Instalowanie serwera bramy

Serwery bramy są zwykle używane do włączania monitorowania komputerów klienckich, które znajdują się poza granicą zaufania protokołu Kerberos grup zarządzania. Jednak bramy są również przydatne w tej samej domenie, gdy istnieje potrzeba segmentacji sieci i zmniejszenia liczby otwartych portów zapory. Innym scenariuszem jest użycie bram dla agentów, którzy są zbyt daleko, aby niezawodnie połączyć się z serwerem zarządzania w ciągu pięciominutowego interwału sygnału kontrolnego.

Agenci komunikują się bezpośrednio z serwerem bramy, a serwer bramy komunikuje się z co najmniej jednym serwerem zarządzania. Wiele serwerów bramy można umieścić w jednej domenie, dzięki czemu agenci mogą przejść w tryb failover z jednego do drugiego, jeśli utracą komunikację z bramą podstawową. Podobnie można skonfigurować pojedynczy serwer bramy do przełączania w tryb failover między serwerami zarządzania, aby żaden pojedynczy punkt awarii nie istniał w łańcuchu komunikacji. Serwer bramy działa jako serwer proxy komunikacji między serwerem zarządzania agentem, co umożliwia otwarcie tylko jednego portu między sieciami zamiast wielu. Certyfikaty muszą być używane do ustanawiania tożsamości każdego komputera poza granicą zaufania protokołu Kerberos. Bez certyfikatów systemy mogą się łączyć, ale odmawiają komunikacji z powodu niemożność uwierzytelnienia połączenia.

Przed kontynuowaniem upewnij się, że serwer spełnia minimalne wymagania systemowe programu System Center — Operations Manager. Aby uzyskać więcej informacji, zobacz Wymagania systemowe programu System Center Operations Manager.

Uwaga

Jeśli zasady zabezpieczeń ograniczają protokół TLS 1.0 i 1.1, instalowanie nowej roli serwera bramy programu Operations Manager 2016 kończy się niepowodzeniem, ponieważ nośnik instalacyjny nie zawiera aktualizacji obsługujących protokół TLS 1.2. Jedynym sposobem instalacji tej roli jest włączenie protokołu TLS 1.0 w systemie, zastosowanie pakietu zbiorczego aktualizacji 4, a następnie włączenie protokołu TLS 1.2 w systemie.

Wymagania wstępne

Przed kontynuowaniem instalacji roli bramy w standardowym scenariuszu należy przygotować trzy główne elementy:

1. Certyfikaty muszą być generowane dla serwerów bramy i zarządzania oraz instalowane w magazynach certyfikatów.
   • Jeśli brama i serwery klienckie są używane w scenariuszu grupy roboczej, klienci również potrzebują certyfikatów.
2. Docelowy serwer bramy musi być „Zatwierdzony”, aby przed instalacją był bramą w grupie zarządzania.
3. Port 5723 musi być otwarty między bramą a serwerem zarządzania zgodnie z definicją w przewodniku tutaj: Konfigurowanie zapory dla programu Operations Manager

Certyfikaty i rozpoznawanie nazw

1. Wdrożenie serwerów bramy w domenach bez dwukierunkowego zaufania lub w grupie roboczej wymaga użycia certyfikatów do uwierzytelniania. Serwery zarządzania podstawowego i trybu failover wymagają jednego oprócz bramy, która łączy się z nimi. Te certyfikaty mogą pochodzić z urzędu certyfikacji usług certyfikatów firmy Microsoft lub urzędu certyfikacji innego niż Microsoft, jeśli zostały prawidłowo skonfigurowane dla programu Operations Manager. Jeśli potrzebujesz pomocy przy tworzeniu tych certyfikatów, skorzystaj z przewodnika w tym artykule: Uzyskiwanie certyfikatu do użycia z systemami Windows Server i programem System Center Operations Manager

   Uwaga

   • Serwery bramy, które znajdują się w tej samej domenie lub w obrębie wspólnej granicy zaufania co grupa zarządzania, nie wymagają certyfikatów.
   • Jeśli brama i agenci znajdują się w grupie roboczej, potrzebujemy certyfikatów dla każdego serwera zarządzania, bramy i komputera klienckiego, ponieważ nie ma domeny w grupie roboczej, aby ułatwić uwierzytelnianie systemów.

