Non è possibile visualizzare un computer del gruppo di lavoro quando si installa un agente di Operations Manager su di esso senza usare un server gateway

  • Articolo

Questo articolo fornisce una soluzione per il problema che non è possibile configurare un server di System Center Operations Manager per monitorare un computer del gruppo di lavoro remoto non attendibile senza usare un server gateway.

Versione originale del prodotto: System Center 2012 Operations Manager
Numero KB originale: 947691

Sintomi

Quando si tenta di installare un agente di System Center Operations Manager in un computer del gruppo di lavoro senza usare un server gateway, Operations Manager non può visualizzare il computer del gruppo di lavoro.

Inoltre, il messaggio di errore seguente viene registrato nel registro eventi di Operations Manager:

ID evento: 21007 Il connettore OpsMgr non può creare una connessione autenticata reciprocamente al <server> di gestione perché non si trova in un dominio attendibile.
ID evento: 21016 Opsmgr non è riuscito a configurare un canale di comunicazione con < il server> di gestione e non sono presenti host di failover

Causa

Questo problema si verifica in genere quando l'agente non riesce a stabilire un canale di comunicazione di sicurezza con il server di gestione perché i certificati corretti non sono disponibili. Questo problema si verifica perché gli agenti nel gruppo di lavoro non possono usare il protocollo Kerberos per l'autenticazione reciproca. I certificati devono essere usati in un ambiente in cui non viene usato il protocollo Kerberos.

Risoluzione

Per risolvere questo problema, è possibile configurare un server di Operations Manager per monitorare un computer del gruppo di lavoro remoto non attendibile senza usare un server gateway. A tale scopo, è necessaria l'autenticazione del certificato tra il server di gestione e il computer del gruppo di lavoro gestito dall'agente. Presumibilmente, questo scenario sarà comune in una rete perimetrale (nota anche come rete perimetrale, zona demilitarizzata e subnet schermata).

Per configurare un server Operations Manager per il monitoraggio di un computer gruppo di lavoro autonomo gestito dall'agente, è necessario disporre dei certificati seguenti:

  • Certificato radice dell'autorità di certificazione importata per il server di gestione e per il computer del gruppo di lavoro
  • Certificato per il server di gestione. Il nome comune (CN) del certificato deve essere un nome di dominio completo (FQDN).
  • Certificato per il computer del gruppo di lavoro

Se il computer del gruppo di lavoro è indirizzato da un fqdn, il computer deve usare anche il formato FQDN per richiedere il certificato per questo computer. In caso contrario, verrà visualizzato questo messaggio di errore:

Impossibile caricare il certificato specificato perché il nome del soggetto nel certificato non corrisponde al nome del computer locale
Nome soggetto certificato: <Nome soggetto certificato>
Nome computer: <Nome computer>

Come monitorare un computer del gruppo di lavoro senza usare un server gateway

  1. Importare i certificati CA radice per il server di gestione e per il computer del gruppo di lavoro gestito dall'agente. A tal fine, attenersi alla seguente procedura:

    Nota

    È necessario seguire questa procedura nel server di gestione e nel computer del gruppo di lavoro. È necessario avere un'autorità di certificazione radice installata ed è necessario essere in grado di creare un altro certificato usando gli identificatori di oggetto (OID). Se non è installata un'autorità di certificazione radice, vedere la sezione Come installare un'autorità di certificazione radice in un dominio .

    1. Dal desktop del server aprire un Web browser e quindi puntare al server dell'autorità di certificazione. Ad esempio, digitare l'indirizzo http://<certification_authority_server>/certsrv.

    2. Selezionare Scarica certificato CA, catena di certificati o CRL.

    3. Selezionare Scarica catena di certificati CA. Viene scaricato un certificato denominato Certnew.p7b. Salvare questo certificato sul desktop.

    4. Al termine del download, selezionare Avvia, selezionare Esegui, digitare mmce quindi selezionare OK per aprire un'istanza di Microsoft Management Console (MMC).

