Servidores de gateway são usados para habilitar o gerenciamento por agente de computadores que se encontram fora do limite de confiabilidade Kerberos de grupos de gerenciamento, como em um domínio não confiável. O servidor gateway atua como ponto de concentração para a comunicação do agente com o servidor de gerenciamento. Os agentes de domínios não confiáveis se comunicam com o servidor Gateway e este se comunica com um ou mais servidores de gerenciamento. Como a comunicação entre o servidor de gateway e os servidores de gerenciamento ocorre apenas por uma porta (TCP 5723), esta é a única porta que deve ser aberta em firewalls intermediários para habilitar o gerenciamento de vários computadores gerenciados por agente. É possível inserir vários servidores Gateway em um único domínio para que os agentes possam realizar failover de um para o outro, caso percam comunicação com um dos servidores Gateway. Da mesma maneira, um único servidor gateway pode ser configurado para realizar failover entre os servidores de gerenciamento, de forma que nenhum ponto de falha exista na cadeia de comunicação.
Como o servidor gateway reside em um domínio que não é confiável para o domínio no qual o grupo de gerenciamento reside, é necessário usar certificados para estabelecer a identidade de cada computador, agente, servidor gateway e servidor de gerenciamento. Esse procedimento satisfaz o requisito do Operations Manager de autenticação mútua.
.gif) Observação |
|
Para monitorar computadores que estão fora do limite de confiança dos servidores de gerenciamento sem o uso de um servidor gateway, você precisa instalar e manter manualmente certificados nos servidores de gerenciamento e nos computadores a serem monitorados. Quando essa configuração é usada no lugar de um servidor gateway, portas adicionais devem ser abertas para a comunicação do servidor de gerenciamento com o agente. Para obter uma listagem de todas as portas que são necessárias, consulte Monitoramento com e sem agente e Configurações com suporte para o Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=86539). |
Visão geral do procedimento
-
Solicite certificados para qualquer computador na cadeia do servidor de gerenciamento, servidor de gateway e agente.
-
Importe esses certificados para os computadores de destino usando a ferramenta MOMCertImport.exe do Operations Manager 2007.
-
Distribua Microsoft.EnterpriseManagement.gatewayApprovalTool.exe no servidor de gerenciamento.
-
Execute a ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe para iniciar a comunicação entre o servidor de gerenciamento e o gateway
-
Instale o servidor gateway.
Preparando para instalação
Antes de iniciar
-
A implantação de servidores de gateway exige certificados. Você precisa ter acesso a um autoridade de certificação. Pode ser uma autoridade de certificação pública, como a VeriSign, ou você pode usar os Serviços de Certificados Microsoft. Esse procedimento apresenta as etapas para solicitar, obter e importar um certificado dos Serviços de Certificados Microsoft.
-
A resolução de nome confiável deve existir entre os computadores gerenciados por agente e o servidor de gateway, e entre o servidor de gateway e os servidores de gerenciamento. Geralmente, essa resolução de nome é feita por meio do DNS. No entanto, se não for possível obter a resolução de nome adequada por meio do DNS, pode ser necessário criar entradas manualmente no arquivo host de cada computador.
|
Observação |
|
O arquivo host está localizado no diretório \Windows\system32\drivers\etc e contém orientações para a configuração. |
Obtendo certificados de computador dos Serviços de Certificados Microsoft
Distribuindo a ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool
A ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe é necessária somente no servidor de gerenciamento e precisa ser executada apenas uma vez.
Para copiar a ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe nos servidores de gerenciamento
-
De um servidor de gerenciamento de destino, abra o diretório \SupportTools da mídia de instalação.
-
Copie a ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe da mídia de instalação no diretório de instalação do Operations Manager 2007, que geralmente é c:\Arquivos de Programas\System Center Operations Manager 2007.
Registrando o gateway com o grupo de gerenciamento
Este procedimento registra o servidor de gateway com o grupo de gerenciamento, e quando essa ação é concluída, o servidor de gateway é exibido no modo de exibição Inventário Descoberto do grupo de gerenciamento.
Para executar a ferramenta de aprovação do gateway
-
No servidor de gerenciamento apontado durante a instalação do servidor de gateway, faça logon com a conta de Administrador do Operations Manager.
-
Abra uma janela Prompt de Comando e vá até o diretório \Arquivos de Programas\System Center Operations Manager 2007 ou até o diretório em que você copiou a ferramenta Microsoft.EnterpriseManagement.gatewayApprovalTool.exe.
-
No prompt de comando, execute Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create
-
Se a aprovação for bem-sucedida, você verá The approval of server <GatewayFQDN> completed successfully.
-
Se precisar remover o servidor de gateway do grupo de gerenciamento, execute o mesmo comando, mas substitua o sinalizador /Action=Delete pelo sinalizador /Action=Create.
-
Abra o console de Operações no modo de exibição Monitoramento. Selecione o modo de exibição Inventário Descoberto para ver se o servidor de gateway está presente.
Instalando o servidor de gateway do Operations Manager 2007
Este procedimento instala o servidor de gateway. O servidor que será o servidor gateway deve ser membro do mesmo domínio ou grupo de trabalho que os computadores gerenciados por agente que estarão subordinados a ele.
