SCOM 2012监控跨域计算机

【摘要】
               本文档主要介绍如何配置与SCOM服务器不在同一域内的机器,使其可以被SCOM 2012服务器所监控。
【正文】
一 引入
             我们知道,在SCOM部署完成后,通过管理控制台中的“发现向导”,可以便捷的实现对AD域中计算机的监控:

             image001
             但是,在实际的企业环境中,往往存在一些计算机并非属于SCOM服务器所在的AD域,它们或者是其它AD域的成员,或者是未加入域的工作组机器,仅仅通过“发现向导”无法实现对这部分计算机的监控。那么,是否就对它们无计可施呢?
             答案是否定的,对于非域内计算机同样可以实现监控,不通过Kerberos验证,而是使用证书验证(Kerberos or certificate based authentication,是Operations Manager代理所支持的两种验证方式)。简单来说,需要做的就是在SCOM服务器及被监控客户端进行证书的相关配置(需要有证书颁发机构CA,独立CA或企业根CA均可)。下面我们来看看如何操作。
二 简要步骤
             在SCOM服务器及Client端所需要进行的操作大概如下图所示:

             image002
三 具体过程
3.1 先决条件
             SCOM服务器与被监控客户端必须能够解析彼此的FQDN名,如果无法通过DNS服务器实现解析,那么可以在各自的主机文件中添加必要的记录。需要注意的是,对于所监控的工作组计算机,必须为其添加DNS后缀,才能拥有完整的FQDN名。
             保证被监控客户端能够与SCOM服务器的5723端口进行通信,使用telnet命令检测其连通性。
3.2 在CA上配置证书模板
             SCOM服务器与被监控客户端都需要向CA申请证书,但CA中默认的证书模板并不能满足需求,所以必须配置新的模板。
             3.2.1 打开证书颁发机构,右键点击“证书模板”,选择 管理;
             3.2.2 找到“IPSEC(脱机申请)”,右键单击,选择 复制模板;
             3.2.3 在 常规 选项卡下,为证书模板命名,按实际需要选择证书有效期;
             3.2.4 在 处理请求 选项卡下,保持默认的目的为“签名与加密”,“最小密钥大小”建议不小于1024,勾选“允许导出密钥”,再点击CSP,如下勾选两项CSP:

             image003
             3.2.5 在 扩展 选项卡下,选择“应用程序策略”,点击 编辑,删除默认项并添加“服务器验证”及“客户端验证”

             image004
             3.2.6 完成配置后,回到证书模板的界面,右键 证书模板,选择新建-要颁发的证书模板,将新的证书模板启用,这样该证书模板就可以使用了:
3.3 为SCOM服务器安装CA根证书

             image005
             3.3.1 通过网页访问根CA,选择“下载CA证书链”,保存到本地(p7b格式)

             image006
             3.3.2 运行“mmc”打开控制台,点击 文件-添加/删除组件-证书-计算机账号-本地计算机

             image007
             3.3.3 展开受信任根证书颁发机构,右键点击 证书-所有任务-导入,将已经下载到本地的CA证书导入到本地根证书颁发机构

             image008

             image009
3.4 为SCOM服务器申请证书
             3.4.1 新建txt文件包含以下内容(其中FQDN为SCOM服务器的FQDN名),另存为inf文件,如cert-req.inf
[NewRequest]
Subject="CN=FQDN"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2

             image010
             3.4.2 在SCOM服务器上,打开cmd,转到cert-req.inf文件所在路径下,执行命令生成证书申请文件cert-req.req:CertReq �CNew �Cf cert-req.inf cert-req.req

             image011
             3.4.3 通过网页访问根CA,选择 申请一个证书 - 高级证书申请 �C“使用base64…续订证书申请”

             image012
             3.4.4 打开证书申请文件cert-req.req,将其内容拷贝到“保存的申请”方框中,证书模板选择新增的模板,提交申请

             image013
             3.4.5 证书颁发后,选择 下载证书,保存为certnew.cer

             image014
3.5 将所申请的证书导入到Operations Manager中
             3.5.1 证书下载到本地后,需要先导入到证书存储中,在CMD下执行命令CertReq -Accept certnew.cer

             image015
             3.5.2 使用MOMCertImport工具对证书执行导入操作,该工具可在SCOM安装文件的\SupportTools\i386目录找到(64位系统为\SupportTools\amd64),命令为: MOMCertImport /SubjectName (此处为SCOM的FQDN名)

            image016
             至此,SCOM服务器的配置完成,接下来是被监控客户端Client的配置。除了安装Agent,其它操作与SCOM服务器相同,也是申请证书并导入,步骤类似,故不再赘述。
3.6 为Client手动安装SCOM代理,运行MOMAgent.msi,安装过程中选择 指定管理组信息,并将管理组名称以及SCOM服务器的FQDN名,端口为5723,其它选项按默认即可

             image017
3.7 为Client安装CA根证书,将SCOM服务器上已经下载的根证书拷贝到Client本地,使用MMC进行导入操作

              image018
3.8 为Client申请证书,新建txt文件包含以下内容(其中FQDN为Client的FQDN名),另存为inf文件,以此生成证书申请文件并向CA申请证书
[NewRequest]
Subject="CN=FQDN"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
3.9 下载所申请的证书,导入到本地证书存储并使用MOMCertImport工具将其导入到Operations Manager中,注意命令中需使用Client的FQDN名
3.10 发现并允许手动安装的代理
             3.10.1 要使Client能被SCOM服务器所发现,需要在SCOM服务器上更改安全设置,如下图示:

             image019
             3.10.2 在Pending Management界面中,需要管理员可以对其执行允许的操作,这样就可以正常监控

              image020

你可能感兴趣的:(服务器,计算机,监控,控制台,如何)