Instalación de un servidor de puerta de enlace

Normalmente, los servidores de puerta de enlace se usan para habilitar la supervisión de equipos cliente que están fuera del límite de confianza de Kerberos dentro de los grupos de administración. Sin embargo, las puertas de enlace también son útiles dentro del mismo dominio, como si hubiera un requisito para segmentar la red y reducir el número de puertos de firewall abiertos. Otro escenario es utilizar puertas de enlace para los agentes que están demasiado "lejos" para conectarse de forma fiable a un servidor de administración dentro del intervalo de heartbeat de cinco minutos.

Los agentes se comunican directamente con el servidor de puerta de enlace y el servidor de puerta de enlace se comunica con uno o varios servidores de administración. Se pueden colocar varios servidores de puerta de enlace en un solo dominio para que los agentes puedan pasar de uno a otro si pierden comunicación con su puerta de enlace principal. Del mismo modo, puede configurarse un único servidor de puerta de enlace para que conmute por error entre servidores de administración, de modo que no exista un único punto de fallo en la cadena de comunicación. El servidor de puerta de enlace actúa como proxy para la comunicación entre el agente y el servidor de administración, lo que permite abrir un solo puerto entre redes en lugar de muchos. Los certificados deben usarse para establecer la identidad de cada equipo cuando se encuentra fuera del límite de confianza de Kerberos. Sin certificados, los sistemas pueden conectarse pero rechazar la comunicación debido a que no se puede autenticar la conexión.

Antes de continuar, asegúrate de que el servidor cumple los requisitos mínimos del sistema para System Center -Operations Manager. Para obtener más información, consulta Requisitos del sistema de System Center Operations Manager.

Nota:

Se recomienda no usar el usuario NTAuthority\SYSTEM para la instalación de System Center Operations Manager.

Nota:

Si las directivas de seguridad restringen TLS 1.0 y 1.1, se produce un error al instalar un nuevo rol de servidor de puerta de enlace de Operations Manager 2016 porque el medio de instalación no incluye las actualizaciones para admitir TLS 1.2. La única manera de instalar este rol pasa por habilitar TLS 1.0 en el sistema, aplicar el paquete acumulativo de actualizaciones 4 y, a continuación, habilitar TLS 1.2 en el sistema.

Requisitos previos

Para poder continuar con la instalación del rol de puerta de enlace en un escenario estándar, hay tres aspectos principales que debemos tener listos e implantados:

1. Los certificados deben generarse para la puerta de enlace y los servidores de administración e instalarse en los almacenes de certificados.
   • Si la puerta de enlace y los servidores del cliente se usan en un escenario de grupo de trabajo, los clientes también necesitan certificados.
2. El servidor de puerta de enlace previsto debe estar "Aprobado" para ser una puerta de enlace en el grupo de administración antes de la instalación.
3. El puerto 5723 debe estar abierto entre la puerta de enlace y el servidor de administración, tal como se define en la guía: Configuración de un firewall para Operations Manager.

Certificados y resolución de nombres

1. La implementación de servidores de puerta de enlace en dominios sin una confianza transitiva bidireccional o en un grupo de trabajo requiere el uso de certificados para la autenticación. Los servidores de administración primario y de conmutación por error necesitan uno además de la pasarela que se conecta a ellos. Estos certificados pueden provenir de una ENTIDAD de certificación de Servicios de certificados de Microsoft o una CA que no sea de Microsoft, si están configuradas correctamente para Operations Manager. Si necesitas ayuda para crear estos certificados, usa la guía: Obtención de un certificado para su uso con servidores de Windows y System Center Operations Manager

   Nota:

   • Los servidores de puerta de enlace que están en el mismo dominio o en un límite de confianza compartido que el grupo de administración no requieren certificados.
   • Si la puerta de enlace y los agentes están en un grupo de trabajo, necesitamos certificados para cada servidor de administración, puerta de enlace y equipo cliente, ya que no hay ningún dominio dentro de un grupo de trabajo para facilitar la autenticación de los sistemas.

2. Debe existir una resolución de nombres confiable entre los equipos administrados por el agente y el servidor de puerta de enlace, y entre el servidor de puerta de enlace y el servidor de administración. Normalmente, esta resolución de nombres se realiza a través de DNS. Pero si no es posible obtener la resolución de nombres adecuada a través de DNS, puede que sea necesario crear manualmente entradas en el archivo de hosts de cada equipo.

   Importante

   Las resoluciones de nombres hacia delante y hacia atrás se comprueban antes de que la autenticación pase entre los servidores. Si recibimos otro nombre de host o FQDN al comprobar la dirección IP, se produce un error en la autenticación.

   Sugerencia

   El archivo de hosts, que se encuentra en el directorio %SystemRoot%\system32\drivers\etc, contiene las instrucciones para la configuración. Este archivo debe editarse en un Bloc de notas u otra aplicación que se ejecute como administrador.

