none
如何使用SCOM 2007管理Workgroup的Server 2008 , 憑證安裝問題 RRS feed

解答

  • 你先按造這篇TechNet文章做看看 , 不確定你的Certificate Template是否有做錯

    How to Obtain a Certificate Using Windows Server 2003 Enterprise CA in Operations Manager 2007
    http://technet.microsoft.com/en-us/library/bb735413.aspx

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月1日 上午 05:35
  • 應該有 "將金鑰標示成可匯出" 的選項吧? 我的環境內有此選項 , 不管有沒有都先作申請憑證安裝的動作

    然後透過下面方式檢察存放的位置是否正確

    1. 透過 mmc - 檔案 - 新增/移除嵌入式管理單元 - 新增"憑證" , 並加入"我的使用者帳戶" & "電腦帳戶" 兩個

    2. 然後檢查剛剛安裝的憑證是在使用者帳戶裡面的個人還是在電腦帳戶裡面的個人

    3. 如果是在使用者帳戶內的個人 , 請將那張憑證移動到電腦帳戶裡面的個人存放區內

    這樣看看是否改善你的問題

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月2日 上午 04:37
  • 我花了一點時間建了一個SCOM 2007 環境
    (Server 2003 SP2 DC & CA & SCOM2007 with KB922706 installed & 沒加入網域的Server 2008 workstation)

    參考了這篇文章做測試 - http://blogs.technet.com/b/smsandmom/archive/2008/09/10/opsmgr-2007-monitoring-an-agent-in-a-non-trusted-domain.aspx

    是可以成功的 , 幾個要注意的動作可能是下面幾點

    1. 申請完憑證後 , 透過 mmc 介面去將他匯出(匯出私密金鑰)
        然後透過 MOMCertImport.exe的方式去做匯入 C:\MOMCertImport.exe C:\cert.pfx  (SCOM server & Client都這樣做)

    2. 檢查SCOM管理介面 - 左邊的管理(Administration) - 設定(Settings) - 右邊的安全性(Security) - 檢查是否允許手動安裝Agent的電腦

    3. 步驟一做完後分別要在Server & Client上面重新啟動 OpsMgr Health Service

    4. Root CA的憑證要確認安裝在使用者 & 電腦裡面的信任的根憑證存放區內 (透過 mmc 做檢查)

    上面那篇Blog文章跟之前那篇TechNet文章基本上差不多 , 你可以看一下是否哪些地方有疏忽 , 然後在確認看看

    我確認過是可以運作的 , 跟Server 2003是否有安裝那隻更新比較沒有關係

    PS: 按造上面動作做完後 , 我在SCOM上面有看到Server 2008 , 不過狀態不會更新 , Client端會報 21070 & 21016的錯誤
          後來我將Server 2008設定DNS尾碼 , 然後重新申請憑證 , 將SCOM上面的舊名稱刪除 , 重新安裝Agent後 , 重新啟動服務 , 就正常了
          (不確定尾碼部分是否為必須 , 你可以試試看)

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年6月6日 下午 12:58
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月3日 上午 03:47
  • 如果你有切網段的話 , 中間的網路設備如果有設防火牆規則 , 可能要設定一下某些Port允許

    Using a Firewall with Operations Manager 2007
    http://technet.microsoft.com/da-dk/library/cc540431(en-us).aspx

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月3日 上午 10:24

所有回覆

  • 你的CA是 2008 還是 2003? "請安裝這個 CA 憑證鏈結"無法點選是看的到沒辦法點? 還是不見了?

    麻煩在詳述一下你的狀況吧

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年5月28日 上午 03:22
  • 你的CA是 2008 還是 2003? "請安裝這個 CA 憑證鏈結"無法點選是看的到沒辦法點? 還是不見了?

