本文件已封存並已停止維護。

在 Operations Manager 2007 中管理閘道伺服器

更新日期: 2011年7月

適用於: Operations Manager 2007 R2, Operations Manager 2007 SP1

Microsoft System Center Operations Manager 2007 需要先在代理程式與管理伺服器間執行相互驗證,彼此才能交換資訊。為了保護兩者之間的驗證程序安全,程序會經過加密。當代理程式與管理伺服器位於同一個 Active Directory 網域或已建立信任關係的不同 Active Directory 網域中,它們會使用 Active Directory 所提供的 Kerberos V5 驗證機制。當代理程式與管理伺服器並非位於相同的信任界限內,則必須使用其他機制以滿足安全相互驗證的需求。

在 Operations Manager 2007 中,這可以透過使用核發給每台電腦的 X.509 憑證來完成。如果有許多代理程式監視的電腦,可能在管理所有憑證上會造成很高的管理負荷。此外,如果代理程式與管理伺服器之間也有防火牆存在,則必須在防火牆內定義並維護多個授權端點,以容許彼此間的通訊。

為了減少這種管理負荷,Operations Manager 2007 擁有一個新的伺服器角色,稱為閘道伺服器。閘道伺服器位於代理程式的信任界限內,而且可以參與強制性的相互驗證。由於閘道伺服器位於與代理程式相同的信任界限內,因此可以使用 Active Directory 的 Kerberos V5 通訊協定。每個代理程式只會與可察覺的閘道伺服器通訊。閘道伺服器則會與管理伺服器通訊。

為了支援閘道伺服器與管理伺服器之間的強制性安全相互驗證,必須核發並安裝憑證,不過僅限於閘道與管理伺服器。這可以減少所需的憑證數,而對於中介的防火牆,這也可以減少防火牆規則內所需定義的授權端點數。

當您的 IT 環境或監視需求變更時,您可能需要從 Operations Manager 2007 管理群組新增或移除閘道伺服器,並在閘道伺服器上執行工作。

判斷閘道伺服器的健全狀況

若要判斷閘道伺服器的健全狀況,您必須從兩個角度來檢查。首先,最直接的方法就是在 Operations 主控台與健全狀況總管中檢查健全狀況狀態。此項檢查將告訴您受監視元件的狀態,指出是否有開啟中的警示存在,以及顯示效能資料。其次,間接的方法是確認系統是否能及時回報透過閘道伺服器監視之代理程式的資料。

直接方法

閘道伺服器是一種管理伺服器,因此包含在 Operations 主控台的 [系統管理] 檢視中,位於 [裝置管理] 下的 [管理伺服器] 容器中。在此檢視的詳細資料窗格中,您可立即看到管理群組中任何一台管理伺服器的 [健全狀況狀態]。只要選取任何一個閘道伺服器 (或任何一個與其相關的伺服器),然後開啟內容功能表,您便可以檢視伺服器的內容或任何可用的檢視。通常,您可直接存取所選物件的 [事件檢視]、[警示檢視]、[效能檢視]、[圖表檢視] 以及 [狀態檢視]。

如需更全面地瞭解閘道伺服器的健全狀況,請開啟 [監視] 檢視並瀏覽至 [Operations Manager]、[管理伺服器] 資料夾,然後在瀏覽窗格中選取 [管理伺服器狀態] 檢視物件。根據預設,此處將顯示管理群組中所有管理伺服器的狀態,而閘道伺服器便顯示在旁邊底下。在 [Gateway Management Server 狀態] 窗格的 [閘道] 欄位下,選取您有意檢視之伺服器的健全狀況狀態圖示,以在詳細資料窗格中調出閘道伺服器元件監視的健全狀況狀態。通常,您將可獲得 [健全狀況服務可用性]、[稽核收集可用性]、[設定]、[效能] 以及 [安全性] 的詳細資料。

