Udostępnij za pośrednictwem


Uwierzytelnianie i szyfrowanie danych w programie Operations Manager

Ważne

Ta wersja programu Operations Manager osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu Operations Manager 2022.

Program System Center Operations Manager składa się z funkcji, takich jak serwer zarządzania, serwer bramy, serwer raportowania, operacyjna baza danych, magazyn danych raportowania, agent, konsola sieci Web i konsola Operacje. W tym artykule opisano sposób wykonywania uwierzytelniania i identyfikowania kanałów połączenia, w których dane są szyfrowane.

Uwierzytelnianie oparte na certyfikatach

Gdy agenta i serwer zarządzania programu Operations Manager rozdziela niezaufana granica lasu lub grupy roboczej, należy zaimplementować uwierzytelnianie oparte na certyfikatach. Poniższe sekcje zawierają informacje dotyczące tych sytuacji oraz określonych procedur w celu uzyskania i zainstalowania certyfikatów z urzędów certyfikacji opartych na systemie Windows.

Konfigurowanie komunikacji między agentami i serwerami zarządzania w tej samej granicy zaufania

Agent i serwer zarządzania wzajemnie się uwierzytelniają przy użyciu uwierzytelniania systemu Windows zanim serwer zarządzania zaakceptuje dane od agenta. Domyślną metodą uwierzytelniania jest protokół Kerberos w wersji 5. Aby umożliwić działanie wzajemnego uwierzytelniania opartego na protokole Kerberos, agenci i serwer zarządzania muszą być zainstalowani w domenie usługi Active Directory. Jeżeli agent i serwer zarządzania znajdują się w osobnych domenach, muszą one być w pełni zaufane. W tym scenariuszu po przeprowadzeniu wzajemnego uwierzytelniania następuje zaszyfrowanie kanału danych między agentem a serwerem zarządzania. W celu przeprowadzenia uwierzytelniania i szyfrowania nie jest wymagana interwencja użytkownika.

Konfigurowanie komunikacji między agentami i serwerami zarządzania w granicach zaufania

Agent (lub agenci) może być wdrożony do domeny (domena B) innej niż domena serwera zarządzania (domena A), przez co między domenami może nie istnieć zaufanie dwukierunkowe. Ponieważ nie ma zaufania między dwiema domenami, agenci w jednej domenie nie mogą uwierzytelniać się za pomocą serwera zarządzania w innej domenie przy użyciu protokołu Kerberos. Nadal odbywa się wzajemne uwierzytelnianie funkcji programu Operations Manager w każdej domenie.

Rozwiązaniem tej sytuacji jest zainstalowanie serwera bramy w tej samej domenie, w której znajdują się agenci, a następnie zainstalowanie na serwerze bramy oraz serwerze zarządzania certyfikatów w celu zapewnienia wzajemnego uwierzytelniania i szyfrowania danych. W przypadku używania serwera bramy wystarczy tylko jeden certyfikat w domenie B i tylko jeden port umożliwiający komunikację przez zaporę, zgodnie z poniższą ilustracją.

Ilustracja przedstawiająca monitorowanie niezaufanego agenta z bramą.

Konfigurowanie komunikacji między granicami domeny i grupy roboczej

W środowisku może istnieć jeden lub dwaj agenci wdrożeni do grupy roboczej objętej zaporą. Agent w grupie roboczej nie może uwierzytelniać się za pomocą serwera zarządzania w domenie przy użyciu protokołu Kerberos. Rozwiązaniem tej sytuacji jest zainstalowanie certyfikatów na komputerze hostującym agenta oraz na serwerze zarządzania, z którym agent nawiązuje połączenie, zgodnie z poniższą ilustracją.

Uwaga

W tym scenariuszu należy ręcznie zainstalować agenta.

Ilustracja przedstawiająca monitorowanie niezaufanego agenta w grupie roboczej.

