Kiểm tra Exchange 2007 bằng System Center Operations Manager 2007 – Phần 1
Quản trị mạng - Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách kích hoạt sự thẩm định dựa trên chứng chỉ cho việc kiểm tra các máy chủ Exchange Edge không nằm trong miền.
Cài đặt Agent trên Edge Server
Máy chủ Edge Transport có thể được triển khai như một máy chủ riêng biệt hoặc như một thành viên trong miền Active Directory (để biết được ưu điểm và nhược điểm của mỗi một cấu hình, bạn hãy tham khảo các tùy chọn triển khai cho máy chủ Edge Transpor).
Trong topo phần một, chúng tôi đã quyết định cài đặt Edge Server như một máy chủ riêng (workgroup). Điều đó có nghĩa rằng sự thẩm định đối với máy chủ Operations Manager phải được thực hiện bằng các chứng chỉ, vì agent trong workgroup không thể thẩm định với máy chủ quản lý trong miền bằng giao thức Kerberos.
Hình 1: Thẩm định chứng chỉ
Trong kịch bản này, agent phải được tự cài đặt. Mặc dù agent setup có sẵn trong phần cài đặt Operations Manager nhưng chúng ta sẽ sử dụng binary từ Management Server vì các hotfix cần thiết đều nằm ở đây.
- Từ máy chủ Edge, tìm đến thư mục nơi bạn đã cài đặt OpsMgr binary trên máy chủ Management. Trong trường hợp của chúng tôi, đó là \\OpsMgr\D$\Program Files\System Center Operations Manager 2007\ AgentManagement\AMD64\ (hình 2). Kích đúp vào MOMAgent.msi để kích hoạt quá trình cài đặt (hình 3). Kích Next.
Hình 2: Các nhị nguyên phân cài đặt của Agent
Hình 3: Operations Manager Agent Setup
- Trên cửa sổ Destination Folder (hình 4), sử dụng đường dẫn cài đặt mặc định và kích Next. Trên cửa sổ kế tiếp (hình 5), kích Next để chỉ định các thông tin của Management Group.
Hình 4: Agent Setup: Destination Folder
Hình 5: Agent Setup: Management Group Configuration
- Trong cửa sổ Management Group Configuration (hình 6), chỉ định Management Group Name, the Management Server và Management Server Port. Kích Next.
Hình 6: Agent Setup: Management Group Configuration (tiếp)
- Trong cửa sổ Agent Action Account (hình 7), chọn Local System và kích Next. Xem lại bảng tóm tắt (hình 8), kích Install sau đó Finish (hình 9).
Hình 7: Agent Setup: Agent Action Account
Hình 8: Agent Setup: Ready to Install
Hình 9: Agent Setup: Finish
- Quay trở về thư mục, nơi bạn đã cài đạt các nhị nguyên phân OpsMgr trên máy chủ Management (\\OpsMgr\D$\Program Files\System Center Operations Manager 2007\AgentManagement\AMD64\) và chạy bất cứ hotfix nào nằm ở đó.
Sau các bước này, agent sẽ được cài đặt nhưng không thể truyền thông với Management Server, vì nó không có chứng chỉ đã được gán.
Thực hiện các bước dưới đây trên cả hai máy tính đang cấu hình agent và Management Server bằng cùng một CA cho mỗi máy:
- Yêu cầu các chứng chỉ từ CA
- Cho phép các yêu cầu chứng chỉ trên CA
- Cài đặt các chứng chỉ đã được phép vào kho lưu trữ chứng chỉ máy tính
- Sử dụng công cụ MOMCertImport để cấu hình Operations Manager 2007
Bạn có thể sử dụng một CA riêng, không cần mua các chứng chỉ công cộng. Phụ thuộc vào kiểu của CA bên trong mà bạn có - Enterprise hoặc Standalone – các thủ tục để phát hành các chứng chỉ yêu cầu có khác nhau đôi chút. Sự khác biệt nằm ở “template” cần thiết cho chứng chỉ: Stand-Alone CA sẽ cho phép chỉ định OID cho kiểu chứng chỉ cần thiết, ngược lại, Enterprise lại có một “template” đã được định nghĩa rất tốt mà bạn có thể sử dụng. Đó là tại sao với Enterprise CA chúng ta sẽ cần phải tạo và kích hoạt “template” chứng chỉ mới.
Lưu ý: Để tạo và kích hoạt template yêu cầu, bạn phải chạy Windows Certificate Service trên Windows Server Enterprise Edition. Nếu bạn không có Enterprise Edition, lời khuyên của chúng tôi dành cho bạn là cài đặt một Stand-Alone CA mới.
Do chúng tôi đã có một Stand-Alone cài đặt sẵn trên DC rồi, nên sẽ mô tả các bước về kiểu của CA này.
Thực hiện các bước này trên Edge server và trên OpsMgr server (cả hai đều yêu cầu chứng chỉ):
- Khởi chạy Internet Explorer, sau đó kết nối đến máy tính đang cấu hình Certificate Services (Error! Hyperlink reference not valid.). Trên trang Microsoft Certificate Services Welcome, kích Request a certificate. Trong trang Request a Certificate, kích Or, submit an advanced certificate request. Trong Advanced Certificate Request, kích Create and submit a request to this CA.
