Não é possível ver um computador de grupo de trabalho ao instalar um agente do Operations Manager nele sem usar um servidor de gateway

  • Artigo

Este artigo fornece uma solução para o problema que você não pode configurar um servidor do System Center Operations Manager para monitorar um computador de grupo de trabalho remoto e não confiável sem usar um servidor de gateway.

Versão original do produto: System Center 2012 Operations Manager
Número de KB original: 947691

Sintomas

Quando você tenta instalar um agente do System Center Operations Manager em um computador de grupo de trabalho sem usar um servidor de gateway, o Operations Manager não pode ver o computador do grupo de trabalho.

Além disso, a seguinte mensagem de erro é registrada no log de eventos do Operations Manager:

ID do evento : 21007 O conector OpsMgr não pode criar uma conexão mutuamente autenticada com <o servidor> management porque ele não está em um domínio confiável.
ID do evento : 21016 Opsmgr não pôde configurar um canal de comunicação para < o servidor >de gerenciamento e não há hosts de failover

Motivo

Esse problema geralmente ocorre quando o agente não pode estabelecer um canal de comunicação de segurança para o servidor de gerenciamento porque os certificados corretos não estão disponíveis. Esse problema ocorre porque os agentes do grupo de trabalho não podem usar o protocolo Kerberos para autenticação mútua. Os certificados devem ser usados em um ambiente no qual o protocolo Kerberos não é usado.

Resolução

Para resolver esse problema, você pode configurar um servidor do Operations Manager para monitorar um computador de grupo de trabalho remoto e não confiável sem usar um servidor de gateway. Para fazer isso, a autenticação de certificado é necessária entre o servidor de gerenciamento e o computador do grupo de trabalho gerenciado pelo agente. Presumivelmente, esse cenário será comum em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede exibida).

Para configurar um servidor do Operations Manager para monitorar um computador de grupo de trabalho gerenciado por agente autônomo, você deve ter esses certificados:

  • Um certificado raiz de autoridade de certificação importada (AC) para o servidor de gerenciamento e para o computador do grupo de trabalho
  • Um certificado para o servidor de gerenciamento. O CN (nome comum) do certificado deve ser um FQDN (nome de domínio totalmente qualificado).
  • Um certificado para o computador do grupo de trabalho

Se o computador do grupo de trabalho for abordado por um FQDN, o computador também deverá usar o formato FQDN para solicitar o certificado para este computador. Caso contrário, você receberá esta mensagem de erro:

O certificado especificado não pôde ser carregado porque o nome da entidade no certificado não corresponde ao nome do computador local
Nome da entidade de certificado: <nome da entidade de certificado>
Nome do computador: <nome do computador>

Como monitorar um computador de grupo de trabalho sem usar um servidor de gateway

  1. Importe os certificados de AC raiz para o servidor de gerenciamento e para o computador do grupo de trabalho gerenciado pelo agente. Para fazer isso, siga estas etapas:

    Observação

    Você deve seguir essas etapas no servidor de gerenciamento e no computador do grupo de trabalho. Você deve ter uma AC (autoridade de certificação raiz) instalada e você deve ser capaz de criar outro certificado usando identificadores de objeto (OIDs). Se você não tiver uma autoridade de certificação raiz instalada, consulte a seção Como instalar uma autoridade de certificação raiz em uma seção de domínio .

    1. Na área de trabalho do servidor, abra um navegador da Web e aponte-o para o servidor de autoridade de certificação. Por exemplo, digite o endereço http://<certification_authority_server>/certsrv.

    2. Selecione Baixar um certificado de AC, cadeia de certificados ou CRL.

    3. Selecione Baixar cadeia de certificados de AC. Um certificado chamado Certnew.p7b é baixado. Salve esse certificado na área de trabalho.

    4. Quando o download for concluído, selecione Iniciar, selecione Executar, digite mmce, em seguida, selecione OK para abrir uma instância do MMC (Console de Gerenciamento da Microsoft).

    5. No menu Arquivo, selecione Adicionar/Remover Certificados deAdição> de Snap-in.>

    6. Selecione Adicionar> conta >de computadorEm seguida.

    7. SelecioneConcluir Fechar>>OK do computador> local.

    8. Em Autoridades de Certificado Raiz Confiáveis, clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e selecione Importar.

    9. Selecione Importar>Próximo.

    10. Quando você for solicitado para o arquivo de certificado, selecione Procurar.

    11. Altere arquivos do tipo para PKCS #7 Certificados (*.spc,*.p7b).

    12. Selecione o arquivo de certificado apropriado que você baixou no servidor de autoridade de certificação e selecione Abrir.

    13. Selecione Avançar>Concluir.

  2. Configure o servidor da autoridade de certificação raiz da empresa para dar suporte aos certificados do Operations Manager. Para fazer isso, siga estas etapas:

    1. Use credenciais de administrador de domínio para entrar no servidor da autoridade de certificação subordinada da empresa.

