本文件已封存並已停止維護。

Operations Manager 2007 中 Windows 電腦的驗證與資料加密

更新日期: 2009年5月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

Operations Manager 2007 包含多個元件,例如 Root Management Server、管理伺服器、閘道伺服器、報表伺服器、Operations Manager 資料庫、報表資料倉儲、代理程式、Web 主控台以及 Operations 主控台。本節將說明如何執行驗證以及指出加密資料的連線通道。

憑證式驗證

當 Operations Manager 代理程式與管理伺服器由未受信任的樹系或工作群組界限隔開,就需要實作憑證式驗證。下列章節提供這些情況的相關資訊,以及從 Windows 憑證授權單位取得和安裝憑證的特定程序。

在同一信任界限內設定代理程式與管理伺服器之間的通訊

在管理伺服器接受代理程式的資料之前,代理程式和管理伺服器會使用 Windows 驗證來相互驗證。Kerberos 第 5 版通訊協定是提供驗證的預設方法。為了使用以 Kerberos 為基礎的相互驗證,代理程式和管理伺服器必須安裝在 Active Directory 網域中。如果代理程式和管理伺服器位於不同網域,這些網域之間必須存在完全信任。在這種情況下,進行相互驗證之後,代理程式和管理伺服器之間的資料通道會加密。驗證和加密均不需要使用者介入。

跨信任界限設定代理程式與管理伺服器之間的通訊

代理程式可能會部署到不同於管理伺服器 (網域 A) 的另一個網域 (網域 B),而且兩個網域之間可能不存在雙向信任。由於兩個網域之間互不信任,一個網域中的代理程式無法使用 Kerberos 通訊協定與另一個網域中的管理伺服器彼此驗證。各網域內的 Operations Manager 2007 元件仍會進行相互驗證。

解決方法之一是在代理程式所在的網域中安裝閘道伺服器,然後在閘道伺服器和管理伺服器上安裝憑證,以達到相互驗證和資料加密的目的。使用閘道伺服器表示網域 B 只需要一份憑證以及一個連接埠來通過防火牆,如下圖所示。

5ef3ea73-c60a-4875-bcf4-88b54c936e46

如需詳細資訊,請參閱本安全性指南中的下列主題:

如何在 Operations Manager 2007 中使用 Windows Server 2003 企業 CA 取得憑證

如何在 Operations Manager 2007 中使用 Windows Server 2003 獨立 CA 取得憑證

如何在 Operations Manager 2008 中使用 Windows Server 2003 企業 CA 取得憑證

如何在 Operations Manager 2008 中使用 Windows Server 2003 獨立 CA 取得憑證

跨網域 - 工作群組界限設定通訊

在您的環境中,可能會有一或兩個代理程式部署到防火牆內的工作群組。工作群組中的代理程式無法使用 Kerberos 通訊協定與網域中的管理伺服器彼此驗證。解決方法之一是在主控代理程式的電腦和代理程式連線的管理伺服器上安裝憑證,如下圖所示。

note附註
在這種情況下,代理程式必須手動安裝。

9257b1a5-adf0-4d1e-be9c-afca94b0cd95

請使用相同的憑證授權單位 (CA),在主控代理程式的電腦和管理伺服器上執行下列步驟:

  • 向 CA 要求憑證。

  • 在 CA 上核准憑證要求。

  • 在電腦憑證存放區中安裝核准的憑證。

  • 使用 MOMCertImport 工具設定 Operations Manager 2007。

這些步驟與在閘道伺服器上安裝憑證的步驟相同,但不需要安裝或執行閘道核准工具。如需詳細資訊,請參閱本安全性指南中的下列主題:

如何在 Operations Manager 2007 中使用 Windows Server 2003 企業 CA 取得憑證

如何在 Operations Manager 2007 中使用 Windows Server 2003 獨立 CA 取得憑證

如何在 Operations Manager 2008 中使用 Windows Server 2003 企業 CA 取得憑證

如何在 Operations Manager 2008 中使用 Windows Server 2003 獨立 CA 取得憑證

憑證產生精靈

本安全性指南提供了產生、擷取和安裝憑證所需的步驟。憑證產生精靈的目的是簡化此程序。如需詳細資訊,請參閱部落格文章 Obtaining Certificates for Non-Domain Joined Agents Made Easy With Certificate Generation Wizard (使用憑證產生精靈輕鬆取得未加入網域之代理程式的憑證) (http://go.microsoft.com/fwlink/?LinkId=128392)。

note附註
使用憑證產生精靈係以現狀提供,不提供任何保證且不賦予任何權利。使用此公用程式必須遵守以下網站所述規定:http://www.microsoft.com/info/cpyright.htm

確認憑證安裝

如果您已正確安裝憑證,下列事件會寫入 Operations Manager 事件記錄檔。

 

