Forum
Merhabalar,
SCOM R2 ile test ortamında birkaç deneme yapıyorum. İki farklı domain kurdum, bunların arasında trust ilişkisi yok. Birinci domaine root management server kurdum, ikinci domainde bir makineye de gateway server kurup gerekli sertifika ayarlarını vs yaptım. Untrusted domaindeki makinelere uzaktan agent kurulumu yaptım, rapor çektim, sorunsuz çalışıyor. Fakat olay ACS 'e gelince patlıyor. RMS in bulunduğu domaindeki agentlar ACS collector'a sorunsuz bağlanırken, gateway server üzerinden monitör ettiğim ikinci domaindeki agentlar bir türlü audit eventlerini forward edemiyor. ADTAdmin komutu ile baktığımda da sadece birinci domaindeki forwarderların bağlandığını görüyorum. İkinci domaindeki agentlar şu şekilde bir hata veriyorlar
Event Type: Warning
Event Source: AdtAgent
Event Category: None
Event ID: 4369
User: NT AUTHORITY\NETWORK SERVICE
Computer: DM2CL
Description:
Forwarder unsuccessfully tried to connect to the following collector(s):
dm1ms.dm1.local:51909, status: 0x2746 (TCP connect), source: registry
addresses tried:
10.0.0.121:51909
If the list of collectors is blank, then AdtAgent was unable to locate a collector.
Common reasons for this message are:
The machine(s) listed is not online
AdtServer is not running on the machine(s) listed
AdtServer on the machine(s) listed is not listening on the specified port
TCP connectivity to the AdtServer machine is blocked by firewall, IPSec, or other filtering mechanism
AdtServer on the machine(s) listed actively refused the connection (due to policy or current activity load)
For detailed failure information, enable trace logging using the TraceFlags registry key and examine the AdtAgent.log in the \temp subdirectory of the Windows directory.
Arada herhangi bir firewall bulunmamakta. Bahsettiği porttan telnet çekebiliyorum, DNS problemi de yok. Enable ACS penceresinde collector server olarak birinci domaindeki sunucunun FQDN adını veriyorum. Bahsettiğim pencerede collector server olarak gateway serverın FQDN adını vermeyi denedim, yine işe yaramadı. Aklıma son gelen şey acaba ACS 'i domainler arası kullanmak için gateway server kurulumu yeterli değil mi? Yani ACS kullanmak için clientlar ve collector server arasında ayrıca sertifika işlemleri mi yapmam gerekiyor?
Merhaba Batuhan,
ACS'i untrusted domainler arasında kullanman için gateway server kurulumu yeterli olmaz. Collector server arasında certificate authentication sağlaman gerekir.
Bununla ilgili sana yol gösterecek ufak bi döküman yolluyorum.
http://www.bugrakeskin.com/files/scom/ACSCertificates.pdf
Merhaba Buğra hocam,
Cevap için teşekkürler, yolladığınız döküman açılmıyor sanırım sunucudan kaldırmışsınız 🙂 Dökümanı tekrar yollayabilirseniz sevinirim. Ben de bu arada bir TechNet makalesi buldum onu uygulayacağım.
Yok kaldırmadım da bir boşluk olmuş linkte sanırım orada problem var
Teşekkürler, şimdi deniyorum.
Sorun çıkmazsa SCOM sertifikaları konusunda bir makale yazmayı düşünüyorum, Gateway, ACS derken 1 haftadır sertifikalarla boğuşur durumdayım 🙂
Çok iyi olur 🙂
ACS için aynen Gateway server için yapılan sertifikasyon işlemini biraz farklı şekilde her untrusted client'da yapmak gerekiyor. Şu an sağlıklı bir şekilde çalışıyor. Buradan çıkacak sonuç ise eğer untrusted ortamda SCOM ile monitoring yapmak istiyorsanız, ayrıca monitör edeceğiniz tüm clientlarda ACS ile de izleme yapacaksanız Gateway server gereksiz hale geliyor. Zaten her istemcide sertifikasyon yapılacağından istemciler gateway server olmadan da management server ile iletişim kurmaya hazır olacaklar.