本文件已封存並已停止維護。

在多台伺服器,單一管理群組案例中部署閘道伺服器

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

閘道伺服器是用來啟用管理群組的 Kerberos 信任界限外部之電腦的代理程式管理,如不信任的網域。閘道伺服器可作為代理程式至管理伺服器通訊的中心點。網域中不受信任的代理程式與閘道伺服器通訊,閘道伺服器則與一或多台管理伺服器通訊。由於只會在一個連接埠 (TCP 5723) 進行閘道伺服器與管理伺服器之間的通訊,因此只要在任何中介的防火牆上開啟該連接埠,就能管理多台代理程式管理的電腦。多台閘道伺服器可放在單一網域中,如此當代理程式與其中一台閘道伺服器失去連絡時,它們就能從其中一台閘道伺服器容錯移轉到另一台閘道伺服器。同樣地,您可以將單一閘道伺服器設定成在管理伺服器之間容錯移轉,讓通訊鏈結中不存在單一失敗點。

由於管理群組所在的網域不信任閘道伺服器所在的網域,因此必須使用憑證來建立每台電腦的識別碼、代理程式、閘道伺服器和管理伺服器。這種安排可滿足 Operations Manager 對相互驗證的需求。

note附註
若不想使用閘道伺服器來監視位於管理伺服器信任界限之外的電腦,您必須在管理伺服器和要監視的電腦上安裝並手動維護憑證。當使用這種設定來代替使用閘道伺服器時,必須針對代理程式至管理伺服器通訊開放其他連接埠。如需所有必要連接埠的清單,請參閱代理程式與無代理程式監視與<Operations Manager 2007 Supported Configurations>(Operations Manager 2007 支援的設定) (http://go.microsoft.com/fwlink/?LinkId=86539)。

程序概觀

  1. 針對代理程式、閘道伺服器、管理伺服器鏈結中的任何電腦要求憑證。

  2. 使用 Operations Manager 2007 MOMCertImport.exe 工具將這些憑證匯入目標電腦。

    note附註
    如需使用企業憑證授權單位取得和匯入憑證的相關資訊,請參閱 http://go.microsoft.com/fwlink/?LinkId=100716。如需使用獨立憑證授權單位的相關資訊,請參閱 http://go.microsoft.com/fwlink/?LinkId=100717

  3. 將 Microsoft.EnterpriseManagement.gatewayApprovalTool.exe 散發至管理伺服器。

  4. 執行 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具以初始化管理伺服器和閘道之間的通訊。

  5. 安裝閘道伺服器。

準備安裝

開始之前

  1. 閘道伺服器部署需要憑證。您需要具備憑證授權單位 (CA) 的存取權。您可以使用公用 CA (例如 VeriSign),或使用 Microsoft 憑證服務。此程序提供從 Microsoft 憑證服務要求、取得與匯入憑證的步驟。

  2. 代理程式管理的電腦和閘道伺服器之間以及閘道伺服器和管理伺服器之間,必須具有可靠的名稱解析。此名稱解析通常透過 DNS 來完成。不過,如果無法透過 DNS 取得適當的名稱解析,可能必須在每台電腦的 hosts 檔案中手動建立項目。

    note附註
    hosts 檔案位於 \Windows\system32\drivers\etc 目錄中,其中包含設定的指示。

從 Microsoft 憑證服務取得電腦憑證

如需詳細資訊,請參閱安全性指南中的 How to Obtain a Certificate Using a Stand-Alone CA in Operations Manager 2007 (如何在 Operations Manager 2007 中使用獨立 CA 取得憑證) 一節與 How to Obtain a Certificate Using an Enterprise CA in Operations Manager 2007 (如何在 Operations Manager 2007 中使用企業 CA 取得憑證) 一節,網址為:http://go.microsoft.com/fwlink/?LinkId=97878

散發 Microsoft.EnterpriseManagement.GatewayApprovalTool

只有管理伺服器需要 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 工具,而且只要執行一次即可。

複製 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 至管理伺服器

  1. 從目標管理伺服器開啟安裝媒體 \SupportTools 目錄。

  2. 將 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe 從安裝媒體複製到 Operations Manager 2007 安裝目錄,通常是 c:\Program Files\System Center Operations Manager 2007。

向管理群組登錄閘道

此程序將向管理群組登錄閘道伺服器,當此程序完成後,閘道伺服器將顯示於管理群組的 [已探索的清查] 檢視中。

執行閘道核准工具

  1. 在閘道伺服器安裝期間設為目標的管理伺服器上,使用 Operations Manager 系統管理員帳戶登入。

  2. 開啟 [命令提示字元] 視窗,然後瀏覽至 \Program Files\System Center Operations Manager 2007 目錄或 Microsoft.EnterpriseManagement.gatewayApprovalTool.exe 所複製到的目錄。

  3. 在命令提示字元下,執行 Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create

  4. 如果核准成功,您會看見 The approval of server <GatewayFQDN> completed successfully.

  5. 如果您需要從管理群組移除閘道伺服器,請執行相同的命令,但請以 /Action=Delete 旗標代替 /Action=Create 旗標。

  6. 開啟 Operations 主控台至 [監視中] 檢視。選取 [已探索的清查] 檢視,查看閘道伺服器是否存在。

安裝 Operations Manager 2007 閘道伺服器

此程序將安裝閘道伺服器。即將成為閘道伺服器之伺服器所屬的網域或工作群組,應該要和受代理程式管理之電腦回報的網域或工作群組相同。

Tip秘訣
如果本機安全性原則 [使用者帳戶控制: 所有系統管理員均以管理核准模式執行] 已啟用 (Windows Server 2008 的預設設定),在執行 Windows Server 2008 的電腦上啟動 Windows Installer (例如,連按兩下 MOMGateway.msi 來安裝閘道伺服器),安裝會失敗。

從 Windows Server 2008 的命令提示字元執行 Operations Manager 2007 閘道 Windows Installer

  1. 在 Windows 桌面上,按一下 [開始],指向 [程式集],指向 [附屬應用程式],在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。

  2. 在 [系統管理員: 命令提示字元] 視窗中,瀏覽至主控 Operations Manager 2007 安裝媒體的本機磁碟機。

  3. 瀏覽至 .msi 檔案所在的目錄,鍵入 .msi 檔案的名稱,然後按 ENTER。

安裝 Operations Manager 2007 閘道伺服器

  1. 使用系統管理員權限登入閘道伺服器。

  2. 從 Operations Manager 2007 安裝媒體啟動 SetupOM.exe

  3. 在 [安裝] 區域中,按一下 [安裝 Operations Manager 2007 R2 閘道] 連結。

  4. 在 [歡迎使用] 畫面上,按一下 [下一步]。

  5. 在 [目的地資料夾] 頁面上,接受預設值,或按一下 [變更] 並選取不同的安裝目錄,然後按一下 [下一步]。

  6. 在 [管理群組設定] 頁面上,在 [管理群組名稱] 欄位中鍵入目標管理群組名稱,在 [管理伺服器] 欄位中鍵入目標管理伺服器名稱,檢查 [管理伺服器連接埠] 欄位是否為 5723,然後按一下 [下一步]。如果您在 Operations 主控台中啟用不同的連接埠以供管理伺服器通訊之用,可以變更這個連接埠。

  7. 除非您已特別建立一個網域型或本機電腦型的 Gateway 動作帳戶,否則請在 [Gateway 動作帳戶] 頁面上,選取 [本機系統] 帳戶選項。按一下 [下一步]。

  8. 在 [Microsoft Update] 頁面上,選擇是否要使用 Microsoft Update,然後按一下 [下一步]。

  9. 在 [準備安裝] 頁面上,按一下 [安裝]。

  10. 在 [正在完成安裝] 頁面上,按一下 [完成]。

使用 MOMCertImport.exe 工具匯入憑證

請在要受代理程式管理且位於不受信任網域的閘道伺服器、管理伺服器和電腦上執行此程序。

使用 MOMCertImport.exe 匯入電腦憑證

  1. 從安裝媒體 \SupportTools\<platform> (i386 或 ia64) 目錄將 MOMCertImport.exe 工具複製到目標伺服器的根目錄或 Operations Manager 2007 安裝目錄 (如果目標伺服器為管理伺服器)。

  2. 開啟 [命令提示字元] 視窗,並將目錄變更至 MOMCertImport.exe 所在的目錄,然後執行 momcertimport.exe /SubjectName <certificate subject name>。這將讓 Operations Manager 可以使用憑證。

設定閘道伺服器在管理伺服器間容錯移轉

雖然閘道伺服器可以和管理群組中的任何管理伺服器通訊,還是必須進行這項設定。在此案例中,次要管理伺服器乃視為閘道伺服器容錯移轉的目標,而叢集 RMS 會從容錯移轉中排除。這是典型的最佳作法,如此可避免 RMS 產生不必要的負荷。

如以下範例所示,在命令殼層中使用 Set-ManagementServer-GatewayManagementServer 命令,將閘道伺服器設定為容錯移轉至多台管理伺服器。您可以從管理群組的任何命令殼層執行此命令。

將閘道伺服器設定為在管理伺服器間容錯移轉

  1. 使用管理群組中系統管理員角色成員的帳戶登入管理伺服器。

  2. 在 Windows 桌面上,按一下 [開始],指向 [程式集],指向 [System Center Operations Manager],然後按一下 [命令殼層]。

  3. 在 [命令殼層] 中,遵循下一節所描述的範例。

說明

下列範例可用來將閘道伺服器容錯移轉設定至多重管理伺服器。

程式碼

$primaryMS = Get-ManagementServer | where {your filter here} $failoverMS = Get-ManagementServer | where {your filter here} $gatewayMS = Get-ManagementServer | where {your filter here} Set-ManagementServer -gatewayManagementServer:$gatewayMS -ManagementServer:$primaryMS -FailoverServer:$failoverMS

註解

在上述範例中,您必須針對前三項命令建立篩選陳述式。下列是撰寫的篩選命令範例,用以尋找將被指派至 $failoverMS 變數的電腦 computername.com

$failoverMS = Get-ManagementServer | where {$_.Name –eq ’computername.com’ }

如需 Set-ManagementServer 命令的說明,請在 [命令殼層] 視窗中鍵入下列命令:

Get-help Set-ManagementServer -full

若要確認閘道伺服器容錯移轉成功

  1. 使用 [以系統管理員身分執行] 選項開啟命令視窗。

  2. 在命令提示字元中輸入 netstat –n|findstr 5723

    這可搜尋閘道伺服器透過連接埠 5723 通訊的網路連線,並顯示閘道伺服器透過該連接埠進行通訊的 IP 位址。如此應可列出新管理伺服器的 IP 位址。

 
顯示: