Installieren eines Gatewayservers

Gatewayserver werden in der Regel verwendet, um die Überwachung von Clientcomputern zu ermöglichen, die sich außerhalb der Kerberos-Vertrauensgrenze von Verwaltungsgruppen befinden. Gateways sind jedoch auch innerhalb derselben Domäne nützlich, als ob es eine Anforderung gibt, das Netzwerk zu segmentieren und die Anzahl der geöffneten Firewallports zu verringern. Ein weiteres Szenario besteht darin, Gateways für Agents zu verwenden, die zu "weit entfernt" sind, um innerhalb des fünfminütigen Taktintervalls zuverlässig einen Verwaltungsserver zu verbinden.

Agenten kommunizieren direkt mit dem Gatewayserver, und der Gatewayserver kommuniziert mit einem oder mehreren Verwaltungsservern. Mehrere Gateway-Server können in einer einzigen Domäne platziert werden, so dass die Agenten von einem zum anderen überwechseln können, wenn sie die Kommunikation mit ihrem primären Gateway verlieren. In ähnlicher Weise kann ein einzelner Gateway-Server so konfiguriert werden, dass er zwischen den Verwaltungsservern wechselt, so dass es in der Kommunikationskette keinen einzigen Ausfallpunkt gibt. Der Gatewayserver fungiert als Proxy für die Kommunikation zwischen Agent-zu-Verwaltunsservern, sodass nur ein Port zwischen Netzwerken anstelle von vielen geöffnet werden kann. Es müssen Zertifikate verwendet werden, um die Identität der einzelnen Computer einzurichten, wenn sie sich außerhalb der Kerberos-Vertrauensgrenze befinden. Ohne Zertifikate können die Systeme eine Verbindung herstellen, aber die Kommunikation verweigern, da die Verbindung nicht authentifiziert werden kann.

Bevor Sie fortfahren, stellen Sie sicher, dass Ihr Server die Mindestsystemanforderungen für System Center – Operations Manager erfüllt. Weitere Informationen finden Sie unter Systemanforderungen für System Center Operations Manager.

Hinweis

Es wird empfohlen, die NTAuthority\SYSTEM Benutzer nicht für die Installation von System Center Operations Manager zu verwenden.

Hinweis

Wenn Ihre Sicherheitsrichtlinien TLS 1.0 und 1.1 einschränken, schlägt die Installation einer neuen Operations Manager 2016-Gatewayserverrolle fehl, da die Setupmedien nicht die Updates zur Unterstützung von TLS 1.2 enthalten. Sie können diese Funktion nur installieren, indem Sie TLS 1.0 auf dem System aktivieren, Update Rollup 4 anwenden und dann TLS 1.2 auf dem System aktivieren.

Voraussetzungen

Bevor wir mit der Installation der Gateway-Rolle in einem Standardszenario fortfahren, müssen drei wichtige Dinge vorbereitet und eingerichtet werden:

1. Zertifikate müssen für die Gateway- und Verwaltungsserver generiert und in den Zertifikatspeichern installiert werden.
   • Wenn das Gateway und die Clientcomputer in einem Arbeitsgruppenszenario verwendet werden, benötigen die Clients auch Zertifikate.
2. Der beabsichtigte Gatewayserver muss vor der Installation als Gateway innerhalb der Verwaltungsgruppe „Genehmigt“ sein.
3. Port 5723 muss zwischen dem Gateway und dem Verwaltungsserver geöffnet werden, wie in der Anleitung hier definiert: Konfiguration einer Firewall für Operations Manager

Zertifikate und Namensauflösung

1. Die Bereitstellung von Gatewayservern in Domänen ohne eine bidirektionale transitive Vertrauensstellung oder in einer Arbeitsgruppe erfordert die Verwendung von Zertifikaten für die Authentifizierung. Der primäre und der Ausfallsicherungsverwaltungsserver benötigen neben dem Gateway, das mit ihnen verbunden ist, jeweils einen weiteren Server. Diese Zertifikate können von einer Zertifizierungsstelle für Microsoft-Zertifikatdienste oder einer nicht von Microsoft stammenden Zertifizierungsstelle stammen, sofern diese für Operations Manager ordnungsgemäß konfiguriert sind. Wenn Sie Hilfe bei der Erstellung dieser Zertifikate benötigen, verwenden Sie den Leitfaden hier: Erstellen eines Zertifikats zur Verwendung mit Windows Servern und System Center Operations Manager

   Hinweis

   • Gatewayserver, die sich in derselben Domäne oder in einer gemeinsamen Vertrauensgrenze befinden wie die Verwaltungsgruppe, erfordern keine Zertifikate.
   • Wenn sich das Gateway und die Agents in einer Arbeitsgruppe befinden, benötigen wir Zertifikate für jeden Verwaltungsserver, jedes Gateway und jeden Clientcomputer, da es keine Domäne innerhalb einer Arbeitsgruppe gibt, um die Authentifizierung von Systemen zu erleichtern.

2. Zuverlässige Namensauflösung muss zwischen den vom Agent verwalteten Computern und dem Gatewayserver vorhanden sein und auch zwischen dem Gatewayserver und dem Verwaltungsserver muss sie vorhanden sein. Diese Namensauflösung erfolgt in der Regel über DNS. Wenn es jedoch nicht möglich ist, die richtige Namensauflösung über DNS zu erhalten, ist es möglicherweise erforderlich, Einträge in der Hostdatei der einzelnen Computer manuell zu erstellen.

   Wichtig

   Weiterleitungs- und Rückwärtsnamenauflösungen werden überprüft, bevor die Authentifizierung zwischen Servern erfolgt. Wenn beim Überprüfen der IP-Adresse ein anderer Hostname oder ein anderer FQDN empfangen wird, schlägt die Authentifizierung fehl.

   Tipp

   Die Hostdatei, die sich im verzeichnis %SystemRoot%\system32\drivers\etc befindet, enthält die Anweisungen für die Konfiguration. Diese Datei muss in einem Editor oder einer anderen Anwendung bearbeitet werden, die als Administrator ausgeführt wird.

Registrieren des Gateways bei der Verwaltungsgruppe

Um spätere Probleme zu vermeiden, ist es wichtig, den vorgesehenen Gateway-Rechner vor der Installation als Gateway zu registrieren und zu genehmigen, da sonst die Gefahr besteht, dass der Gateway als Agent erkannt wird.

Diese Schritte müssen von einem Verwaltungsserver ausgeführt werden, vorzugsweise von Ihrem primären oder „RMSE"-Server.

1. Es gibt eine ausführbare Datei, die in den Operations Manager-Installationsmedien mit dem Namen „Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" enthalten ist, die sich auf den Installationsmedien befindet unter ..\SupportTools\amd64\.

2. Sobald Sie die ausführbare Datei gefunden haben, kopieren Sie diese und die Konfigurationsdatei mit demselben Namen in den Installationspfad unter: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Öffnen Sie eine Eingabeaufforderung als Administrator und wechseln Sie zum Installationsverzeichnis des Operations Manager. (Beispiel cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Verwenden Sie den folgenden Befehl, um das gewünschte Gateway als ein solches zu registrieren und die Servernamen durch Ihre eigenen zu ersetzen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Hinweis

   Um zu verhindern, dass der Gatewayserver die Kommunikation mit einem Verwaltungsserver initiiert, verwenden Sie die /ManagementServerInitiatesConnection=True Parameter im Befehl. Standardmäßig initiiert das Gateway die Kommunikation, aber dieser Parameter ist nützlich, wenn Sie eingehenden Zugriff auf die primäre Domäne aus dem Netzwerk vermeiden möchten, in dem sich das Gateway befindet. Zum Beispiel:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Wenn die Genehmigung erfolgreich ist, wird die Nachricht The approval of server <GatewayFQDN> completed successfully. zurückgemeldet.

6. Wenn Sie den Gateway-Server aus der Verwaltungsgruppe entfernen müssen, führen Sie denselben Befehl aus, ersetzen aber das Kennzeichen /Action=Create durch /Action=Delete.

7. Öffnen Sie die Betriebskonsole in der Überwachungsansicht. Wählen Sie die Ansicht „Erkanntes Inventar“ aus, um zu sehen, ob der Gateway-Server vorhanden ist. Es sollte auch unter Verwaltung > Geräteverwaltung > Verwaltungsserver angezeigt werden.

Installationsvorgang

Sobald der beabsichtigte Gatewayserver bei der Verwaltungsgruppe registriert ist, ist es an der Zeit, die Rolle auf dem neuen Gateway zu installieren.

Hinweis

Eine Installation schlägt fehl, wenn Windows Installer gestartet wird (z. B. das Installieren eines Gatewayservers durch Doppelklicken auf MOMGateway.msi), wenn die lokale Sicherheitsrichtlinie "Benutzerkontensteuerung: Alle Administratoren im Administratorgenehmigungsmodus ausführen" aktiviert ist.

Tipp

Wenn während der Installation Probleme auftreten, befinden sich die Protokolle hier: %LocalAppData%\SCOM\Logs

Installieren mit der GUI

Um einen Gatewayserver zu installieren, führen Sie folgende Schritte aus:

1. Melden Sie sich mit Administratorrechten beim Gatewayserver an.

2. Starten Sie auf dem Operations Manager-Installationsmedium Setup.exe.

3. Wählen Sie im Bereich Installation den Link Gateway Management Server (nicht den langen Link „Installieren“ am unteren Rand des Fensters).

4. Wählen Sie auf dem Begrüßungsbildschirm die Option Weiter aus.

5. Übernehmen Sie auf der Seite Zielordner die Standardeinstellung oder wählen Sie Ändern aus, um ein anderes Installationsverzeichnis auszuwählen, und wählen Sie Weiter aus.

6. Geben Sie auf der Seite Verwaltungsgruppenkonfiguration den Namen der Zielverwaltungsgruppe in das Feld Name der Verwaltungsgruppe ein, geben Sie den Namen des Zielverwaltungsservers in das Feld Verwaltungsserver ein, stellen Sie sicher, dass das Feld Port des Verwaltungsservers5723 lautet, und wählen Sie Weiter aus.

7. Wählen Sie auf der Seite Gateway-Aktionskonto die Option Lokales System aus, es sei denn, Sie verwenden ein auf einer Domäne oder einem lokalen Computer basierendes Gateway-Aktionskonto. Wählen Sie Weiter aus.

8. Geben Sie auf der Seite Microsoft Update optional an, ob Sie Microsoft Update verwenden möchten, und wählen Sie Next. (In der Regel sollte diese Auswahl "Nein" sein.)

9. Wählen Sie auf der Seite InstallationsbereitInstallierenaus.

10. Wählen Sie auf der Seite Abschließen die Option Fertigstellen aus.

Installieren über die Eingabeaufforderung

Führen Sie die folgenden Schritte aus, um den Gatewayserver über die Eingabeaufforderung zu installieren:

1. Melden Sie sich mit Administratorrechten beim Gatewayserver an.
2. Öffnen Sie das Eingabeaufforderungsfenster mit der Option Als Administrator ausführen.
3. Führen Sie den folgenden Befehl aus, wobei path/to/Installer der Pfad des Installationsmediums ist. MOMGateway.msi“ ist in den Operations Manager-Installationsmedien zu finden unter ..\gateway\amd64\.

Tipp

Das ^ Zeichen wird verwendet, um mehrzeilige Eingaben in der Eingabeaufforderung zu ermöglichen, um eine bessere Lesbarkeit und einfachere Bearbeitung zu ermöglichen. Wenn der Befehl in Ihrer Umgebung nicht funktioniert, entfernen Sie die ^ Zeichen, und stellen Sie sicher, dass sich der Befehl in einer einzelnen Zeile befindet.

Wenn Sie LocalSystem als Aktionskonto verwenden:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Wenn Sie einen Domänenbenutzer als Aktionskonto verwenden:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Wichtig

Das Kennwort des Aktionskontos darf in der Eingabeaufforderung keine "unzulässigen" Zeichen enthalten, z. B.: & < > ( ) @ ^ | ". Wenn dies der Fall ist, schlägt die Installation fehl, da sie die Zeichenfolge nicht analysieren kann, ändern Sie das Kennwort so, dass es diese Zeichen nicht enthält, und umschließen Sie es dann in doppelte Anführungszeichen innerhalb des Befehls selbst.

Importieren von Zertifikaten mit dem tool MOMCertImport.exe

Führen Sie diesen Vorgang auf jedem Gateway- und Verwaltungsserver zusammen mit allen Clientcomputern aus, die in einer Arbeitsgruppe als Agent verwaltet werden sollen.

1. Stellen Sie sicher, dass die Zertifikate installiert sind, bevor Sie fortfahren
2. Suchen Sie die MOMCertImport.exe-Datei in den Installationsmedien unter ..\SupportTools\amd64\
3. Kopieren Sie diese Datei in das Stammverzeichnis des Zielservers oder in das Operations Manager-Installationsverzeichnis.
   • Beispiel: %ProgramFiles%\Microsoft System Center\Operations Manager\Server
4. Öffnen Sie eine Eingabeaufforderung als Administrator, und wechseln Sie in das Verzeichnis, in dem sich MOMCertImport.exe befindet.
   • Beispiel: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Führen Sie dann den Befehl MOMCertImport.exe /SubjectName subjectNameFQDNaus, wobei „subjectNameFQDN" der definierte Betreff des Zertifikats ist.
   • Sie können MOMCertImport.exe auch ohne Argumente ausführen, damit Sie ein Zertifikat aus einem Popup-Fenster auswählen können, das die Zertifikate im persönlichen Speicher des lokalen Computers anzeigt.
6. Bei Erfolg wird der Microsoft Monitoring Agent-Dienst neu gestartet und eventID 20053 im Ereignisprotokoll von Operations Manager protokolliert. Wenn diese EventID nicht vorhanden ist, überprüfen Sie die Details einer dieser IDs auf etwaige Probleme und nehmen Sie entsprechende Korrekturen vor: 20049,20050,20052,20066,20069,20077

Tipp

Nachdem das Zertifikat erfolgreich importiert wurde, können Sie hier eine gespiegelte Version des Fingerabdrucks in der Registrierung sehen: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurieren Sie Gatewayserver für die Ausfallsicherung zwischen den Verwaltungsservern.

