Il peut arriver que vous souhaitiez surveiller un serveur avec agent qui réside dans un domaine qui n'est pas approuvé par le domaine où réside le serveur RMS ou un serveur MS. Vous etes aussi dans le cas de figure ou vous ne pouvez pas utiliser de serveur de passerelle car vous n'avez qu'un ou deux agents concernés (Workgroup , domaine en DMZ non trusté) .
Alors que faire ?
Vous pouvez utiliser l'authentification de certificat basé entre cet agent distant et serveur de gestion RMS (il est recommandé de la faire également entre l'agent distant et tous les serveurs MS). Voici la marche a suivre :
Étape 1: demande de certificat pour le serveur d'administration Operations Manager
Scénario : Créer le certificat utilisé par le serveur d'administration.
1. Sur le serveur de gestion (RMS ou MS), ouvrez votre navigateur web pour ouvrir l'outil d'inscription Web à https://CertificateServer/certsrv
a. Cliquez sur le lien demander un certificat
b. Cliquez sur le lien demande de certificat avancée .
c. Cliquez sur le créer et soumettre une demande de cette autorité de certification lien.
d. dans le champ nom , entrez le nom de domaine complet du serveur d'Operations Manager .
e. dans la liste que type de certificat nécessaire déroulante. Sélectionnez autres et entrez dans le champ OID , 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2
f. Activez la case à cocher Marquer clés comme étant exportable .
g. Activez la case à cocher stocker le certificat dans le magasin de certificats ordinateur local .
h. dans le champ de nom convivial entrez le nom de domaine complet du serveur Operations Manager (les mêmes que vous entré dans le champ nom ).
i. Cliquez sur Envoyer .
j. Cliquez sur le bouton Oui dans la fenêtre de sécurité.
2. Ouvrez la MMC d'autorité de certification du groupe de programme outils d'administration sur le serveur de certificat (CA)
a. Accédez à Démarrer > Outils d'administration > autorité de certification
b. Développez le nom de l'autorité de certification et cliquez sur le noud demande en attente .
c. Clic droit sur la demande en attente , sélectionnez toutes les tâches puis cliquez sur délivrer .
d. Vérifiez la présence du certificat dans certificats délivrés .
e. sur le serveur d'administration (MS ou RMS), ouvrez votre navigateur web pour ouvrir l'outil d'inscription Web des certificats https://CertificateServer/certsrv
f. Cliquez sur le lien Afficher le statut d'une demande de certificat en attente . Cliquez sur le lien pour certificats nouvellement émis.
g. Cliquez sur le lien installer ce certificat , puis sélectionnez Oui à la boîte de dialogue Avertissement de sécurité . Vous devez maintenant voir votre nouveau certificat a été installé dans la page web.
Étape 2 certificats d'exportation sur le serveur d'administration
Scénario : Exporter le certificat utilisé par le serveur d'administration vers la machine hors domaine.
1. Sur le serveur de gestion ouvrez la console MMC en accédant à démarrer-> exécuter et en tapant MMC.exe
a. Sélectionnez fichier dans le menu bar sélectionnez Ajout/suppression Snap-in
b. dans le dialogue composant logiciel enfichable ajouter/supprimer sur le bouton Ajouter
c. Sélectionnez le composant logiciel enfichable certificats et cliquez sur Ajouter .
d. Sélectionnez l'option de compte d'ordinateur et cliquez sur suivant .
e. Sélectionnez le bouton radio ordinateur local est sélectionné et cliquez sur Terminer .
f. Sélectionnez Fermer .
g. Cliquez sur OK .
2. Dans la console MMC, développez le noud de certificats (ordinateur local) dans l'arborescence de navigation.
a. Développez le noud personnels .
b. Cliquez sur certificats .
c. Vérifiez qu'il est un certificat émis avec le FQDN du RMS (nom de domaine complet du serveur d'Operations Manager) , émis par la CA racine autonome.
d. Clic droit sur ce certificat, sélectionnez toutes les tâches et cliquez sur Exporter .
e. Cliquez sur Suivant.
f. Sélectionnez l'option OUI, pour exporter la clé privée et de cliquez sur suivant
g. Sélectionnez options par défaut sur la page exportation de format de fichier, cliquez sur suivant
h. Tapez un mot de passe de votre choix et cliquez sur suivant
i. dans la boîte de boîte de dialogue fichier à exporter , tapez un nom de fichier pour le certificat (ex : c:\momcert.pfx), puis cliquez sur Suivant.
j. Cliquez sur Terminer .
k. Cliquez sur OK .
