Impossible de voir un ordinateur de groupe de travail lors de l’installation d’un agent Operations Manager sur celui-ci sans utiliser un serveur de passerelle

  • Article

Cet article fournit une solution au problème lié au fait que vous ne pouvez pas configurer un serveur System Center Operations Manager pour surveiller un ordinateur de groupe de travail distant et non approuvé sans utiliser de serveur de passerelle.

Version d’origine du produit : System Center 2012 Operations Manager
Numéro de la base de connaissances d’origine : 947691

Symptômes

Lorsque vous essayez d’installer un agent System Center Operations Manager sur un ordinateur de groupe de travail sans utiliser de serveur de passerelle, Operations Manager ne peut pas voir l’ordinateur du groupe de travail.

En outre, le message d’erreur suivant est enregistré dans le journal des événements Operations Manager :

ID d’événement : 21007 Le connecteur OpsMgr ne peut pas créer une connexion mutuellement authentifiée au < serveur >d’administration, car il ne se trouve pas dans un domaine approuvé.
ID d’événement : 21016 Opsmgr n’a pas pu configurer un canal de communication vers < le serveur >d’administration et il n’y a pas d’hôtes de basculement

Cause

Ce problème se produit généralement lorsque l’agent ne peut pas établir de canal de communication de sécurité vers le serveur d’administration, car les certificats appropriés ne sont pas disponibles. Ce problème se produit car les agents du groupe de travail ne peuvent pas utiliser le protocole Kerberos pour l’authentification mutuelle. Les certificats doivent être utilisés dans un environnement dans lequel le protocole Kerberos n’est pas utilisé.

Résolution

Pour résoudre ce problème, vous pouvez configurer un serveur Operations Manager pour surveiller un ordinateur de groupe de travail distant non approuvé sans utiliser de serveur de passerelle. Pour ce faire, l’authentification par certificat est requise entre le serveur d’administration et l’ordinateur de groupe de travail géré par agent. Ce scénario est probablement courant dans un réseau de périmètre (également appelé zone DMZ, zone démilitarisée et sous-réseau filtré).

Pour configurer un serveur Operations Manager afin de surveiller un ordinateur de groupe de travail autonome géré par un agent, vous devez disposer des certificats suivants :

  • Certificat racine d’autorité de certification importé pour le serveur d’administration et l’ordinateur du groupe de travail
  • Certificat pour le serveur d’administration. Le nom commun (CN) du certificat doit être un nom de domaine complet (FQDN).
  • Un certificat pour l’ordinateur du groupe de travail

Si l’ordinateur du groupe de travail est adressé par un nom de domaine complet, l’ordinateur doit également utiliser le format FQDN pour demander le certificat pour cet ordinateur. Sinon, vous recevrez ce message d’erreur :

Impossible de charger le certificat spécifié, car le nom de l’objet sur le certificat ne correspond pas au nom de l’ordinateur local
Nom de l’objet du certificat : <Nom de l’objet du certificat>
Nom de l’ordinateur : <Nom de l’ordinateur>

Comment surveiller un ordinateur de groupe de travail sans utiliser de serveur de passerelle

  1. Importez les certificats d’autorité de certification racine pour le serveur d’administration et pour l’ordinateur de groupe de travail géré par agent. Pour cela, procédez comme suit :

    Remarque

    Vous devez suivre ces étapes sur le serveur d’administration et sur l’ordinateur du groupe de travail. Une autorité de certification racine doit être installée et vous devez être en mesure de créer un autre certificat à l’aide d’identificateurs d’objet (OID). Si aucune autorité de certification racine n’est installée, consultez la section Comment installer une autorité de certification racine dans un domaine .

    1. À partir du bureau du serveur, ouvrez un navigateur web, puis pointez-le sur le serveur d’autorité de certification. Par exemple, tapez l’adresse http://<certification_authority_server>/certsrv.

    2. Sélectionnez Télécharger un certificat d’autorité de certification, une chaîne de certificats ou une liste de révocation de certificats.

    3. Sélectionnez Télécharger la chaîne de certificats d’autorité de certification. Un certificat nommé Certnew.p7b est téléchargé. Enregistrez ce certificat sur le bureau.

    4. Une fois le téléchargement terminé, sélectionnez Démarrer, Exécuter, tapez mmc, puis sélectionnez OK pour ouvrir une instance Microsoft Management Console (MMC).

