ゲートウェイ サーバーを使用せずに Operations Manager エージェントをインストールするときにワークグループ コンピューターが表示されない
この記事では、ゲートウェイ サーバーを使用せずにリモートの信頼されていないワークグループ コンピューターを監視するように System Center Operations Manager サーバーを構成できない問題の解決策について説明します。
元の製品バージョン: System Center 2012 Operations Manager
元の KB 番号: 947691
現象
ゲートウェイ サーバーを使用せずにワークグループ コンピューターに System Center Operations Manager エージェントをインストールしようとすると、Operations Manager にワークグループ コンピューターが表示されません。
さらに、Operations Manager イベント ログに次のエラー メッセージが記録されます。
イベント ID: 21007 OpsMgr コネクタは、信頼されたドメインにないため、管理サーバー>への<相互認証接続を作成できません。
イベント ID: 21016 Opsmgr が管理サーバー>への通信チャネルを<セットアップできず、フェールオーバー ホストがありません
原因
この問題は、通常、正しい証明書が使用できないために、エージェントが管理サーバーへのセキュリティ通信チャネルを確立できない場合に発生します。 この問題は、ワークグループ内のエージェントが相互認証に Kerberos プロトコルを使用できないために発生します。 証明書は、Kerberos プロトコルが使用されていない環境で使用する必要があります。
解決方法
この問題を解決するには、ゲートウェイ サーバーを使用せずにリモートの信頼されていないワークグループ コンピューターを監視するように Operations Manager サーバーを構成できます。 これを行うには、管理サーバーとエージェントで管理されるワークグループ コンピューターの間で証明書認証が必要です。 おそらく、このシナリオは境界ネットワーク (DMZ、非武装地帯、およびスクリーンサブネットとも呼ばれます) で一般的になります。
スタンドアロンのエージェントで管理されるワークグループ コンピューターを監視するように Operations Manager サーバーを構成するには、次の証明書が必要です。
- 管理サーバーとワークグループ コンピューターのインポートされた証明機関 (CA) ルート証明書
- 管理サーバーの証明書。 証明書の共通名 (CN) は完全修飾ドメイン名 (FQDN) である必要があります。
- ワークグループ コンピューターの証明書
ワークグループ コンピューターが FQDN によってアドレス指定されている場合は、コンピューターも FQDN 形式を使用して、このコンピューターの証明書を要求する必要があります。 それ以外の場合は、次のエラー メッセージが表示されます。
証明書のサブジェクト名がローカル コンピューター名と一致しないため、指定した証明書を読み込めませんでした
証明書のサブジェクト名: <証明書のサブジェクト名>
コンピューター名: <コンピューター名>
ゲートウェイ サーバーを使用せずにワークグループ コンピューターを監視する方法
管理サーバーとエージェントで管理されるワークグループ コンピューターのルート CA 証明書をインポートします。 これを行うには、次の手順を実行します。
注:
管理サーバーとワークグループ コンピューターでは、次の手順に従う必要があります。 ルート証明機関 (CA) がインストールされていて、オブジェクト識別子 (OID) を使用して別の証明書を作成できる必要があります。 ルート証明機関がインストールされていない場合は、「 ドメインにルート証明機関をインストールする方法 」セクションを参照してください。
サーバー デスクトップから Web ブラウザーを開き、証明機関サーバーをポイントします。 たとえば、アドレス http://<certification_authority_server>/certsrv を入力します。
[ CA 証明書、証明書チェーン、または CRL のダウンロード] を選択します。
[ CA 証明書チェーンのダウンロード] を選択します。 Certnew.p7b という名前の証明書がダウンロードされます。 この証明書をデスクトップに保存します。
ダウンロードが完了したら、[ スタート] を選択し、[ 実行] を選択し、「」と入力
mmcし、[ OK] を 選択して Microsoft 管理コンソール (MMC) インスタンスを開きます。[ファイル] メニューの [スナップインの追加と削除][証明書の追加] の順に>選択>します。
[コンピューター アカウント>の追加] [次へ] > の順に選択します。
[ ローカル コンピューター>の終了] [>閉じる>] [OK] を選択します。
[ 信頼されたルート証明機関] で、[ 証明書] を右クリックし、[ すべてのタスク] をポイントして、[ インポート] を選択します。
[次へインポート] を選択します>。
証明書ファイルの入力を求められたら、[参照] を選択 します。
種類のファイルを PKCS #7 証明書 (*.spc,*.p7b) に変更します。
証明機関サーバーからダウンロードした適切な証明書ファイルを選択し、[ 開く] を選択します。
次へ] [完了] の順に選択します。
Operations Manager 証明書をサポートするようにエンタープライズ ルート証明機関サーバーを構成します。 これを行うには、次の手順を実行します。
ドメイン管理者の資格情報を使用して、エンタープライズ下位証明機関サーバーにサインインします。
[ スタート] を選択し、[ 実行] を選択し、「」と入力
mmcし、Enter キーを押します。[ファイル] メニューの [スナップインの追加と削除] を選択します。
[追加] を選択します。
[ スタンドアロン スナップインの追加] で、[ 証明書テンプレート] を選択し、[ 追加] を選択します。
[ 証明機関] を選択し、[ 追加] を選択します。
証明機関スナップインで、ローカル コンピューター (このコンソールが実行されているコンピューター) オプションを選択します。
[完了] を選択します。
[閉じる]、[OK] の順に選択します。
証明機関スナップインで、証明書テンプレート スナップインと証明機関スナップインが表示されることを確認します。
[ 証明書テンプレート] を選択します。
詳細ウィンドウで、[ コンピューター] を右クリックし、[テンプレートの 複製] を選択します。
[全般] タブで、テンプレート名をorganizationのわかりやすい名前に変更します。 たとえば、テンプレート名として OpsMgr2012 を使用できます。 有効期間がorganizationの要件を満たしていることを確認します。
[ 要求処理 ] タブを選択し、[ 秘密キーのエクスポートを許可する] を選択します。
[サブジェクト名] タブを選択し、[要求] オプションで [供給] を選択します。
[セキュリティ] タブを選択します。
すべてのドメインで、次のグループに対して 登録と自動登録 のアクセス許可を付与します。
- 認証ユーザー
- ドメイン管理者
- ドメイン コンピューター
- エンタープライズ管理者
[Apply]\(適用\) を選択し、次に [OK] を選択します。
設定を確認するには、[ 証明書テンプレート] を展開します。
詳細ウィンドウで、構成したテンプレートを右クリックし、[ プロパティ] を選択し、設定を確認して、[OK] を選択 します。
[ 証明機関 (ローカル)] を展開し、証明機関を展開します。
コンソール ツリーで、[ 証明書テンプレート] を右クリックし、[ 新規作成] をポイントし、[ 発行する証明書テンプレート] を選択します。
新しいテンプレートを選択し、[ OK] を選択します。
新しいテンプレートが詳細ウィンドウに表示されることを確認し、[ サーバー認証 ] エントリと [クライアント認証 ] エントリが [目的] の下に表示されることを確認します。
スナップインを閉じます。
[スタート] を選択し、[実行] を選択し、[開く] フィールドに「」と入力
gpupdate /forceし、Enter キーを押します。注:
この手順では、ドメイン コントローラーでグループ ポリシー更新を強制し、フォレスト全体でこれらの変更をレプリケーションします。
[スタート] を選択し、[実行] を選択し、[開く] フィールドに「http://<name_of_the_issuing_CA_Server>/certsrv」と入力し、Enter キーを押します。
メッセージが表示されたら、ドメイン管理者アカウント名とパスワードを入力します。
[ 証明書サービス ] ページで、[タスクの選択] で [証明書の要求 ] を選択します。
[ 高度な証明書要求] を選択します。
[ 作成] を選択し、この CA に要求を送信します。
[ 証明書テンプレート ] ボックスの一覧で、新しい証明書テンプレートが表示されることを確認します。
証明機関サーバーに証明書要求を送信します。 これを行うには、管理サーバーとワークグループ コンピューターで次の手順を実行します。
[スタート] を選択し、[実行] を選択し、[開く] フィールドに「http://<name_of_the_issuing_CA_Server>/certsrv」と入力し、Enter キーを押します。
メッセージが表示されたら、ドメイン管理者アカウント名とパスワードを入力します。
[ 証明書サービス ] ページで、[タスクの選択] で [証明書の要求 ] を選択します。
[ 高度な証明書要求] を選択します。
[ 作成] を選択し、この CA に要求を送信します。
[ 証明書テンプレート ] フィールドで、手順 2 で構成したテンプレート名を選択します。 たとえば、[ OpsMgr2012] を選択します。
[ 名前 ] フィールドに、管理サーバーの FQDN を入力します。
[エクスポート可能なチェックとしてキーをマークする] ボックスを選択します。 Web 証明書要求 UI を使用する場合は、[証明書をローカルコンピューティング証明書ストアに格納する] ボックスにもチェックする必要があります。
注:
この操作を行わないと、証明書は使用できなくなります。
[ 送信] を 選択して証明機関サーバーに要求を送信し、画面に表示される指示に従います。
CA のセキュリティ構成に応じて、管理者が要求を手動で承認するまで待つ必要があります。 CA をすぐにダウンロードできる保証はありません。
証明書を確認します。 これを行うには、次の手順を実行します。
- [ スタート] を選択し、[ 実行] を選択し、「」と入力
mmcし、Enter キーを押します。 - [ファイル] メニューの [スナップインの追加と削除] を選択します。
- [追加] を選択します。
- [ 証明書 ] スナップインを選択し、[ 追加] を選択します。
- [ マイ ユーザー アカウント] を選択 し、[完了] を選択し、[ 閉じる ] を選択してスナップイン の一覧を閉じ、[ OK] を 選択して スナップインの追加と削除 のウィンドウを閉じます。
- [ 証明書 - 現在のユーザー] を展開し、[ 個人用] を展開し、[ 証明書] を展開して、サーバー証明書を選択します。
- 証明書をダブルクリックし、[ 詳細 ] タブを選択します。
- 一覧で、[ 拡張キーの使用法] を選択します。 次のエントリが表示されます。
- クライアント認証 (1.3.6.1.5.5.7.3.2)
- サーバー認証 (1.3.6.1.5.5.7.3.1)
- [ スタート] を選択し、[ 実行] を選択し、「」と入力
コンピューターのプライベート ストアからエクスポートできる証明書を使用するように Operations Manager 2012 サーバーを構成します。 これを行うには、次の手順を実行します。
- [ スタート] を選択し、[ 実行] を選択し、「」と入力
mmcし、Enter キーを押します。 - [ファイル] メニューの [スナップインの追加と削除] を選択します。
- [追加] を選択します。
- [ 証明書] を選択し、[ 追加] を選択します。
- [ コンピューター アカウント] を選択し、[完了] を選択 します。
- [ ローカル コンピューター] を選択 し、[完了] を選択し、[ 閉じる ] を選択してスナップインの一覧を閉じ、[ OK] を 選択して スナップインの追加と削除 のウィンドウを閉じます。
- [ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を展開し、[ 証明書] を展開して、適切な証明書を選択します。
- 証明書を右クリックし、[ すべてのタスク] をポイントし、[エクスポート] を選択 します。
- [次へ] を選択します。
- [ はい]、[秘密キーのエクスポート] の順に選択し、[ 次へ] を選択します。
- ファイル形式の既定の設定を使用します。
- ファイルのパスワードを入力します。
- ファイル名を入力し、[ 次へ] を選択します。
- [完了] を選択します。
- 管理サーバーとワークグループ コンピューターで、これらすべての手順を繰り返します。
- [ スタート] を選択し、[ 実行] を選択し、「」と入力
ワークグループ コンピューターにエージェントをインストールします。 それには、以下の手順を実行します。
注:
