게이트웨이 서버를 사용하지 않고 Operations Manager 에이전트를 설치할 때 작업 그룹 컴퓨터를 볼 수 없습니다.

이 문서에서는 게이트웨이 서버를 사용하지 않고도 신뢰할 수 없는 원격 작업 그룹 컴퓨터를 모니터링하도록 System Center Operations Manager 서버를 구성할 수 없는 문제에 대한 솔루션을 제공합니다.

원래 제품 버전: System Center 2012 Operations Manager
원래 KB 번호: 947691

증상

게이트웨이 서버를 사용하지 않고 작업 그룹 컴퓨터에 System Center Operations Manager 에이전트를 설치하려고 하면 Operations Manager에서 작업 그룹 컴퓨터를 볼 수 없습니다.

또한 Operations Manager 이벤트 로그에 다음 오류 메시지가 기록됩니다.

이벤트 ID: 21007 OpsMgr 커넥터는 신뢰할 수 있는 도메인에 < 없기 때문에 관리 서버에> 대해 상호 인증된 연결을 만들 수 없습니다.
이벤트 ID: 21016 Opsmgr에서 관리 서버에> 대한 통신 채널을 < 설정할 수 없으며 장애 조치(failover) 호스트가 없습니다.

원인

이 문제는 일반적으로 에이전트가 올바른 인증서를 사용할 수 없기 때문에 관리 서버에 대한 보안 통신 채널을 설정할 수 없는 경우에 발생합니다. 이 문제는 작업 그룹의 에이전트가 상호 인증에 Kerberos 프로토콜을 사용할 수 없기 때문에 발생합니다. 인증서는 Kerberos 프로토콜이 사용되지 않는 환경에서 사용해야 합니다.

해결 방법

이 문제를 해결하려면 게이트웨이 서버를 사용하지 않고 신뢰할 수 없는 원격 작업 그룹 컴퓨터를 모니터링하도록 Operations Manager 서버를 구성할 수 있습니다. 이렇게 하려면 관리 서버와 에이전트 관리 작업 그룹 컴퓨터 간에 인증서 인증이 필요합니다. 아마도 이 시나리오는 경계 네트워크(DMZ, 비무장지대 및 스크린된 서브넷이라고도 함)에서 일반적일 것입니다.

독립 실행형 에이전트 관리 작업 그룹 컴퓨터를 모니터링하도록 Operations Manager 서버를 구성하려면 다음 인증서가 있어야 합니다.

• 관리 서버 및 작업 그룹 컴퓨터에 대해 가져온 CA(인증 기관) 루트 인증서
• 관리 서버에 대한 인증서입니다. 인증서의 CN(일반 이름)은 FQDN(정규화된 도메인 이름)이어야 합니다.
• 작업 그룹 컴퓨터에 대한 인증서

작업 그룹 컴퓨터가 FQDN에서 주소를 지정하는 경우 컴퓨터도 FQDN 형식을 사용하여 이 컴퓨터에 대한 인증서를 요청해야 합니다. 그렇지 않으면 다음 오류 메시지가 표시됩니다.

인증서의 주체 이름이 로컬 컴퓨터 이름과 일치하지 않으므로 지정된 인증서를 로드할 수 없습니다.
인증서 주체 이름: <인증서 주체 이름>
컴퓨터 이름: <컴퓨터 이름>

게이트웨이 서버를 사용하지 않고 작업 그룹 컴퓨터를 모니터링하는 방법

1. 관리 서버 및 에이전트 관리 작업 그룹 컴퓨터에 대한 루트 CA 인증서를 가져옵니다. 이렇게 하려면 다음과 같이 하십시오.

   참고

   관리 서버 및 작업 그룹 컴퓨터에서 다음 단계를 수행해야 합니다. 루트 CA(인증 기관)가 설치되어 있어야 하며, ID(개체 식별자)를 사용하여 다른 인증서를 만들 수 있어야 합니다. 루트 인증 기관이 설치되어 있지 않은 경우 도메인에 루트 인증 기관을 설치하는 방법 섹션을 참조하세요.

   1. 서버 데스크톱에서 웹 브라우저를 연 다음 인증 기관 서버를 가리킵니다. 예를 들어 주소 http://<certification_authority_server>/certsrv를 입력합니다.

   2. CA 인증서, 인증서 체인 또는 CRL 다운로드를 선택합니다.

   3. CA 인증서 체인 다운로드를 선택합니다. Certnew.p7b라는 인증서가 다운로드됩니다. 데스크톱에 이 인증서를 저장합니다.

   4. 다운로드가 완료되면 시작을선택하고 실행을 선택하고 를 입력mmc한 다음 확인을 선택하여 MMC(Microsoft Management Console) instance 엽니다.

