Table of contents
TOC
Tartalomjegyzék összecsukása
Tartalomjegyzék kibontása

Active Directory-integráció konfigurálása és használata ügynök-hozzárendeléshez

Matt Goedtel|Utoljára frissítve:: 2017. 03. 13.
|
1 Közreműködő

A következőkre vonatkozik: System Center 2016 – Operations Manager

A System Center 2016 – Operations Manager képes az Active Directory Domain Services (AD DS) segítségével hozzárendelni az ügynök által felügyelt számítógépeket a felügyeleti csoportokhoz, ezzel is elősegítve a tartományi szolgáltatások által biztosított lehetőségek teljes körű kihasználását. A cikkben segítséget talál tároló konfigurációjának létrehozásához és kezeléséhez az Active Directoryben, valamint azoknak a felügyeleti kiszolgálóknak az ügynök-hozzárendeléséhez, amelyeknek az ügynökök jelentést küldenek.

Az Active Directory tartományi szolgáltatások tárolójának létrehozása felügyeleti csoporthoz

Az alábbi parancssori szintaxissal és eljárással Active Directory tartományi szolgáltatást (AD DS-t) hozhat létre a System Center 2016 – Operations Manager felügyeleti csoportjához. Erre a célra használható az Operations Manager felügyeleti kiszolgáló részeként telepített MOMADAdmin.exe fájl. A MOMADAdmin.exe fájlt a megadott tartomány rendszergazdája futtathatja.

Parancssori szintaxis:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Fontos

Ha az érték szóközt tartalmaz, akkor idézőjelek közé kell tenni.

  • ManagementGroupName: annak a felügyeleti csoportnak neve, amelyhez a létrehozandó AD-tároló tartozik.

  • MOMAdminSecurityGroup: annak a tartományi biztonsági csoportnak a neve tartomány\biztonsági_csoport formátumban, amely az Operations Manager-rendszergazdák szerepkör tagja a felügyeleti csoportban.

  • RunAsAccount: annak a tartományi fióknak a neve, amelyet a felügyeleti kiszolgáló fog használni az AD-beli objektumok olvasására, írására és törlésére. A használandó formátum tartomány\felhasználónév.

  • Domain: annak a tartománynak a neve, amelyben a felügyeleti csoport tárolója létre lesz hozva. A MOMADAdmin.exe tartományok között csak akkor futtatható, ha kétirányú megbízhatósági kapcsolat van közöttük.

Az Active Directory-integráció sikeres működéséhez a biztonsági csoportnak vagy globális biztonsági csoportnak (ha az Active Directory-integráció több tartományban fog működni kétirányú megbízhatósági kapcsolattal), vagy helyi biztonsági csoportnak kell lennie (ha az Active Directory-integráció csak egy tartományban lesz használva)

Az Operations Manager Rendszergazdák csoportjához az alábbi eljárással adhat hozzá biztonsági csoportot.

  1. Az operatív konzolon válassza az Adminisztráció lehetőséget.

  2. Az Adminisztráció munkaterületen válassza a Felhasználói szerepek lehetőséget a Biztonság csomóponton.

  3. A Felhasználói szerepek alatt válassza az Operations Manager-rendszergazdák lehetőséget, majd kattintson a Tulajdonságok elemre, vagy jobb gombbal kattintson az Operations Manager-rendszergazdák elemre, és válassza a Tulajdonságok lehetőséget.

  4. A Hozzáadás gombra kattintva nyissa meg a Csoport kijelölése párbeszédpanelt.

  5. Válassza ki a kívánt biztonsági csoportot, majd kattintson az OK gombra a párbeszédpanel bezárásához.

  6. Kattintson az OK gombra a Felhasználói szerepkörök tulajdonságai panel bezárásához.

Megjegyzés

Az Operations Manager rendszergazdai szerepköréhez ajánlatos egy biztonsági csoportot használni, amely további csoportokat is tartalmazhat. Ezzel lehetővé válik, hogy csoportokat és csoporttagokat anélkül lehessen csoportokhoz hozzáadni és eltávolítani onnan, hogy a tartományi rendszergazdának manuálisan kellene hozzájuk rendelnie olvasási és gyermekobjektum-törlési jogosultságokat a Felügyeleti csoport tárolójában.

Az AD DS-tároló létrehozásához kövesse az alábbi eljárást.

