Installer un serveur de passerelle

Les serveurs de passerelle sont généralement utilisés pour activer la surveillance des ordinateurs clients qui se trouvent en dehors de la limite d’approbation Kerberos des groupes d’administration. Toutefois, ils peuvent également être utilisés dans le même domaine s’il est nécessaire de fractionner l’environnement en raison de la segmentation du réseau ou d’avoir des agents « éloignés » se connectent au groupe d’administration.

Les agents communiquent directement avec le serveur de passerelle et le serveur de passerelle communique avec un ou plusieurs serveurs d’administration. Plusieurs serveurs de passerelle peuvent être placés dans un domaine unique afin que les agents puissent basculer d’un à l’autre s’ils perdent la communication avec leur passerelle principale. De même, un serveur de passerelle unique peut être configuré pour basculer entre les serveurs d’administration afin qu’aucun point de défaillance unique n’existe dans la chaîne de communication. Le serveur de passerelle joue le rôle de proxy pour la communication entre les serveurs d’agent à gestion, ce qui permet d’ouvrir un seul port entre les réseaux à la place de nombreux. Les certificats doivent être utilisés pour établir l’identité de chaque ordinateur en dehors de la limite d’approbation Kerberos. Sans certificats, les systèmes peuvent se connecter, mais refuser de communiquer en raison de l’impossibilité d’authentifier la connexion.

Avant de continuer, assurez-vous que votre serveur répond à la configuration système minimale requise pour System Center - Operations Manager. Pour plus d’informations, consultez Configuration système requise pour System Center Operations Manager.

Remarque

Si vos stratégies de sécurité limitent TLS 1.0 et 1.1, l’installation d’un nouveau rôle serveur de passerelle Operations Manager 2016 échoue, car le support d’installation n’inclut pas les mises à jour pour prendre en charge TLS 1.2. La seule façon d’installer ce rôle consiste à activer TLS 1.0 sur le système, à appliquer le correctif cumulatif 4, puis à activer TLS 1.2 sur le système.

Prérequis

Il existe trois éléments majeurs que nous devons préparer et mettre en place avant de poursuivre l’installation du rôle de passerelle dans un scénario standard :

1. Des certificats doivent être générés pour la passerelle et le ou les serveurs d’administration et installés dans les magasins de certificats.
   • Si la passerelle et les serveurs clients sont utilisés dans un scénario de groupe de travail, les clients ont également besoin de certificats.
2. Le serveur de passerelle prévu doit être « Approuvé » pour être une passerelle au sein du groupe d’administration avant l’installation.
3. Le port 5723 doit être ouvert entre la passerelle et le serveur d’administration, comme défini dans le guide ici : Configuration d’un pare-feu pour Operations Manager

Certificats et résolution de noms

1. Le déploiement de serveurs de passerelle dans des domaines sans approbation transitive bidirectionnelle ou dans un groupe de travail nécessite l’utilisation de certificats pour l’authentification. Les serveurs d’administration principaux et de basculement ont besoin d’un serveur en plus de la passerelle qui les connecte. Ces certificats peuvent provenir d’une autorité de certification Microsoft Certificate Services ou d’une autorité de certification tierce, s’ils sont configurés correctement pour Operations Manager. Si vous avez besoin d’aide pour créer ces certificats, utilisez le guide ici : Obtenir un certificat à utiliser avec les serveurs Windows et System Center Operations Manager

   Remarque

   • Les serveurs de passerelle qui se trouvent dans le même domaine ou dans une limite d’approbation partagée que le groupe d’administration ne nécessitent pas de certificats.
   • Si la passerelle et les agents se trouvent dans un groupe de travail, nous aurons besoin de certificats pour chaque serveur d’administration, passerelle et ordinateur client qui sera surveillé, car il n’existe aucun domaine au sein d’un groupe de travail pour faciliter l’authentification des systèmes.

2. La résolution de noms fiable doit exister entre les ordinateurs gérés par l’agent et le serveur de passerelle, et entre le serveur de passerelle et le serveur d’administration. Cette résolution de noms est généralement effectuée via DNS. Toutefois, s’il n’est pas possible d’obtenir une résolution de noms appropriée via DNS, il peut être nécessaire de créer manuellement des entrées dans le fichier hosts de chaque ordinateur.

   Important

   Les résolutions de nom inverse et de transfert sont vérifiées avant que l’authentification passe entre les serveurs. Si nous recevons un nom d’hôte ou un nom de domaine complet différent lors de la vérification de l’adresse IP, l’authentification échoue.

   Conseil

   Le fichier hosts se trouve dans le %SystemRoot%\system32\drivers\etc répertoire et contient les instructions de configuration. Cette opération doit être modifiée dans un Bloc-notes ou une autre application exécutée en tant qu’administrateur.

Inscrire la passerelle auprès du groupe d’administration

Pour éviter les problèmes ultérieurs, il est important d’inscrire et d’approuver la machine de passerelle prévue en tant que passerelle avant l’installation. Sinon, nous exécutons le risque que la passerelle soit récupérée en tant qu’agent.

Ces étapes doivent être effectuées à partir d’un serveur d’administration, de préférence votre serveur principal ou « RMSE ».

1. Il existe un exécutable inclus dans le support d’installation d’Operations Manager appelé « Microsoft.EnterpriseManagement.GatewayApprovalTool.exe », qui se trouve dans le support d’installation sous ..\SupportTools\amd64\.

2. Une fois localisé, copiez cet exécutable et le fichier de configuration portant le même nom dans le chemin d’installation sous : %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Ouvrez une invite de commandes en tant qu’administrateur et accédez au répertoire d’installation d’Operations Manager. (Ex. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Utilisez la commande suivante pour inscrire la passerelle prévue en tant que passerelle, veillez à remplacer les noms de serveurs par vos propres :

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Remarque

   Si vous souhaitez empêcher le serveur de passerelle de lancer la communication avec un serveur d’administration, incluez le paramètre /ManagementServerInitiatesConnection=True tel qu’il est utilisé dans la commande suivante. Sinon, par défaut, la communication démarre à partir de la passerelle elle-même. Cela est utile si vous souhaitez empêcher tout accès entrant au domaine principal du réseau où réside la passerelle.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Si l’approbation réussit, le message The approval of server <GatewayFQDN> completed successfully. est retourné.

6. Si vous devez supprimer le serveur de passerelle du groupe d’administration, exécutez la même commande, mais remplacez /Action=Create l’indicateur /Action=Delete .

7. Ouvrez la console Opérateur dans la vue Surveillance. Sélectionnez l’affichage Inventaire découvert pour voir que le serveur de passerelle est présent. Il doit également être visible sous Administration > Gestion des appareils > Serveurs d’administration.

Processus d’installation

Une fois que le serveur de passerelle prévu est inscrit auprès du groupe d’administration, il est temps d’installer le rôle sur la nouvelle passerelle.

Remarque

Une installation échoue lors du démarrage de Windows Installer (par exemple, l’installation d’un serveur de passerelle en double-cliquant sur MOMGateway.msi) si la stratégie de sécurité locale « Contrôle de compte d’utilisateur : Exécuter tous les administrateurs en mode d’approbation administrateur » est activée.

