Аннотация

В этой статье описывается установка и управление компьютеров агента Microsoft Operations Manager (MOM) 2005, защищен брандмауэром или в домене без доверия. Может потребоваться установить агент MOM 2005 на компьютере, на котором находится за пределами корпоративного брандмауэра. В некоторых случаях может потребоваться установка агента MOM 2005 на сервере, который находится в демилитаризованной зоне. Защищаемой сети — это сеть, которая существует между двумя сетями. Как правило два других сетей не доверяют друг другу. Локальной сети называется DMZ, демилитаризованной зоной или экранированной подсети.

Дополнительная информация

По умолчанию агент MOM 2005 использует TCP-порт 1270 для отправки данных, например оповещения и события, на сервер управления MOM. Агент MOM использует UDP-порт 1270 для отправки подтверждения сведений на сервер управления MOM. Агент MOM и сервер управления MOM согласовать открытого порта для использования на компьютере агента MOM. Сервер управления MOM использует согласованный порт для отправки агенту правил.

Требования к агенты MOM, которые защищены брандмауэром

Агенты MOM могут взаимодействовать с сервером управления MOM, если компьютер агента MOM находится за брандмауэром. Тем не менее необходимо открыть порт 1270 TCP и UDP-порт 1270. Кроме того необходимо вручную установить и обновить агенты MOM, которые защищены брандмауэром. Если не удается включить доступ к порт 1270 через брандмауэр, необходимо установить группы управления MOM внутри периметра сети. Отдельно можно отслеживать группы управления пограничной сети. Или можно включить оповещения пересылки из группы управления периметра сети к внутренней группы управления MOM, используя порт 1271.You можно использовать программу MOM удаленного средства проверки предварительных требований (MOMNetChk.exe) в диспетчер операций Microsoft Resource Kit для сканирования компьютер для состояния портов, используемых службой MOM и связанных служб. Чтобы получить MOM Resource Kit, посетите следующий веб-узел корпорации Майкрософт:

http://technet.microsoft.com/en-us/opsmgr/bb498240.aspxУдаленная проверка необходимых MOM проводит ряд проверок подключения. Эти тесты включают эхо-тест и проверьте подключение к DNS. Программа также предоставляет сведения о состоянии службы, от которых зависит служба MOM. Эта информация может отображаться в окне отчета или сохранен в файле Momscan.log. Для использования удаленной проверки необходимых MOM, запустите MOMNetChk.exe, введите имя компьютера и нажмите кнопку Запуск сканирования. Если вы хотите сохранить результаты в файл журнала, нажмите кнопку Сохранить в файл журналаи укажите расположение файла. Чтобы просмотреть результаты тестов, выполненных, разверните узлы в левой части окна программы.Примечание. MOMNetChk.exe Утилита тестирует состояние сети и службы компонентов. Он не сообщает об ошибках. Если управляемые компьютеры принадлежат внутреннего домена, выполняются следующие условия:

  • Взаимная проверка подлинности доступна.

  • Подписанных и зашифрованных сообщений доступны.

  • Так что управляемого компьютера могут проходить проверку подлинности в домене управления MOM и связаться с доменом открыты следующие порты:

    • UDP-порт 53 для поддержки динамической регистрации и запросы системы доменных имен (DNS)

    • UDP-порт 88 на поддержку протокола Kerberos

    • UDP-порт 123 для поддержки протокола сетевого времени (NTP)

    • TCP-порт 135 для поддержки вызовов удаленных процедур (RPC)

    • UDP-порт 389 и TCP-порт 389 для Lightweight Directory Access Protocol (LDAP)

    • TCP-порт 445 для поддержки блока сообщений сервера (SMB)

    • Все порты на 1024 для связи RPC, а также для ответа источника динамических портов на компьютере агента MOM.

    Если управляемых компьютеров, входящих в домен пограничной сети, выполняются следующие условия:

    • Если между сервером управления доменом и доменом агент полный отношения доверия службы каталога Active Directory, доступны следующие параметры:

      • Взаимная проверка подлинности

      • Подписанной и зашифрованной переписке

    • Если не существует полного доверительных отношений Active Directory, доступны только подписанной и зашифрованной переписке. Взаимная проверка подлинности не доступен.

Установка агента MOM

Взаимная проверка подлинности на сервере MOM необходимо отключить агент MOM для подключения на сервер управления MOM. Чтобы отключить взаимную проверку подлинности, выполните следующие действия.

  1. Запустите консоль администратора MOM 2005.

  2. Разверните узел Администрированиеи выберитеГлобальные параметры.

  3. Дважды щелкните Безопасность.

  4. На вкладке Безопасность снимите флажокТребуется взаимная проверка подлинности и нажмите кнопкуОК.

Необходимо вручную установить агент MOM. По умолчанию MOM 2005 настроен для отклонения новых установленных вручную агентов для предотвращения несанкционированного автоматическую установку. Такая конфигурация позволяет предотвратить вредоносного или злонамеренного данные отправки на сервер управления MOM. Установка агентов вручную является глобальный параметр, который можно отключить в процессе установки агентов вручную. После установки вручную агенты, которые требуется, настоятельно рекомендуется включить этот параметр для защиты среды MOM. Чтобы изменить глобальный параметр, позволяющий вручную установить агенты для все серверы управления MOM, выполните следующие действия:

  1. В консоли администратора MOM разверните узеладминистрированияи щелкните Глобальные параметры.

