SCOM – Gateway Server Mimarisi

Güncel bir SCOM versiyonunu kullandığınızda, yapınızda bulunan domaine dahil Windows-Based istemcilerden health bilgilerini sağlıklı şekilde almak dışında, un-trusted bir domainde bulunan, workgroup üzerinde çalışan istemcilerin de verilerini toplayabilirsiniz.

Varsayılanda SCOM, ilk kurulan Root Management Server yada daha sonra kurulan Management Server ile istemcilerinden mutual authentication gereksinimi sebebiyle Kerberos Auth ile veri akışını sağlar.İstemciler ve SCOM sunucusu aynı domainde olduğu sürece Kerberos Authentication bu mutual gereksinimi gayet güzel sağlamaktadır.Ancak kimi organizasyonlarda yönetilmesi gereken workgroup istemciler yada DMZ’de bulunan sunucularda SCOM agent’ı ile var olan servis ağacına katılmak istenebilir.

Bu noktada SCOM mimarisi sizden mutual authentication gereksinimini sürdürmektedir.Ancak aynı domain yapısında bulunulmadığı için bu gereksinim ancak certificate-based sağlanabilir.Bu takdirde Management sunucuların ve istemcilerin spesifik sertifikalara sahip olması gerekmektedir.Ancak bu nokta da karşınıza birçok senaryo çıkıyor.Birkaç tanesini inceleyelim.

image

Yukarıdaki mimaride, corp.local domain yapısında hali hazırda çalışan bir Root Management Server ve Management Server bulunmaktadır.Ancak contoso.local domain’de bulunan istemcilerden de sağlık bilgileri toplanmak isteniyor.Fakat bu iki domain arasında iki yönlü bir trust ilişkisi bulunmuyor.

Bu tip bir senaryoda contoso.local domain ortamına katacağınız bir gateway server ile, sadece gateway sunucusu ve management server sunucusu üzerinde sertifika bazlı authentication’ı aktif ederek iletişim sağlanabilir.

Gateway sunucusu, SCOM rollerinden birisidir.Domaine dahil olması gerekmeyen bu rol, untrusted istemcilerden sağlık bilgilerini toplayıp istenilen management sunucuya gönderir.Ayrıca Management Server’ın istemci datalarında gerçekleştirdiği sıkıştırma oranından daha fazla bir sıkıştırma gerçekleştirmektedir.Bu sebeple bazı senaryolarda, özellikle istemci sayısının fazla olduğu ve kerberos authenticaton’ın kullanılabildiği yapılarda dahi yük dağılımını sağlamak için Management Server yerine tercih edilebilir.

Yukarıdaki senaryoya tekrardan dönersek, görüldüğü gibi contoso.local domain ortamında istemciler ile Gateway sunucusu aynı domainde yer almaktadır.Bu sebeple, istemci-gateway arasında kerberos authentication var olduğundan, yalnızca Gateway ve Management Server arasında sertifika bazlı bir authentication gerçekleştirilmesi yeterli olacaktır.

image

Bir diğer senaryoda ise , uzak lokasyonda bulunan domain ortamı yalnızca Gateway sunucusunu barındırmakta, yönetilmesi gereken istemciler workgroup yada untrusted bir domain içerisinde bulunmaktadır.Bu yapıda sizin hem Gateway sunucusu ile Management Sunucusu arasında sertifika altyapısını oluşturmanız, hem de istemci-gateway sunucusu arasında sertifika altyapısını oluşturmanız gerekmektedir.

image

Bir diğer ve sık kullanılan senaryo ise, maliyet kazancı sağlamak amacıyla Gateway sunucusunun kullanılmaması ve istemcilerin tümü ile management sunucuya gerekli sertifikalar yüklenerek gerekli veri akışının sağlanmasıdır.

Bu noktada blogda yazdığım Neden Gateway Sunucusu Kullanmalıyım postundaki kriterleri dikkate almalı ve ona göre bu yapıyı elimine etmelisiniz.Artı taraf ise, Gateway sunucusunun lisanslamada bir Management Server gibi lisanslanması ve bu senaryoda bu maliyetin yok edilmesidir.

Leave a Reply

Your email address will not be published. Required fields are marked *

21 + = 24