组织通常使用 System Center Operations Manager 中的网关服务器来监视管理组的 Kerberos 信任边界之外的客户端计算机。 但是,网关也在同一域中很有用。 例如,可能需要分段网络并减少打开的防火墙端口数。 另一种情形是为那些距离过远、无法在五分钟心跳间隔内可靠连接到管理服务器的代理使用网关。
代理直接与网关服务器通信,网关服务器与一个或多个管理服务器通信。 可以将多个网关服务器放置在单个域中,以便在代理与主网关失去通信时能够从一个网关自动切换到另一个。 同样,可以将单个网关服务器配置为在管理服务器之间进行故障转移,以便通信链中不存在任何单一故障点。
网关服务器充当代理到管理服务器通信的代理。 它只允许在网络之间打开一个端口,以取代许多端口。
必须使用证书来确认每台计算机的身份,当它位于 Kerberos 信任边界之外时。 如果没有证书,系统可能会连接,但拒绝通信,因为它们无法对连接进行身份验证。
先决条件
确保服务器满足 Operations Manager 的最低系统要求。
确保网关和管理服务器之间打开端口 5723,如 配置 Operations Manager 防火墙中所述。
注意
建议不要使用 NT Authority\SYSTEM 用户安装 System Center Operations Manager。
重要注意事项
如果安全策略限制 TLS 1.0 和 1.1,则安装新的 Operations Manager 2016 网关服务器角色失败,因为安装媒体不包含支持 TLS 1.2 的更新。 安装此角色的唯一方法是在系统上启用 TLS 1.0,应用更新汇总 4,然后在系统上启用 TLS 1.2。
生成证书并执行名称解析
在标准方案中继续安装网关角色之前,需要为网关和管理服务器生成证书,并将其安装在证书存储中。 如果在工作组方案中使用网关和客户端服务器,则客户端还需要证书。
用于身份验证的证书
在没有双向可传递信任的域中或工作组中部署网关服务器需要使用证书进行身份验证。 除了连接到主服务器和故障转移管理服务器的网关外,主服务器和故障转移管理服务器还需要证书。 如果为 Operations Manager 正确配置了这些证书,这些证书可能来自Microsoft证书服务证书颁发机构(CA)或非Microsoft CA。
如果需要有关创建这些证书的帮助,请参阅 获取用于 Windows Server 和 System Center Operations Manager 的证书。
请记住以下几点:
- 与管理组位于同一域或共享信任边界中的网关服务器不需要证书。
- 如果网关和代理位于工作组中,则需要每个管理服务器、网关和客户端计算机的证书。 工作组中没有域来促进系统身份验证。
可靠名称解析
代理管理的计算机与网关服务器之间以及网关服务器与管理服务器之间必须存在可靠的名称解析。 此名称解析通常通过 DNS 完成。 但是,如果无法通过 DNS 获取正确的名称解析,则可能需要在每台计算机的主机文件中手动创建条目。
位于 %SystemRoot%\system32\drivers\etc 目录中的 hosts 文件包含配置方向。 必须在记事本或其他以管理员身份运行的应用程序中编辑此文件。
重要
在服务器之间进行身份验证之前,会检查正向和反向名称解析。 如果在检查 IP 地址时收到其他主机名或完全限定的域名(FQDN),身份验证将失败。
向管理组注册网关
为了防止以后出现问题,请务必在安装之前将预期网关计算机注册并批准为网关。 否则,您将面临网关被当作代理的风险。
从管理服务器执行以下步骤,最好是主管理服务器或根管理服务器模拟器(RMSE)服务器:
在 Operations Manager 安装介质中,找到
Microsoft.EnterpriseManagement.GatewayApprovalTool.exe..\SupportTools\amd64\。将可执行文件和具有相同名称的配置文件复制到下面的安装路径。
%ProgramFiles%\Microsoft System Center\Operations Manager\Server以管理员身份打开命令提示符并转到 Operations Manager 安装目录(例如,
cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)。使用以下命令将预期网关注册为网关。 请务必将服务器名称替换为你自己的名称。
Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create若要防止网关服务器启动与管理服务器的通信,可以使用
/ManagementServerInitiatesConnection=True命令中的参数。 默认情况下,网关启动通信。 但是,如果要避免从网关所在的网络访问主域的任何入站访问,此参数非常有用。 例如:Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create如果审批成功,将显示消息
The approval of server <GatewayFQDN> completed successfully。如果需要从管理组中删除网关服务器,请运行相同的命令,但替换
/Action=Create标志/Action=Delete。在监视视图中打开操作控制台。 选择 “已发现清单 ”视图以验证网关服务器是否存在。 服务器还应在 “管理>设备管理>服务器”下查看。
安装网关角色
在目标网关服务器注册到管理组后,是时候在新网关上安装角色了。
注意
如果启用本地安全策略 用户帐户控制:在管理员批准模式下运行所有管理员 ,则在启动 Windows Installer 时安装将失败。 例如,通过双击 MOMGateway.msi安装网关服务器时,可能会出现此问题。
如果在安装过程中遇到问题,可以在中 %LocalAppData%\SCOM\Logs查找日志。
使用管理员权限登录到网关服务器。
通过 Operations Manager 安装媒体启动 Setup.exe。
在 “安装 ”区域中,选择 “网关管理服务器 ”链接(而不是窗口底部的“大型 安装” 链接)。
在“欢迎”屏幕上,选择“下一步” 。
在 “目标文件夹” 页上,接受默认值,或选择“ 更改 ”以选择其他安装目录。 然后选择下一步。
