Cómo configurar y usar la integración de Active Directory para la asignación de agente

  • Artículo

Importante

Esta versión de Operations Manager ha llegado al final del soporte técnico. Se recomienda actualizar a Operations Manager 2022.

System Center Operations Manager permite aprovechar la inversión en Active Directory Domain Services (AD DS) ya que permite emplearlo para asignar equipos administrados por agente a grupos de administración. Este artículo le ayudará a crear y administrar la configuración del contenedor en Active Directory y la asignación de agentes de servidores de administración a los que deben informar.

Crear un contenedor de Active Directory Domain Services para un grupo de administración

Puede usar la sintaxis de línea de comandos y el procedimiento siguientes para crear un contenedor de Active Directory Domain Services (AD DS) para un grupo de administración de System Center Operations Manager. Con ese propósito, se incluye y está instalado MOMADAdmin.exe con el servidor de administración de Operations Manager. MOMADAdmin.exe debe ejecutarlo un administrador del dominio especificado.

Sintaxis de línea de comandos:

<path>\MOMADAdmin.exe <ManagementGroupName> <MOMAdminSecurityGroup> <RunAsAccount> <Domain>

Importante

Si los valores contienen espacios, es necesario que los incluya entre comillas.

  • Nombre_Grupo_Administración es el nombre del grupo de administración para el que se crea un contenedor de AD.

  • Grupo_Seguridad_Administración_MOM es un grupo de seguridad de dominios, con formato dominio\grupo_seguridad, que es miembro del rol de seguridad de los administradores de Operations Manager en el grupo de administración.

  • RunAsAccount: es la cuenta de dominio que usará el servidor de administración para leer, escribir y eliminar objetos en AD. Use el formato dominio\nombre de usuario.

  • Dominio es el nombre del dominio donde se creará el contenedor del grupo de administración. MOMADAdmin.exe se puede ejecutar en los dominios únicamente si existe una confianza bidireccional entre ellos.

Para que la integración de Active Directory funcione, el grupo de seguridad debe ser un grupo de seguridad global (si la integración de Active Directory necesita funcionar en varios dominios con confianzas bidireccionales) o un grupo de dominio local (si la integración de Active Directory solo se usa en un dominio)

Para agregar un grupo de seguridad al grupo Administradores de Operations Manager, siga estos pasos.

  1. En la consola del operador, seleccione Administración.

  2. En el área de trabajo Administración, seleccione Roles de usuario en Seguridad.

  3. En Roles de usuario, seleccione Administradores de Operations Manager y seleccione la acción Propiedades o haga clic con el botón derecho en Administradores de Operations Manager y seleccione Propiedades.

  4. Seleccione Agregar para abrir el cuadro de diálogo Seleccionar grupo .

  5. Seleccione el grupo de seguridad deseado y, a continuación, seleccione Aceptar para cerrar el cuadro de diálogo.

  6. Seleccione Aceptar para cerrar propiedades de rol de usuario.

Nota

Se recomienda usar un grupo de seguridad, que es posible que contenga varios grupos, para el rol Administradores de Operations Manager. De esta forma, se pueden agregar y quitar grupos y miembros de grupos sin un administrador del dominio que necesite realizar pasos manuales para asignarles los permisos secundarios de lectura y eliminación sobre el contenedor de grupo de administración.

Siga estos pasos para crear el contenedor AD DS.

  1. Abra un símbolo del sistema como administrador.

  2. En el símbolo del sistema, por ejemplo, escriba lo siguiente:

    "C:\Program Files\Microsoft System Center 2016\Operations Manager\Server\MOMADAdmin.exe" "Message Ops" MessageDom\MessageOMAdmins MessageDom\MessageADIntAcct MessageDom**

Nota

La ruta de acceso predeterminada es C:\Archivos de programa\Microsoft System Center 2016\Operations Manager.

Nota

La ruta de acceso predeterminada es C:\Archivos de programa\Microsoft System Center\Operations Manager.

  1. La línea de comandos del ejemplo anterior realizará la acción siguiente:

    1. Ejecutar la utilidad MOMADAdmin.exe desde la línea de comandos.

    2. Cree el contenedor de AD DS del grupo de administración "Message Ops" en la raíz de esquema de AD DS del dominio MessageDom. Para crear el mismo contenedor de servicios de dominio de AD del grupo de administración en otros dominios, ejecute MOMADAdmin.exe en cada dominio.

    3. Agregue la cuenta de usuario de dominio MessageDom\MessageADIntAcct al grupo de seguridad de AD DS MessageDom\MessageOMAdmins y asigne al grupo de seguridad de AD DS los derechos necesarios para administrar el contenedor de AD DS.

Cómo usar Active Directory Domain Services para asignar equipos a servidores de administración

El Asistente para asignación de agente y conmutación por error de Operations Manager crea una regla de asignación de agente que usa Active Directory Domain Services (AD DS) para asignar equipos a un grupo de administración, así como los servidores de administración principal y secundario de los equipos. Use los procedimientos siguientes para iniciar y usar el asistente.

Importante

El contenedor de Active Directory Domain Services para el grupo de administración debe crearse antes de ejecutar el Asistente para asignación de agente y conmutación por error.

El Asistente para asignación y conmutación por error del agente no implementa el agente. Debe implementar manualmente el agente en los equipos por medio de MOMAgent.msi.

Si cambia la regla de asignación de agente, el resultado puede ser que no se asignen más equipos al grupo de administración y, por tanto, este tampoco los supervise. El estado de estos equipos cambiará a crítico, ya que los equipos dejarán de enviar latidos al grupo de administración. Estos equipos se pueden eliminar del grupo de administración y, si el equipo no está asignado a otros grupos de administración, se puede desinstalar el agente de Operations Manager.

Para iniciar el Asistente para asignación de agente y conmutación por error de Operations Manager

  1. Inicie sesión en el equipo con una cuenta que sea miembro del rol Administradores de Operations Manager.

  2. En la consola del operador, seleccione Administración.

  3. En el área de trabajo Administración, seleccione Servidores de administración.

  4. En el panel Servidores de administración, haga clic con el botón derecho en el servidor de administración o en el servidor de puerta de enlace para que sea Servidor de administración principal para los equipos devueltos por las reglas que creará en el procedimiento siguiente y, a continuación, seleccione Propiedades.

    Nota

    Los servidores de puerta de enlace funcionan como servidores de administración en este contexto.

  5. En el cuadro de diálogo Propiedades del servidor de administración , seleccione la pestaña Asignación de agente automático y, a continuación, seleccione Agregar para iniciar el Asistente para asignación y conmutación por error del agente.

  6. En el Asistente para asignación y conmutación por error del Agente, en la página Introducción , seleccione Siguiente.

    Nota

    La página Introducción no aparece si se ha ejecutado el asistente y No volver a mostrar esta página se seleccionó.

  7. En la página Dominio, siga estos pasos:

    Nota

    Para asignar equipos desde varios dominios a un grupo de administración, ejecute el Asistente para asignación de agente y conmutación por error para cada dominio.

    • Seleccione el dominio de los equipos en la lista desplegable Nombre de dominio. El servidor de administración y todos los equipos del grupo de recursos Asignación de agentes de AD deben poder resolver el nombre de dominio.

      Importante

      El servidor de administración y los equipos que quiere administrar deben estar en dominios de confianza bidireccional.

    • Establezca Seleccionar perfil de ejecución en el perfil de ejecución asociado con la cuenta de ejecución suministrada cuando se ejecutó MOMADAdmin.exe para el dominio. La cuenta predeterminada usada para realizar la asignación de agente es la cuenta de acción predeterminada especificada durante la instalación, también denominada Cuenta de asignación de agente basada en Active Directory. Esta cuenta representa las credenciales usadas para conectarse al Active Directory del dominio especificado y modificar objetos de Active Directory, y debe coincidir con la cuenta especificada al ejecutar MOMAdmin.exe. Si no se trata de la cuenta usada para ejecutar MOMADAdmin.exe, seleccione Usar otra cuenta para realizar la asignación de agente en el dominio especificado y, a continuación, seleccione o cree la cuenta en la lista desplegable Seleccionar perfil de ejecución. El perfil de cuenta de asignación de agente basado en Active Directory debe configurarse para usar una cuenta de administrador de Operations Manager, que se distribuye a todos los servidores del grupo de recursos Asignación de agente de AD.

      Nota

      Para obtener más información sobre perfiles y cuentas de ejecución, consulte Administración de cuentas y perfiles de ejecución.

  8. En la página Criterios de inclusión , escriba la consulta LDAP para asignar equipos a este servidor de administración en el cuadro de texto y , a continuación, seleccione Siguiente o seleccione Configurar. Si selecciona Configurar, haga lo siguiente:

    1. En el cuadro de diálogo Buscar equipos , escriba los criterios deseados para asignar equipos a este servidor de administración o escriba su consulta LDAP específica.

      La siguiente consulta LDAP devuelve únicamente los equipos que ejecutan el sistema operativo Windows Server y excluirá los controladores de dominio.

