Instalarea agentilor SCOM in reteaua DMZ


scom-gsx-solutions

Instalarea agentilor SCOM in reteaua DMZ

Pentru a avea o imagine de ansamblu cat mai completa a unei ‘aplicatii distribuite’ cum ar fi Exchange sau Lync, atunci trebuie sa avem posibilitatea de a monitoriza si serverele aflate in DMZ, acestea de obicei ruland roluri de Edge.

In Scom 2012 schimbul de informatii dintre serverul de management (scom) si agenti (sistemele monitorizate) trebuie sa se faca intr-un context securizat folosind Mutual Authentication (http://technet.microsoft.com/en-us/library/cc961730.aspx). Atunci cand si serverul de monitorizare si sistemele se afla in acelasi domeniu sau forest procesul este nativ folosind autentificare Kerberos V5. Cand serverul si sistemul nu sunt in acelsi domeniu/forest/trusted realm trebuie folosit un alt sistem care utilizeaza mutual authentication. Varianta ‘oficiala’ si cea mai eleganta ar fi folosirea unui server Gateway (http://technet.microsoft.com/en-us/library/hh212823.aspx). Dar daca nu avem trebuie sa ne descurcam si fara.

Vom folosi certificate  TLS si astfel procesul de autentificare se va efectua prin MTLS.

Cum facem…

Ne asiguram ca si serverul de management (SCOM) cat si sistemul sau sistemele monitorizate folosesc acelasi Root Certificate Authority. Importam certificatele Root CA pe server si sistemele ce urmeaza sa fie monitorizate. Pe serverul de RMS (2007) sau/si serverele MS (2012) navigam la pagina certsrv a autoritatii configurate sa emita certificate in domeniul respectiv. Selectam Download a CA certificate, certificate chain, or CRL, apoi Download a CA certificate, certificate chain. Va descarca automat un certificat certnew.p7b pe care il salvam intr-o locatie la alegere (ex. Desktop).

Odata salvat, deschidem un MMC si importam snapin-ul pentru Certificates (Local Computer), navigam la Trusted Root Authorities si dam import certificatului salvat anterior.

So far so good…

Acum trebuie configurata Autoritatea de Certificate (issuing CA) sa suporte certificate pentru SCOM. Mai exact sa facem un template pentru emiterea unui certificat compatibil cu “nevoile” serverului de scom pentru a comunica cu agentii.

Ne logam cu credentialele necesare pe autoritatea de certificate (enterprise CA) si dechidem mmc pentru Certificate Templates. Duplicam template-ul pentru Computer si denumim corespunzator template-ul. Selectati 2008 (V3) dar ca sa fiti siguri de functionalitate mergeti pe variant de 2003 (V2). Ajustati validiatatea certificatului, la Request Handling bifati Allow private key to be exported. Poi apasam tabul de Subject Name si selectam Supply in the request pentru a introduce datele manual cand facem cererea. Va aparea un mesaj de Warrning, il puteti ignora, vom modifica ACL-ul pe Template imediat. Apasam tabul de Security, si permiteti Enroll si Autoenroll pentru urmatorii UPNs Authenticated users, Domain Admins, Domain Computers, Enterprise Admins. Apply si OK.

In certsrv.msc expandam Certificate Templates, click dreapta, New, Cetificate Template to issue si selectam Template-ul corespunzator. Ne asiguram ca informatia (noul template disponibil) s-a replicat pe toate DC-urile si folosim Gpupdate /force sa aplicam noile configurari.

De pe serverul de management verificam ca template-ul este disponibil. Navigam la pagina certsrv a autoritatii emitente, selectam Advanced Certificate Request si vedem daca apare si noul template.

Daca nu aveti SSL configurat pe pagina de certsrv si va apare mesajul urmator:

In mod normal trebuie configurat accesul SSL pe pagina respectiva, dar daca sunteti mai ‘lazy’ ….

Exista un workaround pentru asta, destul de rapid. Adaugati site-ul certsrv la Trusted sites. Selectati Custom Level si faceti Enable la setarea de mai jos:

IEsettings

Data viitoare cand accesati pagina o sa va intampine o casuta de dialog, apasati Yes.

Acum ca nu mai apare eroarea respectiva putem sa cerem certificatul selectand template-ul corespunzator.

In campurile Name si Friendly Nname completam FQDN-ul serverului de management, si selectam Mark key as exportable (foarte important).

Acelasi lucru facem si pe serverul aflat in DMZ, doar in dreptul campurilor Name si Friendly Name completam numele serverului FQDN .

Ca sa verificam ca importul este correct, deschidem MMC, User Certificatets, personal si acolo ar trebui sa fie un certificate emis. Deschidem proprietatile certificatului si verificam tabul Certification Path ca toata ierarhia de certificate sa fie in regula (trusted).

Urmatorii pasi trebuiesc facuti pe serverele de management si sistemele din DMZ.

MMC, Certificates, User Certificates, Personal, Certificates si da-ti export pe noul certificat instalat. Selectati sa exportati cheia privata. Nu bifati nimic in urmatoarea fereastra, next, setati o parola si salvati sub un nume corespunzator sub extensia .pfx.

Instalam manual agentii de scom pe serverele din DMZ. Verificam ca serverul scom sacomunice cu agentii din afara domeniului (Administration, Settings, Security sa nu fie reject selectat)

manualagent

Acum trebuie folosit un tool MomCertImport.exe care se gaseste in \SUPPORTTOOLS\AMD64 de pe imaginea installerului SCOM 2012. Acest tool trebuie fie copiat local pe fiecare server fie facut acesibil in retea pentru a fi utilizat. Rulam aplicatia iar ca parametrii specificam calea catre .pfx.

momcert

Dupa ce am executat comanda restartam serviciul de management scom pe fiecare masina inclusive pe serverele SCOM (net stop healthservice && net start healthservice).

Asteptati cateva minute (3-10). Daca in logul OperationsManager nu apare ca fiind stabilita comunicarea, mai restartati odata serviciul de health dar doar de pe serverele care trebuiesc monitorizate.

Daca apare aceasta eroare, trebuie sa dati ‘approve’ agentului in scom.

opserror

Verificati in Administration>Device Management>Pending Management si dati ‘approve’ agentului.

Dupa ce ati dat ‘approve’ verificati din nou Event Log-ul .

THE END

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s