在 “管理组配置 ”页上,进行以下选择,然后选择“ 下一步” :
- 在 “管理组名称 ”框中,输入目标管理组的名称。
- 在 “管理服务器 ”框中,输入目标管理服务器的名称。
- 检查 管理服务器端口 值是否为 5723。
在“网关操作账户”页上,选择“本地系统”账户选项,除非使用的是基于域或本地计算机的网关操作账户。 然后选择下一步。
在 “Microsoft更新 ”页上,可以选择指示是否要使用Microsoft更新,然后选择“ 下一步”。 (通常,此选择为 “否”。
在“准备安装”页面上,选择“安装”。
在 “完成”页上,选择“完成”。
使用 MOMCertImport.exe 工具导入证书
在每个网关和管理服务器上执行此操作,并在被工作组中代理管理的任何客户端计算机上执行此操作:
确保已安装证书。
在安装介质中,找到
..\SupportTools\amd64\下的MOMCertImport.exe文件。将文件复制到目标服务器的根目录或 Operations Manager 安装目录。 例如:
%ProgramFiles%\Microsoft System Center\Operations Manager\Server。以管理员身份打开命令提示符,并将目录更改为包含
MOMCertImport.exe的目录。 例如:cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server。运行命令
MOMCertImport.exe /SubjectName subjectNameFQDN,其中subjectNameFQDN是证书上定义的主题。还可以在没有任何参数的情况下运行
MOMCertImport.exe。 然后,可以从显示本地计算机个人存储中的证书的弹出窗口中选择证书。如果导入成功,则会重启Microsoft Monitoring Agent 服务,并将事件 ID 20053 记录到 Operations Manager 事件日志。 如果此事件 ID 不存在,请观察以下 ID 中是否存在任何问题的详细信息,并相应地进行更正:20049、20050、20052、20066、20069、20077。
提示
成功导入证书后,指纹的镜像版本将显示在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber。
配置网关服务器以在管理服务器之间进行故障切换
默认情况下,网关服务器仅与一台管理服务器通信:其主服务器。 如果此连接丢失,网关和任何附加代理在控制台中不可用,并且无法监视。 如果您有多个管理服务器,可以通过配置网关可以进行故障转移的管理服务器来防止此问题,直至主服务器再次变得可用。 以下步骤演示如何配置故障切换。
以下步骤中的示例命令使用 Operations Manager shell 中的 Set-SCOMParentManagementServer cmdlet 将网关服务器配置为故障转移到多个管理服务器。 可以从管理组中的任何命令行管理程序运行命令。
使用作为 Operations Manager 管理员角色成员的帐户登录到管理服务器。
在“ 开始 ”菜单上 Microsoft System Center 下,运行 Operations Manager Shell。
在控制台中运行以下命令:
$GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com" $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com" Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer注意
不能将故障转移服务器设置为与主服务器相同,除非同时或首先更改主服务器。 如果要更改主数据库并将其设置为辅助数据库,请使用以下命令:
$GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com" $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com" $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com" Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
串联多个网关服务器
有时(尽管不常见)需要将多个网关链接在一起,以便跨多个不受信任的边界监视它们。
以下提示适用于链接网关:
- 一次仅安装一个网关。 在链中添加另一个网关之前,验证每个新安装的网关是否在 Operations Manager 控制台中显示为正常。
- 将链末尾的网关添加到同一资源池时, 请勿 使用
Set-SCOMParentManagementServer命令配置到另一个链的故障转移。 在这种情况下,池将无法按预期工作。 为了使故障转移配置和资源池协同工作,链的网关端应该具有相同的父节点。
若要配置网关链,请使用该工具 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe ,就像对初始网关服务器所做的那样。 这次,你需要将 ManagementServerName 设置为链中的上游网关服务器。 例如,如果 GW02 要连接到 GW01,则此方案中的ManagementServer值是GW01。
请登录已设置
GatewayApprovalTool.exe工具的管理服务器。以管理员身份打开命令提示符,并转到保存该工具的目录。
运行以下命令以批准下游网关服务器。 请务必将服务器名称替换为你自己的名称。
Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create在新服务器上安装网关角色。
在 GW01 和 GW02 之间配置证书的方式与在网关与管理服务器之间配置证书的方式相同。 健康服务只能加载和使用单个证书。 因此,链中网关的父级和子级使用相同的证书。
相关内容
- 若要了解在管理组中的多个服务器上安装 Operations Manager 服务器角色的顺序和步骤,请参阅 Operations Manager 的分布式部署。