На главную страницу
 
  Главная 
  Новости 
  Статьи  RSS
  Программное обеспечение 
  Форум 
  Опросы 
  Полезные ссылки 
MSExchange.ru ISADocs.ru WinSecurity.ru NetDocs.ru

Exchange 5.5
Exchange 2000
Exchange 2003
Exchange 2007
Общее
Exchange 2010

Поиск по сайту


Авторизация

Запомнить меня на этом компьютере
  Забыли свой пароль?
  Регистрация

Подписка

Изменение параметров

Статистика

Hits 2084960
10404
Hosts 1617569
2269
Visitors 166650
2764

10

Главная / Статьи / Exchange 2007 / Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)


Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Версия для печати Версия для печати

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 1).

Установка агента на сервере Edge Server

Сервер Edge Transport можно установить в качестве отдельного сервера или в качестве члена домена Active Directory (для информации о преимуществах и недостатках каждой конфигурации сморите статью Deployment Options for Edge Transport Servers).

Если вы помните топологию из первой части, я решил установить Edge Server в качестве отдельного сервера (рабочей группы). Это означает, что аутентификация на сервере Operations Manager будет происходить с помощью сертификатов, поскольку агент в рабочей группе не может аутентифицироваться на сервере управления в домене, используя протокол Kerberos.

Рисунок 1: Аутентификация с помощью сертификата Рисунок 1: Аутентификация с помощью сертификата

В этом сценарии агента нужно установить вручную. Хотя установка агента доступна с носителя установки Operations Manager, мы воспользуемся исполняемыми файлами с сервера Management Server, так как необходимые исправления там уже есть.

  1. На сервере Edge перейдите к папке, куда вы устанавливали исполняемый файл OpsMgr на сервере управления. В моем случае это была папка \\OpsMgr\D$\Program Files\System Center Operations Manager 2007\ AgentManagement\AMD64\ (рисунок 2). Дважды нажмите на MOMAgent.msi чтобы инициировать процесс установки (рисунок 3). Нажмите Далее.
Рисунок 2: Исполняемые файлы установки Рисунок 2: Исполняемые файлы установки
Рисунок 3: Установка агента Operations Manager Рисунок 3: Установка агента Operations Manager
  1. В окне Место установки (рисунок 4) примите путь установки по умолчанию и нажмите Далее. В следующем окне (рисунок 5) нажмите Далее, чтобы указать информацию группы управления (Management Group).
Рисунок 4: Папка установки агента Рисунок 4: Папка установки агента
Рисунок 5: Установка агента: настройка группы управления Рисунок 5: Установка агента: настройка группы управления
  1. В окне Конфигурация группы управления (рисунок 6), укажите Имя группы управления (Management Group Name), Сервер управления (Management Server) и Порт сервера управления (Management Server Port). Нажмите Далее.
Рисунок 6: Установка агента: конфигурация группы управления (продолжение) Рисунок 6: Установка агента: конфигурация группы управления (продолжение)
  1. В окне Учетная запись действия агента (Agent Action Account) (рисунок 7) выберите Local System и нажмите Далее. Просмотрите обзор (рисунок 8), нажмите Установить, а затем Готово (рисунок 9).
Рисунок 7: Установка агента: учетная запись действия агента Рисунок 7: Установка агента: учетная запись действия агента
Рисунок 8: Установка агента: готов к установке Рисунок 8: Установка агента: готов к установке
Рисунок 9: Установка агента: завершение Рисунок 9: Установка агента: завершение
  1. Вернитесь обратно в папку, куда устанавливали OpsMgr на сервере управления (\\OpsMgr\D$\Program Files\System Center Operations Manager 2007\AgentManagement\AMD64\) и выполните любое имеющееся там исправление (в моем случае было лишь Q950853-x64.msp).

После этих шагов агент будет установлен, но он не сможет взаимодействовать с сервером управления, так как ему еще не присвоен сертификат.

Выполните следующие шаги на обоих компьютерах, содержащих агента и сервер управления, используя один и тот же центр сертификации (ЦС) для каждого:

  • Запросите сертификаты с ЦС
  • Примите запрос сертификата на ЦС
  • Установите одобренные сертификаты в хранилища сертификатов компьютеров
  • Используйте инструмент MOMCertImport для настройки Operations Manager 2007

Можно использовать личный ЦС, не обязательно покупать публичные сертификаты. В зависимости от типа внутреннего ЦС, который вы используете ‘ Enterprise или Standalone ‘ процедуры издания требуемых сертификатов будут немного различаться. Разница состоит в шаблонах, нужных для сертификата: отдельный ЦС (Stand-Alone CA) позволит указать OID для типа требуемого сертификата, а производственный (Enterprise) ЦС имеет хорошо определенный шаблон, который можно использовать. Вот почему для Enterprise CA нам нужно создавать и включать новый шаблон сертификата.

ЗАМЕТКА: для создания и включения необходимого шаблона нужно использовать службу сертификатов Windows Certificate Service на сервере версии Windows Server Enterprise Edition. Если у вас нет версии Enterprise Edition, я советую вам установить новый отдельный ЦС.

Поскольку на моем контроллере домена уже установлен Stand-Alone CA, я опишу шаги по установке такого типа ЦС. Если вам интересно использование Enterprise CA, прочтите руководство Operations Manager 2007 Security Guide.

Выполните эти шаги на сервере Edge и сервере OpsMgr (обоим требуется сертификат):

  1. Запустите Internet Explorer и подключитесь к компьютеру, содержащему Certificate Services (Ошибка! Ссылка недействительна.). На странице Microsoft Certificate Services Welcome нажмите Запросить сертификат. На странице запроса сертификата нажмите Или предоставить расширенный запрос сертификата (Or, submit an advanced certificate request). На странице расширенного запроса сертификата нажмите Создать или предоставить запрос на этот ЦС (Create and submit a request to this CA).
  2. На странице Расширенный запрос сертификата (Advanced Certificate Request) (рисунок 10), выполните следующее: a) В Идентификационной информации (Identifying Information), в поле Имя введите требуемое полное имя (FQDN) компьютера, для которого вы запрашиваете сертификат. (Отчет об ошибке Event ID 20052 генерируется, если FQDN, введенное в поле Имя, не совпадает с именем компьютера). b) В закладке Тип нужного сертификата (Type of Certificate Needed) нажмите на списке и выберите Другой. В поле OID введите 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 c) В Опции ключа (Key Options) выберите Создать новый набор ключа (Create a new key set); в поле CSP выберите Microsoft Enhanced Cryptographic Provider v1.0; оставьте остальные опции по умолчанию (Key Usage:Both, Key Size:1024, Automatic key container name). Выберите Отмечать ключи, как экспортируемые (Mark keys as exportable), отчистите Экспортировать ключи в файл (Export keys to file), отчистите Включить строгую защиту частных ключей (Enable strong private key protection), а затем выберите Хранить сертификат в хранилище сертификатов локального компьютера (Store certificate in the local computer certificate store). d) В дополнительных опциях (Additional Options), в поле Дружественное имя (Friendly Name) введите FQDN компьютера, для которого запрашиваете сертификат и нажмите Предоставить (Submit). Если возникнет диалоговое окно о потенциальном нарушении безопасности (Potential Security Violation), нажмите Yes. e) Когда появится страница Certificate Pending, закройте обозреватель.
Рисунок 10: Запрос сертификата онлайн Рисунок 10: Запрос сертификата онлайн
  1. Для одобрения ждущего запроса сертификата войдите на компьютер, содержащий службу сертификации (Certificate Services) в качестве администратора и откройте консоль администрирования центров сертификации (Certification Authority). Разверните вкладку имени вашего ЦС, а затем нажмите на Ждущие запросы (Pending Requests). В появившейся панели правой клавишей нажмите на ждущем запросе с предыдущей процедуры, наведите курсор на Все задачи и выберите Издать (Issue).
  2. Для получения сертификата войдите на компьютер, на который устанавливаете сертификат (и с которого вы выполняли запрос). Запустите обозреватель Internet Explorer и подключитесь к компьютеру со службой Certificate Services (http:///certsrv). a) На странице приветствия Microsoft Certificate Services Welcome нажмите Показать статус ожидающего запроса сертификата (View the status of a pending certificate request). b) На странице Просмотр статуса ожидающего запроса сертификата нажмите на сертификате, который запрашивали. c) На странице Сертификат издан (Certificate Issued) нажмите Установить этот сертификат. В диалоговом окне Потенциальное нарушение безопасности выберите Да (Yes). d) На странице Сертификат установлен (Certificate Installed) после того, как увидите сообщение Ваш новый сертификат был успешно установлен, закройте обозреватель.
  3. Поскольку оба сервера должны доверять ЦС, выпустившему сертификаты, нам необходимо импортировать сертификат ЦС на обе машины (Edge и OpsMgr). Запустите обозреватель Internet Explorer и подключитесь к компьютеру со службой сертификации Certificate Services (http:///certsrv). a) На странице приветствия нажмите Загрузить ЦС сертификат, цепь сертификатов или CRL (Download a CA Certificate, certificate chain, or CRL). b) На странице Download a CA Certificate, Certificate Chain, or CRL выберите Загрузить цепь ЦС сертификатов. c) В диалоговом окне Загрузка файла нажмите Сохранить, укажите имя файла (.P7B), а затем снова нажмите Сохранить. Закройте обозреватель.
  4. Выполните MMC и добавьте оснастку Сертификаты (в диалоговом окне оснастки сертификатов выберите для учетной записи компьютера, а затем нажмите Далее. Убедитесь, что выбран Локальный компьютер и нажмите Завершить). Разверните Сертификаты (локальный компьютер), разверните Доверенные корневые центры сертификации (Trusted Root Certification Authorities), правой клавишей нажмите Сертификаты, выберите Все задачи и нажмите Импортировать. Найдите место, в которое вы сохранили файл .P7B и импортируйте сертификат.
  5. Для импортирования сертификата используйте MOMCertImport, перейдите к папке, где находятся исполняемые файлы установки Operations Manager 2007. Утилита MOMCertImport расположена в \SupportTools\i386 (для 64-разрядных компьютеров \SupportTools\amd64). Выполните следующую команду: MOMCertImport /SubjectName

(Можно также экспортировать ранее изданный сертификат в .PFX файл и выполнить команду MOMCertImport .pfx)

Рисунок 11: Выполнение MOMCertImport Рисунок 11: Выполнение MOMCertImport

Если нужно удалить импортированные сертификаты с помощью команды MOMCertImport, просто выполните MomCertImport /Remove.

Разрешение ручной установки агента

Перед первой ручной установкой агента глобальные параметры необходимо изменить с отвержения на ‘Просмотр новой ручной установки агента в ожидающем виде управления (Review new manual agent installation in pending management view)’ в консоли действий OpsMgr 2007.

Откройте консоль действий (Operations Console) и в панели Администрирование выберите Настройки. В правой панели разверните вкладку Сервер и нажмите правой клавишей на Безопасность (рисунок 12). Выберите Свойства и в закладке Общие выберите опцию Просмотр новой ручной установки агента в ожидающем виде управления (рисунок 13). Нажмите OK для завершения.

Рисунок 12: Разрешение ручной установки агента Рисунок 12: Разрешение ручной установки агента
Рисунок 13: Глобальные параметры сервера управления - безопасность Рисунок 13: Глобальные параметры сервера управления - безопасность

После каждой ручной установки агента каждый новый агент должен быть одобрен в консоли System Center Operations Manager Console:

Откройте консоль Operations Console, в панели Администрирование разверните вкладку Управление устройствами и выберите опцию Ожидающее управление (Pending Management). В правой панели правой клавишей жмите на каждом сервере, требующем одобрения, и выбирайте опцию Одобрить (рисунок 14).

Для проверки успешности одобрения агента посмотрите в папку Управляемый агент (Agent Managed) на предмет наличия там одобренного агента.

Рисунок 14: Одобрение установленного вручную агента Рисунок 14: Одобрение установленного вручную агента

Заключение

На этом мы закончим вторую часть данной серии. В следующей части мы рассмотрим процесс настройки System Center Operations Console, необходимый для мониторинга серверов Exchange 2007 с помощью диспетчера Operations Manager 2007.

Дополнительные ссылки

  • How to Remove a Certificate that was Imported with the MOMCertImport Tool in Operations Manager 2007
  • How to Remove Certificates Imported with MOMCertImport in Operations Manager 2007
  • Operations Manager 2007 Security Guide

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 1).





Рейтинг:  
0 (голосов 0)  
 1   2   3   4   5    

Автор: Руи Силва (Rui J.M. Silva)
Руи Силва (Rui J. Silva) является Старшим Консультантом, работая в основном с Microsoft Technologies at ParaRede, компанией-Золотым Партнером Microsoft в Португалии. Он является сертифицированным MCDBA/MCSA/MCSE:Messaging и признан в качестве Microsoft MVP для Exchange Server, благодаря его вкладу в некоторые технические форумы. Руи тратит немного своего свободного времени на обновление Exchange выделенных блогов http://msmvps.com/ehlo (на английском) и http://ehlo.blogspot.com/ (на португальском).
Эта статья переведена и опубликована с разрешения www.msexchange.org

Эта статья переведена силами и средствами компании Red Line Software. Размещение данного переведенного материала на других сайтах без разрешения компании Red Line Software запрещается.





Работает на «Битрикс: Управление сайтом»
Работает на «Битрикс:
 Управление сайтом»
© MSExchange.ru, 2005-2010