• Artículo

Preparar el entorno de Windows para Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Utilice la información de las secciones siguientes para ayudarle a configurar su entorno de Windows para admitir System Center 2012 Configuration Manager.

  • Preparar Active Directory para Configuration Manager

    • Extender el esquema de Active Directory

    • Crear el contenedor System Management

    • Establecer permisos de seguridad en el contenedor System Management

    • Habilitar la publicación de Active Directory para el sitio de Configuration Manager.

  • Configurar servidores basados en Windows para los roles de sistema de sitio de Configuration Manager

    • Compresión diferencial remota

    • Internet Information Services (IIS)

    • Filtrado de solicitudes para IIS

Preparar Active Directory para Configuration Manager

Cuando extiende el esquema de Active Directory, esta acción es una configuración de todo el bosque que deberá realizar una vez por bosque. La extensión del esquema es una acción irreversible y debe realizarla un usuario que pertenezca al grupo Administradores de esquema o que tenga delegados permisos suficientes para modificar el esquema. Si decide extender el esquema de Active Directory, puede hacerlo antes o después de la instalación. Para obtener información que le ayude a decidir si extender o no el esquema de Active Directory, consulte Determinar si se va a extender el esquema de Active Directory para Configuration Manager.

System_CAPS_tipSugerencia

Si el esquema de Active Directory se extendió con las extensiones de esquema de Configuration Manager 2007, no tiene que extender el esquema para System Center 2012 Configuration Manager. Las extensiones de esquema de Active Directory no cambian desde Configuration Manager 2007.

Se requieren cuatro acciones para habilitar correctamente los clientes de Configuration Manager para que ejecuten consultas en los Servicios de dominio de Active Directory a fin de localizar recursos del sitio:

  • Extienda el esquema de Active Directory.

  • Cree el contenedor System Management.

  • Establezca permisos de seguridad en el contenedor System Management.

  • Habilitar la publicación de Active Directory para el sitio de Configuration Manager.

Extender el esquema de Active Directory

Configuration Manager admite dos métodos para extender el esquema de Active Directory. El primero es utilizar la utilidad extadsch.exe. El segundo consiste en usar la utilidad LDIFDE para importar información de la extensión de esquema mediante el uso del archivo ConfigMgr_ad_schema.ldf.

Nota

Antes de extender el esquema de Active Directory, pruebe las extensiones de esquema para ver si entran en conflicto con su actual esquema de Active Directory. Para obtener información acerca de cómo probar las extensiones de esquema de Active Directory, consulte Testing for Active Directory Schema Extension Conflicts (Pruebas en busca de conflictos de extensión de esquema de Active Directory) en la documentación de Servicios de dominio de Active Directory.

Extender el esquema de Active Directory mediante ExtADSch.exe

Puede extender el esquema de Active Directory mediante la ejecución del archivo extadsch.exe ubicado en la carpeta SMSSETUP\BIN\X64 en los medios de instalación de Configuration Manager. El archivo extadsch.exe no muestra resultados cuando se ejecuta, pero ofrece comentarios cuando se ejecuta desde una consola de comandos como una línea de comandos. Cuando se ejecuta extadsch.exe, se genera un archivo de registro en la raíz de la unidad del sistema llamado extadsch.log, que indica si la actualización del esquema se completó correctamente o si surgió algún problema durante la extensión del esquema.

System_CAPS_tipSugerencia

Además de generar un archivo de registro, el programa extadsch.exe muestra resultados en la ventana de la consola cuando se ejecuta desde la línea de comandos.

A continuación se indican limitaciones en el uso de extadsch.exe:

  • Extadsch.exe no se admite cuando se ejecuta en equipos basados en Windows 2000. Para extender el esquema de Active Directory desde un equipo con Windows 2000, utilice ConfigMgr_ad_schema.ldf.

  • Para permitir la creación del archivo extadsch.log cuando ejecute extadsch.exe en un equipo con Windows Vista, debe iniciar sesión en el equipo con una cuenta con permisos de administrador local.

Para extender el esquema de Active Directory mediante Extadsch.exe

  1. Cree una copia de seguridad del estado del sistema del controlador de dominio del maestro del esquema.

  2. Asegúrese de que inició sesión en el controlador de dominio del maestro del esquema con una cuenta que pertenezca al grupo de seguridad Administradores de esquema.

    System_CAPS_importantImportante

    Con el fin de extender correctamente el esquema, debe iniciar sesión como miembro del grupo de seguridad Administradores de esquema. La ejecución del archivo extadsch.exe con el comando Ejecutar como para intentar extender el esquema con credenciales alternativas producirá un error.

  3. Ejecute extadsch.exe, ubicado en \SMSSETUP\BIN\X64 en los medios de instalación, para agregar las clases y los atributos nuevos al esquema de Active Directory.

  4. Compruebe que la extensión de esquema se realizó correctamente. Para ello, revise el archivo extadsch.log ubicado en la raíz de la unidad del sistema.

  5. Si el procedimiento de extensión de esquema no se realizó correctamente, restaure el estado del sistema del maestro del esquema anterior desde la copia de seguridad creada en el paso 1.

    Nota

    Para restaurar el estado del sistema en un controlador de dominio de Windows, debe reiniciar el sistema en Modo de restauración de servicios de directorio. Para obtener más información acerca del Modo de restauración de servicios de directorio, consulte Restart the Domain Controller in Directory Services Restore Mode Locally (Reiniciar el controlador de dominio en Modo de restauración de servicios de directorio localmente).

Extender el esquema de Active Directory mediante un archivo LDIF

Puede utilizar la utilidad de línea de comandos LDIFDE para importar objetos de directorio a Servicios de dominio de Active Directory mediante archivos de formato de intercambio de datos LDAP (LDIF).

Para obtener una visibilidad de los cambios realizados en el esquema de Active Directory mayor que la que proporciona la utilidad extadsch.exe, puede usar la utilidad LDIFDE para importar información de extensión de esquema mediante el archivo ConfigMgr_ad_schema.ldf ubicado en la carpeta SMSSETUP\BIN\X64 de los medios de instalación de Configuration Manager.

Nota

El archivo ConfigMgr_ad_schema.ldf no se cambió desde la versión incluida en Configuration Manager 2007.

Para extender el esquema de Active Directory mediante el archivo ConfigMgr_ad_schema.ldf

  1. Cree una copia de seguridad del estado del sistema del controlador de dominio del maestro del esquema.

  2. Abra el archivo ConfigMgr_ad_schema.ldf, ubicado en el directorio SMSSETUP\BIN\X64 de los medios de instalación de Configuration Manager y edite el archivo para definir el dominio raíz de Active Directory que se va a extender. Todas las instancias del texto DC=x en el archivo deben reemplazarse por el nombre completo del dominio que se va a extender.

    Por ejemplo, si el nombre completo del dominio para extender es widgets.microsoft.com, cambie todas las instancias de DC=x en el archivo a DC=widgets, DC=microsoft, DC=com.

  3. Utilice la utilidad de línea de comandos LDIFDE para importar el contenido del archivo ConfigMgr_ad_schema.ldf en Servicios de dominio de Active Directory.

    Por ejemplo, la siguiente línea de comandos importará las extensiones de esquema en Servicios de dominio de Active Directory, activará el registro detallado y creará un archivo de registro durante el proceso de importación: ldifde –i –f ConfigMgr_ad_schema.ldf –v –j <ubicación para almacenar el archivo de registro>

  4. Para comprobar que la extensión del esquema se realizó correctamente, puede revisar el archivo de registro creado por la línea de comandos usada en el paso 3.

  5. Si el procedimiento de extensión de esquema no se realizó correctamente, restaure el estado del sistema del maestro del esquema anterior desde la copia de seguridad creada en el paso 1.

    Nota

    Para restaurar el estado del sistema en un controlador de dominio de Windows, debe reiniciar el sistema en Modo de restauración de servicios de directorio. Para obtener más información acerca del Modo de restauración de servicios de directorio, consulte Restart the Domain Controller in Directory Services Restore Mode Locally (Reiniciar el controlador de dominio en Modo de restauración de servicios de directorio localmente).

Crear el contenedor System Management

Configuration Manager no crea automáticamente el contenedor System Management de Active Directory cuando se extiende el esquema. El contenedor debe crearse una vez por cada dominio que incluya un servidor de sitio primario o servidor de sitio secundario de Configuration Manager que publique información del sitio en Servicios de dominio de Active Directory.

System_CAPS_tipSugerencia

Puede conceder permisos de Control total a la cuenta de equipo de los servidores de sitio en el contenedor System en Servicios de dominio de Active Directory, lo que hace que el servidor de sitio cree automáticamente el contenedor System Management cuando se publica información del sitio por primera vez en Servicios de dominio de Active Directory. No obstante, resulta más seguro crear manualmente el contenedor System Management.

Use el Editor ADSI para crear el contenedor System Management en Servicios de dominio de Active Directory. Para obtener más información acerca de cómo instalar y usar el Editor ADSI, consulte ADSI Edit (adsiedit.msc) (Editor ADSI) en la documentación de Servicios de dominio de Active Directory.

