Мониторинг Lync Edge через SCOM

Понадобилось настраивать мониторинг Lync Edge 2013 через System Center Operations Manager 2012R2.

Так как сервер Lync Edge не в домене, то начал я с поиска руководств по настройке мониторинга недоменных компьютеров.

Достаточно хорошо и подробно тема мониторинга недоменного компьютера из SCOM освещена тут у Алексея Максимова. Правда, там руководство по 2007 R2, но в 2012 R2 ничего не поменялось.

Я же настраивал мониторинг, основываясь на другом гайде, который показался мне более удобным.

В первую очередь — за счет более удобного создания запроса к сертификату и последующего импорта CER- файла.

Основные требования к сертификату — это клиентская аутентификация, серверная аутентификация и возможность экспорта закрытого ключа сертификата.

Эти требования можно ввести вручную, а можно указать с помощью INF-файла.

[NewRequest]
Subject="CN=<FQDN>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2

Скорее всего, этот сертификат подойдет и для внутреннего интерфейса edge-сервера. Планирую проверить это на следующей неделе.

Генерация запроса осуществляется с помощью следующей команды, запускаемой в контексте администратора (RunAs Administrator):

certreq -new -f RequestConfig.inf BinaryRequest.req

После генерации я рекомендую открыть файл запроса (BinaryRequest.req) в блокноте и скопировать его содержимое. Это понадобится, чтобы с минимальными усилиями запросить сертификат.

Внимание: у вас должны быть права на запрос сертификата из подходящего шаблона.

После того как вы сгенерируете сертификат и скачаете его на этот компьютер в формате «Base 64 encoded» его можно достаточно просто импортировать в хранилище компьютера:

certreq -accept NewCertificate.cer

Остальные пункты в обоих гайдах схожи.

Кроме того, я натолкнулся на три проблемы:

1) При экспорте сертификата и его приватного ключа через GUI я оставил флаг экспорта всех сертификатов (установлен по умолчанию). При этом в PFX-файл складывается не только сертификат сервера, но и другие сертификаты.

Если вы встанете на эти же грабли, то при импорте сертификата в реестр через утилиту MomCertImport.exe получите следующую ошибку

Error description: Catastrophic failure
Error code: 8000FFFF
ImportPFXCertificate failed

Необходимо повторно экспортировать сертификат без «других сертификатов». Это так же можно проделать через командную строку

certutil.exe -privatekey -exportpfx <Subject Name of certificate> <filename>.pfx nochain

2) После того как я все сделал, в консоли SCOM агента я не увидел. Долгие мытарства и чтение журнала Operation Manager на Lync Edge показали, что я выдал себе неподходящий сертификат.

Ошибка с EventID 20050 и текстом

The specified certificate could not be loaded because the Enhanced Key Usage specified does not meet OpsMgr requirements. The certificate must have the following usage types:
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)

После этого я внимательно посмотрел на шаблон, который использовал, и сменил его на подходящий!

3) После одобрения агента в консоли SCOM мне выдалось сообщение о том, что имеется проблема с анализом сервера (Discovery Error)

Alert: An internal exception has occurred during discovery.

Если открыть Health Explorer, выбрать этот алерт и переключиться в «State Change Events» то будет доступно подробное описание ошибки.

Lync Server Module is added Successfully initialize discovery data. An exception occurred during discovery script, Exception : Could not connect to SQL server : [Exception=System.Data.SqlClient.SqlException (0x80131904): Cannot open database "xds" requested by the login. The login failed. Login failed for user 'NT AUTHORITY\NETWORK SERVICE'. at ...

Ошибка достаточно легко гуглится, в качестве решения предлагается добавить аккаунт «Network Service» в группы RTC Component Local Group и RTC Local Administrators на Lync Edge сервере.

Запись опубликована в рубрике Lync, Microsoft, SCOM. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *