安装网关服务器

网关服务器通常用于启用对管理组的 Kerberos 信任边界之外的客户端计算机的监视。 但是，如果需要由于网络分段而拆分环境，或者让“遥远”代理连接到管理组，则它们还可以在同一域中使用。

代理直接与网关服务器通信，网关服务器与一个或多个管理服务器通信。 多个网关服务器可以放置在单个域中，这样，如果代理与主网关失去通信，则可以从一个服务器故障转移到另一个网关。 同样，可以将单个网关服务器配置为在管理服务器之间进行故障转移，以便在通信链中不存在单一故障点。 网关服务器充当代理到管理服务器通信的代理，使网络之间只能打开一个端口来代替许多端口。 证书必须用于在 Kerberos 信任边界之外建立每台计算机的标识。 如果没有证书，系统可能会连接，但由于无法对连接进行身份验证而拒绝通信。

在继续之前，请确保服务器满足 System Center - Operations Manager 的最低系统要求。 有关详细信息，请参阅 System Center Operations Manager 的系统要求。

注意

如果安全策略限制 TLS 1.0 和 1.1，则安装新的 Operations Manager 2016 网关服务器角色将失败，因为安装媒体不包含支持 TLS 1.2 的更新。 安装此角色的唯一方法是在系统上启用 TLS 1.0，应用更新汇总 4，然后在系统上启用 TLS 1.2。

先决条件

在标准方案中继续安装网关角色之前，我们需要准备好并准备好三个主要事项：

1. 需要为网关和管理服务器生成证书，并将其安装到证书存储中。
   • 如果在工作组方案中使用网关和客户端服务器，则客户端还需要证书。
2. 在安装之前，需要将预期的网关服务器“批准”为管理组中的网关。
3. 必须在网关和管理服务器之间打开端口 5723，如以下指南中所述： 为 Operations Manager 配置防火墙

证书和名称解析

1. 在没有双向可传递信任的域中或工作组中部署网关服务器需要使用证书进行身份验证。 主服务器和故障转移管理服务器除了连接到它们的网关外还需要一台。 如果为 Operations Manager 正确配置了这些证书，这些证书可能来自Microsoft证书服务 CA 或第三方 CA。 如果需要有关创建这些证书的帮助，请使用此处的指南： 获取用于 Windows Server 和 System Center Operations Manager 的证书

   注意

   • 与管理组位于同一域或共享信任边界中的网关服务器不需要证书。
   • 如果网关和代理位于工作组中，则需要每个管理服务器、网关和客户端计算机的证书，因为工作组中没有域来对系统进行身份验证。

2. 代理管理的计算机与网关服务器之间以及网关服务器与管理服务器之间必须存在可靠的名称解析。 此名称解析通常通过 DNS 完成。 但是，如果无法通过 DNS 获取正确的名称解析，可能需要在每台计算机的主机文件中手动创建条目。

   重要

   在身份验证将在服务器之间传递之前检查转发和反向名称解析。 如果在检查 IP 地址时收到其他主机名或 FQDN，身份验证将失败。

   提示

   hosts 文件位于 %SystemRoot%\system32\drivers\etc 目录中，其中包含配置方向。 必须在记事本或其他应用程序中以管理员身份进行编辑。

将网关注册到管理组

为了防止以后出现的问题，请务必在安装之前将预期网关计算机注册并批准为网关，否则我们将承担作为代理获取网关的风险。

这些步骤是从管理服务器执行的，最好是主服务器或“RMSE”服务器。

1. Operations Manager 安装介质中随附了一个名为“Microsoft.EnterpriseManagement.GatewayApprovalTool.exe”的可执行文件，可在安装介质下 ..\SupportTools\amd64\找到。

2. 找到后，将此可执行文件和具有相同名称的配置文件复制到以下下的安装路径： %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. 以管理员身份打开命令提示符并导航到 Operations Manager 安装目录。 （例如：cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server）

4. 使用以下命令将预期网关注册为网关，确保将服务器名称替换为你自己的网关：

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   注意

   如果要阻止网关服务器启动与管理服务器的通信，请包括 /ManagementServerInitiatesConnection=True 参数，如以下命令中所示。 否则，默认情况下，通信将从网关本身启动。 如果想要阻止从网关所在的网络访问主域的任何入站访问，这非常有用。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. 如果审批成功，则返回消息 The approval of server <GatewayFQDN> completed successfully. 。

6. 如果需要从管理组中删除网关服务器，请运行相同的命令，但替换 /Action=Create 标志 /Action=Delete 。

7. 打开操作控制台以转到“监视”视图。 选择“已发现清单”视图以查看网关服务器是否存在。 它还应在管理>设备管理>管理服务器下查看。

安装过程

向管理组注册预期网关服务器后，是时候在新网关上安装角色了。

注意

如果启用了本地安全策略“用户帐户控制：在管理员批准模式下运行所有管理员”，则启动 Windows Installer（例如，双击MOMGateway.msi安装网关服务器）时，安装将失败。

