none
SCOM 2007 R2 + SCOM Gateway + SCOM Агенты в Workgroup RRS feed

  • Вопрос

  • Добрый день,

    БЫстрый поиск по форуму исчерпывающего ответа мне не дал.

    Собственно стоит задача выбора системы мониторинга. В данный момент рассматриваем (изучаем) SCOM 2007 R2.

    Про мониторинг серверов внутри домена - все ясно.

    Про мониторинг серверов из другого домена - с использование сертификатов и установкой SCOM Gateway:

    1) Допустим мы хоти мониторить другой домен (нет доверительных отношений), в другой подсети , с которой у нас нет связи кроме как через БЕЛЫЕ IP. При установке SCOM Gateway он спрашивает адрес RMS - понятное дело что ВНЕШНЕЕ FQDN нашего БЕЛОГО IP отличается от FQDN RMS сервера. Соответственно SCOM Gateway не функционирует пока в DNS другого домене (или в etc\hosts GATEWAY server) не пропишеш запись типа A - FQDN of RMS -> НАШ БЕЛЫЙ IP. После этой процедуры все начинает работать - я так понимаю это происходит из за ИМЕН указанных при создании сертификатов для RMS и GWS. ВОПРОС  Так и задумано? Можно как то обойти указания внутреннего имени RMS?

    2) есть необходимость мониторить порядка 100 (сто) серверов которые находятся в Workgroup. Сервера разбросаны по географическим локациям. В домен их ввести нет возможности. Как мы поняли из документации чтобы подключить все эти сервера к GWS (который к примеру будет установлен у нас в DMZ) необходимо для КАЖДОГО сервера генерировать сертификат - это утверждение верно? Нет другого способа?

    Спасибо,

    С уважением Олег

    28 апреля 2011 г. 6:41

Ответы

  • 1. Связка FQDN_RMS и FQDN_указанный_в_сертификате должны указывать на IP вашего RMS. Соответственно когда они совпадают, всё работает.

    2. Да, для каждого необходим сертификат.

    Все эти требования связаны с тем, что трафик между агентом и сервером шифруется (с помощью Kerberos в пределах действия доверия, и с помощью сертификатов во всех оставльных случаях).


    http://opsmgr.ru
    • Помечено в качестве ответа tomasvl 30 апреля 2011 г. 9:06
    28 апреля 2011 г. 7:13
    Отвечающий
  • 1. "Связка FQDN_RMS и FQDN_указанный_в_сертификате" здесь вообще не при чем.

    tomasvl,

    когда вы указываете "белый" FQDN менеджмент сервера, которому должен пересылать данные Gateway, Gateway соединяется с ним и принимает конфигурацию (котороую затем сохраняет в файл и использует). В этой конфигурации содержится в том числе настоящее имя менеджмент сервера("серый" FQDN, потому что об остальных "своих" именах менеджмент сервер "не знает"). После активации этой конфигурации Gateway пытается соединиться с менеджмент сервером используя "внутреннее"(настоящее) имя. Поэтому нужно создавать или hosts-файл или конфигурировать разрешение внутренних имен через DNS. Обойти это нельзя.


    http://OpsMgr.ru/
    • Помечено в качестве ответа tomasvl 30 апреля 2011 г. 9:06
    28 апреля 2011 г. 10:46
    Отвечающий

Все ответы

  • 1. Связка FQDN_RMS и FQDN_указанный_в_сертификате должны указывать на IP вашего RMS. Соответственно когда они совпадают, всё работает.

    2. Да, для каждого необходим сертификат.

    Все эти требования связаны с тем, что трафик между агентом и сервером шифруется (с помощью Kerberos в пределах действия доверия, и с помощью сертификатов во всех оставльных случаях).


    http://opsmgr.ru
    • Помечено в качестве ответа tomasvl 30 апреля 2011 г. 9:06
    28 апреля 2011 г. 7:13
    Отвечающий
  • 1. "Связка FQDN_RMS и FQDN_указанный_в_сертификате" здесь вообще не при чем.

    tomasvl,

    когда вы указываете "белый" FQDN менеджмент сервера, которому должен пересылать данные Gateway, Gateway соединяется с ним и принимает конфигурацию (котороую затем сохраняет в файл и использует). В этой конфигурации содержится в том числе настоящее имя менеджмент сервера("серый" FQDN, потому что об остальных "своих" именах менеджмент сервер "не знает"). После активации этой конфигурации Gateway пытается соединиться с менеджмент сервером используя "внутреннее"(настоящее) имя. Поэтому нужно создавать или hosts-файл или конфигурировать разрешение внутренних имен через DNS. Обойти это нельзя.


    http://OpsMgr.ru/
    • Помечено в качестве ответа tomasvl 30 апреля 2011 г. 9:06
    28 апреля 2011 г. 10:46
    Отвечающий
  • Всем спасибо за исчерпывающие ответы.

    Тема закрыта

    30 апреля 2011 г. 9:08