2. Niezawodne rozpoznawanie nazw musi istnieć między komputerami zarządzanymi przez agenta a serwerem bramy oraz między serwerem bramy a serwerem zarządzania. To rozpoznawanie nazw jest zwykle wykonywane za pośrednictwem systemu DNS. Jeśli jednak nie można uzyskać prawidłowego rozpoznawania nazw za pośrednictwem systemu DNS, może być konieczne ręczne utworzenie wpisów w pliku hostów każdego komputera.

   Ważne

   Rozwiązywanie nazw do przodu i wstecz jest sprawdzane przed przekazywaniem uwierzytelniania między serwerami. Jeśli podczas sprawdzania adresu IP otrzymamy inną nazwę hosta lub nazwę FQDN, uwierzytelnianie zakończy się niepowodzeniem.

   Napiwek

   Plik hosts, który znajduje się w katalogu %SystemRoot%\system32\drivers\etc, zawiera wskazówki dotyczące konfiguracji. Ten plik musi być edytowany w Notatniku lub w innej aplikacji uruchomionej jako administrator.

Rejestrowanie bramy w grupie zarządzania

Aby zapobiec późniejszym problemom, ważne jest zarejestrowanie i zatwierdzenie zamierzonej maszyny bramy jako bramy przed instalacją. W przeciwnym razie ryzykujemy odebranie bramy jako agenta.

Te kroki należy wykonać z serwera zarządzania, najlepiej z serwera podstawowego lub "RMSE".

1. Istnieje plik wykonywalny dołączony do nośnika instalacyjnego programu Operations Manager o nazwie "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", który można znaleźć na nośniku instalacyjnym w obszarze ..\SupportTools\amd64\.

2. Po zlokalizowaniu skopiuj ten plik wykonywalny i plik konfiguracji o tej samej nazwie do ścieżki instalacji poniżej: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Otwórz wiersz polecenia jako administrator i przejdź do katalogu instalacyjnego programu Operations Manager. (np. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Użyj następującego polecenia, aby zarejestrować bramę przeznaczoną jako bramę, aby zastąpić nazwy serwerów własnymi:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Uwaga

   Aby uniemożliwić serwerowi bramy inicjowanie komunikacji z serwerem zarządzania, użyj parametru /ManagementServerInitiatesConnection=True w poleceniu . Domyślnie brama inicjuje komunikację, ale ten parametr jest przydatny, jeśli chcesz uniknąć dostępu przychodzącego do domeny podstawowej z sieci, w której znajduje się brama. Na przykład:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Jeśli zatwierdzenie zakończy się pomyślnie, zostanie zwrócony komunikat The approval of server <GatewayFQDN> completed successfully. .

6. Jeśli musisz usunąć serwer bramy z grupy zarządzania, uruchom to samo polecenie, ale zastąp /Action=Create flagę /Action=Delete .

7. Otwórz konsolę Operacje w widoku Monitorowanie. Wybierz widok Odnaleziony spis, aby zobaczyć, że serwer bramy jest obecny. Powinna być również widoczna w obszarze Administracja > Zarządzanie urządzeniami > Serwerów zarządzania.

Proces instalacji

Po zarejestrowaniu zamierzonego serwera bramy w grupie zarządzania należy zainstalować rolę w nowej bramie.

Uwaga

Instalacja kończy się niepowodzeniem przy próbie uruchomienia Instalatora Windows (na przykład instalacji serwera bramy przez dwukrotne kliknięcie MOMGateway.msi), jeśli włączono lokalne zasady zabezpieczeń "Kontrola Konta Użytkownika: Uruchom wszystkich administratorów w trybie zatwierdzania przez administratora".

Napiwek

Jeśli podczas instalacji wystąpią problemy, dzienniki znajdują się tutaj: %LocalAppData%\SCOM\Logs

Instalowanie przy użyciu graficznego interfejsu użytkownika

Wykonaj następujące kroki, aby zainstalować serwer bramy:

1. Zaloguj się do serwera bramy przy użyciu praw Administrator.

2. Na nośniku instalacyjnym programu Operations Manager uruchom Setup.exe.

3. W obszarze Instalacja wybierz link Serwer zarządzania bramą (a nie duży link "Zainstaluj" w dolnej części okna).

4. Na ekranie powitalnym wybierz pozycję Dalej.

5. Na stronie Folder docelowy zaakceptuj wartość domyślną lub wybierz pozycję Zmień, aby wybrać inny katalog instalacyjny, a następnie wybierz przycisk Dalej.