    5. Scegliere Aggiungi/Rimuovi snap-in>Aggiungi>certificati dal menu File.

    6. Selezionare Aggiungi>account> computerAvanti.

    7. Selezionare Computer locale>Fine>chiudi>OK.

    8. In Autorità di certificazione radice attendibili fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi selezionare Importa.

    9. Selezionare Importa>avanti.

    10. Quando viene richiesto il file del certificato, selezionare Sfoglia.

    11. Modificare File di tipo in Certificati PKCS #7 (*.spc,*.p7b)..

    12. Selezionare il file di certificato appropriato scaricato dal server dell'autorità di certificazione e quindi selezionare Apri.

    13. Selezionare Avanti>Fine.

  2. Configurare il server dell'autorità di certificazione radice dell'organizzazione per supportare i certificati di Operations Manager. A tal fine, attenersi alla seguente procedura:

    1. Usare le credenziali di amministratore di dominio per accedere al server dell'autorità di certificazione subordinata dell'organizzazione.

    2. Selezionare Start, selezionare Esegui, digitare mmce quindi premere INVIO.

    3. Nel menu File, selezionare Aggiungi/Rimuovi snap-in.

    4. Selezionare Aggiungi.

    5. In Aggiungi snap-in autonomo selezionare Modelli di certificato e quindi selezionare Aggiungi.

    6. Selezionare Autorità di certificazione e quindi Aggiungi.

    7. Nello snap-in Autorità di certificazione selezionare l'opzione Computer locale (il computer in cui è in esecuzione la console).

    8. Seleziona Fine.

    9. Fare clic su Chiudi, quindi su OK.

    10. Nello snap-in Autorità di certificazione verificare che siano visualizzati lo snap-in Modelli di certificato e l'autorità di certificazione .

    11. Selezionare Modelli di certificato.

    12. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Computer e quindi scegliere Duplica modello.

    13. Nella scheda Generale modificare il nome del modello in un nome significativo per l'organizzazione. Ad esempio, è possibile usare OpsMgr2012 come nome del modello. Verificare che il periodo di validità soddisfi i requisiti dell'organizzazione.

    14. Selezionare la scheda Gestione richieste e quindi selezionare Consenti l'esportazione della chiave privata.

    15. Selezionare la scheda Nome soggetto e quindi selezionare Approvvigionamento nell'opzione Richiesta .

    16. Fare clic sulla scheda Protezione.

    17. Concedere le autorizzazioni registrazione e registrazione automatica per i gruppi seguenti in tutti i domini:

      • Utenti autenticati
      • Amministratori di dominio
      • Computer di dominio
      • Amministratori dell'organizzazione

    18. Selezionare Applica, quindi selezionare OK.

    19. Per verificare le impostazioni, espandere Modelli di certificato.

    20. Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul modello configurato, selezionare Proprietà, verificare le impostazioni e quindi scegliere OK.

    21. Espandere Autorità di certificazione (locale) e quindi espandere l'autorità di certificazione.

    22. Nell'albero della console fare clic con il pulsante destro del mouse su Modelli di certificato, scegliere Nuovo e quindi selezionare Modello di certificato da rilasciare.

    23. Selezionare il nuovo modello e quindi ok.

    24. Verificare che il nuovo modello venga visualizzato nel riquadro dei dettagli e quindi verificare che la voce Autenticazione server e Autenticazione client siano visualizzate in Scopo previsto.

    25. Chiudere lo snap-in.

    26. Selezionare Start, selezionare Esegui, digitare gpupdate /force nel campo Apri e quindi premere INVIO.

      Nota

      Questo passaggio forza un aggiornamento Criteri di gruppo nel controller di dominio e una replica di queste modifiche in tutta la foresta.

    27. Selezionare Start, selezionare Esegui, digitare http://<name_of_the_issuing_CA_Server>/certsrv nel campo Apri e quindi premere INVIO.

