Instalace serveru brány

Servery brány se obvykle používají k povolení monitorování klientských počítačů, které jsou mimo hranice důvěryhodnosti protokolu Kerberos skupin pro správu. Brány jsou ale také užitečné ve stejné doméně, jako kdyby bylo nutné síť segmentovat a snížit počet otevřených portů brány firewall. Dalším scénářem je použití bran pro agenty, kteří jsou příliš daleko, aby se během pětiminutového heartbeat intervalu spolehlivě připojili k serveru pro management.

Agenti komunikují přímo se serverem brány a server brány komunikuje s jedním nebo více servery pro správu. Několik serverů brány je možné umístit do jedné domény, aby agenti mohli převzít služby při selhání mezi jednotlivými servery, pokud ztratí komunikaci se svou primární bránou. Podobně lze jeden server brány nakonfigurovat tak, aby při selhání mezi servery pro správu převzal služby při selhání, takže v komunikačním řetězci neexistuje jediný bod selhání. Server brány funguje jako proxy server pro komunikaci mezi agenty a serverem pro správu, což umožňuje otevření pouze jednoho portu mezi sítěmi místo mnoha. Certifikáty musí být použity k navázání identity každého počítače mimo hranice důvěryhodnosti kerberos. Bez certifikátů se systémy můžou připojit, ale odmítnout komunikaci kvůli nemožnosti ověření připojení.

Než budete pokračovat, ujistěte se, že váš server splňuje minimální požadavky na systém pro System Center – Operations Manager. Další informace naleznete v tématu Požadavky na systém pro Nástroj System Center Operations Manager.

Poznámka:

Pokud zásady zabezpečení omezují protokol TLS 1.0 a 1.1, instalace nové role serveru brány Operations Manageru 2016 selže, protože instalační médium neobsahuje aktualizace pro podporu protokolu TLS 1.2. Jedinou možností, jak tuto roli nainstalovat, je povolením protokolu TLS 1.0 v systému, použitím kumulativní aktualizace 4 a povolením protokolu TLS 1.2 v systému.

Požadavky

Před pokračováním v instalaci role brány ve standardním scénáři musíme mít připravené a připravené tři hlavní věci:

1. Certifikáty je potřeba vygenerovat pro servery brány a pro správu a nainstalovat je do úložišť certifikátů.
   • Pokud se brána a klientské servery používají ve scénáři pracovní skupiny, také klienti potřebují certifikáty.
2. Zamýšlený server brány musí být před instalací schválen jako brána v rámci skupiny pro správu.
3. Port 5723 musí být otevřen mezi bránou a serverem pro správu, jak je definováno v této příručce: Konfigurace brány firewall pro Operations Manager

Certifikáty a překlad názvů

1. Nasazení serverů brány v doménách bez obousměrného tranzitivního vztahu důvěryhodnosti nebo pracovní skupiny vyžaduje použití certifikátů k ověřování. Primární servery pro správu a servery pro správu převzetí služeb při selhání potřebují kromě brány, která se k nim připojuje. Tyto certifikáty můžou pocházet z certifikační autority Microsoft Certificate Services nebo certifikační autority jiné společnosti než Microsoft, pokud jsou správně nakonfigurované pro Operations Manager. Pokud potřebujete pomoc s vytvářením těchto certifikátů, použijte průvodce: Získání certifikátu pro použití se servery Windows a nástrojem System Center Operations Manager

   Poznámka:

   • Gateway servery, které jsou ve stejné doméně nebo ve sdílené hranici důvěryhodnosti jako skupina pro správu, nevyžadují certifikáty.
   • Pokud jsou brána a agenti v pracovní skupině, potřebujeme certifikáty pro každý server pro správu, bránu a klientský počítač, protože v pracovní skupině není žádná doména, abychom usnadnili ověřování systémů.

2. Mezi počítači spravovanými agentem a serverem brány a mezi serverem brány a serverem pro správu musí existovat spolehlivý překlad ip adres. Tento překlad názvů se obvykle provádí prostřednictvím DNS. Pokud ale není možné získat správné překlady názvů prostřednictvím DNS, může být nutné položky v souboru hostitelů každého počítače vytvořit ručně.

   Důležité

   Před ověřováním mezi servery se kontrolují dopředné a zpětné překlady jmen. Pokud při kontrole IP adresy obdržíme jiný název hostitele nebo plně kvalifikovaný název domény, autentizace selže.

   Tip

   Soubor hosts, který se nachází v adresáři %SystemRoot%\system32\drivers\etc, obsahuje pokyny pro konfiguraci. Tento soubor musí být upravován v Poznámkovém bloku nebo jiné aplikaci spuštěné jako správce.

Registrace brány ve skupině pro správu

Aby se zabránilo pozdějším problémům, je důležité před instalací zaregistrovat a schválit zamýšlený počítač brány jako bránu, jinak riskujeme, že se brána vyzvedne jako agent.

