安裝閘道伺服器

閘道伺服器通常用來監視管理群組 Kerberos 信任界限外的用戶端電腦。 不過，如果因為網路分割而需要分割環境，或讓「遙遠」的代理程序連線到管理群組，它們也可以在相同的網域內使用。

代理程式會直接與閘道伺服器通訊，而閘道伺服器會與一或多部管理伺服器通訊。 多個閘道伺服器可以放在單一網域中，以便在代理程式失去與主要閘道的通訊時，從一部伺服器故障轉移到另一部伺服器。 同樣地，單一閘道伺服器可以設定為在管理伺服器之間故障轉移，讓通訊鏈結中沒有單一失敗點。 閘道伺服器可作為代理程式對管理伺服器通訊的 Proxy，讓網路之間只能開啟一個埠來取代許多埠。 憑證必須用來在 Kerberos 信任界限之外建立每部計算機的身分識別。 如果沒有憑證，系統可能會連線，但因為無法驗證連線而拒絕通訊。

繼續之前，請確定您的伺服器符合 System Center - Operations Manager 的最低系統需求。 如需詳細資訊，請參閱 System Center Operations Manager 的系統需求。

注意

如果您的安全策略限制 TLS 1.0 和 1.1，安裝新的 Operations Manager 2016 閘道伺服器角色將會失敗，因為安裝媒體不包含支援 TLS 1.2 的更新。 安裝此角色的唯一方式是在系統上啟用 TLS 1.0、套用更新匯總 4，然後在系統上啟用 TLS 1.2。

必要條件

在標準案例中繼續進行網關角色安裝之前，我們需要備妥並備妥三個主要事項：

1. 您必須為閘道和管理伺服器產生憑證，並安裝到憑證存放區中。
   • 如果在工作群組案例中使用閘道和用戶端伺服器，則用戶端也需要憑證。
2. 在安裝之前，預期的閘道伺服器需要獲得「核准」，成為管理群組內的閘道。
3. 您必須在閘道和管理伺服器之間開啟埠 5723，如本指南所定義： 設定 Operations Manager 的防火牆

憑證和名稱解析

1. 在沒有雙向可轉移信任的網域中部署閘道伺服器，或在工作組中，需要使用憑證進行驗證。 主要和故障轉移管理伺服器除了連線到它們的閘道之外，還需要一部伺服器。 如果為 Operations Manager 正確設定，這些憑證可能來自Microsoft憑證服務 CA 或第三方 CA。 如果您需要建立這些憑證的協助，請使用這裡的指南： 取得憑證以搭配 Windows Server 和 System Center Operations Manager 使用

   注意

   • 與管理群組位於相同網域或共用信任界限中的閘道伺服器不需要憑證。
   • 如果閘道和代理程式位於工作組中，則我們需要管理伺服器、閘道和用戶端電腦的憑證，因為工作組內沒有任何網域可驗證系統。

2. 代理程式管理的計算機與閘道伺服器之間，以及閘道伺服器與管理伺服器之間必須有可靠的名稱解析。 此名稱解析通常是透過 DNS 來完成。 不過，如果無法透過 DNS 取得適當的名稱解析，可能需要在每部計算機的主機檔案中手動建立專案。

   重要

   在伺服器之間傳遞驗證之前，會先檢查正向和反向名稱解析。 如果在檢查IP位址時收到不同的主機名或 FQDN，驗證將會失敗。

   提示

   hosts 檔案位於 %SystemRoot%\system32\drivers\etc 目錄中，其中包含設定的方向。 這必須在記事本或其他應用程式以系統管理員身分執行時編輯。

向管理群組註冊閘道

若要避免稍後的問題，請務必在安裝之前將預期的閘道計算機註冊並核准為閘道，否則我們會以代理程式的形式執行網關的風險。

這些步驟是從管理伺服器執行，最好是您的主要伺服器或 “RMSE” 伺服器。

1. Operations Manager 安裝媒體包含名為 「Microsoft.EnterpriseManagement.GatewayApprovalTool.exe」 的可執行檔，您可以在 安裝媒體中找到 。 ..\SupportTools\amd64\。

