Настройка и использование интеграции Active Directory для назначения агента

System Center Operations Manager позволяет воспользоваться преимуществами инвестиций в службы домен Active Directory (AD DS), позволяя использовать его для назначения управляемых агентом компьютеров группам управления. В этой статье объясняется, как создавать и управлять конфигурацией контейнеров в Active Directory, а также назначать агентам, к каким серверам управления они должны обращаться.

Создание контейнера служб домен Active Directory для группы управления

Для создания контейнера службы домен Active Directory (AD DS) для группы управления System Center — Operations Manager можно использовать следующий синтаксис командной строки и процедуру. MOMADAdmin.exe предоставляется для этой цели и устанавливается с сервером управления Operations Manager. MOMADAdmin.exe должен выполняться администратором указанного домена.

Синтаксис командной строки:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Внимание

Значение должно быть заключено в кавычки, если оно содержит пробел.

• ManagementGroupName — это имя группы управления, для которой создается контейнер AD.

• MOMAdminSecurityGroup — это группа безопасности домена, в формате домен\security_group, который входит в роль администраторов безопасности Operations Manager для управляющей группы.

• RunAsAccount: это учетная запись домена, которая будет использоваться сервером управления для чтения, записи и удаления объектов в AD. Используйте формат домен\имя_пользователя.

• Домен — это имя домена, в котором будет создан контейнер группы управления. MOMADAdmin.exe можно запускать между доменами только в том случае, если между ними существует двустороннее доверие.

Для обеспечения работы интеграции Active Directory группа безопасности должна быть глобальной группой безопасности (если интеграция Active Directory должна функционировать в нескольких доменах с двусторонним доверием) или локальной группой доменов (если интеграция Active Directory используется только в одном домене).

Чтобы добавить группу безопасности в группу администраторов Operations Manager, используйте следующую процедуру.

1. В консоли управления выберите "Администрирование".

2. В рабочей области администрирования выберите роли пользователей в разделе "Безопасность".

3. В Роли пользователей выберите "Администраторы Operations Manager" и выберите действие "Свойства" или щелкните правой кнопкой мыши "Администраторы Operations Manager" и выберите "Свойства".

4. Нажмите кнопку "Добавить", чтобы открыть диалоговое окно "Выбор группы".

5. Выберите нужную группу безопасности и нажмите кнопку "ОК ", чтобы закрыть диалоговое окно.

6. Нажмите кнопку "ОК", чтобы закрыть свойства роли пользователя.

Примечание.

Рекомендуется использовать одну группу безопасности, которая может включать несколько подгрупп, для роли администраторов Operations Manager. Таким образом, группы и члены групп можно добавлять и удалять из групп без необходимости, чтобы администратор домена вручную назначал им необходимые разрешения на чтение и удаление дочерних элементов в контейнере управляющей группы.

Чтобы создать контейнер AD DS, выполните следующую процедуру.

1. Откройте командную строку как администратор.

2. Например, введите следующее в командной строке:

   "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Примечание.

Путь по умолчанию — C:\Program Files\Microsoft System Center\Operations Manager.

3. Приведенный выше пример командной строки выполнит:

   1. Запустите программу MOMADAdmin.exe из командной строки.

   2. Создайте контейнер AD DS группы управления "Сообщения" в корневом каталоге схемы AD DS домена MessageDom. Чтобы создать один и тот же контейнер AD DS группы управления в дополнительных доменах, выполните MOMADAdmin.exe для каждого домена.

   3. Добавьте учетную запись пользователя домена MessageDom\MessageADIntAcct в группу безопасности MessageDom\MessageOMAdmins AD DS и назначьте группе доменных служб безопасности AD DS права, необходимые для управления контейнером AD DS.

Использование служб домен Active Directory для назначения компьютеров серверам управления

Мастер назначения агента Operations Manager и отработки отказа создает правило назначения агента, которое использует службы домен Active Directory (AD DS), чтобы назначить компьютеры группе управления и назначить первичный сервер управления компьютеров и вторичные серверы управления. Чтобы запустить и использовать мастер, используйте следующие процедуры.

Внимание

Перед запуском мастера назначения агента и отработки отказа необходимо создать контейнер служб домен Active Directory для группы управления.

Мастер назначения и резервирования агента не выполняет развертывание агента. Нужно самостоятельно вручную развернуть агента на компьютерах с помощью MOMAgent.msi.

Изменение правила назначения агента может привести к тому, что компьютеры перестают назначаться и, следовательно, больше не отслеживаются группой управления. Состояние этих компьютеров изменится на критическое, поскольку компьютеры больше не отправляют сигналы в группу управления. Эти компьютеры следует удалить из группы управления, и, если компьютер не назначен другим группам управления, агент Operations Manager следует деинсталлировать.

