달력

2

« 2025/2 »

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
2008. 11. 16. 18:10

SCOM 2007의 포트 요구 사항 SystemCenter2008. 11. 16. 18:10

사용자 삽입 이미지



Operations Manager 2007 SP1 Component A  Port Number and
Direction 		 Operations Manager 2007 SP1 Component B 
Root Management Server  1433 ---> Operations Manager database
Management server  1433 ---> Operations Manager database
Management server 5723, 5724 ---> Root Management Server 
Gateway server 5723, 5724 ---> Root Management Server 
Root Management Server 1433 ---> Reporting Data Warehouse
Reporting server 5723, 5724 ---> Root Management Server 
Operations Console  5724 ---> Root Management Server
Connector framework source  51905 ---> Root Management Server
Web Console server  5724 ---> Root Management Server
Connected Root Management Server (Local) 5724 ---> Connected Root Management Server (Connected)
Agent installed using MOMAgent.msi 5723 ---> Root Management Server 
Agent installed using MOMAgent.msi 5723 ---> Management server 
Agent installed using MOMAgent.msi 5723 ---> Gateway server 
Gateway server 5723 ---> Management server 
Agent (Audit Collection Services forwarder) 51909 ---> Management server Audit Collection Services collector
Agentless Exception Monitoring data from client  51906 ---> Management server Agentless Exception Monitoring file share
Customer Experience Improvement Program data from client  51907 ---> Management server (Customer Experience Improvement Program End) Point
Operations Console (reports) 80 ---> SQL Reporting Services
Reporting server  1433 ---> Reporting Data Warehouse 
Management server (Audit Collection Services collector) 1433 ---> Audit Collection Services database 
Web Console browser  51908 ---> Web Console server

1. MOM의 동작을 위해서는 RMS와 MOM DB와의 연결은 끊김이 없어야 한다.
2. 고가용성을 위해서는 MOM DB/RMS를 Clustering하는 것이 좋다.
3. Discover 동작 시 ‘Verify discovered computers’ 옵션이 켜져 있다면 대상 장비 135(RPC), 137(NETBIOS Name), 139(NETBIOS Session), 445(SMB), 5723 포트로의 접근이 가능해야 한다.
:
Posted by 커널64
2008. 11. 16. 12:18

MOM 2005의 Management Pack을 SCOM 2007 Management Pack으로 Converting 방법 SystemCenter2008. 11. 16. 12:18

l  작업을 위해서는 MOM 2005 Management Server가 필요하다.

l  기본적으로 MOM 2005 MP의 확장자는 akm 이다. (Binary)

l  Binary 파일인 akm 파일을 먼저 xml 형식으로 변환한 후 SCOM 2007 xml로 변환하게 된다.

 

여기서는 Windows Media Services MP Converting하는 것을 예로 한다.

 

<사전 준비 사항>

1.     MOM 2005 Management Server에 로그온 한다.

2.     다음 경로에서 MOM 2005 Resource Kit을 다운받아 설치한다.
MOM 2005 Resource Kit

3.     아래의 링크를 통해 MOM 2005 WMS MP를 다운 받아 설치한다.
Windows Media Services Management Pack for MOM

 

<Converting Process>

1.     MOM 2005 Management Server에 로그온 한다.

2.     Command 창을 열고 다음 위치로 이동한다.
Drive:\Program Files\Microsoft Operations Manager Resource Kit\Tools\Convert Management Packs to XML>

3.     MP2XML.exe 명령을 이용해 위에서 설치(압축을 푼) WMS MP xml 파일로 변환한다.
명령어 사용법 : MP2XML [원본 akm 파일] [대상 xml 파일]

4.     정상적으로 Converting이 완료되면 다음과 같은 메시지와 함께 xml 파일이 생성된다.

사용자 삽입 이미지

5.     이제 생성된 xml 파일을 SCOM 2007이 설치된 Server에 복사한다.

