共用方式為

設定及使用 Active Directory 整合進行代理程式指派

  • 發行項

System Center Operations Manager 可讓您利用對 Active Directory 網域服務 (AD DS) 的投資,讓您能夠使用它將代理程式管理的計算機指派給管理群組。 本文將協助您在 Active Directory 中建立和管理容器的設定,以及管理伺服器代理程式的代理程式指派應回報。

為管理群組建立 Active Directory 網域服務 容器

您可以使用下列命令行語法和程式,為 System Center - Operations Manager 管理群組建立 Active Directory 網域 服務 (AD DS) 容器。 MOMADAdmin.exe會針對此用途提供,並且會與 Operations Manager 管理伺服器一起安裝。 MOMADAdmin.exe必須由指定網域的系統管理員執行。

命令列語法:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

重要

如果值包含空格,則必須將值放在引號內。

  • ManagementGroupName 是建立AD容器的管理群組名稱。

  • MOMAdminSecurityGroup 是網域安全組 domain \security_group 格式,這是管理群組 Operations Manager 系統管理員安全性角色的成員。

  • RunAsAccount:這是管理伺服器將在 AD 中讀取、寫入和刪除物件的網域帳戶。 使用 domain\username 格式。

  • 網域 是將在其中建立管理群組容器的功能變數名稱。 只有在網域之間存在雙向信任時,才能跨網域執行MOMADAdmin.exe。

若要讓 Active Directory 整合能夠運作,安全組必須是全域安全組(如果 Active Directory 整合需要在具有雙向信任的多個網域中運作)或本機網域群組(如果 Active Directory 整合只用於一個網域中)

若要將安全組新增至 Operations Manager 系統管理員群組,請使用下列程式。

  1. 在 Operations 控制台中,選取 [ 系統管理]。

  2. 在 [系統管理] 工作區中,選取 [安全性] 底下的 [使用者角色]。

  3. 在 [使用者角色] 中,選取 [Operations Manager 系統管理員],然後選取 [屬性] 動作,或以滑鼠右鍵按兩下 [Operations Manager 系統管理員],然後選取 [屬性]。

  4. 選取 [新增 ] 以開啟 [ 選取群組 ] 對話框。

  5. 選取所需的安全組,然後選取 [ 確定 ] 以關閉對話方塊。

  6. 選取 [ 確定 ] 以關閉 [使用者角色屬性]。

注意

我們建議一個安全組,其中可能包含數個群組,用於 Operations Manager 系統管理員角色。 如此一來,群組和群組的成員就可以從群組中新增和移除,而不需要網域系統管理員執行手動步驟,即可將讀取和刪除子許可權指派給管理群組容器。

使用下列程式來建立AD DS容器。

  1. 以系統管理員身分開啟命令提示字元。

  2. 例如,在提示字元中,輸入下列內容:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

注意

默認路徑為 C:\Program Files\Microsoft System Center 2016\Operations Manager。

注意

默認路徑為 C:\Program Files\Microsoft System Center\Operations Manager。

  1. 上述命令列範例會:

    1. 從命令行執行MOMADAdmin.exe公用程式。

    2. MessageDom 網域的 AD DS 架構根目錄中,建立 “Message Ops” 管理群組 AD DS 容器。 若要在其他網域中建立相同的管理群組 AD DS 容器,請為每個網域執行MOMADAdmin.exe。

    3. MessageDom\MessageADIntAcct 網域使用者帳戶新增至 MessageDom\MessageOMAdmins AD DS 安全組,並將管理 AD DS 容器所需的許可權指派給安全性 AD DS 群組。

使用 Active Directory 網域服務 將計算機指派給管理伺服器

Operations Manager 代理程式指派和故障轉移精靈會建立代理程式指派規則,該規則會使用 Active Directory 網域服務 (AD DS) 將計算機指派給管理群組,並指派計算機的主要管理伺服器和次要管理伺服器。 使用下列程序來啟動並使用精靈。

重要

執行代理程式指派和故障轉移精靈之前,必須先建立管理群組 Active Directory 網域服務 容器。

代理程式指派和故障轉移精靈不會部署代理程式。 您必須使用 MOMAgent.msi,手動將代理程式部署到計算機。

變更代理程式指派規則可能會導致計算機不再被指派給管理群組,因此受到監視。 這些計算機的狀態會變更為重大,因為計算機不再將活動訊號傳送至管理群組。 這些計算機可以從管理群組中刪除,如果計算機未指派給其他管理群組,則可以卸載 Operations Manager 代理程式。