    28. Se richiesto, immettere il nome dell'account amministratore di dominio e la password.

    29. Nella pagina Servizi certificati selezionare Richiedi un certificato in Selezionare un'attività.

    30. Selezionare Richiesta di certificato avanzata.

    31. Selezionare Crea e inviare una richiesta a questa CA.

    32. Nell'elenco Modello di certificato verificare che sia visualizzato il nuovo modello di certificato.

  3. Inviare la richiesta di certificato al server dell'autorità di certificazione. A tale scopo, seguire questa procedura nel server di gestione e nel computer del gruppo di lavoro:

    1. Selezionare Start, selezionare Esegui, digitare http://<name_of_the_issuing_CA_Server>/certsrv nel campo Apri e quindi premere INVIO.

    2. Se richiesto, immettere il nome e la password dell'account amministratore di dominio.

    3. Nella pagina Servizi certificati selezionare Richiedi un certificato in Selezionare un'attività.

    4. Selezionare Richiesta di certificato avanzata.

    5. Selezionare Crea e inviare una richiesta a questa CA.

    6. Nel campo Modello di certificato selezionare il nome del modello configurato nel passaggio 2. Ad esempio, selezionare OpsMgr2012.

    7. Nel campo Nome digitare il nome di dominio completo del server di gestione.

    8. Selezionare la casella di controllo Contrassegna chiave come esportabile . Quando si usa l'interfaccia utente della richiesta di certificato Web, è anche necessario selezionare la casella Archivia il certificato nell'archivio certificati di calcolo locale .

      Nota

      Il certificato non sarà utilizzabile se questa operazione non viene eseguita.

    9. Selezionare Invia per inviare la richiesta al server dell'autorità di certificazione e quindi seguire le istruzioni visualizzate sullo schermo.

    10. A seconda della configurazione di sicurezza nella CA, è necessario attendere che un amministratore approvi manualmente la richiesta. Non è garantito che la CA possa essere scaricata immediatamente.

    11. Verificare il certificato. A tal fine, attenersi alla seguente procedura:

      1. Selezionare Start, selezionare Esegui, digitare mmce quindi premere INVIO.
      2. Nel menu File, selezionare Aggiungi/Rimuovi snap-in.
      3. Selezionare Aggiungi.
      4. Selezionare lo snap-in Certificati e quindi selezionare Aggiungi.
      5. Selezionare Account utente personale, selezionare Fine, quindi Chiudi per chiudere l'elenco di snap-in e quindi selezionare OK per chiudere la finestra Aggiungi/rimuovi snap-in .
      6. Espandere Certificati - Utente corrente, Espandere Personale, Certificati e quindi selezionare il certificato server.
      7. Fare doppio clic sul certificato e quindi selezionare la scheda Dettagli .
      8. Nell'elenco selezionare Utilizzo chiavi avanzato. Verranno visualizzate le voci seguenti:
        • Autenticazione client (1.3.6.1.5.5.7.3.2)
        • Autenticazione server (1.3.6.1.5.5.7.3.1)

  4. Configurare il server operations manager 2012 per l'uso di certificati che possono essere esportati dall'archivio privato del computer. A tal fine, attenersi alla seguente procedura:

    1. Selezionare Start, selezionare Esegui, digitare mmce quindi premere INVIO.
    2. Nel menu File, selezionare Aggiungi/Rimuovi snap-in.
    3. Selezionare Aggiungi.
    4. Selezionare Certificati e quindi Aggiungi.
    5. Selezionare Account computer e quindi Fine.
    6. Selezionare Computer locale, selezionare Fine, quindi Chiudi per chiudere l'elenco di snap-in e quindi selezionare OK per chiudere la finestra Aggiungi/rimuovi snap-in .
    7. Espandere Certificati (computer locale), espandere Personale, Certificati e quindi selezionare un certificato appropriato.
    8. Fare clic con il pulsante destro del mouse sul certificato, scegliere Tutte le attività e quindi scegliere Esporta.
    9. Selezionare Avanti.
    10. Selezionare Sì, esportare la chiave privata e quindi selezionare Avanti.
    11. Usare l'impostazione predefinita per il formato di file.
    12. Digitare una password per il file.
    13. Digitare un nome di file e quindi selezionare Avanti.
    14. Seleziona Fine.
    15. Ripetere tutti questi passaggi nel server di gestione e nel computer del gruppo di lavoro.

