System Center Operations Manager 允许你利用对 Active Directory 域服务(AD DS)的投资,使你能够使用它将代理管理的计算机分配到管理组。 本文将帮助您在 Active Directory 中创建和管理容器的配置,以及分配需要向其报告的管理服务器代理。
为管理组创建Active Directory 域服务容器
可以使用以下命令行语法和过程为 System Center - Operations Manager 管理组创建Active Directory 域服务(AD DS)容器。 MOMADAdmin.exe用于此目的,并随 Operations Manager 管理服务器一起安装。 MOMADAdmin.exe必须由指定域的管理员运行。
命令行语法:
<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
重要
如果值包含空格,则必须在引号内放置值。
ManagementGroupName 是要为其创建 AD 容器的管理组的名称。
MOMAdminSecurityGroup 是一个域安全组,域\security_group 格式,它是管理组中"运营管理器管理员"安全角色的成员。
RunAsAccount:这是管理服务器将用于读取、写入和删除 AD 中的对象的域帐户。 使用格式 domain\username。
域 是在其中创建管理组容器的域的名称。 仅当域之间存在双向信任时,才能跨域运行MOMADAdmin.exe。
若要使 Active Directory 集成正常工作,安全组必须是全局安全组(如果 Active Directory 集成需要在具有双向信任的多个域中运行)或本地域组(如果 Active Directory 集成仅在一个域中使用)
若要将安全组添加到 Operations Manager 管理员组,请使用以下过程。
在操作控制台中,选择“ 管理”。
在“管理”工作区中,选择“安全性”下的“用户角色”。
在 “用户角色”中,选择 Operations Manager 管理员 ,然后选择 “属性” 操作,或右键单击 “Operations Manager 管理员 ”,然后选择“ 属性”。
选择“添加”以打开“选择组”对话框。
选择所需的安全组,然后选择“确定”关闭对话框。
选择“确定”关闭用户角色属性。
注意事项
我们建议使用一个安全组,其中可能包含多个组,用于 Operations Manager 管理员角色。 这样,可以在组中添加和删除组及其成员,而无需域管理员手动分配读取和删除子权限到管理组容器。
使用以下过程创建 AD DS 容器。
以管理员身份打开命令提示符。
例如,在提示符下输入以下内容:
"C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**
注意事项
默认路径为 C:\Program Files\Microsoft System Center 2016\Operations Manager。
注意事项
默认路径为 C:\Program Files\Microsoft System Center\Operations Manager。
前面的命令行示例将:
从命令行运行MOMADAdmin.exe实用工具。
在 MessageDom 域的 AD DS 架构根目录中创建“Message Ops”管理组 AD DS 容器。 若要在其他域中创建相同的管理组 AD DS 容器,请为每个域运行MOMADAdmin.exe。
将 MessageDom\MessageADIntAcct 域用户帐户添加到 MessageDom\MessageOMAdmins AD DS 安全组,并为安全 AD DS 组分配管理 AD DS 容器所需的权限。
使用Active Directory 域服务将计算机分配到管理服务器
Operations Manager 代理分配和故障转移向导创建代理分配规则,该规则使用 Active Directory 域服务 (AD DS) 将计算机分配到管理组,并分配计算机的主要管理服务器和辅助管理服务器。 使用以下步骤启动并使用向导。
重要
在运行代理分配和故障转移向导之前,必须创建管理组的Active Directory 域服务容器。
代理分配和故障转移向导不会部署代理。 必须使用MOMAgent.msi手动将代理部署到计算机。
更改代理分配规则可能会导致计算机不再分配给管理组,因此不会由管理组进行监视。 这些计算机的状态将变为关键,因为它们不再向管理组发送心跳信号。 可以从管理组中删除这些计算机,如果计算机未分配给其他管理组,则可以卸载 Operations Manager 代理。
启动 Operations Manager 代理分配和故障转移向导
使用属于 Operations Manager 管理员角色成员的帐户登录到计算机。
在 Operations 控制台中,选择“管理”。
在“管理”工作区中,选择“ 管理服务器”。
在“管理服务器”窗格中,右键单击管理服务器或网关服务器作为将在以下过程中创建的规则返回的计算机的主管理服务器,然后选择“属性”。
注意事项
网关服务器的工作方式类似于此上下文中的管理服务器。
在“管理服务器属性”对话框中,选择“自动代理分配”选项卡,然后选择“添加”以启动代理分配和故障转移向导。
在代理分配和故障转移向导的“简介”页上,选择“下一步”。
注意事项
如果向导已运行且选择了不再显示此页面,则不会显示简介页。
在 “域 ”页上执行以下操作:
注意事项
若要将来自多个域的计算机分配到管理组,请为每个域运行 代理分配和故障转移向导 。
从“域名”下拉列表中选择计算机的域。 管理服务器和 AD 代理分配资源池中的所有计算机必须能够解析域名。
重要
管理服务器和您想管理的计算机必须位于双向受信任的域中。
将“选择运行方式配置文件”设置为与为域运行 MOMADAdmin.exe 时提供的运行方式帐户关联的运行方式配置文件。 用于执行代理分配的默认帐户是在安装程序期间指定的默认操作帐户,也称为基于 Active Directory 的 代理分配帐户。 此帐户表示连接到指定域的 Active Directory 和修改 Active Directory 对象时使用的凭据,应与运行MOMAdmin.exe时指定的帐户匹配。 如果这不是用于运行MOMADAdmin.exe的帐户,请选择“ 使用其他帐户在指定域中执行代理分配”, 然后从 “选择运行方式配置文件 ”下拉列表中选择或创建该帐户。 必须将基于 Active Directory 的 代理分配帐户 配置文件配置为使用 Operations Manager 管理员帐户,该帐户分发到 AD 代理分配资源池中的所有服务器。
