none
Gateway Server - SCOM 2007 R2 RRS feed

  • Pergunta

  • Boa Tarde , Pessoal ....

    Estou testando o SCOM 2007 R2 e preciso ver o Gateway Server Funcionando para possivel migracao. Tenho o Scom 2007 R2 instalado e funcionando dentro de meu Dominio e preciso monitorar maquina na DMZ de minha empresa. Vi todos pré-reqs necessarios e até já foram feitas as regras no FW para as portas solicitadas e tudo mais para chegar na DMZ.

    Mas estou com problemas na geracao de certificados e precisaria de uma ajuda de todos mais detalhada qto a geracao dos certificados entre o RMS e o Gateway Server.

    Teria alguma documentacao ou dicas para ajudar , por exemplo tenho agora tudo feito via Deploy Microsoft mas nao consigo monitorar servidores da DMZ. Ele até aparece no RMS mas sempre not monitoring ...

    Acredito ser problemas de geracao de certificados , pois o meu certificado foi gerado pelo admin do Dominio e nao sei se esse certificado server para nosso caso.

    Precisando de mais detalhes me comunique..

    Abrs.

     

     

     

     

     

     

     


    Rogerio Urives Scussel
    quarta-feira, 5 de maio de 2010 20:02

Respostas

  • Fala Rogerio,


    Basta você criar 1 Run As Account para este servidor:

     

     

    1. Open a Operations Console with OpsMgr administrative privileges

    2. Navigate to “Administration => Security => Run As Account”

    3. Right-click “Run As Account” and select create run as account

    4. In the Create Run As Account Wizard click “Next”.

    5. Select “Action account” in the Run As Account type list

    6. Type a display name in the Display Name text box

    7. Click Next

    8. On the Account page, type:

    a. Servername\username

    b. password

    c. The domain should be greyed out (Local machine account).

    9. Click Create to finish

     

    *Para organização do forum, não esqueça de marcar a(s) resposta(s).

     

    Abs,

     

    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    • Marcado como Resposta ROGERIO SCUSSEL quinta-feira, 17 de junho de 2010 14:06
    quinta-feira, 17 de junho de 2010 13:27

Todas as Respostas

  • Rogério, 


    Tudo bem?

    Vamos la...  Algumas documentações:

    certificado: http://technet.microsoft.com/en-us/library/bb735413.aspx
    gw: http://technet.microsoft.com/en-us/library/cc540382.aspx
    autenticação: http://technet.microsoft.com/en-us/library/bb735408.aspx

     

    Pergunta¹: todos os servidores da sua DMZ estão em outro dominio a parte?
    Caso eles não estejam, um GW não te ajuda. Você terá que gerenciar cada servidor através de certificado.

    Pergunta²: você fez o processo de requisição de certificado pro seu RMS? 
    Se não fez, faça! Utilize o mesmo processo de requisição do GW e utilize o MOMCertImport.exe

    Solicitação do certificado p/ GW:

    1) no GW faça o download do CA certificate chain e instale em "local computer"\"Trusted Root Certification Authorities"
    2) faça a requisição do certificado avançado... OID: 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 
    3) aprove o certificado no seu CA
    4) baixe e instale o certificado no GW
    5) faça o export do certificado e use o momcertimport.exe
    6) aprove o gw no RMS: microsoft.enterprisemanagement.gatewayapprovaltool.exe /managementservername=RMS.domain.com /gatewayname=GW.dmz.com /action=create
    7) instale os agents nos servidores DMZ e aponte o GW como Management Server;

     

    Boa sorte,


    Abs,


    Victor Walter

     

     


    ITIL V3/MCP/MCTS SCOM 2007
    quarta-feira, 5 de maio de 2010 20:34
  • Victor grato pela ajuda e algumas Informacaoes para Ajudar :

    RMS

    S.O Windows Server 2008

    DB : SQL 2008

    Gateway

    S.O Win2k8

    Solicitei para o meu Domain Admins gerar os Certificado apenas para o GW com aquelas caracteristicas OK ? e pelo que vi precisa ser feito um certificado para o RMS tambem ...OK ?...

    E minha DMZ se trata de uma workgroup nao tenho Domain na DMZ ? Teria problemas ? Assim soh poderiamos gerenciar via certificados ?

    Mas vou ler atentamente tudo q passou e testar novamente ...

     

    obrigado por enqto ...

     

     

     

    Nesse caso em que estou testando as maquinas na DMZ estao em Workgroups ...e nao em dominio ...OK ?

     

     


    Rogerio Urives Scussel
    quarta-feira, 5 de maio de 2010 21:08
  • Fala Rogerio,

     

    Então não tenho noticias muito boas para você...
    O SCOM trabalha com mutual authentication... se fosse 1 domínio na DMZ o GW se enquadraria perfeitamente...
    Como não é.. infelizmente você terá que trabalhar com 1 certificado para cada servidor DMZ...

    Abs,


    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    quarta-feira, 5 de maio de 2010 23:19
  • Ola Victor ,

     

    vejo em muitos posts eh bastante confuso essa parte de certificados , acredito que seja pq nao tenho grandes conhecimento sobre esse assunto mas estamos nos complicando nessa parte .

     

    Minha DMZ temos algumas workgroups e um dominio ...

     

    quer dizer que para as maquina em workgroups , nao tem como instalar o GW ...isso será via certificado ? como funciona isso ? teria como explanar ?

