Cómo configurar y usar la integración de Active Directory para la asignación de agenteHow to configure and use Active Directory Integration for agent assignment

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

System Center 2016 Operations Manager le permite sacar provecho de su inversión en Active Directory Domain Services (AD DS) ya que permite emplearla para asignar equipos administrados con agente a grupos de administración.System Center 2016 – Operations Manager allows you to take advantage of your investment in Active Directory Domain Services (AD DS) by enabling you to use it to assign agent-managed computers to management groups. Este tema le ayudará a crear y administrar la configuración del contenedor de Active Directory y la asignación de agente de los servidores de administración a la que se debe informar.This topic will help you create and manage the configuration of the container in Active Directory, and agent assignment of management servers agents should report to.

Crear un contenedor de Active Directory Domain Services para un grupo de administraciónCreate an Active Directory Domain Services Container for a management group

Puede usar la sintaxis de línea de comandos y el procedimiento siguientes para crear un contenedor de Active Directory Domain Services (AD DS) para un grupo de administración de System Center 2016 - Operations Manager.You can use the following command-line syntax and procedure to create an Active Directory Domain Service (AD DS) container for a System Center 2016 - Operations Manager management group. Con ese propósito, se incluye y está instalado MOMADAdmin.exe con el servidor de administración de Operations Manager.MOMADAdmin.exe is provided for this purpose and is installed with the Operations Manager management server. MOMADAdmin.exe debe ejecutarlo un administrador del dominio especificado.MOMADAdmin.exe must be run by an administrator of the specified domain.

Sintaxis de línea de comandos:Command line syntax:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Si los valores contienen espacios, es necesario que los incluya entre comillas.You must put a value inside quotation marks if the value contains a space.

  • Nombre_Grupo_Administración es el nombre del grupo de administración para el que se crea un contenedor de AD.ManagementGroupName is the name of the management group for which an AD container is being created.

  • Grupo_Seguridad_Administración_MOM es un grupo de seguridad de dominios, con formato dominio\grupo_seguridad, que es miembro del rol de seguridad de los administradores de Operations Manager en el grupo de administración.MOMAdminSecurityGroup is a domain security group, domain\security_group format, which is a member of the Operations Managers Administrators security role for the management group.

  • Cuenta_de_ejecución: se trata de la cuenta de dominio que usará el servidor de administración para leer, escribir y eliminar objetos en Active Directory.RunAsAccount: This is the domain account which will be used by the management server to read, write, and delete objects in AD. Use el formato dominio\nombre de usuario.Use the format domain\username.

  • Dominio es el nombre del dominio donde se creará el contenedor del grupo de administración.Domain is the name of the domain in which the management group container will be created. MOMADAdmin.exe se puede ejecutar en los dominios únicamente si existe una confianza bidireccional entre ellos.MOMADAdmin.exe can be run across domains only if a two-way trust exists between them.

Para que la integración de Active Directory funcione, el grupo de seguridad debe ser un grupo de seguridad global (si la integración de Active Directory necesita funcionar en varios dominios con confianzas bidireccionales) o un grupo de dominio local (si la integración de Active Directory solo se usa en un dominio)For Active Directory integration to work, the security group must be either a global security group (if Active Directory integration needs to function in multiple domains with two-way trusts) or a local domain group (if Active Directory integration is only used in one domain)

Para agregar un grupo de seguridad al grupo Administradores de Operations Manager, siga estos pasos.To add a security group to the Operations Manager Administrators group, use the following procedure.

  1. En la consola del operador, seleccione Administración.In Operations console, select Administration.

  2. En el área de trabajo Administración, seleccione Roles de usuario en Seguridad.In the Administration workspace, select User Roles under Security.

  3. En Roles de usuario, seleccione Administradores de Operations Manager y haga clic en la acción Propiedades o haga clic con el botón derecho en Administradores de Operations Manager y seleccione Propiedades.In User Roles, select Operations Manager Administrators and click the Properties action or right click Operations Manager Administrators and select Properties.

  4. Haga clic en Agregar para abrir el cuadro de diálogo Seleccionar grupo.Click Add to open the Select Group dialog box.

  5. Seleccione el grupo de seguridad deseado y después haga clic en Aceptar para cerrar el cuadro de diálogo.Select the desired security group, and then click OK to close the dialog box.

  6. Haga clic en Aceptar para cerrar Propiedades de rol de usuario.Click OK to close User Role Properties.

Nota

Se recomienda usar un grupo de seguridad, que es posible que contenga varios grupos, para el rol Administradores de Operations Manager.We recommend one security group, which might contain several groups, be used for the Operations Manager Administrators role. De esta forma, se pueden agregar y quitar grupos y miembros de grupos sin un administrador del dominio que necesite realizar pasos manuales para asignarles los permisos secundarios de lectura y eliminación sobre el contenedor de grupo de administración.That way, groups and members of groups can be added and removed from groups without a domain administrator needing to perform manual steps to assign them Read and Delete Child permissions to the Management Group container.

Siga estos pasos para crear el contenedor AD DS.Use the following procedure to create the AD DS container.

  1. Abra un símbolo del sistema como administrador.Open a command prompt as an administrator.

  2. En el símbolo del sistema, por ejemplo, escriba lo siguiente:At the prompt, for example, type the following:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

  3. La línea de comandos del ejemplo anterior realizará la acción siguiente:The preceding command-line example will:

    1. Ejecutar la utilidad MOMADAdmin.exe desde la línea de comandos.Run the MOMADAdmin.exe utility from the command line.

    2. Cree el contenedor de AD DS del grupo de administración "Message Ops" en la raíz de esquema de AD DS del dominio MessageDom.Create the "Message Ops" Management Group AD DS container in the AD DS schema root of the MessageDom domain. Para crear el mismo contenedor de servicios de dominio de AD del grupo de administración en otros dominios, ejecute MOMADAdmin.exe en cada dominio.To create the same Management Group AD DS container in additional domains, run MOMADAdmin.exe for each domain.

    3. Agregue la cuenta de usuario de dominio MessageDom\MessageADIntAcct al grupo de seguridad de AD DS MessageDom\MessageOMAdmins y asigne al grupo de seguridad de AD DS los derechos necesarios para administrar el contenedor de AD DS.Add the MessageDom\MessageADIntAcct domain user account to the MessageDom\MessageOMAdmins AD DS security group and assign the security AD DS group the rights necessary to manage the AD DS container.

Cómo usar Active Directory Domain Services para asignar equipos a servidores de administraciónHow to Use Active Directory Domain Services to assign computers to management servers

El Asistente para asignación de agente y conmutación por error de Operations Manager crea una regla de asignación de agente que usa Active Directory Domain Services (AD DS) para asignar equipos a un grupo de administración, así como los servidores de administración principal y secundario de los equipos.The Operations Manager Agent Assignment and Failover Wizard creates an agent assignment rule that uses Active Directory Domain Services (AD DS) to assign computers to a management group and assign the computers' primary management server and secondary management servers. Use los procedimientos siguientes para iniciar y usar el asistente.Use the following procedures to start and use the wizard.

Importante

El contenedor de Active Directory Domain Services para el grupo de administración debe crearse antes de ejecutar el Asistente para asignación de agente y conmutación por error.The Active Directory Domain Services container for the management group must be created prior to running the Agent Assignment and Failover Wizard.

El Asistente para la asignación de agente y conmutación por error no implanta el agente.The Agent Assignment and Failover Wizard does not deploy the agent. Debe implementar manualmente el agente en los equipos por medio de MOMAgent.msi.You must manually deploy the agent to the computers using MOMAgent.msi.

Si cambia la regla de asignación de agente, el resultado puede ser que no se asignen más equipos al grupo de administración y, por tanto, este tampoco los supervise.Changing the agent assignment rule can result in computers no longer being assigned to, and therefore monitored by, the management group. El estado de estos equipos cambiará a crítico, ya que los equipos dejarán de enviar latidos al grupo de administración.The state of these computers will change to critical, because the computers no longer send heartbeats to the management group. Estos equipos pueden eliminarse del grupo de administración y, si el equipo no se asigna a otros grupos de administración, se puede desinstalar el agente Operations Manager.These computers can be deleted from the management group and, if the computer is not assigned to other management groups, the Operations Manager agent can be uninstalled.

Para iniciar el Asistente para asignación de agente y conmutación por error de Operations ManagerTo start the Operations Manager Agent Assignment and Failover Wizard

  1. Inicie sesión en el equipo con una cuenta que sea un miembro del rol Administradores de Operations Manager.Log on to the computer with an account that is a member of the Operations Manager Administrators role.

  2. En la consola de Operations, haga clic en Administración.In the Operations console, click Administration.

  3. En el área de trabajo Administración, haga clic en Servidores de administración.In the Administration workspace, click Management Servers.

  4. En el panel Servidores de administración, haga clic con el botón derecho en el servidor de administración o en el servidor de puerta de enlace que quiere que sea el servidor de administración principal para los equipos devueltos por las reglas que creará con el procedimiento siguiente. Después, haga clic en Propiedades.In the Management Servers pane, right-click the management server or gateway server to be Primary Management Server for the computers returned by the rules you will create in the following procedure, and then click Properties.

    Nota

    Los servidores de puerta de enlace funcionan como servidores de administración en este contexto.Gateway servers work like management servers in this context.

  5. En el cuadro de diálogo Propiedades de servidor de administración, haga clic en la pestaña Asignación de agente automática y, después, haga clic en Agregar para iniciar el Asistente para asignación de agente y conmutación por error.In the Management Server Properties dialog box, click the Auto Agent Assignment tab, and then click Add to start the Agent Assignment and Failover Wizard.

  6. En el Asistente para asignación de agente y conmutación por error, en la página Introducción, haga clic en Siguiente.In the Agent Assignment and Failover Wizard, on the Introduction page, click Next.

    Nota

    La página Introducción no aparece si el asistente ya se ha ejecutado y se ha seleccionado No volver a mostrar esta página.The Introduction page does not appear if the wizard has been run and Do not show this page again was selected.

  7. En la página Dominio, siga estos pasos:On the Domain page, do the following:

    Nota

    Para asignar equipos desde varios dominios a un grupo de administración, ejecute el Asistente para asignación de agente y conmutación por error para cada dominio.To assign computers from multiple domains to a management group, run the Agent Assignment and Failover Wizard for each domain.

    • Seleccione el dominio de los equipos en la lista desplegable Nombre de dominio.Select the domain of the computers from the Domain name drop-down list. El servidor de administración y todos los equipos del grupo de recursos Asignación de agentes de AD deben poder resolver el nombre de dominio.The management server and all computers in the AD Agent Assignment resource pool must be able to resolve the domain name.

      Importante

      El servidor de administración y los equipos que quiere administrar deben estar en dominios de confianza bidireccional.The management server and the computers that you want to manage must be in two-way trusted domains.

    • Establezca Seleccionar perfil de ejecución en el perfil de ejecución asociado con la cuenta de ejecución suministrada cuando se ejecutó MOMADAdmin.exe para el dominio.Set Select Run As Profile to the Run As profile associated with the Run As account provided when MOMADAdmin.exe was run for the domain. La cuenta predeterminada usada para realizar la asignación de agente es la cuenta de acción predeterminada especificada durante la instalación, también denominada Cuenta de asignación de agente basada en Active Directory.The default account used to perform agent assignment is the default action account specified during Setup, also referred to as the Active Directory Based Agent Assignment Account. Esta cuenta representa las credenciales usadas para conectarse al Active Directory del dominio especificado y modificar objetos de Active Directory, y debe coincidir con la cuenta especificada al ejecutar MOMAdmin.exe.This account represents credentials used when connecting to the specified domain's Active Directory and modifying Active Directory objects, and should match the account specified when running MOMAdmin.exe. Si esta no fuera la cuenta usada para ejecutar MOMADAdmin.exe, seleccione Usar una cuenta distinta para realizar la asignación de agente en el dominio especificado y, después, seleccione o cree la cuenta de la lista desplegable Seleccionar perfil de ejecución.If this was not the account used to run MOMADAdmin.exe, select Use a different account to perform agent assignment in the specified domain, and then select or create the account from the Select Run As Profile drop-down list. El perfil Cuenta de Active Directory basada en asignación de agentes debe configurarse para usar una cuenta de administrador de Operations Manager que se distribuya a todos los servidores en el grupo de recursos Asignación de agentes de AD.The Active Directory Based Agent Assignment Account profile must be configured to use an Operations Manager administrator account which is distributed to all servers in the AD Agent Assignment resource pool.

      Nota

      Para obtener más información sobre perfiles y cuentas de ejecución, consulte Administración de cuentas y perfiles de ejecución.For more information about Run As profiles and Run As accounts, see Managing Run As Accounts and Profiles.

