Не удается увидеть компьютер рабочей группы при установке агента Operations Manager на нем без использования сервера шлюза

  • Статья

В этой статье описывается решение проблемы, из-за которой невозможно настроить сервер System Center Operations Manager для мониторинга удаленного компьютера ненадежной рабочей группы без использования сервера шлюза.

Исходная версия продукта: System Center 2012 Operations Manager
Исходный номер базы знаний: 947691

Симптомы

При попытке установить агент System Center Operations Manager на компьютере рабочей группы без использования сервера шлюза Operations Manager не сможет увидеть компьютер рабочей группы.

Кроме того, в журнале событий Operations Manager регистрируется следующее сообщение об ошибке:

Идентификатор события: 21007 Соединитель OpsMgr не может создать взаимное соединение с <сервером> управления, так как он не находится в доверенном домене.
Идентификатор события: 21016 Opsmgr не удалось настроить канал связи с <сервером> управления, а узлы отработки отказа отсутствуют.

Причина

Эта проблема обычно возникает, когда агенту не удается установить канал связи безопасности с сервером управления, так как нужные сертификаты недоступны. Эта проблема возникает из-за того, что агенты в рабочей группе не могут использовать протокол Kerberos для взаимной проверки подлинности. Сертификаты должны использоваться в среде, в которой протокол Kerberos не используется.

Разрешение

Чтобы решить эту проблему, можно настроить сервер Operations Manager для мониторинга удаленного компьютера с ненадежной рабочей группой без использования сервера шлюза. Для этого требуется проверка подлинности сертификата между сервером управления и компьютером рабочей группы, управляемым агентом. Предположительно, этот сценарий будет распространен в сети периметра (также известной как DMZ, демилитаризованная зона и экранированная подсеть).

Чтобы настроить сервер Operations Manager для мониторинга изолированного компьютера рабочей группы, управляемого агентом, необходимо иметь следующие сертификаты:

  • Импортированный корневой сертификат центра сертификации (ЦС) для сервера управления и компьютера рабочей группы
  • Сертификат для сервера управления. Общее имя (CN) сертификата должно быть полным доменным именем (FQDN).
  • Сертификат для компьютера рабочей группы

Если к компьютеру рабочей группы обращается полное доменное имя, компьютер также должен использовать формат полного доменного имени для запроса сертификата для этого компьютера. В противном случае вы получите следующее сообщение об ошибке:

Не удалось загрузить указанный сертификат, так как имя субъекта сертификата не соответствует имени локального компьютера.
Имя субъекта сертификата: <имя субъекта сертификата>
Имя компьютера: <имя компьютера>

Мониторинг компьютера рабочей группы без использования сервера шлюза

  1. Импортируйте сертификаты корневого ЦС для сервера управления и компьютера рабочей группы, управляемого агентом. Для этого выполните следующие действия:

    Примечание.

    Эти действия необходимо выполнить на сервере управления и на компьютере рабочей группы. Необходимо установить корневой центр сертификации (ЦС) и создать другой сертификат с помощью идентификаторов объектов (OID). Если корневой центр сертификации не установлен, см. раздел Установка корневого центра сертификации в домене .

    1. На рабочем столе сервера откройте веб-браузер, а затем наведите его на сервер центра сертификации. Например, введите адрес http://<certification_authority_server>/certsrv.

    2. Выберите Скачать сертификат ЦС, цепочку сертификатов или список отзыва сертификатов.

    3. Выберите Скачать цепочку сертификатов ЦС. Скачан сертификат с именем Certnew.p7b. Сохраните этот сертификат на рабочем столе.

    4. По завершении загрузки нажмите кнопку Пуск, выберите Выполнить, введите mmc, а затем нажмите кнопку ОК , чтобы открыть экземпляр консоли управления (MMC).

    5. В меню Файл выберите Добавить или удалить оснастку>Добавить>сертификаты.

    6. Выберите Добавить>учетную запись> компьютераДалее.

