Sdílet prostřednictvím

Konfigurace a použití integrace služby Active Directory pro přiřazení agenta

  • Článek

System Center Operations Manager umožňuje využít investice do služby Doména služby Active Directory Services (AD DS) tím, že vám umožní přiřadit počítače spravované agentem ke skupinám pro správu. Tento článek vám pomůže vytvořit a spravovat konfiguraci kontejneru ve službě Active Directory a přiřazení agentů serverů pro správu by se mělo hlásit.

Vytvoření kontejneru Doména služby Active Directory Services pro skupinu pro správu

Pomocí následující syntaxe příkazového řádku a postupu můžete vytvořit kontejner služby Doména služby Active Directory (AD DS) pro skupinu pro správu nástroje System Center – Operations Manager. MOMADAdmin.exe je k tomuto účelu k dispozici a instaluje se se serverem pro správu Operations Manageru. MOMADAdmin.exe musí spustit správce zadané domény.

Syntaxe příkazového řádku:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Důležité

Pokud hodnota obsahuje mezeru, musíte hodnotu vložit do uvozovek.

  • ManagementGroupName je název skupiny pro správu, pro kterou se vytváří kontejner AD.

  • MOMAdminSecurityGroup je doménová skupina zabezpečení, doména\security_group formát, který je členem role zabezpečení Operations Manager Administrators pro skupinu pro správu.

  • RunAsAccount: Jedná se o účet domény, který bude server pro správu používat ke čtení, zápisu a odstraňování objektů ve službě AD. Použijte formát domény\uživatelské jméno.

  • Doména je název domény, ve které se vytvoří kontejner skupiny pro správu. MOMADAdmin.exe lze spustit napříč doménami pouze v případě, že mezi nimi existuje obousměrný vztah důvěryhodnosti.

Aby integrace služby Active Directory fungovala, skupina zabezpečení musí být buď globální skupina zabezpečení (pokud integrace služby Active Directory potřebuje fungovat ve více doménách s obousměrnými vztahy důvěryhodnosti) nebo místní doménová skupina (pokud se integrace služby Active Directory používá jenom v jedné doméně).

Chcete-li přidat skupinu zabezpečení do skupiny Správci nástroje Operations Manager, použijte následující postup.

  1. V konzole Operations Console vyberte Možnost Správa.

  2. V pracovním prostoru Správa vyberte v části Zabezpečení role uživatele.

  3. V rolích uživatelů vyberte Správce nástroje Operations Manager a vyberte akci Vlastnosti nebo klikněte pravým tlačítkem na správce nástroje Operations Manager a vyberte Vlastnosti.

  4. Výběrem možnosti Přidat otevřete dialogové okno Vybrat skupinu .

  5. Vyberte požadovanou skupinu zabezpečení a pak dialogové okno zavřete kliknutím na tlačítko OK .

  6. Výběrem možnosti OK zavřete vlastnosti role uživatele.

Poznámka:

Doporučujeme použít jednu skupinu zabezpečení, která může obsahovat několik skupin, pro roli Správci nástroje Operations Manager. Díky tomu je možné skupiny a členy skupin přidávat a odebírat ze skupin, aniž by správce domény potřeboval provést ruční kroky pro jejich přiřazení oprávnění Ke čtení a odstranění podřízeného oprávnění ke kontejneru skupiny pro správu.

Pomocí následujícího postupu vytvořte kontejner služby AD DS.

  1. Otevřete příkazový řádek jako správce.

  2. Na příkazovém řádku zadejte například následující:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Poznámka:

Výchozí cesta je C:\Program Files\Microsoft System Center 2016\Operations Manager.

Poznámka:

Výchozí cesta je C:\Program Files\Microsoft System Center\Operations Manager.

  1. Předchozí příklad příkazového řádku:

    1. Spusťte nástroj MOMADAdmin.exe z příkazového řádku.

    2. V kořenovém adresáři schématu služby AD DS domény MessageDom vytvořte kontejner skupiny pro správu "Message Ops". Pokud chcete vytvořit stejný kontejner služby AD DS skupiny pro správu v dalších doménách, spusťte MOMADAdmin.exe pro každou doménu.

