配置和使用 Active Directory 集成进行代理分配
System Center Operations Manager 允许你利用对 Active Directory 域服务(AD DS)的投资,使你能够使用它将代理管理的计算机分配到管理组。 本文将帮助你在 Active Directory 中创建和管理容器的配置,以及应向其中报告管理服务器代理的代理分配。
为管理组创建Active Directory 域服务容器
可以使用以下命令行语法和过程为 System Center - Operations Manager 管理组创建Active Directory 域服务(AD DS)容器。 MOMADAdmin.exe用于此目的,并随 Operations Manager 管理服务器一起安装。 MOMADAdmin.exe必须由指定域的管理员运行。
命令行语法:
<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>
重要
如果值包含空格,则必须在引号内放置值。
ManagementGroupName 是要为其创建 AD 容器的管理组的名称。
MOMAdminSecurityGroup 是域安全组, 域\security_group 格式,是管理组 Operations Manager 管理员安全角色的成员。
RunAsAccount:这是管理服务器将用于读取、写入和删除 AD 中的对象的域帐户。 使用格式域\用户名。
域 是在其中创建管理组容器的域的名称。 仅当域之间存在双向信任时,才能跨域运行MOMADAdmin.exe。
若要使 Active Directory 集成正常工作,安全组必须是全局安全组(如果 Active Directory 集成需要在具有双向信任的多个域中运行)或本地域组(如果 Active Directory 集成仅在一个域中使用)
若要将安全组添加到 Operations Manager 管理员组,请使用以下过程。
在操作控制台中,选择“ 管理”。
在“管理”工作区中,选择“安全性”下的“用户角色”。
在 “用户角色”中,选择 Operations Manager 管理员 ,然后选择 “属性” 操作,或右键单击 “Operations Manager 管理员 ”,然后选择“ 属性”。
选择“添加”以打开“选择组”对话框。
选择所需的安全组,然后选择“确定”关闭对话框。
选择“确定”关闭用户角色属性。
注意
建议将一个安全组(可能包含多个组)用于 Operations Manager 管理员角色。 这样,可以在组中添加和删除组的成员,而无需域管理员执行手动步骤,以将其分配给管理组容器的读取和删除子权限。
使用以下过程创建 AD DS 容器。
以管理员身份打开命令提示符。
例如,在提示符下输入以下内容:
"C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**
注意
默认路径为 C:\Program Files\Microsoft System Center 2016\Operations Manager。
注意
默认路径为 C:\Program Files\Microsoft System Center\Operations Manager。
前面的命令行示例将:
从命令行运行MOMADAdmin.exe实用工具。
在 MessageDom 域的 AD DS 架构根目录中创建“Message Ops”管理组 AD DS 容器。 若要在其他域中创建相同的管理组 AD DS 容器,请为每个域运行MOMADAdmin.exe。
将 MessageDom\MessageADIntAcct 域用户帐户添加到 MessageDom\MessageOMAdmins AD DS 安全组,并为安全 AD DS 组分配管理 AD DS 容器所需的权限。
使用Active Directory 域服务将计算机分配到管理服务器
Operations Manager 代理分配和故障转移向导创建代理分配规则,该规则使用 Active Directory 域服务 (AD DS) 将计算机分配到管理组,并分配计算机的主要管理服务器和辅助管理服务器。 使用以下过程启动和使用向导。
重要
在运行代理分配和故障转移向导之前,必须创建管理组的Active Directory 域服务容器。
代理分配和故障转移向导不会部署代理。 必须使用MOMAgent.msi手动将代理部署到计算机。
更改代理分配规则可能会导致计算机不再被分配到管理组,因此由管理组监视。 这些计算机的状态将更改为关键,因为计算机不再向管理组发送检测信号。 可以从管理组中删除这些计算机,如果计算机未分配给其他管理组,则可以卸载 Operations Manager 代理。
启动 Operations Manager 代理分配和故障转移向导
使用作为 Operations Manager 管理员角色成员的帐户登录到计算机。
在 Operations 控制台中,选择“管理”。
在“管理”工作区中,选择“ 管理服务器”。
在“管理服务器”窗格中,右键单击管理服务器或网关服务器作为将在以下过程中创建的规则返回的计算机的主管理服务器,然后选择“属性”。
注意
网关服务器的工作方式类似于此上下文中的管理服务器。
在“管理服务器属性”对话框中,选择“自动代理分配”选项卡,然后选择“添加”以启动代理分配和故障转移向导。
在代理分配和故障转移向导的“简介”页上,选择“下一步”。
注意
如果向导已运行且未再次显示此页面,则不会显示“简介”页。
在 “域 ”页上执行以下操作:
注意
若要将来自多个域的计算机分配到管理组,请为每个域运行 代理分配和故障转移向导 。
从“域名”下拉列表中选择计算机的域。 管理服务器和 AD 代理分配资源池中的所有计算机必须能够解析域名。
重要
要管理的管理服务器和计算机必须采用双向受信任的域。
将“选择运行方式配置文件”设置为与为域运行MOMADAdmin.exe时提供的运行方式帐户关联的运行方式配置文件。 用于执行代理分配的默认帐户是在安装程序期间指定的默认操作帐户,也称为基于 Active Directory 的 代理分配帐户。 此帐户表示连接到指定域的 Active Directory 和修改 Active Directory 对象时使用的凭据,应与运行MOMAdmin.exe时指定的帐户匹配。 如果这不是用于运行MOMADAdmin.exe的帐户,请选择“ 使用其他帐户在指定域中执行代理分配”, 然后从 “选择运行方式配置文件 ”下拉列表中选择或创建该帐户。 必须将基于 Active Directory 的 代理分配帐户 配置文件配置为使用 Operations Manager 管理员帐户,该帐户分发到 AD 代理分配资源池中的所有服务器。
注意
有关运行方式配置文件和运行方式帐户的详细信息,请参阅 管理运行方式帐户和配置文件。
在 “包含条件 ”页上,键入 LDAP 查询,以便在文本框中将计算机分配到此管理服务器,然后选择“下一步” , 或选择“ 配置”。 如果选择“配置”,请执行以下操作:
在“查找计算机”对话框中,输入将计算机分配到此管理服务器或输入特定 LDAP 查询所需的条件。
以下 LDAP 查询仅返回运行 Windows Server 操作系统的计算机,并且不包括域控制器。
(&(objectCategory=computer)(operatingsystem=*server*))
此示例 LDAP 查询仅返回运行 Windows Server 操作系统的计算机。 它不包括托管 Operations Manager 或 Service Manager 管理服务器角色的域控制器和服务器。
(&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))
有关 LDAP 查询的详细信息,请参阅创建查询筛选器和 Active Directory: LDAP Syntax Filters(Active Directory:LDAP 语法筛选器)。
选择“确定”,然后选择“下一步”。
在 “排除条件 ”页上,键入显式希望阻止由此管理服务器管理的计算机的 FQDN,然后选择“ 下一步”。
重要
必须使用分号、冒号或新行(Ctrl+Enter)分隔键入的计算机 FQDN。
在 “代理故障转移 ”页上,选择“ 自动管理故障转移 ”,然后选择“ 创建 ”或“ 手动配置故障转移”。 如果选择 “手动配置故障转移”,请执行以下操作:
清除不希望代理故障转移到的管理服务器的复选框。
选择“创建”。
注意
使用“手动配置故障转移”选项时,如果随后将管理服务器添加到管理组,并且希望代理故障转移到新的管理服务器,则必须再次运行向导。
在 “管理服务器属性 ”对话框中,选择“ 确定”。
注意
代理分配设置可能需要长达一小时才能在 AD DS 中传播。
完成后,在管理组中创建以下规则,并面向 AD 分配资源池 类。
此规则包括代理分配和故障转移向导中指定的代理分配配置信息,例如 LDAP 查询。
若要确认管理组是否已在 Active Directory 中成功发布其信息,请在管理服务器上从 Operations Manager 事件日志中的源运行状况服务模块搜索事件 ID 11470,该管理服务器上定义了代理分配规则。 在说明中,它应指出它已成功添加添加到代理分配规则的所有计算机。
在 Active Directory 中的 OperationsManager<ManagementGroupName> 容器下,应看到已创建类似于以下示例的服务连接点 (SCP) 对象。
该规则还创建两个安全组,其名称为管理服务器 NetBIOS 名称:后缀为“_PrimarySG<随机数>”的第一个安全组,第二个安全组为“_SecondarySG<随机数>”。 在此示例中,管理组中部署了两个管理服务器,主安全组 ComputerB_Primary_SG_24901 成员身份包括与代理分配规则中定义的包含规则匹配的计算机, ComputerA_Secondary_SG_38838 成员身份包括主组 ComputerB_Primary_SG-29401 包含代理的计算机帐户的安全组,当主管理服务器无响应时,这些代理将故障转移到此辅助管理服务器。 SCP 名称是管理服务器 NetBIOS 名称,后缀为“_SCP”。
注意
在此示例中,它只显示来自单个管理组的对象,而不是可能存在的其他管理组,并且还使用 AD 集成进行配置。
使用 Active Directory 集成设置手动部署代理
下面是手动安装已启用 Active Directory 集成的 Windows 代理的命令行示例。
%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1
更改代理的 Active Directory 集成设置
你可以使用以下过程更改代理的 Active Directory 集成设置。
在代理管理的计算机上,在控制面板中双击“Microsoft Monitoring Agent”。
在 Operations Manager 选项卡上,清除或选择 AD DS 中的自动更新管理组分配。 如果选择此选项,则在代理启动时,代理将在 Active Directory 中查询代理所分配至的管理组的列表。 那些管理组(如果有)将添加到列表中。 如果清除此选项,则将从列表中删除分配给 Active Directory 中的代理的所有管理组。
选择“确定”。
将 Active Directory 与不受信任的域集成
- 在具有读取、写入和删除 AD 中的对象的权限的不受信任的域中创建用户。
- 创建安全组(域本地或全局)。 将用户(在步骤 1 中创建)添加到此组。
- 在不受信任的域中使用以下参数运行 MOMAdAdmin.exe:<path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
- 在 Operations Manager 中创建新的运行方式帐户;使用在步骤 1 中创建的帐户。 确保域名随 FQDN 一起提供,而不是 NetBIOS 名称(例如:CONTOSO.COM\ADUser)。
- 将帐户分发到 AD 分配资源池。
- 在默认管理包中创建新的运行方式配置文件。 如果此配置文件是在任何其他管理包中创建的,请确保密封管理包,以便可以将其引用到其他管理包。
- 将新创建的运行方式帐户添加到此配置文件,并将其定向到 AD 分配资源池
- 在 Operations Manager 中创建 Active Directory 集成规则。
注意
与不受信任的域集成后,服务器上的每个管理服务器都会显示警告消息 “安全”数据库没有此工作站信任关系 的计算机帐户,指示 AD 分配使用的运行方式帐户的验证失败。 事件 ID 7000 或 1105 在 Operations Manager 事件日志中生成。 但是,此警报对不受信任的域中的 AD 分配没有任何影响。
后续步骤
若要了解如何从操作控制台安装 Windows 代理,请参阅 使用发现向导 在 Windows 上安装代理或从命令行安装代理,请参阅 使用 MOMAgent.msi手动安装 Windows 代理。