Comment faire pour installer et gérer les ordinateurs de l’agent Microsoft Operations Manager 2005 qui sont derrière un pare-feu ou dans un domaine non approuvé

Résumé

Cet article explique comment installer et gérer des ordinateurs de l’agent Microsoft Operations Manager (MOM) 2005 qui sont derrière un pare-feu ou dans un domaine non approuvé. Voulez-vous installer l’agent MOM 2005 sur un ordinateur qui est au-delà de votre pare-feu d’entreprise. Dans certains cas, vous souhaiterez peut-être installer l’agent MOM 2005 sur un serveur qui se trouve dans un réseau de périmètre. Un réseau de périmètre est un réseau qui existe entre les deux autres réseaux. En général, les deux autres réseaux n’approuvent pas mutuellement. Un réseau de périmètre est également appelé une DMZ, zone démilitarisée ou sous-réseau filtré.

Informations supplémentaires

Par défaut, l’agent MOM 2005 utilise le port TCP 1270 pour envoyer des informations sur les données, comme les alertes et les événements, au serveur d’administration MOM. L’agent MOM utilise le port UDP 1270 pour envoyer des informations de pulsation au serveur d’administration MOM. L’agent MOM et le serveur d’administration MOM négocient un port ouvert à utiliser sur l’ordinateur de l’agent MOM. Le serveur d’administration MOM utilise le port négocié à envoyer des règles à l’agent.

Configuration requise pour les agents MOM qui se trouvent derrière un pare-feu

Les agents MOM peuvent communiquer avec le serveur d’administration MOM si l’ordinateur de l’agent MOM situé derrière un pare-feu. Toutefois, vous devez ouvrir le port TCP 1270 et le port UDP 1270. En outre, vous devez installer manuellement et mettre à jour les agents MOM qui se trouvent derrière un pare-feu. Si vous ne pouvez pas activer l’accès au port 1270, à travers le pare-feu, vous devez installer un groupe d’administration MOM à l’intérieur du réseau de périmètre. Vous pouvez contrôler séparément de groupe d’administration de réseau de périmètre. Ou bien, vous pouvez activer l’alerte transfert à partir du groupe de gestion de réseau de périmètre vers le groupe d’administration MOM interne à l’aide du port 1271.You pouvez utiliser l’utilitaire Vérificateur de configuration à distance MOM (MOMNetChk.exe) dans le Kit de ressources Microsoft Operations Manager pour analyser un ordinateur pour l’état des ports qui sont utilisés par le service MOM et les services connexes. Pour obtenir le Kit de ressources de MOM, visitez le site Web de Microsoft à l’adresse suivante :

http://technet.microsoft.com/en-us/opsmgr/bb498240.aspxLe vérificateur de configuration distant effectue une série de tests de connectivité. Ces tests incluent un test ping et le test de connectivité DNS. L’utilitaire fournit également des informations sur l’état des services dont dépend le service MOM. Ces informations peuvent s’afficher dans une fenêtre de rapport ou enregistrées dans le fichier Momscan.log. Pour utiliser le vérificateur de configuration à distance, démarrer MOMNetChk.exe, entrez le nom de l’ordinateur, puis cliquez sur Exécuter l’analyse. Si vous souhaitez enregistrer les résultats dans un fichier journal, cliquez sur Enregistrer dans le fichier journal, puis spécifiez l’emplacement du fichier. Pour afficher les résultats des tests qui ont été exécutés, développez les nœuds dans le volet gauche de la fenêtre de l’utilitaire.Remarque L’utilitaire MOMNetChk.exe vérifie l’état du réseau et des composants de service. Il ne signale pas les erreurs spécifiques. Si les ordinateurs gérés appartiennent au domaine interne, les conditions suivantes sont remplies :

  • L’authentification mutuelle est disponible.

  • Communications signées et cryptées sont disponibles.

  • Les ports suivants sont ouverts pour que l’ordinateur géré peut authentifier le domaine de gestion de MOM et communiquer avec le domaine :

    • Port UDP 53 pour prendre en charge les requêtes de nom de domaine (DNS) et les inscriptions dynamiques

    • Port UDP 88 pour prendre en charge de Kerberos

    • Port UDP 123 pour prendre en charge le protocole NTP (Network Time)

    • Port TCP 135 pour prendre en charge les appels de procédure distante (RPC)

    • Le port UDP 389 et port TCP 389 pour prendre en charge le Lightweight Directory Access Protocol (LDAP)

    • Port TCP 445 pour prendre en charge de bloc de message serveur (SMB)

    • Tous les ports sur 1024 pour la communication RPC et pour la réponse aux ports source dynamique sur l’ordinateur de l’agent MOM.

