Konfigurowanie i używanie integracji z usługą Active Directory do przypisywania agentów

Program System Center Operations Manager umożliwia wykorzystanie inwestycji w usługę Active Directory Domain Services (AD DS), umożliwiając przypisanie komputerów zarządzanych przez agenta do grup zarządzania. Ten artykuł pomoże Ci utworzyć i zarządzać konfiguracją kontenera w usłudze Active Directory, a przypisanie agenta agentów serwerów zarządzania powinno zgłaszać raport.

Tworzenie kontenera usług domeny usługi Active Directory dla grupy zarządzania

Poniższa składnia i procedura wiersza polecenia umożliwia utworzenie kontenera usługi domena usługi Active Directory Service (AD DS) dla grupy zarządzania programu System Center — Operations Manager. W tym celu dostarczany jest program MOMADAdmin.exe, instalowany wraz z serwerem zarządzania programu Operations Manager. Program MOMADAdmin.exe musi zostać uruchomiony przez administratora określonej domeny.

Składnia wiersza polecenia:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Ważne

Jeśli wartość zawiera spację, należy umieścić ją w cudzysłowie.

• ManagementGroupName to nazwa grupy zarządzania, dla której tworzony jest kontener usługi AD.

• MOMAdminSecurityGroup to grupa zabezpieczeń domeny w formacie domena\grupa_zabezpieczeń, należąca do roli zabezpieczeń Administratorzy programu Operations Manager dla grupy zarządzania.

• RunAsAccount: jest to konto domeny, które będzie używane przez serwer zarządzania do odczytu, zapisu i usuwania obiektów w usłudze AD. Użyj formatu domena\nazwa_użytkownika.

• Domain to nazwa domeny, w której zostanie utworzony kontener grupy zarządzania. Program MOMADAdmin.exe można uruchomić między domenami tylko wtedy, gdy istnieje między nimi relacja zaufania dwukierunkowego.

Działanie integracji z usługą Active Directory wymaga, aby grupa zabezpieczeń była grupą zabezpieczeń globalnych (jeśli integracja z usługą Active Directory musi działać w wielu domenach z dwukierunkowymi relacjami zaufania) lub grupą domeny lokalnej (jeśli integracja z usługą Active Directory jest używana tylko w jednej domenie)

Aby dodać grupę zabezpieczeń do grupy Administratorzy programu Operations Manager, należy użyć następującej procedury.

1. W konsoli Operacje wybierz pozycję Administracja.

2. W obszarze roboczym Administracja wybierz opcję Role użytkownika w sekcji Zabezpieczenia.

3. W obszarze Role użytkownika wybierz pozycję Administratorzy programu Operations Manager i wybierz akcję Właściwości lub kliknij prawym przyciskiem myszy pozycję Administratorzy programu Operations Manager i wybierz pozycję Właściwości.

4. Wybierz pozycję Dodaj , aby otworzyć okno dialogowe Wybieranie grupy .

5. Wybierz odpowiednią grupę zabezpieczeń, a następnie wybierz przycisk OK , aby zamknąć okno dialogowe.

6. Wybierz przycisk OK , aby zamknąć właściwości roli użytkownika.

Uwaga

Dla roli Administratorzy programu Operations Manager firma Microsoft zaleca stosowanie jednej grupy zabezpieczeń, która może zawierać kilka grup. Dzięki temu można dodawać i usuwać grupy oraz członków grup bez konieczności wykonywania przez administratora domeny czynności ręcznych w celu przypisywania do kontenera grupy zarządzania uprawnień odczytu i usuwania obiektów podrzędnych.

Aby utworzyć kontener usługi AD DS, wykonaj czynności opisane w poniższej procedurze.

1. Otwórz wiersz polecenia jako administrator.

2. Na przykład po wyświetleniu monitu wprowadź następujące polecenie:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Uwaga

Ścieżka domyślna to C:\Program Files\Microsoft System Center\Operations Manager.

3. Poprzedni przykład wiersza polecenia wykona następujące działania:

   1. Uruchomienie narzędzia MOMADAdmin.exe z wiersza polecenia.

   2. Utworzenie kontenera usług AD DS grupy zarządzania Message Ops w katalogu głównym schematu domeny MessageDom. Aby utworzyć ten sam kontener usług AD DS grupy zarządzania w dodatkowych domenach, uruchom narzędzie MOMADAdmin.exe dla każdej domeny.