Wykonaj następujące czynności na komputerze hostującym agenta oraz na serwerze zarządzania przy użyciu tego samego urzędu certyfikacji (CA):

  1. Zażądaj certyfikatów z urzędu CA.
  2. Zatwierdź żądania certyfikatów w urzędzie CA.
  3. Zainstaluj zatwierdzone certyfikaty w magazynach certyfikatów komputerów.
  4. Skonfiguruj program Operations Manager za pomocą narzędzia MOMCertImport.

Uwaga

Certyfikaty z elementem KEYSPEC innym niż 1 nie są obsługiwane.

Są to te same kroki instalowania certyfikatów na serwerze bramy, z wyjątkiem tego, że nie instalujesz ani nie uruchamiasz narzędzia zatwierdzania bramy

Potwierdzenie instalacji certyfikatu

Jeśli certyfikat został poprawnie zainstalowany, następujące zdarzenie jest zapisywane w dzienniku zdarzeń programu Operations Manager.

Typ Source Identyfikator zdarzenia Ogólne
Informacje Łącznik programu Operations Manager 20053 Łącznik programu Operations Manager pomyślnie załadował określony certyfikat uwierzytelniania.

Podczas instalacji certyfikatu uruchamia się narzędzie MOMCertImport. Gdy narzędzie MOMCertImport zakończy działanie, w poniższym podkluczu rejestru zostanie zapisany numer seryjny zaimportowanego certyfikatu.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Przestroga

Niewłaściwe edytowanie rejestru może poważnie uszkodzić system. Przed wprowadzeniem zmian w rejestrze należy wykonać kopię zapasową wszystkich cennych danych, które znajdują się na komputerze.

Uwierzytelnianie oraz szyfrowanie danych między serwerem zarządzania, serwerem bramy i agentami

Komunikacja między tymi funkcjami programu Operations Manager rozpoczyna się od wzajemnego uwierzytelniania. Jeżeli na obu końcach kanału komunikacji istnieją certyfikaty, zostaną one użyte do wzajemnego uwierzytelniania. W przeciwnym razie zostanie użyty protokół Kerberos w wersji 5. Jeżeli dowolne dwie funkcje są rozdzielone przez niezaufaną domenę, wzajemne uwierzytelnianie odbywa się przy użyciu certyfikatów. Za pośrednictwem tego kanału odbywa się normalna komunikacja w ramach m.in. zdarzeń, alertów i wdrażania pakietu administracyjnego. Na poprzedniej ilustracji przedstawiono przykład generowania alertu w jednym z agentów kierowanych na serwer zarządzania. Dane przesyłane z agenta na serwer bramy są szyfrowane przy użyciu pakietu zabezpieczeń protokołu Kerberos, ponieważ serwer bramy i agent znajdują się w tej samej domenie. Alert jest odszyfrowywany przez serwer bramy i ponownie szyfrowany przy użyciu certyfikatów serwera zarządzania. Serwer bramy wysyła zaszyfrowany komunikat do serwera zarządzania, na którym serwer zarządzania odszyfrowuje alert. Komunikacja między serwerem zarządzania a agentem może obejmować informacje dotyczące poświadczeń; na przykład zadania i dane konfiguracji. Kanał danych między agentem a serwerem zarządzania uzupełnia normalne szyfrowanie kanału, dodając kolejną warstwę szyfrowania. Interwencja użytkownika nie jest wymagana.

Serwer zarządzania i konsola Operacje, serwer konsoli sieci Web oraz serwer raportowania

Uwierzytelnianie i szyfrowanie danych między serwerem zarządzania a konsolą Operacje, serwerem konsoli sieci Web lub serwerem raportowania odbywa się przy użyciu technologii Windows Communication Foundation (WCF). Pierwsza próba uwierzytelniania odbywa się przy użyciu poświadczeń użytkownika. Pierwszy w kolejności jest protokół Kerberos. Jeśli protokół Kerberos nie działa, zostanie podjęta inna próba użycia protokołu NTLM. Jeżeli nadal nie można przeprowadzić uwierzytelniania, użytkownik otrzymuje monit o podanie poświadczeń. Po uwierzytelnieniu strumień danych jest szyfrowany jako funkcja protokołu Kerberos lub SSL, jeśli jest używany protokół NTLM.