    2. Selecione Iniciar, selecione Executar, digite mmce pressione ENTER.

    3. No menu Arquivo, clique em Adicionar/Remover Snap-in.

    4. Selecione Adicionar.

    5. Em Adicionar Snap-in Autônomo, selecione Modelos de certificado e selecione Adicionar.

    6. Selecione Autoridade de Certificação e selecione Adicionar.

    7. No snap-in da Autoridade de Certificação, selecione a opção Computador Local (o computador em que este console está em execução).

    8. Selecione Concluir.

    9. Selecione Fechar e, em seguida, selecione OK.

    10. No snap-in da Autoridade de Certificação , verifique se o snap-in Modelos de Certificado e o snap-in da Autoridade de Certificação são exibidos.

    11. Selecione Modelos de Certificado.

    12. No painel de detalhes, clique com o botão direito do mouse em Computador e selecione Modelo duplicado.

    13. Na guia Geral , altere o nome do modelo para um nome significativo para sua organização. Por exemplo, você pode usar OpsMgr2012 como o nome do modelo. Verifique se o período de validade atende aos requisitos da sua organização.

    14. Selecione a guia Tratamento de Solicitações e selecione Permitir que a chave privada seja exportada.

    15. Selecione a guia Nome do assunto e selecione Fornecer na opção Solicitar .

    16. Selecione a guia Segurança.

    17. Conceda permissões de Registro e Registro Automático para os seguintes grupos em todos os domínios:

      • Usuários autenticados
      • Administradores de domínio
      • Computadores de domínio
      • Administradores corporativos

    18. Selecione Aplicar e, em seguida, selecione OK.

    19. Para verificar as configurações, expanda Modelos de Certificado.

    20. No painel de detalhes, clique com o botão direito do mouse no modelo que você configurou, selecione Propriedades, verifique suas configurações e selecione OK.

    21. Expanda a Autoridade de Certificação (local)e expanda sua autoridade de certificação.

    22. Na árvore do console, clique com o botão direito do mouse em Modelos de Certificado, aponte para Novo e selecione Modelo de Certificado para Emitir.

    23. Selecione o novo modelo e selecione OK.

    24. Verifique se o novo modelo aparece no painel de detalhes e verifique se a entrada autenticação do servidor e a entrada autenticação do cliente aparecem em Propósito pretendido.

    25. Feche o snap-in.

    26. Selecione Iniciar, selecione Executar, digite gpupdate /force no campo Abrir e pressione ENTER.

      Observação

      Essa etapa força uma atualização Política de Grupo no controlador de domínio e uma replicação dessas alterações em toda a floresta.

    27. Selecione Iniciar, selecione Executar, digite http://<name_of_the_issuing_CA_Server>/certsrv no campo Abrir e pressione ENTER.

    28. Se você for solicitado, insira o nome da conta do administrador de domínio e a senha.

    29. Na página Serviços de Certificado , selecione Solicitar um certificadoem Selecionar uma tarefa.

    30. Selecione Solicitação avançada de certificado.

    31. Selecione Criar e enviar uma solicitação para essa AC.

    32. Na lista Modelo de certificado , verifique se o novo modelo de certificado é exibido.

  3. Envie a solicitação de certificado para o servidor da autoridade de certificação. Para fazer isso, siga estas etapas no servidor de gerenciamento e no computador do grupo de trabalho:

    1. Selecione Iniciar, selecione Executar, digite http://<name_of_the_issuing_CA_Server>/certsrv no campo Abrir e pressione ENTER.

    2. Se você for solicitado, insira o nome e a senha da conta do administrador de domínio.

    3. Na página Serviços de Certificado , selecione Solicitar um certificadoem Selecionar uma tarefa.

    4. Selecione Solicitação avançada de certificado.

    5. Selecione Criar e enviar uma solicitação para essa AC.

    6. No campo Modelo de Certificado , selecione o nome do modelo que você configurou na etapa 2. Por exemplo, selecione OpsMgr2012.

    7. No campo Nome , digite o FQDN do servidor de gerenciamento.

    8. Selecione a tecla Marcar como marcar exportável. Ao usar a interface do usuário da solicitação de certificado Web, você também deve marcar a caixa Armazenar o certificado no repositório de certificados de computação local.

      Observação

      O certificado será inutilizável se isso não for feito.

    9. Selecione Enviar para enviar sua solicitação ao servidor de autoridade de certificação e siga as instruções que aparecem na tela.

    10. Dependendo da configuração de segurança na AC, você precisa aguardar que um administrador aprove manualmente a solicitação. Não é garantido que a AC possa ser baixada imediatamente.

