Instalación de un servidor de puerta de enlaceInstall a gateway server

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

Los servidores de puerta de enlace se usan para habilitar la administración con agente de equipos que están fuera del límite de confianza Kerberos de grupos de administración, como en un dominio que no es confiable.Gateway servers are used to enable agent-management of computers that are outside the Kerberos trust boundary of management groups, such as in a domain that is not trusted. El servidor de puerta de enlace actúa como punto de concentración de la comunicación entre el agente y el servidor de administración.The gateway server acts as a concentration point for agent-to-management server communication. Los agentes de dominios que no son confiables se comunican con el servidor de puerta de enlace y este se comunica con uno o más servidores de administración.Agents in domains that are not trusted communicate with the gateway server and the gateway server communicates with one or more management servers. Como la comunicación entre el servidor de puerta de enlace y los servidores de administración solo se produce en un puerto (TCP 5723), éste es el único puerto que debe estar abierto en los firewalls que intervienen para permitir la administración de varios equipos administrados con agente.Because communication between the gateway server and the management servers occurs over only one port (TCP 5723), that port is the only one that has to be opened on any intervening firewalls to enable management of multiple agent-managed computers. Se pueden colocar varios servidores de puerta de enlace en un solo dominio de forma que los agentes puedan conmutar por error de uno a otro si pierden la comunicación con uno de los servidores de puerta de enlace.Multiple gateway servers can be placed in a single domain so that the agents can failover from one to the other if they lose communication with one of the gateway servers. De forma parecida, un único servidor de puerta de enlace se puede configurar para conmutar por error entre servidores de administración de forma que no haya un solo punto de error en la cadena de comunicación.Similarly, a single gateway server can be configured to failover between management servers so that no single point of failure exists in the communication chain.

Como el servidor de puerta de enlace reside en un dominio que no es de confianza para el dominio en el que se encuentra el grupo de administración, se deben usar certificados para establecer la identidad, el agente, el servidor de puerto de enlace y el servidor de administración de cada equipo.Because the gateway server resides in a domain that is not trusted by the domain that the management group is in, certificates must be used to establish each computer's identity, agent, gateway server, and management server. Esta disposición satisface el requisito de autenticación mutua de Operations Manager.This arrangement satisfies the requirement of Operations Manager for mutual authentication.

Implementación de un servidor de puerta de enlaceHow to deploy a gateway server

  1. Solicitar certificados para cualquier equipo en la cadena de agente, servidor de puerta de enlace y servidor de administración.Request certificates for any computer in the agent, gateway server, management server chain.

  2. Importar los certificados a los equipos de destino con la herramienta MOMCertImport.exe.Import those certificates into the target computers by using the MOMCertImport.exe tool.

  3. Distribuir la herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe al servidor de administración.Distribute the Microsoft.EnterpriseManagement.GatewayApprovalTool.exe to the management server.

  4. Ejecutar la herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe para iniciar la comunicación entre el servidor de administración y la puerta de enlace.Run the Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tool to initiate communication between the management server and the gateway

  5. Instale el servidor de puerta de enlace.Install the gateway server.

Preparación para la instalaciónPreparing for installation

Antes de empezarBefore you start

  1. La implementación de servidores de puerta de enlace requiere certificados.Deployment of gateway servers requires certificates. Por tanto, hay que tener acceso a una entidad de certificación (CA).You need to have access to a certification authority (CA). Puede tratarse de una entidad de certificación pública, como VeriSign, o puede usar los Servicios de certificados de Microsoft.This can be a public CA such as VeriSign, or you can use Microsoft Certificate Services. Este procedimiento le servirá para solicitar, obtener e importar un certificado de Servicios de certificados de Microsoft.This procedure provides the steps to request, obtain, and import a certificate from Microsoft Certificate Services.

  2. Debe haber una resolución de nombres confiable entre los equipos administrados con agente y el servidor de puerta de enlace y, del mismo modo, entre este último y los servidores de administración.Reliable name resolution must exist between the agent-managed computers and the gateway server and between the gateway server and the management servers. Esta resolución de nombres se suele realizar a través de DNS,This name resolution is typically done through DNS. pero, si esto no es posible, puede que sea necesario crear entradas manualmente en el archivo de hosts de cada equipo.However, if it is not possible to get proper name resolution through DNS, it might be necessary to manually create entries in each computer's hosts file.

    Nota

    El archivo de hosts se encuentra en el directorio \Windows\system32\drivers\ y contiene instrucciones para configurarlo.The hosts file is located in the \Windows\system32\drivers\ directory, and it contains directions for configuration.