6. Na stronie Konfiguracja grupy zarządzania wprowadź docelową nazwę grupy zarządzania w polu Nazwa grupy zarządzania, wprowadź docelową nazwę serwera zarządzania w polu Serwer zarządzania, sprawdź, czy pole Port serwera zarządzania ma wartość 5723, a następnie wybierz przycisk Dalej.

7. Na stronie Konto działania bramy wybierz opcję Konto systemu lokalnego, chyba że używasz konta działania bramy opartej na domenie lub komputerze lokalnym. Wybierz Dalej.

8. Na stronie Microsoft Update opcjonalnie wskaż, czy chcesz użyć usługi Microsoft Update, a następnie wybierz przycisk Dalej. (Zazwyczaj to zaznaczenie powinno mieć wartość Nie).

9. Na stronie Gotowość do zainstalowania wybierz pozycję Zainstaluj.

10. Na stronie Kończenie wybierz pozycję Zakończ.

Instalowanie przy użyciu wiersza polecenia

Wykonaj następujące kroki, aby zainstalować serwer bramy z poziomu wiersza polecenia:

1. Zaloguj się na serwerze bramy przy użyciu uprawnień administratora.
2. Otwórz okno wiersza polecenia przy użyciu opcji Uruchom jako administrator .
3. Uruchom następujące polecenie, gdzie path\to\Installer jest ścieżką nośnika instalacyjnego. MOMGateway.msi można znaleźć na nośniku instalacyjnym programu Operations Manager w obszarze ..\gateway\amd64\.

Napiwek

Znak ^ służy do zezwalania na wprowadzanie wielu wierszy w wierszu polecenia w celu zapewnienia lepszej czytelności i łatwiejszej edycji. Jeśli polecenie nie działa w danym środowisku, usuń znaki ^ i upewnij się, że polecenie znajduje się w jednym wierszu.

Jeśli używasz systemu lokalnego jako konta działania:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Jeśli używasz użytkownika domeny jako konta działania:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Ważne

Hasło konta działania nie może zawierać "niedozwolonych" znaków w wierszu polecenia, takich jak: & < > ( ) @ ^ | ". Jeśli tak się stanie, instalacja zakończy się niepowodzeniem, ponieważ nie może przeanalizować ciągu, zmienić hasło, aby nie zawierało tych znaków, a następnie opakowować je w cudzysłowy w samym poleceniu.

Importowanie certyfikatów za pomocą narzędzia MOMCertImport.exe

Wykonaj tę operację na każdym serwerze bramy i serwerze zarządzania wraz z komputerami klienckimi, które mają być zarządzane przez agenta w grupie roboczej.

1. Przed kontynuowaniem upewnij się, że certyfikaty są zainstalowane
2. Znajdź plik MOMCertImport.exe znajdujący się na nośniku instalacyjnym w obszarze..\SupportTools\amd64\
3. Skopiuj ten plik do katalogu głównego serwera docelowego lub do katalogu instalacyjnego programu Operations Manager
   • Na przykład: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Otwórz wiersz polecenia jako administrator i zmień katalog na katalog, w którym znajduje się MOMCertImport.exe.
   • Na przykład: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server.
5. Następnie uruchom polecenie MOMCertImport.exe /SubjectName subjectNameFQDN, gdzie "subjectNameFQDN" jest zdefiniowanym podmiotem w certyfikacie.
   • Można również uruchomić MOMCertImport.exe bez żadnych argumentów, aby umożliwić wybranie certyfikatu w oknie podręcznym, w którym są wyświetlane certyfikaty w magazynie osobistym komputera lokalnego.
6. Jeśli usługa Microsoft Monitoring Agent zostanie uruchomiona ponownie, a identyfikator zdarzenia 20053 zostanie zarejestrowany w dzienniku zdarzeń programu Operations Manager. Jeśli ten identyfikator zdarzenia nie jest obecny, sprawdź szczegóły jednego z tych identyfikatorów dla wszelkich problemów i odpowiednio wprowadź poprawki: 20049,20050,20052,20066,20069,20077

