Понадобилось настраивать мониторинг Lync Edge 2013 через System Center Operations Manager 2012R2.
Так как сервер Lync Edge не в домене, то начал я с поиска руководств по настройке мониторинга недоменных компьютеров.
Достаточно хорошо и подробно тема мониторинга недоменного компьютера из SCOM освещена тут у Алексея Максимова. Правда, там руководство по 2007 R2, но в 2012 R2 ничего не поменялось.
Я же настраивал мониторинг, основываясь на другом гайде, который показался мне более удобным.
В первую очередь – за счет более удобного создания запроса к сертификату и последующего импорта CER- файла.
Основные требования к сертификату – это клиентская аутентификация, серверная аутентификация и возможность экспорта закрытого ключа сертификата.
Эти требования можно ввести вручную, а можно указать с помощью INF-файла.
[NewRequest]
Subject="CN=<FQDN>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
Скорее всего, этот сертификат подойдет и для внутреннего интерфейса edge-сервера. Планирую проверить это на следующей неделе.
Генерация запроса осуществляется с помощью следующей команды, запускаемой в контексте администратора (RunAs Administrator):
certreq -new -f RequestConfig.inf BinaryRequest.req
После генерации я рекомендую открыть файл запроса (BinaryRequest.req) в блокноте и скопировать его содержимое. Это понадобится, чтобы с минимальными усилиями запросить сертификат.
Внимание: у вас должны быть права на запрос сертификата из подходящего шаблона.
После того как вы сгенерируете сертификат и скачаете его на этот компьютер в формате “Base 64 encoded” его можно достаточно просто импортировать в хранилище компьютера:
certreq -accept NewCertificate.cer
Остальные пункты в обоих гайдах схожи.
Кроме того, я натолкнулся на три проблемы:
1) При экспорте сертификата и его приватного ключа через GUI я оставил флаг экспорта всех сертификатов (установлен по умолчанию). При этом в PFX-файл складывается не только сертификат сервера, но и другие сертификаты.
Если вы встанете на эти же грабли, то при импорте сертификата в реестр через утилиту MomCertImport.exe получите следующую ошибку
Error description: Catastrophic failure
Error code: 8000FFFF
ImportPFXCertificate failed
Необходимо повторно экспортировать сертификат без “других сертификатов”. Это так же можно проделать через командную строку
certutil.exe -privatekey -exportpfx <Subject Name of certificate> <filename>.pfx nochain
2) После того как я все сделал, в консоли SCOM агента я не увидел. Долгие мытарства и чтение журнала Operation Manager на Lync Edge показали, что я выдал себе неподходящий сертификат.
Ошибка с EventID 20050 и текстом
The specified certificate could not be loaded because the Enhanced Key Usage specified does not meet OpsMgr requirements. The certificate must have the following usage types:
Server Authentication (1.3.6.1.5.5.7.3.1)
Client Authentication (1.3.6.1.5.5.7.3.2)
После этого я внимательно посмотрел на шаблон, который использовал, и сменил его на подходящий!
3) После одобрения агента в консоли SCOM мне выдалось сообщение о том, что имеется проблема с анализом сервера (Discovery Error)
Alert: An internal exception has occurred during discovery.
Если открыть Health Explorer, выбрать этот алерт и переключиться в “State Change Events” то будет доступно подробное описание ошибки.
Lync Server Module is added Successfully initialize discovery data. An exception occurred during discovery script, Exception : Could not connect to SQL server : [Exception=System.Data.SqlClient.SqlException (0x80131904): Cannot open database "xds" requested by the login. The login failed. Login failed for user 'NT AUTHORITY\NETWORK SERVICE'. at ...
Ошибка достаточно легко гуглится, в качестве решения предлагается добавить аккаунт “Network Service” в группы RTC Component Local Group и RTC Local Administrators на Lync Edge сервере.