Tyto kroky je třeba provést ze serveru pro správu, nejlépe z primárního serveru nebo serveru RMSE.

1. Instalační médium nástroje Operations Manager obsahuje spustitelný soubor s názvem "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", který najdete v instalačním médiu v části ..\SupportTools\amd64\.

2. Po umístění zkopírujte tento spustitelný soubor a konfigurační soubor se stejným názvem do instalační cesty v části: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Otevřete příkazový řádek jako správce a přejděte do instalačního adresáře nástroje Operations Manager. (např. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Pomocí následujícího příkazu zaregistrujte zamýšlenou bránu jako bránu a ujistěte se, že názvy serverů nahradíte vlastními názvy:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Poznámka:

   Pokud chcete serveru brány zabránit v zahájení komunikace se serverem pro správu, použijte v příkazu parametr /ManagementServerInitiatesConnection=True. Ve výchozím nastavení brána zahájí komunikaci, ale tento parametr je užitečný, pokud se chcete vyhnout jakémukoli příchozímu přístupu k primární doméně ze sítě, ve které se brána nachází. Například:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Pokud je schválení úspěšné, The approval of server <GatewayFQDN> completed successfully. zpráva se vrátí.

6. Pokud potřebujete odebrat server brány ze skupiny pro správu, spusťte stejný příkaz, ale nahraďte /Action=Create příznak /Action=Delete .

7. Otevřete konzolu Operations Console v zobrazení Monitorování. Výběrem zobrazení Zjištěný inventář zjistíte, že server brány je k dispozici. Měl by být také zobrazit v části Správa > Správa zařízení > Servery pro správu.

Proces instalace

Jakmile je zamýšlený server brány zaregistrovaný ve skupině pro správu, je čas nainstalovat roli na novou bránu.

Poznámka:

Instalace se nezdaří při spuštění Instalační služby systému Windows (například instalace serveru brány poklikáním na MOMGateway.msi) v případě, že je povolená místní zásada zabezpečení Řízení uživatelských účtů: Spustit všechny správce v režimu schválení správcem.

Tip

Pokud během instalace dojde k problémům, protokoly se nacházejí tady: %LocalAppData%\SCOM\Logs

Instalace pomocí grafického uživatelského rozhraní

Pokud chcete nainstalovat server brány, postupujte takto:

1. Přihlaste se k serveru brány s právy správce.

2. Z instalačního média Operations Manageru spusťte Setup.exe.

3. V oblasti Instalace vyberte odkaz serveru pro správu brány (ne velký odkaz Instalovat v dolní části okna).

4. Na úvodní obrazovce vyberte Další.

5. Na stránce Cílová složka přijměte výchozí hodnotu nebo vyberte Změnit, pokud chcete vybrat jiný instalační adresář, a pak vyberte Další.

6. Na stránce Konfigurace skupiny pro správu zadejte název cílové skupiny pro správu do pole Název skupiny pro správu, do pole Server pro správu zadejte název cílového serveru pro správu, zkontrolujte, zda je pole Port serveru pro správu 5723 a vyberte Další.

7. Na stránce Účet akce brány vyberte možnost Místní systémový účet, pokud nepoužíváte účet akce brány založené na doméně nebo místní počítač. Vyberte Další.

8. Na stránce Služby Microsoft Update volitelně označte, jestli chcete použít službu Microsoft Update, a vyberte Další. (Obvykle by tento výběr měl být Ne.)

9. Na stránce Připraveno k instalaci vyberte Nainstalovat.

10. Na stránce Dokončení vyberte Dokončit.

Instalace pomocí příkazového řádku

Pomocí následujícího postupu nainstalujte server brány z příkazového řádku:

1. Přihlaste se k serveru brány s právy správce.
2. Otevřete okno příkazového řádku pomocí možnosti Spustit jako správce .
3. Spusťte následující příkaz, kde cesta\to\Installer je cesta instalačního média. MOMGateway.msi naleznete v instalačním médiu nástroje Operations Manager v části ..\gateway\amd64\.

Tip

Znak ^ slouží k povolení víceřádkového vstupu v příkazovém řádku pro lepší čitelnost a snadnější úpravy. Pokud příkaz ve vašem prostředí nefunguje, odeberte ^ znaky a ujistěte se, že je příkaz na jednom řádku.

Pokud jako účet akce používáte LocalSystem :

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Pokud jako účet akce používáte uživatele domény:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Důležité

Heslo účtu akce nemůže v příkazovém řádku obsahovat neplatné znaky, například: & < > ( ) @ ^ | ". Pokud ano, instalace selže, protože nemůže analyzovat řetězec, změnit heslo tak, aby neobsahovalo tyto znaky, a pak ho zabalit do dvojitých uvozovek v samotném příkazu.

Import certifikátů pomocí nástroje MOMCertImport.exe

Tuto operaci proveďte na každé bráně a serveru pro správu spolu se všemi klientskými počítači, které mají být spravovány agentem v pracovní skupině.