Запуск мастера назначения агента Operations Manager и переключения на резерв

1. Войдите на компьютер с учетной записью, которая входит в роль "Администраторы Operations Manager".

2. В консоли управления выберите Администрирование.

3. В рабочей области администрирования выберите "Серверы управления".

4. На панели "Серверы управления" щелкните правой кнопкой мыши сервер управления или сервер шлюза, чтобы быть основным сервером управления для компьютеров, возвращаемых правилами, созданными в следующей процедуре, и выберите "Свойства".

   Примечание.

   Серверы шлюза работают как серверы управления в этом контексте.

5. В диалоговом окне "Свойства сервера управления" перейдите на вкладку «Автоматическое назначение агента» и нажмите «Добавить» для запуска мастера назначения агента и отработки отказа.

6. В мастере назначения агентов и отработки отказа на странице Введение нажмите Далее.

   Примечание.

   Страница "Введение " не отображается, если мастер был запущен и не показывать эту страницу снова был выбран.

7. На странице домена сделайте следующее:

   Примечание.

   Чтобы назначить компьютеры из нескольких доменов группе управления, запустите Мастер назначения агента и отказоустойчивости для каждого домена.

   • Выберите домен компьютеров из раскрывающегося списка доменных имен . Сервер управления и все компьютеры в пуле ресурсов назначения агента AD должны иметь возможность разрешать доменное имя.

     Внимание

     Сервер управления и компьютеры, которыми требуется управлять, должны находиться в двухстороновых доверенных доменах.

   • Установите профиль запуска от имени на профиль, связанный с учетной записью запуска от имени, предоставленной при запуске MOMADAdmin.exe для домена. Учетная запись по умолчанию, используемая для назначения агента, — это учетная запись действия по умолчанию, указанная во время установки, также называемая учетной записью назначения агента Active Directory. Эта учетная запись представляет учетные данные, используемые при подключении к указанному домену Active Directory и изменении объектов Active Directory, и должны соответствовать учетной записи, указанной при запуске MOMAdmin.exe. Если это не учетная запись, используемая для запуска MOMADAdmin.exe, выберите другую учетную запись для выполнения назначения агента в указанном домене, а затем выберите или создайте учетную запись из раскрывающегося списка "Выбрать профиль запуска от имени ". Профиль учетной записи назначения агента на основе Active Directory должен быть настроен для использования учетной записи администратора Operations Manager, которая предоставляется всем серверам в пуле ресурсов назначения агента AD.

     Примечание.

     Дополнительные сведения о профилях запуска от имени и учетных записях запуска от имени см. в разделе "Управление учетными записями запуска от имени" и "Профили".

8. На странице "Критерии включения" введите запрос LDAP для назначения компьютеров этому серверу управления в текстовом поле, а затем нажмите кнопку "Далее" или нажмите кнопку "Настроить". Если выбрать "Настроить", сделайте следующее:

   1. В диалоговом окне "Поиск компьютеров" введите необходимые условия назначения компьютеров этому серверу управления или введите конкретный запрос LDAP.

      Следующий запрос LDAP возвращает только компьютеры под управлением операционной системы Windows Server и исключает контроллеры домена.

      (&(objectCategory=computer)(operatingsystem=*server*))

      В этом примере запрос LDAP возвращает только компьютеры под управлением операционной системы Windows Server. Он исключает контроллеры домена и серверы, на которых размещена роль управления сервером Operations Manager или Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Дополнительные сведения о LDAP-запросах см. в статьях Создание фильтра запроса и Active Directory: фильтры синтаксиса LDAP.

   2. Выберите ОК, затем выберите Далее.

9. На странице условий исключения введите полное доменное имя компьютеров, которые вы явно хотите запретить управлять этим сервером управления, а затем нажмите кнопку "Далее".

   Внимание

   Необходимо разделить полные доменные имена компьютеров, которые вы вводите, точкой с запятой, двоеточием или новой строкой (CTRL+ВВОД).

10. На странице Переключение агента на резерв выберите либо "Автоматическое управление переключением на резерв" и "Создать", либо "Ручное конфигурирование переключения на резерв". Если выбрать настройку переключения вручную, сделайте следующее:

    1. Снимите флажки серверов управления, на которые вы не хотите, чтобы агенты переносились в случае отказа.

    2. Нажмите кнопку создания.

       Примечание.

