1、.;SCOM 2007 R2(OpsMgr) 電子手冊之OpsMgr復(fù)雜環(huán)境部署2009年6月 CoreIO技術(shù)專家Leo Huang 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc233146919 環(huán)境三單一管理組,多管理服務(wù)器 PAGEREF _Toc233146919 h 3 HYPERLINK l _Toc233146920 【1】環(huán)境9臺服務(wù)器 PAGEREF _Toc233146920 h 3 HYPERLINK l _Toc233146921 【2】環(huán)境拓?fù)?PAGEREF _Toc233146921 h 3 HYPERLINK l _Toc23314

2、6922 【3】安裝軟件清單 PAGEREF _Toc233146922 h 4 HYPERLINK l _Toc233146923 【4】安裝帳號管理 PAGEREF _Toc233146923 h 4 HYPERLINK l _Toc233146924 【5】安裝SCOM R2管理服務(wù)器 PAGEREF _Toc233146924 h 4 HYPERLINK l _Toc233146925 【6】分配代理給管理服務(wù)器 PAGEREF _Toc233146925 h 9 HYPERLINK l _Toc233146926 【附】代理客戶端轉(zhuǎn)移管理服務(wù)器 PAGEREF _Toc2331469

3、26 h 18 HYPERLINK l _Toc233146927 環(huán)境四Gateway服務(wù)器安裝 PAGEREF _Toc233146927 h 21 HYPERLINK l _Toc233146928 【1】環(huán)境兩個非信任域，8臺服務(wù)器。 PAGEREF _Toc233146928 h 21 HYPERLINK l _Toc233146929 【2】拓?fù)浜唸D PAGEREF _Toc233146929 h 21 HYPERLINK l _Toc233146930 【3】安裝軟件清單 PAGEREF _Toc233146930 h 21 HYPERLINK l _Toc233146931 【

4、4】安裝證書中心 PAGEREF _Toc233146931 h 22 HYPERLINK l _Toc233146932 【5】為根管理服務(wù)器導(dǎo)入信任證書 PAGEREF _Toc233146932 h 23 HYPERLINK l _Toc233146933 【6】為Gateway Server（網(wǎng)關(guān)服務(wù)器）導(dǎo)入信任證書 PAGEREF _Toc233146933 h 28 HYPERLINK l _Toc233146934 【7】為根管理服務(wù)器申請證書 PAGEREF _Toc233146934 h 29 HYPERLINK l _Toc233146935 【8】為根管理服務(wù)器批準(zhǔn)申請但

5、是掛起的證書 PAGEREF _Toc233146935 h 32 HYPERLINK l _Toc233146936 【9】在根管理服務(wù)器安裝批準(zhǔn)的證書 PAGEREF _Toc233146936 h 34 HYPERLINK l _Toc233146937 【10】為Gateway Server（網(wǎng)關(guān)服務(wù)器）申請證書 PAGEREF _Toc233146937 h 36 HYPERLINK l _Toc233146938 【11】在根管理服務(wù)器配置證書 PAGEREF _Toc233146938 h 37 HYPERLINK l _Toc233146939 【12】在根管理服務(wù)器批準(zhǔn)網(wǎng)關(guān)服

6、務(wù)器 PAGEREF _Toc233146939 h 38 HYPERLINK l _Toc233146940 【13】在網(wǎng)關(guān)服務(wù)器安裝網(wǎng)關(guān)角色 PAGEREF _Toc233146940 h 40 HYPERLINK l _Toc233146941 1）安裝SCOM R2 Gateway PAGEREF _Toc233146941 h 40 HYPERLINK l _Toc233146942 2) 在網(wǎng)關(guān)服務(wù)器配置證書 PAGEREF _Toc233146942 h 43 HYPERLINK l _Toc233146943 【14】在MSGZ域中的計算機手動安裝SCOM R2代理 PAGER

7、EF _Toc233146943 h 45 HYPERLINK l _Toc233146944 1）允許手動客戶端自動批準(zhǔn) PAGEREF _Toc233146944 h 45 HYPERLINK l _Toc233146945 2）安裝SCOM R2代理程序 PAGEREF _Toc233146945 h 46 HYPERLINK l _Toc233146946 【附】排錯 PAGEREF _Toc233146946 h 52環(huán)境三單一管理組,多管理服務(wù)器【1】環(huán)境9臺服務(wù)器 在原來Test管理組中添加兩臺管理服務(wù)器并添加4臺客戶端服務(wù)器，“單一管理組，雙服務(wù)器的部署”請參考SCOM R2簡

8、單環(huán)境部署* 域控制器：, SCOM代理客戶端* SCOM根管理服務(wù)器：scom-，安裝SCOM服務(wù)器和管理控 制臺（Web 控制臺和Command Shell可選）* SQL 數(shù)據(jù)庫： 安裝SCOM操作數(shù)據(jù)庫OprationsManager和報表數(shù)據(jù)倉庫OperationsManagerDW以及報表服務(wù)器， SCOM代理客戶端 * SCOM 管理服務(wù)器兩臺：scom_和scom_，安裝SCOM服務(wù)器（控制臺、Web 控制臺和Command Shell可選）注：由于環(huán)境中已經(jīng)有SQL Server，因此在安裝SCOM管理服務(wù)器時，不必再安裝數(shù)據(jù)庫。* SCOM代理客戶端：OMC和OMC* SC

9、OM 無代理客戶端：OMC和OMC【2】環(huán)境拓?fù)溥@次部署將在原來單一管理組,雙服務(wù)器（根管理服務(wù)器和數(shù)據(jù)庫服務(wù)器）拓?fù)涞募軜?gòu)中添加兩臺管理服務(wù)器和4臺客戶端【3】安裝軟件清單操作系統(tǒng)Windows Server 2003 (至少SP1，支持企業(yè)版、標(biāo)準(zhǔn)版，支持2008) 主要應(yīng)用程序SQL Server 2005(支持企業(yè)版和標(biāo)準(zhǔn)版)SCOM R2安裝程序 其他應(yīng)用程序.Net Framework 2.0 (安裝IIS 6.0和SQL必要程序).Net Framework 3.0 (SCOM Web控制臺的必要程序)SQL Server 2005 SP3(SP2亦可)WindowsServer

10、2003-KB936059 (WS_Managementv1.1工具) WindowsServer2003-KB926140 (Windows Power Shell 1.0)Microsoft ASP.NET 2.0 AJAX Extensions 1.0 （如果沒有此組件）【4】安裝帳號管理 使用域管理員帳號登錄到SCOM管理服務(wù)器(即scom_和scom_），把omadmin加入到這兩臺機器的本地管理員組?！?】安裝SCOM R2管理服務(wù)器1）以omadmin帳號登錄到scom_， 先安裝必要組件：WindowsServer2003-KB936059WindowsServer2003-K

11、B926140Microsoft ASP.NET 2.0 AJAX Extensions 1.0 （如果沒有此組件）,2） 必要組件安裝完畢后，點擊SCOM安裝程序快捷方式SetupOM.exe, 進(jìn)入到SCOM 2007 安裝界面首頁,檢查先決條件中選中”服務(wù)器”和”控制臺”(也可以選擇Power Shell組件) 退出”前提查看器”, 點擊”安裝Operations Manager 2007 R2”因為只有安裝根管理服務(wù)才需要安裝Database（操作數(shù)據(jù)庫），由于根管理服務(wù)器和操作數(shù)據(jù)庫都已將安裝，所以在管理服務(wù)器安裝SCOM R2的時候不需要安裝Database，去掉這個組件，Mana

12、gement Server為必選組件，其他可選，這里選擇不安裝Web 控制臺。手動輸入數(shù)據(jù)庫服務(wù)器名稱sql05指定管理服務(wù)器操作帳號指定SDK和配置服務(wù)帳號依照向?qū)瓿尚畔⒌氖占?，點擊Install等待安裝結(jié)束。注： 在安裝完非根管理服器后，并沒有備份加密密鑰的選項，因為管理服務(wù)器沒有這個功能。打開SCOM控制臺，在管理導(dǎo)航區(qū)，觀察到Management Server（管理服務(wù)器）的詳細(xì)面板中多出了剛才安裝好的管理服務(wù)器。在SCOM管理服務(wù)器02上執(zhí)行同樣的安裝步驟。在左側(cè)導(dǎo)航區(qū)點擊”管理”標(biāo)簽, 依次展開”Administration”,”設(shè)備管理”，點擊“服務(wù)器管理”，可以觀察到兩臺管理

13、服務(wù)器已經(jīng)成功安裝?！?】分配代理給管理服務(wù)器運行發(fā)現(xiàn)向?qū)?，選擇Windows計算機。在自動或高級發(fā)現(xiàn)向?qū)ы摚x擇高級發(fā)現(xiàn)，在計算機和設(shè)備類別中保留默認(rèn)值，在管理服務(wù)器中選擇管理服務(wù)器scom-。手動輸入或者通過活動目錄GC查詢要分配給scom-管理的客戶端計算機的FQDN，這里我們選擇從活動目錄查詢到OMClient01和OMClient02這兩臺計算機。該賬號最低要是域用戶組賬號（Domain Users），該賬號除了用來發(fā)現(xiàn)客戶端之外，還要用來在客戶端安裝代理。使用omadmin這個帳號。把OMClient01分配給SCOM管理服務(wù)器01（scom_）, 管理模式為“代理”把OMClie

14、nt02分配給SCOM管理服務(wù)器scom_, 管理模式為“無代理”把OMClient03 SCOM管理服務(wù)器02（scom_），管理模式為“代理”把OMClient04分配給SCOM管理服務(wù)器02（scom_），管理模式為“無代理”分配好代理給兩臺新建的管理服務(wù)器以后，可以在發(fā)現(xiàn)的資產(chǎn)中觀察到所有的計算機和他們的總體健康狀況。每臺管理服務(wù)器（包括根管理服務(wù)器）都有自己的勢力范圍：原來的域控制器和SQL Server都由根管理服務(wù)器來管理，后來添加的兩臺代理客戶端由兩臺管理服務(wù)器各管一臺。當(dāng)然，每個代理計算機的管理服務(wù)器是可以變化調(diào)整的。兩臺無代理計算機也分配給了新建的管理服務(wù)器在這個管理組中所

15、有計算機的健康狀態(tài)。管理組分布式應(yīng)用程序視圖，該管理組中包括所有的管理服務(wù)器和代理客戶端計算機?！靖健看砜蛻舳宿D(zhuǎn)移管理服務(wù)器無代理客戶端轉(zhuǎn)移代理服務(wù)器 ，選擇任意一臺無代理客戶端計算機，在操作欄中選擇改變代理客戶端在change proxy agent對話框中，選擇你要改變的Proxy Agent（代理客戶端），我們觀察到OMClient01和OMClient03即使不是管理服務(wù)器，也可以作為無代理計算機的代理客戶端。轉(zhuǎn)移結(jié)果。我們嘗試去轉(zhuǎn)移代理客戶端時，發(fā)現(xiàn)除了名稱上（這里是Primary Management Server，而不是“Proxy Agent”）的區(qū)別外，當(dāng)我們選擇管理服務(wù)器

16、時，也只有三個選擇。轉(zhuǎn)移成功環(huán)境四Gateway服務(wù)器安裝【1】環(huán)境兩個非信任域，8臺服務(wù)器。COREIO域：（使用 HYPERLINK l _環(huán)境三單一管理組,多管理服務(wù)器 環(huán)境三的環(huán)境，不過不再使用原有的4臺客戶端）* 域控制器：, SCOM代理客戶端* SCOM根管理服務(wù)器：scom-，安裝SCOM服務(wù)器和管理控 制臺（Web 控制臺和Command Shell可選）* SQL 數(shù)據(jù)庫：安裝SCOM操作數(shù)據(jù)庫OprationsManager和報表數(shù)據(jù)倉庫OperationsManagerDW, SCOM代理客戶端* SCOM 管理服務(wù)器兩臺：scom_和scom_，安裝SCOM服務(wù)器（控

17、制臺、Web 控制臺和Command Shell可選）MSGZ域： * 域控制器：, SCOM代理客戶端 (向根管理服務(wù)器報告)* Gateway服務(wù)器：，安裝SCOM Gateway角色* 代理客戶端：，SCOM代理客戶端。【2】拓?fù)浜唸D 【3】安裝軟件清單操作系統(tǒng)Windows Server 2003 (至少SP1，支持企業(yè)版、標(biāo)準(zhǔn)版，支持2008) 主要應(yīng)用程序SQL Server 2005(支持企業(yè)版和標(biāo)準(zhǔn)版)SCOM R2安裝程序 其他應(yīng)用程序.Net Framework 2.0 (安裝IIS 6.0和SQL必要程序).Net Framework 3.0 (SCOM Web控制臺的必

18、要程序)SQL Server 2005 SP3(SP2亦可)WindowsServer2003-KB936059 (WS_Managementv1.1工具) WindowsServer2003-KB926140 (Windows Power Shell 1.0)Microsoft ASP.NET 2.0 AJAX Extensions 1.0 （如果沒有此組件）【4】安裝證書中心登錄到域coreio的域控制器 ，從“控制面板”“添加或刪除程序”開始安裝證書中心，在CA 類型中選擇獨立根CA。CA 公用名稱輸入SCOM R2【5】 為根管理服務(wù)器導(dǎo)入信任證書登錄到根管理服務(wù)器scom-后，打開I

19、E瀏覽器，輸入http:/dc/certsrv (dc為域控制器的NetBIOS名),在打開的網(wǎng)頁，選擇點擊”下載一個CA 證書，證書或CRL”。選擇下載CA證書鏈在文件下載對話框，點擊保存到指定路徑在根管理服務(wù)上打開MMC, 點擊菜單欄的”文件”,從菜單中選擇”添加/刪除管理單元”在彈出來的”添加/刪除管理單元”菜單中點擊”添加”, “添加獨立管理單元”中選擇證書選擇計算機賬戶添加完證書（本地計算機）控制臺后，展開證書（本地計算機）受信任的根證書頒發(fā)證書，右擊該項，選擇所有任務(wù)導(dǎo)入，選擇在“ HYPERLINK l 在文件下載對話框點擊保存到指定路徑 在文件下載對話框，點擊保存到指定路徑”步

20、驟中下載證書存放的路徑后，找到下載的證書，打開導(dǎo)入。查看導(dǎo)入的結(jié)果后，在域控制器上建立的獨立根證書中心受到根管理服務(wù)器的信任?！?】 為Gateway Server（網(wǎng)關(guān)服務(wù)器）導(dǎo)入信任證書登陸到非信任域msgz的服務(wù)器 ，因為該服務(wù)器將作為連接兩個非信任域之間的橋梁，起到給根管理服務(wù)器傳遞收集數(shù)據(jù)以及為MSGZ域的計算機傳遞配置信息的作用，所以首先要為該服務(wù)器下載證書，來使得該服務(wù)器對coreio域的獨立根證書中心信任。執(zhí)行步驟可參照 HYPERLINK l _【5】_為根管理服務(wù)器導(dǎo)入信任證書 為根管理服務(wù)器導(dǎo)入信任證書。為根管理服務(wù)器和網(wǎng)關(guān)服務(wù)器導(dǎo)入信任證書后，兩臺服務(wù)器就同時信任了co

21、reio域控制器的獨立根證書中心。當(dāng)然該證書中心也可設(shè)在msgz域控制器中?！?】 為根管理服務(wù)器申請證書 登錄到根管理服務(wù)器scom-, 打開IE，輸入 HYPERLINK http:/dc/certsrv http:/dc/certsrv.在頁面選擇“申請一個證書”高級證書申請創(chuàng)建并向此CA提交一個申請 在高級證書申請頁的識別信息欄中填入姓名，這里姓名為根管理服務(wù)器的FQDN, 在需要的證書類型中，選擇下拉框中的其他，在OID中填入.1, .2該OID類型用作遠(yuǎn)程計算機身份驗證和保證遠(yuǎn)程計算機身份可信任的作用。在密鑰選項中，選中“將該證書保存在本地存儲中”前面的復(fù)選框，檢查信息無誤后，選擇

22、提交。提示申請證書的ID是2，可能在CA中沒有自動批準(zhǔn)，需要去coreio域的DC上查看證書頒發(fā)情況?！?】 為根管理服務(wù)器批準(zhǔn)申請但是掛起的證書登陸到coreio域控制器 ， 運行“MMC” ，在添加獨立管理單元中選擇證書頒發(fā)機構(gòu)。在打開的證書頒發(fā)機構(gòu)管理控制臺，展開”證書頒發(fā)機構(gòu)”-“SCOMR2”-“掛起的證書”來查看由根管理服務(wù)器申請但是沒有被批準(zhǔn)的證書 右擊該證書，選擇所有任務(wù)-頒發(fā)【9】 在根管理服務(wù)器安裝批準(zhǔn)的證書登陸到根管理服務(wù)器，打開IE，輸入 HYPERLINK http:/dc/certsrv http:/dc/certsrv，在頁面選擇“查看掛起的證書申請狀態(tài)”在打開的

23、查看掛起的證書申請狀態(tài)中，雙擊“User-EKU(.1,.2)”雙擊 安裝此證書顯示安裝成功 打開證書管理控制臺, 展開證書(本地計算機)-個人-證書, 在詳細(xì)面板中選擇由”SCOMR2”頒發(fā)的證書,右擊并查看該證書?！?0】 為Gateway Server（網(wǎng)關(guān)服務(wù)器）申請證書登錄到，打開IE，輸入 HYPERLINK http:/dc/certsrv http:/dc/certsrv 識別信息下的姓名為網(wǎng)關(guān)服務(wù)器的FQDN，在需要的證書類型中選擇其他，OID和RM服務(wù)器所填寫的一樣。保證將證書保存在本地存儲中前的復(fù)選框被選中。接下來按照為根管理服務(wù)器申請安裝證書的步驟完成，如為網(wǎng)關(guān)服務(wù)器申