W przypadku serwera raportowania i serwera zarządzania po przeprowadzeniu uwierzytelniania zostaje nawiązane połączenie danych między serwerem zarządzania a serwerem raportowania programu SQL Server. Ten proces odbywa się wyłącznie przy użyciu protokołu Kerberos; dlatego serwer zarządzania i serwer raportowania muszą znajdować się w zaufanych domenach. Więcej informacji o technologii WCF znajduje się w witrynie MSDN w artykule What Is Windows Communication Foundation (Co to jest Windows Communication Foundation).

Serwer zarządzania i magazyn danych raportowania

Między serwerem zarządzania a magazynem danych raportowania istnieją dwa kanały komunikacyjne:

  • Proces hosta monitorowania zduplikowany przez usługę System Center Management Health na serwerze zarządzania
  • Usługi System Center Data Access na serwerze zarządzania

Proces hosta monitorowania i magazyn danych raportowania

Domyślnie proces hosta monitorowania zduplikowany przez usługę Health, odpowiedzialną za zapisywanie zebranych zdarzeń i liczników wydajności w magazynie danych, realizuje uwierzytelnianie zintegrowane systemu Windows przez uruchomienie w ramach konta Moduł zapisywania danych określonego podczas konfigurowania raportowania. Poświadczenia konta są bezpiecznie przechowywane na koncie Uruchom jako o nazwie Konto działania magazynu danych. To konto Uruchom jako jest członkiem profilu Uruchom jako o nazwie Konto magazynu danych (skojarzone z bieżącymi zasadami zbierania danych).

Jeśli magazyn danych raportowania i serwer zarządzania są oddzielone granicą zaufania (na przykład każda z nich znajduje się w różnych domenach bez zaufania), zintegrowane uwierzytelnianie systemu Windows nie będzie działać. Aby obejść tę sytuację, proces hosta monitorowania może połączyć się z magazynem danych raportowania przy użyciu uwierzytelniania programu SQL Server. W tym celu należy utworzyć nowe konto Uruchom jako (prostego typu) z poświadczeniami konta SQL i dołączyć je do profilu Uruchom jako o nazwie Konto uwierzytelniania programu SQL Server dla magazynu danych, ustanawiając serwer zarządzania komputerem docelowym.

Ważne

Domyślnie Konto uwierzytelniania programu SQL Server dla magazynu danych w ramach profilu Uruchom jako ma przypisane specjalne konto przy użyciu konta Uruchom jako o takiej samej nazwie. Nie należy wprowadzać żadnych zmian na koncie skojarzonym z Kontem uwierzytelniania programu SQL Server dla magazynu danych w ramach profilu Uruchom jako. Zamiast tego podczas konfigurowania uwierzytelniania programu SQL Server utwórz własne konto oraz konto Uruchom jako i dołącz je do Konta uwierzytelniania programu SQL Server dla magazynu danych w ramach profilu Uruchom jako.

Poniżej opisano relacje między różnymi poświadczeniami kont, kontami Uruchom jako oraz profilami Uruchom jako w ramach uwierzytelniania zintegrowanego systemu Windows i uwierzytelniania programu SQL Server.

Domyślnie: uwierzytelnianie zintegrowane systemu Windows

  1. Profil Uruchom jako: konto magazynu danych

    • Konto Uruchom jako: konto działania magazynu danych
    • Poświadczenia konta: konto Moduł zapisywania danych (określone podczas konfigurowania)
  2. Profil Uruchom jako: konto uwierzytelniania programu SQL Server magazynu danych

    • Konto Uruchom jako: uwierzytelnianie programu SQL Server magazynu danych
    • Poświadczenia konta: specjalne konto utworzone przez program Operations Manager (nie zmieniaj)