層級 來源 事件識別碼 一般

資訊

OpsMgr 連接器

20053

OpsMgr 連接器已成功載入指定的驗證憑證。

設定憑證期間,您會執行 MOMCertImport 工具。MOMCertImport 工具完成時,您匯入之憑證的序號會寫入登錄的下列子機碼。

Caution注意
不當編輯登錄可能會對系統造成嚴重損害。在變更登錄前,您應先備份電腦上任何重要的資料。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Root Management Server、管理伺服器、閘道伺服器和代理程式之間的驗證和資料加密

這些 Operations Manager 元件之間的通訊從相互驗證開始。如果通訊通道的兩端均有憑證,會使用憑證來進行相互驗證,否則會使用 Kerberos 第 5 版通訊協定。如果任何兩個元件之間以未受信任的網域隔開,就必須使用憑證執行相互驗證。

事件、警示和管理組件部署等一般通訊會透過此通道傳送。上圖顯示其中一個代理程式產生警示再轉送到 Root Management Server (RMS) 的範例。從代理程式到閘道伺服器之間,會使用 Kerberos 安全性封裝來加密資料,因為閘道伺服器和代理程式位於相同網域。閘道伺服器會解密警示,然後使用管理伺服器的憑證重新加密。管理伺服器收到警示之後,會解密訊息、使用 Kerberos 通訊協定重新加密它,然後再傳送到 RMS,由 RMS 解密警示。

RMS 和代理程式之間的部分通訊可能包括認證資訊,例如設定資料和工作。代理程式和管理伺服器之間的資料通道在一般通道加密之外多加了一層加密。這不需要使用者介入。

Root Management Server 和 Operations Manager 資料庫

執行身分帳戶資訊會使用 Operations Manager 2007 建立的對稱金鑰組,以加密形式儲存在 Operations Manager 資料庫中。如果 Root Management Server (RMS) 需要更換,新的 RMS 將無法從資料庫讀取任何加密資料。Operations Manager 2007 隨附的 SecureStorageBackup 工具可用來備份和還原此加密金鑰。

Important重要事項
請執行 SecureStorageBackup 工具來匯出 Root Management Server 金鑰,以執行備份工作。若未備份 Root Management Server 金鑰,則當您必須重建 RMS 時,將會需要重新輸入您所有的執行身分帳戶。在較大的環境中,這類重建可能會牽涉到數百個帳戶。如需 SecureStorageBackup 工具的詳細資訊,請參閱主題 How to Backup and Restore Encryption Keys in Operations Manager 2007 (如何在 Operations Manager 2007 中備份與還原加密金鑰) (http://go.microsoft.com/fwlink/?LinkId=87387)。

如需從發生 Root Management Server 損毀 (不論備份加密金鑰與否) 的嚴重損壞復原,請參閱知識庫文章:在 Microsoft System Center Operations Manager 2007 中取代或重新安裝 Root Management Server 伺服器之後,Root Management Server 加密金鑰無法使用 (http://go.microsoft.com/fwlink/?LinkId=112310) (此為機器翻譯文章)。

Root Management Server 與 Operations 主控台、Web 主控台伺服器和報表伺服器

Root Management Server (RMS) 與 Operations 主控台、Web 主控台伺服器或報表伺服器之間的驗證和資料加密採用 Windows Communication Foundation (WCF) 技術 (之前代碼為 "Indigo") 進行。一開始的驗證會使用使用者的認證。首先會嘗試 Kerberos 通訊協定。如果 Kerberos 通訊協定沒有用,會使用 NTLM 再試一次。如果驗證仍失敗,系統會提示使用者提供認證。進行驗證之後,資料流會以 Kerberos 通訊協定或 SSL (若使用 NTLM) 的功能加密。

在報表伺服器和 RMS 之間,進行驗證之後,RMS 與 SQL Server Reporting Server 之間會建立資料連線。這只能使用 Kerberos 通訊協定進行,因此 RMS 和報表伺服器必須位於信任網域。如需 WCF 的詳細資訊,請參閱 MSDN 文章:何謂 Windows Communication Foundation? (http://go.microsoft.com/fwlink/?LinkId=87429)。

管理伺服器與報表資料倉儲

管理伺服器和報表資料倉儲之間存在兩個通訊通道:

  • 由管理伺服器或 Root Management Server 中健全狀況服務產生的監視主機處理序

  • Root Management Server 中的 SDK 服務

監視主機處理序與報表資料倉儲

根據預設,監視主機處理序由健全狀況服務產生,負責將收集到的事件和效能計數器寫入資料倉儲,會以執行報表安裝期間指定的資料寫入器帳戶進行 Windows 整合式驗證。帳戶認證會安全地儲存在名為資料倉儲動作帳戶的執行身分帳戶中。此執行身分帳戶是名為資料倉儲帳戶 (與實際集合規則相關聯) 之執行身分設定檔的成員。

