Een gatewayserver installeren

Belangrijk

Deze versie van Operations Manager heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar Operations Manager 2022.

Gatewayservers worden doorgaans gebruikt voor het inschakelen van bewaking van clientcomputers die zich buiten de Kerberos-vertrouwensgrens van beheergroepen bevinden. Ze kunnen echter ook binnen hetzelfde domein worden gebruikt als de omgeving moet worden gesplitst vanwege netwerksegmentatie, of als 'ver weg' agents verbinding moeten maken met de beheergroep.

Agents communiceren rechtstreeks met de gatewayserver en de gatewayserver communiceert met een of meer beheerservers. Meerdere gatewayservers kunnen in één domein worden geplaatst, zodat de agents een failover van de ene naar de andere kunnen uitvoeren als de communicatie met hun primaire gateway wordt verbroken. Op dezelfde manier kan één gatewayserver worden geconfigureerd voor failover tussen beheerservers, zodat er geen Single Point of Failure bestaat in de communicatieketen. De gatewayserver fungeert als een proxy voor communicatie tussen agent-en-beheerservers, waardoor er slechts één poort kan worden geopend tussen netwerken in plaats van veel. Certificaten moeten worden gebruikt om de identiteit van elke computer tot stand te brengen buiten de kerberos-vertrouwensgrens. Zonder certificaten kunnen de systemen verbinding maken, maar weigeren te communiceren omdat de verbinding niet kan worden geverifieerd.

Voordat u doorgaat, moet u ervoor zorgen dat uw server voldoet aan de minimale systeemvereisten voor System Center - Operations Manager. Zie Systeemvereisten voor System Center Operations Manager voor meer informatie.

Notitie

Als uw beveiligingsbeleid TLS 1.0 en 1.1 beperkt, mislukt het installeren van een nieuwe operations Manager 2016-gatewayserverfunctie omdat de installatiemedia geen updates voor ondersteuning van TLS 1.2 bevatten. De enige manier waarop u deze rol kunt installeren, is door TLS 1.0 in te schakelen op het systeem, updatepakket 4 toe te passen en vervolgens TLS 1.2 in te schakelen op het systeem. Deze beperking is niet van toepassing op Operations Manager versie 1801.

Vereisten

Er zijn drie belangrijke zaken die we gereed moeten hebben voordat we verdergaan met de installatie van de gatewayrol in een standaardscenario:

1. Certificaten moeten worden gegenereerd voor de gateway en beheerserver(s) en in de certificaatarchieven worden geïnstalleerd.
   • Als de gateway en clientservers worden gebruikt in een werkgroepscenario, hebben de clients ook certificaten nodig.
2. De beoogde gatewayserver moet vóór de installatie zijn goedgekeurd om een gateway binnen de beheergroep te zijn.
3. Poort 5723 moet worden geopend tussen de gateway en de beheerserver, zoals gedefinieerd in de handleiding hier: Een firewall configureren voor Operations Manager

Certificaten en naamomzetting

1. Voor de implementatie van gatewayservers in domeinen zonder een transitieve vertrouwensrelatie in twee richtingen of in een werkgroep is het gebruik van certificaten voor verificatie vereist. De primaire servers en failoverbeheerservers hebben er een nodig naast de gateway die hiermee verbinding maakt. Deze certificaten kunnen afkomstig zijn van een Microsoft Certificate Services-CA of een externe CA, als deze correct zijn geconfigureerd voor Operations Manager. Als u hulp nodig hebt bij het maken van deze certificaten, gebruikt u de volgende handleiding: Een certificaat verkrijgen voor gebruik met Windows Servers en System Center Operations Manager

   Notitie

   • Gatewayservers die zich in hetzelfde domein of in een gedeelde vertrouwensgrens bevinden als de beheergroep, vereisen geen certificaten.
   • Als de gateway en agents zich in een werkgroep bevinden, hebben we certificaten nodig voor elke beheerserver, gateway en clientcomputer die worden bewaakt omdat er geen domein binnen een werkgroep is om verificatie van systemen mogelijk te maken.

2. Er moet een betrouwbare naamomzetting bestaan tussen de door de agent beheerde computers en de gatewayserver, en tussen de gatewayserver en de beheerserver. Deze naamomzetting wordt gewoonlijk uitgevoerd via DNS. Als het echter niet mogelijk is om de juiste naamomzetting via DNS te krijgen, kan het nodig zijn om handmatig vermeldingen te maken in het hosts-bestand van elke computer.

   Belangrijk

   Oplossingen voor doorstuur- en omgekeerde namen worden gecontroleerd voordat verificatie tussen servers wordt doorgegeven. Als we een andere hostnaam of FQDN ontvangen bij het controleren van het IP-adres, mislukt de verificatie.

   Tip

   Het hosts-bestand bevindt zich in de %SystemRoot%\system32\drivers\etc map en bevat de instructies voor de configuratie. Dit moet worden bewerkt in een Kladblok of een andere toepassing die als beheerder wordt uitgevoerd.

De gateway registreren bij de beheergroep

Om latere problemen te voorkomen, is het belangrijk dat u de beoogde gatewaycomputer vóór de installatie registreert en goedkeurt als gateway, anders loopt u het risico dat de gateway als agent wordt opgehaald.

Deze stappen moeten worden uitgevoerd vanaf een beheerserver, bij voorkeur uw primaire of RMSE-server.

1. Er is een uitvoerbaar bestand opgenomen in de Operations Manager-installatiemedia met de naam 'Microsoft.EnterpriseManagement.GatewayApprovalTool.exe', dat te vinden is in de installatiemedia onder ..\SupportTools\amd64\.

2. Zodra dit uitvoerbare bestand is gevonden, kopieert u dit uitvoerbare bestand en het configuratiebestand met dezelfde naam naar het installatiepad onder: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Open een opdrachtprompt als beheerder en navigeer naar de installatiemap van Operations Manager. (bijvoorbeeld cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Gebruik de volgende opdracht om de beoogde gateway als gateway te registreren, zorg ervoor dat u de servernamen vervangt door uw eigen naam:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Notitie

   Als u wilt voorkomen dat de gatewayserver communicatie met een beheerserver start, neemt u de parameter /ManagementServerInitiatesConnection=True op, zoals gebruikt in de volgende opdracht. Anders wordt standaard communicatie gestart vanuit de gateway zelf. Dit is handig als u binnenkomende toegang tot het primaire domein vanaf het netwerk waar de gateway zich bevindt, wilt voorkomen.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Als de goedkeuring is geslaagd, wordt het bericht The approval of server <GatewayFQDN> completed successfully. geretourneerd.

6. Als u de gatewayserver uit de beheergroep wilt verwijderen, voert u dezelfde opdracht uit, maar vervangt u /Action=Create de /Action=Delete vlag.

7. Open de weergave Bewaking in de Operations-console. Selecteer de weergave Gedetecteerde inventaris om te controleren of de gatewayserver aanwezig is. Het moet ook zichtbaar zijn onder Beheer > Apparaatbeheer > Beheerservers.

Installatieproces

Zodra de beoogde gatewayserver is geregistreerd bij de beheergroep, is het tijd om de functie op de nieuwe gateway te installeren.

Notitie

Een installatie mislukt bij het starten van Windows Installer (bijvoorbeeld het installeren van een gatewayserver door te dubbelklikken op MOMGateway.msi) als het lokale beveiligingsbeleid 'Gebruikersaccountbeheer: alle beheerders uitvoeren in Beheer goedkeuringsmodus' is ingeschakeld.

