Das Installieren und Verwalten von Microsoft Operations Manager 2005-Agent-Computer hinter einer Firewall in einer nicht vertrauenswürdigen Domäne oder


Zusammenfassung


Dieser Artikel beschreibt das Installieren und Verwalten von Microsoft Operations Manager (MOM) 2005-Agent-Computer hinter einer Firewall oder in einer nicht vertrauenswürdigen Domäne befinden. Möglicherweise möchten den MOM 2005-Agent auf einem Computer installieren, der hinter der Unternehmensfirewall befindet. In einigen Fällen möchten Sie den MOM 2005-Agent auf einem Server installieren, die in einem Perimeternetzwerk. Ein Perimeternetzwerk ist ein Netzwerk, das zwischen zwei anderen Netzwerken vorhanden ist. In der Regel vertrauen die beiden anderen Netzwerke nicht gegenseitig. Ein Perimeternetzwerk wird auch als DMZ, demilitarisierte Zone oder überwachtes Subnetz.

Weitere Informationen


MOM 2005-Agent verwendet TCP-Port 1270 Daten wie Alarme und Ereignisse, die MOM-Verwaltungsserver an. Der MOM-Agent verwendet UDP-Port 1270 Heartbeat Informationen an MOM-Verwaltungsserver gesendet. Aushandeln der MOM-Agent und dem MOM-Verwaltungsserver einen offenen Port auf dem MOM-Agent-Computer. MOM-Verwaltungsserver verwendet den ausgehandelten Anschluss Regeln an den Agent senden.

Vorschriften für MOM-Agents hinter einer firewall

MOM-Agents können mit dem MOM-Verwaltungsserver kommunizieren, wenn der MOM-Agent-Computer hinter einer Firewall befindet. Allerdings müssen Sie TCP-Port 1270 und UDP-Port 1270 öffnen. Darüber hinaus müssen Sie manuell installieren und Aktualisieren von MOM-Agents hinter einer Firewall. Wenn Sie Zugriff auf Port 1270 über die Firewall aktivieren können, müssen Sie eine MOM-Verwaltungsgruppe innerhalb des Perimeternetzwerks installieren. Sie können separat die Verwaltungsgruppe Perimeter Netzwerk überwachen. Oder Warnung Weiterleitung aus der Verwaltungsgruppe Perimeter Netzwerk an internen MOM-Verwaltungsgruppe mit Port 1271.You Dienstprogramm MOM Remote Prerequisite Checker (MOMNetChk.exe) im Microsoft Operations Manager Resource Kit verwenden kann, Scannen aktivieren ein Computer für den Status der Anschlüsse, die vom MOM-Dienst verwendet und Dienstleistungen. Zu MOM Resource Kit finden Sie auf der folgenden Microsoft-Website: Der MOM Remote Prerequisite Checker führt eine Reihe von Konnektivitätstests durch. Diese Tests sind eine Ping-Test und Test DNS-Konnektivität. Das Dienstprogramm stellt außerdem Informationen über den Status der Dienste, von denen der MOM-Dienst abhängig. Diese Informationen kann in einem Berichtsfenster angezeigt oder in der Datei Momscan.log gespeichert werden. MOM Remote Prerequisite Checker, MOMNetChk.exe starten, geben den Computernamen, und klicken Sie anschließend auf Ausführen. Wenn Sie die Ergebnisse in einer Protokolldatei speichern möchten, klicken Sie auf Dateiund geben Sie den Speicherort der Datei. Zum Anzeigen der Ergebnisse der Tests, die ausgeführt wurden, erweitern Sie die Knoten im linken Fensterbereich des Dienstprogramms.Hinweis Das Dienstprogramm MOMNetChk.exe überprüft den Status Erforderlicher Netzwerk-und Dienstkomponenten. Fehler werden nicht gemeldet. Die verwalteten Computer der internen Domäne gehören, gilt Folgendes:
  • Gegenseitige Authentifizierung ist verfügbar.
  • Signierte und verschlüsselte Kommunikation verfügbar.
  • Die folgenden Ports sind geöffnet, damit der verwaltete Computer MOM Management-Domäne authentifizieren und mit der Domäne kommunizieren kann:
    • UDP-Port 53 (DNS = Domain Name System) Abfragen und dynamische Registrierung unterstützt
    • UDP-Port 88 Kerberos-Unterstützung
    • UDP-Port 123 Network Time Protocol (NTP) unterstützt
    • TCP-Port 135 Remoteprozeduraufrufe (RPC) unterstützt
    • UDP-Port 389 und TCP-port 389 Lightweight Directory Access Protocol (LDAP) Unterstützung
    • TCP-Port 445 unterstützt Server Message Block (SMB)
    • Alle Ports über 1024 für RPC-Kommunikation und auf dynamische Quellports für den MOM-Agent-Computer.
    Wenn eine Umkreisnetzwerkdomäne verwalteten Computern gehören, gilt Folgendes:
    • Wenn eine vollständige Active Directory Directory Service Vertrauensstellung zwischen der Verwaltungsserverdomäne und der Agentdomäne vorhanden ist, sind folgenden Optionen verfügbar:
      • Gegenseitige Authentifizierung
      • Signierte und verschlüsselte Kommunikation
    • Wenn eine vollständige Active Directory-Vertrauensstellung nicht vorhanden ist, werden nur signierte und verschlüsselte Kommunikation verfügbar. Gegenseitige Authentifizierung ist nicht verfügbar.

Installieren den MOM-agent

Sie müssen gegenseitige Authentifizierung auf dem MOM-Server deaktivieren, damit der MOM-Agent auf dem MOM-Verwaltungsserver herstellen kann. Gehen Sie folgendermaßen vor, um die gegenseitige Authentifizierung zu deaktivieren:
  1. Starten Sie die MOM 2005-Verwaltungskonsole.
  2. Erweitern Sie Verwaltung, und klicken Sie dann aufGlobaleinstellungen.
  3. Doppelklicken Sie auf Sicherheit.
  4. Auf der Registerkarte Sicherheit das Kontrollkästchengegenseitige Authentifizierung erforderlich auf und klicken Sie aufOK.
Sie müssen den MOM-Agent manuell installieren. Standardmäßig wird MOM 2005 ablehnen neue manuell installierte Agents verhindert die automatische Installation nicht autorisierte Agents konfiguriert. Diese Konfiguration wird verhindert, dass schädliche oder bösartige Daten an die MOM-Verwaltungsserver gesendet wird. Manuelle Agentinstallation ist eine globale Einstellung, die Sie bei der manuellen Agentinstallation deaktivieren können. Nachdem Sie die Agents manuell zu, die Sie möchten installieren, wird dringend empfohlen, diese Einstellung wieder zum Schutz die MOM-Umgebung aktivieren. So ändern Sie die globale Einstellung für das Zulassen manuell installierter Agents für alle MOM-Verwaltungsserver, gehen Sie folgendermaßen vor:
  1. In der MOM-Verwaltungskonsole erweitern SieVerwaltung, und klicken Sie dann auf Globaleinstellungen.
  2. Im Detailbereich Maustaste auf Verwaltungsserver, und klicken Sie auf Eigenschaften.
  3. Deaktivieren Sie auf der Registerkarte Agentinstallation das Kontrollkästchen Neue manuelle Agentinstallationen ablehnen , und klicken Sie auf OK.
Ändern Sie die Einstellung manuell installierte Agents auf einen MOM-Verwaltungsserver gehen Sie folgendermaßen vor:
  1. In der MOM-Verwaltungskonsole erweitern SieVerwaltung, Computerund klicken Sie anschließend auf Verwaltungsserver.
  2. Im Detailbereich Maustaste auf MOM-Verwaltungsserver, die Sie konfigurieren möchten, und klicken Sie aufEigenschaften.
  3. Deaktivieren Sie auf der Registerkarte Agentinstallation das Kontrollkästchen Globale Einstellungen verwenden .
  4. Deaktivieren Sie das Kontrollkästchen Neue manuelle Agentinstallationen ablehnen , und klicken Sie dann auf OK.
Nachdem Sie neu konfigurieren der MOM-Verwaltungsserver für das Zulassen manuell installierter Agents, müssen Sie einen commit der Änderung der Konfiguration und starten Sie den MOM-Dienst auf allen MOM-Verwaltungsservern. Gehen Sie folgendermaßen vor, um die Änderung zu übernehmen, starten Sie den MOM-Dienst:
  1. In der MOM-Verwaltungskonsole mit der rechten MaustasteManagement Packsund dann auf Commit Configuration ändern.
  2. Klicken Sie auf MOM-Verwaltungsservern aufStart, klicken Sie auf Ausführen, geben SieServices.msc einund klicken Sie dann aufOK.
  3. Klicken Sie MOM und dann aufneu starten.
Gehen Sie folgendermaßen vor, um den MOM-Agent manuell zu installieren:
  1. Legen Sie auf dem Zielcomputer MOM 2005 Quell-CD in das CD-Laufwerk. Erscheint im Dialogfeld Microsoft Operations Manager 2005-Setupressourcen nicht automatisch, führen Sie das Programm Setup.exe aus der Quell-CD von MOM 2005.
  2. Klicken Sie auf die Registerkarte Manuelle Agentinstallationinstalliert Microsoft Operations Manager 2005-Agent für Microsoft Operations Manager 2005 Agent-Setup-Assistent gestartet.
  3. Klicken Sie zweimal auf Weiter , öffnen Sie das DialogfeldAgent-Konfiguration .
  4. Geben Sie im Textfeld Management Server die IP-Adresse des MOM-Verwaltungsservers. Wenn Sie den DNS-Namen oder den NetBIOS-Namen verwenden, müssen Sie zusätzliche Ports öffnen, die Sicherheit verringern kann. Öffnen von Ports, die nicht in diesem Artikel wird nicht empfohlen.
  5. Klicken Sie unter Agentsteuerungsebeneaufkeine. Die Agentsteuerungsebene aufkeinefestlegen, nicht dem MOM-Verwaltungsserver den Agent oder Agent-Konfiguration aktualisieren. Jedoch kann der Agent Attribut Scans durchführen Regeln herunterladen und Ausführen anderer Aufgaben.
  6. Wenn Sie eine Meldung "Der Management-Server konnte nicht kontaktiert werden" erhalten, klicken Sie auf Weiter.
  7. Klicken Sie im Dialogfeld MOM-Agentaktionskonto klicken Sie auf Lokales System, und klicken Sie aufWeiter.
  8. Klicken Sie im Dialogfeld Active Directory-Konfigurationklicken Sie auf Nein, meine Umgebung passt Folgendesklicken Sie auf Weiterund klicken Sie dann aufInstallieren.
Nachdem der MOM-Agent installiert ist, müssen Sie den MOM-Agent für die manuelle Installation genehmigen. Zu diesem Zweck auf dem MOM-Verwaltungsserver Computer folgendermaßen Sie vor:
  1. In der MOM-Verwaltungskonsole erweitern SieVerwaltung, Computer, und klicken Sie dann auf Ausstehende Aktionen.
  2. Maustaste auf den Computer, und klicken Sie auf Manuelle Agentinstallation jetzt genehmigen.
Für jeden Agent manuell installieren, müssen Sie DNS-Name, Hostname und Vollqualifizierter Serverdomänenname Werte in der Tabelle Computer in der OnePoint-Datenbank ändern. Ändern Sie diese Werte auf dem Computer, auf dem Microsoft SQL Server ausgeführt wird, verwaltet die OnePoint-Datenbank folgendermaßen Sie vor:
  1. Starten Sie SQL Server Enterprise Manager.
  2. Erweitern Sie Microsoft SQL Server\SQL Server-Gruppe\(lokale)(Windows NT)\Datenbanken.
  3. Erweitern Sie OnePoint, und klicken Sie dann aufTabellen.
  4. Tabelle Computer Maustaste, zeigen Sie aufTabelle öffnenund klicken Sie dann auf alle Zeilen zurückgeben.
  5. Suchen Sie den Computernamen des Computers manuell installierten Agents.
  6. Klicken Sie in der SpalteDNSName< NULL > , und geben Sie den DNS-Namen der Domäne des Umkreisnetzwerkes mit dem manuell installierten Agentcomputer. Beispielsweise DMZDOMAIN.COM.
  7. Klicken Sie in der SpalteHostName< NULL > , und geben Sie den FQDN des MOM-Agentcomputer. BeispielsweiseComputer1.DMZ.DOMAIN.COM.
  8. Klicken Sie in der SpalteFQDN< NULL > , und geben Sie den FQDN des MOM-Agentcomputer. Beispielsweise Computer1.DMZ.DOMAIN.COM.
Hinweis Der DNS-Name ist der Active Directory-Name nicht den NetBIOS-Domänennamen, der MOM-Agent-Computer enthält. Hostname und FQDN haben den gleichen Eintrag. Bei eine unzusammenhängende DNS-Namespace Konfiguration konnte der Eintrag andere DNS-Domänensuffix enthalten, die auf der IP-Konfiguration der MOM-Agent-Computer aber nicht auf Active Directory-Domänenmitgliedschaft des Postens abhängt. Ein unzusammenhängender DNS-Namespace ist eine DNS-Infrastruktur, die mindestens zwei DNS-Domänennamen der obersten Ebene enthält. Weitere Informationen zum Konfigurieren der Auflösung für unzusammenhängende Namespaces finden Sie auf der folgenden Microsoft Technet Web Site: Wichtig Wenn die DNS-Name, HostNameund FQDN Posten in der Tabelle Computer nicht korrekt konfiguriert sind, werden viele Regeln mit Skripts in verschiedenen managementpacks wie Active Directory Management Pack nicht ordnungsgemäß ausgeführt. Agents automatisch installiert aufweisen diese Felder. Sie können die vorhandenen Daten so.

