none
использование сервера шлюза RRS feed

  • Вопрос

  • Добрый день.

    Есть единый домен. Серверы мониторинга SCOM 2012. В домене есть защищенный сегмент сети (защищен фаерволлом), в котором установлены серверы, за которыми необходимо следить (мониторить)
    Есть ли смысл ставить в данный защищенный сегмент устанавливать сервер шлюза, для передачи данных серверам управления SCOM? 
    В библиотеке описано, что использование сервера шлюза необходимо при разных доменов..

    C уважением к Вам, Я

Ответы

  • Читайте документ приведенный вами же до полного понимания. Не один абзац, а все подряд.

    System Center 2012 – Operations Manager requires mutual authentication be performed between agents and management servers prior to the exchange of information between them.  To secure the authentication process between the two, the process is encrypted.  When the agent and the management server reside in the same Active Directory domain or in Active Directory domains that have established trust relationships, they make use of Kerberos V5 authentication mechanisms provided by Active Directory. When the agents and management serversdo not lie within the same trust boundary, other mechanisms must be used to satisfy the secure mutual authentication requirement.

    Все это относится и к Gateway. GW по сути - расширенный агент. Он использует АБСОЛЮТНО те же механизмы аутентификации. И если он находится в том же домене - никакие other mechanisms не нужны. Вам уже об этом сказал Володя. Но вы упорствуете. Прежде чем упорно писать что что-то "не получится", стоило хотя бы попробовать это на практике. Ну или уж погуглить на худой конец - интернет полон постингов о том как люди по разным причинам устаналивают гейтвеи внутри одного леса...

     


    http://OpsMgr.ru/

    • Предложено в качестве ответа egoncharov 4 июля 2013 г. 3:43
    • Помечено в качестве ответа MeLo4 4 июля 2013 г. 5:49
    Отвечающий
  • Спасибо.

    Как я и думал. Жаль что в одном домене все равно необходимо использовать сертификаты.


    C уважением к Вам, Я


    Внутри одного леса нет необходимости использовать сертификаты. Сертификаты требуются в случаях, когда нет доверенных отношений между лесами(!) и для компьютеров в рабочей группе.

    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    • Помечено в качестве ответа MeLo4 4 июля 2013 г. 5:49
    3 июля 2013 г. 13:16
    Отвечающий

Все ответы

  • Сколько у вас серверов за фаером, которые нужно мониторить?

    Если несколько штук, то смысла в шлюзе нет. А вообще шлюз необходим в следующих случаях:

    • Снижение административной нагрузки. Установить агента SCOM на сервер рабочей группы та еще задача.
    • Минимизация сетевых правил на фаере. Иными словами, вам надо будет прописать правило только для шлюза, а не для каждого сервера для взаимодействия с сервером управления
    • Снижение сетевого трафика.
  • Спасибо, за ответ.

    Мне скорее всего полезно использовать вариант (т.к. стоит фаервол между защищенным сегментом и серверами SCOM): 

    • Минимизация сетевых правил на фаере. Иными словами, вам надо будет прописать правило только для шлюза, а не для каждого сервера для взаимодействия с сервером управления

    В данном случае необходимо использовать сертификаты? Т.е. нужен сервак с  ролью ЦС (CA).

    Сервер шлюза получается должен стоять внутри защищенного сегмента? 


    C уважением к Вам, Я

  • Рекомендуется использовать внутренний ЦС. Но если нет возможности, то можно попробовать и на самоподписанных, но это увеличивает административную нагрузку и является неподдерживаемым вариантом.

    Сервер шлюза должен стоят внутри защищенного сегмента. На фаере только для него пропишите правила согласно http://technet.microsoft.com/en-us/library/jj656654.aspx#BKMK_Firewall

  • Спасибо.

    Как я и думал. Жаль что в одном домене все равно необходимо использовать сертификаты.


    C уважением к Вам, Я

    3 июля 2013 г. 11:32
  • Спасибо.

    Как я и думал. Жаль что в одном домене все равно необходимо использовать сертификаты.


    C уважением к Вам, Я


    Внутри одного леса нет необходимости использовать сертификаты. Сертификаты требуются в случаях, когда нет доверенных отношений между лесами(!) и для компьютеров в рабочей группе.

    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    • Помечено в качестве ответа MeLo4 4 июля 2013 г. 5:49
    3 июля 2013 г. 13:16
    Отвечающий
  • Ясно. 

    Как тогда настроить шлюз? Без сертификатов? 

