Ein Arbeitsgruppencomputer wird nicht angezeigt, wenn ein Operations Manager-Agent darauf installiert wird, ohne einen Gatewayserver zu verwenden.

  • Artikel

Dieser Artikel bietet eine Lösung für das Problem, dass Sie einen System Center Operations Manager-Server nicht zum Überwachen eines nicht vertrauenswürdigen Remotearbeitsgruppencomputers ohne Verwendung eines Gatewayservers konfigurieren können.

Ursprüngliche Produktversion: System Center 2012 Operations Manager
Ursprüngliche KB-Nummer: 947691

Symptome

Wenn Sie versuchen, einen System Center Operations Manager-Agent auf einem Arbeitsgruppencomputer zu installieren, ohne einen Gatewayserver zu verwenden, wird der Arbeitsgruppencomputer von Operations Manager nicht angezeigt.

Darüber hinaus wird die folgende Fehlermeldung im Operations Manager-Ereignisprotokoll protokolliert:

Ereignis-ID: 21007 Der OpsMgr-Connector kann keine gegenseitig authentifizierte Verbindung mit dem <Verwaltungsserver> erstellen, da er sich nicht in einer vertrauenswürdigen Domäne befindet.
Ereignis-ID: 21016 Opsmgr konnte keinen Kommunikationskanal zum <Verwaltungsserver> einrichten, und es gibt keine Failoverhosts.

Ursache

Dieses Problem tritt in der Regel auf, wenn der Agent keinen Sicherheitskommunikationskanal zum Verwaltungsserver einrichten kann, weil die richtigen Zertifikate nicht verfügbar sind. Dieses Problem tritt auf, weil Agents in der Arbeitsgruppe das Kerberos-Protokoll nicht für die gegenseitige Authentifizierung verwenden können. Die Zertifikate müssen in einer Umgebung verwendet werden, in der das Kerberos-Protokoll nicht verwendet wird.

Lösung

Um dieses Problem zu beheben, können Sie einen Operations Manager-Server so konfigurieren, dass er einen remote nicht vertrauenswürdigen Arbeitsgruppencomputer überwacht, ohne einen Gatewayserver zu verwenden. Dazu ist eine Zertifikatauthentifizierung zwischen dem Verwaltungsserver und dem mit dem Agent verwalteten Arbeitsgruppencomputer erforderlich. Vermutlich wird dieses Szenario in einem Umkreisnetzwerk (auch als DMZ, demilitarisierte Zone und überprüftes Subnetz bezeichnet) üblich sein.

Um einen Operations Manager-Server für die Überwachung eines eigenständigen, mit Agent verwalteten Arbeitsgruppencomputers zu konfigurieren, benötigen Sie die folgenden Zertifikate:

  • Ein importiertes Zertifizierungsstellen-Stammzertifikat für den Verwaltungsserver und für den Arbeitsgruppencomputer
  • Ein Zertifikat für den Verwaltungsserver. Der allgemeine Name (Common Name, CN) des Zertifikats muss ein vollqualifizierter Domänenname (FQDN) sein.
  • Ein Zertifikat für den Arbeitsgruppencomputer

Wenn der Arbeitsgruppencomputer von einem FQDN adressiert wird, sollte der Computer auch das FQDN-Format verwenden, um das Zertifikat für diesen Computer anzufordern. Andernfalls erhalten Sie diese Fehlermeldung:

Das angegebene Zertifikat konnte nicht geladen werden, da der Antragstellername im Zertifikat nicht mit dem Namen des lokalen Computers übereinstimmt.
Name des Zertifikatantragstellers: <Name des Zertifikatantragstellers>
Computername: <Computername>

Überwachen eines Arbeitsgruppencomputers ohne Verwendung eines Gatewayservers

  1. Importieren Sie die Zertifikate der Stammzertifizierungsstelle für den Verwaltungsserver und für den mit dem Agent verwalteten Arbeitsgruppencomputer. Gehen Sie dazu wie folgt vor:

    Hinweis

    Sie müssen diese Schritte auf dem Verwaltungsserver und auf dem Arbeitsgruppencomputer ausführen. Sie müssen eine Stammzertifizierungsstelle (Ca) installiert haben, und Sie müssen in der Lage sein, ein weiteres Zertifikat mithilfe von Objektbezeichnern (OIDs) zu erstellen. Wenn Sie keine Stammzertifizierungsstelle installiert haben, lesen Sie den Abschnitt Installieren einer Stammzertifizierungsstelle in einer Domäne .

    1. Öffnen Sie auf dem Serverdesktop einen Webbrowser, und zeigen Sie ihn dann auf den Server der Zertifizierungsstelle. Geben Sie beispielsweise die Adresse http://<certification_authority_server>/certsrv ein.

    2. Wählen Sie Zertifizierungsstellenzertifikat, Zertifikatkette oder Zertifikatsperrliste herunterladen aus.

    3. Wählen Sie Zertifikatkette der Zertifizierungsstelle herunterladen aus. Ein Zertifikat mit dem Namen Certnew.p7b wird heruntergeladen. Speichern Sie dieses Zertifikat auf dem Desktop.

    4. Wenn der Download abgeschlossen ist, wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie einmmc, und wählen Sie dann OK aus, um eine Microsoft Management Console (MMC)-instance zu öffnen.

    5. Wählen Sie im Menü Datei die Option Snap-In> hinzufügen/entfernenZertifikatehinzufügen> aus.

    6. Wählen SieComputerkonto>hinzufügen>Weiter aus.

    7. Wählen Sie Lokaler Computer>Ende>Schließen>OK aus.

    8. Klicken Sie unter Vertrauenswürdige Stammzertifizierungsstellen mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und wählen Sie dann Importieren aus.

    9. Wählen Sie Weiter importieren> aus.

    10. Wenn Sie zur Eingabe der Zertifikatdatei aufgefordert werden, wählen Sie Durchsuchen aus.

    11. Ändern Sie Dateien vom Typ in PKCS #7 Certificates (*.spc,*.p7b).

    12. Wählen Sie die entsprechende Zertifikatdatei aus, die Sie vom Zertifizierungsstellenserver heruntergeladen haben, und wählen Sie dann Öffnen aus.

    13. Klicken Sie auf Weiter>Fertig stellen.

  2. Konfigurieren Sie den Server der Stammzertifizierungsstelle des Unternehmens für die Unterstützung der Operations Manager-Zertifikate. Gehen Sie dazu wie folgt vor:

    1. Verwenden Sie die Anmeldeinformationen des Domänenadministrators, um sich beim Server der untergeordneten Zertifizierungsstelle des Unternehmens anzumelden.

    2. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie ein mmc, und drücken Sie dann die EINGABETASTE.

    3. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.

    4. Wählen Sie Hinzufügen.

    5. Wählen Sie unter Eigenständiges Snap-In hinzufügendie Option Zertifikatvorlagen und dann Hinzufügen aus.

    6. Wählen Sie Zertifizierungsstelle und dann Hinzufügen aus.

    7. Wählen Sie im Zertifizierungsstellen-Snap-In die Option Lokaler Computer (der Computer, auf dem diese Konsole ausgeführt wird) aus.

    8. Wählen Sie Fertig stellen aus.

    9. Klicken Sie auf Schließen und anschließend auf OK.

    10. Vergewissern Sie sich im Snap-In Zertifizierungsstelle , dass das Snap-In "Zertifikatvorlagen " und das Snap-In " Zertifizierungsstelle " angezeigt werden.

    11. Wählen Sie Zertifikatvorlagen aus.

    12. Klicken Sie im Detailbereich mit der rechten Maustaste auf Computer, und wählen Sie dann Vorlage duplizieren aus.

    13. Ändern Sie auf der Registerkarte Allgemein den Vorlagennamen in einen aussagekräftigen Namen für Ihre organization. Beispielsweise können Sie OpsMgr2012 als Vorlagennamen verwenden. Überprüfen Sie, ob der Gültigkeitszeitraum die Anforderungen Ihrer organization erfüllt.

