Configuración del servicio de administración en Configuration Manager
Se aplica a: Configuration Manager (rama actual)
Siga los pasos de este artículo para configurar el servicio de administración en el proveedor de SMS. Antes de empezar, lea los requisitos previos del servicio de administración.
Habilitación de la comunicación HTTPS segura
Configure el servicio de administración para que use una conexión HTTPS segura para proteger los datos en tránsito a través de la red.
A partir de la versión 2010, ya no es necesario habilitar IIS en el proveedor de SMS para el servicio de administración. El sitio crea un certificado autofirmado para el proveedor de SMS y lo enlaza automáticamente sin necesidad de IIS. Si anteriormente tenía IIS instalado en el proveedor de SMS, puede quitarlo. A continuación, reinicie el componente SMS_REST_PROVIDER. Recuerde que debe abrir el puerto HTTPS 443 en el firewall.
El servicio de administración usa automáticamente el certificado autofirmado del sitio. Este comportamiento ayuda a reducir la fricción para facilitar el uso del servicio de administración. El sitio siempre genera este certificado. El servicio de administración omite la configuración de sitio HTTP mejorado, ya que siempre usa el certificado del sitio, incluso si ningún otro sistema de sitio usa HTTP mejorado. Todavía puede enlazar manualmente un certificado de autenticación de servidor basado en PKI. Si ya ha enlazado un certificado PKI al puerto 443 en el servidor proveedor de SMS, el servicio de administración usa ese certificado existente.
Uso de un certificado de autenticación de servidor
Nota:
De forma predeterminada, el servicio de administración usa automáticamente el certificado autofirmado del sitio. Todavía puede enlazar manualmente un certificado de autenticación de servidor basado en PKI. Antes de poder enlazar el certificado basado en PKI, desenlace manualmente el certificado autofirmado del sitio desde el puerto 443 en el proveedor de SMS.
Hay dos métodos principales para usar un certificado de autenticación de servidor:
Desde la infraestructura de clave pública (PKI) de la organización
Si el entorno ya tiene una PKI, puede usarlo para emitir un certificado de autenticación de servidor para el proveedor de SMS. Este certificado es similar al certificado que usaría para un punto de administración o punto de distribución. Para obtener más información, consulte Requisitos de certificados PKI.
La mayoría de las implementaciones de PKI empresariales agregan las CA raíz de confianza a los clientes de Windows. Por ejemplo, usar Servicios de certificados de Active Directory con la directiva de grupo. Si emite el certificado de una entidad de certificación en la que los clientes no confían automáticamente, agregue el certificado raíz de confianza de ca a los clientes. Puede limitar esta confianza solo a los clientes que necesitan acceder al servicio de administración.
Use un certificado de un proveedor de certificados público y de confianza global. Los clientes de Windows incluyen entidades de certificación raíz (CA) de confianza de estos proveedores. Al usar un certificado de autenticación de servidor emitido por uno de estos proveedores, los clientes confían automáticamente en él.
Una vez que tenga un certificado de autenticación de servidor para el proveedor de SMS, debe enlazarlo manualmente al puerto 443 en IIS en el servidor que hospeda el rol proveedor de SMS.
En primer lugar, agregue el certificado al servidor. Importe el certificado en el almacén personal de la máquina local. A continuación, use una de las siguientes opciones para enlazar el certificado:
Enlace del certificado con IIS
Si el servidor con el rol Proveedor de SMS tiene la consola de administración de IIS, use la acción Editar enlaces en el sitio web predeterminado. Agregue el puerto 443 y especifique el certificado desde el almacén de certificados de la máquina.
Nota:
El rol Proveedor de SMS no requiere IIS. Este procedimiento usa la consola de IIS para enlazar el certificado. Estos enlaces de certificado son para la máquina, no para ningún servicio específico.
Enlace del certificado con netsh
Use la línea de comandos netsh para enlazar el certificado:
netsh http add sslcert ipport=0.0.0.0:443 certhash=<thumbprint> appid={<GUID>}
Donde <thumbprint>
es la huella digital del certificado instalado y <GUID>
es un GUID aleatorio.
Sugerencia
Use el cmdlet New-Guid
Windows PowerShell para generar un GUID aleatorio.
