Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 11 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
11
Dung lượng
493,88 KB
Nội dung
KiểmtraExchange2007bằng
System CenterOperationsManager2007–Phần2
Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách kích hoạt
sự thẩm định dựa trên chứng chỉ cho việc kiểmtra các máy chủ
Exchange Edge không nằm trong miền.
Cài đặt Agent trên Edge Server
Máy chủ Edge Transport có thể được triển khai như một máy chủ riêng biệt hoặc như một thành
viên trong miền Active Directory (để biết được ưu điểm và nhược điểm của mỗi một cấu hình,
bạn hãy tham khảo các tùy chọ
n triển khai cho máy chủ Edge Transpor).
Trong topo phần một, chúng tôi đã quyết định cài đặt Edge Server như một máy chủ riêng
(workgroup). Điều đó có nghĩa rằng sự thẩm định đối với máy chủ OperationsManager phải
được thực hiện bằng các chứng chỉ, vì agent trong workgroup không thể thẩm định với máy chủ
quản lý trong miền bằng giao thức Kerberos.
Hình 1: Thẩm định chứng chỉ
Trong kịch bản này, agent phải được tự cài đặt. Mặc dù agent setup có sẵn trong phần cài đặt
Operations Manager nhưng chúng ta sẽ sử dụng binary từ Management Server vì các hotfix cần
thiết đều nằm ở đây.
1. Từ máy chủ Edge, tìm đến thư mục nơi bạn đã cài đặt OpsMgr binary trên máy chủ
Management. Trong trường hợp của chúng tôi, đó là \\OpsMgr\D$\Program
Files\System CenterOperationsManager 2007\ AgentManagement\AMD64\ (hình
2). Kích đúp vào MOMAgent.msi để kích hoạt quá trình cài đặt (hình 3). Kích Next.
Hình 2: Các nhị nguyên phân cài đặt của Agent
Hình 3: OperationsManager Agent Setup
2. Trên cửa sổ Destination Folder (hình 4), sử dụng đường dẫn cài đặt mặc định và kích
Next. Trên cửa sổ kế tiếp (hình 5), kích Next để chỉ định các thông tin của Management
Group.
Hình 4: Agent Setup: Destination Folder
Hình 5: Agent Setup: Management Group Configuration
3. Trong cửa sổ Management Group Configuration (hình 6), chỉ định Management
Group Name, the Management Server và Management Server Port. Kích Next.
Hình 6: Agent Setup: Management Group Configuration (tiếp)
4. Trong cửa sổ Agent Action Account (hình 7), chọn Local System và kích Next. Xem lại
bảng tóm tắt (hình 8), kích Install sau đó Finish (hình 9).
Hình 7: Agent Setup: Agent Action Account
Hình 8: Agent Setup: Ready to Install
Hình 9: Agent Setup: Finish
5. Quay trở về thư mục, nơi bạn đã cài đạt các nhị nguyên phân OpsMgr trên máy chủ
Management (\\OpsMgr\D$\Program Files\System CenterOperationsManager
2007\AgentManagement\AMD64\) và chạy bất cứ hotfix nào nằm ở đó.
Sau các bước này, agent sẽ được cài đặt nhưng không thể truyền thông với Management Server,
vì nó không có chứng chỉ đã được gán.
Thực hiện các bước dưới đây trên cả hai máy tính đang cấu hình agent và Management Server
bằng cùng một CA cho mỗi máy:
• Yêu cầu các chứng chỉ từ CA
• Cho phép các yêu cầu chứng chỉ trên CA
• Cài đặt các chứng chỉ đã được phép vào kho lưu trữ chứng chỉ máy tính
• Sử dụng công cụ MOMCertImport để cấu hình OperationsManager2007
Bạn có thể sử dụng một CA riêng, không cần mua các chứng chỉ công cộng. Phụ thuộc vào kiểu
của CA bên trong mà bạn có - Enterprise hoặc Standalone – các thủ tục để phát hành các chứng
chỉ yêu cầu có khác nhau đôi chút. Sự khác biệt nằm ở “template” cần thiết cho chứng chỉ:
Stand-Alone CA sẽ cho phép chỉ định OID cho kiểu chứng chỉ cần thiết, ngược lại, Enterprise lại
có một “template” đ
ã được định nghĩa rất tốt mà bạn có thể sử dụng. Đó là tại sao với Enterprise
CA chúng ta sẽ cần phải tạo và kích hoạt “template” chứng chỉ mới.
Lưu ý: Để tạo và kích hoạt template yêu cầu, bạn phải chạy Windows Certificate Service trên
Windows Server Enterprise Edition. Nếu bạn không có Enterprise Edition, lời khuyên của chúng
tôi dành cho bạn là cài đặt một Stand-Alone CA mới.
Do chúng tôi đã có một Stand-Alone cài đặt sẵn trên DC rồi, nên sẽ mô tả các bước về kiểu của
CA này.
Thực hiện các bước này trên Edge server và trên OpsMgr server (cả hai đều yêu cầu chứng chỉ):
1. Khởi chạy Internet Explorer, sau đó kết nối đến máy tính đang cấu hình Certificate
Services (Error! Hyperlink reference not valid.). Trên trang Microsoft Certificate
Services Welcome, kích Request a certificate. Trong trang Request a Certificate, kích
Or, submit an advanced certificate request. Trong Advanced Certificate Request, kích
Create and submit a request to this CA.
2. Trong trang Advanced Certificate Request (hình 10), thực hiện các thao tác dưới đây:
a) Trong phần Identifying Information, trường Name, nhập vào tên miền đầy đủ
(FQDN) của máy tính mà bạn đang yêu cầu chứng chỉ. (Event ID 20052 của lỗi này được
tạo nếu tên miền đầy đủ đã nhập vào trường tên không tương xứng với tên máy).
b) Trong phần Type of Certificate Needed, kích vào danh sách, sau đó chọn Other.
Trong trường OID, nhập vào 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2
c) Trong phần Key Options, kích Create a new key set; trong trường CSP, chọn
Microsoft Enhanced Cryptographic Provider v1.0; Đặt tùy chọn mặc định (Key
Usage: Both, Key Size: 1024, Automatic key container name đã được chọn). Chọn
Mark keys as exportable, xóa Export keys to file, xóa Enable strong private key
protection sau đó kích Store certificate in the local computer certificate store.
d) Trong phần Additional Options, trường Friendly Name, nhập vào tên miền của máy
tính mà bạn đang yêu cầu chứng chỉ và kích Submit. Nếu hộp thoại Potential Security
Violation được hiển thị, kích Yes.
e) Khi trang Certificate Pending hiển thị, đóng trình duyệt.
Hình 10: Yêu cầu chứng chỉ trực tuyến
3. Để cho phép yêu cầu chứng chỉ sắp tới, hãy đăng nhập vào máy tính cấu hình các dịch vụ
chứng chỉ Certificate Services với tư cách quản trị viên và mở giao diện quản trị CA. Mở
rộng nút cho tên CA của bạn, sau đó kích Pending Requests. Trong phần panel kết quả,
kích chuột phải vào yêu cầu sắp tới từ thủ tục trước, trỏ đến All Tasks và kích
Issue.
4. Để lấy lại chứng chỉ, hãy đăng nhập vào máy tính, nơi bạn muốn cài đặt chứng chỉ (và từ
nơi bạn đã phát hành yêu cầu). Khởi chạy Internet Explorer, và kết nối đến máy tính đang
cấu hình Certificate Services (http://<servername>/certsrv).
a) Trên trang Microsoft Certificate Services Welcome, kích View the status of a
pending certificate request.
b) Trên trang View the Status of a Pending Certificate Request, kích chứng chỉ bạn đã
yêu cầu
c) Trên trang Certificate Issued, cài đặt Install this certificate. Trong hộp thoại
Potential Scripting Violation, kích Yes.
d) Trong trang Certificate Installed, sau khi bạn thấ
y thông báo rằng Your new
certificate has been successfully installed, đóng trình duyệt.