啟動 Operations Manager 代理程式指派和故障轉移精靈

  1. 使用屬於 Operations Manager 系統管理員角色成員的帳戶登入電腦。

  2. 在 Operations 主控台中,選取 [管理]

  3. 在 [系統管理] 工作區中,選取 [管理伺服器]。

  4. 在 [ 管理伺服器 ] 窗格中,以滑鼠右鍵按下管理伺服器或閘道伺服器,以做為您 將在下列程式中建立之規則所傳回之電腦的主要管理伺服器 ,然後選取 [屬性]。

    注意

    閘道伺服器在此內容中的運作就像管理伺服器一樣。

  5. 在 [ 管理伺服器內容] 對話框中,選取 [ 自動代理程式指派 ] 索引標籤,然後選取 [ 新增 ] 以啟動 [代理程式指派和故障轉移精靈]。

  6. 在 [代理程式指派和故障轉移精靈] 的 [簡介] 頁面上,選取 [下一步]。

    注意

    如果精靈已執行且未再次顯示此頁面,則不會出現 [簡介] 頁面。

  7. 在 [ 網域] 頁面上,執行下列動作:

    注意

    若要將來自多個網域的計算機指派給管理群組,請針對每個網域執行 代理程式指派和故障轉移精靈

    • [功能變數名稱] 下拉式清單中選取電腦的網域。 管理伺服器和AD代理程式指派資源集區中的所有電腦都必須能夠解析功能變數名稱。

      重要

      您要管理的管理伺服器和電腦必須具有雙向信任網域。

    • 將 [選取執行身分配置檔] 設定為與網域執行MOMADAdmin.exe時所提供的執行身分帳戶相關聯的執行身分配置檔。 用來執行代理程式指派的預設帳戶是在安裝程式期間指定的預設動作帳戶,也稱為 Active Directory 代理程式指派帳戶。 此帳戶代表連接到指定網域的 Active Directory 和修改 Active Directory 物件時所使用的認證,而且應該符合執行MOMAdmin.exe時指定的帳戶。 如果這不是用來執行MOMADAdmin.exe的帳戶,請選取 [使用不同的帳戶在指定的網域中執行代理程式指派], 然後從 [選取執行身分配置檔 ] 下拉式清單中選取或建立帳戶。 Active Directory 代理程式指派帳戶配置檔必須設定為使用 Operations Manager 系統管理員帳戶,該帳戶會散發到 AD 代理程式指派資源集區中的所有伺服器。

      注意

      如需執行身分配置檔和執行身分帳戶的詳細資訊,請參閱 管理執行身分帳戶和配置檔

  8. 在 [ 包含準則 ] 頁面上,在文本框中輸入將計算機指派給此管理伺服器的LDAP查詢,然後選取 [下一步], 或選取 [ 設定]。 如果您選取 [ 設定],請執行下列動作:

    1. 在 [ 尋找計算機] 對話框中,輸入將計算機指派給此管理伺服器或輸入特定LDAP查詢所需的準則。

      下列LDAP查詢只會傳回執行 Windows Server 作業系統的電腦,而且會排除域控制器。

      (&(objectCategory=computer)(operatingsystem=*server*))

      此範例LDAP查詢只會傳回執行 Windows Server 作業系統的電腦。 它排除裝載 Operations Manager 或 Service Manager 管理伺服器角色的域控制器和伺服器。

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      如需LDAP查詢的詳細資訊,請參閱 建立查詢篩選Active Directory:LDAP語法篩選

    2. 選取確定,然後選取下一步

  9. 在 [ 排除準則 ] 頁面上,輸入您明確想要防止此管理伺服器管理的計算機 FQDN,然後選取 [ 下一步]。

    重要

    您必須以分號、冒號或新行分隔輸入的電腦 FQDN(CTRL+ENTER)。

  10. 在 [ 代理程式故障轉移 ] 頁面上,選取 [自動管理故障轉移 ],然後選取 [ 建立 ] 或選取 [ 手動設定故障轉移]。 如果您選取 [ 手動設定故障轉移],請執行下列動作:

