Установка сервера шлюза

Серверы шлюзов обычно используются для мониторинга клиентских компьютеров, которые находятся за пределами границы доверия Kerberos групп управления. Однако их также можно использовать в одном домене, если необходимо разделить среду из-за сегментации сети или иметь "далеко" агенты, подключенные к группе управления.

Агенты взаимодействуют напрямую с сервером шлюза, а сервер шлюза взаимодействует с одним или несколькими серверами управления. Несколько серверов шлюза можно поместить в один домен, чтобы агенты могли отработки отказа от одного до другого, если они потеряли связь с основным шлюзом. Аналогичным образом один сервер шлюза можно настроить для отработки отказа между серверами управления, чтобы в цепочке коммуникаций не существовала ни одна точка сбоя. Сервер шлюза выступает в качестве прокси-сервера для обмена данными между агентами и сервером управления, что позволяет открывать только один порт между сетями вместо многих. Сертификаты должны использоваться для установления удостоверения каждого компьютера за пределами границы доверия Kerberos. Без сертификатов системы могут подключаться, но отказаться от обмена данными из-за невозможности проверки подлинности подключения.

Прежде чем продолжить, убедитесь, что сервер соответствует минимальным требованиям к системе Для System Center — Operations Manager. Дополнительные сведения см. в разделе "Требования к системе" для System Center Operations Manager.

Примечание.

Если политики безопасности ограничивают tls 1.0 и 1.1, установка новой роли сервера шлюза Operations Manager 2016 завершится ошибкой, так как носитель установки не включает обновления для поддержки TLS 1.2. Единственным способом установки этой роли является включение TLS 1.0 в системе, применение накопительного пакета обновления 4 и включение TLS 1.2 в системе.

Необходимые компоненты

Перед установкой роли шлюза в стандартном сценарии необходимо подготовиться и на месте:

1. Сертификаты необходимо создать для шлюза и сервера (серверов) управления и установить в хранилища сертификатов.
   • Если шлюз и клиентские серверы используются в сценарии рабочей группы, клиенты также нуждаются в сертификатах.
2. Перед установкой целевой сервер шлюза должен быть "Утвержден", чтобы использоваться в качестве шлюза в группе управления.
3. Порт 5723 должен быть открыт между шлюзом и сервером управления, как определено в руководстве: настройка брандмауэра для Operations Manager

Сертификаты и разрешение имен

1. Развертывание серверов шлюза в доменах без двустороннего транзитивного доверия или в рабочей группе требует использования сертификатов для проверки подлинности. В дополнение к шлюзу, который подключается к ним, требуются первичные и серверы управления отработки отказа. Эти сертификаты могут поступать из ЦС служб сертификации Майкрософт или стороннего ЦС, если они настроены правильно для Operations Manager. Если вам нужна помощь по созданию этих сертификатов, используйте здесь руководство. Получение сертификата для использования с Серверами Windows и System Center Operations Manager

   Примечание.

   • Серверы шлюза, которые находятся в том же домене или в пределах общего доверия, что и группа управления, не требуют сертификатов.
   • Если шлюз и агенты находятся в рабочей группе, нам потребуется сертификаты для каждого сервера управления, шлюза и клиентского компьютера, который будет отслеживаться, так как в рабочей группе нет домена для faciliate проверки подлинности систем.

2. Надежное разрешение имен должно существовать между управляемыми агентом компьютерами и сервером шлюза, а также между сервером шлюза и сервером управления. Обычно это разрешение имен выполняется с помощью DNS. Однако если невозможно получить правильное разрешение имен через DNS, может потребоваться вручную создать записи в файле узлов каждого компьютера.

   Внимание

   Перед проверкой подлинности между серверами проверяются разрешения переадресации и обратного имен. Если при проверке IP-адреса мы получаем другое имя узла или полное доменное имя, проверка подлинности завершится ошибкой.

   Совет

   Файл hosts находится в каталоге %SystemRoot%\system32\drivers\etc и содержит указания по настройке. Это необходимо изменить в блокноте или другом приложении, запущенном от имени администратора.

Регистрация шлюза в группе управления

Чтобы предотвратить более поздние проблемы, важно зарегистрировать и утвердить предполагаемый компьютер шлюза в качестве шлюза перед установкой, в противном случае мы создадим риск получения шлюза в качестве агента.

Эти действия необходимо выполнить с сервера управления, предпочтительно основного сервера или сервера RMSE.