6.      SCOM 2007 설치 미디어에서 MPConvert.exe 파일을 복사하거나 Command 창에서 설치 미디어의 SupportTools 디렉터리로 이동한다.

7.     Command 창에서 다음과 같이 MPConvert.exe 명령을 이용해 MOM 2005 xml 파일을 SCOM 2007 용으로 변환한다.
MPConvert [MOM 2005 xml 파일] [SCOM 2007 xml 파일]

[참고]
- 결과 파일의 이름(SCOM 2007 xml 파일)은 공백을 포함할 수 없다.
- 변환이 완료되면 기본적으로 MP의 버전은 1.0.0.1이 된다. (/version 값을 주지 않는 경우)
- 변환된 xml 파일을 SCOM 2007에서 Import 하면 이름 뒤에 ‘(Converted)’라고 표시된다.

:
Posted by 커널64
2008. 11. 16. 12:11

SCOM 2007 Active Directory Integration SystemCenter2008. 11. 16. 12:11

AD 통합
Operations Manager 2007의 새로운 기능으로 Agent의 구성 정보를 AD에 게시하는 것이다.
OpsMgr Agent는 시작 시 DC에 LDAP 쿼리를 수행함으로서 Agent가 속하는 Management Group 정보와 통신하게 될 Management Server를 정보를 가져오게 된다. AD 통합이 실제로 Agent를 배포하는 것은 아니다.

참고: Operations Manager 2007의 AD 통합을 이용하기 위한 도메인 기능 수준은 Windows 2000 또는 Windows 2003 Native Mode여야 한다.

*조직이 매우 크지 않은 이상 AD 통합을 권장하지는 않는다.


Operations Manager 2007 AD 통합의 전체적인 순서는 다음과 같다.
1. AD 개체 생성
2. Operations Console 설정
3. 관리 서버의 레지스트리 키 설정


AD 개체 생성
1. Domain Admins 그룹의 계정으로 로그인
2. Operations Manager 2007 설치 미디어의 SupportTools 폴더의 MomADAdmin.exe 명령줄 도구를 이용해 AD에 개체 생성
MomADAdmin.exe <management group name> <OpsMgr Admins Security Group> <RMS name> <AD Domain>
3. 위 명령은 다음과 같은 일을 수행한다.
Operations Manager > (Management Group name) > HealthServiceSCP 컨테이너 생성
(Management Group name)에 HealthServiceSCP 컨테이너에 대한 읽기 권한이 있는 보안 그룹이 위치
RMS 컴퓨터 계정을 이 보안 그룹에 추가

참고: Agent Managed Machine이 SCP를 사용하고 있는지 확인하는 방법

관리 대상 머신의 다음 레지스트리 값이 1인 경우
HKLM\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\management groups\<Management Group name>\IsSourcedFromAD
이벤트 로그에 원본이 OpsMgr Connector인 20062, 20013 이벤트 확인


Operations Console 설정
1. AD 통합 마법사 실행 (Administration -> Device Management -> Management Servers)
2. LDAP 쿼리를 설정해 자동 할당을 적용 받을 컴퓨터를 지정한다.
3. 장애 복구 수행 방법 지정
Automatically manage failover - Agent는 자동으로 다른 관리 서버와 통신한다.
Manually configure failover — 장애 복구를 수행할 관리 서버를 수동으로 지정한다.
4. 마법사를 완료한다.


관리 서버의 레지스트리 키 설정
1. 각 관리 서버에서 다음 레지스트리 키를 찾아 수정한다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\ConnectorManager
EnableADIntegration 값을 1로 설정한다.

*도메인 컨트롤러의 경우 관리 그룹이 여러 개이면 기본적으로 도메인 컨트롤러의 시스템 계정은 모든 SCP 폴더에 대해 접근이 가능하기 때문에 모든 관리 그룹에 참가하려고 하게 된다.
Workaround: 도메인 컨트롤러에 대해서는 AD 통합을 사용하지 않는다.