     

    muito obrigado por enqto....


    Rogerio Urives Scussel
    quinta-feira, 6 de maio de 2010 20:06
  • Fala Rogério,


    Então vamos la... 

    O SCOM trabalha com autenticação via AD ou certificado.

    A funcionalidade do GW Server é autenticar um outro domínio no seu RMS.
    A autenticação do GW com o RMS é feita via certificado e ele será o responsável por gerenciar (praticamente 1 Management Server) todos os servidores abaixo dele no domínio. 

    Já os servidores (DMZ ou NÃO DMZ) que encontram-se fora dos domínios devem ser autenticados através de certificado (já que fazem parte do domínio).

    Você terá que gerar 1 certificado para cada servidor WORKGROUP da sua DMZ... e verificar se compensa por 1 GW Server no seu Dominio DMZ. Se forem poucos servidores, você pode também autentica-los via certificado.

     

    Abs,


    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    quinta-feira, 6 de maio de 2010 20:15
  • Perfeito , ele funcionará como se fosse Management Server dos Dominio da DMZ......

    Mas apesar de serem regras e hw´s importantes , sao poucos servidores ...assim sendo tlz efetuar via certificado seja melhor negocio.

    Existe para esse cenario alguma doctacao , para ser colocada junto no projeto ?

    Pois a geracao de certificados que temos e vc nos enviou é para DMZ com Dominios ....ok ?

     

    obrigado.

     

     


    Rogerio Urives Scussel
    quinta-feira, 6 de maio de 2010 20:22
  • Se são poucos servidores.. também acho q nao compensa por 1 GW.

    Os requisitos para certificado de GW e servidor Stand Alone são os mesmos...

    A única diferença é a parte de aprovação na console do SCOM. Os servidores via certificados ficaram pendentes no Pending Management e basta você aprová-los. Não precisando executar o comanado de aprove igual o GW Server.


    Abs,


    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    quinta-feira, 6 de maio de 2010 20:30
  • Perfeito ...

    Como nao sou do Grupo Enterprise Admins de meu Dominio , solicitarei a criacao do certificados para o RMS e para os servidores a meus admins.

    Vms ver se funciona ...

     

    no Mais mto obrigado,.

     

     


    Rogerio Urives Scussel
    quinta-feira, 6 de maio de 2010 20:36
  • Boa Sorte e nos informe se funcionou.

     

    Abs,


    Victor Walter

     

     


    ITIL V3/MCP/MCTS SCOM 2007
    quinta-feira, 6 de maio de 2010 20:42
  • Rogério, Bom dia!

     

    Alguma novidade sobre este assunto?

     

    Abs,


    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    quarta-feira, 12 de maio de 2010 11:50
  • Entao , cara ....

    Tenho os certificados criados pelo Admins , um para o servidor RMS e outro para o servidor workgroup da DMZ.

    Para q essa maquina na DMZ reconheca a maquina de RMS , devo rodar o momcertimport ou nao ? Já q ela nao pode ser meu GW pois nao está em nenhum dominio a relacao entre elas é feita via certificados mas o que garante comunicacao entre as duas ? ...

    as portas necessarias para comunicacao ja estao prontas ....

    abrs...

     

     

     


    Rogerio Urives Scussel
    quinta-feira, 27 de maio de 2010 20:13
  • Roda o MOMCertImport com o certificado dmz na dmz...
    Roda o MOMCertImport com o certificado do RMS no RMS..

     

    depois verifique se o agent apareceu no Pending Management.

     

    Abs,

     

    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    quinta-feira, 27 de maio de 2010 20:30
  • Ola , boa tarde ...

     

    Entao consegui fazer funcionar via certificados SCOM sem gateway server ...como vc disse e tudo mais.

    Mas me apresenta um erro sobre um conceito do Scom que nao compreendo que é RUN as ACCOUNTS .....

    Essa maquina está na DMZ e fora do Dominio e está dando o erro no Run As Successful Logon Check , essa opção aparece em vermelho no Health Explorer ...

    Preciso ter uma conta para administrar maquina via certificados ? nao entendo o conceito ...

    abrs e obrigado pela ajuda de sempre.;..

     

     

     


    Rogerio Urives Scussel
    segunda-feira, 7 de junho de 2010 20:42
  • Fala Rogerio,


    Basta você criar 1 Run As Account para este servidor:

     

     

    1. Open a Operations Console with OpsMgr administrative privileges

    2. Navigate to “Administration => Security => Run As Account”

    3. Right-click “Run As Account” and select create run as account

    4. In the Create Run As Account Wizard click “Next”.

    5. Select “Action account” in the Run As Account type list

    6. Type a display name in the Display Name text box

    7. Click Next

    8. On the Account page, type:

    a. Servername\username

    b. password

    c. The domain should be greyed out (Local machine account).

    9. Click Create to finish

     

    *Para organização do forum, não esqueça de marcar a(s) resposta(s).

     

    Abs,

     

    Victor Walter


    ITIL V3/MCP/MCTS SCOM 2007
    • Marcado como Resposta ROGERIO SCUSSEL quinta-feira, 17 de junho de 2010 14:06
    quinta-feira, 17 de junho de 2010 13:27
  • Muito obrigado e testarei o post anterior.
    Rogerio Urives Scussel
    quinta-feira, 17 de junho de 2010 14:06