Самое простое, что я мог бы предпринять, чтобы изменить мир к
лучшему - это написать еще одну статью про интеграцию SCOM c VMM. А что если инфраструктура AD не совсем типична? И если у заказчика имеется несколько лесов Active Directory. Какие сложности нас могут ожидать?
Рассматриваем схему, где используются два леса AD уже соединенные двусторонними доверительными отношениями.
Forest1.local - лес с пользователями, компьютерами, объектами мониторинга
Forest2.local - лес ресурсов, лес виртуализации
SCOM-1 - domain controller, SCOM Root Managenent Server
VMM-1 - domain controller, VMM Server
Все это собиралось на тестовом стенде, с целью исследовать интеграцию продуктов SCOM и VMM в разных лесах Active Directory.
Для успешного завершения процедуры интеграции продуктов, необходимо подготовиться:
Рассматриваем схему, где используются два леса AD уже соединенные двусторонними доверительными отношениями.
Forest1.local - лес с пользователями, компьютерами, объектами мониторинга
Forest2.local - лес ресурсов, лес виртуализации
SCOM-1 - domain controller, SCOM Root Managenent Server
VMM-1 - domain controller, VMM Server
Все это собиралось на тестовом стенде, с целью исследовать интеграцию продуктов SCOM и VMM в разных лесах Active Directory.
Для успешного завершения процедуры интеграции продуктов, необходимо подготовиться:
- Установить двусторонние доверительные отношения между лесами (Two-way Forest Trust) Create a two-way, forest trust for both sides of the trust
- Иметь под рукой дистрибутивы System Center:
- System Center Operations Manager 2007 R2
- System Center Virtual Machine Manager 2008 R2 SP1
- Microsoft SQL Server Management Pack for Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=156501).
- Windows Server Internet Information Services 7 Management Pack for System Center Operations Manager 2007 (http://go.microsoft.com/fwlink/?LinkId=156502)
- System Center Management Pack for Windows Server Operating System
Приступая к интеграции VMM и OM, я руководствуюсь статьей http://technet.microsoft.com/en-us/library/ee236428.aspx и выполняю проверку требований установки VMM:
Давайте приступим!
- Версии SCOM 2007 R2 и VMM 2008 R2 в моем случае являются совместимыми продуктами
- VMM Сервер и подчиненные Hyper-V хосты и виртуальные машины должны быть под наблюдением SCOM в составе единой группы управления management group
- Домен Active Directory, в котором располагается Operation Manager, должен иметь двунаправленные доверительные отношения с доменом, в котором располагается сервис VMM
- Служба OpsMgrSDK Service должна регистрировать атрибут SPN (Service principle Name) в Active Directory.
Давайте приступим!
- Подготовка учетных записей в двух лесах Active Directory
- Подготовка Virtual Machine Manager Server
- Подготовка Operations Manager RMS
- Финальный этап
1. Подготовка учетных записей
В лесу Forest1.local Active Directory создаем учетную запись, если этого не сделано ранее scom-sdk-account@forest1.local
В лесу Forest1.local Active Directory создаем учетную запись, если этого не сделано ранее scom-sdk-account@forest1.local
На сервере SCOM-1 подсовываем службе System Center Data Access (OMSDK) доменный аккаунт, если этого не было сделано ранее. Руководствуемся документом KB936220
Также настраиваем также службу System Center Management Configuration (OMCFG) на работу от domain account.
Необходимо пояснить что, если основная служба сервера SCOM-1 OpsMgrSDK работает не от Local
System, а от непривелегированного Domain User Account, то вам необходимо вручную зарегистрировать SPN для
корневого сервера управления SCOM-1 (Root Management Server) и выдать полномочия учетной записи
читать и изменять атрибут SPN. Регистрация SPN для RMS выполняется по шаблону:
SetSPN.exe
–A MSOMSdkSvc/<RootManagementServerFQDN>
<domain>\<SDKServiceAccount>
SetSPN.exe
–A MSOMSdkSvc/<RootManagementServerNetBIOS> <domain>\<SDKServiceAccount>
В лесу Forest1.local проверяем
учетную запись для OpsMgrSDK Service
SetSPN.exe
–A MSOMSdkSvc/scom-1.forest1.local forest1.local\scom-sdk-account
SetSPN.exe
–A MSOMSdkSvc/scom-1 forest1.local\scom-sdk-account
В лесу Forest1.local выполняем следующую инструкцию
To grant the SDK service account permission to read and write the SPNs
- On the domain controller, open ADSIEdit.msc.
- Navigate to the service account for the SDK service. For Operations Manager 2007 SP1, the service name is SDK Service; for Operations Manager 2007 R2, the service name is System Center Data Access. Right-click the service account, and click Properties.