    5. Dans le menu Fichier , sélectionnez Ajouter/supprimer un composant logiciel enfichable>Ajouter des>certificats.

    6. Sélectionnez Ajouter un>compte d’ordinateur>Suivant.

    7. Sélectionnez Ordinateur local>Terminer>Fermer>OK.

    8. Sous Autorités de certification racines approuvées, cliquez avec le bouton droit sur Certificats, pointez sur Toutes les tâches, puis sélectionnez Importer.

    9. Sélectionnez Importer>suivant.

    10. Lorsque vous êtes invité à entrer le fichier de certificat, sélectionnez Parcourir.

    11. Remplacez Les fichiers de typepar Certificats PKCS #7 (*.spc,*.p7b).

    12. Sélectionnez le fichier de certificat approprié que vous avez téléchargé à partir du serveur d’autorité de certification, puis sélectionnez Ouvrir.

    13. Sélectionnez Suivant>Terminer.

  2. Configurez le serveur d’autorité de certification racine d’entreprise pour prendre en charge les certificats Operations Manager. Pour cela, procédez comme suit :

    1. Utilisez les informations d’identification de l’administrateur de domaine pour vous connecter au serveur d’autorité de certification subordonnée d’entreprise.

    2. Sélectionnez Démarrer, Exécuter, tapez mmc, puis appuyez sur Entrée.

    3. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.

    4. Sélectionnez Ajouter.

    5. Sous Ajouter un composant logiciel enfichable autonome, sélectionnez Modèles de certificat, puis Ajouter.

    6. Sélectionnez Autorité de certification, puis Ajouter.

    7. Dans le composant logiciel enfichable Autorité de certification, sélectionnez l’option Ordinateur local (l’ordinateur sur lequel cette console s’exécute).

    8. Sélectionnez Terminer.

    9. Sélectionnez Fermer puis OK.

    10. Dans le composant logiciel enfichable Autorité de certification , vérifiez que le composant logiciel enfichable Modèles de certificat et le composant logiciel enfichable Autorité de certification s’affichent.

    11. Sélectionnez Modèles de certificat.

    12. Dans le volet d’informations, cliquez avec le bouton droit sur Ordinateur, puis sélectionnez Dupliquer le modèle.

    13. Sous l’onglet Général, remplacez le nom du modèle par un nom explicite pour votre organization. Par exemple, vous pouvez utiliser OpsMgr2012 comme nom de modèle. Vérifiez que la période de validité répond aux exigences de votre organization.

    14. Sélectionnez l’onglet Gestion des demandes, puis autoriser l’exportation de la clé privée.

    15. Sélectionnez l’onglet Nom de l’objet, puis sélectionnez Fournir dans l’option Demande .

    16. Sélectionnez l’onglet Sécurité.

    17. Accordez des autorisations d’inscription et d’inscription automatique pour les groupes suivants dans tous les domaines :

      • Utilisateurs authentifiés
      • Administrateurs de domaine
      • Ordinateurs de domaine
      • Administrateurs d’entreprise

    18. Sélectionnez Apply (Appliquer), puis OK.

    19. Pour vérifier les paramètres, développez Modèles de certificats.

    20. Dans le volet d’informations, cliquez avec le bouton droit sur le modèle que vous avez configuré, sélectionnez Propriétés, vérifiez vos paramètres, puis sélectionnez OK.

    21. Développez Autorité de certification (locale), puis développez votre autorité de certification.

    22. Dans l’arborescence de la console, cliquez avec le bouton droit sur Modèles de certificats, pointez sur Nouveau, puis sélectionnez Modèle de certificat à émettre.

    23. Sélectionnez le nouveau modèle, puis sélectionnez OK.

    24. Vérifiez que le nouveau modèle apparaît dans le volet d’informations, puis vérifiez que les entrées Authentification du serveur et Authentification du client apparaissent sous Objectif.

    25. Fermez le composant logiciel enfichable.

    26. Sélectionnez Démarrer, Exécuter, tapez gpupdate /force dans le champ Ouvrir , puis appuyez sur Entrée.

      Remarque

      Cette étape force une mise à jour stratégie de groupe sur le contrôleur de domaine et une réplication de ces modifications dans toute la forêt.

    27. Sélectionnez Démarrer, Exécuter, tapez http://<name_of_the_issuing_CA_Server>/certsrv dans le champ Ouvrir, puis appuyez sur Entrée.

