none
SCOM in untrusted Domains

    Question

  • Hallo Forenmitglieder,

    ich suche eine Lösung für den Aufbau einer SCOM Umgebung mit verschiedenen Domänen die sich nicht vertrauen. Ich dachte hier daran mit x509 Zertifikaten und Gatewayservern zu arbeiten. Die Frage die sich mir nun stellt ist wie kann ich von der SCOM Verwaltungsgruppe über den Gatewayserver auf eine der anderen Domänen zugreifen, wenn dort der benutzte Account nicht bekannt ist?

    Muss ich hier eventuell mit verbundenen Verwaltungsgruppen arbeiten? Ich hoffe ihr könnt mir etwas Licht in meinen verwirrten Geist bringen.

    Danke an euch

    Tuesday, February 27, 2018 6:58 PM

All replies

  • Moin,

    ob Du Gatewayserver brauchst, musst Du nicht aus Authentifizierungssicht bestimmen, sondern aus Netzwerksicht (Routen, Firewall-Regeln, Bandbreite). Im einfachsten Fall (verschiedene Domänen, aber LAN dazwischen) kannst Du die Clients aus fremden Domänen so behandeln, als wären sie in einer Workgroup, mit manueller Agent-Installation und Zertifikaten. Anleitungen dafür sind Legion, hier ein Beispiel: http://himmetyildiz.blogspot.de/2013/11/installing-scom-2012-agent-on-non.html


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Tuesday, February 27, 2018 7:14 PM
  • Hallo,

    danke für deine schnelle Antwort. Ich verstehe nicht warum ich das ganze aus Netzwerksicht betrachten muss? Natürlich haben die verschiedenen AD Domänen auch unterschiedliche Netzwerkbereiche (VLANs, etc.). Ich dachte nun aber das ich nur eine Route in das Netzwerk der anderen Domäne brauche und auf der Firewall die Ports für SCOM geöffnet werden müssen? Sobald ich das Ziel per Ping erreiche hab ich doch eine brauchbare Verbindung. Ich habe eine Mischung aus Anbindungen per WAN und per LAN mit verschiedenen Domänen. Ein Teil der Server die ich per LAN erreiche gehören zu meinen AD ein Teil gehört in einen anderen Geschäftsbereich und hat eine eigene AD. Ebenso ein Teil der Server die ich nur per WAN erreiche da sie an einen anderen Standort stehen. Wenn ich nun aber die Mitglieder der anderen Domänen so behandele als würden sie zu einer anderen Workgroup gehöre,n muss ich doch für jeden Agenten ein Zertifikat ausstellen um ihn zu installieren? Das wollte ich vermeiden in dem ich einen Gateway Server in jeder "fremden" ADs aufstelle und darüber die Agenten verwalte. Dann brauche ich nur die Zertifikatsverbindung zwischen dem Gateway in der fremden Domäne und dem Verwaltungsserver in der Verwaltungsgruppe. So hatte ich es mir zu mindestens gedacht und bei Microsoft gelesen.

    Danke für eure Geduld und Hilfe

    Wednesday, February 28, 2018 5:59 PM