Delen via

Active Directory-integratie configureren en gebruiken voor agenttoewijzing

  • Artikel

Met System Center Operations Manager kunt u profiteren van uw investering in Active Directory Domain Services (AD DS) door deze te gebruiken om door agents beheerde computers toe te wijzen aan beheergroepen. Dit artikel helpt u bij het maken en beheren van de configuratie van de container in Active Directory en het toewijzen van agents die aan beheerservers moeten rapporteren.

Een Active Directory Domain Services-container maken voor een beheergroep

U kunt de volgende opdrachtregelsyntaxis en -procedure gebruiken om een AD DS-container (Active Directory Domain Service) te maken voor een System Center - Operations Manager-beheergroep. De MOMADAdmin.exe wordt voor dit doel geleverd en samen met de Operations Manager-beheerserver geïnstalleerd. MOMADAdmin.exe moet worden uitgevoerd door een beheerder van het opgegeven domein.

opdrachtregelsyntaxis:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Belangrijk

U moet een waarde tussen aanhalingstekens plaatsen als de waarde een spatie bevat.

  • ManagementGroupName is de naam van de beheergroep waarvoor een AD-container wordt gemaakt.

  • MOMAdminSecurityGroup is een domeinbeveiligingsgroep, domein\security_group formaat, die lid is van de beveiligingsrol voor de Operations Managers Beheerders van de beheergroep.

  • RunAsAccount: dit is het domeinaccount dat door de beheerserver wordt gebruikt voor het lezen, schrijven en verwijderen van objecten in AD. Gebruik de notatie domein\gebruikersnaam.

  • domein is de naam van het domein waarin de beheergroepcontainer wordt gemaakt. MOMADAdmin.exe kan alleen tussen domeinen worden uitgevoerd als er een tweerichtingsvertrouwensrelatie tussen deze bestaat.

Active Directory-integratie werkt alleen als de beveiligingsgroep een globale beveiligingsgroep is (als Active Directory-integratie moet functioneren in meerdere domeinen met tweerichtingsvertrouwensrelaties) of een lokale domeingroep (als Active Directory-integratie slechts in één domein wordt gebruikt)

Als u een beveiligingsgroep wilt toevoegen aan de groep Operations Manager-beheerders, gebruikt u de volgende procedure.

  1. Selecteer in de Operations-console Administration.

  2. Selecteer in de werkruimte BeheerGebruikersrollen onder Beveiliging.

  3. Selecteer in gebruikersrollenOperations Manager-beheerders en selecteer de actie Eigenschappen of klik met de rechtermuisknop op Operations Manager-beheerders en selecteer Eigenschappen.

  4. Selecteer toevoegen om het dialoogvenster Groep selecteren te openen.

  5. Selecteer de gewenste beveiligingsgroep en selecteer vervolgens OK om het dialoogvenster te sluiten.

  6. Selecteer OK om Gebruikersrol-Eigenschappente sluiten.

Notitie

U wordt aangeraden één beveiligingsgroep, die meerdere groepen kan bevatten, te gebruiken voor de rol Operations Manager-beheerders. Op die manier kunnen groepen en leden van groepen worden toegevoegd en verwijderd uit groepen zonder dat een domeinbeheerder handmatige stappen moet uitvoeren om ze lees- en verwijdermachtigingen toe te wijzen aan de container beheergroep.

Gebruik de volgende procedure om de AD DS-container te maken.

  1. Open een opdrachtprompt als beheerder.

  2. Voer bijvoorbeeld het volgende in bij de prompt:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Notitie

Het standaardpad is C:\Program Files\Microsoft System Center 2016\Operations Manager.

Notitie

Het standaardpad is C:\Program Files\Microsoft System Center\Operations Manager.

  1. In het voorgaande opdrachtregelvoorbeeld wordt het volgende uitgevoerd:

    1. Voer het hulpprogramma MOMADAdmin.exe uit vanaf de opdrachtregel.

    2. Maak de 'Message Ops' Beheergroep AD DS-container in de schemawortel van het AD DS-schema van het MessageDom-domein. Als u dezelfde AD DS-container voor beheergroepen in extra domeinen wilt maken, voert u MOMADAdmin.exe uit voor elk domein.