間接方法

閘道伺服器將跨越信任界限,將代理程式的監視資料轉送至管理群組中的 Collection Management Server。閘道伺服器也會將 Collection Management Server 的設定資訊轉送至其服務的代理程式。因此,如果擁有閘道伺服器作為其主要管理伺服器的代理程式正在報告資料並顯示活動訊號,您便能夠確定這些代理程式的閘道伺服器很順利地在運作。

依閘道檢視代理程式

使用下列程序檢視代理程式的主要管理伺服器。

如何檢視代理程式的主要管理伺服器

  1. 開啟 Operations 主控台,然後按一下 [系統管理] 按鈕。

  2. 在 [系統管理] 窗格中展開 [系統管理],再展開 [裝置管理],然後按一下 [代理程式管理]。

  3. 所有代理程式管理的裝置會依其 [主要管理伺服器] 分組,顯示在結果窗格中。

  4. 尋找所要的閘道伺服器。屬於此閘道伺服器分組的代理程式,是目前正在使用該閘道伺服器的所有代理程式。

使用多個閘道伺服器

您可跨越信任界限部署多個閘道伺服器,為跨越信任界限的代理程式提供備援路徑。如同代理程式可在主要管理伺服器和一或多個次要管理伺服器之間容錯移轉,代理程式也可以在閘道伺服器之間容錯移轉。此外,也可使用多個閘道伺服器來分散管理無代理程式管理的電腦和受管理的網路裝置的工作負載。

除了提供代理程式-閘道容錯移轉的備援之外,如果有多台 Collection Management Server 可用,也可將閘道伺服器設定為在管理群組中的 Collection Management Server 間容錯移轉。

設定多個閘道伺服器間的代理程式容錯移轉

如果您已在並未與其他管理群組所在之網域建立信任關係的網域上部署多個閘道伺服器,您可視需要將代理程式設定為使用那些閘道伺服器。若要這樣做,您必須使用 Operations Manager 2007 命令殼層。

如以下範例所示,在命令殼層中使用 Set-ManagementServer -AgentManagedComputer 命令,以將代理程式設定為容錯移轉至多個閘道伺服器。您可以從管理群組的任何命令殼層執行此命令。

Important重要事項
當變更代理程式的主要管理伺服器時,請先讓代理程式連線到新的主要管理伺服器後,再變更其容錯移轉伺服器。讓代理程式先從新的主要管理伺服器取得目前的拓撲資訊,可避免代理程式遺失與所有管理伺服器的通訊。

將代理程式容錯移轉設定為多重閘道伺服器

  1. 使用 Administrators 群組成員的帳戶登入電腦。

  2. 在 Windows 桌面上,按一下 [開始],指向 [程式集],指向 [System Center Operations Manager],然後按一下 [命令殼層]。

  3. 在命令殼層中,執行下列命令:

    $primaryMS = Get-ManagementServer | where {your filter here} $failoverMS = Get-ManagementServer | where {your filter here} $agent = Get-Agent | where {your filter here} Set-ManagementServer -AgentManagedComputer:$agent -ManagementServer:$primaryMS $agent = Get-Agent | where {your filter here} Set-ManagementServer -AgentManagedComputer:$agent -ManagementServer:$primaryMS -FailoverServer:$failoverMS
    

    在此程式碼範例中,您需要為前三個命令建立篩選陳述式。以下是在尋找要指派至 $failoverMS 變數的電腦 contoso.com 時所撰寫的篩選命令範例:

    $failoverMS = Get-ManagementServer | where {$_.Name –eq ’contoso.com’ }
    

    兩個 Set-ManagementServer 命令是用來讓代理程式在變更容錯移轉伺服器之前,可先與新的主要管理伺服器連線以取得設定資訊之用。

    如需 Set-ManagementServer 命令的說明,請在命令殼層視窗中鍵入下列命令:

    Get-help Set-ManagementServer -full
    

將閘道伺服器設定為在多台管理伺服器間容錯移轉

如以下範例所示,在命令殼層中使用 Set-ManagementServer-GatewayManagementServer 命令,以將閘道伺服器設定為容錯移轉至多台管理伺服器。您可以從管理群組的任何命令殼層執行此命令。