5. Do cả hai máy chủ phải tin cậy CA người đã phát hành các chứng chỉ, chúng ta phải
import chứng chỉ CA trên cả hai máy (Edge và OpsMgr). Khởi chạy Internet Explorer, và
kết nối đến máy tính đang cấu hình Certificate Services (http://<servername>/certsrv).
a) Trên trang Welcome, kích Download a CA Certificate, certificate chain, or CRL.
b) Trên trang Download a CA Certificate, Certificate Chain, or CRL, kích Download
CA certificate chain.
c) Trong hộp thoại File Download, kích Save, chỉ định tên file (.P7B), sau đó kích Save
lần nữa. Đóng trình duyệt.
6. Chạy MMC và add thêm Certificates snap-in (trong hộp thoại Certificates snap-in, chọn
Computer account, và kích Next. Bảo đảm rằng Local computer đã được chọn, sau đó
kích Finish). Mở rộng Certificates (Local Computer), mở Trusted Root Certification
Authorities, kích Certificates, chọn All Tasks sau đó kích Import. Duyệt đến nơi bạn đã
lưu file .P7B và import chứng chỉ.
7. Để import các chứng chỉ bằng MOMCertImport, bạn hãy duyệt đến thư mục, nơi các file
nhị nguyên phân của OperationsManager2007 cư trú. Tiện ích MOMCertImport được
đặt trên \SupportTools\i386 (for 64-bit computers \SupportTools\amd64). Chạy lệnh sau:
MOMCertImport /SubjectName <Certificate Subject Name>
(Bạn có thể export chứng chỉ đã phát hành trước vào file .PFX và chạy lệnh MOMCertImport
<Certificate File Name>.pfx)
Hình 11: Chạy MOMCertImport
Nếu bạn cần remove các chứng chỉ đã được import với công cụ MOMCertImport, chỉ cần chạy
MomCertImport /Remove.
Cho phép tự cài đặt agent
Trước khi tự cài đặt agent, thiết lập toàn cục phải được thay đổi từ reject thành “Review new
manual agent installation in pending management view” trong giao diện của OpsMgr 2007.
Mở giao diện điều khiển và trong panel Administration, chọn Settings. Trên panel bên phải, mở
Server và kích vào Security (hình 12). Kích Properties và tab General, chọn Review new
manual agent installation in pending management view (hình 13). Kích OK để kết thúc.
Hình 12: Cho phép tự cài đặt agent
Hình 13: Global Management Server Settings – Security
Sau mỗi khi cài đặt agent, một agent mới phải được cho phép trong SystemCenterOperations
Manager Console:
Mở giao diện điều khiển, trong panel Administration, mở Device Management và chọn
Pending Management. Trong phần panel bên phải, kích phải vào máy chủ đang yêu cầu cho
phép và chọn Approve l(hình 14).
Để kiểmtra xem agent đã được cho phép thành công, bạn hãy xem trong thư mục Agent
Managed và xem có agent đã được cho phép nằm ở đây hay không.
[...]...Hình 14: Cho phép cài đặt Agent Kết luận Đến đây chúng tôi xin kết thúc phần2 Trong phần tiếp theo, chúng tôi sẽ giới thiệu quá trình cấu hình trong SystemCenterOperations Console, thành phần được yêu cầu để kiểm tra các máy chủ Exchange 20 07 với OperationsManager 20 07 . Kiểm tra Exchange 20 07 bằng
System Center Operations Manager 20 07 – Phần 2
Trong bài này chúng tôi sẽ giới thiệu. thúc phần 2. Trong phần tiếp theo, chúng tôi sẽ giới thiệu quá trình
cấu hình trong System Center Operations Console, thành phần được yêu cầu để kiểm tra