Partilhar via

Instalar um servidor de gateway

  • Artigo

Importante

Esta versão do Operations Manager chegou ao fim do suporte. Recomendamos que atualize para o Operations Manager 2022.

Normalmente, os servidores de gateway são utilizados para ativar a monitorização de computadores cliente que estão fora do limite de fidedignidade kerberos dos grupos de gestão. No entanto, também podem ser utilizados no mesmo domínio se for necessário dividir o ambiente devido à segmentação de rede ou para que os agentes "distantes" se liguem ao grupo de gestão.

Os agentes comunicam diretamente com o servidor de gateway e o servidor de gateway comunica com um ou mais servidores de gestão. Vários servidores de gateway podem ser colocados num único domínio para que os agentes possam efetuar a ativação pós-falha de um para o outro se perderem a comunicação com o gateway principal. Da mesma forma, um único servidor de gateway pode ser configurado para efetuar a ativação pós-falha entre servidores de gestão para que não exista um único ponto de falha na cadeia de comunicação. O servidor de gateway atua como um proxy para a comunicação do servidor de agente para gestão, permitindo que apenas uma porta seja aberta entre redes em vez de muitas. Os certificados têm de ser utilizados para estabelecer a identidade de cada computador fora do limite de fidedignidade kerberos. Sem certificados, os sistemas podem ligar-se, mas recusam-se a comunicar devido à impossibilidade de autenticar a ligação.

Antes de continuar, certifique-se de que o servidor cumpre os requisitos mínimos de sistema do System Center – Operations Manager. Para obter mais informações, veja Requisitos de Sistema para o System Center Operations Manager.

Nota

Se as políticas de segurança restringirem o TLS 1.0 e 1.1, a instalação de uma nova função de servidor de gateway do Operations Manager 2016 falhará porque o suporte de dados de configuração não inclui as atualizações para suportar o TLS 1.2. A única forma de instalar esta função é ao ativar o TLS 1.0 no sistema, aplicar o Update Rollup 4 e, em seguida, ativar o TLS 1.2 no sistema. Esta limitação não se aplica à versão 1801 do Operations Manager.

Pré-requisitos

Existem três aspetos importantes que precisamos de ter prontos e implementados antes de prosseguir com a instalação da função de gateway num cenário padrão:

  1. Os certificados têm de ser gerados para os servidores de gateway e gestão e instalados nos arquivos de certificados.
    • Se o gateway e os servidores cliente estiverem a ser utilizados num cenário de Grupo de Trabalho, os clientes também precisam de certificados.
  2. O servidor de gateway pretendido tem de ser "Aprovado" para ser um gateway no grupo de gestão antes da instalação.
  3. A porta 5723 tem de ser aberta entre o gateway e o servidor de gestão, conforme definido no guia aqui: Configurar uma Firewall para o Operations Manager

Resolução de certificados e nomes

  1. A implementação de servidores de gateway em domínios sem uma confiança transitiva bidirecional ou num grupo de trabalho requer a utilização de certificados para autenticação. Os servidores primários e de gestão de ativação pós-falha precisam de um para além do gateway que se está a ligar aos mesmos. Estes certificados podem ser provenientes de uma AC dos Serviços de Certificados da Microsoft ou de uma AC de terceiros, se configurados corretamente para o Operations Manager. Se precisar de ajuda para criar estes certificados, utilize o guia aqui: Obter um certificado para utilização com o Windows Servers e o System Center Operations Manager

    Nota

    • Os servidores de gateway que estão no mesmo domínio ou num limite de confiança partilhado que o grupo de gestão não necessitam de certificados.
    • Se o gateway e os agentes estiverem num grupo de trabalho, precisaremos de certificados para cada servidor de gestão, gateway e computador cliente que serão monitorizados, uma vez que não existe nenhum domínio num grupo de trabalho para facilitar a autenticação de sistemas.

  2. Tem de existir uma resolução de nomes fiável entre os computadores geridos pelo agente e o servidor de gateway e entre o servidor de gateway e o servidor de gestão. Esta resolução de nomes é geralmente feita através de DNS. No entanto, se não for possível obter a resolução de nomes adequada através do DNS, poderá ser necessário criar manualmente entradas no ficheiro de anfitriões de cada computador.

    Importante

    As resoluções de nomes reencaminhamento e inverso são verificadas antes de a autenticação passar entre servidores. Se recebermos um nome de anfitrião ou FQDN diferente ao verificar o Endereço IP, a autenticação falhará.