AD 통합 제거
MomADAdmin.exe -d <management group name> <AD Domain>

:
Posted by 커널64
2008. 11. 16. 09:30

SCCM 2007의 System Management Container 생성 및 권한 설정 (SCP) SystemCenter2008. 11. 16. 09:30

System Management 컨테이너 생성
1. 도메인 관리자 권한으로 로그인
2. Support Tools 설치
3. ADSIEDIT 실행
4. Domain > Domain Name > CN=System
5. CN=System에 우클릭 -> New > Object
6. Class는 Container > Value는 System Management -> 생성

사용자 삽입 이미지



























생성한 컨테이너의 권한 할당
1. ADCU 실행
2. 보기 -> 고급 기능
3. Expand -> Domain Name > System
4. System Management 컨테이너 > 속성 -> 보안
5. 사이트 서버의 컴퓨터 계정에 Full 권한 부여 -> 고급 > 현재 및 하위까지 권한 부여

:
Posted by 커널64
2008. 11. 16. 08:48

Configuration Manager 2007 AD 스키마 확장 시 추가되는 속성 및 클래스 SystemCenter2008. 11. 16. 08:48

Attribute
cn=MS-SMS-Site-Code.
cn=mS-SMS-Assignment-Site-Code
cn=MS-SMS-Site-Boundaries
cn=MS-SMS-Roaming-Boundaries
cn=MS-SMS-Default-MP
cn=mS-SMS-Device-Management-Point
cn=MS-SMS-MP-Name
cn=MS-SMS-MP-Address
cn=mS-SMS-Health-State
cn=mS-SMS-Source-Forest
cn=MS-SMS-Ranged-IP-Low
cn=MS-SMS-Ranged-IP-High
cn=mS-SMS-Version
cn=mS-SMS-Capabilities

Class
cn=MS-SMS-Management-Point
cn=MS-SMS-Server-Locator-Point
cn=MS-SMS-Site
cn=MS-SMS-Roaming-Boundary-Range

총 18개 (속성 14개, 클래스 4개)
:
Posted by 커널64
2008. 11. 15. 15:50

SCCM 2007의 Active Directoy 스키마 확장에 따른 이점 SystemCenter2008. 11. 15. 15:50

기능 스키마 확장 요구 사항 상세
클라이언트 설치와 사이트 할당 권장 Requirement: AD 스키마의 확장이 되지 않으면 Ccmsetup.exe을 이용한 클라이언트 설치 시 AD Domain Service로부터 파라미터 값을 자동으로 받을 수 없다.
Workaround: Ccmsetup.exe를 이용한 클라이언트 설치 시 SMSSLP=<Server locator point>를 이용해 Server locator point 값에 대한 파라미터를 준다.
Workaround: SMS 2003의 스키마 확장으로 AD Server locator point가 AD Domain Service에 게시되어 있다면 동일 도메인 내에 있는 Configiration Manager 2007 클라이언트는 자동으로 할당되어 진다.
Workaround: 클라이언트는 DNS 또는 WINS 서버를 이용해 할당될 수 있다.
사이트 모드 설정, 클라이언트 인증서 선택과 CRL 체크와 관련된 설정 권장 Requirement: AD 스키마 확장이 되어 있지 않다면 사이트 모드 정보(Native/Mixed)와 Native Mode에 관련된 클라이언트 설정이 AD Domain Service에 게시될 수 없다.
Workaround: CCMSetup.exe 클라이언트 설치 시 파라미터 값을 주거나 Push Installation을 사용한다.
클라이언트와 서버 간 통신 포트 설정 권장 Requirement: AD 스키마 확장이 되어 있지 않은 상태에서 클라이언트 설치 이후에 기본 통신 포트가 변경되면 클라이언트는 사이트 시스템과 통신할 수 없다.
Workaround: 적용되는 모든 클라이언트를 재설치하거나 스크립트를 배포해 수동으로 클라이언트가 사이트 서버와 통신하는 포트 정보를 변경해야 한다.
글로벌 로밍 필요 Requirement: AD 스키마가 확장되어 있지 않다면 로밍 클라이언트는 Resident management point로부터 S/W 업데이트나 배포된 콘텐츠를 요청할 수 없다. 이 경우 클라이언트는 Default management point로 요청을 보내기 때문에 추가적인 네트웍 트레픽이 발생한다. 또한 클라이언트가 Assign된 사이트의 상위 사이트나 계층 구조 상의 동일 계층 사이트로부터 콘텐츠를 받을 수 없다.
Workaround: 없음
Configuration Manager의 NAP 기능 필요 Requirement: AD 스키마가 확장되지 않는다면 AD Domain Service의 NAP에 Health State 정보(HRA)를 게시할 수 없기 때문에 클라이언트의 Health State를 확인할 수 없다.
Workaround: 없음
사이트 간 Secure key exchange 권장 Requirement: AD 스키마가 확장되지 않는다면 사이트 간 통신을 하기 위해 보안키 교환을 하도록 설정된 사이트의 자동으로 교환하는 공용키를 사용할 수 없다.
(사이트 간 보안키 교환은 기본적으로 활성화된다.)
Workaround: 하위 사이트를 계층 구조에 추가하기 전에 상/하위 사이트의 공용키를 수동으로 교환해야 한다.
Hierarchy mainternance Tool 사용 (Preinst.exe)
신뢰할 수 있는 Management point 확인 권장 Requirement: AD 스키마가 확장되지 않는다면 클라이언트는 사이트와 트러스트를 맺기 위해 신뢰할 수 있는 루트키를 사용해야 한다. 클라이언트가 신뢰할 수 있는 루트키가 미리 제공되어 있지 않다면 클라이언트는 첫번째로 통신하는 Managemenr point를 신뢰하게 된다.
Workaround: 신뢰할 수 있는 루트키를 클라이언트에 미리 제공해야 한다.
How to Pre-provision the Trusted Root Key on Clients
Workaround: Native Mode를 사용한다. Native Mode에서 Management point의 인증서는 반드시 신뢰할 수 있는 루트 인증 기관에서 서명되고 PKI에서 발행한 인증서를 사용해야 한다. 클라이언트는 유효한 서버 인증서를 가지고 있고 첫번째로 접속하는 Management point를 신뢰한다.
Management point를 호스팅하는 중앙 사이트 서버의 장애 복구 권장 Requirement: AD 스키마가 확장되지 않고 만약 클라이언트가 통신하는 중앙 사이트 서버가 Management point로 동작한다면, 클라이언트는 새로운 사이트 서버와 Management point가 복구된 이후에 자동으로 사이트와 트러스트를 맺을 방법이 없다.
Workaround: 사이트의 모든 클라이언트에서 신뢰하는 루트키를 제거하고 다시 제공해야 한다.
Workaround: Management point 역할을 다른 서버로 이동한다. 중앙 사이트에 속한 클라이언트가 Management point를 잃게 되면 클라이언트는 다시 신뢰 관계를 맺을 수 있다.

기본적으로, Configuration Manager의 Primary site는 하위 사이트의 공용키를 Parent site가 알고 있거나 AD Domain Service에 게시되어 있지 않은 이상 연결을 수락하지 않는다. 그러나, 업그레이드의 경우에는 Configuration Manager의 설치 중에 사이트의 원본 보안키 교환 설정을 변경하지 않는다.
하위 사이트의 연결을 수락하기 위해 스키마 확장을 하지 않는 다른 방법으로는 사이트 간 보안키 교환을 요구하지 않는 것인데 이는 보안 상 매우 위험하다.

:
Posted by 커널64
2008. 11. 15. 11:22

SCCM 2007의 Proxy management point SystemCenter2008. 11. 15. 11:22

Proxy management point는 Parent primary site의 Default management point로의 Proxy 역할을 수행하는 Secondary site에 설치된 Management point다.

일반적으로 Proxy management point는 Secondary site의 Boundary에 속하는 클라이언트가 Parent(Primary site)의 Default management point를 Management point로 할 때 느린 네트웍 구간을 통한 과도한 트레픽을 막기위해 사용된다.

Secondary site의 Boundary에 속하는 클라이언트수가 증가할 수록 Primary site의 Default management point와 통신하기 위한 네트웍 트레픽이 증가하게 된다. Proxy management point가 없는 경우 이러한 느린 네트웍 구간의 트레픽 증가는 네트웍 용량 초과를 발생시킬 수 있다.

Secondary site에 Proxy management point를 설치하면 Secondary site의 Boundary에 속하는 클라이언트는 Proxy management point로 데이터(S/W 배포 패키지, 콘텐츠 위치, 인벤토리 데이터, Discovery 데이터, 상태 메시지)를 보내게 된다.
Proxy management point는 클라이언트의 정보를 Secondary site 서버의 inbox로 전달하고 클라이언트의 데이터는 압축되서 일반적인 site간 통신을 통해 Primary site로 보내진다.
만약 Secondary site에 Proxy management point가 설치되어 있지 않은 경우 클라이언트의 정보는 압축되지 않은 상태로 직접 Primary site의 Default management point로 전송되게 된다.

