Настройка мониторинга серверов вне домена.
1. Создание
шаблона сертификатов.
2. Создания
сертификата для SCOM
3. Установка
полученного сертификата в SCOM
при помощи MOMCertImport
4. Импорт
корневого сертификата на не-доменной машине
5. Создание
сертификата для не-доменной машины
6. Установка
полученного сертификата в не-доменную машину при помощи MOMCertImport
1.Создание шаблона
сертификатов
Шаблон создается на сервере, на котором установлен корневой
сертификационный центр домена.
1) Открываем
MMC, добавляем две
оснастки – Шаблоны сертификатов и Центр сертификации(локальный)
2) В
оснастке Шаблоны сертификатов создаем новый шаблон, создавая копию шаблона
«Компьютер».
А) Вкладка «Общие» - Изменяем имя на любое, например SCOM
Б) Вкладка «Обработка запроса» - Выбрать «Разрешить
экспортировать закрытый ключ». Кнопка «Поставщики», выбрать
Microsoft Enhanced
Cryptographic Provider 1.0
В) Вкладка «Имя субъекта» - Выбрать «Предоставляется
в запросе»
Г) Вкладка «Безопасность» - Разрешить всем пункты
«Заявка» и «Автоматическая подача заявок»
3)
Открываем «Центр сертификации(локальный)» -> «Шаблоны
сертификатов». Выбираем Создать -> Выдаваемый шаблон сертификатов. В списке
выбираем созданный нами шаблон.
2. Создание сертификата для SCOM
Сертификат создается на сервере SCOM через веб-форму ЦС
1) Открываем
в браузере https://имя_сервера_сертификации/certsrv
2) Запрос
сертификата -> Расширенный запрос сертификата-> Создать и выдать запрос к
этому ЦС
3) В
появившейся выбираем наш шаблон(SCOM)
4) Заполняем
поля «Имя» и «Понятное имя»(последний пункт) в виде FQDN имени SCOM, например scom.test.ru.
5) Нажимаем
«Выдать» -> Установить
сертификат.
3. Установка
полученного сертификата в SCOM при помощи MOMCertImport
1) Открываем
MMC, добавляем оснастки
– «Сертификаты – текущий пользователь» и «Сертификаты – локальный компьютер»
2) Во
вкладке Личное->Сертификаты одной из оснасток найдем выданный нам
сертификат, его названием будет одинаково с именем сервера SCOM
3) Экспортируем
данный сертификат с экспортом закрытого ключа.
4) При
помощи MOMCertImport импортируем
сертификат в SCOM – MOMCERTIMPORT.EXE cert_name.pfx /password
cert_pass
4. Импорт
корневого сертификата на не-доменной машине
Импорт цепочки производится на не-доменной машине.
1) Открываем
в браузере https://имя_сервера_сертификации/certsrv
2)
Выбираем
«Загрузка сертификата ЦС, цепочки сертификатов или CRL»
3)
Выбираем
«Загрузка цепочки сертификатов ЦС»
4)
Сохраняем
полученный сертификат на компьютер
5) Открываем
MMC, добавляем оснастки
– «Сертификаты – текущий пользователь» и «Сертификаты – локальный компьютер»
6) Импортируем
полученный корневой сертификат в «Сертификаты – локальный компьютер»
-> «Доверенные корневые центры сертификации»
5. Создание
сертификата для не-доменной машины
Сертификат создается на не-доменной машине через веб-форму ЦС
1) Открываем
в браузере https://имя_сервера_сертификации/certsrv
2) Запрос
сертификата -> Расширенный запрос сертификата-> Создать и выдать запрос к
этому ЦС
3) В
появившейся выбираем наш шаблон(SCOM)
4) Заполняем
поля «Имя» и «Понятное имя»(последний пункт) в виде FQDN имени не-доменной машины, например test.
5) Нажимаем
«Выдать» -> Установить
сертификат.
6. Установка
полученного сертификата в не-доменную машину при помощи MOMCertImport
Действия производятся на не-доменной машине.
1) Открываем
MMC, добавляем оснастки
– «Сертификаты – текущий пользователь» и «Сертификаты – локальный компьютер»
2) Во
вкладке Личное->Сертификаты одной из оснасток найдем выданный нам
сертификат, его названием будет одинаково с именем не-доменной машины
3) Экспортируем
данный сертификат с экспортом закрытого ключа.
4) При
помощи MOMCertImport импортируем
сертификат в не-доменную машину – MOMCERTIMPORT.EXE
cert_name.pfx /password cert_pass
P.s
Если на пункте №6 MOMCertImport выдает ошибку при
запуске, то следует установить MOMAgent
перед установкой сертификата в не-доменную машину.
При установке агента в рабочей группе лучше отключать
получение информации агентом SCOM из AD через реестр
SYSTEM\CurrentControlSet\Services\HealthService\Parameters\ConnectorManager\
EnableADIntegration=0
спасибо за статью, была полезной для меня
ОтветитьУдалить