    Si les ordinateurs gérés appartiennent à un domaine de réseau de périmètre, les conditions suivantes sont remplies :

    • S’il existe une relation d’approbation du service d’annuaire Active Directory complet entre le domaine du serveur d’administration et le domaine de l’agent, les options suivantes sont disponibles :

      • Authentification mutuelle

      • Communications signées et cryptées

    • Si une relation d’approbation complète Active Directory n’existe pas, seules les communications signées et cryptées sont disponibles. L’authentification mutuelle n’est pas disponible.

Comment faire pour installer l’agent MOM

Vous devez désactiver l’authentification mutuelle sur le serveur MOM afin que l’agent MOM peut se connecter au serveur d’administration MOM. Pour désactiver l’authentification mutuelle, procédez comme suit :

  1. Démarrez la console Administrateur MOM 2005.

  2. Développez Administration, puis cliquez surParamètres globaux.

  3. Double-cliquez sur sécurité.

  4. Sous l’onglet sécurité , désactivez la case à cocherauthentification mutuelle requise , puis cliquez surOK.

Vous devez installer manuellement l’agent MOM. Par défaut, MOM 2005 est configuré pour rejeter les nouvelles installé manuellement des agents afin d’empêcher l’installation automatique des agents non autorisés. Cette configuration permet d’empêcher que les données dangereuses ou malveillantes envoyé vers le serveur d’administration MOM. Installation de l’agent manuel est un paramètre global qui vous pouvez désactiver au cours de la procédure d’installation manuelle de l’agent. Après avoir installé manuellement les agents que vous le souhaitez, nous vous recommandons vivement d’activer ce paramètre aider à protéger votre environnement MOM. Pour modifier le paramètre global pour autoriser manuellement des agents pour tous les serveurs d’administration MOM installés, procédez comme suit :

  1. Dans la console Administrateur MOM, développezAdministration, puis cliquez sur Paramètres globaux.

  2. Dans le volet de détails, cliquez sur Serveurs d’administrationet puis cliquez sur Propriétés.

  3. Sous l’onglet Installation des agents , désactivez la case à cocher Rejeter les nouvelles installations manuelles d’agents , puis cliquez sur OK.

Pour modifier le paramètre pour autoriser les agents installés manuellement sur un seul serveur d’administration MOM, procédez comme suit :

  1. Dans la console Administrateur MOM, développezAdministration, ordinateurs, puis cliquez sur Serveurs d’administration.

  2. Dans le volet d’informations, cliquez droit sur le serveur d’administration MOM que vous souhaitez configurer, puis cliquez surPropriétés.

  3. Sous l’onglet Installation des agents , désactivez la case à cocher utiliser les paramètres globaux .

  4. Désactivez la case à cocher Rejeter les nouvelles installations manuelles d’agents , puis cliquez sur OK.

Une fois que vous reconfigurez le serveur d’administration MOM pour autoriser manuellement les agents installés, vous devez valider la modification de la configuration et puis redémarrez le service MOM sur tous les serveurs d’administration MOM. Pour valider la modification, puis redémarrez le service MOM, procédez comme suit :

  1. Dans la console Administrateur MOM, cliquez surPacks d’administration, puis cliquez sur Valider la modification de Configuration.

  2. Sur les serveurs d’administration MOM, cliquez surDémarrer, sur exécuter, tapezservices.msc, puis cliquez surOK.

  3. Le service MOM d’avec le bouton droit, puis cliquez surredémarrer.

Pour installer manuellement l’agent MOM, procédez comme suit :

  1. Sur l’ordinateur de destination, insérez le CD-ROM source de MOM 2005 dans le lecteur de CD. Si la boîte de dialogue de Ressources d’installation de Microsoft Operations Manager 2005 ne s’affiche pas automatiquement, exécutez le programme Setup.exe à partir du CD-ROM source de MOM 2005.

  2. Sous l’onglet Installation manuelle d’un Agent , cliquez surAgent d’installation de Microsoft Operations Manager 2005 pour démarrer l’Assistant Installation de l’Agent Microsoft Operations Manager 2005.

  3. Cliquez sur suivant deux fois pour ouvrir la boîte de dialogueConfiguration de l’Agent .

  4. Dans la zone de texte Serveur d’administration , spécifiez l’adresse IP du serveur d’administration MOM. Si vous utilisez le nom DNS ou le nom NetBIOS, vous devez ouvrir des ports supplémentaires susceptibles de réduire la sécurité du réseau. Nous ne recommandons pas l’ouverture des ports qui ne sont pas répertoriés dans cet article.