    Dica

    O ficheiro anfitriões está localizado no %SystemRoot%\system32\drivers\etc diretório e contém as direções para a configuração. Esta ação tem de ser editada num Bloco de Notas ou noutra aplicação executada como Administrador.

Registar o gateway no grupo de gestão

Para evitar problemas posteriores, é importante registar e aprovar o computador de gateway pretendido como um gateway antes da instalação. Caso contrário, corremos o risco de o gateway ser recolhido como agente.

Estes passos devem ser executados a partir de um servidor de gestão, de preferência o servidor principal ou "RMSE".

  1. Existe um executável incluído no suporte de dados de instalação do Operations Manager denominado "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", que pode ser encontrado no suporte de dados ..\SupportTools\amd64\de instalação em .

  2. Uma vez localizado, copie este executável e o ficheiro de configuração com o mesmo nome para o caminho de instalação em: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

  3. Abra uma Linha de Comandos como administrador e navegue para o diretório de instalação do Operations Manager. (por exemplo, cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

  4. Utilize o seguinte comando para registar o gateway pretendido como um gateway, certifique-se de que substitui os nomes dos servidores pelos seus:

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create

    Nota

    Se quiser impedir que o servidor de gateway inicie a comunicação com um servidor de gestão, inclua o parâmetro /ManagementServerInitiatesConnection=True , conforme utilizado no seguinte comando. Caso contrário, por predefinição, a comunicação será iniciada a partir do próprio gateway. Isto é útil se quiser impedir qualquer acesso de entrada ao domínio primário a partir da rede onde reside o gateway.

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create

  5. Se a aprovação for bem-sucedida, a mensagem The approval of server <GatewayFQDN> completed successfully. é devolvida.

  6. Se precisar de remover o servidor de gateway do grupo de gestão, execute o mesmo comando, mas substitua /Action=Create pelo /Action=Delete sinalizador.

  7. Abra a consola de Operações para a vista Monitorização. Selecione a vista Inventário Detetado para verificar se o servidor de gateway está presente. Também deve ser visualizável em Administração > Gestão de Dispositivos > Servidores de Gestão.

Processo de instalação

Assim que o servidor de gateway pretendido estiver registado no grupo de gestão, é altura de instalar a função no novo gateway.

Nota

Uma instalação falhará ao iniciar o Windows Installer (por exemplo, ao instalar um servidor de gateway ao fazer duplo clique MOMGateway.msi) se a política de segurança local "Controlo de Conta de Utilizador: Executar todos os administradores no Modo de Aprovação Administração" estiver ativada.

Dica

Se tiver problemas durante a instalação, os registos estão localizados aqui: %LocalAppData%\SCOM\Logs

Siga estes passos para instalar o servidor de gateway:

  1. Inicie sessão no servidor de gateway com direitos de Administrador.
  2. A partir do suporte de dados de instalação do Operations Manager, inicie Setup.exe.
  3. Na área Instalar , selecione a ligação Servidor de gestão de gateway (não a ligação grande "Instalar", na parte inferior da janela).
  4. No ecrã de Boas-vindas , selecione Seguinte.
  5. Na página Pasta de Destino , aceite a predefinição ou selecione Alterar para selecionar um diretório de instalação diferente e selecione Seguinte.
  6. Na página Configuração do Grupo de Gestão , introduza o nome do grupo de gestão de destino no campo Nome do Grupo de Gestão , introduza o nome do servidor de gestão de destino no campo Servidor de Gestão , verifique se o campo Porta do Servidor de Gestão é 5723 e selecione Seguinte.
  7. Na página Conta de Ação do Gateway , selecione a opção Conta de Sistema Local , a menos que esteja a utilizar uma conta de Ação de gateway baseada em domínio ou local baseada em computador. Selecione Seguinte.
  8. Na página Microsoft Update , indique opcionalmente se pretende utilizar o Microsoft Update e selecione Seguinte. (Normalmente, esta seleção deve ser Não.)
  9. Na página Pronto para Instalar , selecione Instalar.
  10. Na página A concluir , selecione Concluir.

Importar certificados com a ferramenta MOMCertImport.exe

Execute esta operação em cada gateway e servidor de gestão, juntamente com quaisquer computadores cliente que sejam geridos por agentes num grupo de trabalho.

