適應平臺:System Center 2012 RTM/SP1
網關服務器
網關服務器用於爲位於管理組的 Kerberos 信任邊界之外(如不受信任的域中)的計算機啓用代理管理。 網關服務器充當代理與管理服務器之間通信的集中點。 不受信任的域中的代理與網關服務器通信,而網關服務器與一個或多個管理服務器通信。 由於網關服務器與管理服務器僅通過一個端口 (TCP 5723) 進行通信,則在任何干預防火牆上均必須打開該唯一端口,才能啓用多臺代理管理的計算機的管理。 多個網關服務器可以放在單個域中,以便在代理與其中一個網關服務器失去聯繫時可以在這些網關服務器之間進行故障轉移。 同樣,單個網關服務器可以配置爲在管理服務器之間進行故障轉移,以便通信鏈中不存在單個故障點。
由於網關服務器位於管理組所在域不信任的域中,必須使用證書來建立每臺計算機的標識、代理、網關服務器和管理服務器。 此安排可滿足 Operations Manager 在相互身份驗證方面的需求。
備註:使用網關服務器的好處
可以通過證書建立信任關係,如果100臺服務器需要監控,要爲100臺部署100個證書,如圖。
如果有網關服務器,但只要通過gateway Server,通過kerbros進行認證,gateway進行接入點就可以了。
只給gateway頒發證書並作爲接入點來處理不信任區域的證書請求
可以由微軟的證書服務器和第三方的證書服務器來頒發
使用momcertimport.exe來導入證書,在scom安裝目錄的tools下面
gatewayserver放在目標域裏
------------------------------------------------------------------------------------------------------------------
網關服務器的部署
參考technet文檔:http://technet.microsoft.com/zh-cn/library/hh456445.aspx
------------------------------------------------------------------------------------------------------------------
跨越internet來監控未受信任的客戶端,如下圖。
需要部署兩臺網關服務器。
------------------------------------------------------------------------------------------------------------------