SCOM で Active Directory の監視

SCOM エージェントをインストールして Active Directory の監視を行う場合、エージェントのインストールだけでは Active Directory の監視をできるようなりません。
エージェントをインストールしたタイミングでは問題なくみえますが、少しすると「状態」が グリーンからグレーアウトの状態となります。

これは、HSLOCKDOWN がローカルシステムアカウントを 拒否 する設定になっていることが原因ということです。 SCOM のトラブルシューティングにも対処内容が紹介されています。

• Operations Manager のヘルス サービス ロックダウン ツールを使用したアクセス制御

そのため、Active Directory にインストールした Monitoring エージェントで、NT Authority\System アカウントを拒否設定を削除することで、問題なく Active Direcotry を監視できる状態になります。

Active Directory サーバーで HSLockdown.exe で設定値を確認

HSLockdown.exe は Monitoring エージェントをインストールしたフォルダにあります。

HSLockdown で 許可 または 拒否されているアカウントは、下記のコマンドで確認できます。

cd 'C:\Program Files\Microsoft Monitoring Agent\Agent\'
PS C:\Program Files\Microsoft Monitoring Agent\Agent> .\HSLockdown.exe /L

文字化けしているのですが、下記の項目が表示されます。

1. 管理グループ名
2. 許可
3. 拒否

Active Directory を監視できるようにする

Active Directory を監視するには、拒否状態になっている NT Authority\System アカウントを削除します。

.\hslockdown.exe "Management_Group _Name" /R "NT AUTHORITY\SYSTEM"

NT Authority\system アカウントが削除されたことを確認します。

.\HSLockdown.exe /L

その後、Operations Manager Health Service を再起動します。

net stop healthservice
net start healthservice

すると、Active Directory が正常に監視できる状態になります。

以上となります。