將閘道伺服器容錯移轉設定至多重管理伺服器

  1. 使用管理群組中系統管理員角色成員的帳戶登入閘道伺服器。

  2. 在 Windows 桌面上,按一下 [開始],指向 [程式集],指向 [System Center Operations Manager],然後按一下 [命令殼層]。

  3. 在命令殼層中,執行下列命令:

    $primaryMS = Get-ManagementServer | where {your filter here} $failoverMS = Get-ManagementServer | where {your filter here} $gatewayMS = Get-ManagementServer | where {your filter here} Set-ManagementServer -GatewayManagementServer:$gatewayMS -ManagementServer:$primaryMS $gatewayMS = Get-ManagementServer | where {your filter here} Set-ManagementServer -GatewayManagementServer:$gatewayMS -ManagementServer:$primaryMS -FailoverServer:$failoverMS
    

    在此程式碼範例中,您需要為前三個命令建立篩選陳述式。以下是在尋找要指派至 $failoverMS 變數的電腦 contoso.com 時所撰寫的篩選命令範例:

    $failoverMS = Get-ManagementServer | where {$_.Name –eq ’contoso.com’ }
    

    如需 Set-ManagementServer 命令的說明,請在命令殼層視窗中鍵入下列命令。

    Get-help Set-ManagementServer -full
    

管理閘道伺服器與管理伺服器的憑證更新

您取得並安裝於閘道伺服器與 Collection Management Server 的憑證最終會到期,於是需要以新的憑證取代。若憑證已撤銷,基於安全性考量,您也可能需要更換現有的憑證。

若要這樣做,首先請執行取得與匯入憑證的程序。請參閱 Operations Manager 2007 部署指南的<在多台伺服器,單一管理群組案例中部署閘道伺服器>一節 (http://go.microsoft.com/fwlink/?LinkId=95133)。您將不需要重新執行閘道核准工具。

將閘道伺服器從管理群組移除

在 Operations Manager 2007 實作的整個生命週期內,您可能不時需要修改部署的結構與設定。至於閘道伺服器,不受信任的網域解除委任後不再需要接受監視,或是以新的伺服器硬體取代舊的硬體,都可能會導致這類的變更。若要將閘道伺服器從服務移除,請完成下列步驟。