    3. Voeg de MessageDom\MessageADIntAcct domeingebruikersaccount toe aan de MessageDom\MessageOMAdmins AD DS-beveiligingsgroep en wijs de beveiligings-AD DS-groep de rechten toe die nodig zijn om de AD DS-container te beheren.

Active Directory Domain Services gebruiken om computers toe te wijzen aan beheerservers

De wizard voor toewijzing en failover van Operations Manager-agents maakt een agenttoewijzingsregel die gebruikmaakt van Active Directory Domain Services (AD DS) om computers toe te wijzen aan een beheerregeling en om de primaire beheerserver en secundaire beheerservers van de computers toe te wijzen. Gebruik de volgende procedures om de wizard te starten en te gebruiken.

Belangrijk

De Active Directory Domain Services-container voor de beheergroep moet worden gemaakt voordat u de wizard Agenttoewijzing en Failover gebruikt.

De wizard voor agenttoewijzing en failover ondersteunt de agent niet. U moet de agent handmatig implementeren op de computers met behulp van MOMAgent.msi.

Als u de regel voor agenttoewijzing wijzigt, kan dit ertoe leiden dat computers niet langer worden toegewezen aan de beheergroep en dus niet meer door hen worden bewaakt. De status van deze computers verandert in critische, omdat de computers geen heartbeats meer naar de beheergroep verzenden. Deze computers kunnen worden verwijderd uit de beheergroep en als de computer niet is toegewezen aan andere beheergroepen, kan de Operations Manager-agent worden verwijderd.

Start de Wizard Toewijzing en Failover voor Operations Manager-agent

  1. Meld u aan bij de computer met een account dat lid is van de rol Operations Manager-beheerders.

  2. Selecteer Administrationin de beheerdersconsole.

  3. Selecteer in de beheerwerkruimte Beheerservers.

  4. Klik in het deelvenster Beheerservers met de rechtermuisknop op de beheerserver of gatewayserver die als primaire beheerserver is aangewezen voor de computers die door de regels, die u in de volgende procedure maakt, worden teruggegeven, en selecteer vervolgens Eigenschappen.

    Notitie

    Gatewayservers werken als beheerservers in deze context.

  5. Selecteer in het dialoogvenster Eigenschappen van de beheer server het tabblad Automatische Agenttoewijzing en selecteer vervolgens Toevoegen om de wizard Agenttoewijzing en Failover te starten.

  6. In de wizard Agenttoewijzing en failover, selecteer op de pagina Inleiding de knop Volgende.

    Notitie

    De pagina Inleiding wordt niet weergegeven als de wizard is uitgevoerd en Deze pagina niet meer weergeven is geselecteerd.

  7. Doe het volgende op de Domein-pagina:

    Notitie

    Als u computers van meerdere domeinen wilt toewijzen aan een beheergroep, voert u de Agent Assignment and Failover Wizard uit voor elk domein.

    • Selecteer het domein van de computers uit de vervolgkeuzelijst domeinnaam. De beheerserver en alle computers in de AD Agent-toewijzingsresourcegroep moeten in staat zijn de domeinnaam op te lossen.

      Belangrijk

      De beheerserver en de computers die u wilt beheren, moeten zich in domeinen bevinden die onderling vertrouwen.

    • Stel Selecteer Uitvoeren als-profiel in op het Uitvoeren als-profiel dat gekoppeld is aan het Uitvoeren als-account verstrekt toen MOMADAdmin.exe voor het domein werd uitgevoerd. Het standaardaccount dat wordt gebruikt om agenttoewijzing uit te voeren, is het standaardactieaccount dat is opgegeven tijdens de installatie, ook wel het toewijzingsaccount voor active Directory-agents genoemd. Dit account vertegenwoordigt referenties die worden gebruikt bij het maken van verbinding met de Active Directory van het opgegeven domein en het wijzigen van Active Directory-objecten, en moet overeenkomen met het account dat is opgegeven bij het uitvoeren van MOMAdmin.exe. Als dit niet het account was dat is gebruikt om MOMADAdmin.exeuit te voeren, selecteert u Een ander account gebruiken om agenttoewijzing uit te voeren in het opgegeven domein, en selecteert of maakt u vervolgens het account in de vervolgkeuzelijst Uitvoeren als-profiel selecteren. Het Active Directory-gebaseerde agenttoewijzingsaccount-profiel moet worden geconfigureerd om een Operations Manager-beheerdersaccount te gebruiken, dat wordt gedistribueerd naar alle servers in de AD Agent Assignment resourcepool.