  1. Nyisson meg rendszergazdaként egy parancssort.

  2. A parancssorba írja be például a következőt:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

  3. Az előző parancssori példa az alábbi tevékenységeket végzi el:

    1. A parancssorból futtatja a MOMADAdmin.exe eszközt.

    2. Létrehozza a felügyeleti csoport "Message Ops" AD DS-tárolóját a MessageDom tartományban az AD DS-séma gyökerében. Ha a felügyeleti csoport AD DS-tárolóját további tartományokban is létre szeretné hozni, futtassa a MOMADAdmin.exe fájlt mindegyik kívánt tartomány esetén.

    3. Hozzáadja a MessageDom\MessageADIntAcct tartományi felhasználói fiókot a MessageDom\MessageOMAdmins AD DS biztonsági csoporthoz, és hozzárendeli az AD DS-tároló felügyeletéhez szükséges jogosultságokat a biztonsági AD DS-csoporthoz.

Az Active Directory tartományi szolgáltatások használata számítógépek felügyeleti kiszolgálókhoz való hozzárendeléséhez

Az Operations Manager Ügynök-hozzárendelés és feladatátvétel varázsló egy ügynök-hozzárendelési szabályt hoz létre, amely az Active Directory Domain Servicest (AD DS-t) használja a számítógépek felügyeleti csoporthoz való hozzárendeléséhez, valamint az elsődleges felügyeleti kiszolgáló és a másodlagos felügyeleti kiszolgáló hozzárendeléséhez. A varázsló elindításához és használatához használja az alábbi eljárást.

Fontos

Az Ügynök-hozzárendelés és feladatátvétel varázsló futtatása előtt létre kell hoznia a felügyeleti csoport tárolóját az Active Directory Domain Servicesben.

Az Ügynök-hozzárendelés és Feladatátvétel varázsló nem helyezi üzembe az ügynököt. Az ügynököt manuálisan kell üzembe helyeznie a számítógépeken a MOMAgent.msi használatával.

Az ügynök-hozzárendelési szabály megváltoztatása azt eredményezheti, hogy a számítógép már nem lesz a felügyeleti csoporthoz hozzárendelve, így az nem tudja tovább figyelni a számítógépet. A számítógép állapota kritikusra változik, mert az nem tud szívverést küldeni a felügyeleti csoportnak. Az ilyen a számítógépek törölhetők a felügyeleti csoportból, és ha nincsenek hozzárendelve más felügyeleti csoportokhoz, akkor az Operations Manager-ügynök is eltávolítható.

Az Operations Manager Ügynök-hozzárendelés és Feladatátvétel varázslójának elindítása

  1. Jelentkezzen be a számítógépre az Operations Manager-rendszergazdák szerepkörbe tartozó fiókkal.

  2. A Operatív konzolon kattintson az Adminisztráció elemre.

  3. Az Adminisztráció munkaterületen kattintson a Felügyeleti kiszolgálók lehetőségre.

  4. A Felügyeleti kiszolgálók panelen jobb gombbal kattintson arra a felügyeleti kiszolgálóra vagy átjáróra, amely a következő eljárás során létrehozandó szabályok által visszaadott számítógépek Elsődleges felügyeleti kiszolgálója lesz, majd kattintson a Tulajdonságok lehetőségre.

    Megjegyzés

    Ebben a környezetben az átjárókiszolgálók a felügyeleti kiszolgálókhoz hasonlóan működnek.

  5. A Felügyeleti kiszolgáló tulajdonságai párbeszédpanelen kattintson az Automatikus ügynök-hozzárendelés lapra, majd kattintson a Hozzáadás lehetőségre az Ügynök-hozzárendelés és feladatátvétel varázsló elindításához.

  6. Az Ügynök-hozzárendelés és feladatátvétel varázslóBevezetés lapján kattintson a Tovább gombra.

    Megjegyzés

    A Bevezetés lap nem jelenik meg, ha a varázslót már korábban is futtatták, és bejelölték a Ne jelenjen meg többé ez a lap lehetőséget.

  7. A Tartomány lapon végezze el az alábbiakat:

    Megjegyzés

    Ha több tartományból szeretne számítógépeket felügyeleti csoporthoz hozzárendelni, mindegyik tartomány esetében futtassa az Ügynök-hozzárendelés és feladatátvétel varázslót.

    • A Tartománynév legördülő listából válassza ki a számítógépek tartományát. A felügyeleti kiszolgálónak és az AD- ügynök hozzárendelése nevű erőforráskészlet minden számítógépének képesnek kell lennie feloldani a tartománynevet.

