Installera en gatewayserver

Viktigt

Den här versionen av Operations Manager har nått slutet av supporten. Vi rekommenderar att du uppgraderar till Operations Manager 2022.

Gateway-servrar används vanligtvis för att aktivera övervakning av klientdatorer som ligger utanför Kerberos-förtroendegränsen för hanteringsgrupper. De kan dock också användas inom samma domän om det finns behov av att dela upp miljön på grund av nätverkssegmentering, eller för att låta "fjärranslutna" agenter ansluta till hanteringsgruppen.

Agenter kommunicerar direkt med gateway-servern och gateway-servern kommunicerar med en eller flera hanteringsservrar. Flera gateway-servrar kan placeras i en enda domän så att agenterna kan redundansväxla från en till en annan om de förlorar kommunikationen med sin primära gateway. På samma sätt kan en enda gateway-server konfigureras för redundansväxling mellan hanteringsservrar så att det inte finns någon enskild felpunkt i kommunikationskedjan. Gateway-servern fungerar som en proxy för agent-till-hantering-serverkommunikation, vilket gör att endast en port kan öppnas mellan nätverk i stället för många. Certifikat måste användas för att upprätta varje dators identitet när de är utanför Kerberos-förtroendegränsen. Utan certifikat kan systemen ansluta, men vägrar att kommunicera på grund av att det inte går att autentisera anslutningen.

Innan du fortsätter kontrollerar du att servern uppfyller de lägsta systemkraven för System Center – Operations Manager. Mer information finns i Systemkrav för System Center Operations Manager.

Anteckning

Om dina säkerhetsprinciper begränsar TLS 1.0 och 1.1 misslyckas installationen av en ny Operations Manager 2016-gatewayserverroll eftersom installationsmediet inte innehåller uppdateringar för att stödja TLS 1.2. Det enda sättet att installera den här rollen är genom att aktivera TLS 1.0 på systemet, tillämpa Samlad uppdatering 4 och sedan aktivera TLS 1.2 på systemet. Den här begränsningen gäller inte för Operations Manager version 1801.

Förutsättningar

Det finns tre viktiga saker som vi måste ha redo och på plats innan vi fortsätter med installationen av gatewayrollen i ett standardscenario:

1. Certifikat måste genereras för gatewayen och hanteringsservrarna och installeras i certifikatarkiven.
   • Om gatewayen och klientservrarna används i ett arbetsgruppsscenario behöver klienterna även certifikat.
2. Den avsedda gateway-servern måste vara "Godkänd" för att vara en gateway i hanteringsgruppen före installationen.
3. Port 5723 måste öppnas mellan gatewayen och hanteringsservern enligt definitionen i guiden här: Konfigurera en brandvägg för Operations Manager

Certifikat och namnmatchning

1. Distribution av gateway-servrar i domäner utan dubbelriktat transitivt förtroende, eller i en arbetsgrupp, kräver användning av certifikat för autentisering. De primära servrarna och redundanshanteringsservrarna behöver en utöver den gateway som ansluter till dem. Dessa certifikat kan komma från en Certifikatutfärdare från Microsoft Certificate Services, eller en tredjeparts-CA, om de har konfigurerats korrekt för Operations Manager. Om du behöver hjälp med att skapa dessa certifikat använder du guiden här: Skaffa ett certifikat för användning med Windows-servrar och System Center Operations Manager

   Anteckning

   • Gateway-servrar som finns i samma domän eller i en delad förtroendegräns som hanteringsgruppen kräver inte certifikat.
   • Om gatewayen och agenterna finns i en arbetsgrupp behöver vi certifikat för varje hanteringsserver, gateway och klientdator som övervakas eftersom det inte finns någon domän i en arbetsgrupp för att underlätta autentiseringen av system.

2. Tillförlitlig namnmatchning måste finnas mellan de agenthanterade datorerna och gateway-servern samt mellan gateway-servern och hanteringsservern. Den här namnmatchning görs normalt via DNS. Men om det inte går att få korrekt namnmatchning via DNS kan det vara nödvändigt att manuellt skapa poster i varje dators värdfil.

   Viktigt

   Matchningar för vidarebefordran och omvända namn kontrolleras innan autentiseringen skickas mellan servrarna. Om vi får ett annat värdnamn eller FQDN när vi kontrollerar IP-adressen misslyckas autentiseringen.

   Tips

   Värdfilen finns i %SystemRoot%\system32\drivers\etc katalogen och innehåller konfigurationsanvisningarna. Detta måste redigeras i ett anteckningar eller i ett annat program som körs som administratör.