Proxy management point는 클라이언트의 정책 요청에 대해 직접 응답하지 않고 모든 클라이언트의 요청은 Primary site의 Default management point로  보내진다. 그러나, Proxy management point는 클라이언트의 정책 내용을 Cache한다. 만약 클라이언트가 요청한 정책 내용이 Secondary site의 클라이언트에서 다운로드 받았던 것이라면 Proxy management point는 Secondary site의 클라이언트로 정책 내용을 보낸다.
즉, 클라이언트는 정책에 대한 내용을 Primary site의 Default management point에서 다운로드 받고 Proxy management point는 이후의 클라이언트 요청에 응답하기 위해 Cache하게 된다.

:
Posted by 커널64
2008. 11. 15. 10:46

SCCM 2007의 클라이언트 Roaming과 예제 SystemCenter2008. 11. 15. 10:46

About Client Roaming in Configuration Manager
http://technet.microsoft.com/en-us/library/bb632476.aspx

Example Roaming Scenarios for Configuration Manager: Simple
http://technet.microsoft.com/en-us/library/bb633252.aspx

Example Roaming Scenarios for Configuration Manager: Complex
http://technet.microsoft.com/en-us/library/bb694028.aspx

:
Posted by 커널64
2008. 11. 15. 10:43

SCCM에서의 Configuration Manager와 서비스 위치(사이트 정보와 관리 지점) SystemCenter2008. 11. 15. 10:43

사이트 정보

AD Domain Service 이용
다음의 경우 클라이언트는 AD Domain Service를 이용해 사이트 정보를 얻는다.
- Configuration Manager 2007을 위한 AD 스키마가 확장되고
- 모든 사이트 계층에 AD Domain Service를 Publish하였으며
- 클라이언트와 사이트 서버가 동일한 AD 포리스트에 속하는 경우

만약 AD Domain Service에서 사이트 정보를 얻지 못하게 되면 대체 방법을 찾게 되는데,
사이트 정보를 얻기 위한 대체 방법은 Server Locator Point 뿐이며 Management Point에 대해서는 DNS, Server Locator Point, WINS가 있다.

Server Locator Point 이용
Server Locator Point는 AD Domain Service를 사용할 수 없을 때 다음 두 가지 목적을 위해 사용된다.
- 클라이언트에 대한 사이트 Assignment
- 클라이언트에 대한 Default management point 위치 지정

WORKGROUP 머신의 경우 AD 정보를 쿼리할 수 없으므로 클라이언트 설치 시 SMSSLP=<Server Locator Point> 옵션을 지정해야 한다.

Server Locator Point를 지정하지 않는 경우는 WINS를 통해 쿼리한다. (Name=SMS_SLP endchar=1A)
WINS 구성

Native 모드의 클라이언트 설치 시에는 반드시 Roaming과 사이트 Assignment에 대한 HTTP 연결을 설정해야 한다.
Configure HTTP Communication for Roaming and Site Assignment



Management Point

클라이언트는 사이트 정보를 얻고 사이트에 Assign이 되면 Default management point를 찾게 된다.
Management point에 Assign이 된 후에도 클라이언트는 Management point의 변경이 있는지 지속적으로 확인한다.

다음의 경우 Default management point에 대한 Service location request가 일어난다.
- 클라이언트가 재시작하거나 SMS Agent가 재시작된 경우
- 클라이언트의 네트워크 변경이 발생한 경우
- 제어판 -> Configuration Manager의 Discovery를 실행하는 경우

AD Domain Service 이용
모든 사이트에 대한 AD 스키마 확장과 Publish를 설정한 경우 AD에 Default management point가 게시된다.
클라이언트가 동일 포리스트에 속하는 경우 GC에 LDAP쿼리를 통해 Default management point를 찾는다.

클라이언트가 WORKGROUP 머신이거나 신뢰된 도메인이 아니라면 다른 Mechanism을 시도한다.
순서는 DNS -> SLP -> WINS의 순서로 시도한다.

