Como configurar e utilizar a Integração do Active Directory para atribuir agentes

O System Center Operations Manager permite-lhe tirar partido do seu investimento em Active Directory Domain Services (AD DS), permitindo-lhe utilizá-lo para atribuir computadores geridos por agentes a grupos de gestão. Este artigo irá ajudá-lo a criar e gerir a configuração do contentor no Active Directory e a atribuição de agentes de servidores de gestão a que os agentes devem comunicar.

Criar um Contentor do Active Directory Domain Services para um grupo de gestão

Pode utilizar a seguinte sintaxe e procedimento da linha de comandos para criar um contentor do Serviço Domínio do Active Directory (AD DS) para um grupo de gestão do System Center – Operations Manager. O MOMADAdmin.exe é disponibilizado para este efeito e encontra-se instalado no servidor de gestão do Operations Manager. O MOMADAdmin.exe tem de ser executado por um administrador do domínio especificado.

Sintaxe da linha de comandos:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Se um valor contiver um espaço, tem de o colocar entre aspas.

• ManagementGroupName é o nome do grupo de gestão para o qual o contentor do AD está a ser criado.

• MOMAdminSecurityGroup é um grupo de segurança do domínio com o formato domínio\grupo_de_segurança, que pertence à função Administradores do Operations Manager do grupo de gestão.

• RunAsAccount: esta é a conta de domínio que será utilizada pelo servidor de gestão para ler, escrever e eliminar objetos no AD. Utilize o formato domínio\nome de utilizador.

• Domain é o nome do domínio onde o contentor do grupo de gestão será criado. O MOMADAdmin.exe só pode ser executado em vários domínios se existir uma relação de confiança bidirecional entre os mesmos.

Para que a integração do Active Directory possa funcionar, o grupo de segurança tem de ser um grupo de segurança global (se a integração do Active Directory tiver de funcionar em múltiplos domínios com relações de confiança bidirecional) ou um grupo de domínio local (se a integração do Active Directory for utilizada apenas num domínio)

Para adicionar um grupo de segurança ao grupo de Administradores do Operations Manager, utilize o seguinte procedimento.

1. Na consola do Operations Manager, selecione Administração.

2. Na área de trabalho Administração, selecione Funções de Utilizador em Segurança.

3. Em Funções de Utilizador, selecione Administradores do Operations Manager e selecione a ação Propriedades ou clique com o botão direito do rato em Administradores do Operations Manager e selecione Propriedades.

4. Selecione Adicionar para abrir a caixa de diálogo Selecionar Grupo .

5. Selecione o grupo de segurança pretendido e, em seguida, selecione OK para fechar a caixa de diálogo.

6. Selecione OK para fechar As Propriedades da Função de Utilizador.

Nota

Recomendamos que utilize um só grupo de segurança (o qual poderá conter vários grupos) para a função Administradores do Operations Manager. Desta forma, os grupos e os membros de grupos podem ser adicionados e removidos dos mesmos sem que um administrador de domínio tenha de efetuar manualmente uma série de passos para lhes atribuir as permissões Ler e Eliminar Subordinados no contentor do Grupo de Gestão.

Utilize o seguinte procedimento para criar o contentor do AD DS.

1. Abra uma linha de comandos como administrador.

2. Na linha de comandos, por exemplo, introduza o seguinte:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Nota

O caminho predefinido é C:\Programas\Microsoft System Center\Operations Manager.

3. O exemplo anterior da linha de comandos irá:

   1. Executar o utilitário MOMADAdmin.exe a partir da linha de comandos.

   2. Criar o contentor do Grupo de Gestão do AD DS "Message Ops" na raiz de esquema do AD DS do domínio MessageDom. Para criar o mesmo contentor do Grupo de Gestão do AD DS em domínios adicionais, execute o MOMADAdmin.exe em cada domínio.

   3. Adicionar a conta de utilizador do domínio MessageDom\MessageADIntAcct ao grupo de segurança do AD DS MessageDom\MessageOMAdmins e atribuir os direitos necessários a esse grupo para gerir o contentor do AD DS.

Como utilizar o Active Directory Domain Services para atribuir computadores a servidores de gestão

O Assistente de Atribuição e Ativação Pós-falha de Agentes do Operations Manager cria uma regra de atribuição de agentes que utiliza o Active Directory Domain Services (AD DS) para atribuir computadores a um grupo de gestão e para atribuir o servidor de gestão principal e os servidores de gestão secundários dos computadores. Utilize os seguintes procedimentos para iniciar e utilizar o assistente.

Importante

O contentor do Active Directory Domain Services do grupo de gestão tem de ser criado antes de executar o Assistente de Atribuição e Ativação Pós-falha de Agentes.

O Assistente de Atribuição e Ativação Pós-falha do Agente não implementa o agente. Tem de implementar manualmente o agente nos computadores através do MOMAgent.msi.

Alterar a regra de atribuição do agente poderá fazer com que os computadores deixem de ser atribuídos e de ser monitorizados pelo grupo de gestão. Estes computadores apresentarão um estado crítico, dado que deixarão de enviar heartbeats para o grupo de gestão. Estes computadores podem ser eliminados do grupo de gestão e, se o computador não estiver atribuído a outros grupos de gestão, o agente do Operations Manager pode ser desinstalado.

Para iniciar o Assistente de Atribuição e Ativação Pós-falha de Agentes

1. Inicie sessão no computador com uma conta que seja membro da função Administradores do Operations Manager.

2. Na Consola de operações, selecione Administração.

3. Na área de trabalho Administração, selecione Servidores de Gestão.

4. No painel Servidores de Gestão , clique com o botão direito do rato no servidor de gestão ou servidor de gateway para ser Servidor de Gestão Primária para os computadores devolvidos pelas regras que irá criar no procedimento seguinte e, em seguida, selecione Propriedades.

   Nota

   Neste contexto, os servidores de gateway funcionam como os servidores de gestão.

5. Na caixa de diálogo Propriedades do Servidor de Gestão , selecione o separador Atribuição do Agente Automático e, em seguida, selecione Adicionar para iniciar o Assistente de Atribuição e Ativação Pós-falha do Agente.

6. No Assistente de Atribuição e Ativação Pós-falha do Agente, na página Introdução , selecione Seguinte.

   Nota

   A página Introdução não é apresentada se o assistente tiver sido executado e Não voltar a mostrar esta página .

7. Na página Domínio, faça o seguinte:

   Nota

   Para atribuir computadores de múltiplos domínios a um grupo de gestão, execute o Assistente de Atribuição e Ativação Pós-falha de Agentes em cada domínio.

   • Selecione o domínio dos computadores na lista pendente Nome de domínio. O servidor de domínio, bem como todos os computadores no conjunto de recursos de Atribuição de Agentes do AD, tem de conseguir resolver o nome de domínio.

     Importante

     O servidor de gestão e os computadores que pretende gerir têm de estar em domínios de confiança bidirecional.

   • Defina o campo Selecione o Perfil Run As para o perfil Run As associado à conta Run As que foi fornecida quando o MOMADAdmin.exe foi executado para o domínio. A conta predefinida utilizada para efetuar a atribuição de agentes é a conta de ação especificada durante a Configuração, que é igualmente referida como a Conta de Atribuição de Agente Baseada no Active Directory. Esta conta representa as credenciais que são utilizadas ao ligar ao Active Directory do domínio especificado e modificar os objetos do Active Directory. Estas credenciais devem corresponder à conta especificada ao executar o MOMAdmin.exe. Se esta não for a conta utilizada para executar MOMADAdmin.exe, selecione Utilizar uma conta diferente para efetuar a atribuição de agente no domínio especificado e, em seguida, selecione ou crie a conta na lista pendente Selecionar Perfil Run As . O perfil de Conta de Atribuição de Agente Baseado no Active Directory tem de ser configurado para utilizar uma conta de administrador do Operations Manager, que é distribuída para todos os servidores no conjunto de recursos atribuição do Agente do AD.

     Nota

     Para obter mais informações sobre perfis e contas Run As, veja Gerir Contas e Perfis Run As.

8. Na página Critérios de Inclusão , escreva a consulta LDAP para atribuir computadores a este servidor de gestão na caixa de texto e, em seguida, selecione Seguinte ou selecione Configurar. Se selecionar Configurar, faça o seguinte:

   1. Na caixa de diálogo Localizar Computadores , introduza os critérios pretendidos para atribuir computadores a este servidor de gestão ou introduza a consulta LDAP específica.

      A seguinte consulta LDAP só devolve computadores com o sistema operativo Windows Server e exclui controladores de domínio.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Este exemplo de consulta LDAP devolve apenas computadores com o sistema operativo Windows Server. Exclui controladores de domínio e servidores que alojam o Operations Manager ou Service Manager função de servidor de gestão.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Para obter mais informações sobre consultas LDAP, veja Criar um Filtro de Consulta e o Active Directory: Filtros de Sintaxe LDAP.

   2. Selecione OK e, em seguida, selecione Seguinte.

9. Na página Critérios de Exclusão , escreva o FQDN dos computadores que pretende explicitamente impedir de ser gerido por este servidor de gestão e, em seguida, selecione Seguinte.

   Importante

   Terá de separar os FQDNs dos computadores que escrever com um ponto e vírgula, dois pontos ou com uma nova linha (Ctrl+Enter).

10. Na página Ativação Pós-falha do Agente , selecione Gerir automaticamente a ativação pós-falha e selecione Criar ou selecione Configurar manualmente a ativação pós-falha. Se selecionar a opção Configurar a ativação pós-falha manualmente, faça o seguinte:

    1. Desmarque as caixas de verificação dos servidores de gestão aos quais não pretende que os agentes efetuem a ativação pós-falha.

    2. Selecione Criar.

       Nota

       Com a opção Configurar a ativação pós-falha manualmente, terá de voltar a executar o assistente se adicionar um servidor de gestão ao grupo de gestão posteriormente e quiser efetuar a ativação pós-falha dos agentes no novo servidor de gestão.

11. Na caixa de diálogo Propriedades do Servidor de Gestão , selecione OK.

Nota

A propagação da definição de atribuição de agentes no AD DS poderá demorar até uma hora.

Assim que o processo estiver concluído, será criada a seguinte regra no grupo de gestão que terá como destino a classe Agrupamento de Recursos de Atribuição do AD.


Esta regra inclui as informações da configuração da atribuição de agentes que especificou no Assistente de Atribuição e Ativação Pós-falha de Agentes, como a consulta LDAP.

Para confirmar se o grupo de gestão publicou as respetivas informações no Active Directory com êxito, procure o ID de Evento 11470 a partir dos Módulos do Serviço de Integridade de origem contidos no registo de eventos do Operations Manager, no servidor de gestão em que a regra de atribuição de agentes foi definida. Na descrição, deve indicar que adicionou com êxito todos os computadores que foram adicionados à regra de atribuição do agente.

No Active Directory, no contentor OperationsManager<ManagementGroupName> , deverá ver os objetos do ponto de ligação de serviço (SCP) criados de forma semelhante ao exemplo seguinte.

A regra também cria dois grupos de segurança com o nome do nome NetBIOS do servidor de gestão: o primeiro com o sufixo "_PrimarySG<número> aleatório" e o segundo "_SecondarySG<número> aleatório". Neste exemplo, existem dois servidores de gestão implementados no grupo de gestão e o grupo de segurança principal ComputerB_Primary_SG_24901 associação inclui computadores que correspondem à regra de inclusão definida na regra de atribuição do agente e o grupo de segurança ComputerA_Secondary_SG_38838 associação inclui o grupo principal ComputerB_Primary_SG-29401 grupo de segurança que contém a conta do computador dos agentes que efetuaria a ativação pós-falha para este servidor de gestão secundário no caso de o servidor de gestão principal não responder. O nome do SCP é o nome NetBIOS do servidor de gestão com o sufixo "_SCP".

Nota

Neste exemplo, está apenas a mostrar objetos de um único grupo de gestão e não outros grupos de gestão que possam existir e também configurados com a integração do AD.

Implementação manual do agente com a Definição de Integração do Active Directory

Abaixo segue-se um exemplo da linha de comandos para instalar manualmente o agente do Windows com a Integração do Active Directory ativada.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Alterar a Definição de Integração do Active Directory para um agente

É possível utilizar o seguinte procedimento para alterar a definição de integração do Active Directory para um agente.

1. No computador gerido pelo agente, no Painel de Controlo, faça duplo clique em Microsoft Monitoring Agent.

2. No separador Operations Manager, desmarque ou selecione Atualizar automaticamente atribuições de grupo de gestão a partir do AD DS. Se selecionar esta opção, durante o arranque do agente, o agente consultará o Active Directory para obter uma lista de grupos de gestão à qual está atribuído. Esses grupos de gestão, se existirem, serão adicionados à lista. Se desmarcar esta opção, todos os grupos de gestão atribuídos ao agente no Active Directory serão removidos da lista.

3. Selecione OK.

Integrar o Active Directory num domínio não fidedigno

1. Crie um utilizador num domínio não fidedigno com permissões para ler, escrever e eliminar objetos no AD.
2. Criar um grupo de segurança (local de domínio ou global). Adicione o utilizador (criado no passo 1) a este grupo.
3. Execute MOMAdAdmin.exe no domínio não fidedigno com os seguintes parâmetros: <path>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Domain>
4. Criar uma nova conta Run As no Operations Manager; utilize a conta criada no passo 1. Certifique-se de que o nome de domínio é fornecido com FQDN e não com o nome NetBIOS (Por Exemplo: CONTOSO.COM\ADUser).
5. Distribua a conta para o Agrupamento de Recursos de Atribuição do AD.
6. Crie um novo perfil Run As no pacote de gestão predefinido. Se este perfil for criado em qualquer outro pacote de gestão, certifique-se de que fecha o pacote de gestão para que este possa ser referenciado para outro pacote de gestão.
7. Adicione a conta Run As recentemente criada a este perfil e direcione-a para o Agrupamento de Recursos de Atribuição do AD
8. Crie as regras de integração do Active Directory no Operations Manager.

Nota

Após a integração com um domínio não fidedigno, cada servidor de gestão apresenta a mensagem de aviso A base de dados de segurança no servidor não tem uma conta de computador para esta relação de confiança da estação de trabalho que indica que a validação da conta Run As utilizada pela atribuição do AD falhou. O ID do Evento 7000 ou 1105 é gerado no registo de Eventos do Operations Manager. No entanto, este alerta não tem qualquer efeito na atribuição do AD num domínio não fidedigno.

Passos seguintes

Para saber como pode instalar o agente do Windows a partir da consola do Operations Manager, veja Instalar o Agente no Windows Através do Assistente de Deteção ou, para instalar o agente a partir da linha de comandos, veja Instalar Manualmente o Agente do Windows com o MOMAgent.msi.