Monday, October 16th, 2017

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Published on Январь 27, 2009 by   ·   Один комментарий

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 1).

Установка агента на сервере Edge Server

Сервер Edge Transport можно установить в качестве отдельного сервера или в качестве члена домена Active Directory.

Если вы помните топологию из первой части, я решил установить Edge Server в качестве отдельного сервера (рабочей группы). Это означает, что аутентификация на сервере Operations Manager будет происходить с помощью сертификатов, поскольку агент в рабочей группе не может аутентифицироваться на сервере управления в домене, используя протокол Kerberos.

Systems management server

Рисунок 1: Аутентификация с помощью сертификата

В этом сценарии агента нужно установить вручную. Хотя установка агента доступна с носителя установки Operations Manager, мы воспользуемся исполняемыми файлами с сервера Management Server, так как необходимые исправления там уже есть.

  1. На сервере Edge перейдите к папке, куда вы устанавливали исполняемый файл OpsMgr на сервере управления. В моем случае это была папка \\OpsMgr\D$\Program Files\System Center Operations Manager 2007\ AgentManagement\AMD64\ (рисунок 2). Дважды нажмите на MOMAgent.msi чтобы инициировать процесс установки (рисунок 3). Нажмите Далее.

    Exchange certificate file что за файл

    Рисунок 2: Исполняемые файлы установки

    Агент scom для файловых серверов

    Рисунок 3: Установка агента Operations Manager

  1. В окне Место установки (рисунок 4) примите путь установки по умолчанию и нажмите Далее. В следующем окне (рисунок 5) нажмите Далее, чтобы указать информацию группы управления (Management Group).

    Certsrv exchange 2007

    Рисунок 4: Папка установки агента

    Exchange 2007 crl сертификаты

    Рисунок 5: Установка агента: настройка группы управления

  1. В окне Конфигурация группы управления (рисунок 6), укажите Имя группы управления (Management Group Name), Сервер управления (Management Server) и Порт сервера управления (Management Server Port). Нажмите Далее.

    System center operations manager for exchange

    Рисунок 6: Установка агента: конфигурация группы управления (продолжение)

  1. В окне Учетная запись действия агента (Agent Action Account) (рисунок 7) выберите Local System и нажмите Далее. Просмотрите обзор (рисунок 8), нажмите Установить, а затем Готово (рисунок 9).

    Тип файлу exchange certificate file

    Рисунок 7: Установка агента: учетная запись действия агента

    Exchange 2007 EDGE transport crl

    Рисунок 8: Установка агента: готов к установке

    System center operations manager

    Рисунок 9: Установка агента: завершение

  1. Вернитесь обратно в папку, куда устанавливали OpsMgr на сервере управления (\\OpsMgr\D$\Program Files\System Center Operations Manager 2007\AgentManagement\AMD64\) и выполните любое имеющееся там исправление (в моем случае было лишь Q950853-x64.msp).

После этих шагов агент будет установлен, но он не сможет взаимодействовать с сервером управления, так как ему еще не присвоен сертификат.

Выполните следующие шаги на обоих компьютерах, содержащих агента и сервер управления, используя один и тот же центр сертификации (ЦС) для каждого:

  • Запросите сертификаты с ЦС
  • Примите запрос сертификата на ЦС
  • Установите одобренные сертификаты в хранилища сертификатов компьютеров
  • Используйте инструмент MOMCertImport для настройки Operations Manager 2007

Можно использовать личный ЦС, не обязательно покупать публичные сертификаты. В зависимости от типа внутреннего ЦС, который вы используете ‘ Enterprise или Standalone ‘ процедуры издания требуемых сертификатов будут немного различаться. Разница состоит в шаблонах, нужных для сертификата: отдельный ЦС (Stand-Alone CA) позволит указать OID для типа требуемого сертификата, а производственный (Enterprise) ЦС имеет хорошо определенный шаблон, который можно использовать. Вот почему для Enterprise CA нам нужно создавать и включать новый шаблон сертификата.

ЗАМЕТКА: для создания и включения необходимого шаблона нужно использовать службу сертификатов Windows Certificate Service на сервере версии Windows Server Enterprise Edition. Если у вас нет версии Enterprise Edition, я советую вам установить новый отдельный ЦС.

Поскольку на моем контроллере домена уже установлен Stand-Alone CA, я опишу шаги по установке такого типа ЦС.

Выполните эти шаги на сервере Edge и сервере OpsMgr (обоим требуется сертификат):

  1. Запустите Internet Explorer и подключитесь к компьютеру, содержащему Certificate Services (Ошибка! Ссылка недействительна.). На странице Microsoft Certificate Services Welcome нажмите Запросить сертификат. На странице запроса сертификата нажмите Или предоставить расширенный запрос сертификата (Or, submit an advanced certificate request). На странице расширенного запроса сертификата нажмите Создать или предоставить запрос на этот ЦС (Create and submit a request to this CA).
  2. На странице Расширенный запрос сертификата (Advanced Certificate Request) (рисунок 10), выполните следующее: a) В Идентификационной информации (Identifying Information), в поле Имя введите требуемое полное имя (FQDN) компьютера, для которого вы запрашиваете сертификат. (Отчет об ошибке Event ID 20052 генерируется, если FQDN, введенное в поле Имя, не совпадает с именем компьютера). b) В закладке Тип нужного сертификата (Type of Certificate Needed) нажмите на списке и выберите Другой. В поле OID введите 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 c) В Опции ключа (Key Options) выберите Создать новый набор ключа (Create a new key set); в поле CSP выберите Microsoft Enhanced Cryptographic Provider v1.0; оставьте остальные опции по умолчанию (Key Usage:Both, Key Size:1024, Automatic key container name). Выберите Отмечать ключи, как экспортируемые (Mark keys as exportable), отчистите Экспортировать ключи в файл (Export keys to file), отчистите Включить строгую защиту частных ключей (Enable strong private key protection), а затем выберите Хранить сертификат в хранилище сертификатов локального компьютера (Store certificate in the local computer certificate store). d) В дополнительных опциях (Additional Options), в поле Дружественное имя (Friendly Name) введите FQDN компьютера, для которого запрашиваете сертификат и нажмите Предоставить (Submit). Если возникнет диалоговое окно о потенциальном нарушении безопасности (Potential Security Violation), нажмите Yes. e) Когда появится страница Certificate Pending, закройте обозреватель.

    Системный диспетчер exchange

    Рисунок 10: Запрос сертификата онлайн

  1. Для одобрения ждущего запроса сертификата войдите на компьютер, содержащий службу сертификации (Certificate Services) в качестве администратора и откройте консоль администрирования центров сертификации (Certification Authority). Разверните вкладку имени вашего ЦС, а затем нажмите на Ждущие запросы (Pending Requests). В появившейся панели правой клавишей нажмите на ждущем запросе с предыдущей процедуры, наведите курсор на Все задачи и выберите Издать (Issue).
  2. Для получения сертификата войдите на компьютер, на который устанавливаете сертификат (и с которого вы выполняли запрос). Запустите обозреватель Internet Explorer и подключитесь к компьютеру со службой Certificate Services (http://<servername>/certsrv). a) На странице приветствия Microsoft Certificate Services Welcome нажмите Показать статус ожидающего запроса сертификата (View the status of a pending certificate request). b) На странице Просмотр статуса ожидающего запроса сертификата нажмите на сертификате, который запрашивали. c) На странице Сертификат издан (Certificate Issued) нажмите Установить этот сертификат. В диалоговом окне Потенциальное нарушение безопасности выберите Да (Yes). d) На странице Сертификат установлен (Certificate Installed) после того, как увидите сообщение Ваш новый сертификат был успешно установлен, закройте обозреватель.
  3. Поскольку оба сервера должны доверять ЦС, выпустившему сертификаты, нам необходимо импортировать сертификат ЦС на обе машины (Edge и OpsMgr). Запустите обозреватель Internet Explorer и подключитесь к компьютеру со службой сертификации Certificate Services (http://<servername>/certsrv). a) На странице приветствия нажмите Загрузить ЦС сертификат, цепь сертификатов или CRL (Download a CA Certificate, certificate chain, or CRL). b) На странице Download a CA Certificate, Certificate Chain, or CRL выберите Загрузить цепь ЦС сертификатов. c) В диалоговом окне Загрузка файла нажмите Сохранить, укажите имя файла (.P7B), а затем снова нажмите Сохранить. Закройте обозреватель.
  4. Выполните MMC и добавьте оснастку Сертификаты (в диалоговом окне оснастки сертификатов выберите для учетной записи компьютера, а затем нажмите Далее. Убедитесь, что выбран Локальный компьютер и нажмите Завершить). Разверните Сертификаты (локальный компьютер), разверните Доверенные корневые центры сертификации (Trusted Root Certification Authorities), правой клавишей нажмите Сертификаты, выберите Все задачи и нажмите Импортировать. Найдите место, в которое вы сохранили файл .P7B и импортируйте сертификат.
  5. Для импортирования сертификата используйте MOMCertImport, перейдите к папке, где находятся исполняемые файлы установки Operations Manager 2007. Утилита MOMCertImport расположена в \SupportTools\i386 (для 64-разрядных компьютеров \SupportTools\amd64). Выполните следующую команду: MOMCertImport /SubjectName <Certificate Subject Name>

(Можно также экспортировать ранее изданный сертификат в .PFX файл и выполнить команду MOMCertImport <Certificate File Name>.pfx)

Advanced certificate request container name

Рисунок 11: Выполнение MOMCertImport

Если нужно удалить импортированные сертификаты с помощью команды MOMCertImport, просто выполните MomCertImport /Remove.

Разрешение ручной установки агента

Перед первой ручной установкой агента глобальные параметры необходимо изменить с отвержения на ‘Просмотр новой ручной установки агента в ожидающем виде управления (Review new manual agent installation in pending management view)’ в консоли действий OpsMgr 2007.

Откройте консоль действий (Operations Console) и в панели Администрирование выберите Настройки. В правой панели разверните вкладку Сервер и нажмите правой клавишей на Безопасность (рисунок 12). Выберите Свойства и в закладке Общие выберите опцию Просмотр новой ручной установки агента в ожидающем виде управления (рисунок 13). Нажмите OK для завершения.

Scom серые агенты

Рисунок 12: Разрешение ручной установки агента

Сертификат импортируется на EDGE

Рисунок 13: Глобальные параметры сервера управления — безопасность

После каждой ручной установки агента каждый новый агент должен быть одобрен в консоли System Center Operations Manager Console:

Откройте консоль Operations Console, в панели Администрирование разверните вкладку Управление устройствами и выберите опцию Ожидающее управление (Pending Management). В правой панели правой клавишей жмите на каждом сервере, требующем одобрения, и выбирайте опцию Одобрить (рисунок 14).

Для проверки успешности одобрения агента посмотрите в папку Управляемый агент (Agent Managed) на предмет наличия там одобренного агента.

Папка для исполняемых файлов

Рисунок 14: Одобрение установленного вручную агента

Заключение

На этом мы закончим вторую часть данной серии. В следующей части мы рассмотрим процесс настройки System Center Operations Console, необходимый для мониторинга серверов Exchange 2007 с помощью диспетчера Operations Manager 2007.

Источник  http://www.msexchange.org


Смотрите также:

Tags: ,

Readers Comments (Один комментарий)

  1. sdrgn:

    Попытка делать по KB947691 оказалась не простой, не получалось в силу запутанности и многоходовости танца с бубнами. Спасибо. Сделать по описанным выше пунктам решило проблему за 20 мин. Читаешь, повторяешь и походу — понимаешь. Спасибо еще раз.




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]