- On an Operations Manager 2007 SP1 server, update the service account for the OpsMgr SDK service.
- On an Operations Manager 2007 R2 server, update the service account for the System Center Data Access service.
- On the Security tab, click Advanced, click Add, type SELF, and then click OK.
- On the Properties tab, in the Apply Onto list, select This object only.
- In the properties list, scroll to Read servicePrincipleName and Write servicePrincipleName, and select Allow for each of them.
- After saving the new permissions, restart the Operations Manager SDK service on the root management server. In Operations Manager 2007 SP1, the service name is OpsMgr SDK Service; in Operations Manager 2007 R2, the service name is System Center Data Access Service.
Не забываем сделать рестарт службы OpsMgrSDK Service.
Далее в ресурсном лесу Forest2.local проверяем SPN
SetSPN.exe
–L forest1.local\scom-sdk-account
В лесу Forest1.local создаём Domain Local группу "VMM Administrators" В нее добавляем члена forest2.local\vmm-service-account
2. Подготовка VMM сервера
- Устанавливаем VMM консоль на сервер VMM, если этого не было сделано ранее.
- Устанавливаем Operations Manager Console на сервер VMM.
На сервере VMM –> VMM Console –> Administration –> User Roles добавляем Default action account для следующих компонентов:
Root Management Servers
Other Management Servers
OpMgr Agent на VMM сервере
Но!
Но!
Для вышеуказанных записей у меня был использован local system account в составе ОС, поэтому важное указание - надо добавить в профиль User Role for Administrators VMM севера, учетную запись компьютера FOREST1\SCOM-1$
Основная служба VMM (VMM Service) должна работать от учетной записи которую мы сделали ранее - Forest2\vmm-service-account и мы ее уже добавили в Domail Local группу FOREST1\VMM Administrators. Эта группа необходима нам назначения прав на сервер RMS в следующем шаге.
3. Подготовка Operations Manager RMS
Заходим на RMS в роли Operations Manager Admnistrator и добавляем группу FOREST1\VMM Administrators в роль Operations
Manager Administrators. http://technet.microsoft.com/en-us/library/ee236489.aspx
Раздел SCOM Console –> Administration –> Security –> Roles –> Operations Manager Administrators
Раздел SCOM Console –> Administration –> Security –> Roles –> Operations Manager Administrators
Далее делаем импорт необходимых пакетов управления (Management Packs) для интеграции сервисов OM Console -> Administration -> Management Packs -> Import Management Packs
У меня MP IIS 7 попросил дополнительно необходимый компонент Microsoft.Windows.Server.2008.Discovery за которым тянется Microsoft.Windows.Server.Library
из состава MP Windows Server Operating System
И Стоп!
Далее в статье http://technet.microsoft.com/en-us/library/ee236428.aspx как бы следует запустить мастер установки VMM на сервере RMS. Но этот случай применим при работе SCOM и VMM в одном домене! Если SCOM и VMM находятся в разных лесах, то следует получить инструкции тут http://technet.microsoft.com/en-us/library/ee236494.aspx и интегрировать пакеты управления для VMM таким же ручным способом:
Далее в статье http://technet.microsoft.com/en-us/library/ee236428.aspx как бы следует запустить мастер установки VMM на сервере RMS. Но этот случай применим при работе SCOM и VMM в одном домене! Если SCOM и VMM находятся в разных лесах, то следует получить инструкции тут http://technet.microsoft.com/en-us/library/ee236494.aspx и интегрировать пакеты управления для VMM таким же ручным способом:
- Устанавливаем VMM консоль на RMS
- Выполняем импорт VMM 2008R2 MP с оригинального дистрибутива VMM из каталога amd64\VirtualizationMP
После этого включаем политику
скриптом Powershell в соcтояние – remoteSigned http://technet.microsoft.com/en-us/library/dd347628.aspx
C:\PS>set-executionpolicy
remotesigned
Description
-----------
This
command sets the user preference for the shell execution policy to
RemoteSigned.
Если SCOM состоит из набора распределенных Management Severs, то на всех
последующих серверах управления также следует установить VMM консоль и установить
политику скриптом Powershell в состояние
– remoteSigned. Напрашивается
групповая политика для настроек Powershell.
Далее почти, финальный этап. Я бы посоветовал перезагрузить серверы VMM и SCOM RMS и еще раз убедиться, что службы OpsSDK и VMM Servive account работают от доменных учетных записях.
4. Финальный этап
Указываем размещение служб в сервере VMM – VMM Console –
Administration – System Center – Operation Manager Server,
используя FQDN: SCOM-1.FOREST1.local
Проверяем!
Ура! Ура! Ура!
Ура! Ура! Ура!
Как это видно из скриншота, теперь можно включить PRO Tips! Интеграция завершена!
Комментариев нет:
Отправить комментарий