Partilhar via


Instalar um servidor de gateway

Os servidores de gateway são normalmente usados para habilitar o monitoramento de computadores cliente que estão fora do limite de confiança Kerberos dos grupos de gerenciamento. No entanto, eles também podem ser usados no mesmo domínio se houver necessidade de dividir o ambiente devido à segmentação de rede ou para que agentes "distantes" se conectem ao grupo de gerenciamento.

Os agentes se comunicam diretamente com o servidor de gateway e o servidor de gateway se comunica com um ou mais servidores de gerenciamento. Vários servidores de gateway podem ser colocados em um único domínio para que os agentes possam fazer failover de um para o outro se perderem a comunicação com o gateway principal. Da mesma forma, um único servidor de gateway pode ser configurado para fazer failover entre servidores de gerenciamento para que não exista um único ponto de falha na cadeia de comunicação. O servidor gateway atua como um proxy para a comunicação do agente com o servidor de gerenciamento, permitindo que apenas uma porta seja aberta entre redes no lugar de muitas. Os certificados devem ser usados para estabelecer a identidade de cada computador quando estiver fora do limite de confiança Kerberos. Sem certificados, os sistemas podem se conectar, mas se recusam a se comunicar devido à impossibilidade de autenticar a conexão.

Antes de continuar, verifique se o servidor atende aos requisitos mínimos do sistema para o System Center – Operations Manager. Para obter mais informações, consulte Requisitos do sistema para o System Center Operations Manager.

Observação

Se suas políticas de segurança restringirem o TLS 1.0 e 1.1, a instalação de uma nova função de servidor de gateway do Operations Manager 2016 falhará porque a mídia de instalação não inclui as atualizações para dar suporte ao TLS 1.2. A única maneira de instalar essa função é habilitando o TLS 1.0 no sistema, aplicando o Pacote Cumulativo de Atualizações 4 e, em seguida, habilitando o TLS 1.2 no sistema.

Pré-requisitos

Há três coisas principais que precisamos ter prontas e em vigor antes de prosseguir com a instalação da função de gateway em um cenário padrão:

  1. Certificados precisam ser gerados para os servidores de gateway e de gerenciamento e instalados nos repositórios de certificados.
    • Se os servidores de gateway e cliente estiverem sendo usados em um cenário de grupo de trabalho, os clientes também precisarão de certificados.
  2. O servidor de gateway pretendido precisa ser "Aprovado" para ser um gateway dentro do grupo de gerenciamento antes da instalação.
  3. A porta 5723 deve ser aberta entre o gateway e o servidor de gerenciamento, conforme definido no guia aqui: Configurando um firewall para o Operations Manager

Certificados e resolução de nomes

  1. A implantação de servidores de gateway em domínios sem uma confiança transitiva bidirecional ou em um grupo de trabalho requer o uso de certificados para autenticação. Os servidores de gerenciamento primário e de failover precisam de um além do gateway que está se conectando a eles. Esses certificados podem vir de uma autoridade de certificação dos Serviços de Certificados da Microsoft ou de terceiros, se configurados corretamente para o Operations Manager. Se você precisar de ajuda para criar esses certificados, use o guia aqui: Obter um certificado para uso com Windows Servers e System Center Operations Manager

    Observação

    • Os servidores de gateway que estão no mesmo domínio ou em um limite de confiança compartilhado que o grupo de gerenciamento não exigem certificados.
    • Se o gateway e os agentes estiverem em um grupo de trabalho, precisaremos de certificados para cada servidor de gerenciamento, gateway e computador cliente que será monitorado, pois não há domínio em um grupo de trabalho para facilitar a autenticação de sistemas.
  2. A resolução de nomes confiável deve existir entre os computadores gerenciados por agente e o servidor gateway e entre o servidor gateway e o servidor de gerenciamento. Essa resolução de nomes normalmente é feita por meio do DNS. No entanto, se não for possível obter a resolução de nomes adequada por meio do DNS, talvez seja necessário criar manualmente entradas no arquivo hosts de cada computador.

    Importante

    As resoluções de nomes diretas e reversas são verificadas antes que a autenticação seja passada entre os servidores. Se recebermos um nome de host ou FQDN diferente ao verificar o endereço IP, a autenticação falhará.

    Dica

    O arquivo hosts está localizado no %SystemRoot%\system32\drivers\etc diretório e contém as instruções para configuração. Isso deve ser editado em um Bloco de Notas ou outro aplicativo executado como Administrador.

