Configurar e usar a Integração do Ative Directory para atribuição de agente

O System Center Operations Manager permite que você aproveite seu investimento nos Serviços de Domínio Ative Directory (AD DS), permitindo que você o use para atribuir computadores gerenciados por agente a grupos de gerenciamento. Este artigo irá ajudá-lo a criar e gerir a configuração do contêiner no Active Directory, além de gerir a atribuição dos agentes aos servidores de gestão a que devem reportar.

Criar um contêiner de Serviços de Domínio Ative Directory para um grupo de gerenciamento

Você pode usar a sintaxe e o procedimento de linha de comando a seguir para criar um contêiner do AD DS (Serviço de Domínio Ative Directory) para um grupo de gerenciamento do System Center - Operations Manager. MOMADAdmin.exe é fornecido para essa finalidade e é instalado com o servidor de gerenciamento do Operations Manager. MOMADAdmin.exe deve ser executado por um administrador do domínio especificado.

Sintaxe da linha de comando:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Você deve colocar um valor entre aspas se o valor contiver um espaço.

• ManagementGroupName é o nome do grupo de gerenciamento para o qual um contêiner do AD está sendo criado.

• MOMAdminSecurityGroup é um grupo de segurança de domínio, no formato domínio\security_group, que é membro da função de segurança Administradores dos Operations Managers para o grupo de gestão.

• RunAsAccount: Esta é a conta de domínio que será usada pelo servidor de gerenciamento para ler, gravar e excluir objetos no AD. Use o formato domínio\nome de usuário.

• Domain é o nome do domínio no qual o contentor do grupo de gerenciamento será criado. MOMADAdmin.exe só pode ser executado entre domínios se existir uma relação de confiança bidirecional entre eles.

Para que a integração com o Ative Directory funcione, o grupo de segurança deve ser um grupo de segurança global (se a integração do Ative Directory precisar funcionar em vários domínios com relações de confiança bidirecionais) ou um grupo de domínio local (se a integração com o Ative Directory for usada apenas em um domínio)

Para adicionar um grupo de segurança ao grupo Administradores do Operations Manager, use o procedimento a seguir.

1. No console de Operações, selecione Administração.

2. No espaço de trabalho Administração, selecionar Funções de Utilizador sob Segurança.

3. Em Funções de Utilizador, selecione Administradores do Operations Manager e selecione a opção Propriedades ou clique com o botão direito do rato em Administradores do Operations Manager e selecione Propriedades.

4. Selecionar Adicionar para abrir a caixa de diálogo Selecionar Grupo.

5. Selecione o grupo de segurança desejado e, em seguida, selecione OK para fechar a caixa de diálogo.

6. Selecione OK para fechar Propriedades da Função de Usuário.

Observação

Recomendamos usar um grupo de segurança, potencialmente contendo vários grupos, para a função de Administradores do Operations Manager. Dessa forma, grupos e membros de grupos podem ser adicionados e removidos de grupos sem que um administrador de domínio precise executar etapas manuais para atribuir-lhes permissões de Leitura e Exclusão de Filhos no contêiner do Grupo de Gestão.

Use o procedimento a seguir para criar o contêiner do AD DS.

1. Abra um prompt de comando como administrador.

2. No prompt, por exemplo, digite o seguinte:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Observação

O caminho padrão é C:\Program Files\Microsoft System Center\Operations Manager.

3. O exemplo de linha de comando anterior irá:

   1. Execute o utilitário MOMADAdmin.exe a partir da linha de comando.

   2. Crie o contêiner AD DS do "Grupo de Gestão" "Message Ops" na raiz do esquema de AD DS do domínio MessageDom. Para criar o mesmo contêiner do AD DS do Grupo de Gerenciamento em domínios adicionais, execute MOMADAdmin.exe para cada domínio.

   3. Adicione a conta de usuário de domínio MessageDom\MessageADIntAcct ao grupo de segurança MessageDom\MessageOMAdmins e atribua ao grupo de segurança AD DS os direitos necessários para gerenciar o contêiner do AD DS.

Usar os Serviços de Domínio Ative Directory para atribuir computadores a servidores de gerenciamento

O Assistente de Atribuição de Agente e Alternância do Operations Manager cria uma regra de atribuição de agente que usa os Serviços de Domínio Active Directory (AD DS) para atribuir computadores a um grupo de gestão e definir o servidor de gestão primário e os servidores de gestão secundários desses computadores. Utilize os procedimentos seguintes para iniciar e usar o assistente.

Importante

O contêiner do Active Directory para os Serviços de Domínio do grupo de gestão deve ser criado antes de executar o Assistente de Atribuição e de Contingência do Agente.

O Assistente de Atribuição e Failover de Agente não implanta o agente. Você deve implantar manualmente o agente nos computadores usando MOMAgent.msi.

A alteração da regra de atribuição de agente pode fazer com que os computadores deixem de ser atribuídos ao, e portanto, monitorizados pelo grupo de gestão. O estado desses computadores mudará para crítico, porque os computadores não enviam mais sinais vitais para o grupo de gestão. Esses computadores podem ser excluídos do grupo de gerenciamento e, se o computador não estiver atribuído a outros grupos de gerenciamento, o agente do Operations Manager poderá ser desinstalado.

Inicie o Assistente de Atribuição e Controlo de Falhas do Agente no Operations Manager

1. Inicie sessão no computador com uma conta que seja membro da função Administradores do Operations Manager.

2. No console de Operações, selecione Administração.

3. No espaço de trabalho Administração, selecione Servidores de Gerenciamento.

4. No painel Servidores de Gerenciamento, clique com o botão direito do mouse no servidor de gerenciamento ou no servidor gateway que deverá ser o Servidor de Gerenciamento Principal para os computadores retornados pelas regras que você criará no procedimento a seguir e selecione propriedades.

   Observação

   Os servidores gateway funcionam como servidores de gerenciamento nesse contexto.

5. Na caixa de diálogo Propriedades do Management Server, selecione a guia Atribuição Automática de Agentes e, em seguida, selecione 'Adicionar' para iniciar o Assistente de Atribuição e Failover de Agente.

6. Na Assistente de Atribuição e Failover do Agente, na página de Introdução, selecione Avançar.

   Observação

   A página de introdução não vai aparecer se o assistente tiver sido executado e, se a opção não mostrar esta página novamente foi selecionada.

7. Na página Domínio, faça o seguinte:

   Observação

   Para atribuir computadores de vários domínios diferentes a um grupo de gestão, execute o Assistente de Atribuição e Failover de Agente para cada domínio.

   • Selecione o domínio dos computadores no menu suspenso Nome de domínio. O servidor de gerenciamento e todos os computadores no pool de recursos de Atribuição de Agente do AD devem ser capazes de resolver o nome de domínio.

     Importante

     O servidor de gerenciamento e os computadores que você deseja gerenciar devem estar em domínios confiáveis bidirecionais.

   • Defina o perfil Executar como Selecione Executar como para o perfil associado à conta Executar como fornecida quando MOMADAdmin.exe foi executado para o domínio. A conta padrão usada para executar a atribuição de agente é a conta de ação padrão especificada durante a Instalação, também conhecida como Conta de Atribuição de Agente Baseada no Ative Directory . Essa conta representa as credenciais usadas ao se conectar ao Ative Directory do domínio especificado e modificar objetos do Ative Directory e deve corresponder à conta especificada ao executar MOMAdmin.exe. Caso esta não seja a conta utilizada para executar MOMADAdmin.exe, selecione para usar uma conta diferente na atribuição de agente no domínio especificado, e, em seguida, selecione ou crie a conta a partir da lista suspensa Selecionar Perfil Executar como. O perfil de Conta de Atribuição de Agente Baseado no Active Directory deve ser configurado para usar uma conta de administrador do Operations Manager, que é distribuída para todos os servidores no pool de recursos de Atribuição de Agente do AD.

     Observação

     Para obter mais informações sobre perfis Run As e contas Run As, consulte Managing Run As Accounts and Profiles.

8. Na página Critérios de Inclusão, digite a consulta LDAP para atribuir computadores a este servidor de gestão na caixa de texto e selecione Avançar, ou selecione Configurar. Se você selecionar Configurar, faça o seguinte:

   1. Na caixa de diálogo Localizar computadores, insira os critérios desejados para atribuir computadores a esse servidor de gerenciamento ou insira sua consulta LDAP específica.

      A consulta LDAP a seguir retorna apenas computadores que executam o sistema operacional Windows Server e exclui controladores de domínio.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Este exemplo de consulta LDAP retorna apenas computadores que executam o sistema operacional Windows Server. Ele exclui controladores de domínio e servidores que desempenham a função de servidor de gerenciamento do Operations Manager ou do Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Para obter mais informações sobre consultas LDAP, consulte Criando um filtro de consulta e Ative Directory: filtros de sintaxe LDAP.

   2. Selecione OKe, em seguida, selecione Avançar.

9. Na página Critérios de Exclusão, digite o FQDN dos computadores que pretende explicitamente impedir de serem geridos por este servidor de gestão e selecione Avançar.

   Importante

   Você deve separar os FQDNs dos computadores que digitar utilizando um ponto e vírgula, dois pontos ou uma nova linha (CTRL+ENTER).

10. Na página Failover do Agente, selecione Gerir automaticamente o failover e selecione Criar ou selecione Configurar manualmente o failover. Se você selecionar Configurar manualmente o failover, faça o seguinte:

    1. Desmarque as caixas de seleção dos servidores de gerenciamento para os quais você não deseja que os agentes façam failover.

    2. Selecione Criar.

       Observação

       Com a opção Configurar manualmente o de failover, você deve executar o assistente novamente se, posteriormente, adicionar um servidor de gerenciamento ao grupo de gerenciamento e desejar que os agentes façam failover para o novo servidor de gerenciamento.

11. Na caixa de diálogo Propriedades do Management Server, selecione OK.

Observação

Pode levar até uma hora para que a configuração de atribuição de agente se propague no AD DS.

Quando concluída, a seguinte regra é criada no grupo de gerenciamento e tem como alvo a classe Pool de Recursos de Atribuição do AD.


Esta regra inclui as informações de configuração de atribuição de agente especificadas na Agent Assignment and Failover Wizard , como a consulta LDAP.

Para confirmar se o grupo de gerenciamento publicou com êxito suas informações no Active Directory, procure pela ID de Evento 11470 nos Módulos de Serviço de Integridade de origem no log de eventos do Operations Manager no servidor de gerenciamento onde a regra de atribuição de agente foi definida. Na descrição, ele deve indicar que adicionou com êxito todos os computadores que foram adicionados à regra de atribuição de agente.

No Ative Directory, no contêiner OperationsManager<ManagementGroupName>, você verá os objetos SCP (ponto de conexão de serviço) criados de forma semelhante ao exemplo a seguir.

A regra também cria dois grupos de segurança com o nome do servidor de gerenciamento NetBIOS: o primeiro com o sufixo "_PrimarySG<número aleatório>", e o segundo "_SecondarySG<número aleatório>". Neste exemplo, há dois servidores de gestão que foram implantados no grupo de gestão. O grupo de segurança primário ComputerB_Primary_SG_24901 inclui computadores que correspondem à regra de inclusão definida na regra de atribuição de agentes. O grupo de segurança secundário ComputerA_Secondary_SG_38838 inclui o grupo primário ComputerB_Primary_SG-29401, grupo de segurança que contém a conta de máquina de agentes que fariam a transição para este servidor de gestão secundário caso o servidor de gestão primário não responda. O nome SCP é o nome NetBIOS do servidor de gerenciamento com o sufixo "_SCP".

Observação

Neste exemplo, ele mostra apenas objetos de um único grupo de gerenciamento e não de outros grupos de gerenciamento que possam existir e também configurados com a integração do AD.

Implantação manual do agente com as definições de integração do Active Directory

Abaixo está um exemplo da linha de comando para instalar manualmente o agente do Windows com a Integração do Ative Directory habilitada.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Alterar a configuração de integração do Ative Directory para um agente

Você pode usar o procedimento a seguir para alterar a configuração de integração do Ative Directory para um agente.

1. No computador gerenciado por agente, no Painel de Controle, clique duas vezes em Microsoft Monitoring Agent.

2. Na aba do Operations Manager, desmarque ou marque a opção Atualizar automaticamente as atribuições de grupos de gestão a partir do AD DS. Se você selecionar essa opção, na inicialização do agente, o agente consultará o Ative Directory para obter uma lista de grupos de gerenciamento aos quais ele foi atribuído. Esses grupos de gestão, se existirem, serão acrescentados à lista. Se você desmarcar essa opção, todos os grupos de gerenciamento atribuídos ao agente no Ative Directory serão removidos da lista.

3. Selecione OK.

Integrar o Ative Directory com um domínio não confiável

1. Crie um usuário em um domínio não confiável com permissões para ler, gravar e excluir objetos no AD.
2. Crie um grupo de segurança (domínio local ou global). Adicione o usuário (criado na etapa 1) a este grupo.
3. Executar MOMAdAdmin.exe no domínio não confiável com os seguintes parâmetros: caminho <>\MOMADAdmin.exe ManagementGroupName <>MOMAdminSecurityGroup<>RunAsAccount<>Domain<>
4. Criar uma nova conta Run As no Operations Manager; Use a conta criada na etapa 1. Certifique-se de que o nome de domínio é fornecido com FQDN, não com o nome NetBIOS (por exemplo: CONTOSO.COM\ADUser).
5. Distribua a conta para o Pool de Atribuição de Recursos do AD.
6. Crie um novo perfil Run As no pacote de gerenciamento padrão. Se esse perfil for criado em qualquer outro pacote de gerenciamento, certifique-se de selar o pacote de gerenciamento para que ele possa ser referenciado a outro pacote de gerenciamento.
7. Adicione a conta Run As recém-criada a este perfil e direcione-a para o Pool de Recursos de Atribuição do AD
8. Crie as regras de integração do Ative Directory no Operations Manager.

Observação

Após a integração com um domínio não confiável, cada servidor de gerenciamento exibe a mensagem de aviso Banco de Dados de Segurança no servidor não tem uma conta de computador para essa relação de confiança de estação de trabalho indicando que a validação da conta Run As usada pela atribuição no AD falhou. A ID de evento 7000 ou 1105 é gerada no log de eventos do Operations Manager. No entanto, este alerta não tem qualquer efeito sobre a atribuição do AD num domínio não fidedigno.

Próximos passos

Para entender como instalar o agente do Windows a partir do console de Operações, consulte Instalar o agente no Windows usando o do Assistente de Descoberta ou para instalar o agente a partir da linha de comando, consulte Instalar o Windows Agent manualmente usando MOMAgent.msi.