こんばんは、
はらきゅんだよヽ(*・ω・)人(・ω・*)ノ
前回、「SCOMでの監視 纏め編 ~細かい部分はあとでやるよ~ 」で軽~く触れた信頼関係の無い別ドメイン・ワークグループ端末の監視方法を細か~く説明してみます。(☆。☆)
MSでも一応乗ってるんですけど、"日本語が難解+英語は不明"だったので、日本語でわかりやすく書いてみようと思います。
今回使用したCAサーバーの設定は以下の通りだす(`・ω・´)ゞ
OS:Windows Server 2008 R2 Enterprise Edition
役割:Active Directory 証明書サービス (証明機関、証明機関 Web 登録)、IIS (証明機関 Web 登録で自動追加される)
CAの種類:エンタープライズ ルート (権限はDomain Adminsを使用するのが楽です・・・)
SCOMもいちおー乗っけとくよ
OS:Windows Server 2008 R2 Standard Edition
役割:IIS
SQL:SQL Server 2008 Standard Edition
SCOM:Operations Manager 2007 R2
監視たいしょぅー
OS:Windows Server 2008 R2 Standard Edition
ちなみにエンタープライズCAとスタンダードCAで手順が若干違うので気をつけましょ~
取りあえずまずはエンタープライズCAから行ってみたいと思います。
大まかな手順としては
1. ルート証明書のダウンロード・インポート
2. 証明書テンプレートの作成・追加
3. セットアップinfファイルの作成
4. 要求ファイルの作成
5. 証明書の要求・ダウンロード
6. ストアへの証明書のインポート
7. SCOMへの証明書のインポート
です!(´Д`;)
手順を実施対象サーバーとして
・CAサーバー:証明書サービスが動いてるサーバー
・SCOMサーバー:SCOM RMSが動いてるサーバー (Root Management Server)
・監視対象サーバー:SCOMで監視する別ドメインorワークグループの端末
があるので、そこもMSだと若干わかりにくいので書いていきたいと思う次第だせヽ(*'0'*)ツ
じゃーがっつりいってみよー(。・ω・)ノ゙
1. ルート証明書のダウンロード・インポート
実施対象:SCOMサーバー・監視対象サーバー
01. ブラウザで以下のURLを開く。
⇒http://"サーバー名"/certsrv (初期値だよ。変えてる場合はそのURLっ!)
02. [Microsoft Active Directory 証明書サービス] ページにアクセスできるので、[タスクの選択] から、[CA 証明書、証明書チェーン、または CRL のダウンロード] をクリック
03. [CA 証明書、証明書チェーン、または CRL のダウンロード] ページで、[エンコード方式] から [Base 64] を選択し、[CA 証明書チェーンのダウンロード] をクリック
⇒拡張子は変えずに適用な場所に保存
04. [スタート] - [プログラムとファイルの検索] ボックスに、「mmc」と入力してエンター
05. [MMC (Microsoft Management Console)] が開くので、[ファイル] - [スナップインの追加と削除] をクリック
06. [スナップインの追加と削除] で、[利用できるスナップイン] の一覧から、「証明書」を選択して、[追加]
07. [証明書スナップイン] で、[コンピューター アカウント] を選択して、[次へ]
08. [コンピューターの選択] で、[ローカル コンピューター] を選択して、[完了]
09. [スナップインの追加と削除] の、[選択されたスナップイン] に、[コンソール ルート] - [証明書] と表示されていることを確認して、[OK]
10. [MMC] で、[コンソール ルート] - [証明書] - [信頼されたルート証明機関] - [証明書] を右クリックして、[すべてのタスク] - [インポート] をクリック
11. [証明書のインポート ウィザードの開始] で、[次へ] をクリック
12. [インポートする証明書ファイル] で、[ファイル] の [参照] をクリックして、さっきダウンロードした拡張子が『p7b』のファイルを指定して、[次へ]
13. [証明書ストア] で、[証明書をすべて次のストアに配置する] が選択され、[証明書ストア] に [信頼されたルート証明機関] を設定し、[次へ]
14. [証明書のインポート ウィザードの完了] で、[完了]
15. [証明書のインポート ウィザード] ダイアログで、[OK]
16. [MMC] の [コンソール ルート] - [証明書] - [信頼されたルート証明機関] - [証明書] に先ほど追加したルート証明書が追加されていることを確認
2. 証明書テンプレートの作成・追加
実施対象:CAサーバー
01. [スタート] - [管理ツール] - [証明機関] をクリック
02. [certsrv - [証明機関]] で、[証明機関] - [証明書名] - [証明書テンプレート] を右クリックし、[管理] をクリック
03. [証明書テンプレート コンソール] で、右側のテンプレートの一覧から、「IPSec (オフライン要求)」を右クリックし、[テンプレートの複製] をクリック
04. [テンプレートの複製] で、「Windows Server 2003 Enterprise」か「Windows Server 2008 Enterprise」を選択し、[OK] をクリック
05. [新しいテンプレートのプロパティ] で最低限以下のプロパティを設定 (その他の設定は必要に応じて設定)
⇒[全般] タブ
テンプレート表示名:SCOM用としてわかりやすいな名前
テンプレート名:SCOM用としてわかりやすい名前
⇒[要求処理] タブ
秘密キーのエクスポートを許可する:オン
⇒[拡張] タブ
アプリケーションポリシー:「IP セキュリティ IKE 中間」の削除、「クライアント認証」・「サーバー認証」の追加
⇒[セキュリティ] タブ
Authenticated Users:読み取り・登録を許可
06. [証明書テンプレート コンソール] を閉じる
07. [certsrv - [証明機関]] で、[証明機関] - [証明書名] - [証明書テンプレート] を右クリックし、[新規作成] - [発行する証明書テンプレート] をクリック
08. 手順「2 - 05」で作成したテンプレートを選択し、[OK] をクリック
