Forum

SCOM audit collecti...
 
Bildirimler
Hepsini Temizle

SCOM audit collection servisi ile farklı domaini izleme

7 Yazılar
2 Üyeler
0 Reactions
998 Görüntüleme
(@BatuhanCetin)
Gönderiler: 113
Estimable Member
Konu başlatıcı
 

Merhabalar,


SCOM R2 ile test ortamında birkaç deneme yapıyorum. İki farklı domain kurdum, bunların arasında trust ilişkisi yok. Birinci domaine root management server kurdum, ikinci domainde bir makineye de gateway server kurup gerekli sertifika ayarlarını vs yaptım. Untrusted domaindeki makinelere uzaktan agent kurulumu yaptım, rapor çektim, sorunsuz çalışıyor. Fakat olay ACS 'e gelince patlıyor. RMS in bulunduğu domaindeki agentlar ACS collector'a sorunsuz bağlanırken, gateway server üzerinden monitör ettiğim ikinci domaindeki agentlar bir türlü audit eventlerini forward edemiyor. ADTAdmin komutu ile baktığımda da sadece birinci domaindeki forwarderların bağlandığını görüyorum. İkinci domaindeki agentlar şu şekilde bir hata veriyorlar


Event Type: Warning
Event Source: AdtAgent
Event Category: None
Event ID: 4369
User:  NT AUTHORITY\NETWORK SERVICE
Computer: DM2CL
Description:
Forwarder unsuccessfully tried to connect to the following collector(s):
 dm1ms.dm1.local:51909, status: 0x2746 (TCP connect), source: registry
  addresses tried:
    10.0.0.121:51909
 If the list of collectors is blank, then AdtAgent was unable to locate a collector.
 
 Common reasons for this message are:
  The machine(s) listed is not online
  AdtServer is not running on the machine(s) listed
  AdtServer on the machine(s) listed is not listening on the specified port
  TCP connectivity to the AdtServer machine is blocked by firewall, IPSec, or other filtering mechanism
  AdtServer on the machine(s) listed actively refused the connection (due to policy or current activity load)
 
 For detailed failure information, enable trace logging using the TraceFlags registry key and examine the AdtAgent.log in the \temp subdirectory of the Windows directory.


Arada herhangi bir firewall bulunmamakta. Bahsettiği porttan telnet çekebiliyorum, DNS problemi de yok. Enable ACS penceresinde collector server olarak birinci domaindeki sunucunun FQDN adını veriyorum. Bahsettiğim pencerede collector server olarak gateway serverın FQDN adını vermeyi denedim, yine işe yaramadı. Aklıma son gelen şey acaba ACS 'i domainler arası kullanmak için gateway server kurulumu yeterli değil mi? Yani ACS kullanmak için clientlar ve collector server arasında ayrıca sertifika işlemleri mi yapmam gerekiyor?

 
Gönderildi : 02/12/2009 19:00

(@bugrakeskin)
Gönderiler: 5088
Illustrious Member
 

Merhaba Batuhan,

ACS'i untrusted domainler arasında kullanman için gateway server kurulumu yeterli olmaz. Collector server arasında certificate authentication sağlaman gerekir.

Bununla ilgili sana yol gösterecek ufak bi döküman yolluyorum.

http://www.bugrakeskin.com/files/scom/ACSCertificates.pdf

 

 
Gönderildi : 03/12/2009 15:18

(@BatuhanCetin)
Gönderiler: 113
Estimable Member
Konu başlatıcı
 

Merhaba Buğra hocam,


Cevap için teşekkürler, yolladığınız döküman açılmıyor sanırım sunucudan kaldırmışsınız 🙂 Dökümanı tekrar yollayabilirseniz sevinirim. Ben de bu arada bir TechNet makalesi buldum onu uygulayacağım.

 
Gönderildi : 03/12/2009 17:41

(@bugrakeskin)
Gönderiler: 5088
Illustrious Member
 

Yok kaldırmadım da bir boşluk olmuş linkte sanırım orada problem var

http://www.bugrakeskin.com/files/scom/ACSCertificates.pdf

 
Gönderildi : 03/12/2009 17:46

(@BatuhanCetin)
Gönderiler: 113
Estimable Member
Konu başlatıcı
 

Teşekkürler, şimdi deniyorum.


Sorun çıkmazsa SCOM sertifikaları konusunda bir makale yazmayı düşünüyorum, Gateway, ACS derken 1 haftadır sertifikalarla boğuşur durumdayım 🙂

 
Gönderildi : 03/12/2009 17:55

(@bugrakeskin)
Gönderiler: 5088
Illustrious Member
 

Çok iyi olur 🙂

 
Gönderildi : 03/12/2009 17:58

(@BatuhanCetin)
Gönderiler: 113
Estimable Member
Konu başlatıcı
 

ACS için aynen Gateway server için yapılan sertifikasyon işlemini biraz farklı şekilde her untrusted client'da yapmak gerekiyor. Şu an sağlıklı bir şekilde çalışıyor. Buradan çıkacak sonuç ise eğer untrusted ortamda SCOM ile monitoring yapmak istiyorsanız, ayrıca monitör edeceğiniz tüm clientlarda ACS ile de izleme yapacaksanız Gateway server gereksiz hale geliyor. Zaten her istemcide sertifikasyon yapılacağından istemciler gateway server olmadan da management server ile iletişim kurmaya hazır olacaklar.

 
Gönderildi : 04/12/2009 12:18

Paylaş: