【SCOM】Gatewayサーバを利用して信頼関係の無い別ドメインのシステムを監視する

今回はSystem Center Operations Managerを利用して、信頼関係の無い別ドメインのシステムを監視する方法を書きます。


信頼関係が無いドメイン間の通信ということで、やはり証明書が登場してきます。ここで二つの方法があります。
①SCOMのエージェントと直接証明書のやり取りで信頼関係を結ぶ
http://i.technet.microsoft.com/dynimg/IC542338.gif

②信頼関係の無い別ドメイン側にゲートウェイサーバを構築し、そのサーバとだけ証明書のやりとりをする
http://i.technet.microsoft.com/dynimg/IC542337.gif


証明書のやりとりや管理は結構面倒なものです。そこで証明書のやりとりが少なくて済む②の方法について書きたいと思います。








証明書発行

今回はルート証明機関としてAD CSを使います。


コンピュータの証明書テンプレートをコピーしてSCOM用の証明書テンプレートを作成しました。

こちらのSCOM Gateway Templateというものを作っています。

細かい手順は省きますが、プロパティの中で設定したものを書きます。

セキュリティで必要なユーザやグループに登録権限を付与します。

証明書の有効期限を設定します。

秘密鍵のエクスポートを可能にします。

サブジェクト名を要求時に設定するようにします。


これにより、証明書テンプレートから証明書の要求時にサブジェクト名を設定することができるようになります。


通名としてSCOM管理サーバ名を設定した証明書と、Gatewayサーバ名を設定した証明書を取得します。




証明書のインストール

【注意】この手順はSCOM管理サーバ、Gatewayサーバの両方で行います。



SCOM管理サーバ、Gatewayサーバそれぞれで、取得した証明書ファイルをダブルクリックしてインストールします。この際に証明書を(現在のユーザではなく)ローカルコンピュータにインストールします。



次に管理者コマンドプロンプトから以下のコマンドを実行します。

[SCOM2012R2MediaRoot]\SupportTools\AMD64>MOMCertImport.exe

先ほどインストールした証明書が表示されるので選択します。成功すると以下のメッセージが表示されます。

証明書が正常にインストールされました。イベント ビューアーで Operations Manager のログを見てチャネル接続を確認してください。

これでSCOMに証明書が取り込まれました。取り込まれた情報は以下のレジストリに保存されます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Gatewayサーバインストール

GatewayサーバにGatewayをインストールします。SCOMのインストールメディアに入っている以下のファイルを実行します。

[SCOM2012R2MediaRoot]\Gateway\amd64\MOMGateway.msi

インストールウィザードが開始されます。インストールフォルダなど基本的な事項が聞かれるので設定してインストールを進めていきます。

以下のステップがポイントとなります。Management GroupとServerにはSCOM管理サーバの設定を入れてください。Management PortはSCOM管理サーバとGatewayサーバの間の通信で使われるものとなります。別ドメイン間の通信になるので間にFireWall挟んでいる場合もあると思いますが、その場合はここで設定したポートを開けてください。



SCOM管理サーバにてGateway承認処理

GatewayサーバへのGatewayのインストールが完了したらSCOM管理サーバ側にてGatewayサーバを承認する必要があります。

まずインストールメディアの以下のフォルダに格納されている2ファイルをコピーします。
[SCOM2012R2MediaRoot]\SupportTools\AMD64\

  • Microsoft.EnterpriseManagement.GatewayApprovalTool.exe
  • Microsoft.EnterpriseManagement.GatewayApprovalTool


コピー先のフォルダは以下のフォルダになります。
C:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Setup


コピー先のフォルダから以下のコマンドを実行します。

C:\Program Files\Microsoft System Center 2012 R2\Operations Manager\SetupMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=<FQDN of RMS box> /GatewayName=" /Action=Create

承認が成功すると以下のようなメッセージが表示されます。

Copyright (c) Microsoft Corporation. All rights reserved.
The approval of server rtjyo-ac.rtjyo.realtech.jp completed successfully.

以下のようにSCOMコンソール上の管理サーバーとしてGatewayサーバが登録されているのがわかります。しかしここまでの手順ではヘルス状態は「監視しない」となっており、Gatewayサーバ側のドメインも表示されていない状態だと思います。

これはこの先の手順を終えると正常に監視されるようになりますのでそのままにしておきます。



Gatewayサーバのプロパティを開き「このサーバーをプロキシとして動作させ、他のコンピューター上の管理オブジェクトを検出する」をチェックしておきます。




 


アカウント設定

Gatewayサーバの監視を開始するためには実行アカウントの設定が必要です。

以下の画面のメニューから実行アカウントの設定を行います。

ウィザードの中でユーザ名を設定するステップがあります。ここではGatewayサーバ側のドメインとユーザを指定することになります。ドメイン名のドロップダウンボックスにGatewayサーバ側のドメインが表示されない場合がありますが、その場合は以下のようにドメイン指定のユーザ名を指定してください。

ドメイン名\ユーザ名

配布セキュリティを高にして設定完了します。

今設定した実行アカウントのプロパティから、Gatewayサーバにアカウントを配布するように選択します。

暫く待つとGatewayサーバが管理サーバとして正常に認識されるはずです。


ドメイン側のSCOMエージェントインストール時のの注意点

ここまで設定することで別ドメインのコンピュータをGateway経由で監視ができるようになります。しかし、同一ドメイン内と同じようにSCOM管理サーバ側からエージェントのプッシュインストールを行おうとすると、エージェントの情報を吸い上げることができません。以下のような灰色のステータスになります。


エージェントのレポート先をGatewayサーバに変更してあげることで解決します。該当のエージェントを再インストールしてしまうのが早いかもしれません。