2. 找到之後，請將這個可執行檔和具有相同名稱的組態檔複製到下列下的安裝路徑： %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. 以系統管理員身分開啟命令提示字元，並流覽至 Operations Manager 安裝目錄。 （例如） cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server

4. 使用下列命令將預期的閘道註冊為閘道，以確保以您自己的名稱取代伺服器名稱：

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   注意

   如果您想要防止網關伺服器起始與管理伺服器的通訊，請包含 /ManagementServerInitiatesConnection=True 參數，如下列命令所示。 否則，預設會從閘道本身起始通訊。 如果您想要防止來自閘道所在網路之主要網域的任何輸入存取，這會很有説明。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. 如果核准成功，則會傳回訊息 The approval of server <GatewayFQDN> completed successfully. 。

6. 如果您需要從管理群組中移除閘道伺服器，請執行相同的命令，但取代 /Action=Create /Action=Delete 旗標。

7. 開啟 Operations 控制台至 [監視] 檢視。 選取 [探索到的清查] 檢視，以查看閘道伺服器是否存在。 它也應該在 [系統管理>] 裝置管理 > [管理伺服器] 下檢視。

安裝程序

一旦預定的閘道伺服器向管理群組註冊，是時候在新閘道上安裝角色了。

注意

啟動 Windows Installer 時安裝將會失敗（例如，按兩下MOMGateway.msi安裝閘道伺服器），如果已啟用本機安全策略「用戶帳戶控制：在系統管理員核准模式中執行所有系統管理員」。

提示

如果您在安裝期間遇到問題，記錄會位於這裡： %LocalAppData%\SCOM\Logs

使用 GUI 安裝

請遵循下列步驟來安裝閘道伺服器：

1. 使用管理員權限登入閘道伺服器。
2. 從 Operations Manager 安裝媒體開始 Setup.exe。
3. 在 [ 安裝 ] 區域中，選取 [網關管理伺服器 ] 連結 （不是大型的 [安裝] 鏈接，指向視窗底部。
4. 在 [歡迎使用] 畫面上，選取 [下一步]。
5. 在 [目的地資料夾] 頁面上接受預設值，或選取 [變更] 以選取不同的安裝目錄，然後選取 [下一步]。
6. 在 [管理群組組態] 頁面上，在 [管理組名] 字段中輸入目標管理組名，在 [管理伺服器] 字段中輸入目標管理伺服器名稱，檢查 [管理伺服器埠] 字段是否為 5723，然後選取 [下一步]。
7. 在 [ 閘道動作帳戶 ] 頁面上，選取 [ 本機系統 帳戶] 選項，除非您使用的是網域型或本機計算機型網關動作帳戶。 選取 [下一步]。
8. 在 [Microsoft更新 ] 頁面上，選擇性地指出您是否要使用 Microsoft Update，然後選取 [下一步]。 (通常這個選取範圍應為「否」。)
9. 在 [已可安裝] 頁面上，選取 [安裝] 。
10. 在 [ 正在完成] 頁面上，選取 [ 完成]。

使用命令提示字元安裝

請遵循下列步驟，從命令提示字元安裝閘道伺服器：

1. 使用系統管理員許可權登入閘道伺服器。
2. 使用 [以系統管理員身分執行] 選項開啟 [命令提示字元] 視窗。
3. 執行下列命令，其中 path\to\Installer 是安裝媒體的路徑。 您可以在 Operations Manager 安裝媒體的 底下 ..\gateway\amd64\找到MOMGateway.msi。

提示

^ 字元是允許在主控台視窗中輸入多行，而且更容易編輯，如果這在您的環境中無法運作，請移除 ^ 字元，並編輯命令以放在一行上。

如果您使用 LocalSystem 作為動作帳戶：

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

如果您使用 網域使用者 作為動作帳戶：

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

重要

動作帳戶密碼不能在命令提示字元中包含「非法」字元，例如： & < > ( ) @ ^ | "。 如果這樣做，安裝將會失敗，因為它無法剖析字串、將密碼變更為不包含這些字元，然後將它包裝在命令本身的雙引號內。

