Zum Hauptinhalt wechseln

Der NTx Blog

Geschichten über Technik, und was sonst noch in der IT passieren kann ...

Blogspace
  

Der NTx Blog > Beiträge > SCOM 2007 Agent auf Nicht-Domain Mitglied installieren
SCOM 2007 Agent auf Nicht-Domain Mitglied installieren
Nachdem ich immer wieder mit dem Problem konfrontiert werde, dass die Einbindung von Computern, die ausserhalb des Authentifizierungs-Kontextes des (Root) Management Servers (kurz: nicht im gleichen Forest) sind nicht gelingt, und das, obwohl der KB-Artikel 947691 minutös befolgt wurde - was an sich eine Kunst ist, weil der gelinde gesagt ein wenig unscharf ist - hier nun einige nähere Hinweise:
 
Voraussetzungen
 
Damit der Agent mit dem Management Server (MS) Kontakt aufnehmen kann, müssen - abgesehen von einer Netzwerkverbindung mit offenem Port 5723 - folgende Voraussetzungen erfüllt sein:
  1. Beide Computer (MS + Agent) müssen über ein gültiges Zertifikat der gleichen PKI verfügen, das als Subject den FQDN hat, und der Private Key muss vorhanden sein. Auf den Agent gehört das Zertifikat mit dem FQDN des Agents, auf den MS das Zertifikat mit dem FQDN des MS.
  2. Das Zertifikat muss folgende Voraussetzungen erfüllen:
    Key Usage: Digital Signature, Key Encipherment (0xa0)
    Enhanced Key Usage: Client Authentication (1.3.6.1.5.5.7.3.2), Server Authentication (1.3.6.1.5.5.7.3.1)
  3. Die Zertifikate, also sowohl das Computerzertifikat als auch ggf. das Zertifikat der ausstellenden CAs, müssen im Zertifikatsspeicher des Computers liegen.
  4. Demnach muss auch ein ggf. erforderlichen Root-Zertifikat im Zertifikatsspeicher des Computers, unter "Trusted Root Authtorities" liegen
Diese Voraussetzungen lassen sich auf beiden Seiten leicht überprüfen:
  1. Ich gehe mal davon aus, dass der Name des MS bekannt ist :-)
    Den "richtigen" Namen des Agent-Computers finden Sie problemlos in den Events des Agents im Eventlog, falls "ipconfig /all" zu trivial sein sollte.
  2. Das Zertifikat muss von einem angepassten Template erzeugt werden, siehe dazu die Anleitung im o.a. KB-Artikel.
  3. Hier hilft die Zertifikate-AddIn zur MMC für den lokalen Computer.
  4. Siehe 3.
Abhilfe
 
Das Problem kommt meistens daher, dass für den Agent-Computer über die Website des Zertifikatsservers zwar das richtige Zertifikatstemplate verwendet wird, dass das Zertifikat dann aber im User- und nicht im Computer-Store abgelegt wird - u.a. deshalb, weil seit Windows Server 2008 über das Web die Funktion "Store the certificate in the local compute certificate store" nicht mehr verfügbar ist. Die effizienteste Lösung für die Probleme mit der Event-ID 21036 ist daher:
  1. Alle bisher ausgestellten Zertifikate für den Agent aus dem Zertifikatsspeicher löschen. Aber bitte wirklich nur die, die Sie für die Einrichtung der Kommunikation mit dem MS erstellt haben, nich den ganzen Zertifikatsspeicher leeren!
  2. Den Cyptografie- und Health Service durchstarten.
  3. Das Computerzertifikat vom entsprechenden Template via Website (certsrv) der CA anfordern und installieren
  4. Das Zertifikat aus User/Personal samt Private Key exportieren, und
  5. in Computer/Personal importieren.
  6. Dabei überprüfen, ob unter Computer/"Trusted Root Authorities" das richtige Root-Zertifikat liegt
  7. Mit MOMCertImport.exe das Zertifikat importieren, dabei mit "View Certificate" nochmals checken, ob alles passt.
  8. Health Service durchstarten
  9. Nach 5-10 Min. erscheint der Agent in der Console unter Administration/Pending Management, dort approven.

Das sollte einwandfrei funktioniert, und zwar mit SCOM 2007, SCOM 2007 R2 und SCE.

Spezialproblem auf 64bit Systemen

Bleibt nur noch das kleinwinzige Spezialproblem mit dem MOMCertImport auf 64bit Computern. Hier ist es wichtig, die .exe für die richtige Plattform zu verwenden, sonst schreibt das Tool den Registry Wert, der den SCOM Agent mit "seinem" Zertifikat verbindet unter den Wow6432Node Key, also unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Microsoft Operations Manager\3.0\Machine Settings]
"ChannelCertificateSerialNumber"

Dort findet der Agent den Wert natürlich nicht, richtig wäre
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings]

Die einfachste Lösung hier besteht darin, die richtige .exe zu verwenden. Sie können diesen Key aber auch exportieren, den Pfad im Export-File korrigieren und das ganze wieder importieren.

Und siehe da ...

Kommentare

Zu diesem Beitrag sind noch keine Kommentare vorhanden.

 Aktuelle Beiträge

Office 365: Probleme mit Anhängen und mehr
Outlook 2013: Die NSA liest mit
Fehler: "The description for Event ID (X) in Source (Y) could not be found..." wenn Event log Einträge an andere Server weitergeleitet werden(Forwarded Events)
Warum es keine gute Idee ist, zwischen Exchange Servern Firewalls zu platzieren...
Exchange 2007 Service Pack Upgrade schlägt bei der Installation der HUB Rolle fehl...
Outlook Sync Issues Folder automatisch leeren...
Windows Phone 7: Ist es nach über einem Jahr eine ernstzunehmende Alternative zu iPhone und Android?
Was Ultrabooks und die Cloud gemeinsam haben und was das mit dem Winter zu tun hat
Datenschutz in der Cloud
DPM has detected a discontinuity in the log chain …