Obtención de certificados de equipo de Servicios de certificados de MicrosoftObtaining computer certificates from Microsoft Certificate Services

Para más información, vea Servicios de certificados de Active Directory.For more information, see Active Directory Certificate Services

Distribución de Microsoft.EnterpriseManagement.GatewayApprovalToolDistributing the Microsoft.EnterpriseManagement.GatewayApprovalTool

La herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe solo es necesaria en el servidor de administración y únicamente hay que ejecutarla una vez.The Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tool is needed only on the management server, and it only has to be run once.

Para copiar Microsoft.EnterpriseManagement.GatewayApprovalTool.exe en los servidores de administraciónTo copy Microsoft.EnterpriseManagement.GatewayApprovalTool.exe to management servers
  1. En un servidor de administración de destino, abra el directorio del medio de instalación de Operations Manager \SupportTools\ (amd64 o x86).From a target management server, open the Operations Manager installation media \SupportTools\ (amd64 or x86) directory.

  2. Copie Microsoft.EnterpriseManagement.GatewayApprovalTool.exe desde el medio de instalación en el directorio de instalación de Operations Manager.Copy the Microsoft.EnterpriseManagement.GatewayApprovalTool.exe from the installation media to the Operations Manager installation directory.

Registro de la puerta de enlace con el grupo de administraciónRegistering the gateway with the management group

Con este procedimiento, el servidor de puerta de enlace se registra con el grupo de administración, de modo que, cuando se haya completado, el servidor de puerta de enlace figurará en la vista Inventario detectado del grupo de administración.This procedure registers the gateway server with the management group, and when this is completed, the gateway server appears in the Discovered Inventory view of the management group.

Para ejecutar la herramienta de aprobación de la puerta de enlaceTo run the gateway approval tool
  1. Inicie sesión con la cuenta de Administrador de Operations Manager en el servidor de administración que se usó como destino durante la instalación del servidor de puerta de enlace.On the management server that was targeted during the gateway server installation, log on with the Operations Manager Administrator account.

  2. Abra un símbolo del sistema y vaya al directorio de instalación de Operations Manager o al directorio que haya copiado en Microsoft.EnterpriseManagement.gatewayApprovalTool.exe.Open a command prompt, and navigate to the Operations Manager installation directory or to the directory that you copied the Microsoft.EnterpriseManagement.gatewayApprovalTool.exe to.

  3. En el símbolo del sistema, ejecute Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=CreateAt the command prompt, run Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create

    Nota

    Para impedir que el servidor de puerta de enlace inicie la comunicación con un servidor de administración, incluya el parámetro /ManagementServerInitiatesConnection en la línea de comandos.To prevent the gateway server from initiating communication with a management server, include the /ManagementServerInitiatesConnection parameter on the command line.

  4. Si la aprobación se realiza correctamente, verá The approval of server <GatewayFQDN> completed successfully.If the approval is successful, you will see The approval of server <GatewayFQDN> completed successfully.

  5. Si necesita quitar el servidor de puerta de enlace del grupo de administración, ejecute el mismo comando, pero sustituya la marca /Action=Delete por la marca /Action=Create.If you need to remove the gateway server from the management group, run the same command, but substitute the /Action=Delete flag for the /Action=Create flag.

  6. Abra la Consola del operador en la vista Supervisión.Open the Operations console to the Monitoring view. Seleccione la vista Inventario detectado para comprobar si el servidor de puerta de enlace está presente.Select the Discovered Inventory view to see that the gateway server is present.

Instalación del servidor de puerta de enlaceInstalling gateway server

Con este procedimiento se instala el servidor de puerta de enlace.This procedure installs the gateway server. El servidor que vaya a ser el servidor de puerta de enlace debe ser miembro del mismo dominio que los equipos administrados con agente que vayan a proporcionarle información.The server that is to be the gateway server should be a member of the same domain as the agent-managed computers that will be reporting to it.

Sugerencia

Si la directiva de seguridad local "Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador" está habilitada, la instalación generará un error cuando se inicie Windows Installer (por ejemplo, al hacer doble clic en MOMGateway.msi para instalar un servidor de puerta de enlace).An installation will fail when starting Windows Installer (for example, installing a gateway server by double-clicking MOMGateway.msi) if the local security policy User Account Control: Run all administrators in Admin Approval Mode is enabled.

Para ejecutar un Windows Installer de servidor de puerta de enlace de Operations Manager desde una ventana de símbolo del sistemaTo run Operations Manager Gateway Windows Installer from a Command Prompt window
  1. En el escritorio de Windows, haga clic en Inicio, seleccione Programas y Accesorios, haga clic con el botón derecho en Símbolo del sistema y, luego, haga clic en Ejecutar como administrador.On the Windows desktop, click Start, point to Programs, point to Accessories, right-click Command Prompt, and then click Run as administrator.

  2. En la ventana Administrador: Símbolo del sistema, vaya a la unidad local donde está el medio de instalación de Operations Manager.In the Administrator: Command Prompt window, navigate to the local drive that hosts the Operations Manager installation media.