    7. Выберите Локальный компьютер>Готово>закрыть>ОК.

    8. В разделе Доверенные корневые центры сертификации щелкните правой кнопкой мыши Пункт Сертификаты, наведите указатель на пункт Все задачи и выберите пункт Импорт.

    9. Нажмите кнопку Импортировать>далее.

    10. При появлении запроса на ввод файла сертификата нажмите кнопку Обзор.

    11. Измените тип файлов на сертификаты PKCS No 7 (*.spc,*.p7b).

    12. Выберите соответствующий файл сертификата, скачанный с сервера центра сертификации, и нажмите кнопку Открыть.

    13. Выберите Далее>Готово.

  2. Настройте корпоративный сервер корневого центра сертификации для поддержки сертификатов Operations Manager. Для этого выполните следующие действия:

    1. Используйте учетные данные администратора домена для входа на сервер подчиненного центра сертификации предприятия.

    2. Нажмите кнопку Пуск, выберите Выполнить, введите mmcи нажмите клавишу ВВОД.

    3. В меню Файл выберите Добавить или удалить оснастку.

    4. Нажмите Добавить.

    5. В разделе Добавление автономной оснастки выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить.

    6. Выберите Центр сертификации, а затем нажмите кнопку Добавить.

    7. В оснастке Центра сертификации выберите параметр Локальный компьютер (компьютер, на котором запущена консоль).

    8. Нажмите Готово.

    9. Выберите Закрыть, а затем — ОК.

    10. В оснастке "Центр сертификации " убедитесь, что отображаются оснастка " Шаблоны сертификатов " и " Центр сертификации ".

    11. Выберите Шаблоны сертификатов.

    12. В области сведений щелкните правой кнопкой мыши Компьютер и выберите пункт Дублировать шаблон.

    13. На вкладке Общие измените имя шаблона на понятное имя организации. Например, в качестве имени шаблона можно использовать OpsMgr2012. Убедитесь, что срок действия соответствует требованиям вашей организации.

    14. Перейдите на вкладку Обработка запросов и выберите Разрешить экспорт закрытого ключа.

    15. Перейдите на вкладку Имя субъекта , а затем выберите Пункт Предоставить в параметре Запрос .

    16. Откройте вкладку Безопасность.

    17. Предоставление разрешений на регистрацию и автоматическую регистрацию для следующих групп во всех доменах:

      • Пользователи, прошедшие проверку
      • Администраторы домена
      • Компьютеры домена
      • Администраторы предприятия

    18. Нажмите кнопку Применить, а затем нажмите кнопку ОК.

    19. Чтобы проверить параметры, разверните узел Шаблоны сертификатов.

    20. В области сведений щелкните правой кнопкой мыши настроенный шаблон, выберите Свойства, проверьте параметры и нажмите кнопку ОК.

    21. Разверните центр сертификации (локальный), а затем разверните центр сертификации.

    22. В дереве консоли щелкните правой кнопкой мыши Шаблоны сертификатов, наведите указатель мыши на пункт Создать, а затем выберите Шаблон сертификата для выдачи.

    23. Выберите новый шаблон и нажмите кнопку ОК.

    24. Убедитесь, что новый шаблон отображается в области сведений, а затем убедитесь, что в разделе Целевое назначение отображаются записи Проверка подлинности сервера и Проверка подлинности клиента.

    25. Закройте оснастку.

    26. Нажмите кнопку Пуск, выберите Выполнить, введите gpupdate /force в поле Открыть и нажмите клавишу ВВОД.

      Примечание.

      На этом шаге принудительно выполняется обновление групповая политика контроллера домена и репликация этих изменений в лесу.

    27. Нажмите кнопку Пуск, выберите Выполнить, введите http://<name_of_the_issuing_CA_Server>/certsrv в поле Открыть и нажмите клавишу ВВОД.

    28. При появлении запроса введите имя учетной записи администратора домена и пароль.