  2. В области сведений щелкните правой кнопкой мыши Серверы управленияи выберите команду Свойства.

  3. На вкладке « Установка агента » снимите флажок Отклонить новые установки агентов вручную и нажмите кнопку ОК.

Чтобы изменить этот параметр, чтобы разрешить установленных вручную агентов на один сервер управления MOM, выполните следующие действия:

  1. В консоли администратора MOM разверните узеладминистрирования, разверните узел компьютерыи выберите Серверы управления.

  2. В области сведений щелкните правой кнопкой мыши сервер управления MOM, который требуется настроить и выберите командуСвойства.

  3. На вкладке Установка агента нажмите кнопку снимите флажок использовать глобальные параметры .

  4. Снимите флажок Отклонить новые установки агентов вручную , а затем нажмите кнопку ОК.

После перенастройки сервер управления MOM, чтобы вручную установить агенты, необходимо зафиксировать изменения конфигурации, а затем перезапустите службу MOM на все серверы управления MOM. Чтобы зафиксировать изменения и затем перезапустите службу MOM, выполните следующие действия.

  1. В консоли администратора MOMПакеты управлениящелкните правой кнопкой и выберите команду Завершить изменение конфигурации.

  2. На серверы управления MOM нажмите кнопкуПуск, выберите пункт выполнить, введитеservices.mscи нажмите кнопкуОК.

  3. Щелкните правой кнопкой мыши службу MOM и выберите командуперезапустить.

Чтобы вручную установить агент MOM, выполните следующие действия.

  1. На конечном компьютере вставьте компакт-ДИСК MOM 2005 исходный компакт-диск. Если диалоговое окно Microsoft Operations Manager 2005 ресурсы программы установки не отображается автоматически, запустите программу Setup.exe с компакт-диска источника MOM 2005.

  2. На вкладке Установка агента вручную нажмите кнопкуустановить Microsoft Operations Manager 2005 агент для запуска мастера установки агента Microsoft Operations Manager 2005.

  3. Дважды нажмите кнопку Далее , чтобы открыть диалоговое окноКонфигурации агента .

  4. В поле Сервер управления укажите IP-адрес сервера управления MOM. При использовании DNS-имя или NetBIOS-имя, необходимо открыть дополнительные порты, может привести к снижению безопасности сети. Не рекомендуется открывать порты, которые не перечислены в данной статье.

  5. Уровень управления агентавыберитеНет. Установив Уровень управления агентаНет, сервер управления MOM невозможно обновить агент или обновления конфигурации агента. Тем не менее агент может выполнять сканирование атрибут, загрузить правила и выполнять другие задачи.

  6. Если сообщение об ошибке «управление может не удается связаться с сервером», нажмите кнопку Продолжить.

  7. В диалоговом окне Учетная запись действия агента MOM щелкните Локальная системаи нажмите кнопкуДалее.

  8. В диалоговом окне Конфигурации Active Directoryнажмите кнопку Нет, моя среда соответствует одному из следующих условий, нажмите кнопку Далееи выберите командуустановить.

После установки агента MOM необходимо утвердить агент MOM для установки вручную. Чтобы сделать это, выполните следующие действия на компьютере сервера управления MOM.

  1. В консоли администратора MOM разверните узеладминистрирования, разверните узел компьютерыи выберите команду Отложенные действия.

  2. Щелкните правой кнопкой мыши компьютер и нажмите кнопку Утвердить вручную агент установки.

Для каждого агента, можно установить вручную необходимо изменить имя, имя узла и полное доменное имя (FQDN) значения в таблице компьютера в базе данных OnePoint диспетчера DNS. Чтобы изменить эти значения, выполните следующие действия на компьютере под управлением Microsoft SQL Server, который управляет базой данных OnePoint диспетчера.

  1. Запуск SQL Server Enterprise Manager.

  2. Разверните узлы Microsoft SQL Servers\Группы SQL Server\(локальный)(Windows NT)\баз данных.

  3. Раскройте OnePoint диспетчераи выберитетаблицы.

  4. Щелкните правой кнопкой мыши таблицу компьютеров пунктыОткрыть таблицуи возвратить все строки.

  5. Найти имя компьютера вручную установлен агент.

  6. Щелкните значение в столбцеDNSName< NULL > , а затем введите DNS-имя домена сети периметра, содержащую компьютер, установленных вручную агентов. Например введите DMZDOMAIN.COM.

  7. Щелкните значение в столбцеимя узла< NULL > , а затем введите полное доменное имя компьютера агента MOM. Например введитеComputer1.DMZ.DOMAIN.COM.

  8. Щелкните значение в столбцеполное доменное имя< NULL > , а затем введите полное доменное имя компьютера агента MOM. Например введите Computer1.DMZ.DOMAIN.COM.