    麻煩在詳述一下你的狀況吧

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站


    講一下我的應用環境好了

    我有一台win2003 server上面架了SCOM2007

    而這台SCOM2007的CA是自己發出的

    現在有一台 win2008的server要安裝SCOM的agent

    但這台WIN2008的server並不在網域內

    所以只能手動安裝憑證跟Agent

    如果還沒安裝更新時

    點選了"請安裝這個 CA 憑證鏈結"

    會一直卡在"正在下載Activex控制項"然後就沒動作了

    但裝了那個更新檔後

    變成"請安裝這個 CA 憑證鏈結"這個鏈結被拿掉了

    網頁上可以看到"請安裝這個 CA 憑證鏈結"但沒有鏈結了

    2010年5月31日 上午 06:53
  • 我之前CA也這樣,有個win2003的patch裝了就可以修復CA網頁的問題,只是抱歉我現在找不到那個patch的編號,不然你用一台XP去下載憑證應該也是可以的.
    2010年5月31日 上午 07:42
  • 我之前CA也這樣,有個win2003的patch裝了就可以修復CA網頁的問題,只是抱歉我現在找不到那個patch的編號,不然你用一台XP去下載憑證應該也是可以的.

    SEN大......您說的應該是修正"正在下載activex控制項"這個問題吧!!

    這個修正的path我裝上去就會變成另一個問題

    所以目前還是很苦腦中呢!!

    哈哈
    2010年5月31日 上午 07:57
  • 可以的話把你有問題的畫面擷取圖片給我看看

    我看了一下我的測試環境 , "安裝這個憑證連結"的選項是存在的 , 如此張圖片

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年5月31日 上午 08:16
  • 可以的話把你有問題的畫面擷取圖片給我看看

    我看了一下我的測試環境 , "安裝這個憑證連結"的選項是存在的 , 如此張圖片

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站

    好的!我再把畫面貼上~~

    不過要等我研究一下

    謝謝囉!!
    2010年5月31日 上午 08:46
  • Vincent大....以下是我擷取的畫面
    http://yfrog.com/2o48941677j .......未安裝修正檔
    http://yfrog.com/3v15060244j .......已安裝修正檔

    另外我看了您的畫面,您的IE應該是6.0版吧!?
    還有您的系統應該是Win2003吧!?

    小弟要申請憑證的系統是Win2008+IE8的環境
    而發憑證的才是Win2003+IE6
    可能要麻煩Vincent大再確認一下

    2010年6月1日 上午 04:21
  • 我用Server 2008 R2的話 , 的確上面文字的超連結會不見 (一開始我沒注意到 , 我以為是下方連結不見)

    你有試過點選下面的"下載CA憑證連結" , 然後做安裝看看嗎?

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    2010年6月1日 上午 05:07
  • Vincent大…如果是用下面的"下載CA憑證連結"是可以安裝
    因為這是SCOM的憑證
    在做完這些動做後續還有其他要做的動作
    像在進階憑證要求的部份
    裡面有一個是"向這個CA建立並提交一個要求"
    在這邊是需要勾選"將金龠標示成可匯出"
    這樣才會出現"將憑證存放在本機電腦憑證存放區"
    這樣才能要求一個新的憑證及安裝
    以上是正確的步驟
    但在Win2008+IE8的部份是無法勾選那兩個選項的
    所以會導致後續的工作無法完成
    我自己也有試過手動安裝憑證等等的程序
    但就是一直無法成功@@
    可能還要麻煩Vincent大看看囉!!

    2010年6月1日 上午 05:15
  • 你先按造這篇TechNet文章做看看 , 不確定你的Certificate Template是否有做錯

    How to Obtain a Certificate Using Windows Server 2003 Enterprise CA in Operations Manager 2007
    http://technet.microsoft.com/en-us/library/bb735413.aspx

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月1日 上午 05:35
  • 你先按造這篇TechNet文章做看看 , 不確定你的Certificate Template是否有做錯

    How to Obtain a Certificate Using Windows Server 2003 Enterprise CA in Operations Manager 2007
    http://technet.microsoft.com/en-us/library/bb735413.aspx

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站

    Vincent大.....您這邊指出的Certificate Template是指當初建立的Certificate嗎?
    因為SCOM是有廠商來建置的
    這部份我並沒有參與到
    若是Certificate Template有問題
    應該在Win2003+IE6的環境下要安裝Certificate時也會有問題吧!?
    但我在Win2003+IE6是正常的
    所以覺得很怪=.=
    2010年6月1日 上午 05:50
  • Vincent大.....我試著重做一次憑證,但還是一樣的問題耶!!
                       這問題還真是棘手啊~~
    2010年6月2日 上午 01:53
  • 應該有 "將金鑰標示成可匯出" 的選項吧? 我的環境內有此選項 , 不管有沒有都先作申請憑證安裝的動作

