룹은 "_SecondarySG<난수>"입니다. 이 예제에서는 관리 그룹에 두 개의 관리 서버가 배포되고 ComputerB_Primary_SG_24901 주 보안 그룹에 는 에이전트 할당 규칙에 정의된 포함 규칙과 일치하는 컴퓨터가 포함되며, 보안 그룹 ComputerA_Secondary_SG_38838 멤버 자격에는 기본 그룹 ComputerB_Primary_SG-29401이 포함됩니다. 주 관리 서버가 응답하지 않는 경우 이 보조 관리 서버로 장애 조치할 에이전트의 컴퓨터 계정을 포함하는 보안 그룹입니다. SCP 이름은 접미사가 "_SCP"인 관리 서버 NetBIOS 이름입니다.

참고 항목

이 예제에서는 단일 관리 그룹의 개체만 표시하고 AD 통합으로 구성되고 존재할 수 있는 다른 관리 그룹은 표시하지 않습니다.

Active Directory 통합 설정을 사용하여 수동 에이전트 배포

다음은 Active Directory 통합을 사용하도록 설정된 Windows 에이전트를 수동으로 설치하는 명령줄의 예입니다.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

에이전트에 대한 Active Directory 통합 설정 변경

다음 절차에 따라 에이전트에 대한 Active Directory 통합 팩 설정을 변경할 수 있습니다.

1. 에이전트 관리 컴퓨터의 제어판에서 Microsoft Monitoring Agent를 두 번 클릭합니다.

2. Operations Manager 탭에서 AD DS에서 관리 그룹 할당 자동 업데이트를 선택 취소하거나 선택합니다. 이 옵션을 선택하면 에이전트 시작 시 에이전트에서 할당된 관리 그룹 목록을 Active Directory에 쿼리합니다. 해당 관리 그룹(있는 경우)이 목록에 추가됩니다. 이 옵션의 선택을 취소하면 Active Directory의 에이전트에 할당된 모든 관리 그룹이 목록에서 제거됩니다.

3. 확인을 선택합니다.

신뢰할 수 없는 도메인과 Active Directory 통합

1. AD에서 개체를 읽고 쓰고 삭제할 수 있는 권한이 있는 신뢰할 수 없는 도메인에 사용자를 만듭니다.
2. 보안 그룹(도메인 로컬 또는 전역)을 만듭니다. 이 그룹에 사용자(1단계에서 만든)를 추가합니다.
3. 다음 매개 변수를 사용하여 신뢰할 수 없는 도메인에서 MOMAdAdmin.exe를 실행합니다. <path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
4. Operations Manager에서 새 실행 계정을 만듭니다. 는 1단계에서 만든 계정을 사용합니다. 도메인 이름이 NetBIOS 이름이 아닌 FQDN으로 제공되었는지 확인합니다(예: CONTOSO.COM\ADUser).
5. 계정을 AD 할당 리소스 풀에 배포합니다.
6. 기본 관리 팩에서 새 실행 프로필을 만듭니다. 이 프로필이 다른 관리 팩에서 만들어진 경우 다른 관리 팩에 참조할 수 있도록 관리 팩을 봉인해야 합니다.
7. 새로 만든 실행 계정을 이 프로필에 추가하고 AD 할당 리소스 풀에 대상으로 지정합니다.
8. Operations Manager에서 Active Directory 통합 규칙을 만듭니다.

참고 항목

신뢰할 수 없는 도메인과 통합된 후 각 관리 서버는 서버의 보안 데이터베이스에 이 워크스테이션 트러스트 관계에 대한 컴퓨터 계정이 없다는 경고 메시지를 표시하여 AD 할당에 사용된 실행 계정의 유효성 검사가 실패했음을 나타냅니다. 이벤트 ID 7000 또는 1105는 Operations Manager 이벤트 로그에 생성됩니다. 그러나 이 경고는 신뢰할 수 없는 도메인의 AD 할당에 영향을 주지 않습니다.

다음 단계

운영 콘솔에서 Windows 에이전트를 설치하는 방법을 이해하려면 검색 마법사를 사용하여 Windows에 에이전트 설치를 참조하거나 명령줄에서 에이전트를 설치하려면 MOMAgent.msi 사용하여 수동으로 Windows 에이전트 설치를 참조하세요.