- Trong trang Advanced Certificate Request (hình 10), thực hiện các thao tác dưới đây:
a) Trong phần Identifying Information, trường Name, nhập vào tên miền đầy đủ (FQDN) của máy tính mà bạn đang yêu cầu chứng chỉ. (Event ID 20052 của lỗi này được tạo nếu tên miền đầy đủ đã nhập vào trường tên không tương xứng với tên máy).
b) Trong phần Type of Certificate Needed, kích vào danh sách, sau đó chọn Other. Trong trường OID, nhập vào 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2
c) Trong phần Key Options, kích Create a new key set; trong trường CSP, chọn Microsoft Enhanced Cryptographic Provider v1.0; Đặt tùy chọn mặc định (Key Usage: Both, Key Size: 1024, Automatic key container name đã được chọn). Chọn Mark keys as exportable, xóa Export keys to file, xóa Enable strong private key protection sau đó kích Store certificate in the local computer certificate store.
d) Trong phần Additional Options, trường Friendly Name, nhập vào tên miền của máy tính mà bạn đang yêu cầu chứng chỉ và kích Submit. Nếu hộp thoại Potential Security Violation được hiển thị, kích Yes.
e) Khi trang Certificate Pending hiển thị, đóng trình duyệt.
Hình 10: Yêu cầu chứng chỉ trực tuyến
- Để cho phép yêu cầu chứng chỉ sắp tới, hãy đăng nhập vào máy tính cấu hình các dịch vụ chứng chỉ Certificate Services với tư cách quản trị viên và mở giao diện quản trị CA. Mở rộng nút cho tên CA của bạn, sau đó kích Pending Requests. Trong phần panel kết quả, kích chuột phải vào yêu cầu sắp tới từ thủ tục trước, trỏ đến All Tasks và kích Issue.
- Để lấy lại chứng chỉ, hãy đăng nhập vào máy tính, nơi bạn muốn cài đặt chứng chỉ (và từ nơi bạn đã phát hành yêu cầu). Khởi chạy Internet Explorer, và kết nối đến máy tính đang cấu hình Certificate Services (http://<servername>/certsrv).
a) Trên trang Microsoft Certificate Services Welcome, kích View the status of a pending certificate request.
b) Trên trang View the Status of a Pending Certificate Request, kích chứng chỉ bạn đã yêu cầu
c) Trên trang Certificate Issued, cài đặt Install this certificate. Trong hộp thoại Potential Scripting Violation, kích Yes.
d) Trong trang Certificate Installed, sau khi bạn thấy thông báo rằng Your new certificate has been successfully installed, đóng trình duyệt. - Do cả hai máy chủ phải tin cậy CA người đã phát hành các chứng chỉ, chúng ta phải import chứng chỉ CA trên cả hai máy (Edge và OpsMgr). Khởi chạy Internet Explorer, và kết nối đến máy tính đang cấu hình Certificate Services (http://<servername>/certsrv).
a) Trên trang Welcome, kích Download a CA Certificate, certificate chain, or CRL.
b) Trên trang Download a CA Certificate, Certificate Chain, or CRL, kích Download CA certificate chain.
c) Trong hộp thoại File Download, kích Save, chỉ định tên file (.P7B), sau đó kích Save lần nữa. Đóng trình duyệt. - Chạy MMC và add thêm Certificates snap-in (trong hộp thoại Certificates snap-in, chọn Computer account, và kích Next. Bảo đảm rằng Local computer đã được chọn, sau đó kích Finish). Mở rộng Certificates (Local Computer), mở Trusted Root Certification Authorities, kích Certificates, chọn All Tasks sau đó kích Import. Duyệt đến nơi bạn đã lưu file .P7B và import chứng chỉ.
- Để import các chứng chỉ bằng MOMCertImport, bạn hãy duyệt đến thư mục, nơi các file nhị nguyên phân của Operations Manager 2007 cư trú. Tiện ích MOMCertImport được đặt trên \SupportTools\i386 (for 64-bit computers \SupportTools\amd64). Chạy lệnh sau:
MOMCertImport /SubjectName <Certificate Subject Name>
(Bạn có thể export chứng chỉ đã phát hành trước vào file .PFX và chạy lệnh MOMCertImport <Certificate File Name>.pfx)
Hình 11: Chạy MOMCertImport
Nếu bạn cần remove các chứng chỉ đã được import với công cụ MOMCertImport, chỉ cần chạy MomCertImport /Remove.
Cho phép tự cài đặt agent
Trước khi tự cài đặt agent, thiết lập toàn cục phải được thay đổi từ reject thành “Review new manual agent installation in pending management view” trong giao diện của OpsMgr 2007.
Mở giao diện điều khiển và trong panel Administration, chọn Settings. Trên panel bên phải, mở Server và kích vào Security (hình 12). Kích Properties và tab General, chọn Review new manual agent installation in pending management view (hình 13). Kích OK để kết thúc.
Hình 12: Cho phép tự cài đặt agent
Hình 13: Global Management Server Settings – Security
Sau mỗi khi cài đặt agent, một agent mới phải được cho phép trong System Center Operations Manager Console:
Mở giao diện điều khiển, trong panel Administration, mở Device Management và chọn Pending Management. Trong phần panel bên phải, kích phải vào máy chủ đang yêu cầu cho phép và chọn Approve l(hình 14).
Để kiểm tra xem agent đã được cho phép thành công, bạn hãy xem trong thư mục Agent Managed và xem có agent đã được cho phép nằm ở đây hay không.
Hình 14: Cho phép cài đặt Agent
Kết luận
Đến đây chúng tôi xin kết thúc phần 2. Trong phần tiếp theo, chúng tôi sẽ giới thiệu quá trình cấu hình trong System Center Operations Console, thành phần được yêu cầu để kiểm tra các máy chủ Exchange 2007 với Operations Manager 2007.