    14. Wählen Sie die Registerkarte Anforderungsverarbeitung und dann Exportieren von privatem Schlüssel zulassen aus.

    15. Wählen Sie die Registerkarte Antragstellername und dann in der Option Anforderung die Option Angeben aus.

    16. Klicken Sie auf die Registerkarte Sicherheit.

    17. Gewähren Sie den folgenden Gruppen in allen Domänen Die Berechtigungen Registrieren und Automatische Registrierung :

      • Authentifizierte Benutzer
      • Domänenadministratoren
      • Domänencomputer
      • Unternehmensadministratoren

    18. Klicken Sie auf Apply (Anwenden) und dann auf OK.

    19. Erweitern Sie zertifikatvorlagen, um die Einstellungen zu überprüfen.

    20. Klicken Sie im Detailbereich mit der rechten Maustaste auf die von Ihnen konfigurierte Vorlage, wählen Sie Eigenschaften aus, überprüfen Sie Ihre Einstellungen, und wählen Sie dann OK aus.

    21. Erweitern Sie Zertifizierungsstelle (lokal) und dann Ihre Zertifizierungsstelle.

    22. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Zertifikatvorlagen, zeigen Sie auf Neu, und wählen Sie dann Ausstellende Zertifikatvorlage aus.

    23. Wählen Sie die neue Vorlage und dann OK aus.

    24. Vergewissern Sie sich, dass die neue Vorlage im Detailbereich angezeigt wird, und überprüfen Sie dann, ob der Eintrag Serverauthentifizierung und der Eintrag Clientauthentifizierung unter Beabsichtigter Zweck angezeigt werden.

    25. Schließen Sie das Snap-In.

    26. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie gpupdate /force in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.

      Hinweis

      Dieser Schritt erzwingt eine Gruppenrichtlinie Aktualisierung auf dem Domänencontroller und eine Replikation dieser Änderungen in der gesamten Gesamtstruktur.

    27. Wählen Sie Start und dann Ausführen aus, geben Sie http://<name_of_the_issuing_CA_Server>/certsrv in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.

    28. Wenn Sie dazu aufgefordert werden, geben Sie den Domänenadministratorkontonamen und das Kennwort ein.

    29. Wählen Sie auf der Seite Zertifikatdienste unter Aufgabe auswählen die Option Zertifikat anfordern aus.

    30. Wählen Sie Erweiterte Zertifikatanforderung aus.

    31. Wählen Sie Erstellen aus, und übermitteln Sie eine Anforderung an diese Zertifizierungsstelle.

    32. Vergewissern Sie sich in der Liste Zertifikatvorlage , dass Ihre neue Zertifikatvorlage angezeigt wird.

  3. Übermitteln Sie die Zertifikatanforderung an den Zertifizierungsstellenserver. Führen Sie dazu die folgenden Schritte auf dem Verwaltungsserver und auf dem Arbeitsgruppencomputer aus:

    1. Wählen Sie Start und dann Ausführen aus, geben Sie http://<name_of_the_issuing_CA_Server>/certsrv in das Feld Öffnen ein, und drücken Sie dann die EINGABETASTE.

    2. Wenn Sie dazu aufgefordert werden, geben Sie den Namen und das Kennwort des Domänenadministratorkontos ein.

    3. Wählen Sie auf der Seite Zertifikatdienste unter Aufgabe auswählen die Option Zertifikat anfordern aus.

    4. Wählen Sie Erweiterte Zertifikatanforderung aus.

    5. Wählen Sie Erstellen aus, und übermitteln Sie eine Anforderung an diese Zertifizierungsstelle.

    6. Wählen Sie im Feld Zertifikatvorlage den Vorlagennamen aus, den Sie in Schritt 2 konfiguriert haben. Wählen Sie beispielsweise OpsMgr2012 aus.

    7. Geben Sie im Feld Name den FQDN des Verwaltungsservers ein.

    8. Aktivieren Sie das Kontrollkästchen Schlüssel als exportierbar markieren . Wenn Sie die Webzertifikatanforderungs-Benutzeroberfläche verwenden, müssen Sie auch das Kontrollkästchen Zertifikat im lokalen Computezertifikatspeicher speichern aktivieren.

      Hinweis

      Wenn dies nicht der Fall ist, kann das Zertifikat nicht verwendet werden.

    9. Wählen Sie Senden aus, um Ihre Anforderung an den Zertifizierungsstellenserver zu übermitteln, und folgen Sie dann den Anweisungen, die auf dem Bildschirm angezeigt werden.

    10. Abhängig von der Sicherheitskonfiguration der Zertifizierungsstelle müssen Sie warten, bis ein Administrator die Anforderung manuell genehmigt. Es ist nicht garantiert, dass die Zertifizierungsstelle sofort heruntergeladen werden kann.

    11. Überprüfen Sie das Zertifikat. Gehen Sie dazu wie folgt vor:

      1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie ein mmc, und drücken Sie dann die EINGABETASTE.
      2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
      3. Wählen Sie Hinzufügen.
      4. Wählen Sie das Snap-In Zertifikate und dann Hinzufügen aus.
      5. Wählen Sie Mein Benutzerkonto aus, wählen Sie Fertig stellen aus, wählen Sie Schließen aus, um die Snap-In-Liste zu schließen, und klicken Sie dann auf OK , um das Fenster Snap-In hinzufügen/entfernen zu schließen.
      6. Erweitern Sie Zertifikate – Aktueller Benutzer, Erweitern Sie Persönlich, erweitern Sie Zertifikate, und wählen Sie dann das Serverzertifikat aus.
      7. Doppelklicken Sie auf das Zertifikat, und wählen Sie dann die Registerkarte Details aus.
      8. Wählen Sie in der Liste Erweiterte Schlüsselverwendung aus. Die folgenden Einträge sollten angezeigt werden:
        • Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
        • Serverauthentifizierung (1.3.6.1.5.5.7.3.1)

  4. Konfigurieren Sie den Operations Manager 2012-Server für die Verwendung von Zertifikaten, die aus dem privaten Speicher des Computers exportiert werden können. Gehen Sie dazu wie folgt vor:

    1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie ein mmc, und drücken Sie dann die EINGABETASTE.
    2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
    3. Wählen Sie Hinzufügen.
    4. Wählen Sie Zertifikate und dann Hinzufügen aus.
    5. Wählen Sie Computerkonto und dann Fertig stellen aus.
    6. Wählen Sie Lokaler Computer, dann Fertig stellen und Schließen aus, um die Snap-In-Liste zu schließen, und klicken Sie dann auf OK , um das Fenster Snap-In hinzufügen/entfernen zu schließen.
    7. Erweitern Sie Zertifikate (lokaler Computer),Dann Persönlich, Zertifikate, und wählen Sie dann ein geeignetes Zertifikat aus.
    8. Klicken Sie mit der rechten Maustaste auf das Zertifikat, zeigen Sie auf Alle Aufgaben, und wählen Sie dann Exportieren aus.
    9. Wählen Sie Weiter aus.
    10. Wählen Sie Ja, privaten Schlüssel exportieren und dann Weiter aus.
    11. Verwenden Sie die Standardeinstellung für das Dateiformat.
    12. Geben Sie ein Kennwort für die Datei ein.
    13. Geben Sie einen Dateinamen ein, und wählen Sie dann Weiter aus.
    14. Wählen Sie Fertig stellen aus.
    15. Wiederholen Sie alle diese Schritte auf dem Verwaltungsserver und auf dem Arbeitsgruppencomputer.

  5. Installieren Sie den Agent auf dem Arbeitsgruppencomputer. Gehen Sie hierzu wie folgt vor.

    Hinweis

    Da Sie eine manuelle Installation des Agents durchführen, müssen Sie die ausführbare Datei für das Agent-Setup verwenden, die im Ordner \Agent\i386 am Operations Manager-Verteilungsspeicherort verfügbar ist.

    1. Führen Sie die MOMAgent.msi-Datei aus.
    2. Wählen Sie auf dem Bildschirm Willkommen die Option Weiter aus.
    3. Wenn Sie zur Eingabe eines Ordnerziels für die Software aufgefordert werden, übernehmen Sie den Standardspeicherort, und wählen Sie dann Weiter aus.
    4. Wenn Sie aufgefordert werden, die Verwaltungsgruppeninformationen zu konfigurieren, übernehmen Sie die Standardeinstellungen, und wählen Sie dann Weiter aus.
    5. Geben Sie den Namen der Verwaltungsgruppe, den Namen des Verwaltungsservers und den Port ein, und wählen Sie dann Weiter aus.
    6. Übernehmen Sie die Standardeinstellungen, und wählen Sie dann Weiter aus.
    7. Vergewissern Sie sich, dass alle eingegebenen Informationen korrekt sind, und wählen Sie dann Installieren aus, um die Installation zu starten.
    8. Wenn die Installation abgeschlossen ist, wählen Sie Fertig aus , um die Installation zu beenden.