    3. Přidejte uživatelský účet domény MessageDom\MessageADIntAcct do skupiny zabezpečení MessageDom\MessageOMAdmins AD DS a přiřaďte skupině zabezpečení služby AD DS práva potřebná ke správě kontejneru služby AD DS.

Přiřazení počítačů k serverům pro správu pomocí služby Doména služby Active Directory Services

Průvodce přiřazením agenta nástroje Operations Manager a převzetím služeb při selhání vytvoří pravidlo přiřazení agenta, které používá službu Doména služby Active Directory Services (AD DS) k přiřazení počítačů ke skupině pro správu a přiřazení primárního serveru pro správu a sekundárních serverů pro správu. Pomocí následujících postupů spusťte a použijte průvodce.

Důležité

Před spuštěním Průvodce přiřazením agenta a převzetím služeb při selhání musí být vytvořen kontejner Doména služby Active Directory Services pro skupinu pro správu.

Průvodce přiřazením agenta a převzetím služeb při selhání agenta nenasadí agenta. Agenta musíte ručně nasadit do počítačů pomocí MOMAgent.msi.

Změna pravidla přiřazení agenta může vést k tomu, že počítače už nejsou přiřazené, a proto je monitoruje skupina pro správu. Stav těchto počítačů se změní na kritický, protože počítače už do skupiny pro správu neodesílají prezenčních signálů. Tyto počítače je možné odstranit ze skupiny pro správu a pokud počítač není přiřazený k jiným skupinám pro správu, je možné agenta Operations Manageru odinstalovat.

Spuštění průvodce přiřazením agenta Operations Manageru a převzetím služeb při selhání

  1. Přihlaste se k počítači pomocí účtu, který je členem role Administrators nástroje Operations Manager.

  2. V konzole nástroje Operation vyberte pracovní prostor Správa.

  3. V pracovním prostoru Správa vyberte Servery pro správu.

  4. V podokně Servery pro správu klikněte pravým tlačítkem myši na server pro správu nebo server brány, aby byly primárním serverem pro správu pro počítače vrácené pravidly, která vytvoříte v následujícím postupu, a pak vyberte Vlastnosti.

    Poznámka:

    Servery brány fungují jako servery pro správu v tomto kontextu.

  5. V dialogovém okně Vlastnosti serveru pro správu vyberte kartu Automatické přiřazení agenta a pak výběrem možnosti Přidat spusťte Průvodce přiřazením agenta a převzetím služeb při selhání.

  6. V Průvodci přiřazením agenta a převzetím služeb při selhání na úvodní stránce vyberte Další.

    Poznámka:

    Úvodní stránka se nezobrazí, pokud byl průvodce spuštěn a tuto stránku znovu nezobrazovat.

  7. Na stránce Doména postupujte takto:

    Poznámka:

    Pokud chcete přiřadit počítače z více domén ke skupině pro správu, spusťte Průvodce přiřazením agenta a převzetím služeb při selhání pro každou doménu.

    • V rozevíracím seznamu Název domény vyberte doménu počítačů. Server pro správu a všechny počítače ve fondu prostředků přiřazení agenta AD musí být schopné přeložit název domény.

      Důležité

      Server pro správu a počítače, které chcete spravovat, musí být v obousměrných důvěryhodných doménách.

    • Nastavte profil Spustit jako na profil Spustit jako přidružený k účtu Spustit jako, který je k dispozici při spuštění MOMADAdmin.exe pro doménu. Výchozí účet použitý k přiřazení agenta je výchozí účet akce zadaný během instalace, označovaný také jako účet přiřazení agenta založeného na službě Active Directory. Tento účet představuje přihlašovací údaje používané při připojování ke službě Active Directory zadané domény a úpravě objektů služby Active Directory a měl by odpovídat účtu zadanému při spuštění MOMAdmin.exe. Pokud to nebyl účet použitý ke spuštění MOMADAdmin.exe, vyberte Použít jiný účet k provedení přiřazení agenta v zadané doméně a pak vyberte nebo vytvořte účet z rozevíracího seznamu Vybrat profil Spustit jako. Profil účtu přiřazení agenta založeného na službě Active Directory musí být nakonfigurovaný tak, aby používal účet správce nástroje Operations Manager, který se distribuuje na všechny servery ve fondu zdrojů přiřazení agenta AD.

      Poznámka:

      Další informace o profilech Spustit jako a účtech Spustit jako najdete v tématu Správa účtů a profilů Spustit jako.

  8. Na stránce Kritéria zahrnutí zadejte dotaz LDAP pro přiřazení počítačů k tomuto serveru pro správu do textového pole a pak vyberte Další nebo vyberte Konfigurovat. Pokud vyberete Konfigurovat, postupujte takto:

    1. V dialogovém okně Najít počítače zadejte požadovaná kritéria pro přiřazení počítačů k tomuto serveru pro správu nebo zadejte váš konkrétní dotaz LDAP.

      Následující dotaz LDAP vrátí pouze počítače s operačním systémem Windows Server a vyloučí řadiče domény.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Tento příklad dotazu LDAP vrátí pouze počítače s operačním systémem Windows Server. Vyloučí řadiče domény a servery hostující roli serveru pro správu Operations Manageru nebo Service Manageru.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Další informace o dotazech LDAP naleznete v tématu Vytvoření filtru dotazů a služby Active Directory: Filtry syntaxe LDAP.

    2. Zvolte OK a pak vyberte Další.

  9. Na stránce Kritéria vyloučení zadejte plně kvalifikovaný název domény počítačů, kterým chcete explicitně zabránit ve správě pomocí tohoto serveru pro správu, a pak vyberte Další.

    Důležité

    Plně kvalifikované názvy domén počítače, které zadáte, musíte oddělit středníkem, dvojtečku nebo novým řádkem (CTRL+ENTER).

  10. Na stránce Převzetí služeb při selhání agenta vyberte Možnost Automaticky spravovat převzetí služeb při selhání a vyberte Vytvořit nebo vyberte Ručně nakonfigurovat převzetí služeb při selhání. Pokud vyberete Možnost Ruční konfigurace převzetí služeb při selhání, postupujte takto:

    1. Zrušte zaškrtnutí políček serverů pro správu, u kterých nechcete, aby agenti převzali služby při selhání.

    2. Vyberte Vytvořit.

      Poznámka:

      Pokud následně do skupiny pro správu přidáte server pro správu a chcete, aby agenti přebísli na nový server pro správu, musíte průvodce znovu spustit.

  11. V dialogovém okně Vlastnosti serveru pro správu vyberte OK.

Poznámka:

Rozšíření nastavení přiřazení agenta ve službě AD DS může trvat až hodinu.

Po dokončení se ve skupině pro správu vytvoří následující pravidlo a cílí na třídu fondu zdrojů přiřazení AD.

Snímek obrazovky s pravidlem přiřazení agenta integrace AD
Toto pravidlo zahrnuje informace o konfiguraci přiřazení agenta, které jste zadali v Průvodci přiřazením agenta a převzetím služeb při selhání, jako je například dotaz LDAP.

Pokud chcete ověřit, jestli skupina pro správu úspěšně publikovala své informace ve službě Active Directory, vyhledejte ID události 11470 ze zdrojových modulů služby Health Service v protokolu událostí Operations Manageru na serveru pro správu, ve které bylo definováno pravidlo přiřazení agenta. V popisu by mělo být uvedeno, že se úspěšně přidaly všechny počítače přidané do pravidla přiřazení agenta.

Snímek obrazovky znázorňující úspěšnou událost přiřazení agenta integrace AD

Ve službě Active Directory by se v kontejneru OperationsManager<ManagementGroupName> měly zobrazit objekty spojovacího bodu služby (SCP) vytvořené podobně jako v následujícím příkladu.