  8. En la página Criterios de inclusión, escriba el tipo de consulta LDAP para asignar equipos a este servidor de administración en el cuadro de texto y haga clic en Siguiente o bien haga clic en Configurar.On the Inclusion Criteria page, either type the LDAP query for assigning computers to this management server in the text box and then click Next, or click Configure. Si hace clic en Configurar, siga estos pasos:If you click Configure, do the following:

    1. En el cuadro de diálogo Buscar equipos, escriba los criterios deseados para asignar equipos a este servidor de administración o escriba una consulta LDAP específica.In the Find Computers dialog box, type the desired criteria for assigning computers to this management server or type in your specific LDAP query.

      La siguiente consulta LDAP devolverá únicamente los equipos que ejecutan el sistema operativo Windows Server y excluirá los controladores de dominio: (&(objectCategory=computer)(operatingsystem=*server*)).The following LDAP query will only return computers running the Windows Server operating system and exclude domain controllers - (&(objectCategory=computer)(operatingsystem=*server*)). Este ejemplo de consulta LDAP devolverá únicamente los equipos que ejecutan el sistema operativo Windows Server y excluye los controladores de dominio y los servidores que hospedan el rol de servidor de administración de Operations Manager o Service Manager: (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*)))).This example LDAP query will only return computers running the Windows Server operating system and excludes domain controllers and servers hosting the Operations Manager or Service Manager management server role - (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*)))).

      Para obtener más información sobre las consultas LDAP, consulte Creating a Query Filter (Crear un filtro de consulta) y Active Directory: LDAP Syntax Filters (Active Directory: filtros de sintaxis LDAP).For more information about LDAP queries, see Creating a Query Filter and Active Directory: LDAP Syntax Filters.

    2. Haga clic en Aceptar y después en Siguiente.Click OK, and then click Next.

  9. En la página Criterios de exclusión, escriba el FQDN de los equipos que explícitamente quiere evitar que sean administrados por este servidor de administración y después haga clic en Siguiente.On the Exclusion Criteria page, type the FQDN of computers that you explicitly want to prevent from being managed by this management server, and then click Next.

    Importante

    Separe los FQDN del equipo que escriba con un punto y coma, un punto o una nueva línea (CTRL+ENTRAR).You must separate the computer FQDNs that you type with a semicolon, colon, or a new line (CTRL+ENTER).

  10. En la página Conmutación por error de agente, seleccione Administrar automáticamente la conmutación por error y haga clic en Crear, o bien seleccione Administrar manualmente la conmutación por error.On the Agent Failover page, either select Automatically manage failover and click Create or select Manually configure failover. Si selecciona Administrar manualmente la conmutación por error, siga estos pasos:If you select Manually configure failover, do the following:

    1. Desactive las casillas de los servidores de administración para los no quiere que se realice la conmutación por error de agente.Clear the check boxes of the management servers to which you do not want the agents to failover.

    2. Haga clic en Crear.Click Create.

      Nota

      Con la opción Administrar manualmente la conmutación por error, debe ejecutar el asistente de nuevo si agrega posteriormente un servidor de administración al grupo de administración y quiere que los agentes realicen la conmutación por error para el nuevo servidor de administración.With the Manually configure failover option, you must run the wizard again if you subsequently add a management server to the management group and want the agents to failover to the new management server.

  11. En el cuadro de diálogo Propiedades de servidor de administración, haga clic en Aceptar.In the Management Server Properties dialog box, click OK.

    Nota

    Puede llevar hasta una hora para que la configuración de asignación del agente se propague en AD DS.It can take up to one hour for the agent assignment setting to propagate in AD DS.

Cuando termine, la siguiente regla se crea en el grupo de administración y tiene como destino la clase de Grupo de recursos de asignación de AD.When complete, the following rule is created in the management group and targets the AD Assignment Resource Pool class.

Regla de asignación de agente de integración de ADAD Integration agent assignment rule
Esta regla incluye la información de configuración de asignación de agente que ha especificado en el Asistente para asignación de agente y conmutación por error, por ejemplo, la consulta LDAP.This rule includes the agent assignment configuration information that you specified in the Agent Assignment and Failover Wizard, such as the LDAP query.

Para confirmar si el grupo de administración ha publicado correctamente su información en Active Directory, busque el Id. de evento 11470 en los módulos de servicio de mantenimiento de origen en el registro de eventos de Operations Manager en el servidor de administración en el que se ha definido la regla de asignación de agente.To confirm if the management group successfully published its information in Active Directory, search for Event ID 11470 from source Health Service Modules in the Operations Manager event log on the management server the agent assignment rule was defined on. En la descripción debería indicar que ha agregado correctamente todos los equipos que se han agregado a la regla de asignación de agente.In the description it should state that it successfully added all the computers that were the added to the agent assignment rule.