Tip

Als u problemen ondervindt tijdens de installatie, bevinden de logboeken zich hier: %LocalAppData%\SCOM\Logs

Installeren met behulp van de GUI

Volg deze stappen om de gatewayserver te installeren:

1. Meld u aan bij de gatewayserver met beheerdersrechten.
2. Start Setup.exe vanaf het Operations Manager-installatiemedium.
3. Selecteer in het gebied Installeren de koppeling Gatewaybeheerserver (niet de grote koppeling 'Installeren' onderaan het venster).
4. Selecteer Op het scherm Welkom de optie Volgende.
5. Accepteer de standaardinstelling op de pagina Doelmap of selecteer Wijzigen om een andere installatiemap te selecteren en selecteer Volgende.
6. Voer op de pagina Beheergroepconfiguratie de naam van de doelbeheergroep in het veld Naam van beheergroep in, voer de naam van de doelbeheerserver in het veld Beheerserver in, controleer of het veld Beheerserverpoort5723 is en selecteer Volgende.
7. Selecteer op de pagina GatewayActieaccount de optie Lokaal systeemaccount , tenzij u een gatewayactieaccount op basis van een domein of lokale computer gebruikt. Selecteer Next.
8. Geef op de pagina Microsoft Update eventueel aan of u Microsoft Update wilt gebruiken en selecteer Volgende. (Normaal gesproken moet deze selectie Nee zijn.)
9. Selecteer installeren op de pagina Gereed om te installeren.
10. Selecteer Voltooien op de pagina Voltooien.

Installeren via de opdrachtprompt

Volg deze stappen om de gatewayserver te installeren vanaf de opdrachtprompt:

1. Meld u aan bij de gatewayserver met beheerdersrechten.
2. Open een opdrachtpromptvenster met de optie Als administrator uitvoeren.
3. Voer de volgende opdracht uit, waarbij path\to\Installer het pad van het installatiemedium is. De MOMGateway.msi vindt u in de Operations Manager-installatiemedia onder ..\gateway\amd64\.

Tip

De ^-tekens zijn bedoeld om invoer van meerdere regels in het consolevenster mogelijk te maken en eenvoudiger te bewerken. Als dit niet werkt in uw omgeving, verwijdert u de ^-tekens en bewerkt u de opdracht zodat deze op één regel staat.

Als u LocalSystem als actieaccount gebruikt:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Als u een domeingebruiker als actieaccount gebruikt:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Belangrijk

Het wachtwoord van het actieaccount mag geen 'ongeldige' tekens bevatten in de opdrachtprompt, zoals: & < > ( ) @ ^ | ". Als dit het geval is, mislukt de installatie omdat de tekenreeks niet kan worden geparseerd, het wachtwoord kan worden gewijzigd zodat deze tekens niet worden weergegeven en deze vervolgens tussen dubbele aanhalingstekens in de opdracht zelf kan worden geplaatst.

Certificaten importeren met het hulpprogramma MOMCertImport.exe

Voer deze bewerking uit op elke gateway en beheerserver, samen met alle clientcomputers die door een agent moeten worden beheerd in een werkgroep.

1. Zorg ervoor dat de certificaten zijn geïnstalleerd voordat u doorgaat
2. Zoek het MOMCertImport.exe-bestand op het installatiemedium onder ..\SupportTools\amd64\
3. Kopieer dit bestand naar de hoofdmap van de doelserver of naar de operations manager-installatiemap
   • Bijvoorbeeld: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Open een opdrachtprompt als beheerder en wijzig de map in de map waarin MOMCertImport.exe zich bevindt.
   • Bijvoorbeeld: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Voer vervolgens de opdracht MOMCertImport.exe /SubjectName subjectNameFQDNuit, waarbij 'subjectNameFQDN' het gedefinieerde onderwerp op het certificaat is.
   • U kunt ook zonder argumenten uitvoeren MOMCertImport.exe , zodat u een certificaat kunt kiezen in een pop-upvenster waarin de certificaten in het persoonlijke archief van de lokale computer worden weergegeven.
6. Als dit lukt, wordt de Microsoft Monitoring Agent-service opnieuw gestart en wordt eventID 20053 geregistreerd in het Operations Manager-gebeurtenislogboek. Als deze eventID niet aanwezig is, bekijkt u de details van een van deze id's voor eventuele problemen en corrigeert u dienovereenkomstig: 20049,20050,20052,20066,20069,20077