  3. Vaya al directorio donde está el archivo .msi, escriba el nombre del archivo .msi y, seguidamente, presione ENTRAR.Navigate to the directory where the .msi file is located, type the name of the .msi file, and then press ENTER.

Para instalar el servidor de puerta de enlaceTo install the gateway server
  1. Inicie sesión en el servidor de puerta de enlace con derechos de administrador.Log on to the gateway server with Administrator rights.

  2. En el medio de instalación de Operations Manager, inicie Setup.exe.From the Operations Manager installation media, start Setup.exe.

  3. En el área Instalar, haga clic en el vínculo Servidor de administración de puerta de enlace.In the Install area, click the Gateway management server link.

  4. En la página principal, haga clic en Siguiente.On the Welcome screen, click Next.

  5. En la página Carpeta de destino, acepte la ubicación predeterminada o haga clic en Cambiar para seleccionar otro directorio de instalación y, luego, haga clic en Siguiente.On the Destination Folder page, accept the default, or click Change to select a different installation directory, and then click Next.

  6. En la página Configuración del grupo de administración, escriba el nombre del grupo de administración de destino en el campo Nombre del grupo de administración y el nombre del servidor de administración de destino en el campo Servidor de administración, compruebe que el campo Puerto de servidor de administración refleje 5723 y, después, haga clic en Siguiente.On the Management Group Configuration page, type the target management group name in the Management Group Name field, type the target management server name in the Management Server field, check that the Management Server Port field is 5723, and then click Next. Este puerto se puede cambiar si ha habilitado un puerto diferente para la comunicación con el servidor de administración en la Consola del operador.This port can be changed if you have enabled a different port for management server communication in the Operations console.

  7. En la página Cuenta de acción de la puerta de enlace, seleccione la opción de cuenta Sistema local, a menos que haya creado expresamente una cuenta de acción de puerta de enlace local o basada en un dominio.On the Gateway Action Account page, select the Local System account option, unless you have specifically created a domain-based or local computer-based gateway Action account. Haga clic en Siguiente.Click Next.

  8. En la página Microsoft Update, indique si quiere usar Microsoft Update y, después, haga clic en Siguiente.On the Microsoft Update page, optionally indicate if you want to use Microsoft Update, and then click Next.

  9. En la página Preparado para instalar, haga clic en Instalar.On the Ready to Install page, click Install.

  10. En la página Completando, haga clic en Finalizar.On the Completing page, click Finish.

Para instalar el servidor de puerta de enlace desde el símbolo del sistemaTo Install the gateway server from the Command Prompt
  1. Inicie sesión en el servidor de puerta de enlace con derechos de administrador.Log on to the gateway server with Administrator rights.

  2. Abra una ventana del símbolo del sistema mediante la opción Ejecutar como administrador.Open the Command Prompt window by using the Run as Administrator option.

  3. Ejecute el siguiente comando, donde path\Directory es la ubicación del archivo Momgateway.msi y path\Logs, la ubicación donde quiere guardar el archivo de registro.Run the following command, where path\Directory is the location of the Momgateway.msi, and path\Logs is the location where you want to save the log file. Encontrará Momgateway.msi en el medio de instalación de Operations Manager.Momgateway.msi can be found in the Operations Manager installation media.

    %WinDir%\System32\msiexec.exe /i path\Directory\MOMGateway.msi /qn /l*v C:\Logs\GatewayInstall.log
    ADDLOCAL=MOMGateway
    MANAGEMENT_GROUP="<ManagementGroupName>"
    IS_ROOT_HEALTH_SERVER=0
    ROOT_MANAGEMENT_SERVER_AD=<ParentMSFQDN>
    ROOT_MANAGEMENT_SERVER_DNS=<ParentMSFQDN>
    ACTIONS_USE_COMPUTER_ACCOUNT=0
    ACTIONSDOMAIN=<DomainName>
    ACTIONSUSER=<ActionAccountName>
    ACTIONSPASSWORD=<Password>
    ROOT_MANAGEMENT_SERVER_PORT=5723
    [INSTALLDIR=<path\Directory>]
    

Importación de certificados con la herramienta MOMCertImport.exeImporting certificates with the MOMCertImport.exe tool

Haga lo siguiente en cada servidor de puerta de enlace, servidor de administración y equipo que se vaya a administrar con agente y que no esté en un dominio de confianza.Perform this operation on each gateway server, management server, and computer that will be agent-managed and that is in a domain that is not trusted.

Para importar certificados de equipo con MOMCertImport.exeTo import computer certificates by using MOMCertImport.exe
  1. Copie la herramienta de MOMCertImport.exe del directorio del medio de instalación \SupportTools\ (amd64 o x86) en la raíz del servidor de destino o en el directorio de instalación de Operations Manager, si el servidor de destino es un servidor de administración.Copy the MOMCertImport.exe tool from the installation media \SupportTools\ (amd64 or x86) directory to the root of the target server or to the Operations Manager installation directory if the target server is a management server.

  2. Abra una ventana del símbolo del sistema como administrador y cambie el directorio por el directorio donde está MOMCertImport.exe. Luego, ejecute momcertimport.exe /SubjectName <certificate subject name>.As an administrator, open a Command Prompt window and change the directory to the directory where MOMCertImport.exe is, and then run momcertimport.exe /SubjectName <certificate subject name>. Esto hace que Operations Manager pueda hacer uso del certificado.This makes the certificate usable by Operations Manager.

Configuración de servidores de puerta de enlace para la conmutación por error entre servidores de administraciónConfiguring gateway servers for failover between management servers

Aunque los servidores de puerta de enlace tienen la capacidad de comunicarse con cualquier servidor de administración del grupo de administración, esto se debe configurar.Although gateway servers can communicate with any management server in the management group, this must be configured. En este escenario, los servidores de administración secundarios se identifican como destinos para la conmutación por error del servidor de puerta de enlace.In this scenario, the secondary management servers are identified as targets for gateway server failover.

Use el comando Set-SCOMParentManagementServer en el shell de Operations Manager tal y como se muestra en el siguiente ejemplo para configurar un servidor de puerta de enlace que conmute por error a varios servidores de administración.Use the Set-SCOMParentManagementServer command in the Operations Manager shell, as shown in the following example, to configure a gateway server to failover to multiple management servers. Los comandos se pueden ejecutar desde cualquier shell de comandos del grupo de administración.The commands can be run from any Command Shell in the management group.

Para configurar la conmutación por error del servidor de puerta de enlace a varios servidores de administraciónTo configure gateway server failover between management servers
  1. Inicie sesión en el servidor de administración con una cuenta que sea miembro del rol Administradores del grupo de administración.Log on to the management server with an account that is a member of the Administrators role for the management group.

  2. En el escritorio de Windows, haga clic en Inicio, seleccione Programas y System Center Operations Manager y, después, haga clic en Shell de comandos.On the Windows desktop, click Start, point to Programs, point to System Center Operations Manager, and then click Command Shell.

  3. En el shell de comandos, ejecute el comando siguiente:In Command Shell, run the following commands:

    $GatewayServer = Get-SCOMGatewayManagementServer -Name "ComputerName.Contoso.com" $FailoverServer = Get-SCOMManagementServer -Name "ManagementServer.Contoso.com","ManagementServer2.Contoso.com" Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer$GatewayServer = Get-SCOMGatewayManagementServer -Name "ComputerName.Contoso.com" $FailoverServer = Get-SCOMManagementServer -Name "ManagementServer.Contoso.com","ManagementServer2.Contoso.com" Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer

Para encadenar varios servidores de puerta de enlaceTo chain multiple gateway servers

A veces es necesario encadenar varias puertas de enlace para poder realizar tareas de supervisión en diversos límites que no son de confianza.It is sometimes necessary to chain multiple gateways together in order to monitor across multiple untrusted boundaries. En este tema se describe cómo encadenar varias puertas de enlace.This topic describes how to chain multiple gateways together.

Nota

Las puertas de enlace se deben instalar una a una y hay que comprobar que cada una de ellas esté correctamente configurada antes de proceder a agregar otra a la cadena.You should install one gateway at a time and verify that each newly installed gateway is configured correctly before adding another gateway in the chain.

  1. En el servidor de administración que se especificó como destino al instalar el servidor de puerta de enlace, ejecute la herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe para iniciar la comunicación entre el servidor de administración y la puerta de enlace.On the management server that was targeted during the gateway server installation, run the Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tool to initiate communication between the management server and the gateway.
  2. Abra un símbolo del sistema y vaya al directorio de instalación de Operations Manager. Tras esto, ejecute lo siguiente: Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=CreateOpen a command prompt, and navigate to the Operations Manager installation directory or, and then run the following: Microsoft.EnterpriseManagement.gatewayApprovalTool.exe /ManagementServerName=<managementserverFQDN> /GatewayName=<GatewayFQDN> /Action=Create
  3. Instale el servidor de puerta de enlace en un servidor nuevo.Install the gateway server on a new server.
  4. Configure los certificados entre puertas de enlace de la misma manera en que lo haría para configurar certificados entre una puerta de enlace y un servidor de administración.Configure the certificates between gateways in the same way that you would configure certificates between a gateway and a management server. El Servicio de mantenimiento solo puede cargar y usar un único certificado.The Health Service can only load and use a single certificate. De este modo, los elementos primario y secundario de la puerta de enlace en la cadena usarán el mismo certificado.Therefore, the same certificate is used by the parent and child of the gateway in the chain.

Pasos siguientesNext steps