    29. На странице Службы сертификатов выберите Запросить сертификат в разделе Выбор задачи.

    30. Выберите Расширенный запрос сертификата.

    31. Выберите Создать и отправьте запрос в этот ЦС.

    32. В списке Шаблон сертификата убедитесь, что отображается новый шаблон сертификата.

  3. Отправьте запрос на сертификат на сервер центра сертификации. Для этого выполните следующие действия на сервере управления и на компьютере рабочей группы:

    1. Нажмите кнопку Пуск, выберите Выполнить, введите http://<name_of_the_issuing_CA_Server>/certsrv в поле Открыть и нажмите клавишу ВВОД.

    2. При появлении запроса введите имя и пароль учетной записи администратора домена.

    3. На странице Службы сертификатов выберите Запросить сертификат в разделе Выбор задачи.

    4. Выберите Расширенный запрос сертификата.

    5. Выберите Создать и отправьте запрос в этот ЦС.

    6. В поле Шаблон сертификата выберите имя шаблона, настроенное на шаге 2. Например, выберите OpsMgr2012.

    7. В поле Имя введите полное доменное имя сервера управления.

    8. Установите флажок Пометить ключ как экспортируемый проверка. При использовании пользовательского интерфейса запроса веб-сертификата необходимо также проверка поле Сохранить сертификат в локальном хранилище сертификатов вычислений.

      Примечание.

      Если этого не сделать, сертификат будет непригодным для использования.

    9. Выберите Отправить , чтобы отправить запрос на сервер центра сертификации, а затем следуйте инструкциям, отображаемым на экране.

    10. В зависимости от конфигурации безопасности в ЦС необходимо дождаться, пока администратор вручную утвердит запрос. Не гарантируется, что ЦС можно будет скачать немедленно.

    11. Проверьте сертификат. Для этого выполните следующие действия:

      1. Нажмите кнопку Пуск, выберите Выполнить, введите mmcи нажмите клавишу ВВОД.
      2. В меню Файл выберите Добавить или удалить оснастку.
      3. Нажмите Добавить.
      4. Выберите оснастку Сертификаты и нажмите кнопку Добавить.
      5. Выберите Моя учетная запись пользователя, нажмите кнопку Готово, нажмите кнопку Закрыть , чтобы закрыть список оснасток, а затем нажмите кнопку ОК , чтобы закрыть окно Добавления и удаления оснастки .
      6. Разверните узлы Сертификаты — текущий пользователь, Личные, Сертификаты, а затем выберите сертификат сервера.
      7. Дважды щелкните сертификат и перейдите на вкладку Сведения .
      8. В списке выберите Расширенное использование ключей. Вы увидите следующие записи:
        • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
        • Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)

  4. Настройте сервер Operations Manager 2012 для использования сертификатов, которые можно экспортировать из частного хранилища компьютера. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите Выполнить, введите mmcи нажмите клавишу ВВОД.
    2. В меню Файл выберите Добавить или удалить оснастку.
    3. Нажмите Добавить.
    4. Выберите Сертификаты, а затем нажмите кнопку Добавить.
    5. Выберите Учетная запись компьютера, а затем нажмите кнопку Готово.
    6. Выберите Локальный компьютер, нажмите кнопку Готово, нажмите кнопку Закрыть , чтобы закрыть список оснасток, а затем нажмите кнопку ОК , чтобы закрыть окно Добавление и удаление оснастки .
    7. Разверните узлы Сертификаты (локальный компьютер),Личные, Сертификаты, а затем выберите подходящий сертификат.
    8. Щелкните правой кнопкой мыши сертификат, наведите указатель на пункт Все задачи, а затем выберите Экспорт.
    9. Нажмите кнопку Далее.
    10. Выберите Да, экспорт закрытого ключа и нажмите кнопку Далее.
    11. Используйте параметр по умолчанию для формата файла.
    12. Введите пароль для файла.
    13. Введите имя файла и нажмите кнопку Далее.
    14. Нажмите Готово.
    15. Повторите все эти действия на сервере управления и на компьютере рабочей группы.