    1. 清除您不希望代理程式故障轉移的管理伺服器複選框。

    2. 選取 建立

      注意

      使用 [ 手動設定故障轉移 ] 選項,如果您後續將管理伺服器新增至管理群組,並想要代理程式故障轉移至新的管理伺服器,則必須再次執行精靈。

  11. 在 [ 管理伺服器屬性] 對話框中,選取 [ 確定]。

注意

代理程式指派設定最多可能需要一小時的時間,才能在 AD DS 中傳播。

完成時,會在管理群組中建立下列規則,並以AD指派資源集區類別為目標

AD 整合代理程式指派規則的螢幕快照。
此規則包含您在代理程式指派和故障轉移精靈中指定的代理程式指派組態資訊,例如LDAP查詢。

若要確認管理群組是否已在 Active Directory 中成功發佈其資訊,請在管理伺服器上,從 Operations Manager 事件記錄檔中的來源 健全狀況服務 模組搜尋事件標識碼 11470。代理程式指派規則已定義。 在描述中,它應該指出它已成功新增至代理程式指派規則的所有計算機。

顯示AD整合代理程式指派成功事件的螢幕快照。

在 Active Directory 的 OperationsManager<ManagementGroupName> 容器下,您應該會看到建立的服務連接點 (SCP) 對象,類似下列範例。

顯示AD整合代理程式指派AD物件的螢幕快照。

此規則也會使用管理伺服器 NetBIOS 名稱建立兩個安全組:後綴為 「_PrimarySG 隨機數」 的第一個安全組,而第二個安全組則為 「_SecondarySG<隨機數>>」。< 在此範例中,管理群組中部署了兩部管理伺服器,而主要安全組 ComputerB_Primary_SG_24901 成員資格包含符合代理程式指派規則中定義的 include 規則的計算機,而安全組 ComputerA_Secondary_SG_38838 成員資格包含主要群組 ComputerB_Primary_SG-29401 安全組,包含代理程式的計算機帳戶,在主要管理伺服器沒有回應的情況下故障轉移至這個次要管理伺服器。 SCP 名稱是管理伺服器 NetBIOS 名稱,後綴為 「_SCP」。。

注意

在此範例中,它只會顯示來自單一管理群組的物件,而不是可能存在且也設定 AD 整合的其他管理群組。

使用 Active Directory 整合設定手動部署代理程式

以下是手動安裝已啟用 Active Directory 整合的 Windows 代理程式的命令行範例。

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

變更代理程式的 Active Directory 整合設定

您可以使用下列程序變更代理程式的 Active Directory 整合設定。

  1. 在代理程式管理的電腦,在控制面板按兩下 [Microsoft Monitoring Agent]。

  2. 在 [ Operations Manager] 索引標籤上,清除或選取 [從 AD DS 自動更新管理群組指派]。 如果選取此選項,在代理程式啟動時,代理程式將會查詢 Active Directory,以取得指派給它的管理群組清單。 這些管理群組 (如果有的話) 將會新增到清單中。 如果清除此選項,Active Directory 中指派給代理程式的所有管理群組就會從清單中移除。

  3. 選取 [確定]。

整合 Active Directory 與不受信任的網域

  1. 在不受信任的網域中建立使用者,並具有在 AD 中讀取、寫入和刪除對象的許可權。
  2. 建立安全組(網域本機或全域)。 將使用者 (在步驟 1 中建立) 新增至此群組。
  3. 使用下列參數在不受信任的網域上執行MOMAdAdmin.exe:path\MOMADAdmin.exe ManagementGroupName<MOMAdminSecurityGroup><RunAsAccount<>網域><><>
  4. 在 Operations Manager 中建立新的執行身分帳戶;使用在步驟 1 中建立的帳戶。 請確定功能變數名稱是以 FQDN 提供,而不是 NetBIOS 名稱(例如:CONTOSO.COM\ADUser)。
  5. 將帳戶散發至 AD 指派資源集區。
  6. 在預設管理元件中建立新的執行身分配置檔。 如果此配置檔是在任何其他管理元件中建立,請務必密封管理元件,以便參考其他管理元件。
  7. 將新建立的執行身分帳戶新增至此配置檔,並將其目標設為AD指派資源集區
  8. 在 Operations Manager 中建立 Active Directory 整合規則。

注意

與不受信任的網域整合之後,每部管理伺服器都會顯示伺服器上的警告訊息 安全性資料庫沒有此工作站信任關係 的計算機帳戶,指出 AD 指派所使用的執行身分帳戶驗證失敗。 事件標識碼 7000 或 1105 會在 Operations Manager 事件記錄檔中產生。 不過,此警示對不受信任的網域中的 AD 指派沒有任何影響。

下一步

若要瞭解如何從 Operations 控制台安裝 Windows 代理程式,請參閱 使用探索精靈 在 Windows 上安裝代理程式,或從命令行安裝代理程式,請參閱 使用手動安裝 Windows 代理程式MOMAgent.msi