Table of contents
TOC
Recolher sumário
Expandir sumário

Como configurar e usar a Integração do Active Directory para atribuição de agentes

Matt Goedtel|Última Atualização: 14/03/2017
|
1 Colaborador

Aplica-se a: System Center 2016 – Operations Manager

O System Center 2016 – Operations Manager permite aproveitar o investimento feito nos AD DS (Active Directory Domain Services), permitindo usá-los para atribuir computadores gerenciados por agente a grupos de gerenciamento. Este tópico o ajudará você a criar e gerenciar a configuração do contêiner no Active Directory e a atribuição de agentes para os quais os agentes de servidores de gerenciamento devem enviar relatórios.

Criar um Contêiner do Active Directory Domain Services para um grupo de gerenciamento

Você pode usar a sintaxe de linha de comando e o procedimento a seguir para criar um contêiner de AD DS (Active Directory Domain Services) para um grupo de gerenciamento do System Center 2016 – Operations Manager. O MOMADAdmin.exe é fornecido para esse propósito e é instalado com o servidor de gerenciamento do Operations Manager. O MOMADAdmin.exe deve ser executado por um administrador do domínio especificado.

Sintaxe de linha de comando:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Você deverá inserir um valor dentro das aspas se o valor contiver um espaço.

  • ManagementGroupName é o nome do grupo de gerenciamento para o qual um contêiner do AD está sendo criado.

  • MOMAdminSecurityGroup é um grupo de segurança do domínio, formato domínio\grupo_de_segurança, que é membro do direito de acesso Administradores do Operations Managers para o grupo de gerenciamento.

  • RunAsAccount: esta é a conta de domínio que será usada pelo servidor de gerenciamento para ler, gravar e excluir objetos no AD. Use o formato domínio\nome_de_usuário.

  • Domínio é o nome do domínio em que o contêiner do grupo de gerenciamento será criado. Só é possível executar o MOMADAdmin.exe em domínios se existir uma confiança bidirecional entre eles.

Para que a integração do Active Directory funcione, o grupo de segurança deve ser global (se a integração do Active Directory precisar funcionar em vários domínios com confianças bidirecionais) ou um grupo de domínio local (se a integração do Active Directory for usada somente em um domínio)

Para adicionar um grupo de segurança ao grupo de Administradores do Operations Manager, use o procedimento a seguir.

  1. No Console de Operações, selecione Administração.

  2. No espaço de trabalho Administração, selecione Funções de Usuário em Segurança.

  3. Em Funções de Usuário, selecione Administradores do Operations Manager e clique na ação Propriedades ou clique com o botão direito do mouse em Administradores do Operations Manager e selecione Propriedades.

  4. Clique em Adicionar para abrir a caixa de diálogo Selecionar Grupo.

  5. Selecione o grupo de segurança desejado e clique em OK para fechar a caixa de diálogo.

  6. Clique em OK para fechar Propriedades da Função de Usuário.

Observação

Recomendamos que um grupo de segurança – que pode conter vários grupos – seja usado como função Administradores no Operations Manager. Dessa forma, os grupos e membros de grupos podem ser adicionados e removidos de grupos sem a necessidade de um administrador de domínio realizar etapas manuais para atribuir permissões filho de Leitura e Exclusão ao contêiner do Grupo de Gerenciamento.

Use o procedimento a seguir para criar o contêiner do AD DS.

  1. Abra um prompt de comando como administrador.

  2. No prompt, por exemplo, digite o seguinte:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

  3. O exemplo de linha de comando anterior:

    1. Criará o utilitário MOMADAdmin.exe na linha de comando.

    2. Criará o contêiner de AD DS do Grupo de Gerenciamento "Message Ops" na raiz do esquema de AD DS do domínio MessageDom. Para criar o mesmo contêiner de AD DS do Grupo de Gerenciamento em domínios adicionais, execute o MOMADAdmin.exe para cada domínio.

    3. Adicione a conta de computador MessageDom\MessageADIntAcct ao grupo de segurança de AD DS MessageDom\MessageOMAdmins e atribua ao grupo AD DS de segurança os direitos necessários para gerenciar o contêiner de AD DS.

Como usar o Active Directory Domain Services para atribuir computadores a servidores de gerenciamento

O Assistente de Atribuição e Failover do Agente do Operations Manager cria uma regra de atribuição de agente que usa o AD DS (Active Directory Domain Services) para atribuir computadores a um grupo de gerenciamento e atribuir os servidores de gerenciamento primário e secundário do computador. Use os procedimentos a seguir para iniciar e usar o assistente.

