关于 Operations Manager 中的网关服务器

在代理与管理服务器之间交换信息之前，System Center 2012 – Operations Manager 要求在它们之间执行相互身份验证。 为了保护它们之间的身份验证进程，对此进程进行了加密。 当代理和管理服务器位于相同的 Active Directory 域中或位于已经建立了信任关系的 Active Directory 域中时，它们使用 Active Directory 提供的 Kerberos V5 身份验证机制。 当代理和管理服务器不在相同的信任边界内时，必须使用其他机制来满足安全相互身份验证要求。

在 Operations Manager 中，这是通过使用为每台计算机发放的 X.509 证书来完成的。 如果有许多代理监视的计算机，则会导致管理所有这些证书需要大量的管理开销。 此外，如果代理与管理服务器之间存在防火墙，则必须在防火墙规则中定义和维护多个授权的端点，以允许在它们之间通信。

为了减少此管理开销，Operations Manager 具有一个叫做网关服务器的服务器角色。 网关服务器位于代理的信任边界内，并且可以参与强制互相身份验证。 因为它们与代理位于相同的信任边界内，所以在代理和网关服务器之间使用 Active Directory 的 Kerberos V5 协议。 然后每个代理只与它所注意的网关服务器通信。 网关服务器与管理服务器进行通信。

为了在网关服务器与管理服务器之间支持强制安全相互身份验证，必须发放和安装证书，但这仅适用于网关和管理服务器。 这会减少所需证书的数目，对于干预的防火墙来说，这还会减少要在防火墙规则中定义的授权端点的数目。 下图使用网关服务器显示了管理组中的身份验证关系。

有关安装网关服务器的信息，请参阅部署指南中的部署网关服务器。