    Просто в сценариях со OpsMgr без сертификатов в библиотеке - нет.


    C уважением к Вам, Я

    3 июля 2013 г. 13:19
  • Ясно. 

    Как тогда настроить шлюз? Без сертификатов? 

    Просто в сценариях со OpsMgr без сертификатов в библиотеке - нет.


    C уважением к Вам, Я


    Будет использоваться Kerberos. По сути GW - это чуть меньше, чем менеджмент сервер и чуть больше, чем агент, т.е. методы аутентификации ровно те же.

    Vladimir Zelenov | http://systemcenter4all.wordpress.com

    3 июля 2013 г. 13:33
    Отвечающий
  • Т.е. настраивать ничего на сервере шлюза и агентах ничего не нужно? 

    На агентах в свойствах указать уже не серверы управления, а шлюз? 

    В тех.нете описано: 

    1. Request certificates for any computer in the agent, gateway server, management server chain.

    2. Import those certificates into the target computers by using the MOMCertImport.exe tool.

    3. Distribute the Microsoft.EnterpriseManagement.GatewayApprovalTool.exe to the management server.

    4. Run the Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tool to initiate communication between the management server and the gateway

    5. Install the gateway server.

    Т.е. в моем случае пропускаются пп 1 и 2?

    Спасибо.


    C уважением к Вам, Я

    3 июля 2013 г. 13:42
  • а без сертов не получится. Просто в вашем случае используейте самоподписанные. Ну и естественно они должны быть в корневых доверенных центрах каждого сервера SCOM (MS и GW)

    3 июля 2013 г. 13:47
  • а без сертов не получится. Просто в вашем случае используейте самоподписанные. Ну и естественно они должны быть в корневых доверенных центрах каждого сервера SCOM (MS и GW)

    Ясно - как и описано в библиотеке :) 
    Просто bobgreen84 написал "Будет использоваться Kerberos", я так понимаю описал без сертификатов... Или я ошибаюсь.

    C уважением к Вам, Я

    3 июля 2013 г. 13:52
  • Kerberos используется между MS серверами SCOM и его агентами, между MS и GW используется mutual tls, а для этого нужны серты

    http://technet.microsoft.com/en-us/library/hh487288.aspx

    3 июля 2013 г. 13:56
  • Интересно ,что тогда имел ввиду bobgreen84?...

    C уважением к Вам, Я

    3 июля 2013 г. 14:15
  • Установка gateway в том же домене, что и менеджмент серверы - крайний вариант, который используется только когда есть требование\возможность открыть порт из некоего закрытого сегмента(DMZ например) ТОЛЬКО для одного компьютера. Судя по всему у вас в закрытом сегменте серверы являются членами того же домена, что и во всех остальных сегментах, так? В этом случае самый простой вариант для вас это открыть порты для kerberos и TCP5723 из защищенного сегмента в общий (незащищенный) и НЕ использовать гейтвеи.

    Гейтвей добавит сложности в распространении конфигураций агентам и добавит задержку в ее применении. Если серверов управления несколько, то гейтвей добавит вам точку отказа (при проблемах с гейтвеем агенты не будут посылать информацию никому больше). Ну и все это добавит сложности в управлении системой в целом.

    Для установки гейтвея в том же домене, что и менеджмент серверы вам НЕ нужны никакие сертификаты. Володя уже это объяснял. Не слушайте бредни про "Kerberos используется между MS серверами SCOM и его агентами, между MS и GW используется mutual tls".

    Да, чтобы установить гейтвей в том же домене вам нужно будет сделать все по инструкции, пропустив пункты про сертификаты. Ну и не забыть открыть порты для kerberos, если они не открыты (что сомнительно, так как у вас серверы защищенного сегмента в том же домене)...


    http://OpsMgr.ru/

    3 июля 2013 г. 16:11
    Отвечающий
  • Алексей, часто пользовался информацией полученной от вас и она мне всегда помогала. И спасибо вам еще раз за ваш комментарий, особенно за "бредни". Видимо вы никогда не ошибаетесь.

    По теме... вот линк. Там явно указано:

    To support the mandatory secure mutual authentication between the gateway servers and the management servers, certificates must be issued and installed, but only for the gateway and management servers.

    Теперь прошу указать, где я ошибся исходя из документации Microsoft? Готов признать свою ошибку. И если можно, пришлите информацию где указано, что GW с MS может взаимодействовать через Kerberos. Будет полезно на будущее.