Snímek obrazovky znázorňující objekty AD přiřazení agenta integrace AD

Pravidlo také vytvoří dvě skupiny zabezpečení s názvem netBIOS serveru pro správu: první skupina s příponou "_PrimarySG<náhodné číslo>" a druhá skupina "_SecondarySG<náhodné číslo>". V tomto příkladu jsou ve skupině pro správu nasazené dva servery pro správu a primární skupina zabezpečení ComputerB_Primary_SG_24901 členství zahrnuje počítače, které odpovídají pravidlu zahrnutí definovanému v pravidle přiřazení agenta a ComputerA_Secondary_SG_38838 členství ve skupině zabezpečení zahrnuje primární skupinu ComputerB_Primary_SG-29401. skupina zabezpečení obsahující účet počítače agentů, kteří by převzali služby při selhání na tento sekundární server pro správu v případě, že primární server pro správu nereaguje. Název SCP je název netBIOS serveru pro správu s příponou "_SCP".

Poznámka:

V tomto příkladu se zobrazují jenom objekty z jedné skupiny pro správu, nikoli z jiných skupin pro správu, které můžou existovat a které jsou také nakonfigurované s integrací AD.

Ruční nasazení agenta s nastavením integrace služby Active Directory

Níže je příklad příkazového řádku pro ruční instalaci agenta Windows s povolenou integrací služby Active Directory.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Změna nastavení integrace služby Active Directory pro agenta

Podle následujícího postupu můžete změnit nastavení integrace služby Active Directory pro agenta.

  1. Na počítači spravovaném agentem v Ovládacích panelech poklikejte na položku Microsoft Monitoring Agent.

  2. Na kartě Operations Manager zrušte zaškrtnutí nebo vyberte Automaticky aktualizovat přiřazení skupin pro správu ze služby AD DS. Pokud vyberete tuto možnost, při spuštění agenta se agent bude dotazovat služby Active Directory na seznam skupin pro správu, ke kterým byl přiřazen. Tyto skupiny pro správu, pokud nějaké jsou, budou přidány do seznamu. Pokud tuto možnost zrušíte, odeberou se ze seznamu všechny skupiny pro správu přiřazené agentovi ve službě Active Directory.

  3. Vyberte OK.

Integrace služby Active Directory s nedůvěryhodnou doménou

  1. Vytvořte uživatele v nedůvěryhodné doméně s oprávněními ke čtení, zápisu a odstraňování objektů ve službě AD.
  2. Vytvoření skupiny zabezpečení (místní nebo globální doména) Přidejte uživatele (vytvořeného v kroku 1) do této skupiny.
  3. Spusťte MOMAdAdmin.exe v nedůvěryhodné doméně s následujícími parametry: <path>\MOMADAdmin.exe <ManagementGroupName<>MOMAdminSecurityGroup><RunAsAccount<>Domain >
  4. Vytvoření nového účtu Spustit jako v Operations Manageru; použijte účet vytvořený v kroku 1. Ujistěte se, že je název domény zadaný plně kvalifikovaným názvem domény, nikoli názvem NetBIOS (např. CONTOSO.COM\ADUser).
  5. Distribuujte účet do fondu zdrojů přiřazení AD.
  6. Ve výchozí sadě Management Pack vytvořte nový profil Spustit jako. Pokud je tento profil vytvořen v jakékoli jiné sadě Management Pack, ujistěte se, že chcete zapečetit sadu Management Pack, aby se na tento profil odkazoval na jinou sadu Management Pack.
  7. Přidejte do tohoto profilu nově vytvořený účet Spustit jako a nasměřte ho do fondu zdrojů přiřazení AD.
  8. Vytvořte pravidla integrace služby Active Directory v Operations Manageru.

Poznámka:

Po integraci s nedůvěryhodnou doménou zobrazí každý server pro správu zprávu Zabezpečení na serveru nemá účet počítače pro tento vztah důvěryhodnosti pracovní stanice, který označuje, že ověření účtu Spustit jako používaného přiřazením ad selhalo. Id události 7000 nebo 1105 se generuje v protokolu událostí Operations Manageru. Tato výstraha ale nemá žádný vliv na přiřazení AD v nedůvěryhodné doméně.

Další kroky

Informace o tom, jak nainstalovat agenta systému Windows z konzoly Operations Console, naleznete v tématu Instalace agenta ve Windows pomocí Průvodce zjišťováním nebo instalace agenta z příkazového řádku, viz Ruční instalace agenta systému Windows pomocí MOMAgent.msi.