  5. Установите агент на компьютере рабочей группы. Для этого выполните указанные ниже действия.

    Примечание.

    Так как выполняется установка агента вручную, необходимо использовать исполняемый файл установки агента, доступный в папке \Agent\i386 в расположении дистрибутива Operations Manager.

    1. Запустите файл MOMAgent.msi.
    2. На экране приветствия нажмите кнопку Далее.
    3. При появлении запроса на назначение папки для программного обеспечения примите расположение по умолчанию и нажмите кнопку Далее.
    4. При появлении запроса на настройку сведений о группе управления примите параметры по умолчанию и нажмите кнопку Далее.
    5. Введите имя группы управления, имя сервера управления и порт, а затем нажмите кнопку Далее.
    6. Примите параметры по умолчанию и нажмите кнопку Далее.
    7. Убедитесь, что все введенные сведения верны, и нажмите кнопку Установить , чтобы начать установку.
    8. После завершения установки выберите Готово , чтобы завершить установку.

  6. Используйте средство Momcertimport для импорта сертификата. Для этого выполните следующие действия:

    Примечание.

    Средство Momcertimport используется для ввода серийного номера конкретного сертификата в реестре. Эти действия необходимо выполнить на сервере управления и на компьютере рабочей группы. Убедитесь, что агент Operations Manager установлен на компьютере рабочей группы. В противном случае при запуске средства Momcertimport появится сообщение об ошибке.

    1. Нажмите кнопку Пуск и выберите пункт Выполнить.

    2. В поле Открыть введите cmdи нажмите кнопку ОК.

    3. В командной строке введите drive_letter: и нажмите клавишу ВВОД.

      Примечание.

      drive_letter — это диск, на котором находится установочный носитель Operations Manager.

    4. Введите cd \SupportTools\i386, затем нажмите клавишу ВВОД.

    5. Введите следующую команду и нажмите клавишу ВВОД:

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m

    6. Перезапустите службу работоспособности Operations Manager.

  7. Дождитесь, пока сервер управления увидит установку вручную и запросит утверждение. Это займет некоторое время (от пяти до десяти минут). При появлении запроса утвердите агент. Агент рабочей группы теперь может взаимодействовать с сервером.

Установка корневого центра сертификации в домене

Примечание.

Если на сайте уже есть корневой центр сертификации, пропустите эти действия.

Чтобы установить службы центра сертификации на контроллере домена, выполните следующие действия. В этом примере процедуры используется контроллер домена. Однако корневой центр сертификации можно установить в любом месте домена.

  1. Войдите в контроллер домена.

  2. Нажмите кнопку Пуск, выберите панель управления, дважды щелкните элемент Установка или удаление программ, а затем выберите Добавить и удалить компоненты Windows.

  3. Прокрутите вниз, пока не найдете службы сертификатов, а затем выберите их. Убедитесь, что выбраны оба вложенных варианта для служб. При выборе этих компонентов появляется предупреждающее сообщение. В этом сообщении говорится, что не следует изменять имя компьютера или его членство в домене. Прочитав предупреждение, нажмите кнопку Да , чтобы продолжить, а затем нажмите кнопку Далее.

  4. Когда мастер предложит указать тип ЦС, выберите Автономный корневой ЦС, а затем нажмите кнопку Далее.

  5. Когда мастер предложит ввести общее имя центра сертификации, используйте имя NetBIOS или имя узла системы доменных имен (DNS). В этом примере введите DC01 и нажмите кнопку Далее.

  6. Примите параметры базы данных по умолчанию и нажмите кнопку Далее.

Службы центра сертификации теперь установлены на сервере. Чтобы получить доступ к службам, посетите веб-сайт http://<server_name>/certsrv. В этом примере введите http://dc01/certsrv.