    3 июля 2013 г. 17:56
  • Читайте документ приведенный вами же до полного понимания. Не один абзац, а все подряд.

    System Center 2012 – Operations Manager requires mutual authentication be performed between agents and management servers prior to the exchange of information between them.  To secure the authentication process between the two, the process is encrypted.  When the agent and the management server reside in the same Active Directory domain or in Active Directory domains that have established trust relationships, they make use of Kerberos V5 authentication mechanisms provided by Active Directory. When the agents and management serversdo not lie within the same trust boundary, other mechanisms must be used to satisfy the secure mutual authentication requirement.

    Все это относится и к Gateway. GW по сути - расширенный агент. Он использует АБСОЛЮТНО те же механизмы аутентификации. И если он находится в том же домене - никакие other mechanisms не нужны. Вам уже об этом сказал Володя. Но вы упорствуете. Прежде чем упорно писать что что-то "не получится", стоило хотя бы попробовать это на практике. Ну или уж погуглить на худой конец - интернет полон постингов о том как люди по разным причинам устаналивают гейтвеи внутри одного леса...

     


    http://OpsMgr.ru/

    • Предложено в качестве ответа egoncharov 4 июля 2013 г. 3:43
    • Помечено в качестве ответа MeLo4 4 июля 2013 г. 5:49
    Отвечающий
  • С трудом, но удалось найти информацию о том, как люди инсталлят GW в пределах одного домена. Действительно, не нужны сертификаты. Алексей, признаю что ошибался и спасибо что не дали ввести человека в заблуждение.

    К сожалению, технет так явно не описывает что "GW - это расширенный агент" и для него в пределах трастов не нужны сертификаты, а в практике были только шлюзы в DMZ и других доменах. Тем более в статье говорится только о взаимодействии агентов и MS. Ну что ж, будем знать.


    • Изменено egoncharov 4 июля 2013 г. 3:44 addition
  • Технет это не описывает, потому что назначение гейтвея - упрощать взаимную аутентификацию там, где это по определению сложно сделать без него. Он никогда не предназначался для использования в одном домене, более того - это не рекомендуемая конфигурация и для ее использования должны быть веские основания. Я видел только одно такое основание за всю практику - служба безопасности категорически против открытия портов 5723 для всех серверов, находящихся в DMZ, и согласна открыть только для одного.

    http://OpsMgr.ru/

    Отвечающий
  • Технет это не описывает, потому что назначение гейтвея - упрощать взаимную аутентификацию там, где это по определению сложно сделать без него. Он никогда не предназначался для использования в одном домене, более того - это не рекомендуемая конфигурация и для ее использования должны быть веские основания. Я видел только одно такое основание за всю практику - служба безопасности категорически против открытия портов 5723 для всех серверов, находящихся в DMZ, и согласна открыть только для одного.

    http://OpsMgr.ru/

    Спасибо, за ответ! 

    А есть где нибудь информация или best practies, что сервер шлюза в одном домене использовать крайне не желательно? 


    C уважением к Вам, Я

  • Как официальный документ - наверное нет. Есть хорошее обсуждение: http://social.technet.microsoft.com/Forums/systemcenter/en-US/6dae0b67-714a-4b89-8120-6981637a3707/scom-management-server-not-communicating-with-root-management-server


    http://OpsMgr.ru/

    Отвечающий
  • Я бы отметил еще один момент - если у вас несколько серверов управления, то при отказе одного должен сработать фейловер. А если шлюзовой сервер только один, то он будет точкой отказа. Тогда есть смысл подумать о нескольких шлюзовых серверах.   
  • Немного не понятно.

    Если отказал серверу управления, то агенты же кешируют инфу и сами являются точками отказа...


    C уважением к Вам, Я

    9 июля 2013 г. 10:26
  • Немного не понятно.

    Если отказал серверу управления, то агенты же кешируют инфу и сами являются точками отказа...


    C уважением к Вам, Я

    Рассмотрим гипотетическую ситуацию - у вас есть шлюзовой сервер, через который рапортует X серверов в DMZ. Больше эти сервера никуда достучаться не могут. Шлюз вышел из строя, агенты действительно кешируют информацию о алертах.  Но, насколько я понимаю не бесконечно. Кроме того, до поднятия сервера шлюза состояние этих серверов не известно. Чтобы такой ситуации не было, имеет смысл подумать о втором шлюзовом сервере. Сами агенты также являются точкой отказа, но тут уже ничего не поделать.
    9 июля 2013 г. 10:47