Registrera gatewayen med hanteringsgruppen

För att förhindra senare problem är det viktigt att registrera och godkänna den avsedda gatewaydatorn som en gateway före installationen, annars riskerar vi att gatewayen hämtas som agent.

De här stegen ska utföras från en hanteringsserver, helst din primära server eller RMSE-server.

1. En körbar fil ingår i Operations Manager-installationsmediet "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", som finns i installationsmediet under ..\SupportTools\amd64\.

2. När den har hittats kopierar du den här körbara filen och konfigurationsfilen med samma namn som installationssökvägen under: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Öppna en kommandotolk som administratör och gå till installationskatalogen för Operations Manager. (ex. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Använd följande kommando för att registrera den avsedda gatewayen som en gateway och se till att ersätta servernamnen med dina egna:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Anteckning

   Om du vill förhindra att gateway-servern initierar kommunikation med en hanteringsserver inkluderar du parametern /ManagementServerInitiatesConnection=True som används i följande kommando. Annars initieras som standard kommunikation från själva gatewayen. Det här är användbart om du vill förhindra inkommande åtkomst till den primära domänen från nätverket där gatewayen finns.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Om godkännandet lyckas returneras meddelandet The approval of server <GatewayFQDN> completed successfully. .

6. Om du behöver ta bort gateway-servern från hanteringsgruppen kör du samma kommando, men ersätter /Action=Create flaggan /Action=Delete .

7. Öppna driftkonsolen i vyn Övervakning. Välj vyn Identifierat lager och kontrollera att gateway-servern är tillgänglig. Den bör också visas under Administration > Enhetshantering-hanteringsservrar>.

Installationsprocess

När den avsedda gateway-servern har registrerats med hanteringsgruppen är det dags att installera rollen på den nya gatewayen.

Anteckning

En installation misslyckas när Du startar Windows Installer (till exempel genom att installera en gateway-server genom att dubbelklicka på MOMGateway.msi) om den lokala säkerhetsprincipen "User Account Control: Run all administrators in Admin Approval Mode" är aktiverad.

Tips

Om du får problem under installationen finns loggarna här: %LocalAppData%\SCOM\Logs

Installera med hjälp av det grafiska användargränssnittet

Följ dessa steg för att installera gateway-servern:

1. Logga in på gateway-servern med administratörsbehörighet.
2. Starta Setup.exe från installationsmediet för Operations Manager.
3. I området Installera väljer du länken Gateway-hanteringsserver (inte den stora länken "Installera" längst ned i fönstret).
4. På välkomstskärmen väljer du Nästa.
5. På sidan Målmapp godkänner du standardinställningen eller väljer Ändra för att välja en annan installationskatalog och väljer Nästa.
6. På sidan Konfiguration av hanteringsgrupp anger du namnet på målhanteringsgruppen i fältet Hanteringsgruppnamn , anger namnet på målhanteringsservern i fältet Hanteringsserver , kontrollerar att fältet Hanteringsserverport är 5723 och väljer Nästa.
7. På sidan Gateway-åtgärdskonto väljer du alternativet Lokalt systemkonto , såvida du inte använder ett domänbaserat eller lokalt datorbaserat gatewayåtgärdskonto. Välj Nästa.
8. På sidan Microsoft Update anger du om du vill använda Microsoft Update och väljer Nästa. (Normalt bör den här markeringen vara Nej.)
9. På sidan Klar att installera väljer du Installera.
10. På sidan Slutför väljer du Slutför.

Installera med kommandotolken

Följ dessa steg för att installera gateway-servern från kommandotolken:

1. Logga in på gateway-servern med administratörsbehörighet.
2. Öppna kommandotolksfönstret med alternativet Kör som administratör.
3. Kör följande kommando, där path\to\Installer är sökvägen till installationsmediet. Du hittar MOMGateway.msi i Operations Manager-installationsmediet under ..\gateway\amd64\.

Tips

^ tecken är att tillåta flera rader indata i konsolfönstret och enklare redigering, om detta inte fungerar i din miljö, ta bort ^ tecken och redigera kommandot att vara på en rad.

Om du använder LocalSystem som åtgärdskonto:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Om du använder en domänanvändare som åtgärdskonto:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Viktigt

Lösenordet för åtgärdskontot får inte innehålla "ogiltiga" tecken i kommandotolken, till exempel: & < > ( ) @ ^ | ". Om den gör det misslyckas installationen eftersom den inte kan parsa strängen, ändra lösenordet så att det inte innehåller dessa tecken och radbryt det med dubbla citattecken i själva kommandot.

Importera certifikat med verktyget MOMCertImport.exe

Utför den här åtgärden på varje gateway och hanteringsserver, tillsammans med alla klientdatorer som ska hanteras av agenten i en arbetsgrupp.

1. Kontrollera att certifikaten är installerade innan du fortsätter
2. Leta upp denMOMCertImport.exe filen som finns i installationsmediet under ..\SupportTools\amd64\
3. Kopiera den här filen till målserverns rotkatalog eller till Installationskatalogen för Operations Manager
   • Till exempel: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Öppna en kommandotolk som administratör och ändra katalogen till den katalog där MOMCertImport.exe finns.
   • Exempelvis: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. Kör sedan kommandot MOMCertImport.exe /SubjectName subjectNameFQDN, där "subjectNameFQDN" är det definierade ämnet på certifikatet.
   • Du kan också köra MOMCertImport.exe utan argument så att du kan välja ett certifikat från ett popup-fönster som visar certifikaten i den lokala datorns personliga arkiv.
6. Om det lyckas startas Microsoft Monitoring Agent-tjänsten om och eventID 20053 loggas till Operations Manager-händelseloggen. Om detta eventID inte finns kan du se information om något av dessa ID:er för eventuella problem och göra korrigeringar i enlighet med detta: 20049,20050,20052,20066,20069,20077

Tips

När certifikatet har importerats kan du se en speglad version av tumavtrycket i registret här: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Konfigurera gatewayservrar för redundans mellan hanteringsservrar

Som standard kommunicerar gatewayservrar bara med en hanteringsserver, deras primära. Om anslutningen går förlorad visas gatewayen och eventuella anslutna agenter som grå i konsolen och övervakas inte. Om du har flera hanteringsservrar kan vi förhindra det här problemet genom att konfigurera hanteringsservrar som gatewayen kan redundansväxla till tills den primära är tillgänglig igen. Så här konfigurerar du en redundansväxling:

Vi använder cmdleten Set-SCOMParentManagementServer i Operations Manager-gränssnittet , som du ser i följande exempel, för att konfigurera en gatewayserver att redundansväxla till flera hanteringsservrar. Kommandona kan köras från valfritt kommandogränssnitt i hanteringsgruppen.

1. Logga in på en hanteringsserver med ett konto som är medlem i rollen Operations Manager-administratörer.

2. På Start-menyn kör du Operations Manager-gränssnitt under mappen "Microsoft System Center".

3. Kör följande kommandon i konsolen:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Anteckning

   Du kan inte ange att en redundansserver ska vara samma som den primära servern utan att ändra den primära samtidigt eller först. Om du vill ändra den primära och ange den till en sekundär använder du följande kommandon:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Länka flera gatewayservrar

Även om det är ovanligt är det ibland nödvändigt att länka samman flera gatewayer för att övervaka över flera obetrodda gränser. I det här avsnittet beskrivs hur du kedjar samman flera gatewayer.

Anteckning

• Du bör installera en gateway i taget och kontrollera att varje nyinstallerad gateway är korrekt konfigurerad och visas som felfri i SCOM-konsolen innan du lägger till en annan gateway i kedjan.
• När du lägger till gateways-slutet av kedjan i samma resurspool ska du inte konfigurera redundans till den andra kedjan med kommandot Set-SCOMParentManagementServer . I ett sådant scenario fungerar inte poolen som förväntat. För att redundanskonfigurationen och resurspoolen ska fungera tillsammans bör gatewayens slut i kedjan ha samma överordnade.

För att konfigurera en gateway-kedja använder vi verktygetMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe precis som vi gjorde för den första gatewayservern. Men den här gången måste vi ange "ManagementServerName" som den överordnade gatewayservern i kedjan. Om GW02 till exempel ska ansluta till GW01 är GW01 "ManagementServer" i det här scenariot.

1. Logga in på en av dina hanteringsservrar som redan har konfigurerat GatewayApprovalTool.

2. Öppna en kommandotolk som administratör och gå till katalogen där verktyget sparas

3. Kör sedan kommandot nedan för att godkänna den underordnade gatewayservern och se till att ersätta servernamnen med dina egna:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Installera gatewayrollen på en ny server.

5. Konfigurera certifikaten mellan GW01 och GW02 på samma sätt som du konfigurerar certifikat mellan en gateway och en hanteringsserver. Hälsotjänsten kan bara läsa in och använda ett enda certifikat. Därför används samma certifikat av gateway-serverns överordnade och underordnade objekt i kedjan.

Nästa steg

Information om sekvensen och stegen för att installera Operations Manager-serverrollerna på flera servrar i hanteringsgruppen finns i Distribuerad distribution av Operations Manager.