解除委任閘道伺服器概觀

  1. 將所有受該閘道伺服器管理的物件設定為使用不同的主要管理伺服器。對代理程式管理的電腦而言,這表示使用另一個閘道伺服器或管理伺服器。

  2. 從伺服器解除安裝閘道伺服器軟體。

  3. 從管理群組刪除閘道伺服器。

將受管理物件設定為使用替代的主要管理伺服器

閘道伺服器可管理三種不同類型的物件:代理程式管理的電腦、無代理程式管理的電腦,以及作為 Proxy 代理程式的網路裝置。

使用 Operations 主控台將代理程式管理的電腦設定為使用不同的主要管理伺服器

  1. 使用 Operations Manager 2007 管理群組之系統管理員角色成員的帳戶登入管理伺服器。

  2. 在 Operations 主控台中,按一下 [系統管理] 按鈕。

  3. 在 [系統管理] 窗格中展開 [系統管理],再展開 [裝置管理],然後按一下 [代理程式管理]。

  4. 在 [代理程式管理] 窗格中,選取要變更主要管理伺服器的電腦,在這些電腦上按一下滑鼠右鍵,然後選取 [變更主要管理伺服器]。

    note附註
    若使用 Active Directory 網域服務將任何選定的電腦指派至管理群組,將無法使用 [變更主要管理伺服器] 選項。

  5. 在 [變更管理伺服器] 對話方塊中,自清單中選取新的管理伺服器,然後按一下 [確定]。下次的更新間隔時間後,此變更就會在代理程式上生效。

另外,也可以使用下列兩個程序,在代理程式管理的電腦本身變更此項設定。

使用 MOMAgent.msi 安裝精靈針對代理程式管理的電腦變更主要管理伺服器

  1. 使用電腦系統管理員安全性群組成員的帳戶登入代理程式管理的電腦。

  2. 在 [新增或移除程式] 中,針對 [System Center Operations Manager 2007 代理程式] 按一下 [變更]。

    note附註
    您也可以連按兩下 Operations Manager 2007 安裝媒體上的 MOMAgent.msi 來執行 [代理程式安裝精靈]。

  3. 在 [代理程式安裝精靈] 中,按一下 [下一步]。

  4. 在 [程式維護] 頁面上,選取 [修改],然後按一下 [下一步]。

  5. 在 [管理群組設定] 頁面上,保留選取 [指定管理群組資訊],然後按一下 [下一步]。

  6. 在下一個 [管理群組設定] 頁面上,執行下列步驟:

    1. 輸入 [管理員伺服器] 的名稱。

    2. 為 [管理員伺服器連接埠] 鍵入一個值,或保留預設值 5723

    3. 按一下 [下一步]。

  7. 在 [準備安裝] 頁面上,檢閱設定,然後按一下 [安裝] 以顯示 [正在安裝 System Center Operations Manager 代理程式] 頁面。

  8. 顯示 [正在完成 System Center Operations Manager 代理程式安裝精靈] 頁面時,按一下 [完成]。

使用 MOMAgent.msi 從命令列針對代理程式管理的電腦變更主要管理伺服器

  1. 使用電腦系統管理員安全性群組成員的帳戶登入代理程式管理的電腦。

  2. 開啟命令視窗。

  3. 在提示字元上執行下列命令:

    %WinDir%\System32\msiexec.exe /i \\path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=0 MANAGEMENT_GROUP=MG1 MANAGEMENT_SERVER_DNS=MS2.Domain1.net
    

    此命令將重新設定代理程式以使用 MS2.Domain1.net 作為其用於管理群組 MG1 的主要管理伺服器。

    note附註
    Microsoft Windows Installer 公開內容必須是大寫,例如 PROPERTY=value。如需 Windows Installer 的詳細資訊,請參閱 Microsoft Developer Network 文件庫中的 Windows Installer (http://go.microsoft.com/fwlink/?LinkId=70004)。

    如果管理伺服器的網域名稱系統 (DNS) 與 Active Directory 名稱不同,MANAGEMENT_SERVER_AD_NAME 內容也需要設為完整 Active Directory 網域服務名稱。

重新導向無代理程式管理的電腦與網路裝置

變更無代理程式管理的電腦與網路裝置的 Proxy 代理程式

  1. 使用 Operations Manager 2007 管理群組的 Operations Manager 系統管理員角色成員的帳戶登入管理伺服器電腦。

  2. 在 Operations 主控台中,按一下 [系統管理] 按鈕。

  3. 在 [系統管理] 窗格中展開 [系統管理],再展開 [裝置管理],然後按一下 [無代理程式管理]。如果您正在使用網路裝置,請選取 [裝置管理],然後選取 [網路裝置]。

  4. 在 [無代理程式管理] 窗格中,選取要變更 Proxy 代理程式的無代理程式管理的電腦,在這些電腦上按一下滑鼠右鍵,然後選取 [變更 Proxy 代理程式]。或者,如果您正在使用網路裝置,請在 [網路裝置] 窗格中,選取要變更 Proxy 代理程式的網路裝置,在這些網路裝置上按一下滑鼠右鍵,然後選取 [變更 Proxy 代理程式]。

  5. 在 [變更 Proxy 代理程式] 對話方塊中,選取要當作新 Proxy 代理程式的電腦,然後按一下 [確定]。

將閘道伺服器從管理群組移除的最後一個步驟很簡單:

  • 使用具備系統管理權限的帳戶登入閘道伺服器。

  • 在 [新增或移除程式] 中,選取 [System Center Operations Manager 2007 閘道],然後按一下 [移除]。

Operations 主控台的 [系統管理] 檢視中,選取 [裝置管理]、[管理伺服器] 下的閘道伺服器,在閘道伺服器上按一下滑鼠右鍵,然後按一下 [刪除]。

 
顯示: