SCOMR2部署03-复杂环境的部署.docx

SCOM 2007 R2(OpsMgr) 电子手册之OpsMgr复杂环境部署2009年6月 CoreIO技术专家Leo Huang 目 录环境三单一管理组,多管理服务器3【1】环境9台服务器3【2】环境拓扑3【3】安装软件清单4【4】安装帐号管理4【5】安装SCOM R2管理服务器4【6】分配代理给管理服务器9【附】代理客户端转移管理服务器18环境四Gateway服务器安装21【1】环境两个非信任域，8台服务器。21【2】拓扑简图21【3】安装软件清单21【4】安装证书中心22【5】为根管理服务器导入信任证书23【6】为Gateway Server（网关服务器）导入信任证书28【7】为根管理服务器申请证书29【8】为根管理服务器批准申请但是挂起的证书32【9】在根管理服务器安装批准的证书34【10】为Gateway Server（网关服务器）申请证书36【11】在根管理服务器配置证书37【12】在根管理服务器批准网关服务器38【13】在网关服务器安装网关角色401）安装SCOM R2 Gateway402) 在网关服务器配置证书43【14】在MSGZ域中的计算机手动安装SCOM R2代理451）允许手动客户端自动批准452）安装SCOM R2代理程序46【附】排错52环境三单一管理组,多管理服务器【1】环境9台服务器 在原来Test管理组中添加两台管理服务器并添加4台客户端服务器，“单一管理组，双服务器的部署”请参考SCOM R2简单环境部署* 域控制器：, SCOM代理客户端* SCOM根管理服务器：，安装SCOM服务器和管理控 制台（Web 控制台和Command Shell可选）* SQL 数据库： 安装SCOM操作数据库OprationsManager和报表数据仓库OperationsManagerDW以及报表服务器， SCOM代理客户端 * SCOM 管理服务器两台：scom_和scom_，安装SCOM服务器（控制台、Web 控制台和Command Shell可选）注：由于环境中已经有SQL Server，因此在安装SCOM管理服务器时，不必再安装数据库。* SCOM代理客户端：OMC和OMC* SCOM 无代理客户端：OMC和OMC【2】环境拓扑这次部署将在原来单一管理组,双服务器（根管理服务器和数据库服务器）拓扑的架构中添加两台管理服务器和4台客户端【3】安装软件清单操作系统Windows Server 2003 (至少SP1，支持企业版、标准版，支持2008) 主要应用程序SQL Server 2005(支持企业版和标准版)SCOM R2安装程序 其他应用程序.Net Framework 2.0 (安装IIS 6.0和SQL必要程序).Net Framework 3.0 (SCOM Web控制台的必要程序)SQL Server 2005 SP3(SP2亦可)WindowsServer2003-KB936059 (WS_Managementv1.1工具) WindowsServer2003-KB926140 (Windows Power Shell 1.0)Microsoft ASP.NET 2.0 AJAX Extensions 1.0 （如果没有此组件）【4】安装帐号管理 使用域管理员帐号登录到SCOM管理服务器(即scom_和scom_），把omadmin加入到这两台机器的本地管理员组。【5】安装SCOM R2管理服务器1）以omadmin帐号登录到scom_， 先安装必要组件：WindowsServer2003-KB936059WindowsServer2003-KB926140Microsoft ASP.NET 2.0 AJAX Extensions 1.0 （如果没有此组件）,2） 必要组件安装完毕后，点击SCOM安装程序快捷方式SetupOM.exe, 进入到SCOM 2007 安装界面首页,检查先决条件中选中”服务器”和”控制台”(也可以选择Power Shell组件) 退出”前提查看器”, 点击”安装Operations Manager 2007 R2”因为只有安装根管理服务才需要安装Database（操作数据库），由于根管理服务器和操作数据库都已将安装，所以在管理服务器安装SCOM R2的时候不需要安装Database，去掉这个组件，Management Server为必选组件，其他可选，这里选择不安装Web 控制台。手动输入数据库服务器名称sql05指定管理服务器操作帐号指定SDK和配置服务帐号依照向导完成信息的收集，点击Install等待安装结束。注： 在安装完非根管理服器后，并没有备份加密密钥的选项，因为管理服务器没有这个功能。打开SCOM控制台，在管理导航区，观察到Management Server（管理服务器）的详细面板中多出了刚才安装好的管理服务器。在SCOM管理服务器02上执行同样的安装步骤。在左侧导航区点击”管理”标签, 依次展开”Administration”,”设备管理”，点击“服务器管理”，可以观察到两台管理服务器已经成功安装。【6】分配代理给管理服务器1） 运行发现向导，选择Windows计算机。在自动或高级发现向导页，选择高级发现，在计算机和设备类别中保留默认值，在管理服务器中选择管理服务器。