Я пытаюсь начать играть со SCOM 2007, но наткнулся на кирпичную стену.
Коробка, на которой установлен SCOM 2007, представляет собой машину с двумя сетевыми адаптерами, одна сеть подключена к общедоступному Интернету, а другая - к частной сети. Наш внутренний AD преобразует DNS-имена в IP-адреса в частной сети.
У меня запущен SCOM 2007 и установлены агенты на серверах в этой частной сети, но я не могу добавлять агентов на серверы, которые подключены только к общедоступному сегменту сети.
Что мне нужно сделать, чтобы управлять агентами в локальной сети AD (наши серверы), а также серверами, не входящими в какой-либо домен AD и подключенными к нашему общедоступному сегменту (нашим клиентам)?
Вы спрашиваете больше о маршрутизации и DNS, чем о SCOM.
Ты мог:
Обновите маршрутизацию на шлюзе по умолчанию, чтобы направлять в частную сеть из общедоступной через брандмауэр. В качестве альтернативы используйте локальный статический маршрут на каждом хосте в общедоступной сети для маршрутизации через общедоступный IP-адрес SCOM для доступа к частному IP-адресу. Тогда хосты в общедоступной сети будут знать, как получить IP-адрес частной сети сервера SCOM.
Обновите / создайте DNS-сервер в общедоступной сети, чтобы он указывал на общедоступный IP-адрес сервера SCOM. В качестве альтернативы используйте файл локальных хостов на каждом хосте в публичной сети. Затем хосты в общедоступной сети преобразовывают имя сервера SCOM в общедоступный IP-адрес.
Но…
Проблема в том, что и эти опции, и любые опции, в которых сервер SCOM напрямую подключен как к публичной, так и к частной сети, создают уязвимость системы безопасности. Сервер SCOM может использоваться для получения доступа в частную сеть.
Рекомендуемый подход - настроить сервер SCOM с единственным IP-адресом частной сети только в частной сети. Затем направьте любой трафик мониторинга через брандмауэр, соединяющий частный и общедоступный.
Вы также можете улучшить это, используя роль сервера шлюза SCOM в общедоступной сети. По сути, это прокси для данных мониторинга. Вкратце, все узлы общедоступной сети отправляют по крайней мере один узел шлюза (с другими ролями или выделенным по желанию) в общедоступной сети. Затем хост шлюза отправляет эту информацию на сервер управления. Если вы хотите узнать больше, см. http://technet.microsoft.com/en-us/library/bb432132 и http://technet.microsoft.com/en-us/library/bb432149.aspx.
Также в качестве дополнительного примечания у вас есть компьютеры, которые не существуют в той же Active Directory, что и серверы управления SCOM. Вам нужно будет предпринять дополнительные шаги для распространения сертификатов на каждый узел. Для получения дополнительной информации см. http://technet.microsoft.com/en-us/library/dd362553.aspx.
Надеюсь это поможет.