如果報表資料倉儲與管理伺服器之間以信任界限隔開 (例如,分別位於不具信任的不同網域中),則無法使用 Windows 整合式驗證。為解決此問題,監視主機處理序可使用 SQL Server 驗證連線到報表資料倉儲。若要執行這項操作,請使用 SQL 帳戶認證建立新的執行身分帳戶 (簡單帳戶類型),然後將它設成名為資料倉儲 SQL Server 驗證帳戶之執行身分設定檔的成員,並以管理伺服器作為目標電腦。

Important重要事項
根據預設,資料倉儲 SQL Server 驗證帳戶這個執行身分設定檔已透過使用同名的執行身分帳戶,分配到一個特殊帳戶。請勿變更與資料倉儲 SQL Server 驗證帳戶這個執行身分帳戶相關聯的帳戶。相反地,請在設定 SQL Server 驗證時,建立您自己的帳戶和執行身分帳戶,然後將執行身分帳戶設成資料倉儲 SQL Server 驗證帳戶這個執行身分設定檔的成員。

以下針對 Windows 整合式驗證和 SQL Server 驗證說明各種帳戶認證、執行身分帳戶和執行身分設定檔的關係。

預設:Windows 整合式驗證

執行身分設定檔:資料倉儲帳戶

     執行身分帳戶:資料倉儲動作帳戶

          認證:資料寫入器帳戶 (安裝時指定)

執行身分設定檔:資料倉儲 SQL Server 驗證帳戶

     執行身分帳戶:資料倉儲 SQL Server 驗證帳戶

          認證:Operations Manager 建立的特殊帳戶 (請勿變更)

選用:SQL Server 驗證

執行身分設定檔:資料倉儲 SQL Server 驗證帳戶

     執行身分帳戶:您建立的執行身分帳戶。

          認證:您建立的帳戶。

System Center 資料存取服務或 SDK 服務與報表資料倉儲

Operations Manager 2007 SP1 中的 SDK 服務在 Operations Manager 2007 R2 已更名為 System Center 資料存取服務。

根據預設,System Center 資料存取服務 (或 SDK 服務) 負責從報表資料倉儲讀取資料並顯示在報表參數區域中,會以執行 Operations Manager 2007 安裝期間定義的 SDK 和設定帳戶進行 Windows 整合式驗證。

如果報表資料倉儲與管理伺服器之間以信任界限隔開 (例如,分別位於不具信任的不同網域中),則無法使用 Windows 整合式驗證。為解決此問題,System Center 資料存取服務或 SDK 服務可使用 SQL Server 驗證連線到報表資料倉儲。若要執行這項操作,請使用 SQL 帳戶認證建立新的執行身分帳戶 (簡單帳戶類型),然後將它設成名為報表 SDK SQL Server 驗證帳戶之執行身分設定檔的成員,並以管理伺服器作為目標電腦。

Important重要事項
根據預設,報表 SDK SQL Server 驗證帳戶這個執行身分設定檔透過使用同名的執行身分帳戶被指派特殊帳戶。請勿變更與報表 SDK SQL Server 驗證帳戶這個執行身分帳戶相關聯的帳戶。相反地,請在設定 SQL Server 驗證時,建立您自己的帳戶和執行身分帳戶,然後將執行身分帳戶設成報表 SDK SQL Server 驗證帳戶這個執行身分設定檔的成員。

以下針對 Windows 整合式驗證和 SQL Server 驗證說明各種帳戶認證、執行身分帳戶和執行身分設定檔的關係。

預設:Windows 整合式驗證

SDK 和設定服務帳戶 (安裝 Operations Manager 時定義)

執行身分設定檔:報告 SDK SQL Server 驗證帳戶

     執行身分帳戶:報告 SDK SQL Server 驗證帳戶

          認證:Operations Manager 建立的特殊帳戶 (請勿變更)

選用:SQL Server 驗證

執行身分設定檔:資料倉儲 SQL Server 驗證帳戶

     執行身分帳戶:您建立的執行身分帳戶。

          認證:您建立的帳戶。

Operations 主控台與報表伺服器

Operations 主控台會使用 HTTP 透過連接埠 80 連線到報表伺服器。驗證是使用 Windows 驗證進行。資料可使用 SSL 通道加密。如需在 Operations 主控台和報表伺服器之間使用 SSL 的詳細資訊,請參閱本安全性指南稍後的如何在 Operations Manager 2007 中設定 Operations 主控台使用 SSL 連線到報表伺服器

報表伺服器與報表資料倉儲

報表伺服器和報表資料倉儲之間的驗證使用 Windows 驗證進行。安裝報表時指定為資料讀取器帳戶的帳戶將成為報表伺服器上的執行帳戶。如果帳戶的密碼變更,您需要使用 SQL Server 2005 中的 Reporting Services 組態管理員進行相同的密碼變更。如需重設此密碼的詳細資訊,請參閱如何在 Operations Manager 2007 中變更報表伺服器執行帳戶密碼。報表伺服器和報表資料倉儲之間的資料不會加密。

另請參閱

 
顯示: