皆様こんにちは、System Center サポートチームの 石原 です。
今回は、SCOM 管理サーバーと同じ信頼境界内に存在しない Windows サーバー ( ※ 信頼関係を結んでいない別ドメイン内のサーバーや WORKGROUP コンピューター) に導入した SCOM エージェントを、証明書認証を用いて管理する方法について説明します。
SCOM 管理サーバーと同じ信頼境界内に存在しない Windows サーバーの管理方法について
System Center Operations Manager(以後、SCOM) は、Windows サーバーの管理に SCOM エージェント ( MMA:Microsoft Monitoring Agent ) を使用します。
エージェントと管理サーバーとの間で情報交換を開始する前に相互認証を実行しますが、この認証プロセスは保護のために暗号化されます。エージェントと管理サーバーが同じ Active Directory ドメイン内に存在する場合、または信頼関係が確立された異なる Active Directory ドメイン内に存在する場合は、Active Directory によって提供される Kerberos V5 認証メカニズムを使用します。この認証プロセス用には特に設定等は不要です。
エージェントと管理サーバーが同じ信頼境界内に存在しない場合 ( ※信頼関係を結んでいない別ドメイン内のサーバーや WORKGROUP コンピューターの場合) は、セキュリティで保護された相互認証要件を満たすために他のメカニズムを使用する必要があります。
相互認証が完了していない場合、エージェントは管理サーバーに接続できず、エージェント サーバー側にイベントログ (21016 と 21007) が記録されます。
==========================================
イベント ID : 21016
ログの名前 : Operations Manager
ソース : OpsMgr Connector
レベル : エラー
コンピューター : エージェントサーバーのコンピューター名
説明 : OpsMgr は SCOM 管理サーバーのFQDN との通信チャネルを設定できませんでした。フェールオーバー ホストがありません。SCOM 管理サーバーのFQDN が使用可能になり、このコンピューターからの通信が許可されるようになったら、通信が再開されます。
イベント ID : 21007
ログの名前 : Operations Manager
ソース : OpsMgr Connector
レベル: エラー
コンピューター : エージェントサーバーのコンピューター名
説明 : OpsMgr コネクタは、信頼されたドメインにないため、SCOM 管理サーバーのFQDN への相互に認証された接続を作成できません。
==========================================
相互認証のプロセスを完了させる方法には、以下の 2 つの方法があります。
1)ゲートウェイ サーバーを構築する方法 ※参考:ゲートウェイ サーバー | Microsoft Learn
2)証明書認証を設定する方法 ← 本記事の内容
本記事では、管理サーバーとエージェントとサーバーに証明書を登録して証明書認証を行う手順について説明します。
証明書認証の設定の流れ
証明書認証の設定の流れは以下の通りです。
次章にて、各々の具体的な設定手順について説明します。
A. 証明書テンプレートの作成(CA サーバー)
B. 信頼されているルート証明書のダウンロード(SCOM 管理サーバー)
C. 信頼されているルート証明書のインポート(SCOM 管理サーバー)
D. 信頼されているルート証明書のダウンロード(WORKGROUP にある監視対象)
E. 信頼されているルート証明書のインポート(WORKGROUP にある監視対象)
F. CA へ証明書の要求(SCOM 管理サーバー)
G. CA へ証明書の要求(WORKGROUP にある監視対象)
H. 証明書ストアに証明書のインポート(SCOM 管理サーバー)
I. 証明書ストアに証明書のインポート(WORKGROUP にある監視対象)
J. MOMCertImport を使って Operations Manager に証明書をインポートします。(SCOM 管理サーバー)
K. MOMCertImport を使って Operations Manager に証明書をインポートします。(WORKGROUP にある監視対象)
証明書認証の設定手順
A. 証明書テンプレートの作成(CA サーバー)
- CA の管理権限を持つアカウントで、証明書サービスをホストしているコンピューター にログインします。
- [管理ツール] より、[証明機関] を起動します。
- ナビゲーション ウィンドウで、CA 名を展開します。
- [証明書テンプレート] を右クリックし、[管理] を選択して、”証明書テンプレート コンソール” を開きます。
- 画面中央のウィンドウの “テンプレート表示名” の列にある [IPsec (オフライン要求)] を右クリックし、[テンプレートの複製] を選択し、”新しいテンプレートのプロパティ” を開きます。
- [全般] タブの[テンプレート表示名] のテキスト ボックスに、このテンプレートは名を入力します。
例えば、「OperationsManagerCert」とします。(※必要に応じて、[有効期間] を変更してください。)
- [要求処理] タブの [秘密キーのエクスポートを許可する] にチェックをします。
- [拡張機能] タブの [このテンプレートに含まれる拡張] に表示されている [アプリケーション ポリシー] を選択し、[編集] をクリックします。
- “アプリケーション ポリシーの拡張の編集” ダイアログ ボックスで [IP セキュリティ IKE 中間] を選択し、[削除] をクリックします。次に、[追加] をクリックし、[クライアント認証] と [サーバー認証] を選択し、[OK] をクリックします。
- “アプリケーション ポリシーの拡張の編集” ダイアログ ボックスで[OK] をクリックします。
- [セキュリティ] タブを選択し、[Authenticated Users] グループに [読み取り] と [登録] のアクセスを許可し、[OK] をクリックします。
- “証明書テンプレート コンソール” を閉じます。
- [証明書テンプレート] を右クリックし、[新規作成] - [発行する証明書テンプレート] を選択します。
- 先ほど作成したテンプレートを選択し、[OK] をクリックします。(※今回の場合、作成したテンプレートは「OperationsManagerCert」です。)
B. 信頼されているルート証明書のダウンロード(SCOM 管理サーバー)
- 管理者権限を持つアカウントにて、SCOM 管理サーバーにログインします。
- “Internet Explorer” を起動し、以下のURL より、証明書サービスをホストしているコンピューターへの接続します。
http://<AD CS サーバーのFQDN 名>/certsrv - “ようこそ” ページで、[CA 証明書、証明書チェーン、または CRL のダウンロード] をクリックします。
- “CA 証明書、証明書チェーン、または CRL のダウンロード” ページ内にある “エンコード方法” で [Base 64] を選択し、[CA 証明書チェーンのダウンロード] をクリックします。
- ファイルをダウンロード のダイアログ ボックス で [保存] を選択し、 証明書を保存します。(※例えば [Trustedca.p7b] とします。)
- ダウンロードが完了したら、Internet Explorer を閉じます。
C. 信頼されているルート証明書のインポート(SCOM 管理サーバー)
- SCOM 管理サーバー上で、[mmc] (※Microsoft Management Console) を起動します。
- “コンソール 1” ウィンドウ上方の[ファイル] をクリックし、[スナップインの追加と削除] をクリックします。
- “利用できるスナップイン” 内にある[証明書] を選択し、[追加] をクリックします。
- “証明書スナップイン” ダイアログ ボックスで、[コンピュータ アカウント] を選択し、[次へ] をクリックします。
- “コンピューターの選択” ダイアログ ボックスで、[ローカル コンピューター:(このコンソールを実行しているコンピューター)] が選択されていることを確認し、[完了] をクリックします。
- “スナップインの追加と削除” のダイアログ ボックスで、[OK] をクリックします。
- “コンソール 1” ウィンドウで左ペインの[証明書 (ローカル コンピューター)] - [信頼されたルート証明機関] を展開します。
- [証明書] を右クリックし、[すべてのタスク] - [インポート] をクリックします。”証明書のインポート ウィザード” が開きます。
- “証明書のインポート ウィザードの開始” ページで [次へ] をクリックします。
- “インポートする証明書ファイル” のページで[参照] をクリックし、手順 B でダウンロードした CA の証明書ファイルを選択します。(※例えば、[TrustedCA.p7b] を選択します。)
※ 画面右下のダイアログ ボックスより、[X.509 証明書] を[すべてのファイル] に変更することで、手順 B でダウンロードした CA の証明書ファイルを一覧から選択できます。
- “インポートする証明書ファイル” のページで [次へ] をクリックします。
- “証明書ストア” のページで [証明書をすべて次のストアに配置する] が選択されており、[証明書ストア] が
「信頼されたルート証明機関」となっていることを確認し、[次へ] をクリックします。 - “証明書のインポート ウィザードの完了” ページで [完了] をクリックします。
D. 信頼されているルート証明書のダウンロード(WorkGroup にある監視対象)
手順 B を、ワークグループ上の監視対象となるコンピューターにて実施します。
(※下の画面ショットは、ワークグループ コンピューターにダウンロードしたルート証明書です。)
E. 信頼されているルート証明書のインポート(WorkGroup にある監視対象)
手順 C を、ワークグループ上の監視対象となるコンピューターにて実施します。
(※下の画面ショットは、ワークグループ コンピューターにインポートしたルート証明書です。)
F. CA へ証明書の要求(SCOM 管理サーバー)
管理者権限を持つアカウントにて、SCOM 管理サーバーにログインします。
以下の記述を含む内容をテキスト ファイルに作成します。
※ 「Subject= “CN=<SCOM 管理サーバーのFQDN 名>”」については、作業を実施するコンピューターのFQDN 名に置き換えてください。
- - - - - - - - - - ここから - - - - - - - - - -
[NewRequest]
Subject= “CN=<SCOM 管理サーバーの完全修飾ドメイン名>”
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
- - - - - - - - - - ここまで - - - - - - - - - -上記のテキスト ファイルを「.inf」の拡張子つけて保存します。(※例えば、[RequestConfig.inf] とします。)
※下の画面ショットは、弊社検証環境の [RequestConfig.inf] です。
[コマンド プロンプト] を起動し、以下のコマンドを実行し、リクエスト ファイルを作成します。
1
CertReq -New -f RequestConfig.inf CertRequest.req
※コマンドが成功すると、下の画面ショットの通り表示されます。
5. 作成されたファイル (CertRequest.req) をメモ帳で開き、内容を全てクリップボードにコピーします。
