Ağ geçidi sunucusu yükleme

Ağ geçidi sunucuları genellikle yönetim gruplarının Kerberos güven sınırının dışında olan istemci bilgisayarların izlenmesini etkinleştirmek için kullanılır. Ancak, ağ segmentasyonu nedeniyle ortamı bölmeniz veya yönetim grubuna "uzak" aracıların bağlanması gerekiyorsa, aynı etki alanı içinde de kullanılabilirler.

Aracılar doğrudan ağ geçidi sunucusuyla, ağ geçidi sunucusu ise bir veya daha fazla yönetim sunucusuyla iletişim kurar. Birden çok ağ geçidi sunucusu tek bir etki alanına yerleştirilebilir, böylece aracılar birincil ağ geçitleriyle iletişimi kaybederse birinden diğerine yük devredebilir. Benzer şekilde, tek bir ağ geçidi sunucusu, iletişim zincirinde tek bir hata noktası olmaması için yönetim sunucuları arasında yük devretme için yapılandırılabilir. Ağ geçidi sunucusu, aracıdan yönetime sunucu iletişimi için ara sunucu işlevi görür ve birçok bağlantı noktası yerine ağlar arasında yalnızca bir bağlantı noktasının açılmasını sağlar. Kerberos güven sınırının dışındayken her bilgisayarın kimliğini oluşturmak için sertifikalar kullanılmalıdır. Sertifikalar olmadan sistemler bağlanabilir, ancak bağlantının kimliğini doğrulayamadığı için iletişim kurmayı reddedebilir.

Devam etmeden önce sunucunuzun System Center - Operations Manager için en düşük sistem gereksinimlerini karşıladığından emin olun. Daha fazla bilgi için bkz . System Center Operations Manager için Sistem Gereksinimleri.

Not

Güvenlik ilkeleriniz TLS 1.0 ve 1.1'i kısıtlarsa, kurulum medyası TLS 1.2'yi destekleyecek güncelleştirmeleri içermediğinden yeni bir Operations Manager 2016 ağ geçidi sunucu rolü yüklenemez. Bu rolü yüklemenin tek yolu sistemde TLS 1.0'ı etkinleştirmek, Güncelleştirme Paketi 4'ü uygulamak ve ardından sistemde TLS 1.2'yi etkinleştirmektir.

Önkoşullar

Standart bir senaryoda ağ geçidi rolü yükleme işlemine devam etmeden önce hazır ve yerinde olması gereken üç önemli şey vardır:

1. Ağ geçidi ve yönetim sunucuları için sertifikaların oluşturulması ve sertifika depolarına yüklenmesi gerekir.
   • Ağ geçidi ve istemci sunucuları bir Çalışma Grubu senaryosunda kullanılıyorsa istemcilerin de sertifikalara ihtiyacı vardır.
2. Yüklemeden önce yönetim grubu içinde bir ağ geçidi olması için hedeflenen ağ geçidi sunucusunun "Onaylandı" olması gerekir.
3. 5723 numaralı bağlantı noktası, ağ geçidi ile yönetim sunucusu arasında buradaki kılavuzda tanımlandığı gibi açılmalıdır: Operations Manager için Güvenlik Duvarı Yapılandırma

Sertifikalar ve Ad çözümlemesi

1. Ağ geçidi sunucularının iki yönlü geçişli güveni olmayan etki alanlarında veya bir çalışma grubunda dağıtımı, kimlik doğrulaması için sertifikaların kullanılmasını gerektirir. Birincil ve yük devretme yönetim sunucularının bunlara bağlanan ağ geçidine ek olarak bir sunucuya da ihtiyacı vardır. Bu sertifikalar, Operations Manager için doğru yapılandırıldıysa bir Microsoft Sertifika Hizmetleri CA'sından veya üçüncü taraf CA'dan gelebilir. Bu sertifikaları oluştururken yardıma ihtiyacınız varsa buradaki kılavuzu kullanın: Windows Sunucuları ve System Center Operations Manager ile kullanmak üzere sertifika alma

   Not

   • Yönetim grubuyla aynı etki alanında veya paylaşılan güven sınırında bulunan ağ geçidi sunucuları sertifika gerektirmez.
   • Ağ geçidi ve aracılar bir çalışma grubundaysa, sistemlerin kimlik doğrulamasını gerçekleştirecek bir çalışma grubu içinde etki alanı olmadığından izlenecek her yönetim sunucusu, ağ geçidi ve istemci bilgisayar için sertifikalara ihtiyacımız olacaktır.

2. Aracıyla yönetilen bilgisayarlar ile ağ geçidi sunucusu arasında ve ağ geçidi sunucusu ile yönetim sunucusu arasında güvenilir ad çözümlemesi bulunmalıdır. Bu ad çözümlemesi genellikle DNS aracılığıyla yapılır. Ancak, DNS aracılığıyla düzgün ad çözümlemesi almak mümkün değilse, her bilgisayarın konak dosyasında el ile girdiler oluşturmak gerekebilir.

   Önemli

   Kimlik doğrulaması sunucular arasında geçmeden önce ileri ve ters ad çözümlemeleri denetleniyor. IP Adresi denetlenirken farklı bir ana bilgisayar adı veya FQDN alırsak kimlik doğrulaması başarısız olur.

   İpucu

   Hosts dosyası dizinde %SystemRoot%\system32\drivers\etc bulunur ve yapılandırma yönergelerini içerir. Bu, Not Defteri'nde veya yönetici olarak çalıştırılan başka bir uygulamada düzenlenmelidir.

Ağ geçidini yönetim grubuna kaydetme

Sonraki sorunları önlemek için, hedeflenen ağ geçidi makinesini yüklemeden önce bir ağ geçidi olarak kaydetmek ve onaylamak önemlidir, aksi takdirde ağ geçidinin aracı olarak alınma riskiyle karşılaşırız.

Bu adımlar, tercihen birincil veya "RMSE" sunucunuz olmak üzere bir yönetim sunucusundan gerçekleştirilecek.

1. Operations Manager yükleme medyasında "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" adlı bir yürütülebilir dosya bulunur ve bu dosya altında ..\SupportTools\amd64\yükleme medyasında bulunabilir.

2. Bu yürütülebilir dosyayı ve aynı ada sahip yapılandırma dosyasını aşağıdaki yükleme yoluna kopyalayın: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Yönetici olarak bir Komut İstemi açın ve Operations Manager yükleme dizinine gidin. (örn. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Hedeflenen ağ geçidini bir ağ geçidi olarak kaydetmek için aşağıdaki komutu kullanın ve sunucu adlarını kendi ağ geçidinizle değiştirdiğinden emin olun:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Not

   Ağ geçidi sunucusunun bir yönetim sunucusuyla iletişim başlatmasını engellemek istiyorsanız, aşağıdaki komutta kullanılan /ManagementServerInitiatesConnection=True parametresini ekleyin. Aksi takdirde iletişim varsayılan olarak ağ geçidinin kendisinden başlatılır. Ağ geçidinin bulunduğu ağdan birincil etki alanına gelen erişimi engellemek istiyorsanız bu yararlı olur.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Onay başarılı olursa, ileti The approval of server <GatewayFQDN> completed successfully. döndürülür.

6. Ağ geçidi sunucusunu yönetim grubundan kaldırmanız gerekiyorsa, aynı komutu çalıştırın, ancak bayrağını /Action=Delete kullanın/Action=Create.

7. İşletim konsolunu İzleme görünümüne açın. Ağ geçidi sunucusunun mevcut olduğunu görmek için Bulunan Envanter görünümünü seçin. Yönetim Cihaz Yönetimi > Yönetim Sunucuları altında > da görüntülenebilir olmalıdır.

Yükleme süreci

Hedeflenen ağ geçidi sunucusu yönetim grubuna kaydedildikten sonra rolü yeni ağ geçidine yüklemenin zamanı geldi.

Not

Yerel güvenlik ilkesi "Kullanıcı Hesabı Denetimi: Tüm yöneticileri Yönetici Onay Modunda çalıştır" etkinse, Windows Installer başlatılırken yükleme başarısız olur (örneğin, MOMGateway.msi çift tıklayarak bir ağ geçidi sunucusu yükleme).

İpucu

Yükleme sırasında sorunlarla karşılaşırsanız günlükler burada bulunur: %LocalAppData%\SCOM\Logs

GUI kullanarak yükleme

Ağ geçidi sunucusunu yüklemek için şu adımları izleyin:

1. Yönetici haklarıyla ağ geçidi sunucusunda oturum açın.
2. Operations Manager yükleme medyasından Setup.exe başlatın.
3. Yükleme alanında Ağ geçidi yönetim sunucusu bağlantısını seçin (pencerenin alt kısmındaki büyük "Yükle" bağlantısını değil).
4. Hoş Geldiniz ekranında İleri'yi seçin.
5. Hedef Klasör sayfasında varsayılanı kabul edin veya Değiştir'i seçerek farklı bir yükleme dizini seçin ve İleri'yi seçin.
6. Yönetim Grubu Yapılandırması sayfasında, Yönetim Grubu Adı alanına hedef yönetim grubu adını girin, Yönetim Sunucusu alanına hedef yönetim sunucusu adını girin, Yönetim Sunucusu Bağlantı Noktası alanının 5723 olup olmadığını denetleyin ve İleri'yi seçin.
7. Etki alanı tabanlı veya yerel bilgisayar tabanlı ağ geçidi Eylem hesabı kullanmıyorsanız Ağ Geçidi Eylem Hesabı sayfasında Yerel Sistem hesabı seçeneğini belirleyin. İleri'yi seçin.
8. Microsoft Update sayfasında, isteğe bağlı olarak Microsoft Update'i kullanmak isteyip istemediğinizi belirtin ve İleri'yi seçin. (Genellikle bu seçim Hayır olmalıdır.)
9. Yüklemeye Hazır sayfasında Yükle'yi seçin.
10. Tamamlanıyor sayfasında Son'u seçin.

Komut İstemi'ni kullanarak yükleme

Ağ geçidi sunucusunu komut isteminden yüklemek için şu adımları izleyin:

1. Ağ geçidi sunucusunda Yönetici haklarıyla oturum açın.
2. Yönetici olarak Çalıştır seçeneğini kullanarak bir Komut İstemi penceresi açın.
3. Aşağıdaki komutu çalıştırın; burada path\to\Installer , yükleme medyasının yoludur. MOMGateway.msi altında Operations Manager yükleme medyasında ..\gateway\amd64\bulunabilir.

İpucu

^ karakterleri, konsol penceresine çok satırlı girişe ve daha kolay düzenlemeye izin verir. Bu işlem ortamınızda çalışmazsa ^ karakterlerini kaldırın ve komutu tek satırda olacak şekilde düzenleyin.

Eylem hesabı olarak LocalSystem kullanıyorsanız:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Eylem hesabı olarak Bir Etki Alanı Kullanıcısı kullanıyorsanız:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Önemli

Eylem hesabı parolası Komut İsteminde "geçersiz" karakterler içeremez; örneğin: & < > ( ) @ ^ | ". Bunu yaparsa, dizeyi ayrıştıramadığından yükleme başarısız olur, parolayı bu karakterleri içermeyecek şekilde değiştirir ve komutun içinde çift tırnak içine alır.

MOMCertImport.exe aracıyla sertifikaları içeri aktarma

Bir çalışma grubunda aracı olarak yönetilecek tüm istemci bilgisayarlarıyla birlikte her ağ geçidi ve yönetim sunucusunda bu işlemi gerçekleştirin.

1. Devam etmeden önce sertifikaların yüklendiğinden emin olun
2. Yükleme medyasında bulunan MOMCertImport.exe dosyasını bulun..\SupportTools\amd64\
3. Bu dosyayı hedef sunucunun kök dizinine veya Operations Manager yükleme dizinine kopyalayın
   • Örneğin: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Yönetici olarak bir Komut İstemi açın ve dizini MOMCertImport.exe bulunduğu dizinle değiştirin.
   • Örneğin: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Ardından komutunu MOMCertImport.exe /SubjectName subjectNameFQDNçalıştırın; burada "subjectNameFQDN" sertifikada tanımlanan konudur.
   • Ayrıca, Yerel Makine Kişisel Deposu'ndaki sertifikaları gösteren bir açılır pencereden sertifika seçmenize olanak sağlamak için bağımsız değişken olmadan da çalıştırabilirsiniz MOMCertImport.exe .
6. Başarılı olursa, Microsoft Monitoring Agent hizmeti yeniden başlatılır ve eventID 20053 Operations Manager olay günlüğüne kaydedilir. Bu eventID yoksa, herhangi bir sorun için bu kimliklerden birinin ayrıntılarını inceleyin ve buna göre düzeltmeler yapın: 20049,20050,20052,20066,20069,20077

İpucu

Sertifika başarıyla içeri aktarıldıktan sonra kayıt defterinde parmak izinin yansıtılmış bir sürümünü burada görebilirsiniz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Ağ geçidi sunucularını yönetim sunucuları arasında yük devretme için yapılandırma

Varsayılan olarak, ağ geçidi sunucuları yalnızca birincil yönetim sunucusuyla iletişim kurar. Bu bağlantı kesilirse, ağ geçidi ve bağlı aracılar konsolda gri görünür ve izlenmez. Birden çok yönetim sunucunuz varsa, birincil sunucu yeniden kullanılabilir duruma gelene kadar ağ geçidinin yük devredebileceği yönetim sunucularını yapılandırarak bu sorunu önleyebiliriz. Yük devretmeyi yapılandırmak için:

Aşağıdaki örnekte gösterildiği gibi Operations Manager kabuğunda Set-SCOMParentManagementServer cmdlet'ini kullanarak bir ağ geçidi sunucusunu birden çok yönetim sunucusuna yük devredecek şekilde yapılandırıyoruz. Komutlar yönetim grubundaki herhangi bir Command Shell'den çalıştırılabilir.

1. Operations Manager Yöneticileri rolünün üyesi olan bir hesabı kullanarak bir yönetim sunucusunda oturum açın.

2. Başlat Menüsünden "Microsoft System Center" klasörünün altındaki Operations Manager Kabuğu çalıştırın.

3. Konsolunda aşağıdaki komutları çalıştırın:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Not

   Bir yük devretme sunucusunu birincil sunucuyla aynı anda değiştirmeden veya önce birincil sunucuyla aynı olacak şekilde ayarlayamazsınız. Birincil değeri değiştirmek ve ikincil olarak ayarlamak istiyorsanız aşağıdaki komutları kullanın:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Birden çok ağ geçidi sunucusunu zincirleme

Yaygın olmasa da, birden çok güvenilmeyen sınırda izlemek için bazen birden çok ağ geçidini birbirine zincirlemeniz gerekir. Bu bölümde birden çok ağ geçidinin nasıl zincire bağlandığı açıklanmaktadır.

Not

• Bir kerede bir ağ geçidi yüklemeniz ve zincire başka bir ağ geçidi eklemeden önce yeni yüklenen her ağ geçidinin doğru yapılandırıldığını ve SCOM konsolunda iyi durumda olarak gösterildiğini doğrulamanız gerekir.
• Zincirin ağ geçitleri sonunu aynı kaynak havuzuna eklediğinizde, Set-SCOMParentManagementServer komutunu kullanarak diğer zincire yük devretmeyi yapılandırmayın. Böyle bir senaryoda havuz beklendiği gibi çalışmaz. Yük devretme yapılandırmasının ve kaynak havuzunun birlikte çalışması için, zincirin ağ geçidi ucunun aynı üst öğeye sahip olması gerekir.

Bir ağ geçidi zincirini yapılandırmak için, ilk ağ geçidi sunucusunda olduğu gibi Microsoft.EnterpriseManagement.GatewayApprovalTool.exe aracını kullanırız. Ancak, bu kez "ManagementServerName" öğesini zincirdeki yukarı akış ağ geçidi sunucusu olarak ayarlamamız gerekir. Örneğin, GW02 GW01'e bağlanacaksa, GW01 bu senaryoda "ManagementServer" olur.

1. GatewayApprovalTool'un ayarlanmış olduğu yönetim sunucularınızdan birinde oturum açın.

2. Yönetici olarak bir Komut İstemi açın ve aracın kaydedildiği dizine gidin

3. Ardından aşağıdaki komutu çalıştırarak aşağı akış ağ geçidi sunucusunu onaylayın ve sunucu adlarını kendi adlarınızla değiştirmeyi sağlayın:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Ağ geçidi rolünü yeni bir sunucuya yükleyin.

5. GW01 ile GW02 arasındaki sertifikaları, bir ağ geçidi ile yönetim sunucusu arasında sertifikaları yapılandırdığınız şekilde yapılandırın. Sistem Sağlığı Hizmeti yalnızca tek bir sertifika yükleyebilir ve kullanabilir. Bu nedenle, aynı sertifika zincirdeki ağ geçidinin üst ve alt öğesi tarafından kullanılır.

Sonraki adımlar

Operations Manager sunucu rollerini yönetim grubunuzdaki birden çok sunucuya yükleme sırasını ve adımlarını anlamak için bkz . Operations Manager'ın Dağıtılmış Dağıtımı.