Standardmäßig kommunizieren Gatewayserver nur mit einem Verwaltungsserver, der primär ist. Wenn diese Verbindung verloren geht, werden das Gateway und alle angeschlossenen Agenten in der Konsole als grau angezeigt und nicht mehr überwacht. Wenn Sie mehrere Verwaltungsserver haben, können wir dieses Problem verhindern, indem wir Verwaltungsserver konfigurieren, auf die das Gateway ausweichen kann, bis der primäre Server wieder verfügbar ist. Konfigurieren einer Ausfallsicherung:

Wir verwenden das Cmdlet Set-SCOMParentManagementServer in der Operations Manager-Shell, um einen Gateway-Server so zu konfigurieren, dass er bei einem Ausfall auf mehrere Verwaltungsserver umschalten kann, wie im folgenden Beispiel gezeigt. Die Befehle können über jede Befehlsshell in der Verwaltungsgruppe ausgeführt werden.

1. Melden Sie sich bei einem Verwaltungsserver mit einem Konto an, das Mitglied der Operations Manager-Administratorrolle ist.

2. Führen Sie im Startmenü Operations Manager-Shell unter dem Ordner „Microsoft System Center" aus.

3. Führen Sie auf der Konsole die folgenden Befehle aus:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Hinweis

   Sie können keinen Failoverserver so festlegen, dass er mit dem primären Server übereinstimmt, ohne die Primäre gleichzeitig oder zuerst zu ändern. Wenn Sie den Primärserver ändern und auf einen Sekundärserver umstellen möchten, verwenden Sie die folgenden Befehle:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Mehrere Gateway-Server verbinden

Es ist zwar ungewöhnlich, aber manchmal ist es notwendig, mehrere Gateways miteinander zu verbinden, um über mehrere nicht vertrauenswürdige Grenzen hinweg zu überwachen. In diesem Abschnitt wird beschrieben, wie mehrere Gateways miteinander verkettet werden.

Hinweis

• Installieren Sie jeweils nur ein Gateway. Stellen Sie sicher, dass jedes neu installierte Gateway in der Operations Manager-Konsole als fehlerfrei angezeigt wird, bevor Sie ein weiteres Gateway in der Kette hinzufügen.
• Fügen Sie Gateways am Ende der Kette zum gleichen Ressourcenpool hinzu, konfigurieren Sie kein Failover in eine andere Kette mithilfe des Befehls Set-SCOMParentManagementServer. In einem solchen Szenario funktioniert der Pool nicht wie erwartet. Damit die Failover-Konfiguration und der Ressourcenpool zusammen funktionieren, sollte das Gateway am Ende der Kette dasselbe Elternteil haben.

Um eine Gateway-Kette zu konfigurieren, verwenden wir das Tool Microsoft.EnterpriseManagement.GatewayApprovalTool.exe, wie wir es auch für den ersten Gateway-Server getan haben. Dieses Mal müssen wir jedoch den „ManagementServerName" als upstream-Gatewayserver in der Kette festlegen. Wenn GW02 beispielsweise eine Verbindung mit GW01 herstellt, ist GW01 der „Verwaltungsserver" in diesem Szenario.

1. Melden Sie sich auf einem Ihrer Verwaltungsserver an, auf dem das GatewayApprovalTool bereits eingerichtet ist.

2. Öffnen Sie eine Eingabeaufforderung als Administrator und navigieren Sie zu dem Verzeichnis, in dem das Tool gespeichert ist.

3. Führen Sie dann den folgenden Befehl aus, um den nachgeschalteten Gatewayserver zu genehmigen, und stellen Sie sicher, dass die Servernamen durch Ihre eigenen ersetzt werden:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installieren Sie die Gatewayrolle auf einem neuen Server.

5. Konfigurieren Sie die Zertifikate zwischen GW01 und GW02 auf die gleiche Weise wie Zertifikate zwischen einem Gateway- und einem Verwaltungsserver. Der Gesundheitsdienst kann nur ein einzelnes Zertifikat laden und verwenden. Dasselbe Zertifikat wird daher vom übergeordneten und untergeordneten Element des Gateways in der Kette verwendet.

Nächste Schritte

Um die Reihenfolge und die Schritte für die Installation der Operations Manager-Serverrollen auf mehreren Servern in Ihrer Verwaltungsgruppe zu verstehen, siehe Verteilte Bereitstellung von Operations Managern.