在实际的环境中我们可能会遇到下面的情况:
网络中我们部署有EXCHANGE2010和边缘服务器,且边缘服务器并没有加入到域中来,再者网络只有一台工作组的服务器(边缘服务器)需要监控。如果安装网关服务器,太麻烦,还得准备一台服务器。那么我们可以在工作组的环境下实现SCOM监控吗?答案是肯定的。
先说一下整体的思路:
1 我们必须有台独立根证书颁发服务器
2 把根证书分别导入到SCOM服务器和被监控的计算机中的“受信任的证书颁发机构”中。
3 分别为SCOM服务器和被监控的计算机上申请证书
4 把申请的计算机证书通过momcertimport程序导入。
5 分别重启两台计算机或者重启 Health Service。
具体步骤如下:
1 在SCOM服务器上安装证书颁发机构
由于我已经安装后,所以相关过程其实很简单,不知道的请参阅其他教程
2 在SCOM服务器上,打开IE(地址是:http://SCOM服务器计算机名/certsrv),把CA证书链下载,保存,并且导入到本地计算机账户的“受信任的根证书颁发机构”中(可以通过MMC控制台导入,一定要选择本地计算机账户)
3 为SCOM服务器申请一个证书
打开IE“http://SCOM服务器计算机名/certsrv”,-〉申请证书-〉高级证书申请-〉创建并向CA提交一个申请
这里要特别注意:名称一定是SCOM服务器的FQDN名称,需要的证书类型选择其他,OID为:1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2,CSP:为Microsoft Enhanced Cryptographic Provider v1.0,标记密钥为可导出必须勾选。密钥大小为1024。友好名称和名称一样。
如下图
4 在SCOM服务器上,打开MMC控制台,添加证书颁发机构,证书颁发机构肯定是本地计算机塞,因为你之前在SCOM服务器上添加了证书颁发机构这个角色的塞。
找到挂起的申请,让后把刚才申请的证书颁发一下。
5 在SCOM 计算机上,打开IE同上的地址,点击查看挂起的证书申请状态,找到你刚才申请的证书,点击然后安装证书。
6 在SCOM服务器上,由于刚才安装了证书,但是,是安装在你登录到SCOM服务器上的账户的证书目录下,我们必须把这个证书导出来,然后导入到计算机账户的证书目录下才可以。
打开MMC,在添加删除管理单元中选择证书,选择添加我的用户账户证书目录。
然后导出个人目录下的证书,一定要选择导出私钥。然后在导入到计算机账户的个人证书目录中
7 在SCOM服务器上,打开SCOM光盘中的MOMCERTIMPORT程序,选择导入刚才你申请的那个计算机证书。
8在被监控的计算机上,我这里是EXCHANGE2010的边缘服务器。按照和SCOM服务器上同样的步骤:
打开IE 地址为:http://scom服务器地址/certsrv,下载根证书链导入到计算机证书目录下的“受信任的根证书颁发机构”中。
然后又打开IE,申请被监控的计算机的计算机证书,不同的是,名称是被监控计算机的名称,如果你的被监控计算机设置有主DNS后缀,那么建议是FQDN名。好记的名称也和名称相同,其他选项和SCOM申请时一样的。
同样的一样需要把刚才申请的证书安装,然后导出,然后导入到计算机证书的个人目录中。
然后手动安装代理客户端
然后,把momcertimport程序打开,导入刚才被监控计算机申请的证书。
重启计算机。SCOM服务器和被监控计算机都重启。
计算机中的证书分别由用户证书,服务证书,计算机证书,他们分别存放在不同的证书目录下,如果你是以登陆用户的名义去访问资源,那么你用户证书目录下面必须包含对方颁发的证书。如果你是以某个服务的名义去访问,那么你需要为特定的服务申请证书,而且证书也可以同上面的方法导入到服务的证书目录中去。如果你是以LOCALSYSTEM的名义通信或者访问(如SCOM代理客户端的healthservice就是以localsystem账户运行的)就必须把证书导入到计算机的证书目录中。
本文转自zhaonaiqiu 51CTO博客,原文链接:http://blog.51cto.com/naima/655707,如需转载请自行联系原作者