Registrar o gateway com o grupo de gerenciamento

Para evitar problemas posteriores, é importante registrar e aprovar o computador de gateway pretendido como um gateway antes da instalação, caso contrário, corremos o risco de o gateway ser selecionado como um agente.

Essas etapas devem ser executadas em um servidor de gerenciamento, preferencialmente seu servidor primário ou "RMSE".

  1. Há um executável incluído na mídia de instalação do Operations Manager chamado "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", que pode ser encontrado na mídia de instalação em ..\SupportTools\amd64\.

  2. Uma vez localizado, copie esse executável e o arquivo de configuração com o mesmo nome para o caminho de instalação em: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

  3. Abra um Prompt de Comando como administrador e navegue até o diretório de instalação do Operations Manager. (ex. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

  4. Use o seguinte comando para registrar o gateway pretendido como um gateway, certifique-se de substituir os nomes do servidor pelos seus:

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
    

    Observação

    Se você quiser impedir que o servidor gateway inicie a comunicação com um servidor de gerenciamento, inclua o parâmetro /ManagementServerInitiatesConnection=True conforme usado no comando a seguir. Caso contrário, por padrão, a comunicação será iniciada a partir do próprio gateway. Isso é útil se você quiser impedir qualquer acesso de entrada ao domínio primário da rede em que o gateway reside.

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
    
  5. Se a aprovação for bem-sucedida, a mensagem The approval of server <GatewayFQDN> completed successfully. será retornada.

  6. Se você precisar remover o servidor de gateway do grupo de gerenciamento, execute o mesmo comando, mas substitua o /Action=Delete sinalizador/Action=Create.

  7. Abra o console de Operações no modo de exibição Monitoramento. Selecione a exibição Inventário descoberto para ver se o servidor de gateway está presente. Ele também deve ser visível em Servidores de gerenciamento de gerenciamento de > dispositivos de administração>.

Processo de instalação

Depois que o servidor de gateway pretendido for registrado no grupo de gerenciamento, é hora de instalar a função no novo gateway.

Observação

Uma instalação falhará ao iniciar o Windows Installer (por exemplo, instalando um servidor de gateway clicando duas vezes em MOMGateway.msi) se a política de segurança local "Controle de Conta de Usuário: Executar todos os administradores no Modo de Aprovação de Administrador" estiver habilitada.

Dica

Se você tiver problemas durante a instalação, os logs estão localizados aqui: %LocalAppData%\SCOM\Logs

Siga estas etapas para instalar o servidor de gateway:

  1. Entre no servidor de gateway com direitos de administrador.
  2. Na mídia de instalação do Operations Manager, inicie Setup.exe.
  3. Na área Instalar, selecione o link do servidor de gerenciamento do Gateway (não o link grande "Instalar", na parte inferior da janela).
  4. Na tela de Boas-Vindas, selecione Avançar.
  5. Na página Pasta de Destino , aceite o padrão ou selecione Alterar para selecionar um diretório de instalação diferente e selecione Avançar.
  6. Na página Configuração do Grupo de Gerenciamento, insira o nome do grupo de gerenciamento de destino no campo Nome do Grupo de Gerenciamento, insira o nome do servidor de gerenciamento de destino no campo Servidor de Gerenciamento, verifique se o campo Porta do Servidor de Gerenciamento é 5723 e selecione Avançar.
  7. Na página Conta de Ação de Gateway, selecione a opção Conta do Sistema Local, a menos que você esteja usando uma conta de Ação de gateway baseada em domínio ou computador local. Selecione Avançar.
  8. Na página Microsoft Update, opcionalmente, indique se deseja usar o Microsoft Update e selecione Avançar. (Essa seleção deve ser normalmente não.)
  9. Na página Pronto para Instalar, selecione Instalar.
  10. Na página Concluindo , selecione Concluir.

Importar certificados com a ferramenta MOMCertImport.exe

Execute essa operação em cada gateway e servidor de gerenciamento, juntamente com todos os computadores cliente que devem ser gerenciados por agente em um grupo de trabalho.

