Operations Manager 07 | 12

Welcome to Operations Manager 07 | 12 Sign in | Join | Help

Fonctionnalité "Active Directory Integration"

A l'image d'application comme Exchange ou Systems Management Server 2003 / System Center Configuration Manager 2007System Center Operations Manager 2007 permet (enfin !)  le stockage des informations de configuration d'agent dans l'annuaire Active Directory. Ainsi vous profiterez de son modèle de réplication multimaitre garantissant une configuration proche des ordinateurs managés.

Problématique

Tout agent à besoin d'information de configuration pour fonctionner, telles que le nom de son serveur d'administration (principal/secondaire), paramètre de failover ainsi que le groupe d'administration auquel il appartient.

En les publiant dans votre annuaire vous récolterez tous les bénéfices de ce dernier (administration centralisée, configuration automatique...). 

Cette fonctionnalité ne vous affranchie pas du déploiement d'agent, mais elle automatisera leur configuration !  Pour les installer nous ferons appel aux méthodes d'installation classiques telles que:

  • Installation manuelle / Script
  • Stratégie de groupe (GPO)
  • System Management Server (SMS) / System Center Configuration Manager (SCCM)
  • Intégration dans vos masters / images (Ghost / image .wim)

Vue d'ensemble du processus

Voici les quatre étapes du processus "Active Directory Integration" 

  1. Création du conteneur de configuration dans l'annuaire Active Directory, des groupes de sécurité et définition des ACL.
  2. Configuration de l'assignation des agents sur le serveur d'administration racine (RMS).
  3. Les agents interrogent le contrôleur de domaine le plus proche de lui afin de déterminer sa configuration.
  4. Communication des agents avec leur serveur d'administration respectif.

Configuration Active Directory : MOMADAdmin.exe

Cette fonctionnalité repose sur l'utilisation d'un objet Active Directory du type « Service Connection Point  (SCP)» utilisé par les agents pour localiser le ou les groupes d'administration auquel ils appartiennent. Pour se faire il est nécessaire de posséder la permission de lecture sur cet objet. 

La création de ces objets est automatisé par l'outil en ligne de commande MOMADAdmin.exe. Notez bien qu'aucune modification du schéma n'est réalisée.

Pré-requis

  • Autorisation: afin de créer le conteneur de configuration dans l'annuaire il est impératif de posséder les droits d'administrateur du domaine ou de l'entreprise
  • Niveau fonctionnel: Vérifiez que votre domaine est au niveau fonctionnel "Windows Serveur 2000 natif ou 2003"
  • Plateforme: un ordinateur Windows Serveur 2000 SP4 / 2003 ou Windows XP SP2 possédant le Framework 2.0
Une fois les pré-requis satisfaits, rendez-vous dans le répertoire d'installation d'Operations Manager et exécutez le.
 
<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RootManagementServerComputerName> <Domain>

Récapitulatif des arguments:

  • <MOMManagementGroupName> : Nom du groupe d'administration, un conteneur sera créer dans l'annuaire à son nom.
  • <MOMAdminSecurityGroup> : Groupe de sécurité globale (foret multi domaine) ou local (foret mono domaine). Ce groupe doit posséder les autorisations "rôle d'administrateur Operations Manager ". Utilisez le format pré-Windows 2000 du type domain\Groupe_de_securité.
    • Par défaut c'est le groupe défini lors de l'installation du serveur de base de donnée, cependant il est possible de le re-définir grâce au noeud Administration de la console d'opération.
  • <RootManagementServerComputerName> : le serveur d'administration racine (RMS) de votre groupe d'administration au format domain\compte_d'ordinateur
  • <Domain>: Le domaine où le conteneur sera crée

Prenons pour exemple l'infrastructure ci-dessous:

  • Dans ce cas, Il faut taper la ligne de commande suivante:

Notez bien la présence des messages "Successfully..." , sinon vérifiez à nouveau la validité des arguments renseignés.

En détail, que c'est-il passé ?

1. Création de nouveaux conteneurs

  • Un conteneur nommé Operations Manager est crée à la racine de la partition de domaine
    • Ainsi qu'un conteneur enfant portant le nom de votre groupe d'administration (ici Lyon).

2. Création d'un Service Connection Point  (SCP) 

Au sein du conteneur enfant ayant pour nom celui de votre groupe d'administration (ici Lyon) , un SCP y sera crée :

  • HealthServiceSCP 

3. Création et modification de groupe de sécurité 

  • Un groupe de domaine local nommé groupe_d'adminitrationHSvcSCP_SG est crée dans le conteneur Lyon.
  • Ajout du compte d'ordinateur du serveur d'administration racine (RMS) (ici exakis\scom-srv1$) au groupe de sécurité du rôle Administrateur OpsMgr (ici GG_adminopsmgr.)

4. Assignation des droits ACL 

  • Groupe de sécurité du rôle Administrateur OpsMgr (ici GG_adminopsmgr.) :
    • Lecture et création d'un certain type d'objet enfant comme les groupes de sécurité et SCP sur le conteneur Lyon
    • Contrôle total sur le SCP nommé HealthServiceSCP
  • Groupe de domaine local groupe_d'adminitrationHSvcSCP_SG
    • Lecture sur le SCP nommé HealthServiceSCP

5. Contrôlez la bonne création de ces éléments

Deux possibilité s'offre à vous,

  1. Le composant enfichable ADSI Edit
    • Ajoutez la partition de domaine
  2. La console Utilisateur et Ordinateur Active Directory
    • Utilisez l'option d'affichage fonctionnalités avancées.

Tips et recommandations

  1. Réalisez cette opération autant de fois que vous avez de domaine à superviser. En effet le conteneur OperationsManager est crée dans la partition de domaine, il n'est donc pas répliqué en dehors du domaine. Si des agents sont situés dans un autre domaine il faudra réaliser cette opéation dans ce dernier. 
  2. Réalisez cette opération autant de fois que vous avez de groupe d'administration dans vos domaines..
  3. Notez bien que si le serveur d'administration racine (RMS) ou bien que le groupe de sécurité ayant le rôle d'administrateur OpsMgr est supprimé, il sera nécessaire de modifier à la main les différentes autorisations. Dans ce cas, je vous conseille fortement de supprimer ce conteneur à l'aide de l'outil MOMADAdmin.exe et l'argument -delete <groupe_administration> <domaine> , puis de le recréer.

 

                                                                                                                                                                          Assignation automatique des agents de supervision - Next è
 

Table des matières 

Powered by Community Server (Non-Commercial Edition), by Telligent Systems