       При ручной настройке переключения на резервный сервер необходимо снова запустить мастер, если впоследствии в группу управления добавляется новый сервер управления и требуется переключение агентов на новый сервер.

11. В диалоговом окне "Свойства сервера управления" нажмите кнопку "ОК".

Примечание.

Для распространения параметра назначения агента в AD DS может потребоваться до одного часа.

По завершении создается следующее правило в группе управления, нацеленное на класс пула ресурсов AD.


Это правило включает сведения о конфигурации назначения агента, указанные в Мастер назначения агента и отработки отказа, например, запрос LDAP.

Чтобы убедиться, что группа управления успешно опубликовала свою информацию в Active Directory, найдите идентификатор события 11470 из источника "Модули службы работоспособности" в журнале событий Operations Manager на сервере управления, где было определено правило назначения агента. В описании должно быть сказано, что успешно добавлены все компьютеры, включенные в правило назначения агента.

В Active Directory в контейнере OperationsManager<ManagementGroupName> должны отображаться созданные объекты точки подключения службы (SCP), аналогичные приведенным в примере.

Правило также создает две группы безопасности с именем сервера управления NetBIOS: первый с суффиксом "_PrimarySG<случайным числом>", а второй — "_SecondarySG<случайным числом>". В этом примере в группе управления развернуты два сервера управления, а членство в основной группе безопасности ComputerB_Primary_SG_24901 включает компьютеры, соответствующие правилу включения, определенному в правиле назначения агента. Членство в группе безопасности ComputerA_Secondary_SG_38838 включает основную группу безопасности ComputerB_Primary_SG_24901, содержащую учетную запись компьютера агентов, которые будут выполнять отработку отказа на этот дополнительный сервер управления в случае, если основной сервер управления не отвечает. Имя SCP — это имя сервера управления NetBIOS с суффиксом "_SCP".

Примечание.

В этом примере отображаются только объекты из одной группы управления, а не другие группы управления, которые могут существовать, а также настроены с интеграцией AD.

Развертывание агента вручную с параметром интеграции Active Directory

Ниже приведен пример командной строки для ручной установки агента Windows с включенной интеграцией Active Directory.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Изменение параметра интеграции Active Directory для агента

Чтобы изменить параметр интеграции Active Directory для агента, можно использовать следующую процедуру.

1. На панели управления управляемого агентом компьютера дважды щелкните Microsoft Monitoring Agent.

2. На вкладке Operations Manager снимите или выберите автоматическое обновление назначений групп управления из AD DS. Если этот флажок установлен, то при запуске агент будет запрашивать в Active Directory список групп управления, которым он назначен. При наличии таких групп управления они будут добавлены в список. Если флажок снят, то все группы управления, назначенные агенту в Active Directory, будут удалены из списка.

3. Нажмите ОК.

Интеграция Active Directory с недоверенным доменом

1. Создайте пользователя в недоверенном домене с разрешениями на чтение, запись и удаление объектов в AD.
2. Создайте группу безопасности (локальный или глобальный домен). Добавьте пользователя (созданного на шаге 1) в эту группу.
3. Запустите MOMAdAdmin.exe для недоверенного домена со следующими параметрами: <путь>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>.
4. Создайте новую учетную запись "Run As" в Operations Manager; используйте учетную запись, созданную на шаге 1. Убедитесь, что доменное имя предоставлено в формате FQDN, а не NetBIOS-имя (например: CONTOSO.COM\ADUser).
5. Распределите учетную запись в пул ресурсов назначения Active Directory (AD).
6. Создайте новый профиль запуска от имени в пакете управления по умолчанию. Если этот профиль создается в любом другом пакете управления, убедитесь, что вы запечатываете пакет управления, чтобы на него можно было ссылаться из других пакетов управления.
7. Добавьте вновь созданную учетную запись Run As в этот профиль и назначьте ее на пул ресурсов назначения AD.
8. Создайте правила интеграции Active Directory в Operations Manager.

Примечание.

После интеграции с недоверенным доменом каждый сервер управления отображает предупреждающее сообщение База данных безопасности на сервере не содержит учетной записи компьютера для отношений доверия этой рабочей станции, указывающее, что проверка учетной записи 'Запуск от имени', используемой для назначения в Active Directory, завершилась ошибкой. Идентификатор события 7000 или 1105 создается в журнале событий Operations Manager. Однако это оповещение не влияет на назначение AD в недоверенном домене.

Следующие шаги

Сведения об установке агента Windows из консоли управления см. в статье "Установка агента в Windows с помощью мастера обнаружения" или установки агента из командной строки, см. в статье "Установка агента Windows вручную с помощью MOMAgent.msi".