DNS의 SRV 레코드 이용
DNS Zone의 SRV 레코드를 통해 Default management point를 찾는다.
SRV 레코드는 자동으로 게시될 수도 있으며 수동으로 등록할 수도 있다.
DNR 쿼리가 정상적으로 동작하기 위해서 클라이언트는 DNS suffix가 설정되어 있어야 한다.

Server Locator Point 이용
AD Domain Service와 DNS의 SRV 쿼리도 실패한다면 클라이언트 설치 시 지정한 Server Locator Point에서 찾는다.

WINS 사용
Management Point Role을 가지고 있는 사이트 시스템이 WINS를 사용하게끔 TCP/IP 구성에 설정되어 있다면 자동으로 WINS에 게시된다.

그러나, 사이트가 Native Mode인 경우 클라이언트는 Management Point 위치 지정을 위해 WINS를 사용하지 않는다.


[[예외]]
NLB Management Point인 경우
AD Domain Service와 Server Locator Point에는 자동으로 게시되나
WINS와 DNS에는 자동으로 게시되지 않으므로 수동으로 등록해야만 한다.

:
Posted by 커널64
2008. 11. 15. 09:25

SCCM 2007의 Site Mode 비교 SystemCenter2008. 11. 15. 09:25

Configuration Manager 동작 Mixed Mode Native Mode
인증서의 사용 Configuration Manager에 의해 생성 및 관리되는Self-signed 인증서 사용 (Configuration Manager 내부에서만 사용된다.) 업계 표준의 PKI 인증서 사용 (별도의 인증 기관 필요)
클라이언트와 사이트 시스템과의 상호 인증 (Mutual authentication) 클라이언트와 Management point, State Migration point는 별도의 내부 인증을 사용하며 다른 사이트 시스템은 클라이언트와 상호 인증을 하지 않는다. 클라이언트와 다음의 사이트 시스템은 SSL 통신을 한다.
- Management point
- Standard Distribution point (Not 서버 공유/Branch Distribution point)
- Software update point
- State migration point
사이트 시스템 간 인증과 트레픽의 암호화
서비스 위치를 위한 WINS 사용 가능 여부 Native Mode에서는 WINS를 사용할 수 없다. Default management points는 AD, DNS, server locator point에 위치한다. 그러나, NLB된 management points는 AD 또는 server locator point에 위치할 수 있다.
정책 서명 예(Management point) 예(Site server와 Management point)
정책 암호화 (over SSL) 아니오
콘텐츠 서명 예(배포 옵션이 "Download content from distribution point and run locally" 인 경우), 아니오(배포 옵션이 "Run program from distribution point" 인 경우) 예(배포 옵션이 "Download content from distribution point and run locally" 인 경우), 아니오(배포 옵션이 "Run program from distribution point" 인 경우 – 인터넷 기반 클라이언트는 이 옵션을 사용할 수 없다.)
콘텐츠 암호화 아니오 예(배포 옵션이 "Download content from distribution point and run locally"인 경우 SSL을 통해 암호화되나 HTTPS 연결이 실패할 경우 SMB로 통신하며 암호화되지 않는다.), 아니오(배포 옵션이 "Run program from distribution point" 인 경우 – 인터넷 기반 클라이언트를 이 옵션을 사용할 수 없다.)
Inventory data와 상태 메시지의 서명 예(SHA1 사용 – 클라이언트가 최소 SMS 2003 SP1인 경우) 예(fallback status point로 전달되는 상태 메시지는 서명되지 않음)
Inventory data와 상태 메시지 암호화 여부 옵션 사항(3DES 사용) 예(fallback status point로 전달되는 상태 메시지는 암호화 되지 않음)
클라이언트의 상태 메시지 암호화 여부 아니오
클라이언트의 Metering data 암호화 여부 아니오
클라이언트 승인 방법 다음 옵션 중에서 선택
- 각 클라이언트 수동 승인
- 신뢰 도메인에 대해 자동 승인
- 모든 클라이언트에 대해 자동 승인		 클라이언트 자동 승인 (PKI를 통해 인증되므로)
OSD를 사용하는 경우 State migration data의 서명 및 암호화 여부

:
Posted by 커널64

티스토리툴바