Een gatewayserver installeren

Gatewayservers worden doorgaans gebruikt om bewaking mogelijk te maken van clientcomputers die zich buiten de grens van de Kerberos-vertrouwensrelatie van beheergroepen bevinden. Gateways zijn echter ook handig binnen hetzelfde domein, alsof er een vereiste is om het netwerk te segmenteren en het aantal geopende firewallpoorten te verminderen. Een ander scenario is het gebruik van gateways voor agents die te ver weg zijn om een beheerserver betrouwbaar te verbinden binnen het heartbeatinterval van vijf minuten.

Agents communiceren rechtstreeks met de gatewayserver en de gatewayserver communiceert met een of meer beheerservers. Meerdere gatewayservers kunnen in één domein worden geplaatst, zodat de agents een failover van het ene naar het andere kunnen uitvoeren als ze de communicatie met hun primaire gateway verliezen. Op dezelfde manier kan één gatewayserver worden geconfigureerd voor failover tussen beheerservers, zodat er geen single point of failure bestaat in de communicatieketen. De gatewayserver fungeert als proxy voor communicatie tussen agent-naar-beheerservers, waardoor slechts één poort kan worden geopend tussen netwerken in plaats van veel. Certificaten moeten worden gebruikt om de identiteit van elke computer vast te stellen wanneer deze zich buiten de grens van de Kerberos-vertrouwensrelatie bevinden. Zonder certificaten kunnen de systemen verbinding maken, maar weigeren te communiceren omdat de verbinding niet kan worden geverifieerd.

Voordat u doorgaat, moet u ervoor zorgen dat uw server voldoet aan de minimale systeemvereisten voor System Center - Operations Manager. Zie System Requirements for System Center Operations Managervoor meer informatie.

Notitie

Als uw beveiligingsbeleid TLS 1.0 en 1.1 beperkt, mislukt het installeren van een nieuwe Operations Manager 2016-gatewayserverfunctie omdat de installatiemedia de updates voor ondersteuning van TLS 1.2 niet bevat. De enige manier waarop u deze rol kunt installeren, is door TLS 1.0 in te schakelen op het systeem, updatepakket 4 toe te passen en vervolgens TLS 1.2 op het systeem in te schakelen.

Voorwaarden

Er zijn drie belangrijke onderdelen die we gereed moeten hebben en instellen voordat we doorgaan met de installatie van de gatewayrol in een standaardscenario.

1. Certificaten moeten worden gegenereerd voor de gateway- en beheerservers en moeten worden geïnstalleerd in de certificaatarchieven.
   • Als de gateway- en clientservers worden gebruikt in een werkgroepscenario, hebben de clients ook certificaten nodig.
2. De beoogde gatewayserver moet 'Goedgekeurd' zijn als gateway binnen de beheergroep vóór de installatie.
3. Poort 5723 moet worden geopend tussen de gateway en de beheerserver, zoals gedefinieerd in de handleiding: Een firewall configureren voor Operations Manager-

Certificaten en naamomzetting

1. Implementatie van gatewayservers in domeinen zonder een transitieve tweerichtingsvertrouwensrelatie of in een werkgroep vereist het gebruik van certificaten voor verificatie. De primaire en failoverbeheerservers hebben er een nodig naast de gateway die er verbinding mee maakt. Deze certificaten kunnen afkomstig zijn van een Microsoft Certificate Services-CA of een niet-Microsoft-CA, indien geconfigureerd voor Operations Manager. Als u hulp nodig hebt bij het maken van deze certificaten, gebruikt u de handleiding hier: Een certificaat verkrijgen voor gebruik met Windows-servers en System Center Operations Manager

   Notitie

   • Gatewayservers die zich in hetzelfde domein of binnen een gedeelde vertrouwensgrens als de beheergroep bevinden, vereisen geen certificaten.
   • Als de gateway en agents zich in een werkgroep bevinden, hebben we certificaten nodig voor elke beheerserver, gateway en clientcomputer, omdat er geen domein binnen een werkgroep is om de verificatie van systemen te vergemakkelijken.

