Не удается увидеть компьютер рабочей группы при установке агента Operations Manager на нем без использования сервера шлюза
В этой статье описывается решение проблемы, из-за которой невозможно настроить сервер System Center Operations Manager для мониторинга удаленного компьютера ненадежной рабочей группы без использования сервера шлюза.
Исходная версия продукта: System Center 2012 Operations Manager
Исходный номер базы знаний: 947691
Симптомы
При попытке установить агент System Center Operations Manager на компьютере рабочей группы без использования сервера шлюза Operations Manager не сможет увидеть компьютер рабочей группы.
Кроме того, в журнале событий Operations Manager регистрируется следующее сообщение об ошибке:
Идентификатор события: 21007 Соединитель OpsMgr не может создать взаимное соединение с <сервером> управления, так как он не находится в доверенном домене.
Идентификатор события: 21016 Opsmgr не удалось настроить канал связи с <сервером> управления, а узлы отработки отказа отсутствуют.
Причина
Эта проблема обычно возникает, когда агенту не удается установить канал связи безопасности с сервером управления, так как нужные сертификаты недоступны. Эта проблема возникает из-за того, что агенты в рабочей группе не могут использовать протокол Kerberos для взаимной проверки подлинности. Сертификаты должны использоваться в среде, в которой протокол Kerberos не используется.
Разрешение
Чтобы решить эту проблему, можно настроить сервер Operations Manager для мониторинга удаленного компьютера с ненадежной рабочей группой без использования сервера шлюза. Для этого требуется проверка подлинности сертификата между сервером управления и компьютером рабочей группы, управляемым агентом. Предположительно, этот сценарий будет распространен в сети периметра (также известной как DMZ, демилитаризованная зона и экранированная подсеть).
Чтобы настроить сервер Operations Manager для мониторинга изолированного компьютера рабочей группы, управляемого агентом, необходимо иметь следующие сертификаты:
- Импортированный корневой сертификат центра сертификации (ЦС) для сервера управления и компьютера рабочей группы
- Сертификат для сервера управления. Общее имя (CN) сертификата должно быть полным доменным именем (FQDN).
- Сертификат для компьютера рабочей группы
Если к компьютеру рабочей группы обращается полное доменное имя, компьютер также должен использовать формат полного доменного имени для запроса сертификата для этого компьютера. В противном случае вы получите следующее сообщение об ошибке:
Не удалось загрузить указанный сертификат, так как имя субъекта сертификата не соответствует имени локального компьютера.
Имя субъекта сертификата: <имя субъекта сертификата>
Имя компьютера: <имя компьютера>
Мониторинг компьютера рабочей группы без использования сервера шлюза
Импортируйте сертификаты корневого ЦС для сервера управления и компьютера рабочей группы, управляемого агентом. Для этого выполните следующие действия:
Примечание.
Эти действия необходимо выполнить на сервере управления и на компьютере рабочей группы. Необходимо установить корневой центр сертификации (ЦС) и создать другой сертификат с помощью идентификаторов объектов (OID). Если корневой центр сертификации не установлен, см. раздел Установка корневого центра сертификации в домене .
На рабочем столе сервера откройте веб-браузер, а затем наведите его на сервер центра сертификации. Например, введите адрес http://<certification_authority_server>/certsrv.
Выберите Скачать сертификат ЦС, цепочку сертификатов или список отзыва сертификатов.
Выберите Скачать цепочку сертификатов ЦС. Скачан сертификат с именем Certnew.p7b. Сохраните этот сертификат на рабочем столе.
По завершении загрузки нажмите кнопку Пуск, выберите Выполнить, введите
mmc
, а затем нажмите кнопку ОК , чтобы открыть экземпляр консоли управления (MMC).В меню Файл выберите Добавить или удалить оснастку>Добавить>сертификаты.
Выберите Добавить>учетную запись> компьютераДалее.
Выберите Локальный компьютер>Готово>закрыть>ОК.
В разделе Доверенные корневые центры сертификации щелкните правой кнопкой мыши Пункт Сертификаты, наведите указатель на пункт Все задачи и выберите пункт Импорт.
Нажмите кнопку Импортировать>далее.
При появлении запроса на ввод файла сертификата нажмите кнопку Обзор.
Измените тип файлов на сертификаты PKCS No 7 (*.spc,*.p7b).
Выберите соответствующий файл сертификата, скачанный с сервера центра сертификации, и нажмите кнопку Открыть.
Выберите Далее>Готово.
Настройте корпоративный сервер корневого центра сертификации для поддержки сертификатов Operations Manager. Для этого выполните следующие действия:
Используйте учетные данные администратора домена для входа на сервер подчиненного центра сертификации предприятия.
Нажмите кнопку Пуск, выберите Выполнить, введите
mmc
и нажмите клавишу ВВОД.В меню Файл выберите Добавить или удалить оснастку.
Нажмите Добавить.
В разделе Добавление автономной оснастки выберите Шаблоны сертификатов, а затем нажмите кнопку Добавить.
Выберите Центр сертификации, а затем нажмите кнопку Добавить.