Importante

O contêiner do Active Directory Domain Services para o grupo de gerenciamento deve ser criado antes da execução do Assistente de Atribuição e Failover do Agente.

O Assistente de Atribuição e Failover do Agente não implanta o agente. Você deve implantar manualmente o agente nos computadores usando o MOMAgent.msi.

A alteração da regra de atribuição de agente pode fazer com que os computadores não sejam mais atribuídos nem monitorados pelo grupo de gerenciamento. O estado desses computadores passará para crítico, porque não enviam mais pulsações ao grupo de gerenciamento. Esses computadores poderão ser excluídos do grupo de gerenciamento e, se o computador não estiver atribuído a outros grupos de gerenciamento, o agente do Operations Manager poderá ser desinstalado.

Para iniciar o Assistente de Atribuição e Failover do Agente do Operations Manager

  1. Faça logon no computador com uma conta que seja membro da função Administradores do Operations Manager.

  2. No console de Operações, clique em Administração.

  3. No espaço de trabalho Administração, clique em Servidores de Gerenciamento.

  4. No painel Servidores de Gerenciamento, clique com o botão direito do mouse no servidor de gerenciamento ou servidor de gateway que deve ser o Servidor de Gerenciamento Primário para os computadores retornados pelas regras que você criará no procedimento seguinte e clique em Propriedades.

    Observação

    Os servidores de gateway atuam como servidores de gerenciamento neste contexto.

  5. Na caixa de diálogo Propriedades do Servidor de Gerenciamento, clique na guia Gerenciamento Automático de Agente e em Adicionar para iniciar o Assistente de Atribuição e Failover do Agente.

  6. No Assistente de Atribuição e Failover do Agente, na página Introdução, clique em Avançar.

    Observação

    A página Introdução não será exibida se o assistente for executado e Não exibir esta página novamente for selecionado.

  7. Na página Domínio, faça o seguinte:

    Observação

    Para atribuir computadores de vários domínios a um grupo de gerenciamento, execute o Assistente de Atribuição e Failover do Agente para cada domínio.

    • Selecione o domínio dos computadores na lista suspensa Nome do domínio. O servidor de gerenciamento e todos os computadores no pool de recursos de Atribuição de Agente do AD devem ser capazes de resolver o nome de domínio.

      Importante

      O servidor de gerenciamento e os computadores que você deseja gerenciar devem estar em domínios bidirecionais confiáveis.

    • Defina Selecionar Perfil Executar como para o perfil Executar como associado à conta Executar como fornecida quando o arquivo MOMADAdmin.exe foi executado para o domínio. A conta padrão para executar atribuição do agente é a conta de ação padrão especificada durante a Instalação, também chamada de Conta de Atribuição de Agente com Base no Active Directory. Essa conta representa as credenciais usadas durante a conexão com Active Directory do domínio especificado e modificação de objetos do Active Directory e deve corresponder à conta especificada durante a execução de MOMAdmin.exe. Se essa não foi a conta usada para executar o arquivo MOMADAdmin.exe, selecione Use uma conta diferente para executar atribuição do agente no domínio especificado e selecione ou crie a conta na lista suspensa Selecionar Perfil Executar como. O perfil Conta de Atribuição de Agente com Base no Active Directory deve ser configurado para usar uma conta de administrador do Operations Manager que é distribuída para todos os servidores no pool de recursos de Atribuição de Agente do AD.

      Observação

      Para obter mais informações sobre Perfis Executar como e Contas Executar como, consulte Gerenciando Perfis e Contas Executar como.

  8. Na página Critérios de Inclusão, digite a consulta LDAP para atribuir computadores ao servidor de gerenciamento na caixa de texto e clique em Avançar ou clique em Configurar. Se clicar em Configurar, faça o seguinte:

    1. Na caixa de diálogo Localizar Computadores, digite os critérios desejados para atribuir computadores a esse servidor de gerenciamento ou digite a consulta LDAP específica.

      A consulta LDAP a seguir retornará apenas os computadores que executam o sistema operacional Windows Server e excluirá controladores de domínio – (&(objectCategory=computer)(operatingsystem=*server*)). Este exemplo de consulta LDAP retornará apenas computadores executando o sistema operacional Windows Server e excluirá controladores de domínio e servidores hospedando a função de servidor de gerenciamento do Operations Manager ou Service Manager – (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*)))).

      Para obter mais informações sobre consultas LDAP, consulte Creating a Query Filter (Criando um filtro de pesquisa) e Active Directory: LDAP Syntax Filters (Active Directory: filtros de sintaxe LDAP).

    2. Clique em OK e depois em Avançar.

  9. Na página Critérios de Exclusão, digite o FQDN dos computadores que deseja explicitamente evitar que sejam gerenciados por este servidor de gerenciamento e clique em Avançar.

    Importante

    Separe os FQDNs do computador digitados com um ponto-e-vírgula, uma vírgula ou uma nova linha (CTRL+ENTER).

  10. Na página Failover do Agente, selecione Gerenciar automaticamente o failover e clique em Criar ou selecione Configurar manualmente o failover. Se selecionar Configurar manualmente o failover, faça o seguinte:

    1. Desmarque as caixas de seleção dos servidores de gerenciamento para os quais não deseja que os agentes executem failover.

    2. Clique em Criar.

      Observação

      Com a opção Configurar manualmente o failover, será necessário executar o assistente novamente se você adicionar posteriormente um servidor de gerenciamento ao grupo de gerenciamento e desejar que agentes executem failover para o novo servidor de gerenciamento.

  11. Na caixa de diálogo Propriedades do Servidor de Gerenciamento, clique em OK.

    Observação

    A configuração de atribuição de agente pode levar até uma hora para ser propagada no AD DS.

Ao concluir, a seguinte regra é criada no grupo de gerenciamento e visa a classe Pool de recursos de atribuição do AD.

Regra de atribuição de agente de Integração do AD
Esta regra inclui as informações de configuração de atribuição de agente que você especificou no Assistente de Atribuição e Failover do Agente, como a consulta LDAP.

Para confirmar se o grupo de gerenciamento publicou com êxito suas informações no Active Directory, pesquise a ID de Evento 11470 dos Módulos de Serviço de Integridade de origem no log de eventos do Operations Manager no servidor de gerenciamento no qual a regra de atribuição de agente foi definida. Na descrição deve indicar que ele adicionou com êxito todos os computadores que foram adicionados à regra de atribuição de agente.

Evento de êxito de atribuição de agente de Integração do AD.

No Active Directory, no contêiner OperationsManager<ManagementGroupName>, você deve ver os objetos SCP (ponto de conexão de serviço) criados semelhantes ao exemplo a seguir.

Objetos do AD de atribuição do agente de Integração do AD.

A regra também cria dois grupos de segurança com o nome do NetBIOS do servidor de gerenciamento, o primeiro com o sufixo “_PrimarySG” e o segundo “_SecondarySG”. Neste exemplo, há dois servidores de gerenciamento implantados no grupo de gerenciamento e a associação ComputerB_Primary_SG_24901 do grupo de segurança principal inclui computadores que corresponderam à regra de inclusão definida na regra de atribuição de agente e a associação ComputerA_Secondary_SG_38838 do grupo de segurança inclui o grupo de segurança ComputerB_Primary_SG-29401 do grupo principal contendo a conta de computador dos agentes que realizariam o failover para esse servidor de gerenciamento secundário no caso de o servidor de gerenciamento principal parar de responder. O nome do SCP é o nome do NetBIOS do servidor de gerenciamento com o sufixo "_SCP".

Observação

Neste exemplo, são mostrados apenas objetos de um único grupo de gerenciamento e não outros grupos de gerenciamento que podem existir e configurado com a integração do AD.

Implantação manual de agente com configuração da Integração do Active Directory

A seguir está um exemplo de linha de comando para instalar manualmente o agente do Windows com a Integração do Active Directory habilitada.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Alterando a configuração da Integração do Active Directory para um agente

Você pode usar o procedimento a seguir para alterar a configuração de integração do Active Directory de um agente.

  1. No computador gerenciado por agente, no Painel de Controle, clique duas vezes no Microsoft Monitoring Agent.

  2. Na guia Operations Manager, marque ou desmarque a opção Atualizar atribuições de grupo de gerenciamento automaticamente do AD DS. Se você selecionar essa opção, na inicialização do agente, o agente consultará o Active Directory para obter uma lista dos grupos de gerenciamento ao qual foi atribuído. Esses grupos de gerenciamento, se houver, serão adicionados à lista. Se você desmarcar essa opção, todos os grupos de gerenciamento atribuídos ao agente no Active Directory serão removidos da lista.

  3. Clique em OK.

Próximas etapas

Para entender como instalar o agente do Windows do console de operações, consulte Instalar o agente no Windows usando o assistente de descoberta ou para instalar o agente da linha de comando, consulte Instalar manualmente o agente do Windows usando MOMAgent.msi.

© 2017 Microsoft