   5. 파일 메뉴에서 스냅인 추가/제거인증서추가>를> 선택합니다.

   6. 컴퓨터 계정>추가>다음을 선택합니다.

   7. 로컬 컴퓨터>마침>닫기>확인을 선택합니다.

   8. 신뢰할 수 있는 루트 인증 기관에서인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 가져오기를 선택합니다.

   9. 다음가져오기를> 선택합니다.

   10. 인증서 파일을 묻는 메시지가 표시되면 찾아보기를 선택합니다.

   11. 형식의 파일을PKCS #7 인증서(*.spc,*.p7b)로 변경합니다.

   12. 인증 기관 서버에서 다운로드한 적절한 인증서 파일을 선택한 다음 열기를 선택합니다.

   13. 다음>마침을 선택합니다.

2. Operations Manager 인증서를 지원하도록 엔터프라이즈 루트 인증 기관 서버를 구성합니다. 이렇게 하려면 다음과 같이 하십시오.

   1. 도메인 관리자 자격 증명을 사용하여 엔터프라이즈 하위 인증 기관 서버에 로그인합니다.

   2. 시작을 선택하고 실행을 선택하고 를 입력mmc한 다음 Enter 키를 누릅니다.

   3. 파일 메뉴에서 스냅인 추가/제거를 선택합니다.

   4. 추가를 선택합니다.

   5. 독립 실행형 스냅인 추가에서인증서 템플릿을 선택한 다음, 추가를 선택합니다.

   6. 인증 기관을 선택한 다음, 추가를 선택합니다.

   7. 인증 기관 스냅인에서 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터) 옵션을 선택합니다.

   8. 완료를 선택합니다.

   9. 닫기를 선택하고 확인을 선택합니다.

   10. 인증 기관 스냅인에서 인증서 템플릿 스냅인 및 인증 기관 스냅인이 표시되는지 확인합니다.

   11. 인증서 템플릿을 선택합니다.

   12. 세부 정보 창에서 컴퓨터를 마우스 오른쪽 단추로 클릭한 다음 템플릿 복제를 선택합니다.

   13. 일반 탭에서 템플릿 이름을 organization 의미 있는 이름으로 변경합니다. 예를 들어 OpsMgr2012를 템플릿 이름으로 사용할 수 있습니다. 유효 기간이 organization 요구 사항을 충족하는지 확인합니다.

   14. 요청 처리 탭을 선택한 다음 프라이빗 키를 내보낼 수 있도록 허용을 선택합니다.

   15. 주체 이름 탭을 선택한 다음 요청 옵션에서 공급 을 선택합니다.

   16. 보안 탭을 선택합니다.

   17. 모든 도메인에서 다음 그룹에 대한 등록 및 자동 등록 권한을 부여합니다.

       • 인증된 사용자
       • 도메인 관리자
       • 도메인 컴퓨터
       • 엔터프라이즈 관리자

   18. 적용을 선택한 다음 확인을 선택합니다.

   19. 설정을 확인하려면 인증서 템플릿을 확장합니다.

   20. 세부 정보 창에서 구성한 템플릿을 마우스 오른쪽 단추로 클릭하고 속성을 선택하고 설정을 확인한 다음 확인을 선택합니다.

   21. 인증 기관(로컬)을 확장한 다음 인증 기관을 확장합니다.

   22. 콘솔 트리에서 인증서 템플릿을 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 발급 할 인증서 템플릿을 선택합니다.

   23. 새 템플릿을 선택한 다음 확인을 선택합니다.

   24. 세부 정보 창에 새 템플릿이 표시되는지 확인한 다음 서버 인증 항목 및 클라이언트 인증 항목이 의도된 목적 아래에 표시되는지 확인합니다.

   25. 스냅인을 닫습니다.

   26. 시작을 선택하고 실행을 선택하고 열기 필드를 입력 gpupdate /force 한 다음 Enter 키를 누릅니다.

       참고

       이 단계에서는 도메인 컨트롤러에서 그룹 정책 업데이트하고 포리스트 전체에서 이러한 변경 내용을 복제합니다.

   27. 시작을 선택하고 실행을 선택하고 열기 필드에http://<name_of_the_issuing_CA_Server>/certsrv를 입력한 다음 Enter 키를 누릅니다.

   28. 메시지가 표시되면 도메인 관리자 계정 이름 및 암호를 입력합니다.

