Instalación de un servidor de puerta de enlace

Importante

Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.

Normalmente, los servidores de puerta de enlace se usan para habilitar la supervisión de equipos cliente que están fuera del límite de confianza de Kerberos de los grupos de administración. Sin embargo, también se pueden usar dentro del mismo dominio si es necesario dividir el entorno debido a la segmentación de red o para que los agentes "lejos" se conecten al grupo de administración.

Los agentes se comunican directamente con el servidor de puerta de enlace y el servidor de puerta de enlace se comunica con uno o varios servidores de administración. Se pueden colocar varios servidores de puerta de enlace en un solo dominio para que los agentes puedan conmutar por error de uno a otro si pierden la comunicación con su puerta de enlace principal. De forma similar, se puede configurar un único servidor de puerta de enlace para conmutar por error entre servidores de administración para que no exista ningún punto de error en la cadena de comunicación. El servidor de puerta de enlace actúa como proxy para la comunicación del servidor de administración a agente, lo que permite que solo se abra un puerto entre redes en lugar de muchos. Los certificados se deben usar para establecer la identidad de cada equipo cuando están fuera del límite de confianza de Kerberos. Sin certificados, los sistemas pueden conectarse, pero rechazar la comunicación debido a que no se puede autenticar la conexión.

Antes de continuar, asegúrese de que el servidor cumple los requisitos mínimos del sistema para System Center - Operations Manager. Para obtener más información, vea Requisitos del sistema para System Center Operations Manager.

Nota

Si las directivas de seguridad restringen TLS 1.0 y 1.1, se producirá un error al instalar un nuevo rol de servidor de puerta de enlace de Operations Manager 2016 porque el medio de instalación no incluye las actualizaciones para admitir TLS 1.2. La única manera de poder instalar este rol consiste en habilitar TLS 1.0 en el sistema, aplicar el Paquete acumulativo de actualizaciones 4 y, después, habilitar TLS 1.2. Esta limitación no se aplica a la versión 1801 de Operations Manager.

Requisitos previos

Hay tres aspectos principales que debemos tener listos y en vigor antes de continuar con la instalación del rol de puerta de enlace en un escenario estándar:

1. Los certificados deben generarse para la puerta de enlace y los servidores de administración e instalarse en los almacenes de certificados.
   • Si la puerta de enlace y los servidores cliente se usan en un escenario de grupo de trabajo, los clientes también necesitan certificados.
2. El servidor de puerta de enlace previsto debe ser "Aprobado" para ser una puerta de enlace dentro del grupo de administración antes de la instalación.
3. El puerto 5723 debe abrirse entre la puerta de enlace y el servidor de administración tal y como se define en la guía aquí: Configuración de un firewall para Operations Manager

Certificados y resolución de nombres

1. La implementación de servidores de puerta de enlace en dominios sin una confianza transitiva bidireccional o en un grupo de trabajo requiere el uso de certificados para la autenticación. Los servidores de administración de conmutación por error y principal necesitan uno además de la puerta de enlace que se conecta a ellos. Estos certificados pueden proceder de una ENTIDAD de certificación de Servicios de certificados de Microsoft o de una entidad de certificación de terceros, si se configuran correctamente para Operations Manager. Si necesita ayuda para crear estos certificados, use la guía aquí: Obtención de un certificado para su uso con servidores de Windows y System Center Operations Manager

   Nota

   • Los servidores de puerta de enlace que están en el mismo dominio o en un límite de confianza compartido que el grupo de administración no requieren certificados.
   • Si la puerta de enlace y los agentes están en un grupo de trabajo, necesitaremos certificados para cada equipo cliente, puerta de enlace y servidor de administración que se supervisará, ya que no hay ningún dominio dentro de un grupo de trabajo para facilitar la autenticación de sistemas.

2. La resolución de nombres confiable debe existir entre los equipos administrados por el agente y el servidor de puerta de enlace, y entre el servidor de puerta de enlace y el servidor de administración. Esta resolución de nombres se suele realizar a través de DNS, Sin embargo, si no es posible obtener la resolución de nombres adecuada a través de DNS, es posible que sea necesario crear manualmente entradas en el archivo de hosts de cada equipo.

   Importante

   Las resoluciones de nombres reenviados e inversos se comprueban antes de que la autenticación pase entre servidores. Si recibimos un nombre de host o un FQDN diferentes al comprobar la dirección IP, se producirá un error en la autenticación.

   Sugerencia

   El archivo de hosts se encuentra en el %SystemRoot%\system32\drivers\etc directorio y contiene las instrucciones para la configuración. Debe editarse en un Bloc de notas u otra aplicación que se ejecute como administrador.

Registro de la puerta de enlace con el grupo de administración

Para evitar problemas posteriores, es importante registrar y aprobar la máquina de puerta de enlace prevista como puerta de enlace antes de la instalación; de lo contrario, corremos el riesgo de que la puerta de enlace se recoja como agente.

Estos pasos se deben realizar desde un servidor de administración, preferiblemente el servidor principal o "RMSE".

1. Hay un archivo ejecutable incluido con los medios de instalación de Operations Manager denominados "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", que se pueden encontrar en el medio de instalación en ..\SupportTools\amd64\.

2. Una vez ubicado, copie este archivo ejecutable y el archivo de configuración con el mismo nombre en la ruta de instalación en: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Abra un símbolo del sistema como administrador y vaya al directorio de instalación de Operations Manager. (ex. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Use el siguiente comando para registrar la puerta de enlace prevista como puerta de enlace para asegurarse de reemplazar los nombres de servidor por los suyos propios:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Nota

   Si desea impedir que el servidor de puerta de enlace inicie la comunicación con un servidor de administración, incluya el parámetro /ManagementServerInitiatesConnection=True como se usa en el siguiente comando. De lo contrario, la comunicación predeterminada se iniciará desde la propia puerta de enlace. Esto resulta útil si desea evitar cualquier acceso entrante al dominio principal desde la red donde reside la puerta de enlace.

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Si la aprobación se realiza correctamente, se devuelve el mensaje The approval of server <GatewayFQDN> completed successfully. .

6. Si necesita quitar el servidor de puerta de enlace del grupo de administración, ejecute el mismo comando, pero sustituya /Action=Create la /Action=Delete marca .

7. Abra la Consola del operador en la vista Supervisión. Seleccione la vista Inventario detectado para comprobar si el servidor de puerta de enlace está presente. También debe ser visible en Administración > Administración de dispositivos > Servidores de administración.

Proceso de instalación

Una vez registrado el servidor de puerta de enlace previsto con el grupo de administración, es el momento de instalar el rol en la nueva puerta de enlace.

Nota

Se producirá un error en una instalación al iniciar Windows Installer (por ejemplo, al instalar un servidor de puerta de enlace haciendo doble clic en MOMGateway.msi) si la directiva de seguridad local "Control de cuentas de usuario: Ejecutar todos los administradores en modo de aprobación Administración" está habilitada.

Sugerencia

Si experimenta problemas durante la instalación, los registros se encuentran aquí: %LocalAppData%\SCOM\Logs

Instalación mediante la GUI

Siga estos pasos para instalar el servidor de puerta de enlace:

1. Inicie sesión en el servidor de puerta de enlace con derechos de administrador.
2. En el medio de instalación de Operations Manager, inicie Setup.exe.
3. En el área Instalar , seleccione el vínculo Servidor de administración de puerta de enlace (no el vínculo "Instalar" grande, hacia la parte inferior de la ventana).
4. En la pantalla de bienvenida, seleccione Siguiente.
5. En la página Carpeta de destino , acepte el valor predeterminado o seleccione Cambiar para seleccionar otro directorio de instalación y seleccione Siguiente.
6. En la página Configuración del grupo de administración, escriba el nombre del grupo de administración de destino en el campo Nombre del grupo de administración, escriba el nombre del servidor de administración de destino en el campo Servidor de administración, compruebe que el campo Puerto del servidor de administración es 5723 y seleccione Siguiente.
7. En la página Cuenta de acción de puerta de enlace, seleccione la opción Cuenta de sistema local , a menos que use una cuenta de acción de puerta de enlace basada en dominio o local. Seleccione Next (Siguiente).
8. En la página Microsoft Update , indique opcionalmente si desea usar Microsoft Update y seleccione Siguiente. (Normalmente, esta selección debe ser No).
9. En la página Preparado para instalar, seleccione Instalar.
10. En la página Finalización , seleccione Finalizar.

Instalación mediante el símbolo del sistema

Siga estos pasos para instalar el servidor de puerta de enlace desde el símbolo del sistema:

1. Inicie sesión en el servidor de puerta de enlace con derechos de administrador.
2. Abra una ventana del símbolo del sistema mediante la opción Ejecutar como administrador .
3. Ejecute el siguiente comando, donde path\to\Installer es la ruta de acceso del medio de instalación. La MOMGateway.msi se puede encontrar en los medios de instalación de Operations Manager en ..\gateway\amd64\.

Sugerencia

Los caracteres ^ permiten la entrada de varias líneas en la ventana de la consola y la edición más sencilla, si esto no funciona en su entorno, quite los caracteres ^ y edite el comando para que esté en una línea.

Si usa LocalSystem como cuenta de acción:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Si usa un usuario de dominio como cuenta de acción:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Importante

La contraseña de la cuenta de acción no puede contener caracteres "no válidos" en el símbolo del sistema, como: & < > ( ) @ ^ | ". Si lo hace, se producirá un error en la instalación, ya que no puede analizar la cadena, cambiar la contraseña para que no contenga estos caracteres y, a continuación, ajustarla entre comillas dobles dentro del propio comando.