Evento correcto de asignación de agente de integración de AD..

En Active Directory, en el contenedor OperationsManager<Nombre de grupo de administración>, debería ver que los objetos de punto de conexión de servicio (SCP) se crean de forma similar al ejemplo siguiente.In Active Directory, under the OperationsManager<ManagementGroupName> container, you should see the service connection point (SCP) objects created similar to the following example.

Objetos de AD de asignación de agente de integración de AD..

La regla también crea dos grupos de seguridad con el nombre de NetBIOS del servidor de administración, el primero de ellos con el sufijo "_PrimarySG" y el segundo con "_SecondarySG".The rule also creates two security groups with the name of the management server NetBIOS name, the first one with the suffix “_PrimarySG” and the second one “_SecondarySG”. En este ejemplo, hay dos servidores de administración implementados en el grupo de administración y la pertenencia al grupo de seguridad principal ComputerB_Primary_SG_24901 incluye equipos que coinciden con la regla de inclusión que se define en la regla de asignación de agentes y la pertenencia al grupo de seguridad ComputerA_Secondary_SG_38838 incluye el grupo de seguridad ComputerB_Primary_SG 29401 del grupo principal que contiene la cuenta de equipo de agentes que realizaría la conmutación por error a este servidor de administración secundario en caso de que el servidor de administración principal no responda.In this example, there are two management servers deployed in the management group and the primary security group ComputerB_Primary_SG_24901 membership includes computers which matched the include rule defined in your agent assignment rule and the security group ComputerA_Secondary_SG_38838 membership includes the primary group ComputerB_Primary_SG-29401 security group containing the machine account of agents that would failover to this secondary management server in the event the primary management server is unresponsive. El nombre SCP es el nombre de NetBIOS del servidor de administración con el sufijo "_SCP".The SCP name is the management server NetBIOS name with the suffix “_SCP”.

Nota

En este ejemplo, solo muestra objetos de un único grupo de administración y no de otros grupos de administración que puedan existir y que también estén configurados con la integración de AD.In this example, it is only showing objects from a single management group and not other management groups that may exist and also configured with AD integration.

Implementación manual de agentes con la configuración de integración de Active DirectoryManual agent deployment with Active Directory Integration Setting

A continuación se muestra un ejemplo de la línea de comandos para instalar manualmente el agente de Windows con la integración de Active Directory habilitada.Below is an example of the command line to manually install the Windows agent with Active Directory Integration enabled.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Cambio de la configuración de la integración de Active Directory para un agenteChanging the Active Directory Integration Setting for an agent

Puede utilizar el siguiente procedimiento para cambiar la configuración de la integración de Active Directory para un agente.You can use the following procedure to change the Active Directory integration setting for an agent.

  1. En el equipo administrado por el agente, en el Panel de control, haga doble clic en Microsoft Monitoring Agent.On the agent-managed computer, in Control Panel, double-click Microsoft Monitoring Agent.

  2. En la pestaña Operations Manager, desactive o seleccione Actualizar automáticamente asignaciones de grupos de administración desde AD DS.On the Operations Manager tab, clear or select Automatically update management group assignments from AD DS. Si selecciona esta opción, en el inicio del agente, el agente pedirá a Active Directory una lista de grupos de administración a los que se ha asignado.If you select this option, on agent startup, the agent will query Active Directory for a list of management groups to which it has been assigned. Estos grupos de administración, si los hay, se agregarán a la lista.Those management groups, if any, will be added to the list. Si desactiva esta opción, se quitarán de la lista todos los grupos de administración asignados al agente en Active Directory.If you clear this option, all management groups assigned to the agent in Active Directory will be removed from the list.

  3. Haga clic en Aceptar.Click OK.

Pasos siguientesNext steps

Para entender cómo instalar el agente de Windows desde la consola de Operations Manager, vea Instalación de agente en Windows con el Asistente para detección o bien, para instalar el agente desde la línea de comandos, vea Instalar Agente para Windows manualmente mediante MOMAgent.msi.To understand how to install the Windows agent from the Operations console, see Install Agent on Windows Using the Discovery Wizard or to install the agent from the command line, see Install Windows Agent Manually Using MOMAgent.msi.