   29. 인증서 서비스 페이지의 작업 선택에서 인증서 요청을 선택합니다.

   30. 고급 인증서 요청을 선택합니다.

   31. 만들기를 선택하고 이 CA에 요청을 제출합니다.

   32. 인증서 템플릿 목록에서 새 인증서 템플릿이 표시되는지 확인합니다.

3. 인증 기관 서버에 인증서 요청을 제출합니다. 이렇게 하려면 관리 서버 및 작업 그룹 컴퓨터에서 다음 단계를 수행합니다.

   1. 시작을 선택하고 실행을 선택하고 열기 필드에http://<name_of_the_issuing_CA_Server>/certsrv를 입력한 다음 Enter 키를 누릅니다.

   2. 메시지가 표시되면 도메인 관리자 계정 이름 및 암호를 입력합니다.

   3. 인증서 서비스 페이지의 작업 선택에서 인증서 요청을 선택합니다.

   4. 고급 인증서 요청을 선택합니다.

   5. 만들기를 선택하고 이 CA에 요청을 제출합니다.

   6. 인증서 템플릿 필드에서 2단계에서 구성한 템플릿 이름을 선택합니다. 예를 들어 OpsMgr2012를 선택합니다.

   7. 이름 필드에 관리 서버의 FQDN을 입력합니다.

   8. 키를 내보낼 수 있는 검사 확인란을 선택합니다. 웹 인증서 요청 UI를 사용하는 경우 로컬 컴퓨팅 인증서 저장소에 인증서 저장 상자도 검사 합니다.

      참고

      이 작업이 수행되지 않으면 인증서를 사용할 수 없습니다.

   9. 제출을 선택하여 인증 기관 서버에 요청을 제출한 다음 화면에 표시되는 지침을 따릅니다.

   10. CA의 보안 구성에 따라 관리자가 요청을 수동으로 승인할 때까지 기다려야 합니다. CA를 즉시 다운로드할 수 있다는 보장은 없습니다.

   11. 인증서를 확인합니다. 이렇게 하려면 다음과 같이 하십시오.

       1. 시작을 선택하고 실행을 선택하고 를 입력mmc한 다음 Enter 키를 누릅니다.
       2. 파일 메뉴에서 스냅인 추가/제거를 선택합니다.
       3. 추가를 선택합니다.
       4. 인증서 스냅인 을 선택한 다음 , 추가를 선택합니다.
       5. 내 사용자 계정을 선택하고 마침을 선택하고 닫기를 선택하여 스냅인 목록을 닫은 다음 확인을 선택하여 스냅인 추가/제거 창을 닫습니다.
       6. 인증서 - 현재 사용자, 개인, 인증서를 차례로 확장한 다음 서버 인증서를 선택합니다.
       7. 인증서를 두 번 클릭한 다음 세부 정보 탭을 선택합니다.
       8. 목록에서 향상된 키 사용을 선택합니다. 다음 항목이 표시됩니다.
          • 클라이언트 인증(1.3.6.1.5.5.7.3.2)
          • 서버 인증(1.3.6.1.5.5.7.3.1)

4. 컴퓨터 프라이빗 저장소에서 내보낼 수 있는 인증서를 사용하도록 Operations Manager 2012 서버를 구성합니다. 이렇게 하려면 다음과 같이 하십시오.

   1. 시작을 선택하고 실행을 선택하고 를 입력mmc한 다음 Enter 키를 누릅니다.
   2. 파일 메뉴에서 스냅인 추가/제거를 선택합니다.
   3. 추가를 선택합니다.
   4. 인증서를 선택한 다음, 추가를 선택합니다.
   5. 컴퓨터 계정을 선택한 다음 마침을 선택합니다.
   6. 로컬 컴퓨터를 선택하고 마침을 선택하고 닫기를 선택하여 스냅인 목록을 닫은 다음 확인을 선택하여 스냅인 추가/제거 창을 닫습니다.
   7. 인증서(로컬 컴퓨터)를 확장하고, 개인을 확장하고, 인증서를 확장한 다음, 적합한 인증서를 선택합니다.
   8. 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 가리킨 다음 내보내기를 선택합니다.
   9. 다음을 선택합니다.
   10. 예를 선택하고 프라이빗 키를 내보낸 다음, 다음을 선택합니다.
   11. 파일 형식에 대한 기본 설정을 사용합니다.
   12. 파일의 암호를 입력합니다.
   13. 파일 이름을 입력한 다음, 다음을 선택합니다.
   14. 완료를 선택합니다.
   15. 관리 서버 및 작업 그룹 컴퓨터에서 이러한 모든 단계를 반복합니다.

