今回はSystem Center Operations Managerを利用して、信頼関係の無い別ドメインのシステムを監視する方法を書きます。
信頼関係が無いドメイン間の通信ということで、やはり証明書が登場してきます。ここで二つの方法があります。
①SCOMのエージェントと直接証明書のやり取りで信頼関係を結ぶ
②信頼関係の無い別ドメイン側にゲートウェイサーバを構築し、そのサーバとだけ証明書のやりとりをする
証明書のやりとりや管理は結構面倒なものです。そこで証明書のやりとりが少なくて済む②の方法について書きたいと思います。
証明書発行
今回はルート証明機関としてAD CSを使います。
コンピュータの証明書テンプレートをコピーしてSCOM用の証明書テンプレートを作成しました。
こちらのSCOM Gateway Templateというものを作っています。
細かい手順は省きますが、プロパティの中で設定したものを書きます。
セキュリティで必要なユーザやグループに登録権限を付与します。
秘密鍵のエクスポートを可能にします。
サブジェクト名を要求時に設定するようにします。
これにより、証明書テンプレートから証明書の要求時にサブジェクト名を設定することができるようになります。
共通名としてSCOM管理サーバ名を設定した証明書と、Gatewayサーバ名を設定した証明書を取得します。
証明書のインストール
【注意】この手順はSCOM管理サーバ、Gatewayサーバの両方で行います。
SCOM管理サーバ、Gatewayサーバそれぞれで、取得した証明書ファイルをダブルクリックしてインストールします。この際に証明書を(現在のユーザではなく)ローカルコンピュータにインストールします。
次に管理者コマンドプロンプトから以下のコマンドを実行します。
[SCOM2012R2MediaRoot]\SupportTools\AMD64>MOMCertImport.exe
先ほどインストールした証明書が表示されるので選択します。成功すると以下のメッセージが表示されます。
証明書が正常にインストールされました。イベント ビューアーで Operations Manager のログを見てチャネル接続を確認してください。
これでSCOMに証明書が取り込まれました。取り込まれた情報は以下のレジストリに保存されます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Gatewayサーバインストール
GatewayサーバにGatewayをインストールします。SCOMのインストールメディアに入っている以下のファイルを実行します。
[SCOM2012R2MediaRoot]\Gateway\amd64\MOMGateway.msi
インストールウィザードが開始されます。インストールフォルダなど基本的な事項が聞かれるので設定してインストールを進めていきます。
以下のステップがポイントとなります。Management GroupとServerにはSCOM管理サーバの設定を入れてください。Management PortはSCOM管理サーバとGatewayサーバの間の通信で使われるものとなります。別ドメイン間の通信になるので間にFireWall挟んでいる場合もあると思いますが、その場合はここで設定したポートを開けてください。
SCOM管理サーバにてGateway承認処理
GatewayサーバへのGatewayのインストールが完了したらSCOM管理サーバ側にてGatewayサーバを承認する必要があります。
まずインストールメディアの以下のフォルダに格納されている2ファイルをコピーします。
[SCOM2012R2MediaRoot]\SupportTools\AMD64\
- Microsoft.EnterpriseManagement.GatewayApprovalTool.exe
- Microsoft.EnterpriseManagement.GatewayApprovalTool
コピー先のフォルダは以下のフォルダになります。
C:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Setup
コピー先のフォルダから以下のコマンドを実行します。
C:\Program Files\Microsoft System Center 2012 R2\Operations Manager\SetupMicrosoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=<FQDN of RMS box> /GatewayName=" /Action=Create
承認が成功すると以下のようなメッセージが表示されます。
Copyright (c) Microsoft Corporation. All rights reserved.
The approval of server rtjyo-ac.rtjyo.realtech.jp completed successfully.
以下のようにSCOMコンソール上の管理サーバーとしてGatewayサーバが登録されているのがわかります。しかしここまでの手順ではヘルス状態は「監視しない」となっており、Gatewayサーバ側のドメインも表示されていない状態だと思います。
これはこの先の手順を終えると正常に監視されるようになりますのでそのままにしておきます。
Gatewayサーバのプロパティを開き「このサーバーをプロキシとして動作させ、他のコンピューター上の管理オブジェクトを検出する」をチェックしておきます。