      Fontos

      A felügyeleti szervernek és a felügyelendő számítógépeknek kétirányú megbízhatósággal elérhető tartományban kell lennie.

    • A Futtató fiókot állítsa be a MOMADAdmin.exe fájlt futtatásakor megadott futtató fiókkal társított futtató profilhoz. Az ügynök-hozzárendeléshez használt alapértelmezett fiók a telepítés során megadott alapértelmezett műveleti fiók, amelyet Active Directory-alapú ügynök-hozzárendelési fióknak is nevezünk. Az ehhez a fiókhoz tartozó hitelesítő adatok a megadott tartományhoz tartozó Active Directoryhoz való kapcsolódáshoz és az Active Directory-objektumok módosításához lesznek használva, és a fióknak meg kell egyeznie a MOMAdmin.exe futtatásakor megadott fiókkal. Ha nem ezt a fiókot használták a MOMAdmin.exe futtatásakor, válassza a Másik fiók használata ügynök-hozzárendeléshez a megadott tartományban lehetőséget, majd válassza ki vagy hozza létre a fiókot a Futtató fiók kiválasztása legördülő listából. Az Active Directory-alapú ügynök-hozzárendelési fióknak olyan Operations Manager-rendszergazdai fiók használatára kell konfigurálva lennie, amely ki van terjesztve az AD ügynök-hozzárendelési erőforráskészlet minden kiszolgálójára.

      Megjegyzés

      A futtató profilokról és a futtató fiókokról további információt a Futtató fiókok és profilok kezelése című témakörben talál.

  8. A Belefoglalási feltételek lapon a szövegmezőbe írja be az LDAP-lekérdezést a számtógépek kiszolgálóhoz való hozzárendeléséhez, majd kattintson a Tovább gombra, vagy kattintson a Konfigurálás lehetőségre. Ha a Konfigurálás lehetőséget választja, az alábbi eljárást kövesse:

    1. A Számítógépek keresése párbeszédpanelen írja be a kívánt feltételeket, amelyekkel számítógépeket ehhez a felügyeleti kiszolgálóhoz rendelhet hozzá, vagy írjon be egy meghatározott LDAP-lekérdezést.

      Az alábbi LDAP-lekérdezés csak Windows Server operációs rendszert futtató számítógépekkel tér vissza, és kizárja a tartományi vezérlőket – (&(objectCategory=computer)(operatingsystem=*server*)). A következő LDAP-lekérdezés csak Windows Server operációs rendszert futtató számítógépekkel tér vissza, és kizárja a tartományi vezérlőket és azokat a kiszolgálókat, amelyeken az Operations Manager fut, vagy amelyek rendelkeznek Service Manager kiszolgálói szerepkörrel – (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*)))).

      Az LDAP-lekérdezésekkel kapcsolatban további információt talál a Lekérdezésszűrő használata és az Active Directory: az LDAP-szintaxis szűrői témakörökben.

    2. Kattintson az OK, majd a Továbbgombra.

  9. A Kizárási feltételek lapon írja be azoknak a számítógépeknek a teljes tartománynevét, amelyeket szeretne kizárni ennek a felügyeleti kiszolgálónak a felügyelete alól, majd kattintson a Tovább gombra.

    Fontos

    A számítógépekhez tartozó teljes tartományneveket pontosvesszővel, kettősponttal vagy új sor (CTRL+ENTER) karakterrel kell elválasztania egymástól.

  10. Az Ügynök feladatátvétele lapon vagy válassza a Feladatátvétel automatikus kezelése lehetőséget, és kattintson a Létrehoz gombra, vagy válassza a Feladatátvétel manuális konfigurálása lehetőséget. Ha a Feladatátvétel manuális konfigurálása lehetőséget választotta, az alábbi eljárást kövesse:

    1. Törölje a jelölőnégyzetek kijelölését azoknál a felügyeleti kiszolgálóknál, amelyeknél nem szeretne ügynök általi feladatátvételt konfigurálni.

    2. Kattintson a Létrehozás gombra.

      Megjegyzés

      Ha a Feladatátvétel manuális konfigurálása lehetőséget választotta, és a felügyeleti csoporthoz később felügyeleti kiszolgálót ad hozzá, újra futtatnia kell a varázslót, ha azt szeretné, hogy az ügynökök az új felügyeleti kiszolgálóra irányuló feladatátvételt végezzenek.