Beheben von Verbindungsproblemen

Um Verbindungsproblemen zwischen den MOM-Agent und dem MOM-Verwaltungsserver hinter der Firewall auf dem MOM-Agent-Computer folgendermaßen Sie vor:
  1. Versuchen Sie, Pingen Sie die IP-Adresse des MOM-Verwaltungsservers. Wenn Sie MOM-Verwaltungsserver nicht anpingen können, sicher, dass der Verwaltungsserver verfügbar ist und hinter der Firewall zugreifen kann. Wenn Sie MOM-Verwaltungsserver hinter der Firewall nicht anpingen können, fahren Sie mit Schritt 2 fort.
  2. Versuchen Sie, MOM-Verwaltungsserver Pingen von Computernamen verwenden. Wenn Sie den Namen des MOM-Verwaltungsservers anpingen können, fahren Sie mit Schritt 3 fort. Wenn Sie den Computernamen nicht anpingen können, beachten Sie Folgendes:
    • Wird der MOM-Agent-Computer konfiguriert DNS- oder Windows Internet Name Service (WINS) für Auflösung?
    • Stehen die DNS- und WINS-Server den MOM-Agent-Computer?
    • Wird Auflösung von internen Computer hinter der Firewall durch die Firewall zugelassen?
    Erwägen Sie in der Umkreisnetzwerkdomäne einen DNS- oder WINS-Server, der statische Einträge für den MOM-Agentcomputern auf enthält. Lassen Sie nicht den DNS oder WINS-Server im Umkreisnetzwerk mit Namenservern replizieren, die innerhalb der Firewall. Sie möchten eine Lmhosts-Datei auf dem MOM-Agent-Computer verwenden, um den Hostnamen des MOM-Verwaltungsservers laden.
  3. Verwenden Sie das Programm Telnet.exe zum Port 1270 auf dem MOM-Verwaltungsserver in der MOM-Agent-Computer herstellen. Eine erfolgreiche Telnetsitzung beweist, dass der MOM-Agent auf dem MOM-Verwaltungsserver Daten senden kann. Jedoch zeigt eine Telnet-Verbindung nur TCP-Verbindung. Eine Telnet-Verbindung kann nicht UDP-Konnektivität zu überprüfen.
  4. Wenn der MOM-Verwaltungsserver besagt, dass kein Heartbeat-Informationen vom Client empfangen wurde, ist nicht UDP-Port 1270 geöffnet. Öffnen Sie UDP-Port 1270 in der Firewall.
  5. MOM-Verwaltungsserver den MOM-Agent ping versucht und erhalten eine Antwort nicht, obwohl der Computer verfügbar ist, kann die Firewall Datenverkehr (ICMP = Internet Control Message Protocol) blockiert. Stellen Sie sicher, dass die Firewall nicht konfiguriert, um ICMP-Verkehr blockieren.
Gehen folgendermaßen Sie vor um Verbindungsproblemen auf dem MOM-Verwaltungsserver
  1. Stellen Sie sicher, dass Sie den MOM-Agent-Computer die IP-Adresse anpingen können.
  2. Stellen Sie sicher, dass Sie den MOM-Agent-Computer mit den Hostnamen und den DNS-Namen anpingen können. Wenn Sie den Computernamen des MOM-Agent nicht anpingen können, fehl Skripts, die Auflösung auf, auch wenn den Agent erfolgreich installiert haben.
Wenn die Windows-Firewall auf dem MOM-Agentcomputer aktiviert ist, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
885726 Der Microsoft Operations Manager 2005-Agent wird nicht auf Computern installieren, die Windows XP mit Service Pack 2 (SP2) und Windows Server 2003 mit Service Pack 1 (S885726) ausführen
Microsoft Knowledge Base-Artikel 885726 beschreibt, wie die Firewall der Windows-Firewall Port Datenverkehr zulässt ändern. Der Artikel beschreibt auch auf den MOM-Agent ausführbare Datei enthalten. Standardmäßig Windows Firewall Settings erfolgreiche Installation der MOM 2005-Agents auf Computern mit Microsoft Windows XP mit Service Pack 2 und Microsoft Windows Server 2003 mit Service Pack 1 nicht zulassen, finden Sie in Kapitel 7" : Bereitstellen von MOM 2005 in erweiterten Umgebungen "im MOM 2005-Bereitstellungshandbuch. Zum Anzeigen der MOM 2005-Bereitstellungshandbuch online finden Sie auf der folgenden Microsoft-Website:Weitere Informationen für andere Programme öffnen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
832017 Service-Überblick und Port Anforderungen für Windows Server system