    然後透過下面方式檢察存放的位置是否正確

    1. 透過 mmc - 檔案 - 新增/移除嵌入式管理單元 - 新增"憑證" , 並加入"我的使用者帳戶" & "電腦帳戶" 兩個

    2. 然後檢查剛剛安裝的憑證是在使用者帳戶裡面的個人還是在電腦帳戶裡面的個人

    3. 如果是在使用者帳戶內的個人 , 請將那張憑證移動到電腦帳戶裡面的個人存放區內

    這樣看看是否改善你的問題

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月2日 上午 04:37
  • Vincent大…我目前也在測試直接安裝及要求憑證的可行性,我完成了所有scom2007 agent的安裝動作,但在operation manager會一直出現錯誤,代碼是21007、21016,大概的意思就是我的那台scom主機不在信任的網域內,這樣看起來應該是憑證無法對應的問題,所以應該是無法用手動安裝憑證。

    2010年6月2日 上午 06:36
  • 我花了一點時間建了一個SCOM 2007 環境
    (Server 2003 SP2 DC & CA & SCOM2007 with KB922706 installed & 沒加入網域的Server 2008 workstation)

    參考了這篇文章做測試 - http://blogs.technet.com/b/smsandmom/archive/2008/09/10/opsmgr-2007-monitoring-an-agent-in-a-non-trusted-domain.aspx

    是可以成功的 , 幾個要注意的動作可能是下面幾點

    1. 申請完憑證後 , 透過 mmc 介面去將他匯出(匯出私密金鑰)
        然後透過 MOMCertImport.exe的方式去做匯入 C:\MOMCertImport.exe C:\cert.pfx  (SCOM server & Client都這樣做)

    2. 檢查SCOM管理介面 - 左邊的管理(Administration) - 設定(Settings) - 右邊的安全性(Security) - 檢查是否允許手動安裝Agent的電腦

    3. 步驟一做完後分別要在Server & Client上面重新啟動 OpsMgr Health Service

    4. Root CA的憑證要確認安裝在使用者 & 電腦裡面的信任的根憑證存放區內 (透過 mmc 做檢查)

    上面那篇Blog文章跟之前那篇TechNet文章基本上差不多 , 你可以看一下是否哪些地方有疏忽 , 然後在確認看看

    我確認過是可以運作的 , 跟Server 2003是否有安裝那隻更新比較沒有關係

    PS: 按造上面動作做完後 , 我在SCOM上面有看到Server 2008 , 不過狀態不會更新 , Client端會報 21070 & 21016的錯誤
          後來我將Server 2008設定DNS尾碼 , 然後重新申請憑證 , 將SCOM上面的舊名稱刪除 , 重新安裝Agent後 , 重新啟動服務 , 就正常了
          (不確定尾碼部分是否為必須 , 你可以試試看)

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年6月6日 下午 12:58
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月3日 上午 03:47
  • Vincent大....我照你的方式做過了一次 ,而且是在一台新的機器上,整個是乾淨的,但還是一樣的情形,更慘的是我連scom的主機都不會顯示該主機,我在想是不是因為我這的環境是有切網段的關係,我測試的主機跟scom的主機是不同網段的。
    2010年6月3日 上午 08:39
  • 如果你有切網段的話 , 中間的網路設備如果有設防火牆規則 , 可能要設定一下某些Port允許

    Using a Firewall with Operations Manager 2007
    http://technet.microsoft.com/da-dk/library/cc540431(en-us).aspx

    Thanks


    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已標示為解答 Pedro YU 2010年6月9日 上午 01:34
    2010年6月3日 上午 10:24
  • Vincent大~我今天會建一個同網段機器測試,看最後測試結果再上來向大家報告!!
    2010年6月8日 上午 01:05
  • 昨天安裝一台win2008 r2的測試機,並使用跟scom主機同一網段ip,手動安裝憑證後安裝agent及匯入憑證,scom的監控畫面可以正確顯示該測試主機,並不用加上dns尾碼,但另一台在DMZ區的主機確實無法正確連到scom主機,應該是防火牆及IPS有檔到PORT,謝謝VICENT大的協助,這個問題可以說是告一段落了。
    2010年6月9日 上午 01:34