24、請證書 （參照 HYPERLINK l _【7】_為根管理服務(wù)器申請證書 【7】為根管理服務(wù)器申請證書）為網(wǎng)關(guān)服務(wù)器批準(zhǔn)申請但是掛起的證書 （參照 HYPERLINK l _【8】_為根管理服務(wù)器批準(zhǔn)申請但是掛起的證書 【8】為根管理服務(wù)批準(zhǔn)申請但是掛起的證書）在網(wǎng)關(guān)服務(wù)器安裝批準(zhǔn)的證書 （參照 HYPERLINK l _【9】_在根管理服務(wù)器安裝批準(zhǔn)的證書 【9】在根管理服務(wù)器安裝批準(zhǔn)的證書）直到成功完成證書的安裝?！?1】在根管理服務(wù)器配置證書登錄到根管理服務(wù)器，定位到SCOM R2 安裝介質(zhì)的安裝路徑：%installfile%SupportToolsi386，找到MOMCertImpo

25、rt.exe文件. 雙擊該文件,在彈出的對話框中選擇我們在7-8-9步驟為RMS頒發(fā)的證書。注意在選擇證書之前，先點擊“查看證書”來確定該證書受信任并且有遠(yuǎn)程計算機身份和個人身份驗證的作用。導(dǎo)入后，重啟System Center Management服務(wù)。在根管理服務(wù)器上的“日志查看器”“Operations Management”中，找到事件ID為20053的事件來確定導(dǎo)入MOM證書成功?！?2】 在根管理服務(wù)器批準(zhǔn)網(wǎng)關(guān)服務(wù)器1) 復(fù)制SCOM R2的安裝源文件下的Microsoft.EnterpriseManagement.Gatewat.ApprovalTool.exe文件（在路徑%In

26、stallfile%SuportToollsi386下）到SCOM R2的安裝路徑 （默認(rèn)為%windir%Program FilesSystem Center Operations Manager）2) 復(fù)制到目標(biāo)路徑后，運行該程序，在做這一步之前我們需要確保兩個域之間的DNS 能互相解析。從 ping到 通 在跟管理服務(wù)上批準(zhǔn)根管理服務(wù)器，運行命令Microsoft.EnterpriseManagement.Gatewat.ApprovalTool.exe /ManagementServerName=scom- /gatewayname= /action=create提示成功批準(zhǔn)網(wǎng)關(guān)服務(wù)器

27、在根管理服務(wù)上打開SCOM R2管理控制臺，可以看到已經(jīng)出現(xiàn)在域的SCOM管理組 Test的管理服務(wù)器列表中，但是健康狀態(tài)未知，由于網(wǎng)關(guān)服務(wù)器沒有安裝SCOM R2 網(wǎng)關(guān)組件和代理，因此下一步要在網(wǎng)關(guān)服務(wù)器上安裝SCOM R2 Gateway?！?3】在網(wǎng)關(guān)服務(wù)器安裝網(wǎng)關(guān)角色1） 安裝SCOM R2 Gateway登錄到網(wǎng)關(guān)計算機上，點擊SCOM R2 安裝介質(zhì)，選擇“Install Operations Manager 2007 R2 Gateway”點擊下一步開始安裝前的信息收集和身份驗證手動輸入管理組名稱，這個管理組名稱應(yīng)該是coreio域上的管理組名稱Test，手動輸入根管理服務(wù)器的FQDN，端口默認(rèn)設(shè)置為5723.在Gateway Action Account（網(wǎng)關(guān)操作帳號）中輸入msgz域管理員帳號和密碼。按照向?qū)占晷畔?，等待安裝完成 在網(wǎng)管服務(wù)控制臺中查看System Center Management服務(wù)是否啟動。2) 在網(wǎng)關(guān)服務(wù)器配置證書配置證書的過程請參考（ HYPERLINK l _【11】_在根管理服務(wù)器配置證書 在根管理服務(wù)器配置證書）過程。配置完畢后，重啟System Center Management服務(wù)。在事件查看器-OperationsManager中，查看事件ID為