Étape 3: déployer l'outil MOMCertImport.exe
Scénario : Copiez l'outil MOMCertImport sur le serveur d'administration.
POur infos : l'outil MOMCertImport, MOMCertImport.exe, est disponible sur le dossier OpsMgrCDmage\SupportTools\i386.
Copiez ce fichier MOMCertImport.exe au même emplacement que là où le certificat a été exporté à (par défaut C:\Documents and Settings\Username )
Étape 4: utilisation de l'outil MOMCertImport sur le serveur d'administration
Scénario : Utiliser l'outil MOMCertImport sur le serveur d'administration.
1. Pour utiliser l'outil MOMCertImport sur le serveur d'administration
a. sur le serveur d'administration RMS ou MS
b. Ouvrez une invite de commande à partir de Démarrer-> Exécuter et en taper CMD .
c. Accédez à l'emplacement où l'outil MOMCertImport.exe a été copié.
d. tapez dans MomCertImport <nomducertificat>.pfx /password<motdepasseducertificat> (le mot de passe que vous avez tapé lors de l'exporter le certificat de type)
e. Cliquer sur Entrée.
f. Une fois terminé l'exécution de cet outil vous devrez redémarrer le Health service sur le serveur d'administration
Étape 5: demande de certificats pour le serveur hors domaine approuvé
1. Sur l'ordinateur domaine non approuvé, ouvrez votre navigateur web pour ouvrir l'outil d'inscription Web à https://CertificateServer/certsrv
a. Cliquez sur Télécharger un certificat CA, chaîne de certificats ou de la liste de révocation de certificats lien
b. Cliquez sur le lien installer cette chaîne de certificat d'autorité de certification .
c. Sélectionnez Oui dans la boîte de dialogue de sécurité.
d. Sélectionnez Oui à la deuxième popup de sécurité (si cela se produit)
e. vous devriez obtenir une page web qui indique la chaîne de certificat l'autorité de certification a été correctement installé
2. Ouvrez une console MMC en accédant à démarrer-> MMC.exe exécution et frappe et en cliquant sur OK.
a. Sélectionnez fichier dans la barre de menu et sélectionnez enfichable ajouter/supprimer
b. dans le dialogue composant logiciel enfichable ajouter/supprimer sur le bouton Ajouter
c. Sélectionnez composant logiciel enfichable Certificats et cliquez sur Ajouter
d. Sélectionnez l'option de compte d'ordinateur et cliquez sur Suivant.
e. Sélectionnez le bouton de radio de ordinateur local
f. Cliquez sur Terminer .
g. au dialogue composant logiciel enfichable ajouter/supprimer sur le bouton Ajouter
h. Sélectionnez composant logiciel enfichable Certificats et cliquez sur Ajouter
i. Sélectionnez le bouton de radio de mon compte d'utilisateur
j. Cliquez sur Terminer
k. Cliquez sur Fermer
l. Cliquez sur OK .
3. Développez le noud de certificats (utilisateur actuel) dans l'arborescence de navigation.
a. Développez le noud d'autorités de certification racine de confiance .
b. Cliquez sur certificats .
c. trouver le certificat pour l'autorité de certification vous installé sur le serveur d'Operations Manager de la racine autonome.
Conseil le certificat doit être le même nom que vous a donné le certificat dans les exercices précédents.
d. droite cliquez sur ce certificat et sélectionnez Copier .
e. Développez le noud de certificats (ordinateur local) dans l'arborescence de navigation.
f. Développez le noud d'autorités de certification racine de confiance .
g. droite cliquez sur certificats
h. Sélectionnez Coller .
4. Sur l'ordinateur domaine non approuvé, ouvrez votre navigateur web pour ouvrir l'outil d'inscription Web à https://CertificateServer/certsrv
a. Cliquez sur le lien demander un certificat.
b. Cliquez sur le lien demande de certificat avancée .
c. Cliquez sur créer et soumettre une demande de cette autorité de certification lien.
d. dans le champ nom , entrez le FQDN de l'ordinateur du domaine non approuvé.
e. dans la liste type de certificat nécessaire déroulante, sélectionnez autres
f. dans le champ OID , saisissez 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2
g. Activez la case à cocher Marquer clés comme étant exportable .
h. Activez la case à cocher stocker le certificat dans le magasin de certificats ordinateur local .
i. dans le champ Nom convivial entrez le FQDN de l' ordinateur du domaine approuvé sans (les mêmes que vous entré dans le champ nom ).
j. Cliquez sur Envoyer .
k. Cliquez sur le bouton Oui dans la sécurité pop-up.
5. Connectez-vous sur le serveur de certificat, ouvrez la MMC d'autorité de certification du groupe de programme outils d'administration. Pour ce faire, va démarrer-> outils d'administration-> autorité de certification.
a. Développez le nom d'autorité de certification dans la navigation et l'arbre.
b. Cliquez sur le noud demande en attente .
c. Cliquez avec le bouton droit sur la demande en attente.
d. Sélectionnez toutes les tâches et cliquez sur délivrer .
e. Vérifiez le certificat présent montre up dans certificats délivrés (il devrait être deux certificats maintenant).
6. Sur l'ordinateur domaine non approuvé, ouvrez votre navigateur web pour ouvrir l'outil d'inscription Web à https://CertificateServer/certsrv
a. Cliquez sur le lien Afficher le statut d'une demande de certificat en attente .
b. Cliquez sur le lien pour nouvellement émis certificat .
c. Cliquez sur le lien installer ce certificat .
d. Cliquez sur Oui à la boîte de dialogue d'avertissement de sécurité.
e. vous devez maintenant voir votre nouveau certificat a été installé dans la page web.
Étape 6: exporter des certificats sur l'ordinateur du domaine non approuvé
Scénario : Exporter le certificat utilisé par le serveur hors du domaine approuvé.
1. Sur l'ordinateur du domaine non approuvé accédez à démarrer-> exécuter, tapez MMC.exe et cliquez sur OK.
a. Sélectionnez fichier dans le menu bar sélectionnez Ajout/suppression Snap-in
b. dans le dialogue composant logiciel enfichable ajouter/supprimer sur le bouton Ajouter
c. Sélectionnez composant logiciel enfichable Certificats et cliquez sur Ajouter
d. Sélectionnez l'option de compte d'ordinateur et cliquez sur suivant
e. Sélectionnez le bouton radio ordinateur local est sélectionné et cliquez sur Terminer
f. Cliquez sur Fermer
g. Cliquez sur OK .
2. Développez le noud de certificats (ordinateur local) dans l'arborescence de navigation.
a. Développez le noud personnels .
b. Cliquez sur certificats .
c. Vérifiez qu'il est un certificat émis au nom de domaine complet de l' ordinateur du domaine non approuvé , émis par la CA racine autonome.
d. Cliquez avec le bouton doit sur ce certificat, sélectionnez toutes les tâches et cliquez sur Exporter .
e. Cliquez sur Suivant.
f. Sélectionnez l'option d'Oui, d'exporter la clé privée et de cliquez sur suivant
g. Sélectionnez options par défaut sur la page exportation de format de fichier, cliquez sur suivant
h. Tapez un mot de passe de votre choix et cliquez sur suivant
i. dans la boîte de boîte de dialogue fichier à exporter , permet d'entrer un nom de fichier pour le certificat (c'est-à-dire c:\computercert.pfx), puis cliquez sur Suivant.
j. Cliquez sur Terminer .
k. Cliquez sur OK .
Étape 7: déployer l'outil MOMCertImport.exe
Scénario : Copiez l'outil MOMCertImport vers l'ordinateur du domaine non approuvé.
1. L'outil MOMCertImport, MOMCertImport.exe, est disponible sur le dossier OpsMgrCDmage\SupportTools\i386.
2. Copiez ce fichier au même emplacement que le certificat a été exporté à (par défaut C:\Documents and Settings\Username)
Étape 8: installer l'agent sur l'ordinateur du domaine non approuvé
Scénario : Installer et configurer l'ordinateur agent.