  1. Certifique-se de que os certificados estão instalados antes de continuar
  2. Localize o ficheiro MOMCertImport.exe localizado no suporte de dados de instalação em ..\SupportTools\amd64\
  3. Copiar este ficheiro para o diretório de raiz do servidor de destino ou para o diretório de instalação do Operations Manager
    • Por exemplo: %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
  4. Abra uma Linha de Comandos como administrador e altere o diretório para o diretório onde MOMCertImport.exe.
    • Por exemplo: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
  5. Em seguida, execute o comando MOMCertImport.exe /SubjectName subjectNameFQDN, em que "subjectNameFQDN" é o assunto definido no certificado.
    • Também pode executar MOMCertImport.exe sem argumentos que lhe permitam escolher um certificado a partir de uma janela de pop-up que mostra os certificados no Arquivo Pessoal do Computador Local.
  6. Se for bem-sucedido, o serviço Microsoft Monitoring Agent é reiniciado e o eventID 20053 é registado no registo de eventos do Operations Manager. Se este eventID não estiver presente, observe os detalhes de um destes IDs relativamente a quaisquer problemas e faça correções em conformidade: 20049,20050,20052,20066,20069,20077

Dica

Assim que o certificado for importado com êxito, pode ver uma versão espelhada do thumbprint no registo aqui: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configurar servidores de gateway para ativação pós-falha entre servidores de gestão

Por predefinição, os servidores de gateway comunicam apenas com um servidor de gestão, o principal. Se esta ligação for perdida, o gateway e quaisquer agentes anexados serão apresentados como cinzentos na consola e não serão monitorizados. Se tiver vários servidores de gestão, podemos evitar este problema ao configurar servidores de gestão para os quais o gateway pode efetuar a ativação pós-falha até que o principal esteja novamente disponível. Para configurar uma ativação pós-falha:

Estamos a utilizar o cmdlet Set-SCOMParentManagementServer na shell do Operations Manager, conforme mostrado no exemplo seguinte, para configurar um servidor de gateway para efetuar a ativação pós-falha para vários servidores de gestão. Os comandos podem ser executados a partir de qualquer Shell de Comandos do grupo de gestão.

  1. Inicie sessão num servidor de gestão com uma conta que seja membro da função Administradores do Operations Manager.

  2. No Menu Iniciar, execute o Shell do Operations Manager na pasta "Microsoft System Center".

  3. Na consola do , execute os seguintes comandos:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
$FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer

    Nota

    Não pode definir um servidor de ativação pós-falha como sendo o mesmo que o servidor primário sem alterar o servidor primário ao mesmo tempo ou primeiro. Se quiser alterar o principal e defini-lo como secundário, utilize os seguintes comandos:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
$PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
$FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer

Encadear vários servidores de gateway

Embora pouco comum, por vezes é necessário encadear múltiplos gateways para monitorizar vários limites não fidedignos. Esta secção descreve como encadear vários gateways em conjunto.

Nota

  • Deve instalar um gateway de cada vez e verificar se cada gateway recentemente instalado está configurado corretamente e se está em bom estado de funcionamento na consola do SCOM antes de adicionar outro gateway na cadeia.
  • Quando adicionar o fim da cadeia de gateways ao mesmo agrupamento de recursos, não configure a ativação pós-falha para a outra cadeia com o comando Set-SCOMParentManagementServer . Neste cenário, o conjunto não funciona conforme esperado. Para que a configuração da ativação pós-falha e o agrupamento de recursos funcionem em conjunto, o fim do gateway da cadeia deve ter o mesmo elemento principal.

Para configurar uma cadeia de gateway, utilizamos a ferramenta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tal como fizemos para o servidor de gateway inicial. No entanto, desta vez, temos de definir o "ManagementServerName" como o servidor de gateway a montante na cadeia. Por exemplo, se o GW02 se vai ligar ao GW01, o GW01 é o "ManagementServer" neste cenário.

  1. Inicie sessão num dos seus servidores de gestão que já tenha o GatewayApprovalTool configurado.

  2. Abra uma Linha de Comandos como administrador e navegue para o diretório onde a ferramenta é guardada

  3. Em seguida, execute o comando abaixo para aprovar o servidor de gateway a jusante, garantindo que substitui os nomes dos servidores pelos seus:

    Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create

  4. Instale a função de gateway num novo servidor.

  5. Configure os certificados entre GW01 e GW02 da mesma forma que configuraria certificados entre um gateway e um servidor de gestão. O Serviço de Estado de Funcionamento só pode carregar e utilizar um certificado. Por conseguinte, o mesmo certificado é utilizado pelo principal e subordinado do gateway na cadeia.

Passos seguintes

Para compreender a sequência e os passos para instalar as funções de servidor do Operations Manager em vários servidores no seu grupo de gestão, veja Implementação Distribuída do Operations Manager.