Så här konfigurerar och använder du Active Directory-integrering för agenttilldelning
Viktigt
Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.
Med System Center Operations Manager kan du dra nytta av din investering i Active Directory Domain Services (AD DS) genom att göra det möjligt för dig att använda den för att tilldela agenthanterade datorer till hanteringsgrupper. Den här artikeln hjälper dig att skapa och hantera konfigurationen av containern i Active Directory, och agenttilldelning av hanteringsservrar som agenter ska rapportera till.
Skapa en Active Directory Domain Services-container för en hanteringsgrupp
Du kan använda följande kommandoradssyntax och procedur för att skapa en Active Directory-domän Service-container (AD DS) för en Hanteringsgrupp för System Center – Operations Manager. MOMADAdmin.exe finns för detta ändamål och installeras med Operations Manager-hanteringsservern. MOMADAdmin.exe måste köras av en administratör på den angivna domänen.
Kommandoradssyntax:
<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
Viktigt
Om värdet innehåller blanksteg måste du placera det inom citattecken.
ManagementGroupName är namnet på hanteringsgruppen som en AD-container skapas för.
MOMAdminSecurityGroup är en domänsäkerhetsgrupp i domain\security_group-format som är medlem i säkerhetsrollen för Operations Managers-administratörer för hanteringsgruppen.
RunAsAccount: Det här är det domänkonto som ska användas av hanteringsservern för att läsa, skriva och ta bort objekt i AD. Använd formatet domän\användarnamn.
Domän är namnet på domänen där hanteringsgruppens container kommer att skapas. MOMADAdmin.exe kan endast köras i flera domäner om ett dubbelriktat förtroende finns mellan dem.
För att Active Directory-integrering ska fungera måste säkerhetsgruppen antingen vara en global säkerhetsgrupp (om Active Directory-integreringen ska användas i flera domäner med dubbelriktat förtroende) eller en lokal domängrupp (om Active Directory-integreringen endast används i en domän)
Använd följande procedur för att lägga till en säkerhetsgrupp i gruppen Operations Manager-administratörer.
Välj Administration i driftkonsolen.
I arbetsytan Administration väljer du Användarroller under Säkerhet.
I Användarroller väljer du Operations Manager-administratörer och väljer åtgärden Egenskaper eller högerklickar på Operations Manager-administratörer och väljer Egenskaper.
Välj Lägg till för att öppna dialogrutan Välj grupp .
Välj önskad säkerhetsgrupp och välj sedan OK för att stänga dialogrutan.
Välj OK för att stänga Egenskaper för användarroll.
Anteckning
Vi rekommenderar att en säkerhetsgrupp som kan innehålla flera grupper används för Operations Manager-administratörsrollen. På så sätt kan grupper och medlemmar i grupper läggas till och tas bort från grupper utan att en domänadministratör behöver utföra manuella steg för att tilldela dem läs- och borttagnings-behörigheter för underobjekt för hanteringsgruppens container.
Skapa AD DS-containern med följande metod.
Öppna en kommandotolk som administratör.
Ange till exempel följande i prompten:
"C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**
Anteckning
Standardsökvägen är C:\Program Files\Microsoft System Center 2016\Operations Manager.
Anteckning
Standardsökvägen är C:\Program Files\Microsoft System Center\Operations Manager.
Föregående kommandoradsexempel kommer att:
Köra verktyget MOMADAdmin.exe från kommandoraden.
Skapa AD DS-hanteringsgruppens container "Message Ops" i AD DS-schemaroten för domänen MessageDom. Kör MOMADAdmin.exe för varje domän för att skapa samma AD DS hanteringsgrupp-container i ytterligare domäner.
Lägg till domänanvändarkontot MessageDom\MessageADIntAcct till AD DS-säkerhetsgruppen MessageDom\MessageOMAdmins och tilldela AD DS-säkerhetsgruppen de behörigheter som krävs för att hantera AD DS-containern.
Så här använder du Active Directory Domain Services för att koppla datorer till hanteringsservrar
Med Operations Manager-guiden Agenttilldelning och redundans kan du skapa en agenttilldelningsregel som använder AD DS (Active Directory Domain Services) för att koppla datorer till en hanteringsgrupp samt för att koppla en dators primära och sekundära hanteringsservrar. Använd följande metoder för att starta och använda guiden.
Viktigt
Active Directory Domain Services-containern för hanteringsgruppen måste skapas innan du kör guiden Agenttilldelning och redundans.
Agenttilldelnings- och redundansguiden distribuerar inte agenten. Du måste distribuera agenten manuellt till datorerna med MOMAgent.msi.
Om du ändrar agenttilldelningsregeln kan det leda till att datorer inte längre blir tillkopplade och därför inte längre övervakas av hanteringsgruppen. De här datorernas tillstånd ändras till kritiskt eftersom de inte längre skickar pulsslag till hanteringsgruppen. Dessa datorer kan tas bort från hanteringsgruppen och om datorn inte är tilldelad till andra hanteringsgrupper kan Operations Manager-agenten avinstalleras.
Starta Guiden Operations Manager agenttilldelning och redundans
Logga in på datorn med ett konto som är medlem i rollen Operations Manager-administratörer.
I driftkonsolen väljer du Administration.
På arbetsytan Administration väljer du Hanteringsservrar.
I fönstret Hanteringsservrar högerklickar du på hanteringsservern eller gatewayservern så att den blir primär hanteringsserver för de datorer som returneras av de regler som du skapar i följande procedur och väljer sedan Egenskaper.
Anteckning
Gateway-servrarna fungerar som hanteringsservrar i det här sammanhanget.
I dialogrutan Egenskaper för hanteringsserver väljer du fliken Automatisk agenttilldelning och väljer sedan Lägg till för att starta guiden Agenttilldelning och redundans.
I guiden Agenttilldelning och redundans väljer du Nästa på sidan Introduktion.
Anteckning
Sidan Introduktion visas inte om guiden har körts och Visa inte den här sidan igen har valts.
Gör följande på sidan Domän:
Anteckning
Kör Guiden Agenttilldelning och redundans för varje domän för att tilldela datorer till en hanteringsgrupp från flera domäner.
Välj domänen för datorerna i listrutan Domännamn . Hanteringsservern och alla datorer i resurspoolen för AD-agenttilldelning måste kunna matcha domännamnet.
Viktigt
Hanteringsservern och datorerna som du vill hantera måste finnas i ömsesidigt betrodda domäner.
Ange Välj Kör som-profil för Kör som-profilen som är kopplad till det Kör som-konto som var angivet när MOMADAdmin.exe kördes för domänen. Standardkontot som används för att utföra agenttilldelning är standardåtgärdskontot som angavs vid installationen, och det kallas även Active Directory Based Agent Assignment Account (Active Directory-baserat agenttilldelningskonto). Det här kontot motsvarar autentiseringsuppgifterna som används vid anslutning till den angivna domänens Active Directory och när du ändrar Active Directory-objekt, och bör vara det konto som du anger när du kör MOMAdmin.exe. Om det inte var det konto som användes för att köra MOMADAdmin.exe väljer du Använd ett annat konto för att utföra agenttilldelning i den angivna domänen och väljer eller skapar sedan kontot i listrutan Välj Kör som-profil . Profilen active directory-baserad agenttilldelningskonto måste konfigureras för att använda ett Operations Manager-administratörskonto som distribueras till alla servrar i resurspoolen för AD-agenttilldelning.
Anteckning
Mer information om Kör som-profiler och Kör som-konton finns i avsnittet Hantera Kör som-konton och Kör som-profiler.
På sidan Inkluderingsvillkor skriver du antingen LDAP-frågan för att tilldela datorer till den här hanteringsservern i textrutan och väljer sedan Nästa , eller så väljer du Konfigurera. Om du väljer Konfigurera gör du följande:
I dialogrutan Hitta datorer anger du önskade kriterier för att tilldela datorer till den här hanteringsservern eller anger din specifika LDAP-fråga.
Följande LDAP-fråga returnerar bara datorer som kör Windows Server-operativsystemet och utesluter domänkontrollanter.
(&(objectCategory=computer)(operatingsystem=*server*))
Den här LDAP-exempelfrågan returnerar bara datorer som kör operativsystemet Windows Server. Den utesluter domänkontrollanter och servrar som är värdar för Operations Manager eller Service Manager hanteringsserverrollen.
(&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))
Mer information om LDAP-frågor finns i Skapa ett frågefilter och Active Directory: LDAP-syntaxfilter.
Välj OK och sedan Nästa.
På sidan Exkluderingsvillkor skriver du FQDN för datorer som du uttryckligen vill förhindra från att hanteras av den här hanteringsservern och väljer sedan Nästa.
Viktigt
Du måste avskilja datorns fullständiga domännamn som du anger med ett semikolon, ett kolon eller en ny rad (CTRL + RETUR).
På sidan Agentredundans väljer du antingen Hantera redundans automatiskt och väljer Skapa eller Konfigurera redundans manuellt. Gör följande om du väljer Konfigurera redundans manuellt:
Avmarkera kryssrutorna för de hanteringsservrar som du inte vill att agenterna ska redundansväxlar till.
Välj Skapa.
Anteckning
Med alternativet Konfigurera redundans manuellt måste du köra guiden igen om du senare lägger till en hanteringsserver till hanteringsgruppen och vill att agenterna ska redundansväxla till den nya hanteringsservern.
I dialogrutan Egenskaper för hanteringsserver väljer du OK.
Anteckning
Det kan ta upp till en timme innan inställningen för agenttilldelning har spridits ut i AD DS.
När du är klar skapas följande regel i hanteringsgruppen, vars mål är klassen Resurspoolen för AD-tilldelning.
Den här regeln innehåller konfigurationsinformation för agenttilldelning som du angav i Guiden Agenttilldelning och redundans, till exempel LDAP-frågan.
Sök efter händelse-ID 11470 från källan Health Service Modules i Operations Manager-händelseloggen på hanteringsservern där agenttilldelningsregeln var definierad för att kontrollera om hanteringsgruppen har publicerat informationen i Active Directory. I beskrivningen bör det anges att alla datorer som har lagts till i agenttilldelningsregeln har lagts till.
Under Containern OperationsManager<ManagementGroupName> i Active Directory bör du se de SCP-objekt (Service Connection Point) som skapats på liknande sätt som i följande exempel.
Regeln skapar också två säkerhetsgrupper med namnet på hanteringsserverns NetBIOS-namn: den första med suffixet "_PrimarySG<slumptal>" och den andra "_SecondarySG<slumptal>". I det här exemplet finns det två hanteringsservrar distribuerade i hanteringsgruppen och den primära säkerhetsgruppen ComputerB_Primary_SG_24901 medlemskap inkluderar datorer som matchade inkluderingsregeln som definierats i agenttilldelningsregeln och säkerhetsgruppen ComputerA_Secondary_SG_38838 medlemskap inkluderar den primära gruppen ComputerB_Primary_SG-29401 säkerhetsgrupp som innehåller datorkontot för agenter som skulle redundansväxla till den sekundära hanteringsservern om den primära hanteringsservern inte svarar. SCP-namnet är hanteringsserverns NetBIOS-namn med suffixet ”_SCP”.
Anteckning
I det här exemplet visas bara objekt från en enda hanteringsgrupp och inte andra hanteringsgrupper som kan finnas och som också konfigurerats med AD-integrering.
Manuell agentdistribution med inställningar för Active Directory-integrering
Nedan finns ett exempel med kommandoraden för att manuellt installera Windows-agenten med Active Directory-integrering aktiverat.
%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1
Ändra inställningen för Active Directory-integrering för en agent
Du kan använda följande metod för att ändra inställningen för Active Directory-integrering för en agent.
Dubbelklicka på Microsoft Monitoring Agent i Kontrollpanelen på den agenthanterade datorn.
Markera eller avmarkera Uppdatera hanteringsgrupptilldelningar automatiskt från AD DS på fliken Hanteringsgrupp. Om du väljer det alternativet frågar agenten vid starten Active Directory efter en lista över tilldelade hanteringsgrupper. Dessa eventuella hanteringsgrupper läggs till i listan. Om du avmarkerar alternativet tas alla hanteringsgrupper som tilldelats agenten i Active Directory bort från listan.
Välj OK.
Integrera Active Directory med en obetrodd domän
- Skapa en användare i en obetrodd domän med behörighet att läsa, skriva och ta bort objekt i AD.
- Skapa en säkerhetsgrupp (lokal eller global domän). Lägg till användaren (som skapades i steg 1) i den här gruppen.
- Kör MOMAdAdmin.exe på den obetrodda domänen med följande parametrar: <sökväg>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount><Domain>
- Skapa ett nytt Kör som-konto i Operations Manager. använd kontot som skapades i steg 1. Kontrollera att domännamnet har FQDN, inte NetBIOS-namn (till exempel CONTOSO.COM\ADUser).
- Distribuera kontot till AD-tilldelningsresurspoolen.
- Skapa en ny Kör som-profil i standardhanteringspaketet. Om den här profilen skapas i något annat hanteringspaket måste du försegla hanteringspaketet så att det kan refereras till andra hanteringspaket.
- Lägg till det nyligen skapade Kör som-kontot i den här profilen och rikta det mot AD-tilldelningsresurspoolen
- Skapa Active Directory-integreringsregler i Operations Manager.
Anteckning
Efter integreringen med en obetrodd domän visar varje hanteringsserver varningsmeddelandet Säkerhetsdatabas på servern har inget datorkonto för den här arbetsstationens förtroenderelation som anger att verifieringen av Kör som-kontot som används av AD-tilldelningen misslyckades. Händelse-ID 7000 eller 1105 genereras i Operations Manager-händelseloggen. Den här aviseringen påverkar dock inte AD-tilldelningen i en obetrodd domän.
Nästa steg
Om du vill lära dig hur du installerar Windows-agenten från Operations-konsolen kan du läsa Installera agent i Windows med identifieringsguiden eller om du vill installera agenten från kommandoraden kan du läsa Installera Windows-agenten manuellt med MOMAgent.msi.