注意事项
有关运行方式配置文件和运行方式帐户的详细信息,请参阅 管理运行方式帐户和配置文件。
在 “包含条件 ”页上,键入 LDAP 查询,以便在文本框中将计算机分配到此管理服务器,然后选择“下一步” , 或选择“ 配置”。 如果选择“配置”,请执行以下操作:
在“查找计算机”对话框中,输入将计算机分配到此管理服务器或输入特定 LDAP 查询所需的条件。
以下 LDAP 查询仅返回运行 Windows Server 操作系统的计算机,并且不包括域控制器。
(&(objectCategory=computer)(operatingsystem=*server*))此示例 LDAP 查询仅返回运行 Windows Server 操作系统的计算机。 它不包括托管 Operations Manager 或 Service Manager 管理服务器角色的域控制器和服务器。
(&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))有关 LDAP 查询的详细信息,请参阅创建查询筛选器和 Active Directory: LDAP Syntax Filters(Active Directory:LDAP 语法筛选器)。
选择“确定”,然后选择“下一步”。
在排除条件页上,键入您明确希望阻止此管理服务器管理的计算机的全域名称 (FQDN),然后选择下一步。
重要
必须使用分号、冒号或新行 (CTRL+ENTER) 分隔输入的计算机 FQDN。
在 “代理故障转移 ”页上,选择“ 自动管理故障转移 ”,然后选择“ 创建 ”或“ 手动配置故障转移”。 如果选择“手动配置故障转移”,请执行以下操作:
清除不希望代理故障转移到的管理服务器的复选框。
选择“创建”。
注意事项
使用“手动配置故障转移”选项,如果随后向管理组添加管理服务器并希望代理故障转移到新管理服务器,则必须再次运行向导。
在 “管理服务器属性 ”对话框中,选择“ 确定”。
注意事项
代理分配设置可能需要长达一小时才能在 AD DS 中传播。
完成此操作后,会在管理组中创建以下规则,并将其定位于 AD 分配资源池 类。
此规则包括您在代理分配和故障转移向导中指定的代理分配配置信息,例如 LDAP 查询。
若要确认管理组是否已在 Active Directory 中成功发布其信息,请在定义了代理分配规则的管理服务器上,打开 Operations Manager 事件日志,并从源 '健康服务模块' 中搜索事件 ID 11470。 在说明中,应说明它已成功添加添加到代理分配规则的所有计算机。
在 Active Directory 中的 OperationsManager<ManagementGroupName> 容器下,应看到已创建类似于以下示例的服务连接点 (SCP) 对象。
该规则还创建两个安全组,其名称为管理服务器 NetBIOS 名称:后缀为“_PrimarySG<随机数>”的第一个安全组,第二个安全组为“_SecondarySG<随机数>”。 在此示例中,管理组中部署了两台管理服务器,主安全组 ComputerB_Primary_SG_24901 的成员包括与代理分配规则中定义的包含规则匹配的计算机,安全组 ComputerA_Secondary_SG_38838 的成员包括主组 ComputerB_Primary_SG-29401 安全组,其中包含在主管理服务器无响应时将故障转移到此辅助管理服务器的代理的计算机帐户。 SCP 名称是管理服务器 NetBIOS 名称,后缀为“_SCP”。
注意事项
在此示例中,它只显示来自单个管理组的对象,而不是可能存在的其他管理组,并且还使用 AD 集成进行配置。
使用 Active Directory 集成设置手动部署代理
下面是手动安装已启用 Active Directory 集成的 Windows 代理的命令行示例。
%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1
更改代理的 Active Directory 集成设置
你可以使用以下过程更改代理的 Active Directory 集成设置。
在代理管理的计算机上,在控制面板中双击“Microsoft Monitoring Agent”。
在 Operations Manager 选项卡上,清除或选择 AD DS 中的自动更新管理组分配。 如果选择此选项,则在代理启动时,代理将在 Active Directory 中查询代理所分配至的管理组的列表。 那些管理组(如果有)将添加到列表中。 如果清除此选项,则将从列表中删除分配给 Active Directory 中的代理的所有管理组。
选择“确定”。
将 Active Directory 与不受信任的域集成
- 在具有读取、写入和删除 AD 中的对象的权限的不受信任的域中创建用户。
- 创建安全组(域本地或全局)。 将用户(在步骤 1 中创建)添加到此组。
- 在不受信任的域中使用以下参数运行 MOMAdAdmin.exe:<path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
- 在 Operations Manager 中创建新的运行方式帐户;使用步骤 1 中创建的帐户。 确保域名随 FQDN 一起提供,而不是 NetBIOS 名称(例如:CONTOSO.COM\ADUser)。
- 将帐户分发到 AD 分配资源池。
- 在默认管理包中创建新的运行方式配置文件。 如果此配置文件是在任何其他管理包中创建的,请确保密封管理包,以便可以将其引用到其他管理包。
- 将新创建的运行方式帐户添加到此配置文件,并将其定位到 AD 分配资源池
- 在 Operations Manager 中创建 Active Directory 集成规则。
注意事项
与不受信任的域集成后,每台管理服务器都会显示警告消息“服务器上的安全数据库没有此工作站信任关系的计算机帐户”,表明 AD 分配使用的运行方式帐户的验证失败。 事件 ID 7000 或 1105 在 Operations Manager 事件日志中生成。 但是,此警报对不受信任的域中的 AD 分配没有任何影响。
后续步骤
若要了解如何从操作控制台安装 Windows 代理,请参阅 使用发现向导 在 Windows 上安装代理或从命令行安装代理,请参阅 使用 MOMAgent.msi手动安装 Windows 代理。