.gif) Dica |
| Uma instalação falhará ao iniciar o Windows Installer (por exemplo, instalando um servidor de gateway clicando duas vezes em MOMGateway.msi) em um computador que execute o Windows Server 2008 se a diretiva de segurança local Controle de Conta de Usuário: Executar todos os administradores no Modo de Aprovação de Administrador estiver habilitada (que é a configuração padrão no Windows Server 2008). |
Para executar o Windows Installer do gateway do Operations Manager 2007 de um prompt de comando no Windows Server 2008
-
Na área de trabalho do Windows, clique em Iniciar, aponte para Programas, Acessórios, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.
-
Na janela Administrador: Prompt de Comando, vá até a unidade local que hospeda a mídia de instalação do Operations Manager 2007.
-
Navegue até o diretório em que o arquivo .msi está localizado, digite o nome do arquivo .msi e pressione ENTER.
Para instalar o servidor de gateway do Operations Manager 2007
-
Faça logon no servidor de gateway com direitos de Administrador.
-
Na mídia de instalação do Operations Manager 2007, inicie SetupOM.exe.
-
Na área Instalar, clique no link Instalar gateway do Operations Manager 2007 R2.
-
Na tela Bem-vindo, clique em Avançar.
-
Na página Pasta de Destino, aceite o padrão ou clique em Alterar para selecionar um diretório de instalação diferente e clique em Avançar.
-
Na página Configuração do Grupo de Gerenciamento, digite o nome do grupo de gerenciamento de destino no campo Nome do Grupo de Gerenciamento, digite o nome do servidor de gerenciamento de destino no campo Servidor de Gerenciamento, verifique se o campo Porta do Servidor de Gerenciamento é 5723 e clique em Avançar. Essa porta poderá ser alterada se você tiver habilitado uma porta diferente para a comunicação do servidor de gerenciamento no console de Operações.
-
Na página Conta de Ação do Gateway, selecione a opção de conta Sistema Local, a menos que você tenha criado, especificamente, uma conta de ação do gateway baseada no computador local ou no domínio. Clique em Avançar.
-
Na página Microsoft Update, como opção, indique se deseja usar o Microsoft Update e clique em Avançar.
-
Na página Pronto para instalar, clique em Instalar.
-
Na página Concluindo a Instalação, clique em Concluir.
Importando certificados com a ferramenta MOMCertImport.exe
Execute essa operação em cada servidor de gateway, servidor de gerenciamento e computador que será gerenciado por agente e que esteja em um domínio que não seja confiável.
Para importar certificados de computador usando a ferramenta MOMCertImport.exe
-
Copie a ferramenta MOMCertImport.exe do diretório \SupportTools\<plataforma> (i386 ou ia64) da mídia de instalação na raiz do servidor de destino ou no diretório de instalação do Operations Manager 2007 se o servidor de destino for um servidor de gerenciamento.
-
Abra uma janela Prompt de Comando e altere o diretório para o diretório onde se encontra a ferramenta MOMCertImport.exe e execute momcertimport.exe /SubjectName <certificate subject name>. Assim, o certificado pode ser utilizado pelo Operations Manager.
Configurando os servidores de gateway para failover entre servidores de gerenciamento
Embora os servidores de gateway possam se comunicar com qualquer servidor de gerenciamento no grupo de gerenciamento, isso deve ser configurado. Nesse cenário, os servidores de gerenciamento secundários são identificados como destinos para o failover do servidor de gateway e o RMS Clusterizado é excluído do failover. Essa é um prática recomendada comum realizada para evitar carga desnecessária no RMS.
Use o comando Set-ManagementServer-gatewayManagementServer no Shell de Comando, como mostra o exemplo a seguir, para configurar um servidor de gateway para failover em vários servidores de gerenciamento. Os comandos podem ser executados de qualquer Shell de Comando no grupo de gerenciamento.
Para configurar o failover do servidor de gateway entre servidores de gerenciamento
-
Faça logon no servidor de gerenciamento com uma conta que seja membro da função Administradores do grupo de gerenciamento.
-
Na área de trabalho do Windows, clique em Iniciar, aponte para Programas, System Center Operations Manager e clique em Shell de Comando.
-
No Shell de Comando, siga o exemplo descrito na seção a seguir.
Descrição
Este exemplo pode ser usado para configurar o failover do servidor gateway em vários servidores de gerenciamento.
Código
$primaryMS = Get-ManagementServer | em que {seu filtro aqui} $failoverMS = Get-ManagementServer | em que {seu filtro aqui} $gatewayMS = Get-ManagementServer | em que {seu filtro aqui} Set-ManagementServer -gatewayManagementServer: $gatewayMS -ManagementServer: $primaryMS -FailoverServer: $failoverMS
Comentários
No exemplo acima, você deve criar uma instrução de filtro para os três primeiros comandos. Veja a seguir um exemplo de um comando de filtro escrito para encontrar o computername.com do computador que será atribuído à variável $failoverMS:
$failoverMS = Get-ManagementServer | where {$_.Name –eq ’computername.com’ }
Para obter ajuda com o comando Set-ManagementServer, digite o seguinte na janela Shell de Comando:
Get-help Set-ManagementServer -full
Para verificar o failover bem-sucedido do servidor gateway
-
Abra uma janela de comando usando a opção Executar como Administrador.
-
No prompt de comando, digite netstat –n|findstr 5723.
Isso pesquisará as conexões de rede do servidor gateway para a porta 5723 e mostrará com quais endereços IP ele está se comunicando através dessa porta. O endereço IP do novo servidor de gerenciamento deve ser listado.