Por ejemplo:
netsh http add sslcert ipport=0.0.0.0:443 certhash=5aef9c1f348d4d1c8675309ca3363c2a5d3b617d appid={e9f0631d-6d1c-41b4-9617-454705f9c011}
Habilitación del acceso a Internet
Solo puede usar el servicio de administración localmente o puede habilitarlo para el acceso a través de la puerta de enlace de administración en la nube (CMG). Algunos escenarios requieren acceso al servicio de administración desde Internet, como la asociación de inquilinos o las aprobaciones de aplicaciones por correo electrónico.
Antes de configurar el proveedor de SMS para permitir el tráfico de CMG, configure primero una instancia de CMG. Para obtener más información, consulte Información general de CMG.
A continuación, use el siguiente proceso para habilitar el servicio de administración a través de CMG:
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Servidores y roles de sistema de sitio.
Seleccione el servidor con el rol Proveedor de SMS .
Sugerencia
En la cinta de opciones, en la pestaña Inicio , seleccione Servidores con rol y, a continuación, seleccione Proveedor de SMS. Esta acción muestra los sistemas de sitio con ese rol.
En el panel de detalles, seleccione el rol Proveedor de SMS y seleccione Propiedades en la cinta de opciones de la pestaña Rol de sitio .
Seleccione la opción Permitir Configuration Manager tráfico de puerta de enlace de administración en la nube para el servicio de administración.
Para acceder al servicio de administración desde Internet, reemplace el FQDN del proveedor de SMS por el punto de conexión de CMG. Por ejemplo:
https://CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500/AdminService
Sugerencia
Para obtener el valor de este punto de conexión, siga estos pasos:
Cree una instancia de CMG. Para obtener más información, consulte Configuración de una instancia de CMG.
En un cliente activo, abra un símbolo del sistema Windows PowerShell como administrador.
Ejecute el siguiente comando:
(Get-WmiObject -Namespace Root\Ccm\LocationServices -Class SMS_ActiveMPCandidate | Where-Object {$_.Type -eq "Internet"}).MP
Habilitación del uso de la consola
Nota:
A partir de la versión 2111, se quita la opción habilitar la consola de Configuration Manager para usar el servicio de administración. El servicio de administración siempre está activado, por lo que la consola lo usará cuando sea necesario.
Habilite algunos nodos de la consola de Configuration Manager para usar el servicio de administración. Este cambio permite que la consola se comunique con el proveedor de SMS a través de HTTPS en lugar de a través de WMI.
En la consola de Configuration Manager, vaya al área de trabajo Administración, expanda Configuración del sitio y seleccione el nodo Sitios. En la cinta de opciones, seleccione Configuración de jerarquía.
En la página General, seleccione la opción Habilitar la consola de Configuration Manager para usar el servicio de administración.
Este cambio solo afecta a los siguientes nodos en el nodo Seguridad del área de trabajo Administración :
- Usuarios administrativos
- Roles de seguridad
- Ámbitos de seguridad
- Conexiones de consola
Al seleccionar uno de estos nodos, si se muestra el siguiente mensaje de error:
Configuration Manager no se puede conectar al servicio de administración
Revise la información siguiente al error. A continuación, compruebe que el servicio de administración está habilitado, configurado y funcional. Para obtener más información, incluidos los archivos de registro que se van a revisar, consulte la sección Comprobar .
Verificar
Cuando el sitio instala el servicio de administración, registra la actividad en el archivo RESTPROVIDERSetup.log en el directorio de instalación Configuration Manager. De forma predeterminada, esta ruta de acceso es C:\Program Files\Microsoft Configuration Manager\logs
.
El sitio realiza un seguimiento del estado de mantenimiento del servicio de administración en el archivo SMS_REST_PROVIDER.log . Puede ver el inicio del servicio y la información sobre el certificado.
Pruebe el servicio de administración mediante una consulta simple en un explorador web, por ejemplo:
https://smsprovider.contoso.com/adminservice/v1.0/$metadata
El servicio de administración registra su actividad en el archivo adminservice.log en el servidor proveedor de SMS del directorio de instalación Configuration Manager.
Para la consulta de metadatos anterior, el archivo de registro muestra las líneas siguientes:
Processing incoming request for resource [https://smsprovider.contoso.com/adminservice/v1.0/%24metadata], method: [GET], User - [CONTOSO\jqadmin]
...
Completing request with response code [200] reason [OK]