none
Communication entre SCOM et des machines d'un autre domaine

    Question

  • Bonjour,

    Je cherche à ajouter des serveurs hyper-v integrés à un autre domaine pour les superviser à travers la console SCOM et activer l'option PRO.

    Merci en avance pour votre aide :)

    Monday, January 16, 2012 4:28 PM

Answers

  • Bonjour,

    Contrairement à ce qu'affirme Bourbita Thameur, il n'y a pas besoin de relation d'approbation.

    Un agent SCOM ne peut communiquer avec une infrastructure SCOM que s'il y a une authentification mutuelle.

    Au sein d'une même forêt Active Directory, le service TGT distribue les certificats qui permettent cette authentification mutuelle. Si l'agent à superviser est en workgroup ou dans une forêt AD non approuvée, il faut avoir recours à des certificats.

    Deux cas de figure :

    1.      Vous voulez superviser des machines en Workgroup : Il faut distribuer un certificat sur chaque machine et un certificat sur les serveurs d’administration SCOM. Toutes les machines en Workgroup vont utiliser l’authentification par certificat.

    2.      Vous voulez superviser une forêt Active Directory non approuvée : Vous devez déployer le rôle SCOM Gateway sur l’une des machines de la forêt à superviser. Il faudra distribuer des certificats sur cette Gateway et sur les serveurs d’administration SCOM. Les agents seront gérés par la Gateway et utiliseront une authentification mutuelle Kerberos.

    Cordialement,


    Yann Gainche MVP Operations Manager http://www.gainche.net
    • Proposed as answer by Thameur BOURBITA Tuesday, January 17, 2012 11:22 AM
    • Marked as answer by IT System Tuesday, January 17, 2012 11:37 AM
    Monday, January 16, 2012 6:18 PM
    Moderator
  • Effectivement. C'est un cas de figure spécifique au pack d'administration VMM qui casse complètement le modèle de sécurité d'Operations Manager.


    Yann Gainche MVP Operations Manager http://www.gainche.net
    Tuesday, January 17, 2012 6:23 AM
    Moderator
  • Bonjour @ tous,

    Merci Yann Gainche pour votre intervention, je viens de trouver un lien qui confirme ce que vous avez dit concernant la communication entre SCOM 2007 et les serveurs workgroup ou bien membres d'un autre domaine sans avoir une relation d'approbation entre les deux domaines.

    http://support.microsoft.com/kb/982910

     


    Best Regards
    • Edited by Thameur BOURBITA Tuesday, January 17, 2012 11:25 AM
    • Marked as answer by IT System Tuesday, January 17, 2012 11:37 AM
    Tuesday, January 17, 2012 11:24 AM

All replies

  • Bonjour,

    Pour autoriser la communication entre SCOM et SCVMM vous devez établir une relation d'approbation entre les deux domaines. 

    Pour avoir plus d'information merci de consulter les deux liens ci dessous :

    http://technet.microsoft.com/en-us/library/ee236428.aspx

    http://www.labo-microsoft.org/articles/win/trust/1/


    Best Regards
    Monday, January 16, 2012 4:33 PM
  • Bonjour,

    Contrairement à ce qu'affirme Bourbita Thameur, il n'y a pas besoin de relation d'approbation.

    Un agent SCOM ne peut communiquer avec une infrastructure SCOM que s'il y a une authentification mutuelle.

    Au sein d'une même forêt Active Directory, le service TGT distribue les certificats qui permettent cette authentification mutuelle. Si l'agent à superviser est en workgroup ou dans une forêt AD non approuvée, il faut avoir recours à des certificats.

    Deux cas de figure :

    1.      Vous voulez superviser des machines en Workgroup : Il faut distribuer un certificat sur chaque machine et un certificat sur les serveurs d’administration SCOM. Toutes les machines en Workgroup vont utiliser l’authentification par certificat.

    2.      Vous voulez superviser une forêt Active Directory non approuvée : Vous devez déployer le rôle SCOM Gateway sur l’une des machines de la forêt à superviser. Il faudra distribuer des certificats sur cette Gateway et sur les serveurs d’administration SCOM. Les agents seront gérés par la Gateway et utiliseront une authentification mutuelle Kerberos.

    Cordialement,


    Yann Gainche MVP Operations Manager http://www.gainche.net
    • Proposed as answer by Thameur BOURBITA Tuesday, January 17, 2012 11:22 AM
    • Marked as answer by IT System Tuesday, January 17, 2012 11:37 AM
    Monday, January 16, 2012 6:18 PM
    Moderator
  • Merci pour vos éclaircissents sur ce sujet :)

    Les serveurs que je voudrai les superviser sont intégrés à un autre domaine, donc je suis dans le deuxième cas de figure.

    Par contre d'après le site technet, l'approbation pourra éviter des problèmes d'authentification Kerberos entre les deux produits pour la bonne performance du PRO.

    http://technet.microsoft.com/fr-fr/library/ee236428.aspx


     


    • Edited by IT System Monday, January 16, 2012 7:11 PM
    Monday, January 16, 2012 7:10 PM
  • Effectivement. C'est un cas de figure spécifique au pack d'administration VMM qui casse complètement le modèle de sécurité d'Operations Manager.


    Yann Gainche MVP Operations Manager http://www.gainche.net
    Tuesday, January 17, 2012 6:23 AM
    Moderator
  • Bonjour @ tous,

    Merci Yann Gainche pour votre intervention, je viens de trouver un lien qui confirme ce que vous avez dit concernant la communication entre SCOM 2007 et les serveurs workgroup ou bien membres d'un autre domaine sans avoir une relation d'approbation entre les deux domaines.

    http://support.microsoft.com/kb/982910

     


    Best Regards
    • Edited by Thameur BOURBITA Tuesday, January 17, 2012 11:25 AM
    • Marked as answer by IT System Tuesday, January 17, 2012 11:37 AM
    Tuesday, January 17, 2012 11:24 AM
  • Merci pour votre retour :)

    Tuesday, January 17, 2012 11:37 AM