Доступ к MP online catalog в консоли System Center 2012 R2 Operations Manager Console через прокси сервер Squid

05.08.2014 Автор:Алексей Максимов
5 442 Просмотров Комментариев нет

imageРанее описывалось обходное решение для возможности доступа к онлайн каталогу пакетов управления SCOM из консоли System Center 2012 R2 Operations Manager Console с использованием TMG Client. После перехода на прокси-сервер Squid мы вынуждены пересмотреть указанное решение, адаптировав его под Squid.

Первое, что было обнаружено, - описанный ранее способ правки .config файла консоли SCOM не дал желаемого результата. Для того, чтобы выяснить какие ещё возможны варианты настройки данного файла, воспользуемся документом MSDN Library - Network Programming in the .NET Framework - Accessing the Internet Through a Proxy. В моём случае рабочим вариантом оказался вариант с явным указанием прокси-сервера в конце секции <configuration>…</configuration> файла C:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Console\Microsoft.EnterpriseManagement.Monitoring.Console.exe.config:

<configuration>
…
<system.net>
    <defaultProxy>
        <proxy  proxyaddress="http://proxy.holding.com:3128"
                bypassonlocal="true"
        />
    </defaultProxy>
</system.net>
</configuration>

На самом прокси-сервере Squid для компьютеров с консолью SCOM нам необходимо разрешить прямой выход на под-узлы домена microsoft.com. Сделаем это по аналогии с описанным ранее методом. Создадим пару вспомогательных конфигурационный файлов. Первый файл будет содержать список разрешённых для прямого доступа внешних доменов

sudo nano -Y sh /etc/squid3/conf_param_sites_system-center.txt

Содержимое файла:

.microsoft.com

Второй файл будет содержать список IP адресов компьютеров локальной сети на которых будет использоваться консоль SCOM:

sudo nano -Y sh /etc/squid3/conf_param_computers_system-center.txt

Содержимое файла:

# SCOM Administrator workstation WS001
10.20.1.10
#
# SCOM Server SCOM01
10.100.0.21
#
# SCOM Server SCOM02
10.100.0.22
#

Отредактируем основной конфигурационный файл Squid

sudo nano -Y sh /etc/squid3/squid.conf

Создадим соответствующие ACL и добавим разрешающее правило доступа (перед другими правилами требующими аутентификации)

...
acl LocalSCComputers   src       "/etc/squid3/conf_param_computers_system-center.txt"
acl GlobalSCSites      dstdomain "/etc/squid3/conf_param_sites_system-center.txt"
...
# Allow direct access to Microsoft System Center Sites
http_access allow GlobalSCSites LocalSCComputers
...

Передёргиваем Squid:

sudo squid3 -k parse
sudo squid3 -k reconfigure

После этого доступ к онлайн каталогу MP должен заработать. Неприятным (но не фатальным и при желании решаемым) моментом останется лишь то, что при подключении к каталогу будет выдаваться предупреждение о невозможности проверить https сертификат…

image

Анализ трафика показал, что встроенный в консоль SCOM механизм проверки списков отзыва сертификатов не пытается использовать настройки прокси приложения, а ломится на узлы CRL напрямую. И тут, если честно, я не удивлён (в сотый раз) … видимо Радж и Рахул опять не смогли договориться.

Опубликовано в :  Microsoft System Center , Squid
Метки :  , , , , ,

Добавить комментарий