SCOM 2012监控跨域计算机

【摘要】
               本文档主要介绍如何配置与SCOM服务器不在同一域内的机器，使其可以被SCOM 2012服务器所监控。
【正文】
一 引入
             我们知道，在SCOM部署完成后，通过管理控制台中的“发现向导”，可以便捷的实现对AD域中计算机的监控：

            
             但是，在实际的企业环境中，往往存在一些计算机并非属于SCOM服务器所在的AD域，它们或者是其它AD域的成员，或者是未加入域的工作组机器，仅仅通过“发现向导”无法实现对这部分计算机的监控。那么，是否就对它们无计可施呢？
             答案是否定的，对于非域内计算机同样可以实现监控，不通过Kerberos验证，而是使用证书验证（Kerberos or certificate based authentication，是Operations Manager代理所支持的两种验证方式）。简单来说，需要做的就是在SCOM服务器及被监控客户端进行证书的相关配置（需要有证书颁发机构CA，独立CA或企业根CA均可）。下面我们来看看如何操作。
二 简要步骤
             在SCOM服务器及Client端所需要进行的操作大概如下图所示：

            
三 具体过程
3.1 先决条件
             SCOM服务器与被监控客户端必须能够解析彼此的FQDN名，如果无法通过DNS服务器实现解析，那么可以在各自的主机文件中添加必要的记录。需要注意的是，对于所监控的工作组计算机，必须为其添加DNS后缀，才能拥有完整的FQDN名。
             保证被监控客户端能够与SCOM服务器的5723端口进行通信，使用telnet命令检测其连通性。
3.2 在CA上配置证书模板
             SCOM服务器与被监控客户端都需要向CA申请证书，但CA中默认的证书模板并不能满足需求，所以必须配置新的模板。
             3.2.1 打开证书颁发机构，右键点击“证书模板”，选择 管理；
             3.2.2 找到“IPSEC（脱机申请）”，右键单击，选择 复制模板；
             3.2.3 在 常规 选项卡下，为证书模板命名，按实际需要选择证书有效期；
             3.2.4 在 处理请求 选项卡下，保持默认的目的为“签名与加密”，“最小密钥大小”建议不小于1024，勾选“允许导出密钥”，再点击CSP，如下勾选两项CSP：

            
             3.2.5 在 扩展 选项卡下，选择“应用程序策略”，点击 编辑，删除默认项并添加“服务器验证”及“客户端验证”

            
             3.2.6 完成配置后，回到证书模板的界面，右键 证书模板，选择新建-要颁发的证书模板，将新的证书模板启用，这样该证书模板就可以使用了：
3.3 为SCOM服务器安装CA根证书

            
             3.3.1 通过网页访问根CA，选择“下载CA证书链”，保存到本地（p7b格式）

            
             3.3.2 运行“mmc”打开控制台，点击 文件-添加/删除组件-证书-计算机账号-本地计算机

            
             3.3.3 展开受信任根证书颁发机构，右键点击 证书-所有任务-导入，将已经下载到本地的CA证书导入到本地根证书颁发机构

            

            
3.4 为SCOM服务器申请证书
             3.4.1 新建txt文件包含以下内容（其中FQDN为SCOM服务器的FQDN名），另存为inf文件，如cert-req.inf
[NewRequest]
Subject="CN=FQDN"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2

            
             3.4.2 在SCOM服务器上，打开cmd，转到cert-req.inf文件所在路径下，执行命令生成证书申请文件cert-req.req：CertReq �CNew �Cf cert-req.inf cert-req.req

            
             3.4.3 通过网页访问根CA，选择 申请一个证书 - 高级证书申请 �C“使用base64…续订证书申请”

            
             3.4.4 打开证书申请文件cert-req.req，将其内容拷贝到“保存的申请”方框中，证书模板选择新增的模板，提交申请

            
             3.4.5 证书颁发后，选择 下载证书，保存为certnew.cer

            
3.5 将所申请的证书导入到Operations Manager中
             3.5.1 证书下载到本地后，需要先导入到证书存储中，在CMD下执行命令CertReq -Accept certnew.cer

            
             3.5.2 使用MOMCertImport工具对证书执行导入操作，该工具可在SCOM安装文件的\SupportTools\i386目录找到（64位系统为\SupportTools\amd64），命令为： MOMCertImport /SubjectName （此处为SCOM的FQDN名）

           
             至此，SCOM服务器的配置完成，接下来是被监控客户端Client的配置。除了安装Agent，其它操作与SCOM服务器相同，也是申请证书并导入，步骤类似，故不再赘述。
3.6 为Client手动安装SCOM代理，运行MOMAgent.msi，安装过程中选择 指定管理组信息，并将管理组名称以及SCOM服务器的FQDN名，端口为5723，其它选项按默认即可

            
3.7 为Client安装CA根证书，将SCOM服务器上已经下载的根证书拷贝到Client本地，使用MMC进行导入操作

             
3.8 为Client申请证书，新建txt文件包含以下内容（其中FQDN为Client的FQDN名），另存为inf文件，以此生成证书申请文件并向CA申请证书
[NewRequest]
Subject="CN=FQDN"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
3.9 下载所申请的证书，导入到本地证书存储并使用MOMCertImport工具将其导入到Operations Manager中，注意命令中需使用Client的FQDN名
3.10 发现并允许手动安装的代理
             3.10.1 要使Client能被SCOM服务器所发现，需要在SCOM服务器上更改安全设置，如下图示：

            
             3.10.2 在Pending Management界面中，需要管理员可以对其执行允许的操作，这样就可以正常监控