Примечание. DNS-имя — это имя службы каталогов Active Directory, не NetBIOS-имя домена, содержащего компьютер агента MOM. Полное доменное имя и имя узла будет иметь ту же запись. При использовании несвязного пространства имен конфигурации DNS запись может содержать различные DNS-суффикс домена, зависит от конфигурации IP компьютера агента MOM, но не на членство в домене AD операции. Несвязного пространства имен DNS является инфраструктуру DNS, которая включает в себя два или более верхнего уровня доменные имена DNS. Дополнительные сведения о настройке разрешения имен для несвязных пространствах имен посетите следующий узел Microsoft Technet Web:

http://technet2.microsoft.com/WindowsServer/en/library/5b07f51d-46d4-4e15-b0dd-1d994c7035e61033.mspx?mfr=trueВнимание! Если DNSName, имя хостаи полное доменное имя записи в таблице компьютера настроены неправильно, многие правила, использующие сценарии в различных пакетах управления, например пакета управления Active Directory, не будет выполняться правильно. Агенты, которые устанавливаются автоматически уже имеют эти поля заполнены. В качестве примера можно использовать существующие данные.

Устранение неполадок подключения

Для решения проблем подключения между агентом и сервером управления MOM за брандмауэром, выполните следующие действия на компьютере агента MOM.

  1. Попробуйте выполнить команду ping IP-адрес сервера управления MOM. Если не удается выполнить команду ping сервер управления MOM, убедитесь, что сервер управления MOM и что доступ к ресурсам за брандмауэром. Если сервер управления MOM за брандмауэром успешно выполнить команду ping, перейдите к шагу 2.

  2. Попробуйте выполнить команду ping сервер управления MOM, используя имя компьютера. Если выполнить команду ping для имени компьютера сервера управления MOM, перейдите к шагу 3. Если имя компьютера не отвечает, рассмотрите следующие возможности:

    • Компьютер агента MOM настроен на использование DNS или Windows Internet Name Service (WINS) для разрешения имен?

    • Будут доступны на компьютере агента MOM серверов DNS и WINS.

    • Такое разрешение имен внутренних компьютеров, которые находятся за брандмауэром, разрешенных через брандмауэр?

    В домене пограничной сети рассмотрите возможность установки серверов DNS и WINS, содержащий статические записи компьютеров агентов MOM для ссылки. Нельзя допускать DNS или WINS-сервера в защищаемой сети репликацию данных с серверами имен, которые находятся внутри брандмауэра. Может потребоваться использование файла Lmhosts на компьютере агента MOM для предварительной загрузки имя узла сервера управления MOM.

  3. Попробуйте использовать программу Telnet.exe подключиться с компьютера агента MOM на порт 1270 на сервер управления MOM. Сеанс telnet успешно доказывает, что агент MOM можно отправить данные на сервер управления MOM. Тем не менее telnet-подключения подтверждает только подключения TCP. Telnet-подключения не удается проверить подключение UDP.

  4. Если сервер управления MOM указывается, что информация пульса не было получено от клиента, UDP-порт 1270 не открыт. Откройте UDP-порт 1270 в брандмауэре.

  5. Если сервер управления MOM пытается опросить агент MOM и не получил ответа, даже если компьютер доступен, брандмауэр блокирует трафик сообщений протокола ICMP (Internet Control). Убедитесь, что брандмауэр настроен для блокирования ICMP-трафика.

Для решения проблем подключения на сервер управления MOM, выполните следующие действия.

  1. Убедитесь, что вы может успешно выполнить команду ping IP-адрес компьютера агента MOM.

  2. Убедитесь в том, что выполнить команду ping для компьютера агента MOM, используя имя узла и имя DNS. Если вам не удается успешно выполнить команду ping имя компьютера агента MOM, сценарии, зависящие от разрешения имен потерпит неудачу, даже если установлен агент.

Если брандмауэр Windows включен на компьютере агента MOM, обратитесь к следующей статье Microsoft Knowledge Base:

885726 Агент Microsoft Operations Manager 2005 не устанавливается на компьютеры под управлением Windows XP Пакет обновления 2 (SP2) и Windows Server 2003 Пакет обновления 1 (S885726)В статье 885726 базы знаний Майкрософт описывается, как изменить параметры брандмауэра Windows, чтобы разрешить трафик порта. В статье также описывается, как включить исполняемый объект агента MOM. По умолчанию параметры брандмауэра Windows не разрешать установку успешных извещающих агента MOM 2005 на компьютерах под управлением Microsoft Windows XP с Пакет обновления 2 и Windows Server 2003 с Пакет обновления 1. для получения дополнительных сведений, содержатся в главе 7 « : Развертывание MOM 2005 в расширенный сред» в Руководстве по развертыванию MOM 2005. Для просмотра Руководства по развертыванию MOM 2005 через Интернет, посетите следующий веб-узел корпорации Майкрософт:

http://technet.microsoft.com/en-us/library/cc180673.aspxДополнительные сведения о том, как открыть порты брандмауэра для различных программ щелкните следующий номер статьи базы знаний Майкрософт:

832017 Общие сведения о службе и требования к сетевым портам в системе Windows Server

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×