   3. Dodaj konto użytkownika domeny MessageDom\MessageADIntAcct do grupy zabezpieczeń usług AD DS MessageDom\MessageOMAdmins i przypisz grupie AD DS uprawnienia wymagane do zarządzania kontenerem usług AD DS.

Przypisywanie komputerów do serwerów zarządzania za pomocą usług Active Directory Domain Services

Kreator przypisania agenta i trybu failover programu Operations Manager tworzy regułę przypisania agenta wykorzystującą usługi Active Directory Domain Services (AD DS) do przypisania komputerów do grupy zarządzania oraz do przypisania podstawowego serwera zarządzania i dodatkowych serwerów zarządzania dla komputera. Użyj poniższej procedury, aby uruchomić kreatora i użyć go.

Ważne

Przed uruchomieniem kreatora przypisania agenta i trybu failover należy utworzyć kontener usług domeny w usłudze Active Directory dla grupy zarządzania.

Kreator przypisania agenta i trybu failover nie wdraża agenta. Należy ręcznie wdrożyć agenta na komputerach przy użyciu narzędzia MOMAgent.msi.

Zmiana reguły przypisania agenta może spowodować anulowanie przypisania komputerów do grupy zarządzania, a co za tym idzie ich monitorowania. Stan tych komputerów zmieni się na krytyczny, ponieważ nie będą one przesyłać pulsów do grupy zarządzania. Te komputery można usunąć z grupy zarządzania, a jeśli komputer nie jest przypisany do innych grup zarządzania, można odinstalować agenta programu Operations Manager.

Uruchamianie kreatora przypisania agenta i trybu failover programu Operations Manager

1. Zaloguj się na komputerze przy użyciu konta, które jest członkiem roli Administratorzy programu Operations Manager.

2. W konsoli Operacje wybierz pozycję Administracja.

3. W obszarze roboczym Administracja wybierz pozycję Serwery zarządzania.

4. W okienku Serwery zarządzania kliknij prawym przyciskiem myszy serwer zarządzania lub serwer bramy, aby był podstawowym serwerem zarządzania dla komputerów zwróconych przez reguły utworzone w poniższej procedurze, a następnie wybierz pozycję Właściwości.

   Uwaga

   Serwery bramy działają w tym kontekście podobnie jak serwery zarządzania.

5. W oknie dialogowym Właściwości serwera zarządzania wybierz kartę Automatyczne przypisanie agenta , a następnie wybierz pozycję Dodaj , aby uruchomić Kreatora przypisania agenta i trybu failover.

6. W Kreatorze przypisania agenta i trybu failover na stronie Wprowadzenie wybierz pozycję Dalej.

   Uwaga

   Strona Wprowadzenie nie jest wyświetlana, jeśli kreator został uruchomiony i nie pokazuj ponownie tej strony .

7. Na stronie Domena wykonaj następujące czynności:

   Uwaga

   Aby przypisać komputery z wielu domen do grupy zarządzania, uruchom Kreatora przypisania agenta i trybu failover dla każdej domeny.

   • Wybierz domenę komputerów z listy rozwijanej Nazwa domeny . Serwer zarządzania i wszystkie komputery w puli zasobów przypisania agenta usługi AD muszą być w stanie rozpoznać nazwę domeny.

     Ważne

     Serwer zarządzania i komputery, którymi chcesz zarządzać, muszą znajdować się w dwukierunkowych domenach zaufanych.

   • Ustaw opcję Wybierz profil Uruchom jako na profil Uruchom jako skojarzony z kontem Uruchom jako podanym podczas uruchomienia narzędzia MOMADAdmin.exe dla domeny. Domyślne konto używane do przypisania agenta jest domyślnym kontem akcji określonym podczas instalacji i nosi również nazwę Konto przypisania agenta na podstawie usługi Active Directory. To konto reprezentuje poświadczenia używane podczas nawiązywania połączenia z usługą Active Directory określonej domeny i modyfikowania obiektów usługi Active Directory. Powinno odpowiadać kontu określonemu przy uruchomieniu narzędzia MOMAdmin.exe. Jeśli nie było to konto używane do uruchamiania MOMADAdmin.exe, wybierz pozycję Użyj innego konta do wykonania przypisania agenta w określonej domenie, a następnie wybierz lub utwórz konto z listy rozwijanej Wybierz profil Uruchom jako . Profil konta przypisania agenta opartego na usłudze Active Directory musi być skonfigurowany do używania konta administratora programu Operations Manager, które jest dystrybuowane do wszystkich serwerów w puli zasobów przypisania agenta usługi AD.

