Nachdem ich immer wieder mit dem Problem konfrontiert werde, dass die Einbindung von Computern, die ausserhalb des Authentifizierungs-Kontextes des (Root) Management Servers (kurz: nicht im gleichen Forest) sind nicht gelingt, und das, obwohl der
KB-Artikel 947691 minutös befolgt wurde - was an sich eine Kunst ist, weil der gelinde gesagt ein wenig unscharf ist - hier nun einige nähere Hinweise:
Voraussetzungen
Damit der Agent mit dem Management Server (MS) Kontakt aufnehmen kann, müssen - abgesehen von einer Netzwerkverbindung mit offenem Port 5723 - folgende Voraussetzungen erfüllt sein:
- Beide Computer (MS + Agent) müssen über ein gültiges Zertifikat der gleichen PKI verfügen, das als Subject den FQDN hat, und der Private Key muss vorhanden sein. Auf den Agent gehört das Zertifikat mit dem FQDN des Agents, auf den MS das Zertifikat mit dem FQDN des MS.
- Das Zertifikat muss folgende Voraussetzungen erfüllen:
Key Usage: Digital Signature, Key Encipherment (0xa0)
Enhanced Key Usage: Client Authentication (1.3.6.1.5.5.7.3.2), Server Authentication (1.3.6.1.5.5.7.3.1)
- Die Zertifikate, also sowohl das Computerzertifikat als auch ggf. das Zertifikat der ausstellenden CAs, müssen im Zertifikatsspeicher des Computers liegen.
- Demnach muss auch ein ggf. erforderlichen Root-Zertifikat im Zertifikatsspeicher des Computers, unter "Trusted Root Authtorities" liegen
Diese Voraussetzungen lassen sich auf beiden Seiten leicht überprüfen:
- Ich gehe mal davon aus, dass der Name des MS bekannt ist :-)
Den "richtigen" Namen des Agent-Computers finden Sie problemlos in den Events des Agents im Eventlog, falls "ipconfig /all" zu trivial sein sollte.
- Das Zertifikat muss von einem angepassten Template erzeugt werden, siehe dazu die Anleitung im o.a. KB-Artikel.
- Hier hilft die Zertifikate-AddIn zur MMC für den lokalen Computer.
- Siehe 3.
Abhilfe
Das Problem kommt meistens daher, dass für den Agent-Computer über die Website des Zertifikatsservers zwar das richtige Zertifikatstemplate verwendet wird, dass das Zertifikat dann aber im User- und nicht im Computer-Store abgelegt wird - u.a. deshalb, weil seit Windows Server 2008 über das Web die Funktion "Store the certificate in the local compute certificate store" nicht mehr verfügbar ist. Die effizienteste Lösung für die Probleme mit der Event-ID 21036 ist daher:
- Alle bisher ausgestellten Zertifikate für den Agent aus dem Zertifikatsspeicher löschen. Aber bitte wirklich nur die, die Sie für die Einrichtung der Kommunikation mit dem MS erstellt haben, nich den ganzen Zertifikatsspeicher leeren!
- Den Cyptografie- und Health Service durchstarten.
- Das Computerzertifikat vom entsprechenden Template via Website (certsrv) der CA anfordern und installieren
- Das Zertifikat aus User/Personal samt Private Key exportieren, und
- in Computer/Personal importieren.
- Dabei überprüfen, ob unter Computer/"Trusted Root Authorities" das richtige Root-Zertifikat liegt
- Mit MOMCertImport.exe das Zertifikat importieren, dabei mit "View Certificate" nochmals checken, ob alles passt.
- Health Service durchstarten
- Nach 5-10 Min. erscheint der Agent in der Console unter Administration/Pending Management, dort approven.
Das sollte einwandfrei funktioniert, und zwar mit SCOM 2007, SCOM 2007 R2 und SCE.
Spezialproblem auf 64bit Systemen
Bleibt nur noch das kleinwinzige Spezialproblem mit dem MOMCertImport auf 64bit Computern. Hier ist es wichtig, die .exe für die richtige Plattform zu verwenden, sonst schreibt das Tool den Registry Wert, der den SCOM Agent mit "seinem" Zertifikat verbindet unter den Wow6432Node Key, also unter
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Microsoft Operations Manager\3.0\Machine Settings]
"ChannelCertificateSerialNumber"
Dort findet der Agent den Wert natürlich nicht, richtig wäre
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings]
Die einfachste Lösung hier besteht darin, die richtige .exe zu verwenden. Sie können diesen Key aber auch exportieren, den Pfad im Export-File korrigieren und das ganze wieder importieren.
Und siehe da ...