    28. Si vous y êtes invité, entrez le nom du compte d’administrateur de domaine et le mot de passe.

    29. Dans la page Services de certificats , sélectionnez Demander un certificat sous Sélectionner une tâche.

    30. Sélectionnez Demande de certificat avancée.

    31. Sélectionnez Créer et envoyez une demande à cette autorité de certification.

    32. Dans la liste Modèle de certificat , vérifiez que votre nouveau modèle de certificat s’affiche.

  3. Envoyez la demande de certificat au serveur de l’autorité de certification. Pour ce faire, procédez comme suit sur le serveur d’administration et sur l’ordinateur du groupe de travail :

    1. Sélectionnez Démarrer, Exécuter, tapez http://<name_of_the_issuing_CA_Server>/certsrv dans le champ Ouvrir, puis appuyez sur Entrée.

    2. Si vous y êtes invité, entrez le nom du compte d’administrateur de domaine et le mot de passe.

    3. Dans la page Services de certificats , sélectionnez Demander un certificat sous Sélectionner une tâche.

    4. Sélectionnez Demande de certificat avancée.

    5. Sélectionnez Créer et envoyez une demande à cette autorité de certification.

    6. Dans le champ Modèle de certificat , sélectionnez le nom du modèle que vous avez configuré à l’étape 2. Par exemple, sélectionnez OpsMgr2012.

    7. Dans le champ Nom , tapez le nom de domaine complet du serveur d’administration.

    8. Sélectionnez la zone Marquer la clé comme case activée exportable. Lorsque vous utilisez l’interface utilisateur de la demande de certificat web, vous devez également case activée la zone Stocker le certificat dans le magasin de certificats de calcul local.

      Remarque

      Le certificat sera inutilisable si cela n’est pas fait.

    9. Sélectionnez Envoyer pour envoyer votre demande au serveur d’autorité de certification, puis suivez les instructions qui s’affichent à l’écran.

    10. Selon la configuration de sécurité sur l’autorité de certification, vous devez attendre qu’un administrateur approuve manuellement la demande. Il n’est pas garanti que l’autorité de certification puisse être téléchargée immédiatement.

    11. Vérifiez le certificat. Pour cela, procédez comme suit :

      1. Sélectionnez Démarrer, Exécuter, tapez mmc, puis appuyez sur Entrée.
      2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.
      3. Sélectionnez Ajouter.
      4. Sélectionnez le composant logiciel enfichable Certificats , puis sélectionnez Ajouter.
      5. Sélectionnez Mon compte d’utilisateur, Terminer, Fermer pour fermer la liste du composant logiciel enfichable, puis sélectionnez OK pour fermer la fenêtre Ajouter/supprimer un composant logiciel enfichable .
      6. Développez Certificats - Utilisateur actuel, Personnel, Certificats, puis sélectionnez le certificat de serveur.
      7. Double-cliquez sur le certificat, puis sélectionnez l’onglet Détails .
      8. Dans la liste, sélectionnez Utilisation améliorée de la clé. Les entrées suivantes doivent s’afficher :
        • Authentification du client (1.3.6.1.5.5.7.3.2)
        • Authentification du serveur (1.3.6.1.5.5.7.3.1)

  4. Configurez le serveur Operations Manager 2012 pour utiliser des certificats qui peuvent être exportés à partir du magasin privé de l’ordinateur. Pour cela, procédez comme suit :

    1. Sélectionnez Démarrer, Exécuter, tapez mmc, puis appuyez sur Entrée.
    2. Dans le menu Fichier, sélectionnez Ajouter/Supprimer un composant logiciel enfichable.
    3. Sélectionnez Ajouter.
    4. Sélectionnez Certificats, puis Ajouter.
    5. Sélectionnez Compte d’ordinateur, puis Terminer.
    6. Sélectionnez Ordinateur local, Terminer, Fermer pour fermer la liste du composant logiciel enfichable, puis sélectionnez OK pour fermer la fenêtre Ajouter/supprimer un composant logiciel enfichable .
    7. Développez Certificats (ordinateur local),Personnel, Certificats, puis sélectionnez un certificat approprié.
    8. Cliquez avec le bouton droit sur le certificat, pointez sur Toutes les tâches, puis sélectionnez Exporter.
    9. Sélectionnez Suivant.
    10. Sélectionnez Oui, exporter la clé privée, puis sélectionnez Suivant.
    11. Utilisez le paramètre par défaut pour le format de fichier.
    12. Tapez un mot de passe pour le fichier.
    13. Tapez un nom de fichier, puis sélectionnez Suivant.
    14. Sélectionnez Terminer.
    15. Répétez toutes ces étapes sur le serveur d’administration et sur l’ordinateur du groupe de travail.

  5. Installez l’agent sur l’ordinateur du groupe de travail. Pour cela, procédez comme suit.

    Remarque

    Étant donné que vous effectuez une installation manuelle de l’agent, vous devez utiliser le fichier exécutable d’installation de l’agent qui est disponible dans le dossier \Agent\i386 à l’emplacement de distribution Operations Manager.

    1. Exécutez le fichier MOMAgent.msi.
    2. Dans l’écran d’accueil , sélectionnez Suivant.
    3. Lorsque vous êtes invité à indiquer une destination de dossier pour le logiciel, acceptez l’emplacement par défaut, puis sélectionnez Suivant.
    4. Lorsque vous êtes invité à configurer les informations du groupe d’administration, acceptez les paramètres par défaut, puis sélectionnez Suivant.
    5. Tapez le nom du groupe d’administration, le nom du serveur d’administration et le port, puis sélectionnez Suivant.
    6. Acceptez les paramètres par défaut, puis sélectionnez Suivant.
    7. Vérifiez que toutes les informations que vous avez entrées sont correctes, puis sélectionnez Installer pour démarrer l’installation.
    8. Une fois l’installation terminée, sélectionnez Terminé pour quitter l’installation.

  6. Utilisez l’outil Momcertimport pour importer le certificat. Pour cela, procédez comme suit :

    Remarque

    L’outil Momcertimport permet d’entrer le numéro de série du certificat spécifique dans le registre. Vous devez suivre ces étapes sur le serveur d’administration et sur l’ordinateur du groupe de travail. Assurez-vous que l’agent Operations Manager est installé sur l’ordinateur du groupe de travail. Sinon, vous recevez une erreur lorsque vous exécutez l’outil Momcertimport.

    1. Sélectionnez Démarrer, puis Exécuter.

    2. Dans le champ Ouvrir , tapez cmd, puis sélectionnez OK.

    3. À l’invite de commandes, tapez drive_letter, puis appuyez sur Entrée.

      Remarque

      drive_letter est le lecteur sur lequel se trouve le support d’installation d’Operations Manager.

    4. Tapez cd \SupportTools\i386, puis appuyez sur ENTRÉE.

    5. Tapez la commande suivante, puis appuyez sur Entrée :

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m

    6. Redémarrez le service d’intégrité Operations Manager.

  7. Attendez que le serveur d’administration affiche l’installation manuelle et demande l’approbation. Cela devrait prendre un certain temps (cinq à dix minutes). Lorsque vous y êtes invité, approuvez l’agent. L’agent de groupe de travail peut désormais communiquer avec le serveur.

Comment installer une autorité de certification racine dans un domaine

Remarque

Si votre site dispose déjà d’une autorité de certification racine, ignorez ces étapes.

Pour installer les services d’autorité de certification sur un contrôleur de domaine, procédez comme suit. Cet exemple de procédure utilise un contrôleur de domaine. Toutefois, vous pouvez installer l’autorité de certification racine n’importe où dans votre domaine.

  1. Connectez-vous à un contrôleur de domaine.

  2. Sélectionnez Démarrer, Panneau de configuration, double-cliquez sur Ajouter ou supprimer des programmes, puis sélectionnez Ajouter/Supprimer des composants Windows.

  3. Faites défiler vers le bas jusqu’à ce que vous trouviez Services de certificats, puis sélectionnez-le. Veillez à sélectionner les deux sous-options pour les services. Lorsque vous sélectionnez ces composants, vous recevez un message d’avertissement. Ce message vous indique de ne pas modifier le nom de l’ordinateur ou son appartenance au domaine. Après avoir lu l’avertissement, sélectionnez Oui pour continuer, puis sélectionnez Suivant.

  4. Lorsque l’Assistant vous invite à entrer le type d’autorité de certification, sélectionnez Autorité de certification racine autonome, puis Suivant.

  5. Lorsque l’Assistant vous demande un nom commun pour l’autorité de certification, utilisez le nom NetBIOS ou le nom d’hôte DNS (Domain Name System). Pour cet exemple, tapez DC01, puis sélectionnez Suivant.

  6. Acceptez les paramètres de base de données par défaut, puis sélectionnez Suivant.

Les services d’autorité de certification sont maintenant installés sur le serveur. Pour accéder aux services, visitez le site web http://<server_name>/certsrv. Dans cet exemple, tapez http://dc01/certsrv.