Para crear manualmente el contenedor System Management

  1. Inicie sesión con una cuenta que tenga el permiso Crear todos los objetos secundarios en el contenedor System en Servicios de dominio de Active Directory.

  2. Ejecute el Editor ADSI y conéctese al dominio en que reside el servidor de sitio.

  3. Expanda Dominio <nombre de dominio completo del equipo>, expanda <nombre distintivo>, haga clic con el botón derecho en CN=System, haga clic en Nuevo y, a continuación, haga clic en Objeto.

  4. En el cuadro de diálogo Crear objeto, seleccione Contenedor y, a continuación, haga clic en Siguiente.

  5. En el cuadro Valor, escriba System Management y, a continuación, haga clic en Siguiente.

  6. Haga clic en Finalizar para completar el procedimiento.

Establecer permisos de seguridad en el contenedor System Management

Después de crear el contenedor System Management en Servicios de dominio de Active Directory, debe conceder a la cuenta de equipo del servidor de sitio los permisos necesarios para publicar información del sitio en el contenedor.

System_CAPS_importantImportante

Deben concederse permisos de Control total a la cuenta de equipo del servidor de sitio primario en el contenedor System Management y todos sus objetos secundarios. Si tiene sitios secundarios, deben concederse permisos de Control total a la cuenta de equipo del servidor de sitio secundario en el contenedor System Management y todos sus objetos secundarios.

Puede conceder los permisos necesarios mediante la herramienta administrativa Usuarios y equipos de Active Directory o el Editor de interfaces del servicio de Active Directory (Editor ADSI). Para obtener más información acerca de cómo instalar y usar el Editor ADSI, consulte ADSI Edit (adsiedit.msc) (Editor ADSI).

Nota

Los procedimientos siguientes se proporcionan como ejemplos de configuración de equipos con Windows Server 2008 R2. Si está usando una versión de sistema operativo diferente (como Windows Server 2012 R2), consulte la documentación de ese sistema operativo para obtener información sobre configuraciones similares.

Para aplicar permisos en el contenedor System Management mediante la herramienta administrativa Usuarios y equipos de Active Directory

  1. Haga clic en Inicio, haga clic en Ejecutar y escriba dsa.msc para abrir la herramienta administrativa Usuarios y equipos de Active Directory.

  2. Haga clic en Ver y, a continuación, haga clic en Características avanzadas.

  3. Expanda el contenedor System, haga clic con el botón secundario en System Management y, a continuación, haga clic en Propiedades.

  4. En el cuadro de diálogo Propiedades administración del sistema, haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar para agregar la cuenta de equipo del servidor de sitio. Conceda a la cuenta permisos de Control total.

  5. Haga clic en Opciones avanzadas, seleccione la cuenta de equipo del servidor de sitio y, a continuación, haga clic en Editar.

  6. En la lista Aplicar a, seleccione Este objeto y todos los descendientes.

  7. Haga clic en Aceptar y, a continuación, cierre la herramienta administrativa Usuarios y equipos de Active Directory para completar el procedimiento.

Para aplicar permisos en el contenedor System Management mediante la consola del Editor ADSI

  1. Haga clic en Inicio, haga clic en Ejecutar y escriba adsiedit.msc para iniciar la consola ADSIEdit.

  2. Si es necesario, conéctese al dominio del servidor de sitio.

  3. En el panel de consola, expanda el dominio del servidor de sitio, expanda DC=<nombre distintivo del servidor> y, luego, expanda CN=System. Haga clic con el botón secundario en CN=System Management y, a continuación, haga clic en Propiedades.

  4. En el cuadro de diálogo Propiedades de CN=System Management, haga clic en la pestaña Seguridad y, a continuación, haga clic en Agregar para agregar la cuenta de equipo del servidor de sitio. Conceda a la cuenta permisos de Control total.

  5. Haga clic en Opciones avanzadas, seleccione la cuenta de equipo del servidor de sitio y, a continuación, haga clic en Editar.

  6. En la lista Aplicar en, seleccione Este objeto y todos los descendientes.

  7. Haga clic en Aceptar para cerrar la consola ADSIEdit y completar el procedimiento.

Habilitar la publicación de Active Directory para el sitio de Configuration Manager.

Asimismo, para extender el esquema de Active Directory, al crear el contenedor System Management y establecer permisos para ese contenedor, debe habilitar Configuration Manager para publicar datos del sitio en Servicios de dominio de Active Directory. Para obtener información acerca de cómo publicar datos de sitios, consulte Planeación para la publicación de datos de sitio en Servicios de dominio de Active Directory.

Configurar servidores basados en Windows para los roles de sistema de sitio de Configuration Manager

Antes de poder usar un servidor Windows Server con System Center 2012 Configuration Manager, debe asegurarse de que el equipo esté configurado para admitir operaciones de Configuration Manager. Utilice la información de las secciones siguientes para configurar los servidores de Windows para Configuration Manager. Para más información sobre los requisitos previos de los roles del sistema de sitio, consulte la sección Requisitos previos para los roles de sistema de sitio en el tema Opciones de configuración admitidas en Configuration Manager.

Nota

Los procedimientos descritos en las secciones siguientes se proporcionan como ejemplos de configuración de equipos con Windows Server 2008 o Windows Server 2008 R2. Si está usando una versión de sistema operativo diferente (como Windows Server 2012 R2), consulte la documentación de ese sistema operativo para obtener información sobre configuraciones similares.

Compresión diferencial remota

Los servidores de sitio y los puntos de distribución requieren compresión diferencial remota (RDC) para generar firmas de paquete y realizar la comparación de firmas. Si la RDC no está habilitada, debe habilitarla en estos servidores de sistema de sitio.

Utilice el procedimiento siguiente como ejemplo de cómo habilitar la compresión diferencial remota en equipos con Windows Server 2008 y Windows Server 2008 R2. Si tiene otra versión de sistema operativo, consulte la documentación de su sistema operativo para obtener información sobre el procedimiento equivalente.

Para configurar la compresión diferencial remota para Windows Server 2008 o Windows Server 2008 R2

  1. En el equipo con Windows Server 2008 o Windows Server 2008 R2, navegue hasta Inicio/Todos los programas/Herramientas administrativas/Administrador del servidor para iniciar el Administrador del servidor. En el Administrador del servidor, seleccione el nodo Características y haga clic en Agregar características para iniciar el Asistente para agregar características.

  2. En la página Seleccionar características, seleccione Compresión diferencial remota y, a continuación, haga clic en Siguiente.

  3. Complete el asistente y cierre el Administrador del servidor para completar la configuración.

Internet Information Services (IIS)

Varios roles de sistema de sitio requieren Internet Information Services (IIS). Si IIS no está habilitado, debe habilitarlo en servidores de sistema de sitio antes de instalar un rol de sistema de sitio que requiere IIS. Además del servidor de sistema de sitio, los roles de sistema de sitio siguientes requieren IIS:

  • Punto de servicio web del catálogo de aplicaciones

  • Punto de sitios web del catálogo de aplicaciones

  • Punto de distribución

  • Punto de inscripción

  • Punto de proxy de inscripción

  • Punto de estado de reserva

  • Punto de administración

  • Punto de actualización de software

La versión mínima de IIS que Configuration Manager requiere es la versión predeterminada suministrada con el sistema operativo del servidor que ejecuta el sistema de sitio.

Por ejemplo, cuando se habilita IIS en un equipo Windows Server 2008 que se va a utilizar como un punto de distribución, se instala IIS 7.0. También puede instalar IIS 7.5. Si habilita IIS en un equipo Windows 7 para un punto de distribución, IIS 7.5 se instala automáticamente. No puede utilizar la versión 7.0 de IIS para puntos de distribución que ejecutan Windows 7.

Utilice el procedimiento siguiente como ejemplo de cómo instalar IIS en un equipo Windows Server 2008 o Windows Server 2008 R2. Si tiene otra versión de sistema operativo, consulte la documentación de su sistema operativo para obtener información sobre el procedimiento equivalente.

Para instalar Internet Information Services (IIS) en equipos Windows Server 2008 y Windows Server 2008 R2

  1. En el equipo con Windows Server 2008 o Windows Server 2008 R2, navegue hasta Inicio/Todos los programas/Herramientas administrativas/Administrador del servidor para iniciar el Administrador del servidor. En el Administrador del servidor, seleccione el nodo Características y haga clic en Agregar características para iniciar el Asistente para agregar características.

  2. En la página Seleccionar características del Asistente para agregar características, instale las características adicionales que se necesitan para admitir los roles de sistema de sitio que se instalan en este equipo. Por ejemplo, para agregar Extensiones de servidor BITS:

    - Para Windows Server 2008, active la casilla **Extensiones de servidor BITS**. Para Windows Server 2008 R2, active la casilla **Servicio de transferencia inteligente en segundo plano (BITS)**. Cuando se solicite, haga clic en **Agregar servicios de rol requeridos** para agregar los componentes dependientes, incluido el rol Servidor web (IIS) y, a continuación, haga clic en **Siguiente**.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Gg696049.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Sugerencia</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Si está configurando un equipo que será un servidor de sitio o un punto de distribución, asegúrese de que se activa la casilla <strong>Compresión diferencial remota</strong>.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  3. En la página Servidor web (IIS) del Asistente para agregar características, haga clic en Siguiente.

  4. En la página Seleccionar servicios de rol del Asistente para agregar características, instale los servicios de rol adicionales que se necesitan para admitir los roles de sistema de sitio que se instalan en este equipo. Por ejemplo, para agregar ASP.NET y Autenticación de Windows:

    - En **Desarrollo de aplicaciones**, active la casilla **ASP.NET** y, cuando se solicite, haga clic en Agregar servicios de rol requeridos para agregar los componentes dependientes.

- En **Seguridad**, active la casilla **Autenticación de Windows**.

  5. En el nodo Herramientas de administración, en Compatibilidad con la administración de IIS 6, asegúrese de activar las casillas Compatibilidad con la metabase de IIS 6 y Compatibilidad con WMI de IIS 6 y, a continuación, haga clic en Siguiente.

  6. En la página Confirmación, haga clic en Instalar, complete el asistente y cierre el Administrador del servidor para completar la configuración.

Filtrado de solicitudes para IIS

De forma predeterminada, IIS impide que se acceda a varias extensiones de nombre de archivo y ubicaciones de carpetas mediante la comunicación HTTP o HTTPS. Si sus archivos de origen de paquete contienen extensiones bloqueadas en IIS, debe configurar la sección requestFiltering en el archivo applicationHost.config en los equipos de punto de distribución.

Configuration Manager usa las siguientes extensiones de nombre de archivo para paquetes y aplicaciones. Permita las siguientes extensiones de nombre de archivo en puntos de distribución:

  • .PCK

  • .PKG

  • .STA

  • .TAR

Por ejemplo, puede tener archivos de origen de una implementación de software que incluyen una carpeta llamada bin, o que contengan un archivo con la extensión de nombre de archivo .mdb. De forma predeterminada, el filtrado de solicitudes de IIS bloquea el acceso a estos elementos. Cuando se utiliza la configuración predeterminada de IIS en un punto de distribución, los clientes que usan BITS no descargan esta implementación de software del punto de distribución. En este escenario, los clientes indican que están esperando contenido. Para permitir que los clientes descarguen el contenido mediante BITS, en los puntos de distribución correspondientes, edite la sección requestFiltering del archivo applicationHost.config para permitir el acceso a los archivos y las carpetas de la implementación de software.

System_CAPS_importantImportante

Las modificaciones realizadas en la sección requestFiltering se aplican a todos los sitios web en ese servidor. Esta configuración aumenta la superficie de ataque del equipo. Como medida de seguridad, se recomienda ejecutar Configuration Manager en un servidor web dedicado. Si debe ejecutar otras aplicaciones en el servidor web, utilice un sitio web personalizado para Configuration Manager. Para más información sobre los sitios web personalizados, consulte la sección Planeación de sitios web personalizados con Configuration Manager en el tema Planeación de sistemas de sitio en Configuration Manager.

Utilice el procedimiento siguiente como ejemplo de cómo modificar requestFiltering en un equipo Windows Server 2008 o Windows Server 2008 R2. Si tiene otra versión de sistema operativo, consulte la documentación de su sistema operativo para obtener información sobre el procedimiento equivalente.

Para configurar el filtrado de solicitudes para IIS en puntos de distribución

  1. En el equipo de punto de distribución, abra el archivo applicationHost.config que se encuentra en el directorio %Windir%\System32\Inetsrv\Config\.

  2. Busque la sección <requestFiltering>.

  3. Determine las extensiones de nombre de archivo y los nombres de carpeta que tendrá en los paquetes del punto de distribución. Para cada nombre de extensión y carpeta que necesite, siga estos pasos:

    - Si aparece como un elemento **fileExtension**, configure el valor de **allowed** como **true**.

  Por ejemplo, si el contenido incluye un archivo con una extensión .mdb, cambie la línea **\<add fileExtension=".mdb" allowed="false" /\>** a **\<add fileExtension=".mdb" allowed="true" /\>**.

  Permita solo las extensiones de nombre de archivo necesarias para su contenido.

- Si aparece como un elemento **\<hiddenSegments\>**, elimine la entrada que coincide con la extensión de nombre de archivo o nombre de carpeta del archivo.

  Por ejemplo, si el contenido incluye una carpeta con la etiqueta **bin**, quite la línea \<**add segment=”bin” /\>** del archivo.

  4. Guarde y cierre el archivo applicationHost.config para completar la configuración.