エージェントの手動インストールを実行するため、Operations Manager の配布場所の \Agent\i386 フォルダーにあるエージェントセットアップ実行可能ファイルを使用する必要があります。
- MOMAgent.msi ファイルを実行します。
- [ ようこそ ] 画面で、[ 次へ] を選択します。
- ソフトウェアのフォルダーの保存先の入力を求められたら、既定の場所をそのまま使用し、[ 次へ] を選択します。
- 管理グループ情報の構成を求められたら、既定の設定をそのまま使用し、[ 次へ] を選択します。
- 管理グループ名、管理サーバー名、ポートを入力し、[ 次へ] を選択します。
- 既定の設定をそのまま使用し、[ 次へ] を選択します。
- 入力したすべての情報が正しいことを確認し、[ インストール ] を選択してインストールを開始します。
- インストールが完了したら、[ 完了] を選択してインストールを終了します。
Momcertimport ツールを使用して証明書をインポートします。 これを行うには、次の手順を実行します。
注:
Momcertimport ツールを使用して、レジストリ内の特定の証明書のシリアル番号を入力します。 管理サーバーとワークグループ コンピューターでは、次の手順に従う必要があります。 Operations Manager エージェントがワークグループ コンピューターにインストールされていることを確認します。 そうしないと、Momcertimport ツールを実行するとエラーが発生します。
[スタート]、[ファイル名を指定して実行] の順に選択します。
[ 開く ] フィールドに「」と入力
cmdし、[ OK] を選択します。コマンド プロンプトで、「 drive_letter: 」と入力し、Enter キーを押します。
注:
drive_letter は、Operations Manager インストール メディアが配置されているドライブです。
[
cd \SupportTools\i386]と入力して、Enter キーを押します。次のコマンドを入力し、Enter キーを押します。
MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5mOperations Manager Health サービスを再起動します。
管理サーバーが手動インストールを確認し、承認を要求するまで待ちます。 これには少し時間がかかります (5 分から 10 分)。 メッセージが表示されたら、エージェントを承認します。 ワークグループ エージェントがサーバーと通信できるようになりました。
ドメインにルート証明機関をインストールする方法
注:
サイトにルート証明機関が既にある場合は、次の手順をスキップします。
ドメイン コントローラーに証明機関サービスをインストールするには、次の手順に従います。 このサンプル 手順では、ドメイン コントローラーを使用します。 ただし、ルート証明機関はドメイン内の任意の場所にインストールできます。
ドメイン コントローラーにサインインします。
[スタート] を選択し、[コントロール パネル] を選択し、[プログラムの追加と削除] をダブルクリックし、[Windows コンポーネントの追加と削除] を選択します。
[証明書サービス] が見つかるまで下にスクロールし、選択します。 サービスの両方のサブオプションを選択してください。 これらのコンポーネントを選択すると、警告メッセージが表示されます。 このメッセージは、コンピューターまたはそのドメイン メンバーシップの名前を変更しないことを示します。 警告を読んだ後、[ はい ] を選択して続行し、[ 次へ] を選択します。
ウィザードで CA の種類の入力を求められたら、[ スタンドアロン ルート CA] を選択し、[ 次へ] を選択します。
ウィザードで証明機関の共通名の入力を求められたら、NetBIOS 名またはドメイン ネーム システム (DNS) ホスト名を使用します。 この例では、「DC01」と入力し、[ 次へ] を選択します。
既定のデータベース設定をそのまま使用し、[ 次へ] を選択します。
証明機関サービスがサーバーにインストールされるようになりました。 サービスにアクセスするには、Web サイト http://<server_name>/certsrv にアクセスします。 この例では、「 」と入力します http://dc01/certsrv。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示