2. Er moet een betrouwbare naamomzetting bestaan tussen de computers beheerd door agents en de gatewayserver, en tussen de gatewayserver en de beheerserver. Deze naamomzetting wordt meestal uitgevoerd via DNS. Als het echter niet mogelijk is om de juiste naamomzetting via DNS te verkrijgen, kan het nodig zijn om handmatig vermeldingen te maken in het hosts-bestand van elke computer.

   Belangrijk

   Voorwaartse en omgekeerde naamresoluties worden gecontroleerd voordat authenticatie tussen servers plaatsvindt. Als we een andere hostnaam of FQDN ontvangen bij het controleren van het IP-adres, mislukt de verificatie.

   Tip

   Het hosts-bestand, dat zich in de map %SystemRoot%\system32\drivers\etc bevindt, bevat de routebeschrijving voor configuratie. Dit bestand moet worden bewerkt in Notepad of een andere toepassing die onder beheerder wordt uitgevoerd.

De gateway registreren bij de beheergroep

Om latere problemen te voorkomen, is het belangrijk dat u de beoogde gatewaymachine voor de installatie registreert en goedkeurt. Anders lopen we het risico dat de gateway als een agent wordt gezien.

Deze stappen moeten worden uitgevoerd vanaf een beheerserver, bij voorkeur uw primaire of RMSE-server.

1. Er is een uitvoerbaar bestand opgenomen in de Operations Manager-installatiemedia met de naam 'Microsoft.EnterpriseManagement.GatewayApprovalTool.exe', die te vinden zijn in de installatiemedia onder ..\SupportTools\amd64\.

2. Kopieer dit uitvoerbare bestand en het configuratiebestand met dezelfde naam naar het installatiepad onder: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Open een opdrachtprompt als beheerder en navigeer naar de installatiemap van Operations Manager. (bijvoorbeeld cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Gebruik de volgende opdracht om de beoogde gateway te registreren. Zorg ervoor dat u de servernamen vervangt door uw eigen servernamen.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Notitie

   Als u wilt voorkomen dat de gatewayserver communicatie met een beheerserver start, gebruikt u de parameter /ManagementServerInitiatesConnection=True in de opdracht. De gateway initieert standaard communicatie, maar deze parameter is handig als u binnenkomende toegang tot het primaire domein wilt voorkomen vanuit het netwerk waar de gateway zich bevindt. Bijvoorbeeld:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Als de goedkeuring is geslaagd, wordt het bericht The approval of server <GatewayFQDN> completed successfully. geretourneerd.

6. Als u de gatewayserver uit de beheergroep wilt verwijderen, voert u dezelfde opdracht uit, maar vervangt u /Action=Create door de vlag /Action=Delete.

7. Open de Operationsconsole voor de bewakingsweergave. Selecteer de weergave Gedetecteerde inventaris om te zien dat de gatewayserver aanwezig is. Het moet ook zichtbaar zijn onder Beheer > Apparaatbeheer > Beheerservers.

Installatieproces

Zodra de beoogde gatewayserver is geregistreerd bij de beheergroep, is het tijd om de rol op de nieuwe gateway te installeren.

Notitie

Een installatie mislukt bij het starten van Windows Installer (bijvoorbeeld door een gatewayserver te installeren door te dubbelklikken op MOMGateway.msi) als het lokale beveiligingsbeleid 'Gebruikersaccountbeheer: Alle beheerders uitvoeren in de modus Door administrator goedkeuren' is ingeschakeld.

Tip

Als u problemen ondervindt tijdens de installatie, bevinden de logboeken zich hier: %LocalAppData%\SCOM\Logs

installeren met behulp van de GUI-

Volg deze stappen om de gatewayserver te installeren:

1. Meld u aan bij de gatewayserver met beheerdersrechten.

2. Start Setup.exevanaf de Operations Manager-installatiemedia.

3. Selecteer in het gebied Installeren de gateway-beheerserver koppeling (niet de grote koppeling 'Installeren' onderaan in het venster).

4. Selecteer op het scherm Welkom de optie Volgende.

5. Accepteer op de pagina Doelmap de standaardwaarde of selecteer Wijzigen om een andere installatiemap te selecteren, en selecteer Volgende.

6. Voer op de pagina Beheergroepconfiguratie de naam van de doelbeheergroep in het veld Naam van beheergroep, voer de naam van de doelbeheerserver in het veld Beheerserver in, controleer of het veld Beheerserverpoort is 5723en selecteer Volgende.

7. Op de Gateway Actieaccount pagina, selecteer de Lokaal systeem account-optie, tenzij u een domeingebaseerd of lokaal computergebaseerd gateway Actieaccount gebruikt. Selecteer Volgende.

8. Geef op de pagina Microsoft Update desgewenst aan of u Microsoft Update wilt gebruiken en selecteer Volgende. (Normaal gesproken moet deze selectie Nee zijn.)

9. Selecteer op de pagina Gereed om te installeren Installeren.

10. Selecteer op de pagina Voltooien de knop Voltooien.

installeren met de opdrachtprompt

Volg deze stappen om de gatewayserver te installeren vanaf de opdrachtprompt:

1. Meld u aan bij de gatewayserver met beheerdersrechten.
2. Open het opdrachtpromptvenster met behulp van de optie Als administrator uitvoeren.
3. Voer het volgende commando uit, waarbij pad\to\Installer het pad van de installatiemedia is. U vindt MOMGateway.msi in de Operations Manager-installatiemedia onder ..\gateway\amd64\.

Tip

Het ^ teken wordt gebruikt om invoer met meerdere regels in de opdrachtprompt toe te staan voor betere leesbaarheid en eenvoudiger bewerken. Als de opdracht niet werkt in uw omgeving, verwijdert u de ^ tekens en zorgt u ervoor dat de opdracht zich op één regel bevindt.

Als u LocalSystem als actieaccount gebruikt:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Als u een domeingebruiker gebruikt als actieaccount:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Belangrijk

Het wachtwoord van het actieaccount mag geen ongeldige tekens bevatten in de opdrachtprompt, zoals: & < > ( ) @ ^ | ". Als dit het geval is, mislukt de installatie omdat de tekenreeks niet kan worden geparseerd, wijzigt u het wachtwoord zodat het niet deze tekens bevat en verpakt u deze tussen dubbele aanhalingstekens binnen de opdracht zelf.

Certificaten importeren met het hulpprogramma MOMCertImport.exe

Voer deze bewerking uit op elke gateway en beheerserver, samen met clientcomputers die moeten worden beheerd door een agent in een werkgroep.

1. Zorg ervoor dat de certificaten zijn geïnstalleerd voordat u doorgaat
2. Zoek het MOMCertImport.exe bestand op de installatiemedia onder ..\SupportTools\amd64\
3. Kopieer dit bestand naar de hoofdmap van de doelserver of naar de installatiemap van Operations Manager
   • Bijvoorbeeld: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Open een opdrachtprompt als beheerder en wijzig de map in de map waarin MOMCertImport.exe zich bevindt.
   • Bijvoorbeeld: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Voer vervolgens de opdracht uit MOMCertImport.exe /SubjectName subjectNameFQDN, waarbij subjectNameFQDN het gedefinieerde onderwerp op het certificaat is.
   • U kunt ook MOMCertImport.exe uitvoeren zonder argumenten, zodat u een certificaat kunt kiezen in een pop-upvenster waarin de certificaten in het persoonlijke archief van de lokale machine worden weergegeven.
6. Als dit lukt, wordt de Microsoft Monitoring Agent-service opnieuw opgestart en wordt eventID 20053 geregistreerd in het Operations Manager-gebeurtenislogboek. Als deze eventID niet aanwezig is, bekijkt u de details van een van deze id's voor eventuele problemen en voert u de correcties dienovereenkomstig uit: 20049,20050,20052,20066,20069,20077

Fooi

Zodra het certificaat is geïmporteerd, ziet u hier een gespiegelde versie van de vingerafdruk in het register: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Gatewayservers configureren voor failover tussen beheerservers

Gatewayservers communiceren standaard alleen met één beheerserver, hun primaire server. Als deze verbinding is verbroken, worden de gateway en eventuele gekoppelde agents grijs weergegeven in de console en worden ze niet bewaakt. Als u meerdere beheerservers hebt, kunnen we dit probleem voorkomen door beheerservers te configureren waarnaar de gateway een failover kan uitvoeren totdat de primaire server weer beschikbaar is. Een failover configureren:

We gebruiken de cmdlet Set-SCOMParentManagementServer in de Operations Manager-shell, zoals wordt weergegeven in het volgende voorbeeld, om een gatewayserver te configureren voor failover naar meerdere beheerservers. De opdrachten kunnen worden uitgevoerd vanuit elke Opdrachtshell in de beheergroep.

1. Meld u aan bij een beheerserver met een account dat lid is van de rol Operations Manager-beheerders.

2. Voer in het startmenu de Operations Manager Shell uit onder de map Microsoft System Center.

3. Voer in de console de volgende opdrachten uit:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Notitie

   U kunt een failoverserver niet instellen op dezelfde als de primaire server zonder de primaire server tegelijkertijd te wijzigen of eerst. Als u de primaire server wilt wijzigen en deze wilt instellen op een secundaire, gebruikt u de volgende opdrachten:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Meerdere gateway-servers koppelen

Hoewel het ongebruikelijk is, is het soms nodig om meerdere gateways aan elkaar te koppelen om meerdere niet-vertrouwde grenzen te bewaken. In deze sectie wordt beschreven hoe u meerdere gateways aan elkaar koppelt.

Notitie

• Installeer slechts één gateway tegelijk. Controleer of elke nieuw geïnstalleerde gateway in orde wordt weergegeven in de Operations Manager-console voordat u een andere gateway aan de keten toevoegt.
• Wanneer u gateways aan het einde van de keten toevoegt aan dezelfde resourcegroep, failover niet naar een andere keten configureren met behulp van de opdracht Set-SCOMParentManagementServer. In een dergelijk scenario werkt de pool niet zoals verwacht. Voor de failoverconfiguratie en het functioneren van de resourcepool samen moet het gatewayeinde van de keten dezelfde bovenliggende entiteit hebben.

Voor het configureren van een gatewayketen gebruiken we het hulpprogramma Microsoft.EnterpriseManagement.GatewayApprovalTool.exe net als voor de eerste gatewayserver. Deze keer moeten we echter de 'ManagementServerName' instellen als de upstream-gatewayserver in de keten. Als GW02 bijvoorbeeld verbinding gaat maken met GW01, is GW01 in dit scenario de 'ManagementServer'.

1. Meld u aan bij een van uw beheerservers waarop de GatewayApprovalTool al is ingesteld.

2. Open een opdrachtprompt als beheerder en navigeer naar de map waarin het hulpprogramma is opgeslagen

3. Voer vervolgens de volgende opdracht uit om de downstreamgatewayserver goed te keuren en ervoor te zorgen dat u de servernamen vervangt door uw eigen servernamen:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installeer de gatewayfunctie op een nieuwe server.

5. Configureer de certificaten tussen GW01 en GW02 op dezelfde manier als u certificaten tussen een gateway en een beheerserver zou configureren. Health Service kan slechts één certificaat laden en gebruiken. Daarom wordt hetzelfde certificaat gebruikt door de bovenliggende en onderliggende gateway in de keten.

Volgende stappen

Zie Gedistribueerde implementatie van Operations Manager-voor meer informatie over de volgorde en stappen voor het installeren van de Operations Manager-serverfuncties op meerdere servers in uw beheergroep.