      Notitie

      Zie Run As-accounts en Run As-profielen beherenvoor meer informatie over Run As-profielen en Run As-accounts.

  8. Typ op de pagina Insluitingscriteria de LDAP-query in om computers aan deze server toe te wijzen in het tekstvak en klik vervolgens op Volgende, of selecteer Configureren. Als u configureren selecteert, gaat u als volgt te werk:

    1. Voer in het dialoogvenster Computers zoeken de gewenste criteria in voor het toewijzen van computers aan deze beheerserver of voer uw specifieke LDAP-query in.

      De volgende LDAP-query retourneert alleen computers met het Windows Server-besturingssysteem en sluit domeincontrollers uit.

      (&(objectCategory=computer)(operatingsystem=*server*))

      Deze VOORBEELD LDAP-query retourneert alleen computers waarop het Windows Server-besturingssysteem wordt uitgevoerd. Het sluit domeincontrollers en servers waarop de beheerrol van de Operations Manager of Service Manager server draait, uit.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Zie Een queryfilter maken en Active Directory: LDAP-syntaxisfiltersvoor meer informatie over LDAP-query's.

    2. Selecteer OK-en selecteer vervolgens Volgende.

  9. Typ op de pagina Uitsluitingscriteria de FQDN van computers die u expliciet wilt uitsluiten van beheer door deze beheerserver en selecteer vervolgens Volgende.

    Belangrijk

    U moet de FQDN's van de computer die u typt scheiden met een puntkomma, dubbele punt of een nieuwe regel (CTRL+ENTER).

  10. Selecteer op de pagina Agentfailover de optie Failover automatisch beheren en selecteer maken of selecteer Failover handmatig configureren. Als u manueel failover configureert, doet u het volgende:

    1. Deactiveer de selectievakjes van de beheer servers waarvoor u geen failover van de agents wilt uitvoeren.

    2. Selecteer en maak.

      Notitie

      Met de optie Failover handmatig configureren, moet u de wizard opnieuw uitvoeren als u vervolgens een beheerserver aan de beheergroep toevoegt en wilt dat de agents een failover naar de nieuwe beheerserver uitvoeren.

  11. Selecteer OKin het Eigenschappen van Beheerserver dialoogvenster -.

Notitie

Het kan maximaal één uur duren voordat de agenttoewijzingsinstelling is doorgegeven in AD DS.

Wanneer voltooid, wordt de volgende regel gemaakt in de beheergroep en richt zich op de AD-toewijzingsbronpool-klasse.

schermopname van de toewijzingsregel voor de AD-integratieagent.
Deze regel bevat de configuratiegegevens van de agenttoewijzing die u hebt opgegeven in de agenttoewijzing en failoverwizard, zoals de LDAP-query.

Als u wilt controleren of de beheergroep de informatie in Active Directory heeft gepubliceerd, zoekt u naar gebeurtenis-id 11470 uit de bronstatusservicemodules in het gebeurtenislogboek van Operations Manager op de beheerserver waarop de regel voor agenttoewijzing is gedefinieerd. In de beschrijving moet worden vermeld dat het succesvol alle computers heeft toegevoegd die aan de agenttoewijzingsregel zijn verbonden.

Schermopname van het succesvolle toewijzingsevenement van de AD-integratieagent.

In Active Directory, onder de OperationsManager<ManagementGroupName> container, ziet u de SCP-objecten (Service Connection Point) die vergelijkbaar zijn met het volgende voorbeeld.

Schermafbeelding van de toewijzing van AD objecten aan de AD-integratieagent.