Importación de certificados con la herramienta de MOMCertImport.exe

Realice esta operación en cada puerta de enlace y servidor de administración, junto con los equipos cliente que se van a administrar en un grupo de trabajo.

1. Asegúrese de que los certificados están instalados antes de continuar
2. Busque el archivo MOMCertImport.exe ubicado en el medio de instalación en . ..\SupportTools\amd64\
3. Copie este archivo en el directorio raíz del servidor de destino o en el directorio de instalación de Operations Manager.
   • (Por ejemplo, %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Abra un símbolo del sistema como administrador y cambie el directorio al directorio donde está MOMCertImport.exe.
   • Por ejemplo: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. A continuación, ejecute el comando MOMCertImport.exe /SubjectName subjectNameFQDN, donde "subjectNameFQDN" es el sujeto definido en el certificado.
   • También puede ejecutar MOMCertImport.exe sin ningún argumento para permitirle elegir un certificado en una ventana emergente que muestre los certificados en el almacén personal del equipo local.
6. Si se ejecuta correctamente, se reinicia el servicio Microsoft Monitoring Agent y eventID 20053 se registra en el registro de eventos de Operations Manager. Si este eventID no está presente, observe los detalles de uno de estos identificadores para cualquier problema y realice correcciones en consecuencia: 20049,20050,20052,20066,20069,20077

Sugerencia

Una vez que el certificado se haya importado correctamente, puede ver una versión reflejada de la huella digital en el Registro aquí: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configuración de servidores de puerta de enlace para la conmutación por error entre servidores de administración

De forma predeterminada, los servidores de puerta de enlace solo se comunican con un servidor de administración, su principal. Si se pierde esta conexión, la puerta de enlace y los agentes conectados se muestran como grises en la consola y no se supervisan. Si tiene varios servidores de administración, podemos evitar este problema configurando los servidores de administración a los que la puerta de enlace puede conmutar por error hasta que la principal esté disponible de nuevo. Para configurar una conmutación por error:

Usamos el cmdlet Set-SCOMParentManagementServer en el shell de Operations Manager, como se muestra en el ejemplo siguiente, para configurar un servidor de puerta de enlace para conmutar por error a varios servidores de administración. Los comandos se pueden ejecutar desde cualquier shell de comandos del grupo de administración.

1. Inicie sesión en un servidor de administración con una cuenta que sea miembro del rol Administradores de Operations Manager.

2. En el menú Inicio, ejecute el shell de Operations Manager en la carpeta "Microsoft System Center".

3. En la consola, ejecute los siguientes comandos:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Nota

   No se puede establecer un servidor de conmutación por error para que sea el mismo que el servidor principal sin cambiar el servidor principal al mismo tiempo o primero. Si desea cambiar la principal y establecerla en una secundaria, use los siguientes comandos:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Encadenar varios servidores de puerta de enlace

Aunque es poco habitual, a veces es necesario encadenar varias puertas de enlace para supervisar entre varios límites que no son de confianza. En esta sección se describe cómo encadenar varias puertas de enlace juntas.

Nota

• Debe instalar una puerta de enlace a la vez y comprobar que cada puerta de enlace recién instalada está configurada correctamente y que se muestra como correcta en la consola de SCOM antes de agregar otra puerta de enlace en la cadena.
• Al agregar el extremo de la cadena de puertas de enlace al mismo grupo de recursos, no configure la conmutación por error en la otra cadena mediante el comando Set-SCOMParentManagementServer . En este escenario, el grupo no funciona según lo previsto. Para que la configuración de conmutación por error y el grupo de recursos funcionen conjuntamente, el extremo de puerta de enlace de la cadena debe tener el mismo elemento principal.

Para configurar una cadena de puerta de enlace, usamos la herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tal y como hicimos para el servidor de puerta de enlace inicial. Sin embargo, esta vez es necesario establecer "ManagementServerName" como servidor de puerta de enlace ascendente en la cadena. Por ejemplo, si GW02 se va a conectar a GW01, GW01 es el "ManagementServer" en este escenario.

1. Inicie sesión en uno de los servidores de administración que ya tenga configurada gatewayApprovalTool.

2. Abra un símbolo del sistema como administrador y vaya al directorio donde se guarda la herramienta.

3. A continuación, ejecute el comando siguiente para aprobar el servidor de puerta de enlace de bajada, asegurándose de reemplazar los nombres de servidor por los suyos propios:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Instale el rol de puerta de enlace en un nuevo servidor.

5. Configure los certificados entre GW01 y GW02 de la misma manera que configuraría los certificados entre una puerta de enlace y un servidor de administración. El Servicio de mantenimiento solo puede cargar y usar un único certificado. De este modo, los elementos primario y secundario de la puerta de enlace en la cadena usarán el mismo certificado.

Pasos siguientes

Para comprender la secuencia y los pasos para instalar los roles de servidor de Operations Manager en varios servidores del grupo de administración, consulte Implementación distribuida de Operations Manager.