none
Communication entre SCOM et des machines d'un autre domaine RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Je cherche à ajouter des serveurs hyper-v integrés à un autre domaine pour les superviser à travers la console SCOM et activer l'option PRO.

    Merci en avance pour votre aide :)

    lundi 16 janvier 2012 16:28
    |

Réponses

  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Contrairement à ce qu'affirme Bourbita Thameur, il n'y a pas besoin de relation d'approbation.

    Un agent SCOM ne peut communiquer avec une infrastructure SCOM que s'il y a une authentification mutuelle.

    Au sein d'une même forêt Active Directory, le service TGT distribue les certificats qui permettent cette authentification mutuelle. Si l'agent à superviser est en workgroup ou dans une forêt AD non approuvée, il faut avoir recours à des certificats.

    Deux cas de figure :

    1.      Vous voulez superviser des machines en Workgroup : Il faut distribuer un certificat sur chaque machine et un certificat sur les serveurs d’administration SCOM. Toutes les machines en Workgroup vont utiliser l’authentification par certificat.

    2.      Vous voulez superviser une forêt Active Directory non approuvée : Vous devez déployer le rôle SCOM Gateway sur l’une des machines de la forêt à superviser. Il faudra distribuer des certificats sur cette Gateway et sur les serveurs d’administration SCOM. Les agents seront gérés par la Gateway et utiliseront une authentification mutuelle Kerberos.

    Cordialement,

    Yann Gainche MVP Operations Manager http://www.gainche.net
    lundi 16 janvier 2012 18:18
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Effectivement. C'est un cas de figure spécifique au pack d'administration VMM qui casse complètement le modèle de sécurité d'Operations Manager.

    Yann Gainche MVP Operations Manager http://www.gainche.net
    • Marqué comme réponse Florin Ciuca mardi 17 janvier 2012 16:04
    mardi 17 janvier 2012 06:23
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour @ tous,

    Merci Yann Gainche pour votre intervention, je viens de trouver un lien qui confirme ce que vous avez dit concernant la communication entre SCOM 2007 et les serveurs workgroup ou bien membres d'un autre domaine sans avoir une relation d'approbation entre les deux domaines.

    http://support.microsoft.com/kb/982910

     

    Best Regards
    mardi 17 janvier 2012 11:24
    |

Toutes les réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Pour autoriser la communication entre SCOM et SCVMM vous devez établir une relation d'approbation entre les deux domaines. 

    Pour avoir plus d'information merci de consulter les deux liens ci dessous :

    http://technet.microsoft.com/en-us/library/ee236428.aspx

    http://www.labo-microsoft.org/articles/win/trust/1/

    Best Regards
    lundi 16 janvier 2012 16:33
    |
  • Question
    Connectez-vous pour voter
    2
    Connectez-vous pour voter

    Bonjour,

    Contrairement à ce qu'affirme Bourbita Thameur, il n'y a pas besoin de relation d'approbation.

    Un agent SCOM ne peut communiquer avec une infrastructure SCOM que s'il y a une authentification mutuelle.

    Au sein d'une même forêt Active Directory, le service TGT distribue les certificats qui permettent cette authentification mutuelle. Si l'agent à superviser est en workgroup ou dans une forêt AD non approuvée, il faut avoir recours à des certificats.

    Deux cas de figure :

    1.      Vous voulez superviser des machines en Workgroup : Il faut distribuer un certificat sur chaque machine et un certificat sur les serveurs d’administration SCOM. Toutes les machines en Workgroup vont utiliser l’authentification par certificat.

    2.      Vous voulez superviser une forêt Active Directory non approuvée : Vous devez déployer le rôle SCOM Gateway sur l’une des machines de la forêt à superviser. Il faudra distribuer des certificats sur cette Gateway et sur les serveurs d’administration SCOM. Les agents seront gérés par la Gateway et utiliseront une authentification mutuelle Kerberos.

    Cordialement,

    Yann Gainche MVP Operations Manager http://www.gainche.net
    lundi 16 janvier 2012 18:18
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour vos éclaircissents sur ce sujet :)

    Les serveurs que je voudrai les superviser sont intégrés à un autre domaine, donc je suis dans le deuxième cas de figure.

    Par contre d'après le site technet, l'approbation pourra éviter des problèmes d'authentification Kerberos entre les deux produits pour la bonne performance du PRO.

    http://technet.microsoft.com/fr-fr/library/ee236428.aspx


     


    • Modifié IT System lundi 16 janvier 2012 19:11
    lundi 16 janvier 2012 19:10
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Effectivement. C'est un cas de figure spécifique au pack d'administration VMM qui casse complètement le modèle de sécurité d'Operations Manager.

    Yann Gainche MVP Operations Manager http://www.gainche.net
    • Marqué comme réponse Florin Ciuca mardi 17 janvier 2012 16:04
    mardi 17 janvier 2012 06:23
    |
    Modérateur
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour @ tous,

    Merci Yann Gainche pour votre intervention, je viens de trouver un lien qui confirme ce que vous avez dit concernant la communication entre SCOM 2007 et les serveurs workgroup ou bien membres d'un autre domaine sans avoir une relation d'approbation entre les deux domaines.

    http://support.microsoft.com/kb/982910

     

    Best Regards
    mardi 17 janvier 2012 11:24
    |
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Merci pour votre retour :)

    mardi 17 janvier 2012 11:37
    |