使用 MOMCertImport.exe 工具匯入憑證

在每個閘道和管理伺服器上執行這項作業，以及要管理工作組中代理程式的任何客戶端電腦。

1. 在繼續之前，請確定已安裝憑證
2. 找出位於安裝媒體底下的MOMCertImport.exe檔案..\SupportTools\amd64\
3. 將此檔案複製到目標伺服器的根目錄或 Operations Manager 安裝目錄
   • 例如： %ProgramFiles%\Microsoft System Center\Operations Manager\Server。
4. 以系統管理員身分開啟命令提示字元，並將目錄變更為MOMCertImport.exe所在的目錄。
   • 例如：cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. 然後執行 命令 MOMCertImport.exe /SubjectName subjectNameFQDN，其中 「subjectNameFQDN」 是憑證上定義的主體。
   • 您也可以在沒有任何自變數的情況下執行 MOMCertImport.exe ，以便從彈出視窗中選擇憑證，以顯示本機計算機個人存放區中的憑證。
6. 如果成功，就會重新啟動Microsoft監視代理程序服務，並將 eventID 20053 記錄至 Operations Manager 事件記錄檔。 如果此 eventID 不存在，請針對任何問題觀察下列其中一個標識碼的詳細數據，並據以進行更正： 20049,20050,20052,20066,20069,20077

提示

成功匯入憑證之後，您可以在下列登錄中看到鏡像版本的指紋： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

設定閘道伺服器以進行管理伺服器之間的故障轉移

根據預設，閘道伺服器只會與一部管理伺服器通訊，也就是其主要伺服器。 如果遺失此連線，閘道和任何連結的代理程式會在控制台中顯示為灰色，且不會受到監視。 如果您有多部管理伺服器，我們可以設定閘道可以故障轉移的管理伺服器，直到主要伺服器再次可用為止，來防止此問題。 若要設定故障轉移：

我們在 Operations Manager 殼層中使用 Set-SCOMParentManagementServer Cmdlet，如下列範例所示，將閘道伺服器設定為故障轉移至多個管理伺服器。 您可以從管理群組中的任何命令殼層執行命令。

1. 使用屬於 Operations Manager 系統管理員角色成員的帳戶登入管理伺服器。

2. 從 [開始] 功能表中，在 [Microsoft System Center] 資料夾下執行 Operations Manager 殼層。

3. 在控制台中，執行下列命令：

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   注意

   您無法將故障轉移伺服器設定為與主伺服器相同，而不需要同時變更主伺服器，或先變更主伺服器。 如果您要變更主要複本，並將它設定為次要複本，請使用下列命令：

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

鏈結多個閘道伺服器

雖然不常見，但有時必須將多個閘道鏈結在一起，才能跨多個不受信任的界限進行監視。 本節說明如何將多個網關鏈結在一起。

注意

• 您應該一次安裝一個閘道，並確認每個新安裝的閘道都已正確設定，並在 SCOM 控制台中顯示為狀況良好，然後再在鏈結中新增另一個閘道。
• 當您將閘道鏈結結尾新增至相同的資源集區時，請勿使用 Set-SCOMParentManagementServer 命令來設定故障轉移至其他鏈結。 在這種情況下，集區無法如預期般運作。 若要讓故障轉移組態和資源集區一起運作，鏈結的閘道端應該具有相同的父系。

若要設定閘道鏈結，我們會使用 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具，就像我們針對初始閘道伺服器所做的一樣。 不過，這次我們需要將 「ManagementServerName」 設定為鏈結中的上游閘道伺服器。 例如，如果 GW02 要連線到 GW01，則 GW01 在此案例中是 “ManagementServer”。

1. 登入已設定 GatewayApprovalTool 的管理伺服器之一。

2. 以系統管理員身分開啟命令提示字元，並瀏覽至儲存工具的目錄

3. 然後執行下列命令以核准下游閘道伺服器，確保以您自己的方式取代伺服器名稱：

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. 在新伺服器上安裝閘道角色。

5. 以在閘道與管理伺服器之間設定憑證的相同方式，設定 GW01 與 GW02 之間的憑證。 健全狀況服務 只能載入並使用單一憑證。 因此，鏈結中閘道的父子系會使用相同的憑證。

下一步

若要瞭解在管理群組中跨多部伺服器安裝 Operations Manager 伺服器角色的順序和步驟，請參閱 Operations Manager 的分散式部署。