ゲートウェイ サーバーをインストールする

ゲートウェイ サーバーは、通常、管理グループの Kerberos 信頼境界外にあるクライアント コンピューターの監視を有効にするために使用されます。 ただし、ネットワークのセグメント化のために環境を分割する必要がある場合や、"遠く離れた" エージェントを管理グループに接続する必要がある場合は、同じドメイン内で使用することもできます。

エージェントはゲートウェイ サーバーと直接通信し、ゲートウェイ サーバーは 1 つ以上の管理サーバーと通信します。 エージェントがプライマリ ゲートウェイとの通信を失った場合に一方から他方にフェールオーバーできるように、複数のゲートウェイ サーバーを 1 つのドメインに配置できます。 同様に、単一のゲートウェイ サーバーを管理サーバー間でフェールオーバーするように構成して、通信チェーンに単一障害点が存在しないようにすることができます。 ゲートウェイ サーバーは、エージェントから管理サーバーへの通信のプロキシとして機能し、多数のポートの代わりにネットワーク間で開くポートを 1 つだけ有効にします。 Kerberos の信頼境界の外側にある場合は、証明書を使用して各コンピューターの ID を確立する必要があります。 証明書がない場合、システムは接続する可能性がありますが、接続を認証できないため、通信を拒否します。

続行する前に、サーバーが System Center - Operations Manager の最小システム要件を満たしていることを確認します。 詳細については、「System Center Operations Manager のシステム要件を参照してください。

前提条件

標準的なシナリオでゲートウェイ ロールのインストールを進める前に、準備を整え、準備しておく必要がある主な点が 3 つあります。

1. ゲートウェイと Management サーバー用に証明書を生成し、証明書ストアにインストールする必要があります。
   • ゲートウェイとクライアント サーバーがワークグループ シナリオで使用されている場合は、クライアントにも証明書が必要です。
2. インストールする前に、目的のゲートウェイ サーバーを管理グループ内のゲートウェイとして "承認済み" にする必要があります。
3. ゲートウェイと管理サーバーの間でポート 5723 を開く必要があります。「 Operations Manager のファイアウォールを構成する」のガイドで定義されています。

証明書と名前解決

1. 双方向の推移的な信頼がないドメインまたはワークグループにゲートウェイ サーバーを展開するには、認証に証明書を使用する必要があります。 プライマリ管理サーバーとフェールオーバー管理サーバーには、それらに接続しているゲートウェイに加えて 1 つ必要です。 これらの証明書は、Operations Manager 用に正しく構成されている場合は、Microsoft Certificate Services CA またはサードパーティ CA から取得できます。 これらの証明書の作成に関するサポートが必要な場合は、次のガイドを使用します。 Windows Server および System Center Operations Manager で使用する証明書を使用する

   Note

   • 管理グループと同じドメインまたは共有信頼境界内にあるゲートウェイ サーバーには、証明書は必要ありません。
   • ゲートウェイとエージェントがワークグループ内にある場合は、各管理サーバー、ゲートウェイ、およびクライアント コンピューターの証明書が必要になります。この証明書は、システムの認証を開始するワークグループ内にドメインがないため、監視されます。

2. 信頼できる名前解決は、エージェントで管理されるコンピューターとゲートウェイ サーバーの間、およびゲートウェイ サーバーと管理サーバーの間に存在する必要があります。 この名前解決は通常、DNS を介して行われます。 ただし、DNS を使用して適切な名前解決を取得できない場合は、各コンピューターの hosts ファイルにエントリを手動で作成することが必要な場合があります。

   重要

   サーバー間で認証が渡される前に、前方および逆の名前解決がチェックされます。 IP アドレスを確認するときに別のホスト名または FQDN を受け取った場合、認証は失敗します。

   ヒント

   hosts ファイルは %SystemRoot%\system32\drivers\etc ディレクトリにあり、構成の指示が含まれています。 これは、管理者として実行されるメモ帳またはその他のアプリケーションで編集する必要があります。

ゲートウェイを管理グループに登録する

後で問題が発生しないようにするには、インストール前に目的のゲートウェイ マシンをゲートウェイとして登録して承認することが重要です。それ以外の場合は、ゲートウェイがエージェントとして取得されるリスクが発生します。

これらの手順は、管理サーバー (できればプライマリまたは "RMSE" サーバー) から実行します。

1. Operations Manager のインストール メディアに含まれる実行可能ファイルは"Microsoft.EnterpriseManagement.GatewayApprovalTool.exe" と呼ばれ、 ..\SupportTools\amd64\のインストール メディアにあります。

2. この実行可能ファイルと同じ名前の構成ファイルを、次の場所にあるインストール パスにコピーします。 %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. 管理者としてコマンド プロンプトを開き、Operations Manager のインストール ディレクトリに移動します。 (例: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. 次のコマンドを使用して、目的のゲートウェイをゲートウェイとして登録し、サーバー名を独自の名前に置き換えます。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Note