De regel maakt ook twee beveiligingsgroepen met de naam van de NetBIOS-naam van de beheerserver: de eerste met het achtervoegsel '_PrimarySG<willekeurig getal>', en de tweede '_SecondarySG<willekeurig getal>'. In dit voorbeeld zijn er twee beheerservers geïmplementeerd in de beheergroep, en het lidmaatschap van de primaire beveiligingsgroep ComputerB_Primary_SG_24901 omvat computers die overeenkomen met de inclusieregel die is gedefinieerd in uw agenttoewijzingsregel. Het lidmaatschap van de beveiligingsgroep ComputerA_Secondary_SG_38838 omvat de primaire groep ComputerB_Primary_SG-29401 beveiligingsgroep met het computeraccount van agents die zouden overstappen naar deze secundaire beheerserver als de primaire beheerserver niet reageert. De SCP-naam is de NetBIOS-naam van de beheerserver met het achtervoegsel '_SCP'.

Notitie

In dit voorbeeld worden alleen objecten van één beheergroep weergegeven en niet van andere beheergroepen die kunnen bestaan en die ook zijn geconfigureerd met AD-integratie.

Handmatige agentimplementatie met Active Directory-integratie-instelling

Hieronder ziet u een voorbeeld van de opdrachtregel om de Windows-agent handmatig te installeren waarvoor Active Directory-integratie is ingeschakeld.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

De Active Directory-integratie-instelling voor een agent wijzigen

U kunt de volgende procedure gebruiken om de Active Directory-integratie-instelling voor een agent te wijzigen.

  1. Dubbelklik op de door de agent beheerde computer in het Configuratiescherm op Microsoft Monitoring Agent.

  2. Gebruik het tabblad Operations Manager om de optie Automatisch bijwerken van toewijzingen van beheergroepen uit AD DSaan of uit te vinken. Als u deze optie selecteert, voert de agent bij het opstarten van de agent een query uit op Active Directory voor een lijst met beheergroepen waaraan deze is toegewezen. Deze beheergroepen worden, indien van toepassing, toegevoegd aan de lijst. Als u deze optie uitschakelt, worden alle beheergroepen die zijn toegewezen aan de agent in Active Directory uit de lijst verwijderd.

  3. Selecteer OK.

Active Directory integreren met niet-vertrouwd domein

  1. Maak een gebruiker in een niet-vertrouwd domein met machtigingen voor het lezen, schrijven en verwijderen van objecten in AD.
  2. Maak een beveiligingsgroep (lokaal of globaal domein). Voeg de gebruiker (gemaakt in stap 1) toe aan deze groep.
  3. Voer MOMAdAdmin.exe uit op het onbetrouwbare domein met de volgende parameters: <pad>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Maak een nieuw Uitvoeringsaccount in Operations Manager. Gebruik het account dat u in stap 1 hebt gemaakt. Zorg ervoor dat de domeinnaam is opgegeven met FQDN, niet netBIOS-naam (bijvoorbeeld: CONTOSO.COM\ADUser).
  5. Distribueer het account naar de AD-toewijzingsresourcepool.
  6. Maak een nieuw Run As-profiel in het standaard management pack. Als dit profiel wordt gemaakt in een ander management pack, moet u ervoor zorgen dat u het management pack verzegelt, zodat dit naar een ander management pack kan worden verwezen.
  7. Voeg het zojuist gemaakte 'Run As'-account toe aan dit profiel en richt het op de AD Assignment Resource Pool.
  8. Maak de Active Directory-integratieregels in Operations Manager.

Notitie

Na de integratie met een niet-vertrouwd domein geeft elke beheerserver het waarschuwingsbericht weer Beveiligingsdatabase op de server beschikt niet over een computeraccount voor de vertrouwensrelatie van dit werkstation, wat aangeeft dat de validatie van het Run As-account dat voor de AD-toewijzing wordt gebruikt, is mislukt. Gebeurtenis-id 7000 of 1105 wordt gegenereerd in het Gebeurtenislogboek van Operations Manager. Deze waarschuwing heeft echter geen effect op de AD-toewijzing in een niet-vertrouwd domein.

Volgende stappen

Als u wilt weten hoe u de Windows-agent installeert vanuit de Operations-console, raadpleegt u Agent installeren in Windows met behulp van de wizard Detectie of om de agent vanaf de opdrachtregel te installeren, raadpleegt u Windows-agent handmatig installeren met MOMAgent.msi.