09. [certsrv - [証明機関]] で、[証明機関] - [証明書名] - [証明書テンプレート]に追加したテンプレートが表示されていることを確認
3. セットアップinfファイルの作成
実施対象:SCOMサーバー・監視対象サーバー
01. [メモ帳] を開く
02. 下記内容をメモ帳に記載
[NewRequest]
Subject = "CN=FQDN"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
03. 拡張子に「.inf」を指定して保存
4. 要求ファイルの作成
実施対象:SCOMサーバー・監視対象サーバー
01. [コマンドプロンプト] を管理者モードで実行する ([コマンドプロンプト] を右クリックして、[管理者として実行] をクリック
02. 以下のコマンドを入力し、エンターを押下
⇒CertReq -New- f "手順「3 - 03」で作成したファイルのフルパス" "CertRequest.req (ファイルまでのフルパス、拡張子はreq)"
03. ファイルが作成されることを確認
5. 証明書の要求・ダウンロード
実施対象:SCOMサーバー・監視対象サーバー
01. ブラウザで以下のURLを開く。
⇒http://"サーバー名"/certsrv
02. [Microsoft Active Directory 証明書サービス] ページにアクセスできるので、[タスクの選択] から、[証明書を要求する] をクリック
03. [証明書の要求] ページで、[証明書の要求の詳細設定] をクリック
04. [証明書の要求の詳細設定] ページで、[Base 64 エンコード CMC または PKCS #10 ファイルを使用して証明書の要求を送信するか、または BAse 64 エンコード PKCS #7 ファイルを使用して更新の要求を送信する。] をクリック
05. [証明その要求または更新要求の送信] ページで、[保存された要求] に、手順「4 - 02」で作成したファイルの中身(メモ帳等で開いて)をコピペし、[証明書テンプレート] に手順「2 - 08」作成したテンプレートを選択して[送信] をクリック
05. [証明書が発行されました] ページで、[Base 64 エンコード] を選択し、[証明書のダウンロード] をクリックしてファイルを任意の場所に保存
※手順「5 - 05」でこのページが表示されない場合は証明機関で証明書の自動発行を許可していないので以下の手順を実施してください。
50. CAサーバーで、[スタート] - [管理ツール] - [証明機関] をクリック
51. [certsrv - [証明機関]] で、[証明機関] - [証明書名] - [保留中の要求] で、手順「5 - 04」で要求した要求を右クリックし、[発行] をクリック
52. [certsrv - [証明機関]] で、[証明機関] - [証明書名] - [発行した証明書] に、手順「5 - 51」で発行した要求が表示されていることを確認
53. SCOMサーバー・監視対象サーバーで、ブラウザで以下のURLを開く。
⇒http://"サーバー名"/certsrv (手順「5 - 04」で要求処理を行ったユーザーと同じユーザー)
54. [Microsoft Active Directory 証明書サービス] ページで、[タスクの選択] から、[保留中の証明書の要求] をクリック
55. [保留中の証明書の要求の状態] ページで、手順「5 - 51」で発行した要求をクリック
あとは通常の手順と同様にダウンロードを行う
6. ストアへの証明書のインポート
実施対象:SCOMサーバー・監視対象サーバー
01. [コマンドプロンプト] を管理者モードで実行する ([コマンドプロンプト] を右クリックして、[管理者として実行] をクリック
02. 以下のコマンドを入力し、エンターを押下
⇒CertReq -Accept "手順「5-05」でダウンロードしたファイルのフルパス"
03. MMCの証明書の個人にインポートした証明書が表示されていることを確認
7. SCOMエージェントのインストール (ここより以前であればどこでも可)
実施対象:監視対象サーバー
※エージェントのインストールに関しては省かせていただきますヽ(*・ω・)人(・ω・*)ノ
8. SCOMへの証明書のインポート
実施対象:SCOMサーバー・監視対象サーバー
01. [コマンドプロンプト] を管理者モードで実行する ([コマンドプロンプト] を右クリックして、[管理者として実行] をクリック
02. [コマンドプロンプト] のcdを使用してSCOMのメディア内の存在するしかのパスに変更します。
⇒SupportTools\i386
⇒SupportTools\amd64
※環境に応じたパスを使用してください。
03. 以下のコマンドを入力し、えんたーを押下
⇒MOMCertImport /SubjectName "FQDN"
※ここで設定するFQDNはinfファイルを作成する際に使用したFQDNと同じ値を使用する
以上で、SCOMでの別ドメイン、ワークグループ端末の監視はしゅーりょーです!
ちなみにスタンダードCAの場合は『2. 証明書テンプレートの作成・追加』と、『5. 証明書の要求・ダウンロード』の要求の際にテンプレートの選択がない手順を実施することでスタンダードCAでのSCOMの監視手順はかんせーでつ┐( ̄ヘ ̄)┌
長々と書いてしまいましたが、次回は『SCOMでのUnix、LinuxOSの監視』で書いてみたいと思います。
RedHat 5には評価版が存在しないので、SUSE 11の監視を書いてみたいとおもいまーす
ちなみに自分が設定するとき、MSのページ見ながら設定しましたけど、若干書いてること間違っててうまくいかなかったりしたので、困ってる人いるのかな~?とか勝手に思ったりしてるんですよ( ̄▽+ ̄*)
フリーエンジニアの方々へ
支援サービス『SYNAPSE』で案件を提供させい頂いております。
当サービスのメディエイターが、
皆様のニーズにマッチした案件を提案させていただきます!
↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
案件提案型フリーエンジニア支援サービス『SYNAPSE』
http://www.neuron-network.co.jp/fe-synapse/
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★