SCOMでワークグループに存在しているPCを監視するためには、CA証明局が必要です。
ここでも数度にわたるトラップがあったので、手順込みで書き留めておこうと思います。
まずは、大まかな手順ですが、
STEP1. ワークグループにいるPCにSCOMエージェントをインストール
STEP2. 証明書を生成
STEP3. ヘルスサービスの再起動
STEP4. SCOMホストで、保留中の監視から許可
といった流れとなります。
流れを見て頂くと分かりますが、証明書を生成する部分がありますので、ここでは、証明局を立てるあたりの話からしたいと思います。(正直、この辺の話は長い・・・)
証明書を生成するには、外部の証明機関を利用するか、自分で証明局を立てるか、どちらかとなります。
証明局は、Windows Server 2008 以降であれば、ActiveDirectory 証明書サービスを利用することになります。
証明局には、2種類あり、スタンドアロンCA(CAとは証明局のこと)とエンタープライズCAがあります。
何が違うかというと、ActiveDirectoryに関連付けされるかされないかという点が大きく違います。
- ActiveDirectoryに関連付けされないのがスタンドアロンCA
- ActiveDirectoryに関連付けされるのがエンタープライズCA
と言えると思います。
SCOMをワークグループで使うには、スタンドアロンCAを使うのが、比較的楽ですが、エンタープライズCAを使う場合には、いくつか注意が必要です。
SCOMで使う証明書は、拡張キー使用法(Extended Key Usage)にサーバー認証とクライアント認証が必要です。
エンタープライズCAで、これらを使う場合には、バージョン2証明書テンプレートが必要なのですが、これが用意されているのは、以下のOSだけらしいです。
- Windows Server 2008 R2、すべてのエディション
- Windows Server 2008、Enterprise Edition および Datacenter Edition
- Windows Server 2003 R2、Enterprise Edition および Datacenter Edition
- Windows Server 2003、Enterprise Edition および Datacenter Edition
(http://technet.microsoft.com/ja-jp/library/cc725838.aspx より引用)
私は、Windows Server 2008 Standard EditionでエンタープライズCAを立ててしまったので、バージョン2証明書テンプレートが作れず、ずっとはまってました。
証明局のインストール方法は、別の解説サイトに譲るとして、(希望がある方はリクエストしてくださいね)今回の話は、ここまで。
次回は、証明書を発行する手順について記載したいと思います。
0 件のコメント:
コメントを投稿