提示

如果在安装过程中遇到问题，日志位于以下位置： %LocalAppData%\SCOM\Logs

使用 GUI 进行安装

按照以下步骤安装网关服务器：

1. 使用管理员权限登录到网关服务器。
2. 从 Operations Manager 安装媒体开始 Setup.exe。
3. 在 “安装 ”区域中，选择 网关管理服务器 链接（而不是大型“安装”链接，指向窗口底部）。
4. 在“欢迎”屏幕上，选择“下一步” 。
5. 在“目标文件夹”页上，接受默认值，或选择“更改”以选择其他安装目录，然后选择“下一步”。
6. 在 “管理组配置 ”页上，在 “管理组 名称”字段中输入目标管理组名称，在 “管理服务器 ”字段中输入目标管理服务器名称，检查 “管理服务器端口 ”字段是否为 5723，然后选择“ 下一步”。
7. 在 “网关操作帐户 ”页上，选择 “本地系统 帐户”选项，除非使用的是基于域或基于计算机的本地网关操作帐户。 选择下一步。
8. 在 “Microsoft更新 ”页上，可以选择指示是否要使用Microsoft更新，然后选择“ 下一步”。 （通常，此选择应为“否”。）
9. 在“准备安装”页面上，选择“安装”。
10. 在 “正在 完成”页上，选择“ 完成”。

使用命令提示符进行安装

按照以下步骤从命令提示符安装网关服务器：

1. 使用管理员权限登录到网关服务器。
2. 使用“以管理员身份运行” 选项打开命令提示符窗口。
3. 运行以下命令，其中 path\to\Installer 是安装介质的路径。 可以在 Operations Manager 安装介质中找到 ..\gateway\amd64\MOMGateway.msi。

提示

^ 字符允许在控制台窗口中进行多行输入，并且更易于编辑，如果这在你的环境中不起作用，请删除 ^ 字符并编辑要位于一行中的命令。

如果使用 LocalSystem 作为操作帐户：

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

如果使用 域用户 作为操作帐户：

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

重要

操作帐户密码不能在命令提示符中包含“非法”字符，例如： & < > ( ) @ ^ | " 如果这样做，安装将失败，因为它无法分析字符串，将密码更改为不包含这些字符，然后将其包装在命令本身的双引号中。

使用 MOMCertImport.exe 工具导入证书

在每个网关和管理服务器上执行此操作，以及要在工作组中管理代理的任何客户端计算机。

1. 在继续操作之前，请确保已安装证书
2. 找到 位于安装介质中的MOMCertImport.exe 文件 ..\SupportTools\amd64\
3. 将此文件复制到目标服务器的根目录或 Operations Manager 安装目录
   • 例如：%ProgramFiles%\Microsoft System Center\Operations Manager\Server）。
4. 以管理员身份打开命令提示符，并将目录更改为MOMCertImport.exe所在的目录。
   • 例如：cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. 然后运行命令 MOMCertImport.exe /SubjectName subjectNameFQDN，其中“subjectNameFQDN”是证书上定义的使用者。
   • 还可以在不带任何参数的情况下运行 MOMCertImport.exe ，以便从显示本地计算机个人存储中的证书的弹出窗口中选择证书。
6. 如果成功，则会重启Microsoft Monitoring Agent 服务，并将 eventID 20053 记录到 Operations Manager 事件日志。 如果此 eventID 不存在，请观察其中一个 ID 的详细信息是否存在任何问题，并相应地进行更正： 20049,20050,20052,20066,20069,20077

提示

成功导入证书后，可在以下注册表中看到指纹的镜像版本： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

为管理服务器之间的故障转移配置网关服务器

默认情况下，网关服务器仅与一台管理服务器（其主服务器）通信。 如果此连接丢失，网关和任何附加的代理在控制台中显示为灰色，并且不会受到监视。 如果有多个管理服务器，可以通过配置网关故障转移到的管理服务器来防止此问题，直到主服务器再次可用。 若要配置故障转移，请执行以下操作：

我们在 Operations Manager shell 中使用 Set-SCOMParentManagementServer cmdlet，如以下示例所示，将网关服务器配置为故障转移到多个管理服务器。 这些命令可以从管理组中的任何 Command Shell 运行。

1. 使用属于 Operations Manager 管理员角色成员的帐户登录到管理服务器。

2. 在“开始”菜单中，在“Microsoft System Center”文件夹下运行Operations Manager 外壳。

3. 在控制台中运行以下命令：

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   注意

   如果不同时更改主服务器或首先更改主服务器，则无法将故障转移服务器设置为与主服务器相同。 如果要更改主数据库并将其设置为辅助数据库，请使用以下命令：

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

链接多个网关服务器

虽然不常见，但有时有必要将多个网关链接在一起，以便跨多个不受信任的边界进行监视。 本部分介绍如何将多个网关链接在一起。

注意

• 应一次安装一个网关，并在链中添加另一个网关之前，验证每个新安装的网关是否已正确配置，并在 SCOM 控制台中显示为正常。
• 将链的网关末尾添加到同一资源池时，请勿使用 Set-SCOMParentManagementServer 命令配置到其他链的故障转移。 在这种情况下，池无法按预期工作。 要使故障转移配置和资源池协同工作，链的网关端应具有相同的父级。

若要配置网关链，我们使用 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具，就像对初始网关服务器所做的那样。 但是，这次我们需要将“ManagementServerName”设置为链中的上游网关服务器。 例如，如果 GW02 要连接到 GW01，则此方案中 GW01 是“ManagementServer”。

1. 登录到已设置 GatewayApprovalTool 的管理服务器之一。

2. 以管理员身份打开命令提示符并导航到保存该工具的目录

3. 然后运行以下命令来批准下游网关服务器，确保将服务器名称替换为你自己的服务器名称：

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. 在新服务器上安装网关角色。

5. 在 GW01 和 GW02 之间配置证书的方式与在网关与管理服务器之间配置证书的方式相同。 运行状况服务只能加载和使用单个证书。 因此，链中网关的父级和子级使用相同的证书。

后续步骤

若要了解在管理组中的多个服务器上安装 Operations Manager 服务器角色的顺序和步骤，请参阅 Operations Manager 的分布式部署。