5. 작업 그룹 컴퓨터에 에이전트를 설치합니다. 이를 위해 다음 작업을 수행하십시오.

   참고

   에이전트를 수동으로 설치하기 때문에 Operations Manager 배포 위치의 \Agent\i386 폴더에서 사용할 수 있는 에이전트 설치 실행 파일을 사용해야 합니다.

   1. MOMAgent.msi 파일을 실행합니다.
   2. 시작 화면에서 다음을 선택합니다.
   3. 소프트웨어의 폴더 대상을 묻는 메시지가 표시되면 기본 위치를 그대로 적용한 다음 , 다음을 선택합니다.
   4. 관리 그룹 정보를 구성하라는 메시지가 표시되면 기본 설정을 적용하고 다음을 선택합니다.
   5. 관리 그룹 이름, 관리 서버 이름 및 포트를 입력하고 다음을 선택합니다.
   6. 기본 설정을 적용하고 다음을 선택합니다.
   7. 입력한 모든 정보가 올바른지 확인한 다음 설치 를 선택하여 설치를 시작합니다.
   8. 설치가 완료되면 완료를 선택하여 설치를 종료합니다.

6. Momcertimport 도구를 사용하여 인증서를 가져옵니다. 이렇게 하려면 다음과 같이 하십시오.

   참고

   Momcertimport 도구는 레지스트리에 특정 인증서의 일련 번호를 입력하는 데 사용됩니다. 관리 서버 및 작업 그룹 컴퓨터에서 다음 단계를 수행해야 합니다. Operations Manager 에이전트가 작업 그룹 컴퓨터에 설치되어 있는지 확인합니다. 그렇지 않으면 Momcertimport 도구를 실행할 때 오류가 발생합니다.

   1. 시작을 선택한 다음 실행을 선택합니다.

   2. 열기 필드에 를 입력cmd한 다음 확인을 선택합니다.

   3. 명령 프롬프트에서 drive_letter 입력한 다음 Enter 키를 누릅니다.

      참고

      drive_letter Operations Manager 설치 미디어가 있는 드라이브입니다.

   4. cd \SupportTools\i386을(를) 입력한 다음 Enter 키를 누릅니다.

   5. 다음 명령을 입력한 다음 Enter 키를 누릅니다.

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m
      

   6. Operations Manager Health 서비스를 다시 시작합니다.

7. 관리 서버가 수동 설치를 보고 승인을 요청할 때까지 기다립니다. 이 작업은 다소 시간이 걸립니다(5~10분). 메시지가 표시되면 에이전트를 승인합니다. 이제 작업 그룹 에이전트가 서버와 통신할 수 있습니다.

도메인에 루트 인증 기관을 설치하는 방법

도메인 컨트롤러에 인증 기관 서비스를 설치하려면 다음 단계를 수행합니다. 이 샘플 절차에서는 도메인 컨트롤러를 사용합니다. 그러나 도메인의 모든 위치에서 루트 인증 기관을 설치할 수 있습니다.

1. 도메인 컨트롤러에 로그인합니다.

2. 시작을 선택하고 제어판 선택하고 프로그램 추가 또는 제거를 두 번 클릭한 다음 Windows 구성 요소 추가/제거를 선택합니다.

3. 인증서 서비스를 찾을 때까지 아래로 스크롤한 다음 선택합니다. 서비스에 대한 하위 작업을 모두 선택해야 합니다. 이러한 구성 요소를 선택하면 경고 메시지가 표시됩니다. 이 메시지는 컴퓨터 또는 해당 도메인 멤버 자격의 이름을 변경하지 않도록 지시합니다. 경고를 읽은 후 예를 선택하여 계속한 다음, 다음을 선택합니다.

4. 마법사에서 CA 유형을 묻는 메시지가 표시되면 독립 실행형 루트 CA를 선택한 다음 , 다음을 선택합니다.

5. 마법사에서 인증 기관의 일반 이름을 묻는 메시지가 표시되면 NetBIOS 이름 또는 DNS(도메인 이름 시스템) 호스트 이름을 사용합니다. 이 예제에서는 DC01을 입력한 다음 , 다음을 선택합니다.

6. 기본 데이터베이스 설정을 적용하고 다음을 선택합니다.

이제 인증 기관 서비스가 서버에 설치됩니다. 서비스에 액세스하려면 웹 사이트 http://<server_name>/certsrv를 방문하세요. 이 예제에서는 를 입력합니다 http://dc01/certsrv.