В оснастке Центра сертификации выберите параметр Локальный компьютер (компьютер, на котором запущена консоль).
Нажмите Готово.
Выберите Закрыть, а затем — ОК.
В оснастке "Центр сертификации " убедитесь, что отображаются оснастка " Шаблоны сертификатов " и " Центр сертификации ".
Выберите Шаблоны сертификатов.
В области сведений щелкните правой кнопкой мыши Компьютер и выберите пункт Дублировать шаблон.
На вкладке Общие измените имя шаблона на понятное имя организации. Например, в качестве имени шаблона можно использовать OpsMgr2012. Убедитесь, что срок действия соответствует требованиям вашей организации.
Перейдите на вкладку Обработка запросов и выберите Разрешить экспорт закрытого ключа.
Перейдите на вкладку Имя субъекта , а затем выберите Пункт Предоставить в параметре Запрос .
Откройте вкладку Безопасность.
Предоставление разрешений на регистрацию и автоматическую регистрацию для следующих групп во всех доменах:
- Пользователи, прошедшие проверку
- Администраторы домена
- Компьютеры домена
- Администраторы предприятия
Нажмите кнопку Применить, а затем нажмите кнопку ОК.
Чтобы проверить параметры, разверните узел Шаблоны сертификатов.
В области сведений щелкните правой кнопкой мыши настроенный шаблон, выберите Свойства, проверьте параметры и нажмите кнопку ОК.
Разверните центр сертификации (локальный), а затем разверните центр сертификации.
В дереве консоли щелкните правой кнопкой мыши Шаблоны сертификатов, наведите указатель мыши на пункт Создать, а затем выберите Шаблон сертификата для выдачи.
Выберите новый шаблон и нажмите кнопку ОК.
Убедитесь, что новый шаблон отображается в области сведений, а затем убедитесь, что в разделе Целевое назначение отображаются записи Проверка подлинности сервера и Проверка подлинности клиента.
Закройте оснастку.
Нажмите кнопку Пуск, выберите Выполнить, введите
gpupdate /force
в поле Открыть и нажмите клавишу ВВОД.Примечание.
На этом шаге принудительно выполняется обновление групповая политика контроллера домена и репликация этих изменений в лесу.
Нажмите кнопку Пуск, выберите Выполнить, введите http://<name_of_the_issuing_CA_Server>/certsrv в поле Открыть и нажмите клавишу ВВОД.
При появлении запроса введите имя учетной записи администратора домена и пароль.
На странице Службы сертификатов выберите Запросить сертификат в разделе Выбор задачи.
Выберите Расширенный запрос сертификата.
Выберите Создать и отправьте запрос в этот ЦС.
В списке Шаблон сертификата убедитесь, что отображается новый шаблон сертификата.
Отправьте запрос на сертификат на сервер центра сертификации. Для этого выполните следующие действия на сервере управления и на компьютере рабочей группы:
Нажмите кнопку Пуск, выберите Выполнить, введите http://<name_of_the_issuing_CA_Server>/certsrv в поле Открыть и нажмите клавишу ВВОД.
При появлении запроса введите имя и пароль учетной записи администратора домена.
На странице Службы сертификатов выберите Запросить сертификат в разделе Выбор задачи.
Выберите Расширенный запрос сертификата.
Выберите Создать и отправьте запрос в этот ЦС.
В поле Шаблон сертификата выберите имя шаблона, настроенное на шаге 2. Например, выберите OpsMgr2012.
В поле Имя введите полное доменное имя сервера управления.
Установите флажок Пометить ключ как экспортируемый проверка. При использовании пользовательского интерфейса запроса веб-сертификата необходимо также проверка поле Сохранить сертификат в локальном хранилище сертификатов вычислений.
Примечание.
Если этого не сделать, сертификат будет непригодным для использования.
Выберите Отправить , чтобы отправить запрос на сервер центра сертификации, а затем следуйте инструкциям, отображаемым на экране.
В зависимости от конфигурации безопасности в ЦС необходимо дождаться, пока администратор вручную утвердит запрос. Не гарантируется, что ЦС можно будет скачать немедленно.
Проверьте сертификат. Для этого выполните следующие действия:
- Нажмите кнопку Пуск, выберите Выполнить, введите
mmc
и нажмите клавишу ВВОД. - В меню Файл выберите Добавить или удалить оснастку.
- Нажмите Добавить.
- Выберите оснастку Сертификаты и нажмите кнопку Добавить.
- Выберите Моя учетная запись пользователя, нажмите кнопку Готово, нажмите кнопку Закрыть , чтобы закрыть список оснасток, а затем нажмите кнопку ОК , чтобы закрыть окно Добавления и удаления оснастки .
- Разверните узлы Сертификаты — текущий пользователь, Личные, Сертификаты, а затем выберите сертификат сервера.
- Дважды щелкните сертификат и перейдите на вкладку Сведения .