1. Connectez-vous à l'ordinateur du domaine non approuvé
2. Installez le prérequis MSXML 6.0 - Pour infos : si MSXML 6 est déjà installé, passer a l'étape 3 .
a. Accédez à CDImage\msxml\i386
b. Cliquez deux fois sur le fichier msxml6.msi
c. Cliquez sur suivant
d. vérifier J'accepte les termes du contrat de licence , puis sélectionnez Suivant.
e. Sélectionnez suivant .
f. Sélectionnez installer .
g. Sélectionnez fin avoir terminé l'installation.
3. Déploiement de l'agent OPsmgr a l'aide de MOMAgent.msi
a. Accédez au dossier CDImage\Agent\i386 et puis double-cliquez sur le fichier MOMAgent.msi .
b. dans la page Bienvenue dans l'Assistant Installation système Center Operations Manager agent , cliquez sur suivant .
c. dans la page de dossier de destination , cliquez sur suivant pour accepter l'emplacement par défaut.
Si vous le souhaitez, vous pouvez sélectionner Modifier pour spécifier l'emplacement d'Operations Manager.
d. sur la page configuration du Management Group, sous nom du Management Group , tapez le nom du Management Group.
e. sous Management Server , tapez le nom de domaine complet du serveur de gestion principal (FQDN du RMS).
f. ensuite taper sous port du serveur de gestion , le numéro de port si ce n'est pas celui par défaut, c'est à dire le 5723 .
g. Cliquez sur suivant .
h. sur la page compte d'action , sélectionnez le système local et puis cliquez sur suivant .
i. dans la page Ready to install , vérifiez les paramètres d'installation et puis cliquez sur installer .
j. sur la page fin de l'Assistant d' Installation de l'agent système Center Operations Manager, cliquez sur Terminer .
Étape 9: utilisation de l'outil MOMCertImport sur l'ordinateur hors du domaine approuvé.
Scénario : Utilisez l'outil MOMCertImport sur l'ordinateur du domaine non approuvé.
1. Sur l'ordinateur du domaine approuvé sans ouvrir une invite en cours à démarrer-> exécuter et en tapant CMD.
a. Accédez à l'emplacement où l'outil MOMCertImport.exe a été copié.
b. Entrez dans MomCertImport <nameofcertexport>.pfx /password<password> (le mot de passe que vous avez tapé lors de l'exporter le certificat de type)
c. frapper saisissez
2. Ouvrez le services.msc en cliquant sur Démarrer-> tous les programmes-> Outils-> Services d'administration
3. Trouver et redémarrez le service Health Service de SCOM 2007
Remarques importantes :
1. Dans la console opérations, sous administration > paramètres > sécurité , vous devez modifier les paramètres de sécurité serveur ne pas rejeter les nouvelles installations manuelles des agents.
2. Après l'installation des agents et une fois les certificats installés, l'agent nouvellement installé sur l'ordinateur du domaine non approuvé apparaîtra en attente de gestion (pending mode). Vous devez l'approuver manuellement. Après quelques minutes l'agent démarrera sous le statut "Monitored".
3. Si l'autorité de certification n'est pas installée sur le serveur de gestion et se trouve sur un autre serveur. Alors vous devez installer la chaîne de certificats sur le serveur de gestion à l'aide les étapes ci-dessous :
a. sur le serveur d'administration, ouvrez votre navigateur web pour ouvrir l'outil d'inscription Web à https://CertificateServer/certsrv
b. Cliquez sur le télécharger un certificat CA, chaîne de certificats ou lien de la liste de révocation de certificats
c. Cliquez sur l'installation de ce lien de chaîne de certificat CA.
d. Sélectionnez Oui pour le popup de la boîte de dialogue de sécurité.
e. Sélectionnez Oui à la deuxième popup (si cela se produit)
f. vous devriez obtenir une page web qui indique que la chaîne de certificat de l'autorité de certification a été correctement installé sur le serveur de gestion.
g. suivre également la tâche 2 et 3 de étape 5 plus haut dans cette article pour copier la chaîne de certificats
4. S vous souhaitez changer l'agent de Management Server (MS) , vous devez truster également le nouveau serveur MS avec l'agent. Il est recommandé de le faire systématiquement avec le RMS.
5. Au delà de quelques agents (6-10), pensez a utiliser les Gateways Opsmgr.. (même si cela coute une licence MS)
Merci à Milan Jajal ingénieur support Outils de Management Microsoft.
Articles
Aucun commentaire:
Enregistrer un commentaire
Les commentaires sont soumis a modération