  11. A Felügyeleti kiszolgáló tulajdonságai párbeszédpanelen kattintson az OK gombra.

    Megjegyzés

    Akár egy órát is igénybe vehet, hogy az ügynök-hozzárendelési beállítás kiterjedjen az AD DS egészére.

A folyamat végén a felügyeleti csoportban az AD-hozzárendelési erőforráskészlet osztályt megcélzó alábbi szabály lesz létrehozva.

AD integrálási ügynök-hozzárendelési szabály
A szabály tartalmazza az Ügynök-hozzárendelés és Feladatátvétel varázslóban megadott ügynök-hozzárendelési konfigurációra vonatkozó információkat is, például az LDAP-lekérdezést.

Ha ellenőrizni szeretné, hogy a felügyeleti csoport sikeresen közzétette az információkat az Active Directoryban, az Operations Manager naplójában keresse meg az állapotfigyelő szolgáltatási modulok forrású 11470 számú eseményt azon a felügyeleti kiszolgálón, amelyen az ügynök-hozzárendelési szabály definiálva lett. Sikeres közzététel esetén a leírásban az szerepel, hogy sikeresen hozzáadta mindazokat a számítógépeket, amelyek szerepelnek az ügynök-hozzárendelési szabályban.

Sikeres AD integrálási ügynök-hozzárendelési esemény.

Az Active Directoryban az OperationsManager<ManagementGroupName> csomópont alatt megjelennek a létrehozott szolgáltatáskapcsolódási pont (SCP) objektumok, ahogy az az alábbi példában látható.

AD integrálási ügynök-hozzárendelési AD-objektumok.

A szabály két biztonsági csoportot is létrehoz a felügyeleti kiszolgáló NetBIOS-nevével. Ez elsőt a „_PrimarySG” utótaggal, a másodikat a „SecondarySG” utótaggal. Ebben a példában két felügyeleti kiszolgáló lett üzembe helyezve a felügyeleti csoportban. Az elsődleges biztonsági csoport a ComputerB_Primary_SG_24901, amely azokat a számítógépeket tartalmazza, amelyek megfeleltek az ügynök-hozzárendelési szabályban megadott feltételeknek, míg a ComputerA_Secondary_SG_38838 biztonsági csoportnak tagja a ComputerB_Primary_SG-29401 biztonsági csoport, amely azoknak az ügynököknek a számítógépfiókjait tartalmazza, amelyek ennek a másodlagos felügyeleti kiszolgálónak adják át a feladatot, ha az elsődleges felügyeleti kiszolgáló nem válaszol. A szolgáltatáskapcsolódási pont neve a felügyeleti kiszolgáló NetBIOS-nevéből és az „_SCP” utótagból tevődik össze.

Megjegyzés

Ebben a példában csak egyetlen felügyeleti csoport objektumai szerepelnek, de nem jelennek meg más, AD-integrációval konfigurált esetleges felügyeleti csoportok.

Manuális ügynöktelepítés az Active Directory-integrációs beállításokkal

Az alábbi példában szereplő parancssori szintaxis manuálisan telepíti a Windows-ügynököt az Active Directory-integráció engedélyezésével.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Ügynök Active Directory-integrációs beállításainak megváltoztatása

A következő eljárás használatával módosíthatja az ügynökök Active Directory-integrációjának beállításait.

  1. Az ügynök által felügyelt számítógép Vezérlőpultján kattintson duplán a Microsoft Monitoring Agent elemre.

  2. Az Operations Manager lapon jelölje be A felügyeleticsoport-hozzárendelések automatikus frissítése az AD DS-ből jelölőnégyzetet, vagy törölje belőle a jelet. Ha bejelöli ezt a beállítást, akkor az ügynök indulásakor az ügynök lekérdezi az Active Directory rendszerből azoknak a felügyeleti csoportoknak a listáját, amelyekhez társítva van. A lekérdezésre válaszul kapott felügyeleti csoportokat hozzáadja a listához. Ha törli a jelet a beállítás mellől, akkor az ügynökhöz az Active Directory rendszerben társított összes felügyeleti csoport lekerül a listáról.

  3. Kattintson az OK gombra.

További lépések

A Windows-ügynök operatív konzolból való telepítéséről részletesebben olvashat az Ügynök telepítése Windows rendszerre a Felderítés varázsló használatával című cikkben, míg az ügynök parancssorból való telepítéséről a Windows-ügynök manuális telepítése a MOMAgent.msi használatával című cikkből tájékozódhat.

© 2017 Microsoft