- В списке выберите Расширенное использование ключей. Вы увидите следующие записи:
- Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
- Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
- Нажмите кнопку Пуск, выберите Выполнить, введите
Настройте сервер Operations Manager 2012 для использования сертификатов, которые можно экспортировать из частного хранилища компьютера. Для этого выполните следующие действия:
- Нажмите кнопку Пуск, выберите Выполнить, введите
mmc
и нажмите клавишу ВВОД. - В меню Файл выберите Добавить или удалить оснастку.
- Нажмите Добавить.
- Выберите Сертификаты, а затем нажмите кнопку Добавить.
- Выберите Учетная запись компьютера, а затем нажмите кнопку Готово.
- Выберите Локальный компьютер, нажмите кнопку Готово, нажмите кнопку Закрыть , чтобы закрыть список оснасток, а затем нажмите кнопку ОК , чтобы закрыть окно Добавление и удаление оснастки .
- Разверните узлы Сертификаты (локальный компьютер),Личные, Сертификаты, а затем выберите подходящий сертификат.
- Щелкните правой кнопкой мыши сертификат, наведите указатель на пункт Все задачи, а затем выберите Экспорт.
- Нажмите кнопку Далее.
- Выберите Да, экспорт закрытого ключа и нажмите кнопку Далее.
- Используйте параметр по умолчанию для формата файла.
- Введите пароль для файла.
- Введите имя файла и нажмите кнопку Далее.
- Нажмите Готово.
- Повторите все эти действия на сервере управления и на компьютере рабочей группы.
- Нажмите кнопку Пуск, выберите Выполнить, введите
Установите агент на компьютере рабочей группы. Для этого выполните указанные ниже действия.
Примечание.
Так как выполняется установка агента вручную, необходимо использовать исполняемый файл установки агента, доступный в папке \Agent\i386 в расположении дистрибутива Operations Manager.
- Запустите файл MOMAgent.msi.
- На экране приветствия нажмите кнопку Далее.
- При появлении запроса на назначение папки для программного обеспечения примите расположение по умолчанию и нажмите кнопку Далее.
- При появлении запроса на настройку сведений о группе управления примите параметры по умолчанию и нажмите кнопку Далее.
- Введите имя группы управления, имя сервера управления и порт, а затем нажмите кнопку Далее.
- Примите параметры по умолчанию и нажмите кнопку Далее.
- Убедитесь, что все введенные сведения верны, и нажмите кнопку Установить , чтобы начать установку.
- После завершения установки выберите Готово , чтобы завершить установку.
Используйте средство Momcertimport для импорта сертификата. Для этого выполните следующие действия:
Примечание.
Средство Momcertimport используется для ввода серийного номера конкретного сертификата в реестре. Эти действия необходимо выполнить на сервере управления и на компьютере рабочей группы. Убедитесь, что агент Operations Manager установлен на компьютере рабочей группы. В противном случае при запуске средства Momcertimport появится сообщение об ошибке.
Нажмите кнопку Пуск и выберите пункт Выполнить.
В поле Открыть введите
cmd
и нажмите кнопку ОК.В командной строке введите drive_letter: и нажмите клавишу ВВОД.
Примечание.
drive_letter — это диск, на котором находится установочный носитель Operations Manager.
Введите
cd \SupportTools\i386
, затем нажмите клавишу ВВОД.Введите следующую команду и нажмите клавишу ВВОД:
MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m
Перезапустите службу работоспособности Operations Manager.
Дождитесь, пока сервер управления увидит установку вручную и запросит утверждение. Это займет некоторое время (от пяти до десяти минут). При появлении запроса утвердите агент. Агент рабочей группы теперь может взаимодействовать с сервером.
Установка корневого центра сертификации в домене
Примечание.
Если на сайте уже есть корневой центр сертификации, пропустите эти действия.
Чтобы установить службы центра сертификации на контроллере домена, выполните следующие действия. В этом примере процедуры используется контроллер домена. Однако корневой центр сертификации можно установить в любом месте домена.
Войдите в контроллер домена.
Нажмите кнопку Пуск, выберите панель управления, дважды щелкните элемент Установка или удаление программ, а затем выберите Добавить и удалить компоненты Windows.
Прокрутите вниз, пока не найдете службы сертификатов, а затем выберите их. Убедитесь, что выбраны оба вложенных варианта для служб. При выборе этих компонентов появляется предупреждающее сообщение. В этом сообщении говорится, что не следует изменять имя компьютера или его членство в домене. Прочитав предупреждение, нажмите кнопку Да , чтобы продолжить, а затем нажмите кнопку Далее.
Когда мастер предложит указать тип ЦС, выберите Автономный корневой ЦС, а затем нажмите кнопку Далее.
Когда мастер предложит ввести общее имя центра сертификации, используйте имя NetBIOS или имя узла системы доменных имен (DNS). В этом примере введите DC01 и нажмите кнопку Далее.
Примите параметры базы данных по умолчанию и нажмите кнопку Далее.
Службы центра сертификации теперь установлены на сервере. Чтобы получить доступ к службам, посетите веб-сайт http://<server_name>/certsrv. В этом примере введите http://dc01/certsrv
.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по