Conseil

Si vous rencontrez des problèmes lors de l’installation, les journaux se trouvent ici : %LocalAppData%\SCOM\Logs

Installer à l’aide de l’interface utilisateur utilisateur

Procédez comme suit pour installer le serveur de passerelle :

1. Connectez-vous au serveur de passerelle avec les droits d’administrateur.
2. À partir du support d’installation d’Operations Manager, démarrez Setup.exe.
3. Dans la zone Installer , sélectionnez le lien du serveur d’administration de passerelle (et non le lien « Installer » volumineux, vers le bas de la fenêtre).
4. Dans l’écran Bienvenue, sélectionnez Suivant.
5. Dans la page Dossier de destination, acceptez la valeur par défaut, ou sélectionnez Modifier pour sélectionner un autre répertoire d’installation, puis sélectionnez Suivant.
6. Dans la page Configuration du groupe d’administration, entrez le nom du groupe d’administration cible dans le champ Nom du groupe d’administration, entrez le nom du serveur d’administration cible dans le champ Serveur d’administration, vérifiez que le champ Port du serveur d’administration est 5723, puis sélectionnez Suivant.
7. Dans la page Compte d’action de passerelle, sélectionnez l’option Compte système local, sauf si vous utilisez un compte d’action de passerelle basé sur un domaine ou local. Cliquez sur Suivant.
8. Dans la page Microsoft Update , indiquez éventuellement si vous souhaitez utiliser Microsoft Update, puis sélectionnez Suivant. (En règle générale, cette sélection doit être Non.)
9. Dans la page Prêt pour l'installation , sélectionnez Installer.
10. Dans la page Fin, sélectionnez Terminer.

Installer à l’aide de l’invite de commandes

Procédez comme suit pour installer le serveur de passerelle à partir de l’invite de commandes :

1. Connectez-vous au serveur de passerelle avec des droits d’administrateur.
2. Ouvrez la fenêtre d'invite de commandes au moyen de l'option Exécuter en tant qu'administrateur .
3. Exécutez la commande suivante, où path\to\Installer est le chemin d’accès du support d’installation. Le MOMGateway.msi se trouve dans le support d’installation d’Operations Manager sous ..\gateway\amd64\.

Conseil

Les caractères ^ permettent d’entrer plusieurs lignes dans la fenêtre de console et de modifier plus facilement, si cela ne fonctionne pas dans votre environnement, supprimez les caractères ^ et modifiez la commande pour qu’elle se trouve sur une ligne.

Si vous utilisez LocalSystem comme compte d’action :

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Si vous utilisez un utilisateur de domaine comme compte d’action :

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Important

Le mot de passe du compte d’action ne peut pas contenir de caractères « non valides » dans l’invite de commandes, par exemple : & < > ( ) @ ^ | ". Si c’est le cas, l’installation échoue car elle ne peut pas analyser la chaîne, modifiez le mot de passe pour ne pas contenir ces caractères, puis encapsulez-la entre guillemets doubles dans la commande elle-même.

Importer des certificats avec l’outil MOMCertImport.exe

Effectuez cette opération sur chaque passerelle et serveur d’administration, ainsi que tous les ordinateurs clients qui doivent être gérés par l’agent dans un groupe de travail.

1. Vérifiez que les certificats sont installés avant de continuer
2. Recherchez le fichier MOMCertImport.exe situé dans le support d’installation sous ..\SupportTools\amd64\
3. Copiez ce fichier dans le répertoire racine du serveur cible ou dans le répertoire d’installation d’Operations Manager
   • Par exemple : %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Ouvrez une invite de commandes en tant qu’administrateur et remplacez le répertoire par le répertoire où MOMCertImport.exe est.
   • Par exemple : cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Exécutez ensuite la commande MOMCertImport.exe /SubjectName subjectNameFQDN, où « subjectNameFQDN » est l’objet défini sur le certificat.
   • Vous pouvez également exécuter MOMCertImport.exe sans arguments pour vous permettre de choisir un certificat dans une fenêtre contextuelle qui affiche les certificats dans le Magasin personnel de l’ordinateur local.
6. En cas de réussite, le service Microsoft Monitoring Agent est redémarré et eventID 20053 est enregistré dans le journal des événements Operations Manager. Si cet ID d’événement n’est pas présent, observez les détails de l’un de ces ID pour tout problème et apportez des corrections en conséquence : 20049,20050,20052,20066,20069,20077

Conseil

Une fois le certificat importé, vous pouvez voir une version mise en miroir de l’empreinte numérique dans le Registre ici : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configurer des serveurs de passerelle pour le basculement entre les serveurs d’administration

Par défaut, les serveurs de passerelle communiquent uniquement avec un seul serveur d’administration, leur serveur principal. Si cette connexion est perdue, la passerelle et tous les agents attachés s’affichent en gris dans la console et ne sont pas surveillés. Si vous avez plusieurs serveurs d’administration, nous pouvons éviter ce problème en configurant les serveurs d’administration vers utilisant la passerelle jusqu’à ce que le serveur principal soit à nouveau disponible. Pour configurer un basculement :

Nous utilisons l’applet de commande Set-SCOMParentManagementServer dans l’interpréteur de commandes Operations Manager, comme illustré dans l’exemple suivant, pour configurer un serveur de passerelle pour basculer vers plusieurs serveurs d’administration. Les commandes peuvent être exécutées à partir de n’importe quel interpréteur de commandes dans le groupe d’administration.

1. Connectez-vous à un serveur d’administration à l’aide d’un compte membre du rôle Administrateurs Operations Manager.

2. Dans le menu Démarrer, exécutez Operations Manager Shell sous le dossier « Microsoft System Center ».

3. Dans la console, exécutez les commandes suivantes :

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Remarque

   Vous ne pouvez pas définir un serveur de basculement comme le serveur principal sans modifier le serveur principal en même temps ou en premier. Si vous souhaitez modifier le principal et le définir sur une base secondaire, utilisez les commandes suivantes :

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Chaîner plusieurs serveurs de passerelle

Bien qu’il soit rare, il est parfois nécessaire de chaîner plusieurs passerelles afin de surveiller plusieurs limites non approuvées. Cette section explique comment chaîner plusieurs passerelles ensemble.

Remarque

• Vous devez installer une passerelle à la fois et vérifier que chaque passerelle nouvellement installée est configurée correctement et s’affiche comme saine dans la console SCOM avant d’ajouter une autre passerelle dans la chaîne.
• Lorsque vous ajoutez la fin de la chaîne aux passerelles au même pool de ressources, ne configurez pas le basculement vers l’autre chaîne à l’aide de la commande Set-SCOMParentManagementServer . Dans un tel scénario, le pool ne fonctionne pas comme prévu. Pour que la configuration du basculement et le pool de ressources fonctionnent ensemble, l’extrémité de la passerelle de la chaîne doit avoir le même parent.

Pour configurer une chaîne de passerelle, nous utilisons l’outil Microsoft.EnterpriseManagement.GatewayApprovalTool.exe comme nous l’avons fait pour le serveur de passerelle initial. Toutefois, cette fois, nous devons définir « ManagementServerName » comme serveur de passerelle en amont dans la chaîne. Par exemple, si GW02 va se connecter à GW01, GW01 est le « ManagementServer » dans ce scénario.

1. Connectez-vous à l’un de vos serveurs d’administration dont gatewayApprovalTool est déjà configuré.

2. Ouvrez une invite de commandes en tant qu’administrateur et accédez au répertoire dans lequel l’outil est enregistré

3. Exécutez ensuite la commande ci-dessous pour approuver le serveur de passerelle en aval, en veillant à remplacer les noms de serveurs par vos propres :

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installez le rôle de passerelle sur un nouveau serveur.

5. Configurez les certificats entre GW01 et GW02 de la même façon que vous le feriez pour configurer des certificats entre une passerelle et un serveur d’administration. Le service d’intégrité ne peut charger et utiliser qu’un seul certificat. Par conséquent, le même certificat est utilisé par le parent et l’enfant de la passerelle dans la chaîne.

Étapes suivantes

Pour comprendre la séquence et les étapes d’installation des rôles serveur Operations Manager sur plusieurs serveurs de votre groupe d’administration, consultez Déploiement distribué d’Operations Manager.