Napiwek

Po pomyślnym zaimportowaniu certyfikatu zobaczysz dublowaną wersję odcisku palca w rejestrze tutaj: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurowanie serwerów bramy na potrzeby trybu failover między serwerami zarządzania

Domyślnie serwery bramy komunikują się tylko z jednym serwerem zarządzania— ich podstawowym serwerem. Jeśli to połączenie zostanie utracone, brama i wszystkie dołączone agenty będą wyświetlane jako szare w konsoli programu i nie są monitorowane. Jeśli masz wiele serwerów zarządzania, możemy temu zapobiec, konfigurując serwery zarządzania, do których brama może przejść w tryb failover do momentu ponownego udostępnienia podstawowego. Aby skonfigurować tryb failover:

Używamy polecenia cmdlet Set-SCOMParentManagementServer w powłoce programu Operations Manager, jak pokazano w poniższym przykładzie, aby skonfigurować serwer bramy do trybu failover na wielu serwerach zarządzania. Polecenia można uruchamiać z dowolnej powłoki poleceń w grupie zarządzania.

1. Zaloguj się do serwera zarządzania przy użyciu konta, które jest członkiem roli Administratorzy programu Operations Manager.

2. W menu Start uruchom powłoka programu Operations Manager w folderze "Microsoft System Center".

3. W konsoli uruchom następujące polecenia:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Uwaga

   Nie można ustawić serwera zapasowego na taki sam jak serwer podstawowy bez wcześniejszej zmiany serwera podstawowego lub równoczesnej zmiany obu. Jeśli chcesz zmienić podstawową i ustawić ją na pomocniczą, użyj następujących poleceń:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Łączenie wielu serwerów bramy

Chociaż rzadko zdarza się, czasami konieczne jest łączenie wielu bram w celu monitorowania wielu niezaufanych granic. W tej sekcji opisano sposób łączenia wielu bram.

Uwaga

• Jednocześnie należy zainstalować tylko jedną bramę. Przed dodaniem kolejnej bramy w łańcuchu sprawdź, czy każda nowo zainstalowana brama jest wyświetlana jako w dobrej kondycji w konsoli programu Operations Manager.
• Podczas dodawania bram na końcu łańcucha do tej samej puli zasobów nie konfigurować trybu failover do innego łańcucha poleceniem Set-SCOMParentManagementServer. W takim scenariuszu pula nie będzie działać zgodnie z oczekiwaniami. Aby konfiguracja trybu failover i pula zasobów działała razem, koniec bramy łańcucha powinien mieć ten sam element nadrzędny.

Aby skonfigurować łańcuch bramy, używamy narzędzia Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tak samo jak w przypadku początkowego serwera bramy. Tym razem musimy jednak ustawić wartość "ManagementServerName" jako nadrzędny serwer bramy w łańcuchu. Jeśli na przykład gw02 zostanie nawiązane połączenie z bramą GW01, brama GW01 to "ManagementServer" w tym scenariuszu.

1. Zaloguj się na jednym z serwerów zarządzania, na których skonfigurowano już narzędzie GatewayApprovalTool.

2. Otwórz wiersz polecenia jako administrator i przejdź do katalogu, w którym jest zapisywane narzędzie

3. Następnie uruchom następujące polecenie, aby zatwierdzić serwer bramy podrzędnej, zapewniając zastąpienie nazw serwerów własnymi:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Zainstaluj rolę bramy na nowym serwerze.

5. Skonfiguruj certyfikaty między bramą GW01 i GW02 w taki sam sposób, jak w przypadku konfigurowania certyfikatów między bramą a serwerem zarządzania. Usługa kondycji może ładować tylko jeden certyfikat i używać go. W związku z tym ten sam certyfikat jest używany przez element nadrzędny i podrzędny bramy w łańcuchu.

Następne kroki

Aby zrozumieć sekwencję i kroki instalowania ról serwera programu Operations Manager na wielu serwerach w grupie zarządzania, zobacz Rozproszone wdrażanie programu Operations Manager.