    11. Verifique o certificado. Para fazer isso, siga estas etapas:

      1. Selecione Iniciar, selecione Executar, digite mmce pressione ENTER.
      2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
      3. Selecione Adicionar.
      4. Selecione o snap-in Certificados e selecione Adicionar.
      5. Selecione Minha conta de usuário, selecione Concluir, selecione Fechar para fechar a lista de snap-in e selecione OK para fechar a janela Adicionar/remover snap-in .
      6. Expanda Certificados – Usuário Atual, expanda Pessoal, expanda Certificados e selecione o certificado do servidor.
      7. Clique duas vezes no certificado e selecione a guia Detalhes .
      8. Na lista, selecione Uso avançado de chaves. Você deve ver as seguintes entradas:
        • Autenticação do cliente (1.3.6.1.5.5.7.3.2)
        • Autenticação do servidor (1.3.6.1.5.5.7.3.1)

  4. Configure o servidor do Operations Manager 2012 para usar certificados que podem ser exportados do repositório privado do computador. Para fazer isso, siga estas etapas:

    1. Selecione Iniciar, selecione Executar, digite mmce pressione ENTER.
    2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
    3. Selecione Adicionar.
    4. Selecione Certificados e selecione Adicionar.
    5. Selecione Conta de computador e selecione Concluir.
    6. Selecione Computador local, selecione Concluir, selecione Fechar para fechar a lista de snap-in e selecione OK para fechar a janela Adicionar/remover snap-in .
    7. Expanda Certificados (computador local), expanda Pessoal, expanda Certificados e selecione um certificado adequado.
    8. Clique com o botão direito do mouse no certificado, aponte para Todas as tarefas e selecione Exportar.
    9. Selecione Avançar.
    10. Selecione Sim, exportar chave privada e selecione Avançar.
    11. Use a configuração padrão para o formato de arquivo.
    12. Digite uma senha para o arquivo.
    13. Digite um nome de arquivo e selecione Avançar.
    14. Selecione Concluir.
    15. Repita todas essas etapas no servidor de gerenciamento e no computador do grupo de trabalho.

  5. Instale o agente no computador do grupo de trabalho. Para fazer isso, execute as etapas a seguir.

    Observação

    Como você está executando uma instalação manual do agente, você deve usar o arquivo executável de configuração do agente que está disponível na pasta \Agent\i386 no local de distribuição do Operations Manager.

    1. Execute o arquivo MOMAgent.msi.
    2. Na tela De boas-vindas , selecione Avançar.
    3. Quando você for solicitado a obter um destino de pasta para o software, aceite o local padrão e selecione Avançar.
    4. Quando você for solicitado a configurar as informações do grupo de gerenciamento, aceite as configurações padrão e selecione Avançar.
    5. Digite o nome do grupo de gerenciamento, o nome do servidor de gerenciamento e a porta e selecione Avançar.
    6. Aceite as configurações padrão e selecione Avançar.
    7. Verifique se todas as informações inseridas estão corretas e selecione Instalar para iniciar a instalação.
    8. Quando a instalação estiver concluída, selecione Concluído para sair da instalação.

  6. Use a ferramenta Momcertimport para importar o certificado. Para fazer isso, siga estas etapas:

    Observação

    A ferramenta Momcertimport é usada para inserir o número de série do certificado específico no registro. Você deve seguir essas etapas no servidor de gerenciamento e no computador do grupo de trabalho. Verifique se o agente do Operations Manager está instalado no computador do grupo de trabalho. Caso contrário, você receberá um erro ao executar a ferramenta Momcertimport.

    1. Selecione Iniciar e Executar.

    2. No campo Abrir , digite cmde selecione OK.

    3. No prompt de comando, digite drive_letter: e pressione ENTER.

      Observação

      drive_letter é a unidade na qual a mídia de instalação do Operations Manager está localizada.

    4. Digite cd \SupportTools\i386 e pressione ENTER.

    5. Digite o seguinte comando e pressione Enter:

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m

    6. Reinicie o serviço de Integridade do Operations Manager.

  7. Aguarde que o servidor de gerenciamento veja a instalação manual e solicite a aprovação. Isso deve levar algum tempo (cinco a dez minutos). Quando você for solicitado, aprove o agente. O agente do grupo de trabalho agora pode se comunicar com o servidor.

Como instalar uma autoridade de certificação raiz em um domínio

Observação

Se o site já tiver uma autoridade de certificação raiz, ignore estas etapas.

Para instalar serviços de autoridade de certificação em um controlador de domínio, siga estas etapas. Este procedimento de exemplo usa um controlador de domínio. No entanto, você pode instalar a autoridade de certificação raiz em qualquer lugar do seu domínio.

  1. Entre em um controlador de domínio.

  2. Selecione Iniciar, selecione Painel de Controle, clique duas vezes em Adicionar ou Remover Programas e selecione Adicionar/Remover Componentes do Windows.

  3. Role para baixo até encontrar os Serviços de Certificado e selecione-o. Verifique se você seleciona as duas suboperações para os serviços. Ao selecionar esses componentes, você receberá uma mensagem de aviso. Esta mensagem informa para você não alterar o nome do computador ou sua associação de domínio. Depois de ler o aviso, selecione Sim para continuar e selecione Avançar.

  4. Quando o assistente solicitar o tipo de AC, selecione AC Raiz Autônoma e, em seguida, selecione Avançar.

  5. Quando o assistente solicitar um nome comum para a autoridade de certificação, use o nome do NetBIOS ou o nome do host DNS (Sistema de Nomes de Domínio). Para este exemplo, digite DC01 e selecione Avançar.

  6. Aceite as configurações padrão do banco de dados e selecione Avançar.

Os serviços de autoridade de certificação agora estão instalados no servidor. Para acessar os serviços, visite o site http://<server_name>/certsrv. Neste exemplo, digite http://dc01/certsrv.