  5. Installare l'agente nel computer del gruppo di lavoro. A tale scopo, attenersi alla seguente procedura.

    Nota

    Poiché si esegue un'installazione manuale dell'agente, è necessario usare il file eseguibile di installazione dell'agente disponibile nella cartella \Agent\i386 nel percorso di distribuzione di Operations Manager.

    1. Eseguire il file MOMAgent.msi.
    2. Nella schermata iniziale selezionare Avanti.
    3. Quando viene richiesto di specificare una destinazione di cartella per il software, accettare il percorso predefinito e quindi selezionare Avanti.
    4. Quando viene richiesto di configurare le informazioni del gruppo di gestione, accettare le impostazioni predefinite e quindi selezionare Avanti.
    5. Digitare il nome del gruppo di gestione, il nome del server di gestione e la porta e quindi selezionare Avanti.
    6. Accettare le impostazioni predefinite e quindi selezionare Avanti.
    7. Verificare che tutte le informazioni immesse siano corrette e quindi selezionare Installa per avviare l'installazione.
    8. Al termine dell'installazione, selezionare Completato per uscire dall'installazione.

  6. Usare lo strumento Momcertimport per importare il certificato. A tal fine, attenersi alla seguente procedura:

    Nota

    Lo strumento Momcertimport viene usato per immettere il numero di serie del certificato specifico nel Registro di sistema. È necessario seguire questa procedura nel server di gestione e nel computer del gruppo di lavoro. Assicurarsi che l'agente di Operations Manager sia installato nel computer del gruppo di lavoro. In caso contrario, si riceverà un errore quando si esegue lo strumento Momcertimport.

    1. Fare clic su Start, quindi scegliere Esegui.

    2. Nel campo Apri digitare cmde quindi selezionare OK.

    3. Al prompt dei comandi digitare drive_letter: e quindi premere INVIO.

      Nota

      drive_letter è l'unità in cui si trova il supporto di installazione di Operations Manager.

    4. Digitare cd \SupportTools\i386, quindi premere INVIO.

    5. Digitare il comando seguente e quindi premere INVIO:

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m

    6. Riavviare il servizio integrità di Operations Manager.

  7. Attendere che il server di gestione veda l'installazione manuale e richieda l'approvazione. Questa operazione dovrebbe richiedere alcuni minuti (da cinque a dieci minuti). Quando richiesto, approvare l'agente. L'agente del gruppo di lavoro può ora comunicare con il server.

Come installare un'autorità di certificazione radice in un dominio

Nota

Se il sito ha già un'autorità di certificazione radice, ignorare questi passaggi.

Per installare i servizi dell'autorità di certificazione in un controller di dominio, seguire questa procedura. Questa procedura di esempio usa un controller di dominio. È tuttavia possibile installare l'autorità di certificazione radice in qualsiasi punto del dominio.

  1. Accedere a un controller di dominio.

  2. Selezionare Start, selezionare Pannello di controllo, fare doppio clic su Installazione applicazioni e quindi selezionare Aggiungi/Rimuovi componenti di Windows.

  3. Scorrere verso il basso fino a trovare Servizi certificati e quindi selezionarlo. Assicurarsi di selezionare entrambe le sottoopzioni per i servizi. Quando si selezionano questi componenti, viene visualizzato un messaggio di avviso. Questo messaggio indica di non modificare il nome del computer o la relativa appartenenza al dominio. Dopo aver letto l'avviso, selezionare per continuare e quindi selezionare Avanti.

  4. Quando la procedura guidata richiede il tipo di CA, selezionare CA radice autonoma e quindi selezionare Avanti.

  5. Quando la procedura guidata richiede un nome comune per l'autorità di certificazione, usare il nome NetBIOS o il nome host DNS (Domain Name System). Per questo esempio digitare DC01 e quindi selezionare Avanti.

  6. Accettare le impostazioni predefinite del database e quindi selezionare Avanti.

I servizi dell'autorità di certificazione sono ora installati nel server. Per accedere ai servizi, visitare il sito Web http://<server_name>/certsrv. In questo esempio digitare http://dc01/certsrv.