1. Než budete pokračovat, ujistěte se, že jsou certifikáty nainstalované.
2. Vyhledejte soubor MOMCertImport.exe umístěný v instalačním médiu v části..\SupportTools\amd64\
3. Zkopírujte tento soubor do kořenového adresáře cílového serveru nebo do instalačního adresáře nástroje Operations Manager.
   • Například: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Otevřete příkazový řádek jako správce a změňte adresář na adresář, ve kterém je MOMCertImport.exe.
   • Příklad: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Pak spusťte příkaz MOMCertImport.exe /SubjectName subjectNameFQDN, kde subjectNameFQDN je definovaný subjekt na certifikátu.
   • Můžete také spustit MOMCertImport.exe bez argumentů, abyste mohli zvolit certifikát z automaticky otevíraných oken, které zobrazuje certifikáty v osobním úložišti místního počítače.
6. V případě úspěchu se služba Microsoft Monitoring Agent restartuje a do protokolu událostí Operations Manageru se zaprotokoluje ID události 20053. Pokud toto ID události není k dispozici, sledujte podrobnosti o jednom z těchto ID všech problémů a odpovídajícím způsobem proveďte opravy: 20049,20050,20052,20066,20069,20077

Tip

Po úspěšném importu certifikátu můžete v registru vidět zrcadlenou verzi kryptografického otisku: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurace serverů brány pro převzetí služeb při selhání mezi servery pro správu

Ve výchozím nastavení servery brány komunikují pouze s jedním serverem pro správu, primárním serverem. Pokud dojde ke ztrátě tohoto připojení, brána a všechny připojené agenty se v konzole zobrazí šedě a nebudou monitorovány. Pokud máte více serverů pro správu, můžeme tomuto problému zabránit tím, že nakonfigurujeme servery pro správu, na které může brána převzít služby při selhání, dokud nebude primární server znovu dostupný. Konfigurace převzetí služeb při selhání:

V prostředí Operations Manageru používáme rutinu Set-SCOMParentManagementServer , jak je znázorněno v následujícím příkladu, ke konfiguraci serveru brány tak, aby převzal služby při selhání několika serverů pro správu. Příkazy je možné spustit z libovolného příkazového prostředí ve skupině pro správu.

1. Přihlaste se k serveru pro správu pomocí účtu, který je členem role Administrators nástroje Operations Manager.

2. V nabídce Start spusťte prostředí Operations Manager Shell ve složce Microsoft System Center.

3. V konzole spusťte následující příkazy:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Poznámka:

   Server pro převzetí služeb při selhání nemůžete nastavit tak, aby byl stejný jako primární server bez změny primárního serveru současně nebo dříve. Pokud chcete změnit primární server a nastavit ho na sekundární, použijte následující příkazy:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Zřetězení více serverů brány

I když je to neobvyklé, je někdy nutné zřetězí více bran dohromady, aby bylo možné monitorovat více nedůvěryhodných hranic. Tato část popisuje, jak zřetězit více bran dohromady.

Poznámka:

• Nainstalujte jenom jednu bránu najednou. Před přidáním další brány v řetězu ověřte, že každá nově nainstalovaná brána je v konzole Operations Manageru v pořádku.
• Při přidávání bran na konec řetězu do stejného fondu prostředků nakonfigurovat převzetí služeb při selhání do jiného řetězce pomocí příkazu Set-SCOMParentManagementServer. V takovém scénáři bazén nebude fungovat podle očekávání. V případě konfigurace převzetí služeb při selhání a fondu prostředků, který bude fungovat společně, by měl mít konec brány řetězu stejný nadřazený objekt.

Ke konfiguraci řetězu bran používáme nástroj Microsoft.EnterpriseManagement.GatewayApprovalTool.exe stejně jako u počátečního serveru brány. Tentokrát ale musíme nastavit "ManagementServerName" jako nadřazený server brány v řetězci. Pokud se například GW02 připojí k GW01, pak je GW01 "ManagementServer" v tomto scénáři.

1. Přihlaste se k jednomu ze serverů pro správu, které už mají nastavený GatewayApprovalTool.

2. Otevřete příkazový řádek jako správce a přejděte do adresáře, ve kterém je nástroj uložený.

3. Potom spusťte následující příkaz, kterým schválíte server podřízené brány a zajistíte, že názvy serverů nahradíte vlastními názvy:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Nainstalujte roli brány na nový server.

5. Nakonfigurujte certifikáty mezi GW01 a GW02 stejným způsobem, jakým byste nakonfigurovali certifikáty mezi bránou a serverem pro správu. Služba Health Service může načíst a používat pouze jeden certifikát. Proto je stejný certifikát používán nadřazeným a podřízeným objektem brány v řetězu.

Další kroky

Informace o sekvenci a krocích pro instalaci rolí serveru Operations Manageru mezi více servery ve skupině pro správu najdete v tématu Distribuované nasazení nástroje Operations Manager.