  1. Certifique-se de que os certificados estejam instalados antes de continuar
  2. Localize o arquivo MOMCertImport.exe localizado na mídia de instalação em ..\SupportTools\amd64\
  3. Copie esse arquivo para o diretório raiz do servidor de destino ou para o diretório de instalação do Operations Manager
    • Por exemplo: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
  4. Abra um prompt de comando como administrador e altere o diretório para o diretório onde MOMCertImport.exe está.
    • Por exemplo: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
  5. Em seguida, execute o comando MOMCertImport.exe /SubjectName subjectNameFQDN, onde "subjectNameFQDN" é o assunto definido no certificado.
    • Você também pode executar MOMCertImport.exe sem nenhum argumento para permitir que você escolha um certificado em uma janela pop-up que mostra os certificados no Repositório Pessoal do Computador Local.
  6. Se for bem-sucedido, o serviço Microsoft Monitoring Agent será reiniciado e eventID 20053 será registrado no log de eventos do Operations Manager. Se esse eventID não estiver presente, observe os detalhes de uma dessas IDs para quaisquer problemas e faça as correções de acordo: 20049,20050,20052,20066,20069,20077

Dica

Depois que o certificado for importado com êxito, você poderá ver uma versão espelhada da impressão digital no registro aqui: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configurar servidores de gateway para failover entre servidores de gerenciamento

Por padrão, os servidores de gateway se comunicam apenas com um servidor de gerenciamento, seu primário. Se essa conexão for perdida, o gateway e todos os agentes conectados serão exibidos em cinza no console e não serão monitorados. Se você tiver vários servidores de gerenciamento, podemos evitar esse problema configurando servidores de gerenciamento para os quais o gateway pode fazer failover até que o primário esteja disponível novamente. Para configurar um failover:

Estamos usando o cmdlet Set-SCOMParentManagementServer no shell do Operations Manager, conforme mostrado no exemplo a seguir, para configurar um servidor de gateway para fazer failover para vários servidores de gerenciamento. Os comandos podem ser executados de qualquer Shell de Comando no grupo de gerenciamento.

  1. Entre em um servidor de gerenciamento usando uma conta que seja membro da função Administradores do Operations Manager.

  2. No Menu Iniciar, execute o Shell do Operations Manager na pasta "Microsoft System Center".

  3. No console, execute os seguintes comandos:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
    $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
    Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
    

    Observação

    Você não pode definir um servidor de failover para ser o mesmo que o servidor primário sem alterar o primário ao mesmo tempo ou primeiro. Se você quiser alterar o primário e defini-lo como secundário, use os seguintes comandos:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
    $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
    $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
    Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
    

Encadear vários servidores de gateway

Embora incomum, às vezes é necessário encadear vários gateways para monitorar vários limites não confiáveis. Esta seção descreve como encadear vários gateways.

Observação

  • Você deve instalar um gateway por vez e verificar se cada gateway recém-instalado está configurado corretamente e mostrando como íntegro no console do SCOM antes de adicionar outro gateway na cadeia.
  • Ao adicionar o fim da cadeia de gateways ao mesmo pool de recursos, não configure o failover para a outra cadeia usando o comando Set-SCOMParentManagementServer . Nesse cenário, o pool não funciona conforme o esperado. Para que a configuração de failover e o pool de recursos funcionem juntos, a extremidade do gateway da cadeia deve ter o mesmo pai.

Para configurar uma cadeia de gateway, utilizamos a ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe da mesma forma que fizemos para o servidor de gateway inicial. No entanto, desta vez, precisamos definir o "ManagementServerName" como o servidor de gateway upstream na cadeia. Por exemplo, se GW02 for se conectar a GW01, GW01 será o "ManagementServer" neste cenário.

  1. Entre em um dos servidores de gerenciamento que já tenha o GatewayApprovalTool configurado.

  2. Abra um prompt de comando como administrador e navegue até o diretório onde a ferramenta está salva

  3. Em seguida, execute o comando abaixo para aprovar o servidor de gateway downstream, garantindo a substituição dos nomes dos servidores pelos seus:

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
    
  4. Instale a função de gateway em um novo servidor.

  5. Configure os certificados entre GW01 e GW02 da mesma forma que você configuraria certificados entre um gateway e um servidor de gerenciamento. O Serviço de Integridade só pode carregar e usar um único certificado. Portanto, o mesmo certificado é usado pelo pai e filho do gateway na cadeia.

Próximas etapas

Para entender a sequência e as etapas para instalar as funções de servidor do Operations Manager em vários servidores em seu grupo de gerenciamento, consulte Implantação distribuída do Operations Manager.