none
Communication entre SCOM et des machines d'un autre domaine RRS feed

  • Question

  • Bonjour,

    Je cherche à ajouter des serveurs hyper-v integrés à un autre domaine pour les superviser à travers la console SCOM et activer l'option PRO.

    Merci en avance pour votre aide :)

    lundi 16 janvier 2012 16:28

Réponses

  • Bonjour,

    Contrairement à ce qu'affirme Bourbita Thameur, il n'y a pas besoin de relation d'approbation.

    Un agent SCOM ne peut communiquer avec une infrastructure SCOM que s'il y a une authentification mutuelle.

    Au sein d'une même forêt Active Directory, le service TGT distribue les certificats qui permettent cette authentification mutuelle. Si l'agent à superviser est en workgroup ou dans une forêt AD non approuvée, il faut avoir recours à des certificats.

    Deux cas de figure :

    1.      Vous voulez superviser des machines en Workgroup : Il faut distribuer un certificat sur chaque machine et un certificat sur les serveurs d’administration SCOM. Toutes les machines en Workgroup vont utiliser l’authentification par certificat.

    2.      Vous voulez superviser une forêt Active Directory non approuvée : Vous devez déployer le rôle SCOM Gateway sur l’une des machines de la forêt à superviser. Il faudra distribuer des certificats sur cette Gateway et sur les serveurs d’administration SCOM. Les agents seront gérés par la Gateway et utiliseront une authentification mutuelle Kerberos.

    Cordialement,


    Yann Gainche MVP Operations Manager http://www.gainche.net
    lundi 16 janvier 2012 18:18
    Modérateur
  • Effectivement. C'est un cas de figure spécifique au pack d'administration VMM qui casse complètement le modèle de sécurité d'Operations Manager.


    Yann Gainche MVP Operations Manager http://www.gainche.net
    • Marqué comme réponse Florin Ciuca mardi 17 janvier 2012 16:04
    mardi 17 janvier 2012 06:23
    Modérateur
  • Bonjour @ tous,

    Merci Yann Gainche pour votre intervention, je viens de trouver un lien qui confirme ce que vous avez dit concernant la communication entre SCOM 2007 et les serveurs workgroup ou bien membres d'un autre domaine sans avoir une relation d'approbation entre les deux domaines.

    http://support.microsoft.com/kb/982910

     


    Best Regards
    mardi 17 janvier 2012 11:24

Toutes les réponses

  • Bonjour,

    Pour autoriser la communication entre SCOM et SCVMM vous devez établir une relation d'approbation entre les deux domaines. 

    Pour avoir plus d'information merci de consulter les deux liens ci dessous :

    http://technet.microsoft.com/en-us/library/ee236428.aspx

    http://www.labo-microsoft.org/articles/win/trust/1/


    Best Regards
    lundi 16 janvier 2012 16:33
  • Bonjour,

    Contrairement à ce qu'affirme Bourbita Thameur, il n'y a pas besoin de relation d'approbation.

    Un agent SCOM ne peut communiquer avec une infrastructure SCOM que s'il y a une authentification mutuelle.

    Au sein d'une même forêt Active Directory, le service TGT distribue les certificats qui permettent cette authentification mutuelle. Si l'agent à superviser est en workgroup ou dans une forêt AD non approuvée, il faut avoir recours à des certificats.

    Deux cas de figure :

    1.      Vous voulez superviser des machines en Workgroup : Il faut distribuer un certificat sur chaque machine et un certificat sur les serveurs d’administration SCOM. Toutes les machines en Workgroup vont utiliser l’authentification par certificat.

    2.      Vous voulez superviser une forêt Active Directory non approuvée : Vous devez déployer le rôle SCOM Gateway sur l’une des machines de la forêt à superviser. Il faudra distribuer des certificats sur cette Gateway et sur les serveurs d’administration SCOM. Les agents seront gérés par la Gateway et utiliseront une authentification mutuelle Kerberos.

    Cordialement,


    Yann Gainche MVP Operations Manager http://www.gainche.net
    lundi 16 janvier 2012 18:18
    Modérateur
  • Merci pour vos éclaircissents sur ce sujet :)

    Les serveurs que je voudrai les superviser sont intégrés à un autre domaine, donc je suis dans le deuxième cas de figure.

    Par contre d'après le site technet, l'approbation pourra éviter des problèmes d'authentification Kerberos entre les deux produits pour la bonne performance du PRO.

    http://technet.microsoft.com/fr-fr/library/ee236428.aspx


     


    • Modifié IT System lundi 16 janvier 2012 19:11
    lundi 16 janvier 2012 19:10
  • Effectivement. C'est un cas de figure spécifique au pack d'administration VMM qui casse complètement le modèle de sécurité d'Operations Manager.


    Yann Gainche MVP Operations Manager http://www.gainche.net
    • Marqué comme réponse Florin Ciuca mardi 17 janvier 2012 16:04
    mardi 17 janvier 2012 06:23
    Modérateur
  • Bonjour @ tous,

    Merci Yann Gainche pour votre intervention, je viens de trouver un lien qui confirme ce que vous avez dit concernant la communication entre SCOM 2007 et les serveurs workgroup ou bien membres d'un autre domaine sans avoir une relation d'approbation entre les deux domaines.

    http://support.microsoft.com/kb/982910

     


    Best Regards
    mardi 17 janvier 2012 11:24
  • Merci pour votre retour :)

    mardi 17 janvier 2012 11:37