6. “Internet Explorer” を起動し、以下のURL より、証明書サービスをホストしているコンピューターへの接続します。
http://<AD CS サーバーのFQDN 名>/certsrv
7. “ようこそ” ページで、[証明書を要求する] をクリックします。
8. “証明書の要求” ページで [証明書の要求の詳細設定] をクリックします。
9. “証明書の要求の詳細設定” ページで、[Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または Base 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する。] をクリックします。(※ 環境によっては、このページが表示されないこともございますが、そのまま次へお進みください。)
10. “証明書の要求または更新要求の送信” ページで、[保存された要求] に上記の手順 5 でコピーした内容を貼り付けます。[証明書テンプレート] で、手順 A で作成した「OperationsManagerCert」を選択し、[送信] します。
11. “証明書は発行されました” ページで、[Base 64 エンコード] を選択し、[証明書のダウンロード]を選択し、証明書を保存します。(※例えば、ファイル名を「NewCertificate.cer」とします。)
12. ダウンロードが完了したら、”Internet Explorer” を閉じます。
G. CA へ証明書の要求(WorkGroup にある監視対象)
手順 F を、ワークグループ上の監視対象となるコンピューターにて実施します。
なお、手順 F-2 で使用する記述内容は以下のものに置き換えて実施してください。
※ 「Subject= “CN=< WorkGroup にある監視対象の FQDN 名>”」については、作業を実施するコンピューターの FQDN 名に置き換えてください。
- - - - - - - - - - ここから - - - - - - - - - -
[NewRequest]
Subject= “CN=<WorkGroup にある監視対象の完全修飾ドメイン名>”
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
- - - - - - - - - - ここまで - - - - - - - - - -
※下の画面ショットは、弊社検証環境の [RequestConfig.inf] です。
H. 証明書ストアに証明書のインポート(SCOM 管理サーバー)
- 管理者権限を持つアカウントにて、SCOM 管理サーバーにログインします。
- [コマンド プロンプト] を起動し、以下のコマンドを実行し、証明書をインポートします。
1
1. CertReq -Accept NewCertificate.cer
※コマンドが成功すると、下の画面ショットの通り表示されます。
I. 証明書ストアに証明書のインポート(WorkGroup にある監視対象)
手順 H を、ワークグループ上の監視対象となるコンピューターにて実施します。
※コマンドが成功すると、下の画面ショットの通り表示されます。
続けて、SCOM のインストール メディアを利用して、エージェントのインストールを行います。
(※指定する管理グループ・SCOM 管理サーバーの指定を誤りますと、正常に監視を行うことはできません。一旦、エージェントの再インストールが必要となりますので、ご注意くださいませ。)
J. MOMCertImport を使って Operations Manager に証明書をインポートします。(SCOM 管理サーバー)
事前にSCOM のインストール メディアをマウントする必要があります。
- [コマンド プロンプト] を起動し、インストール メディアが配置されているドライブへカレントディレクトリを変更します。
- 以下のコマンドを実行し、メディア内のフォルダを開きます。32 bit コンピューターの場合は、以下のコマンドを実行してください。
1
cd (インストール メディアパス)\SupportTools\AMD64
1
cd (インストール メディアパス)\SupportTools\i386
- 以下のコマンドを実行します。
1
MOMCertImport
※下の画面ショットは、弊社検証環境での実行画面です。
4. 表示された証明書の一覧から、有効期限の情報をもとに新しい証明書を識別して選択します。
K. MOMCertImport を使って Operations Manager に証明書をインポートします。(WorkGroup にある監視対象)
手順 J を、ワークグループ上の監視対象となるコンピューターにて実施します。
上記の操作によって、新しい証明書を使用するように Operations Manager が構成されます。
必要に応じて、Operations Manager のサービスを再起動してください。
※ Operations Manager のサービスを再起動するには、以下の手順を実施して下さい。
1. 管理者権限を持つアカウントで SCOM サーバーにログインします。
2. [管理ツール] より[サービス] を起動します。
3. サービスの一覧から [System Center Management Configuration] を右クリックして[再起動] をクリックします。
以上で証明書の設定は完了です。この後、SCOM 環境にてワークグループコンピューターから接続された SCOM エージェントの承認をご実施ください。承認が完了すると、管理対処のエージェントに WORKGROUP コンピューターが追加されます。
WORKGROUP コンピューターの管理や信頼関係を結んでいない別ドメインサーバーを管理する際に、本手順を参考にしていただければと存じます。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。