     Uwaga

     Aby uzyskać więcej informacji o profilach Uruchom jako i kontach Uruchom jako, zobacz sekcję Zarządzanie kontami i profilami Uruchom jako.

8. Na stronie Kryteria dołączania wpisz zapytanie LDAP dotyczące przypisywania komputerów do tego serwera zarządzania w polu tekstowym, a następnie wybierz przycisk Dalej lub wybierz pozycję Konfiguruj. W przypadku wybrania pozycji Konfiguruj wykonaj następujące czynności:

   1. W oknie dialogowym Znajdowanie komputerów wprowadź odpowiednie kryteria przypisywania komputerów do tego serwera zarządzania lub wprowadź określone zapytanie LDAP.

      Następujące zapytanie LDAP zwraca tylko komputery z systemem operacyjnym Windows Server i wyklucza kontrolery domeny.

      (&(objectCategory=computer)(operatingsystem=*server*))

      To przykładowe zapytanie LDAP zwraca tylko komputery z systemem operacyjnym Windows Server. Wyklucza ona kontrolery domeny i serwery hostowania roli serwera zarządzania programu Operations Manager lub Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Aby uzyskać więcej informacji na temat zapytań LDAP, zobacz Creating a Query Filter (Tworzenie filtru zapytania ) i Active Directory: LDAP Syntax Filters (Tworzenie filtru zapytań i usługi Active Directory: filtry składni LDAP).

   2. Wybierz przycisk OK, a następnie wybierz przycisk Dalej.

9. Na stronie Kryteria wykluczenia wpisz nazwę FQDN komputerów, których jawnie chcesz uniemożliwić zarządzanie przez ten serwer zarządzania, a następnie wybierz przycisk Dalej.

   Ważne

   Wpisywane nazwy FQDN komputerów należy oddzielić średnikiem, dwukropkiem lub znakiem nowego wiersza (CTRL+ENTER).

10. Na stronie Tryb failover agenta wybierz pozycję Automatycznie zarządzaj trybem failover i wybierz pozycję Utwórz lub wybierz pozycję Ręcznie skonfiguruj tryb failover. W przypadku wybrania opcji Ręcznie konfiguruj tryb failover wykonaj następujące czynności:

    1. Wyczyść pola wyboru serwerów zarządzania, do których nie chcesz, aby agenci musieli przejść w tryb failover.

    2. Wybierz przycisk Utwórz.

       Uwaga

       W przypadku wybrania opcji Ręcznie konfiguruj tryb failover należy uruchomić kreatora ponownie, jeśli w późniejszym czasie do grupy zarządzania zostanie dodany serwer zarządzania i chcesz, aby agenci przenosili się w trybie failover do nowego serwera zarządzania.

11. W oknie dialogowym Właściwości serwera zarządzania wybierz przycisk OK.

Uwaga

Propagacja ustawienia przypisania agentów w usługach AD DS może zająć do godziny.

Po ukończeniu w grupie zarządzania zostanie utworzona następująca reguła dotycząca klasy Pula zasobów przypisania usługi AD.


Ta reguła zawiera informacje konfiguracji przypisania agenta określone w Kreatorze przypisania agenta i trybu failover, takie jak zapytanie LDAP.

Aby upewnić się, ze grupa zarządzania pomyślnie opublikowała swoje informacje w usłudze Active Directory, wyszukaj identyfikator zdarzenia 11470 z modułów usługi kondycji źródła w dzienniku zdarzeń programu Operations Manager na serwerze zarządzania, na którym zdefiniowano zasadę przypisania agenta. W opisie należy stwierdzić, że pomyślnie dodano wszystkie komputery, które zostały dodane do reguły przypisania agenta.

W usłudze Active Directory w kontenerze OperationsManager<ManagementGroupName> powinny zostać wyświetlone obiekty punktu połączenia usługi (SCP) utworzone podobnie jak w poniższym przykładzie.

Reguła tworzy również dwie grupy zabezpieczeń o nazwie NetBIOS serwera zarządzania: pierwsza z sufiksem "_PrimarySG<losowa liczba>", a druga "_SecondarySG<losowa liczba>". W tym przykładzie istnieją dwa serwery zarządzania wdrożone w grupie zarządzania, a podstawowa grupa zabezpieczeń ComputerB_Primary_SG_24901 członkostwa obejmuje komputery zgodne z regułą dołączania zdefiniowaną w regule przypisania agenta, a członkostwo grupy zabezpieczeń ComputerA_Secondary_SG_38838 obejmuje grupę podstawową ComputerB_Primary_SG-29401 grupa zabezpieczeń zawierająca konto komputera agentów, które przejdą w tryb failover do tego pomocniczego serwera zarządzania w przypadku, gdy podstawowy serwer zarządzania nie odpowiada. Nazwa SCP to nazwa NetBIOS serwera zarządzania z sufiksem „_SCP”.

Uwaga

W tym przykładzie są wyświetlane tylko obiekty z jednej grupy zarządzania, a nie inne grupy zarządzania, które mogą istnieć, a także skonfigurowane z integracją z usługą AD.

Ręczne wdrażanie agentów z ustawieniem integracji z usługą Active Directory

Poniżej zamieszczono przykład wiersza polecenia pozwalającego na ręczną instalację agenta systemu Windows z włączoną integracją usługi Active Directory.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Zmienianie ustawienia integracji z usługą Active Directory dla agenta

Za pomocą poniższej procedury można zmienić dla agenta ustawienie integracji z usługą Active Directory.

1. Na komputerze zarządzanym przez agenta w Panel sterowania kliknij dwukrotnie program Microsoft Monitoring Agent.

2. Na karcie Operations Manager usuń zaznaczenie pozycji Automatycznie aktualizuj przypisania grupy zarządzania przy użyciu usługi AD DS lub ją zaznacz. W przypadku wybrania tej opcji, podczas uruchamiania agenta wykonana zostanie kwerenda w usłudze Active Directory w celu utworzenia listy grup zarządzania, do których agent został przypisany. Te grupy zarządzania zostaną dodane do listy. W przypadku usunięcia zaznaczenia tej opcji wszystkie grupy zarządzania przypisane do agenta w usłudze Active Directory zostaną usunięte z listy.

3. Wybierz przycisk OK.

Integrowanie usługi Active Directory z niezaufaną domeną

1. Utwórz użytkownika w niezaufanej domenie z uprawnieniami do odczytu, zapisu i usuwania obiektów w usłudze AD.
2. Utwórz grupę zabezpieczeń (domenę lokalną lub globalną). Dodaj użytkownika (utworzonego w kroku 1) do tej grupy.
3. Uruchom MOMAdAdmin.exe w niezaufanej domenie z następującymi parametrami: <ścieżka>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Domain>
4. Utwórz nowe konto Uruchom jako w programie Operations Manager; użyj konta utworzonego w kroku 1. Upewnij się, że nazwa domeny jest dostarczana z nazwą FQDN, a nie nazwą NetBIOS (na przykład: CONTOSO.COM\ADUser).
5. Rozłóż konto do puli zasobów przypisania usługi AD.
6. Utwórz nowy profil Uruchom jako w domyślnym pakiecie administracyjnym. Jeśli ten profil zostanie utworzony w innym pakiecie administracyjnym, upewnij się, że należy go przypieczętować, aby można było odwoływać się do innego pakietu administracyjnego.
7. Dodawanie nowo utworzonego konta Uruchom jako do tego profilu i kierowanie go do puli zasobów przypisania usługi AD
8. Utwórz reguły integracji usługi Active Directory w programie Operations Manager.

Uwaga

Po integracji z niezaufaną domeną każdy serwer zarządzania wyświetla komunikat ostrzegawczy Baza danych zabezpieczeń na serwerze nie ma konta komputera dla tej relacji zaufania stacji roboczej wskazującą, że walidacja konta Uruchom jako używanego przez przypisanie usługi AD nie powiodła się. Identyfikator zdarzenia 7000 lub 1105 są generowane w dzienniku zdarzeń programu Operations Manager. Ten alert nie ma jednak wpływu na przypisanie usługi AD w niezaufanej domenie.

Następne kroki

Aby zrozumieć sposób instalowania agenta systemu Windows z poziomu konsoli Operacje, zobacz sekcję Instalowanie agenta w systemie Windows za pomocą Kreatora odnajdywania. Aby zainstalować agenta z wiersza polecenia, zobacz sekcję Ręczne instalowanie agenta systemu Windows przy użyciu narzędzia MOMAgent.msi.