Opcjonalnie: uwierzytelnianie programu SQL Server

  1. Profil Uruchom jako: konto uwierzytelniania programu SQL Server magazynu danych
    • Konto Uruchom jako: konto Uruchom jako, które zostało określone podczas konfigurowania
    • Poświadczenia konta: konto określone podczas konfigurowania

Usługa System Center Data Access i magazyn danych raportowania

Domyślnie usługa System Center Data Access odpowiedzialna za odczytywanie danych z magazynu danych raportowania i udostępnianie ich w obszarze parametrów raportu realizuje uwierzytelnianie zintegrowane systemu Windows przez uruchomienie w ramach konta usługi Data Access oraz usługi konfigurowania zdefiniowanego podczas instalowania programu Operations Manager.

Jeśli magazyn danych raportowania i serwer zarządzania są oddzielone granicą zaufania (na przykład każda z nich znajduje się w różnych domenach bez zaufania), zintegrowane uwierzytelnianie systemu Windows nie będzie działać. Aby obejść tę sytuację, usługa System Center Data Access może połączyć się z magazynem danych raportowania przy użyciu uwierzytelniania programu SQL Server. W tym celu należy utworzyć nowe konto Uruchom jako (prostego typu) z poświadczeniami konta SQL i dołączyć je do profilu Uruchom jako o nazwie Konto uwierzytelniania programu SQL Server dla usługi raportowania SDK, ustanawiając serwer zarządzania komputerem docelowym.

Ważne

Domyślnie Konto uwierzytelniania programu SQL Server dla usługi raportowania SDK w ramach profilu Uruchom jako ma przypisane specjalne konto przy użyciu konta Uruchom jako o takiej samej nazwie. Nigdy nie wprowadzaj żadnych zmian na koncie skojarzonym z profilem Uruchom jako, zestaw SDK raportowania SQL Server konta uwierzytelniania. Zamiast tego podczas konfigurowania uwierzytelniania programu SQL Server utwórz własne konto oraz konto Uruchom jako i dołącz je do Konta uwierzytelniania programu SQL Server dla usługi raportowania SDK w ramach profilu Uruchom jako.

Poniżej opisano relacje między różnymi poświadczeniami kont, kontami Uruchom jako oraz profilami Uruchom jako w ramach uwierzytelniania zintegrowanego systemu Windows i uwierzytelniania programu SQL Server.

Domyślnie: uwierzytelnianie zintegrowane systemu Windows

  1. Konto usługi Data Access oraz usługi konfigurowania (zdefiniowane podczas instalowania programu Operations Manager)

    • Profil Uruchom jako: konto uwierzytelniania programu SQL Server dla usługi raportowania SDK
    • Konto Uruchom jako: konto uwierzytelniania programu SQL Server dla usługi raportowania SDK
    • Poświadczenia konta: specjalne konto utworzone przez program Operations Manager (nie zmieniaj)
  2. Opcjonalnie: uwierzytelnianie programu SQL Server

    • Profil Uruchom jako: konto uwierzytelniania programu SQL Server magazynu danych
    • Konto Uruchom jako: konto Uruchom jako, które zostało określone podczas konfigurowania
    • Poświadczenia konta: konto określone podczas konfigurowania

Konsola Operacje i serwer raportowania

Konsola Operacje łączy się z serwerem raportowania przez port 80 za pośrednictwem protokołu HTTP. Uwierzytelnianie jest wykonywane przy użyciu uwierzytelniania systemu Windows. Dane można szyfrować przy użyciu kanału SSL.

Serwer raportowania i magazyn danych raportowania

Uwierzytelnianie między serwerem raportowania a magazynem danych raportowania odbywa się przy użyciu uwierzytelniania systemu Windows. Określone podczas konfigurowania raportowania konto Czytnik danych obejmuje funkcje konta wykonywania na serwerze raportowania. Jeśli hasło konta powinno ulec zmianie, musisz wprowadzić tę samą zmianę hasła przy użyciu Configuration Manager usług Reporting Services w SQL Server. Dane między serwerem raportowania a magazynem danych raportowania nie są szyfrowane.