  5. Sous Niveau de contrôle de l’Agent, cliquez surAucun. En définissant le Niveau de contrôleAucun, le serveur d’administration MOM ne peut pas mettre à niveau l’agent ou effectuer des mises à jour de configuration de l’agent. Toutefois, l’agent peut effectuer des analyses de l’attribut, télécharger des règles et effectuer d’autres tâches.

  6. Si vous recevez un message « La gestion serveur pas pu être contacté », cliquez sur Continuer.

  7. Dans la boîte de dialogue Compte Action d’Agent MOM , cliquez sur le Système Local, puis cliquez sursuivant.

  8. Dans la boîte de dialogue Configuration d’Active Directory, cliquez sur non, mon environnement caractérise une des conditions suivantes, cliquez sur suivant, puis cliquez surinstaller.

Une fois que l’agent MOM est installé, vous devez approuver l’agent MOM pour une installation manuelle. Pour ce faire, procédez comme suit sur l’ordinateur serveur d’administration MOM :

  1. Dans la console Administrateur MOM, développezAdministration, ordinateurs, puis cliquez sur Actions en attente.

  2. Cliquez sur l’ordinateur, puis cliquez sur Approuver l’Installation manuelle d’un Agent maintenant.

Pour chaque agent installé manuellement, vous devez modifier le nom DNS, nom d’hôte et domaine complet des valeurs de nom (nom de domaine complet) de la table de l’ordinateur dans la base de données OnePoint. Pour modifier ces valeurs, procédez comme suit sur l’ordinateur qui exécute Microsoft SQL Server et qui gère la base de données OnePoint :

  1. Démarrez SQL Server Enterprise Manager.

  2. Développez Microsoft SQL Servers\SQL Server groupe\(local)(Windows NT)\bases de données.

  3. Développez OnePoint, puis cliquez surTables.

  4. Avec le bouton droit de la table de l’ordinateur , pointez surOuvrir une Table, puis cliquez sur renvoyer toutes les lignes.

  5. Trouver le nom de l’ordinateur de l’ordinateur de l’agent installé manuellement.

  6. Cliquez sur la valeur < NULL > dans la colonneNomDNS et tapez le nom DNS du domaine de réseau de périmètre qui contient l’ordinateur de l’agent installé manuellement. Par exemple, tapez DMZDOMAIN.COM.

  7. Cliquez sur la valeur < NULL > dans la colonnenom de l’hôte , puis tapez le nom de domaine complet de l’ordinateur de l’agent MOM. Par exemple, tapezComputer1.DMZ.DOMAIN.COM.

  8. Cliquez sur la valeur < NULL > dans la colonne denom de domaine complet et tapez le nom de domaine complet de l’ordinateur de l’agent MOM. Par exemple, tapez Computer1.DMZ.DOMAIN.COM.

Remarque Le nom DNS est le nom de Active Directory, pas le nom de domaine NetBIOS qui contient l’ordinateur de l’agent MOM. Le nom d’hôte et le nom de domaine complet aura la même entrée. Si une configuration d’espace de noms DNS disjoint est utilisée, l’entrée peut contenir un suffixe de domaine DNS différent qui dépend de la configuration IP de l’ordinateur de l’agent MOM, mais pas sur l’appartenance de domaine Active Directory de l’entrée. Un espace de noms DNS disjoint est une infrastructure DNS comprend deux ou plusieurs noms de domaine DNS niveau supérieur. Pour plus d’informations sur la façon de configurer la résolution de noms pour les espaces de noms disjoints, visitez le site Web Microsoft Technet suivant :

http://technet2.microsoft.com/WindowsServer/en/library/5b07f51d-46d4-4e15-b0dd-1d994c7035e61033.mspx?mfr=trueImportant Si les entrées NomDNS, nom d’hôteet nom de domaine complet dans la table de l’ordinateur ne sont pas configurées correctement, de nombreuses règles qui utilisent des scripts dans plusieurs packs d’administration, telles que Active Directory Management Pack ne fonctionnera pas correctement. Les agents sont installés automatiquement déjà ont ces champs sont renseignés. Vous pouvez utiliser les données existantes par exemple.