Registre la puerta de enlace con el grupo de administración

Para evitar problemas posteriores, es importante registrar y aprobar la máquina de la puerta de enlace prevista como puerta de enlace antes de la instalación, de lo contrario corremos el riesgo de que la puerta de enlace sea recogida como agente.

Estos pasos los deben realizar desde un servidor de administración, preferiblemente el servidor principal o "RMSE".

1. Hay un archivo ejecutable incluido con el medio de instalación de Operations Manager llamado "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", que se puede encontrar en el medio de instalación en ..\SupportTools\amd64\.

2. Una vez localizado, copia este archivo ejecutable y el archivo de configuración con el mismo nombre en la ruta de instalación en: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Abra un símbolo del sistema como administrador y vaya al directorio de instalación de Operations Manager. (por ejemplo, cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Usa el siguiente comando para registrar la puerta de enlace prevista como puerta de enlace y asegúrate de reemplazar los nombres de servidor por los tuyos propios:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Nota:

   Para evitar que el servidor de puerta de enlace inicie la comunicación con un servidor de administración, use el parámetro /ManagementServerInitiatesConnection=True en el comando . De forma predeterminada, la puerta de enlace inicia la comunicación, pero este parámetro es útil si desea evitar el acceso entrante al dominio principal desde la red donde se encuentra la puerta de enlace. Por ejemplo:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Si la aprobación se realiza correctamente, se devuelve el mensaje The approval of server <GatewayFQDN> completed successfully. .

6. Si necesitas quitar el servidor de puerta de enlace del grupo de administración, ejecuta el mismo comando, pero sustituye /Action=Create por la marca /Action=Delete.

7. Abre la consola de Operaciones en la vista de Supervisión. Selecciona la vista de inventario descubierto para ver que el servidor de gateway está presente. También debería ser visible en Administración > Gestión de Dispositivos > Servidores de Gestión.

El proceso de instalación

Una vez registrado el servidor de puerta de enlace designado con el grupo de administración, es el momento de instalar el rol en la nueva puerta de enlace.

Nota:

Se produce un error en la instalación al iniciar Windows Installer (por ejemplo, al instalar un servidor de puerta de enlace haciendo doble clic en MOMGateway.msi) si la directiva de seguridad local "Control de cuentas de usuario: ejecutar todos los administradores en modo de aprobación de administrador" está habilitada.

Sugerencia

Si experimentas problemas durante la instalación, los registros se encuentran aquí: %LocalAppData%\SCOM\Logs

Instalación mediante la GUI

Haz lo siguiente para instalar el servidor de la puerta de enlace:

1. Inicie sesión en el servidor de puerta de enlace con derechos de Administrador.

2. Desde el medio de instalación de Operations Manager, inicia Setup.exe.

3. En el área Instalar, selecciona el vínculo Servidor de administración de puerta de enlace (no el vínculo grande "Instalar" que hay hacia la parte inferior de la ventana).

4. En la pantalla de bienvenida, seleccione Siguiente.

5. En la página Carpeta de destino, acepta el valor predeterminado o bien selecciona Cambiar para seleccionar otro directorio de instalación y luego selecciona Siguiente.

6. En la página Configuración del grupo de administración, escribe el nombre del grupo de administración de destino en el campo Nombre del grupo de administración, escribe el nombre del servidor administración de destino en el campo Servidor de administración, comprueba que el campo Puerto de servidor de administración es 5723 y selecciona Siguiente.

7. En la página Cuenta de acción de puerta de enlace, seleccione la opción Cuenta de sistema local, a menos que use una cuenta de acción de puerta de enlace basada en dominio o en equipo local. Seleccione Siguiente.

8. En la página Microsoft Update, opcionalmente indica si quieres usar Microsoft Update y selecciona Siguiente. (Normalmente, esta selección debe ser No).

9. En la página Preparado para instalar , seleccione Instalar.

10. En la página Finalización, selecciona Finalizar.

Instalación mediante la línea de comandos

Siga estos pasos para instalar el servidor de puerta de enlace desde el símbolo del sistema:

1. Inicia sesión en el servidor de puerta de enlace con derechos de Administrador.
2. Abra la ventana del símbolo del sistema mediante la opción Ejecutar como administrador.
3. Ejecuta el siguiente comando, donde path\to\Installer es la ruta de acceso del medio de instalación. El archivo MOMGateway.msi se encuentra en el soporte de instalación de Operations Manager en ..\gateway\amd64\.

Sugerencia

El carácter ^ se utiliza para permitir la entrada de varias líneas en el símbolo del sistema para facilitar la lectura y la edición. Si el comando no funciona en el entorno, quite los caracteres ^ y asegúrese de que el comando está en una sola línea.

Si usas LocalSystem como la cuenta de acción:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Si usas un Usuario de dominio como cuenta de acción:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Importante

La contraseña de la cuenta de acción no puede contener caracteres "ilegales" en el Símbolo del sistema, como : & < > ( ) @ ^ | ". Si lo hace, se produce un error en la instalación, ya que no puede analizar la cadena, cambiar la contraseña para que no contenga estos caracteres y, a continuación, ajustarla entre comillas dobles dentro del propio comando.

Importación de certificados con la herramienta de MOMCertImport.exe

Realiza esta operación en cada servidor de administración y puerta de enlace, junto con los ordenadores cliente que se van a administrar por agentes en un grupo de trabajo.

1. Asegúrate de que los certificados están instalados antes de continuar
2. Busca el archivo MOMCertImport.exe ubicado en el medio de instalación, en ..\SupportTools\amd64\
3. Copia este archivo en el directorio raíz del servidor de destino o en el directorio de instalación de Operations Manager.
   • (Por ejemplo, %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Abra un Símbolo del sistema como administrador y cambie el directorio al directorio donde se encuentra MOMCertImport.exe.
   • Por ejemplo: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. A continuación, ejecuta el comando MOMCertImport.exe /SubjectName subjectNameFQDN, donde "subjectNameFQDN" es el asunto definido en el certificado.
   • También puede ejecutar MOMCertImport.exe sin ningún argumento para poder elegir un certificado de una ventana emergente que muestra los certificados en el almacén personal de la máquina local.
6. Si se ejecuta correctamente, el servicio Microsoft Monitoring Agent se reinicia y eventID 20053 se registra en el registro de eventos de Operations Manager. Si este eventID no está presente, observa los detalles de uno de estos identificadores para cualquier problema y realiza las correcciones que correspondan: 20049,20050,20052,20066,20069,20077

Sugerencia

Una vez que el certificado se haya importado correctamente, puedes ver una versión reflejada de la huella digital en el registro aquí: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configurar servidores de puerta de enlace para la conmutación por error entre servidores de administración

De forma predeterminada, los servidores de puerta de enlace solo se comunican con un servidor de administración, su principal. Si se pierde esta conexión, la puerta de enlace y los agentes conectados se mostrarán de color gris en la consola y no serán monitorizados. Si tiene varios servidores de administración, podemos evitar este problema configurando servidores de administración a los que la puerta de enlace pueda conmutar por error hasta que el primario vuelva a estar disponible. Para configurar una conmutación por error:

Vamos a utilizar el cmdlet Set-SCOMParentManagementServer en el shell de Operations Manager, como se muestra en el siguiente ejemplo, para configurar un servidor de puerta de enlace para conmutar por error a varios servidores de administración. Los comandos se pueden ejecutar desde cualquier Shell de comandos del grupo de administración.

1. Inicie sesión en un servidor de administración utilizando una cuenta que sea miembro de la función Administradores de Operations Manager.

2. En el menú Inicio, ejecuta el Shell de Operations Manager en la carpeta "Microsoft System Center".

3. En la consola, ejecuta los siguientes comandos:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Nota:

   No se puede establecer un servidor de conmutación por error para que sea el mismo que el servidor principal sin cambiar el servidor principal al mismo tiempo o primero. Si quieres cambiar el principal y establecerlo en un secundario, usa los siguientes comandos:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Encadenar varios servidores de puerta de enlace

Aunque es poco común, a veces es necesario encadenar varias puertas de enlace para supervisar a través de varios límites no fiables. En esta sección, se describe cómo encadenar varias puertas de enlace juntas.

Nota:

• Instale solo una puerta de enlace a la vez. Compruebe que cada puerta de enlace recién instalada se muestra como correcta en la consola de Operations Manager antes de agregar otra puerta de enlace en la cadena.
• Al añadir puertas de enlace al final de la cadena al mismo grupo de recursos, no configure la conmutación por error a otra cadena mediante el comando Set-SCOMParentManagementServer. En este escenario, la piscina no funcionará como se esperaba. Para que la configuración de conmutación por error y el grupo de recursos funcionen juntos, el extremo de la puerta de enlace de la cadena debe tener el mismo padre.

Para configurar una cadena de puerta de enlace, usamos la herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tal como hicimos para el servidor de puerta de enlace inicial. Sin embargo, esta vez es necesario establecer "ManagementServerName" como el servidor de puerta de enlace ascendente en la cadena. Por ejemplo, si GW02 se va a conectar a GW01, entonces GW01 es "ManagementServer" en este escenario.

1. Inicia sesión en uno de tus servidores de administración que ya tenga configurado GatewayApprovalTool.

2. Abre una línea de comandos como administrador y navega hasta el directorio en el que se ha guardado la herramienta.

3. A continuación, ejecute el siguiente comando para aprobar el servidor de puerta de enlace de bajada, asegurándose de reemplazar los nombres de servidor por los suyos propios:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Instala el rol de puerta de enlace en un nuevo servidor.

5. Configura los certificados entre GW01 y GW02 de la misma manera que configurarías los certificados entre una puerta de enlace y un servidor de administración. El Servicio de Salud solo puede cargar y usar un solo certificado. Por lo tanto, el primario y el secundario del gateway de la cadena utilizan el mismo certificado.

Pasos siguientes

Para comprender la secuencia y los pasos para instalar los roles de servidor de Operations Manager en varios servidores del grupo de administración, consulta Implementación distribuida de Operations Manager.