  6. Verwenden Sie das Momcertimport-Tool, um das Zertifikat zu importieren. Gehen Sie dazu wie folgt vor:

    Hinweis

    Das Momcertimport-Tool wird verwendet, um die Seriennummer des spezifischen Zertifikats in die Registrierung einzugeben. Sie müssen diese Schritte auf dem Verwaltungsserver und auf dem Arbeitsgruppencomputer ausführen. Stellen Sie sicher, dass der Operations Manager-Agent auf dem Arbeitsgruppencomputer installiert ist. Andernfalls erhalten Sie eine Fehlermeldung, wenn Sie das Tool Momcertimport ausführen.

    1. Wählen Sie Start und dann Ausführen aus.

    2. Geben Sie im Feld Öffnen den Namen cmdein, und wählen Sie dann OK aus.

    3. Geben Sie an der Eingabeaufforderung drive_letter ein, und drücken Sie dann die EINGABETASTE.

      Hinweis

      drive_letter ist das Laufwerk, auf dem sich das Operations Manager-Installationsmedium befindet.

    4. Geben Sie cd \SupportTools\i386 ein, und drücken Sie dann die Eingabetaste.

    5. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m

    6. Starten Sie den Operations Manager-Integritätsdienst neu.

  7. Warten Sie, bis der Verwaltungsserver die manuelle Installation angezeigt und die Genehmigung anzufordern. Dies sollte einige Zeit dauern (fünf bis zehn Minuten). Wenn Sie dazu aufgefordert werden, genehmigen Sie den Agent. Der Arbeitsgruppen-Agent kann jetzt mit dem Server kommunizieren.

Installieren einer Stammzertifizierungsstelle in einer Domäne

Hinweis

Wenn Ihre Website bereits über eine Stammzertifizierungsstelle verfügt, überspringen Sie diese Schritte.

Führen Sie die folgenden Schritte aus, um Zertifizierungsstellendienste auf einem Domänencontroller zu installieren. In dieser Beispielprozedur wird ein Domänencontroller verwendet. Sie können die Stammzertifizierungsstelle jedoch an einer beliebigen Stelle in Ihrer Domäne installieren.

  1. Melden Sie sich bei einem Domänencontroller an.

  2. Wählen Sie Start aus, wählen Sie Systemsteuerung aus, doppelklicken Sie auf Software, und wählen Sie dann Windows-Komponenten hinzufügen/entfernen aus.

  3. Scrollen Sie nach unten, bis Sie Zertifikatdienste finden, und wählen Sie es dann aus. Stellen Sie sicher, dass Sie beide Unteroptionen für die Dienste auswählen. Wenn Sie diese Komponenten auswählen, erhalten Sie eine Warnmeldung. In dieser Meldung werden Sie aufgefordert, den Namen des Computers oder dessen Domänenmitgliedschaft nicht zu ändern. Nachdem Sie die Warnung gelesen haben, wählen Sie Ja aus, um fortzufahren, und wählen Sie dann Weiter aus.

  4. Wenn der Assistent Sie zur Eingabe des Zertifizierungsstellentyps auffordert, wählen Sie Eigenständige Stammzertifizierungsstelle und dann Weiter aus.

  5. Wenn der Assistent Sie zur Eingabe eines allgemeinen Namens für die Zertifizierungsstelle auffordert, verwenden Sie den NetBIOS-Namen oder den DNS-Hostnamen (Domain Name System). Geben Sie in diesem Beispiel DC01 ein, und wählen Sie dann Weiter aus.

  6. Übernehmen Sie die Standarddatenbankeinstellungen, und wählen Sie dann Weiter aus.

Zertifizierungsstellendienste sind jetzt auf dem Server installiert. Um auf die Dienste zuzugreifen, besuchen Sie die Website http://<server_name>/certsrv. Geben Sie in diesem Beispiel ein http://dc01/certsrv.