1. Существует исполняемый файл, включенный в установочный носитель Operations Manager с именем "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", который можно найти в установочном носителе в разделе ..\SupportTools\amd64\.

2. После расположения скопируйте этот исполняемый файл и файл конфигурации с тем же именем в путь установки в разделе: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Откройте командную строку от имени администратора и перейдите в каталог установки Operations Manager. (Пример: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Используйте следующую команду, чтобы зарегистрировать предполагаемый шлюз в качестве шлюза, чтобы заменить имена серверов собственными:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Примечание.

   Если вы хотите запретить серверу шлюза инициировать связь с сервером управления, включите параметр /ManagementServerInitiatesConnection=True , используемый в следующей команде. В противном случае взаимодействие по умолчанию инициируется из самого шлюза. Это полезно, если вы хотите запретить входящий доступ к основному домену из сети, в которой находится шлюз.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Если утверждение выполнено успешно, возвращается сообщение The approval of server <GatewayFQDN> completed successfully. .

6. Если необходимо удалить сервер шлюза из группы управления, выполните ту же команду, но замените /Action=Create /Action=Delete флаг.

7. Откройте консоль управления в представлении мониторинга. Выберите представление "Обнаруженная инвентаризация", чтобы увидеть, что сервер шлюза присутствует. Он также должен просматриваться в разделе "Администрирование > Управление устройствами > серверах управления".

Установка

После регистрации целевого сервера шлюза в группе управления пришло время установить роль на новом шлюзе.

Примечание.

Установка завершится ошибкой при запуске установщика Windows (например, при установке сервера шлюза, дважды щелкнув MOMGateway.msi), если включена локальная политика безопасности "Управление учетными записями пользователей: запуск всех администраторов в режиме утверждения администратора".

Совет

При возникновении проблем во время установки журналы находятся здесь: %LocalAppData%\SCOM\Logs

Установка с помощью графического интерфейса

Выполните следующие действия, чтобы установить сервер шлюза:

1. Войдите на сервер шлюза с правами администратора.
2. На установочном носителе Operations Manager запустите Setup.exe.
3. В области установки выберите ссылку сервера управления шлюзом (не большую ссылку "Установить" в нижней части окна).
4. На экране Добро пожаловать нажмите кнопку Далее.
5. На странице "Папка назначения" примите значение по умолчанию или выберите "Изменить", чтобы выбрать другой каталог установки и нажмите кнопку "Далее".
6. На странице "Конфигурация группы управления" введите имя целевой группы управления в поле "Имя группы управления", введите имя целевого сервера управления в поле "Сервер управления", убедитесь, что поле порта сервера управления равно 5723 и нажмите кнопку "Далее".
7. На странице "Учетная запись действия шлюза" выберите параметр учетной записи локальной системы, если вы не используете учетную запись шлюза на основе домена или локального компьютера. Выберите Далее.
8. На странице Центра обновления Майкрософт при необходимости укажите, хотите ли вы использовать Центр обновления Майкрософт и нажмите кнопку "Далее". (Обычно для этого параметра выбирается значение "Нет".)
9. На странице Все готово для установки нажмите кнопку Установить.
10. На странице "Завершение" нажмите кнопку "Готово".

Установка с помощью командной строки

Выполните следующие действия, чтобы установить сервер шлюза из командной строки:

1. Войдите на сервер шлюза с правами администратора.
2. Откройте окно командной строки с помощью команды Запуск от имени администратора .
3. Выполните следующую команду, где путь\to\Installer — путь к установочному носителю. MOMGateway.msi можно найти в установочном носителе Operations Manager в разделе ..\gateway\amd64\.

Совет

Символы ^должны разрешить многострочный ввод в окно консоли и упростить редактирование, если это не работает в вашей среде, удалите символы ^ и измените команду, чтобы она была в одной строке.

Если вы используете LocalSystem в качестве учетной записи действия:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Если вы используете пользователя домена в качестве учетной записи действия:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Внимание

Пароль учетной записи действия не может содержать недопустимые символы в командной строке, например: & < > ( ) @ ^ | " Если это так, установка завершится ошибкой, так как она не может проанализировать строку, измените пароль, чтобы не содержать эти символы, а затем заключите его в двойные кавычки в самой команде.

Импорт сертификатов с помощью средства MOMCertImport.exe

Выполните эту операцию на каждом шлюзе и сервере управления, а также на всех клиентских компьютерах, управляемых агентом в рабочей группе.

1. Убедитесь, что сертификаты установлены перед продолжением
2. Найдите файл MOMCertImport.exe, расположенный на установочном носителе в разделе..\SupportTools\amd64\
3. Скопируйте этот файл в корневой каталог целевого сервера или в каталог установки Operations Manager
   • Например: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Откройте командную строку от имени администратора и измените каталог на каталог, где MOMCertImport.exe.
   • Например: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Затем выполните команду MOMCertImport.exe /SubjectName subjectNameFQDN, где "subjectNameFQDN" является определенной темой сертификата.
   • Вы также можете запускаться MOMCertImport.exe без каких-либо аргументов, чтобы разрешить выбрать сертификат в всплывающем окне, где отображаются сертификаты в локальном личном хранилище компьютеров.
6. В случае успешного выполнения служба Microsoft Monitoring Agent перезапускается, а eventID 20053 регистрируется в журнале событий Operations Manager. Если этот идентификатор события отсутствует, просмотрите сведения об одном из этих идентификаторов для любых проблем и внесите соответствующие исправления: 20049,20050,20052,20066,20069,20077

Совет

После успешного импорта сертификата вы увидите зеркальную версию отпечатка в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Настройка серверов шлюза для отработки отказа между серверами управления

По умолчанию серверы шлюза взаимодействуют только с одним сервером управления, их основным. Если это подключение потеряно, шлюз и все подключенные агенты отображаются как серые в консоли и не отслеживаются. Если у вас несколько серверов управления, мы можем предотвратить эту проблему, настроив серверы управления, на которые шлюз может выполнить отработку отказа до тех пор, пока основной сервер не будет доступен снова. Чтобы настроить отработку отказа, выполните приведенные действия.

Мы используем командлет Set-SCOMParentManagementServer в оболочке Operations Manager, как показано в следующем примере, чтобы настроить сервер шлюза для отработки отказа на несколько серверов управления. Команды можно запускать из любой командной оболочки в группе управления.

1. Войдите на сервер управления с помощью учетной записи, являющейся членом роли администраторов Operations Manager.

2. В меню "Пуск" запустите оболочка Operations Manager в папке Microsoft System Center.

3. В консоли выполните следующие команды:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Примечание.

   Вы не можете установить сервер отработки отказа таким же, как и сервер-источник, не изменив основной одновременно или сначала. Если вы хотите изменить основной объект и задать его вторичным, используйте следующие команды:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Цепочка нескольких серверов шлюза

Хотя редкость, иногда необходимо объединить несколько шлюзов, чтобы отслеживать несколько недоверенных границ. В этом разделе описывается, как объединить несколько шлюзов.

Примечание.

• Необходимо установить один шлюз одновременно и убедиться, что каждый только что установленный шлюз настроен правильно и отображается как работоспособный в консоли SCOM перед добавлением другого шлюза в цепочку.
• При добавлении шлюзов в один пул ресурсов не настраивайте отработку отказа в другую цепочку с помощью команды Set-SCOMParentManagementServer . В таком сценарии пул не работает должным образом. Чтобы конфигурация отработки отказа и пул ресурсов функционировали вместе, конец шлюза должен иметь один и тот же родительский элемент.

Чтобы настроить цепочку шлюзов, мы используем средство Microsoft.EnterpriseManagement.GatewayApprovalTool.exe так же, как и для исходного сервера шлюза. Однако на этот раз необходимо задать "ManagementServerName" в качестве сервера вышестоящего шлюза в цепочке. Например, если GW02 собирается подключиться к GW01, GW01 — это "ManagementServer" в этом сценарии.

1. Войдите на один из серверов управления, на которые уже настроен шлюзApprovalTool.

2. Откройте командную строку от имени администратора и перейдите в каталог, в котором сохранено средство.

3. Затем выполните следующую команду, чтобы утвердить подчиненный сервер шлюза, чтобы заменить имена серверов собственными:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Установите роль шлюза на новом сервере.

5. Настройте сертификаты между GW01 и GW02 таким же образом, как и сертификаты между шлюзом и сервером управления. Служба работоспособности может загружать только один сертификат и использовать его. Таким образом, один и тот же сертификат используется родительским и дочерним элементом шлюза в цепочке.

Следующие шаги

Сведения о последовательности и шагах по установке ролей сервера Operations Manager на нескольких серверах в группе управления см. в статье "Распределенное развертывание Operations Manager".