Comment faire pour résoudre les problèmes de connectivité

Pour résoudre les problèmes de connexion entre l’agent MOM et le serveur d’administration MOM derrière le pare-feu, procédez comme suit sur l’ordinateur de l’agent MOM :

  1. Essayez d’exécuter la commande ping l’adresse IP du serveur d’administration MOM. Si vous ne pouvez pas tester le serveur d’administration MOM, assurez-vous que le serveur d’administration MOM est disponible et que vous pouvez accéder à ressources derrière le pare-feu. Si vous pouvez correctement ping sur le serveur d’administration MOM derrière le pare-feu, passez à l’étape 2.

  2. Essayez d’exécuter la commande ping du serveur d’administration MOM en utilisant le nom de l’ordinateur. Si vous pouvez tester le nom d’ordinateur du serveur d’administration MOM, passez à l’étape 3. Si vous ne pouvez pas tester le nom d’ordinateur, considérez les possibilités suivantes :

    • L’agent MOM est configuré pour utiliser DNS ou le Service de nom Internet Windows (WINS) pour la résolution de nom ?

    • Les serveurs DNS et WINS ne sont disponibles que sur l’ordinateur de l’agent MOM ?

    • Résolution de noms des ordinateurs qui se trouvent derrière le pare-feu autorisé à traverser le pare-feu internes

    Dans le domaine de réseau de périmètre, envisagez l’installation d’un serveur DNS ou WINS qui contient des entrées statiques pour les ordinateurs de l’agent MOM pour faire référence à. Ne laissez pas le serveur DNS ou WINS dans le réseau de périmètre répliquer des informations avec les serveurs de noms qui sont à l’intérieur du pare-feu. Voulez-vous utiliser un fichier Lmhosts sur l’ordinateur de l’agent MOM pour précharger le nom d’hôte du serveur d’administration MOM.

  3. Essayez d’utiliser le programme Telnet.exe pour se connecter à partir de l’ordinateur de l’agent MOM au port 1270 sur le serveur d’administration MOM. Une session telnet réussi prouve que l’agent MOM puisse envoyer des données au serveur d’administration MOM. Toutefois, une connexion telnet s’avère seule une connectivité TCP. Une connexion telnet ne peut pas vérifier la connectivité UDP.

  4. Si le serveur d’administration MOM indique qu’aucune information de pulsation n’a été reçue à partir du client, le port UDP 1270 n’est pas ouvert. Ouvrir le port UDP 1270 sur le pare-feu.

  5. Si le serveur d’administration MOM tente d’exécuter la commande ping l’agent MOM et ne reçoit pas de réponse, même si l’ordinateur est disponible, le pare-feu peut bloquer le trafic de contrôle Message ICMP (Internet Protocol). Assurez-vous que le pare-feu n’est pas configuré pour bloquer le trafic ICMP.

Pour résoudre les problèmes de connectivité sur le serveur d’administration MOM, procédez comme suit :

  1. Assurez-vous que vous pouvez envoyer une requête ping l’adresse IP de l’ordinateur de l’agent MOM.

  2. Assurez-vous que vous pouvez tester l’ordinateur de l’agent MOM à l’aide du nom d’hôte et le nom DNS. Si vous ne peut pas envoyer une requête ping le nom de l’ordinateur de l’agent MOM, les scripts qui reposent sur la résolution de nom échouera, même si vous avez correctement installé l’agent.

Si le pare-feu Windows est activé sur l’ordinateur de l’agent MOM, consultez l’article suivant dans la Base de connaissances Microsoft :

885726 L’agent Microsoft Operations Manager 2005 ne s’installe pas sur les ordinateurs qui exécutent Windows XP avec Service Pack 2 (SP2) et Windows Server 2003 avec Service Pack 1 (S885726)Base de connaissances Microsoft, article 885726 décrit comment modifier les paramètres du pare-feu Windows pour autoriser le trafic du port du pare-feu. L’article décrit également comment inclure l’exécutable de l’agent MOM. Par défaut, les paramètres du pare-feu Windows ne permettent pas d’installation de type Pousser réussies de l’agent MOM 2005 sur les ordinateurs qui exécutent Microsoft Windows XP avec Service Pack 2 et Microsoft Windows Server 2003 avec Service Pack 1 pour plus d’informations, voir le chapitre 7 « : Déploiement de MOM 2005 dans avancée des environnements » dans le Guide de déploiement de MOM 2005. Pour afficher le Guide de déploiement de MOM 2005 en ligne, visitez le site Web de Microsoft à l’adresse suivante :

http://technet.microsoft.com/en-us/library/cc180673.aspxPour plus d’informations sur l’ouverture des ports de pare-feu pour différents programmes, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

832017 Présentation de service et la configuration des ports pour le système Windows Server en réseau

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×