   ゲートウェイ サーバーが管理サーバーとの通信を開始できないようにするには、次のコマンドで使用する /ManagementServerInitiatesConnection=True パラメーターを含めます。 それ以外の場合、既定では、ゲートウェイ自体から通信が開始されます。 これは、ゲートウェイが存在するネットワークからプライマリ ドメインへの受信アクセスを禁止する場合に役立ちます。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. 承認が成功すると、メッセージ The approval of server <GatewayFQDN> completed successfully. が返されます。

6. 管理グループからゲートウェイ サーバーを削除する必要がある場合は、同じコマンドを実行しますが、/Action=Delete フラグ/Action=Create置き換えます。

7. オペレーション コンソールを開き、[監視] ビューにアクセスします。 [検出されたインベントリ] ビューを選択して、ゲートウェイ サーバーが存在することを確認します。 また、[管理> デバイス管理 >管理サーバー] にも表示されます。

インストール プロセス

目的のゲートウェイ サーバーが管理グループに登録されたら、新しいゲートウェイにロールをインストールします。

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

MOMCertImport.exe ツールを使用して証明書をインポートする

ワークグループでエージェントを管理するクライアント コンピューターと共に、各ゲートウェイと管理サーバーでこの操作を実行します。

1. 続行する前に証明書がインストールされていることを確認する
2. インストール メディアの下にある MOMCertImport.exe ファイルを見つけます。 ..\SupportTools\amd64\
3. このファイルをターゲット サーバーのルート ディレクトリまたは Operations Manager インストール ディレクトリにコピーします
   • 例: %ProgramFiles%\Microsoft System Center\Operations Manager\Server。
4. 管理者としてコマンド プロンプトを開き、ディレクトリをMOMCertImport.exeがあるディレクトリに変更します。
   • 例: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. 次に、コマンド MOMCertImport.exe /SubjectName subjectNameFQDNを実行します。ここで、"subjectNameFQDN" は証明書で定義されたサブジェクトです。
   • 引数を指定せずに MOMCertImport.exe を実行して、ローカル コンピューターの個人用ストアの証明書を表示するポップアップ ウィンドウから証明書を選択することもできます。
6. 成功した場合、Microsoft Monitoring Agent サービスが再起動され、eventID 20053 が Operations Manager イベント ログに記録されます。 この eventID が存在しない場合は、問題についてこれらの ID の 1 つの詳細を確認し、それに応じて修正を行います。 20049,20050,20052,20066,20069,20077

管理サーバー間のフェールオーバー用にゲートウェイ サーバーを構成する

既定では、ゲートウェイ サーバーはプライマリである 1 つの管理サーバーとのみ通信します。 この接続が失われた場合、ゲートウェイと接続されているエージェントはコンソールに灰色で表示され、監視されません。 複数の管理サーバーがある場合は、プライマリが再び使用可能になるまでゲートウェイがフェールオーバーできる管理サーバーを構成することで、この問題を回避できます。 フェールオーバーを構成するには:

次の例に示すように、Operations Manager シェルの Set-SCOMParentManagementServer コマンドレットを使用して、ゲートウェイ サーバーを複数の管理サーバーにフェールオーバーするように構成しています。 コマンドは、管理グループ内の任意のコマンド シェルから実行できます。

1. Operations Manager 管理者ロールのメンバーであるアカウントを使用して、管理サーバーにサインインします。

2. スタート メニューから、"Microsoft System Center" フォルダーの下にあるOperations Manager シェルを実行します。

3. コンソールで、次のコマンドを実行します。

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Note

   フェールオーバー サーバーをプライマリ サーバーと同じに設定するには、プライマリサーバーを同時に変更するか、最初に変更する必要があります。 プライマリを変更してセカンダリに設定する場合は、次のコマンドを使用します。

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

複数のゲートウェイ サーバーを連結する

一般的ではありませんが、信頼されていない複数の境界を越えて監視するために、複数のゲートウェイを連結することが必要な場合があります。 このセクションでは、複数のゲートウェイを連結する方法について説明します。

ゲートウェイ チェーンを構成するには、初期ゲートウェイ サーバーの場合と同様に、 Microsoft.EnterpriseManagement.GatewayApprovalTool.exe ツールを使用します。 ただし、今回は、"ManagementServerName" をチェーン内のアップストリーム ゲートウェイ サーバーとして設定する必要があります。 たとえば、GW02 が GW01 に接続する場合、このシナリオでは GW01 が "ManagementServer" になります。

1. GatewayApprovalTool が既に設定されている管理サーバーのいずれかにサインオンします。

2. 管理者としてコマンド プロンプトを開き、ツールが保存されているディレクトリに移動します

3. 次に、次のコマンドを実行してダウンストリーム ゲートウェイ サーバーを承認し、サーバー名を独自の名前に置き換えます。

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. ゲートウェイロールを新しいサーバーにインストールします。

5. ゲートウェイと管理サーバーの間で証明書を構成するのと同じ方法で GW01 と GW02 の間の証明書を構成します。 ヘルス サービスは、1 つの証明書のみを読み込んで使用できます。 そのため、チェーン内のゲートウェイの親子で同じ証明書が使用されます。

次のステップ

管理グループ内の複数のサーバーに Operations Manager サーバーの役割をインストールする手順については、「 Operations Manager の展開」を参照してください。