Tip

Zodra het certificaat is geïmporteerd, ziet u hier een gespiegelde versie van de vingerafdruk in het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Gatewayservers configureren voor failover tussen beheerservers

Gatewayservers communiceren standaard slechts met één beheerserver, de primaire server. Als deze verbinding is verbroken, worden de gateway en eventuele gekoppelde agents grijs weergegeven in de console en worden ze niet bewaakt. Als u meerdere beheerservers hebt, kunnen we dit probleem voorkomen door beheerservers te configureren waarnaar de gateway een failover kan uitvoeren totdat de primaire server weer beschikbaar is. Een failover configureren:

We gebruiken de cmdlet Set-SCOMParentManagementServer in de Operations Manager-shell, zoals weergegeven in het volgende voorbeeld, om een gatewayserver te configureren voor failover naar meerdere beheerservers. De opdrachten kunnen worden uitgevoerd vanaf elke opdrachtshell in de beheergroep.

1. Meld u aan bij een beheerserver met een account dat lid is van de rol Operations Manager-beheerders.

2. Voer vanuit het startmenu de Operations Manager Shell uit onder de map 'Microsoft System Center'.

3. Voer in de console de volgende opdrachten uit:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Notitie

   U kunt een failoverserver niet instellen op hetzelfde als de primaire server zonder de primaire server op hetzelfde moment of eerst te wijzigen. Als u de primaire wilt wijzigen en instellen op een secundaire, gebruikt u de volgende opdrachten:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Meerdere gatewayservers koppelen

Hoewel dit ongebruikelijk is, is het soms nodig om meerdere gateways aan elkaar te koppelen om meerdere niet-vertrouwde grenzen te bewaken. In deze sectie wordt beschreven hoe u meerdere gateways aan elkaar koppelt.

Notitie

• U moet één gateway tegelijk installeren en controleren of elke zojuist geïnstalleerde gateway correct is geconfigureerd en als in orde wordt weergegeven in de SCOM-console voordat u een andere gateway in de keten toevoegt.
• Wanneer u het einde van de keten van de gateways toevoegt aan dezelfde resourcegroep, configureert u geen failover naar de andere keten met behulp van de opdracht Set-SCOMParentManagementServer . In een dergelijk scenario werkt de pool niet zoals verwacht. Om failoverconfiguratie en de resourcegroep samen te laten functioneren, moet het gateway-einde van de keten hetzelfde bovenliggende item hebben.

Voor het configureren van een gatewayketen gebruiken we het hulpprogrammaMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe net als voor de eerste gatewayserver. Deze keer moeten we echter de 'ManagementServerName' instellen als de upstream-gatewayserver in de keten. Als GW02 bijvoorbeeld verbinding gaat maken met GW01, is GW01 in dit scenario de 'ManagementServer'.

1. Meld u aan bij een van uw beheerservers waarop de GatewayApprovalTool al is ingesteld.

2. Open een opdrachtprompt als beheerder en navigeer naar de map waarin het hulpprogramma is opgeslagen

3. Voer vervolgens de onderstaande opdracht uit om de downstreamgatewayserver goed te keuren, waarbij u ervoor zorgt dat u de servernamen vervangt door uw eigen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installeer de gatewayfunctie op een nieuwe server.

5. Configureer de certificaten tussen GW01 en GW02 op dezelfde manier als u certificaten tussen een gateway en een beheerserver configureert. Bij de Health Service kan slechts één certificaat worden geladen en gebruikt. Daarom wordt hetzelfde certificaat gebruikt door de parent en child van de gateway in de keten.

Volgende stappen

Zie Gedistribueerde implementatie van Operations Manager voor meer informatie over de volgorde en stappen voor het installeren van de Operations Manager-serverfuncties op meerdere servers in uw beheergroep.