手动输入或者通过活动目录GC查询要分配给管理的客户端计算机的FQDN，这里我们选择从活动目录查询到OMClient01和OMClient02这两台计算机。该账号最低要是域用户组账号（Domain Users），该账号除了用来发现客户端之外，还要用来在客户端安装代理。使用omadmin这个帐号。把OMClient01分配给SCOM管理服务器01（scom_）, 管理模式为“代理”把OMClient02分配给SCOM管理服务器scom_, 管理模式为“无代理”把OMClient03 SCOM管理服务器02（scom_），管理模式为“代理”把OMClient04分配给SCOM管理服务器02（scom_），管理模式为“无代理”分配好代理给两台新建的管理服务器以后，可以在发现的资产中观察到所有的计算机和他们的总体健康状况。每台管理服务器（包括根管理服务器）都有自己的势力范围：原来的域控制器和SQL Server都由根管理服务器来管理，后来添加的两台代理客户端由两台管理服务器各管一台。当然，每个代理计算机的管理服务器是可以变化调整的。两台无代理计算机也分配给了新建的管理服务器在这个管理组中所有计算机的健康状态。管理组分布式应用程序视图，该管理组中包括所有的管理服务器和代理客户端计算机。【附】代理客户端转移管理服务器无代理客户端转移代理服务器 ，选择任意一台无代理客户端计算机，在操作栏中选择改变代理客户端在change proxy agent对话框中，选择你要改变的Proxy Agent（代理客户端），我们观察到OMClient01和OMClient03即使不是管理服务器，也可以作为无代理计算机的代理客户端。转移结果。我们尝试去转移代理客户端时，发现除了名称上（这里是Primary Management Server，而不是“Proxy Agent”）的区别外，当我们选择管理服务器时，也只有三个选择。转移成功环境四Gateway服务器安装【1】环境两个非信任域，8台服务器。COREIO域：（使用环境三的环境，不过不再使用原有的4台客户端）* 域控制器：, SCOM代理客户端* SCOM根管理服务器：，安装SCOM服务器和管理控 制台（Web 控制台和Command Shell可选）* SQL 数据库：安装SCOM操作数据库OprationsManager和报表数据仓库OperationsManagerDW, SCOM代理客户端* SCOM 管理服务器两台：scom_和scom_，安装SCOM服务器（控制台、Web 控制台和Command Shell可选）MSGZ域： * 域控制器：, SCOM代理客户端 (向根管理服务器报告)* Gateway服务器：，安装SCOM Gateway角色* 代理客户端：，SCOM代理客户端。【2】拓扑简图 【3】安装软件清单操作系统Windows Server 2003 (至少SP1，支持企业版、标准版，支持2008) 主要应用程序SQL Server 2005(支持企业版和标准版)SCOM R2安装程序 其他应用程序.Net Framework 2.0 (安装IIS 6.0和SQL必要程序).Net Framework 3.0 (SCOM Web控制台的必要程序)SQL Server 2005 SP3(SP2亦可)WindowsServer2003-KB936059 (WS_Managementv1.1工具) WindowsServer2003-KB926140 (Windows Power Shell 1.0)Microsoft ASP.NET 2.0 AJAX Extensions 1.0 （如果没有此组件）【4】安装证书中心登录到域coreio的域控制器 ，从“控制面板”“添加或删除程序”开始安装证书中心，在CA 类型中选择独立根CA。CA 公用名称输入SCOM R2【5】 为根管理服务器导入信任证书登录到根管理服务器后，打开IE浏览器，输入http:/dc/certsrv (dc为域控制器的NetBIOS名),在打开的网页，选择点击”下载一个CA 证书，证书或CRL”。选择下载CA证书链在文件下载对话框，点击保存到指定路径在根管理服务上打开MMC, 点击菜单栏的”文件”,从菜单中选择”添加/删除管理单元”在弹出来的”添加/删除管理单元”菜单中点击”添加”, “添加独立管理单元”中选择证书选择计算机账户添加完证书（本地计算机）控制台后，展开证书（本地计算机）受信任的根证书颁发证书，右击该项，选择所有任务导入，选择在“在文件下载对话框，点击保存到指定路径”步骤中下载证书存放的路径后，找到下载的证书，打开导入。查看导入的结果后，在域控制器上建立的独立根证书中心受到根管理服务器的信任。【6】 为Gateway Server（网关服务器）导入信任证书登陆到非信任域msgz的服务器 ，因为该服务器将作为连接两个非信任域之间的桥梁，起到给根管理服务器传递收集数据以及为MSGZ域的计算机传递配置信息的作用，所以首先要为该服务器下载证书，来使得该服务器对coreio域的独立根证书中心信任。执行步骤可参照为根管理服务器导入信任证书。为根管理服务器和网关服务器导入信任证书后，两台服务器就同时信任了coreio域控制器的独立根证书中心。当然该证书中心也可设在msgz域控制器中。【7】 为根管理服务器申请证书 登录到根管理服务器, 打开IE，输入http:/dc/certsrv.在页面选择“申请一个证书”高级证书申请创建并向此CA提交一个申请 在高级证书申请页的识别信息栏中填入姓名，这里姓名为根管理服务器的FQDN, 在需要的证书类型中，选择下拉框中的其他，在OID中填入..1, ..2该OID类型用作远程计算机身份验证和保证远程计算机身份可信任的作用。在密钥选项中，选中“将该证书保存在本地存储中”前面的复选框，检查信息无误后，选择提交。提示申请证书的ID是2，可能在CA中没有自动批准，需要去coreio域的DC上查看证书颁发情况。【8】 为根管理服务器批准申请但是挂起的证书登陆到coreio域控制器 ， 运行“MMC” ，在添加独立管理单元中选择证书颁发机构。在打开的证书颁发机构管理控制台，展开”证书颁发机构”-“SCOMR2”-“挂起的证书”来查看由根管理服务器申请但是没有被批准的证书 右击该证书，选择所有任务-颁发【9】 在根管理服务器安装批准的证书登陆到根管理服务器，打开IE，输入 http:/dc/certsrv，在页面选择“查看挂起的证书申请状态”在打开的查看挂起的证书申请状态中，双击“User-EKU(..1,..2)”双击 安装此证书显示安装成功 打开证书管理控制台, 展开证书(本地计算机)-个人-证书, 在详细面板中选择由”SCOMR2”颁发的证书,右击并查看该证书。【10】 为Gateway Server（网关服务器）申请证书登录到，打开IE，输入http:/dc/certsrv 识别信息下的姓名为网关服务器的FQDN，在需要的证书类型中选择其他，OID和RM服务器所填写的一样。保证将证书保存在本地存储中前的复选框被选中。接下来按照为根管理服务器申请安装证书的步骤完成，如为网关服务器申请证书 （参照【7】为根管理服务器申请证书）为网关服务器批准申请但是挂起的证书 （参照【8】为根管理服务批准申请但是挂起的证书）在网关服务器安装批准的证书 （参照【9】在根管理服务器安装批准的证书）直到成功完成证书的安装。【11】在根管理服务器配置证书登录到根管理服务器，定位到SCOM R2 安装介质的安装路径：%installfile%SupportToolsi386，找到MOMCertImport.exe文件. 双击该文件,在弹出的对话框中选择我们在7-8-9步骤为RMS颁发的证书。注意在选择证书之前，先点击“查看证书”来确定该证书受信任并且有远程计算机身份和个人身份验证的作用。导入后，重启System Center Management服务。在根管理服务器上的“日志查看器”“Operations Management”中，找到事件ID为20053的事件来确定导入MOM证书成功。【12】 在根管理服务器批准网关服务器1) 复制SCOM R2的安装源文件下的Microsoft.EnterpriseManagement.Gatewat.ApprovalTool.exe文件（在路径%Installfile%SuportToollsi386下）到SCOM R2的安装路径 （默认为%windir%Program FilesSystem Center Operations Manager）2) 复制到目标路径后，运行该程序，在做这一步之前我们需要确保两个域之间的DNS 能互相解析。从 ping到 通 在跟管理服务上批准根管理服务器，运行命令Microsoft.EnterpriseManagement.Gatewat.ApprovalTool.exe /ManagementServerName= /gatewayname= /action=create提示成功批准网关服务器在根管理服务上打开SCOM R2管理控制台，可以看到已经出现在域的SCOM管理组 Test的管理服务器列表中，但是健康状态未知，由于网关服务器没有安装SCOM R2 网关组件和代理，因此下一步要在网关服务器上安装SCOM R2 Gateway。【13】在网关服务器安装网关角色1） 安装SCOM R2 Gateway登录到网关计算机上，点击SCOM R2 安装介质，选择“Install Operations Manager 2007 R2 Gateway”点击下一步开始安装前的信息收集和身份验证手动输入管理组名称，这个管理组名称应该是coreio域上的管理组名称Test，手动输入根管理服务器的FQDN，端口默认设置为5723.在Gateway Action Account（网关操作帐号）中输入msgz域管理员帐号和密码。按照向导收集完信息，等待安装完成 在网管服务控制台中查看System Center Management服务是否启动。2) 在网关服务器配置证书配置证书的过程请参考（在根管理服务器配置证书）过程。配置完毕后，重启System Center Management服务。在事件查看器-OperationsManager中，查看事件ID为20053的事件和ID 为21025的事件。在网关服务器安装好SCOM R2 Gateway组件， 配置好证书后，登陆到根管理服务器，打开控制台，管理-Run As Configuration的详细窗格中，自动生成了MSGZAdministrator这个操作帐号。网关服务器的监控状态也恢复正常。【14】在MSGZ域中的计算机手动安装SCOM