      (&(objectCategory=computer)(operatingsystem=*server*))

      En esta consulta LDAP de ejemplo solo se devuelven los equipos que ejecutan el sistema operativo Windows Server. Excluye los controladores de dominio y los servidores que hospedan el rol de servidor de administración de Operations Manager o de Service Manager.

      (&(objectCategory=computer)(operatingsystem=*server*)(!(userAccountControl:1.2.840.113556.1.4.803:=8192)(!(servicePrincipalName=*MSOMHSvc*))))

      Para obtener más información sobre las consultas LDAP, consulte Crear un filtro de consulta y Active Directory: filtros de sintaxis LDAP.

    2. Seleccione Aceptar y después Siguiente.

  9. En la página Criterios de exclusión , escriba el FQDN de equipos que quiere impedir que este servidor de administración administre explícitamente y, a continuación, seleccione Siguiente.

    Importante

    Separe los FQDN del equipo que escriba con un punto y coma, un punto o una nueva línea (CTRL+ENTRAR).

  10. En la página Conmutación por error del agente , seleccione Administrar automáticamente la conmutación por error y seleccione Crear o configurar manualmente la conmutación por error. Si selecciona Administrar manualmente la conmutación por error, siga estos pasos:

    1. Desactive las casillas de los servidores de administración en los que no desea que los agentes realicen la conmutación por error.

    2. Seleccione Crear.

      Nota

      Con la opción Administrar manualmente la conmutación por error, debe ejecutar el asistente de nuevo si agrega posteriormente un servidor de administración al grupo de administración y quiere que los agentes realicen la conmutación por error para el nuevo servidor de administración.

  11. En el cuadro de diálogo Propiedades del servidor de administración , seleccione Aceptar.

Nota

Puede llevar hasta una hora para que la configuración de asignación del agente se propague en AD DS.

Cuando termine, la siguiente regla se crea en el grupo de administración y tiene como destino la clase de Grupo de recursos de asignación de AD.

Captura de pantalla de la regla de asignación del agente de integración de AD.
Esta regla incluye la información de configuración de asignación de agente que ha especificado en el Asistente para asignación de agente y conmutación por error, por ejemplo, la consulta LDAP.

Para confirmar si el grupo de administración ha publicado correctamente su información en Active Directory, busque el Id. de evento 11470 en los módulos de servicio de mantenimiento de origen en el registro de eventos de Operations Manager en el servidor de administración en el que se ha definido la regla de asignación de agente. En la descripción, debe indicar que agregó correctamente todos los equipos que se agregaron a la regla de asignación del agente.

Captura de pantalla que muestra el evento correcto de asignación del agente de AD Integration.

En Active Directory, en el contenedor OperationsManager<Nombre de grupo de administración>, debería ver que los objetos de punto de conexión de servicio (SCP) se crean de forma similar al ejemplo siguiente.

Captura de pantalla que muestra los objetos de AD Integration Agent assignment AD.

La regla también crea dos grupos de seguridad con el nombre del servidor de administración NetBIOS: el primero con el sufijo "_PrimarySG<número> aleatorio" y el segundo "_SecondarySG<número> aleatorio". En este ejemplo, hay dos servidores de administración implementados en el grupo de administración y el grupo de seguridad principal ComputerB_Primary_SG_24901 pertenencia incluye equipos que coinciden con la regla de inclusión definida en la regla de asignación del agente y la pertenencia al grupo de seguridad ComputerA_Secondary_SG_38838 incluye el grupo principal ComputerB_Primary_SG-29401 . grupo de seguridad que contiene la cuenta de máquina de los agentes que conmutarían por error a este servidor de administración secundario en caso de que el servidor de administración principal no responda. El nombre SCP es el nombre de NetBIOS del servidor de administración con el sufijo "_SCP".

Nota

En este ejemplo, solo se muestran objetos de un único grupo de administración y no de otros grupos de administración que pueden existir y también configurados con la integración de AD.

Implementación manual de agentes con la configuración de integración de Active Directory

A continuación se muestra un ejemplo de la línea de comandos para instalar manualmente el agente de Windows con la integración de Active Directory habilitada.

%WinDir%\System32\msiexec.exe /i path\Directory\MOMAgent.msi /qn USE_SETTINGS_FROM_AD=1 USE_MANUALLY_SPECIFIED_SETTINGS=0 ACTIONS_USE_COMPUTER_ACCOUNT=1 AcceptEndUserLicenseAgreement=1

Cambio de la configuración de la integración de Active Directory para un agente

Puede utilizar el siguiente procedimiento para cambiar la configuración de la integración de Active Directory para un agente.

  1. En el equipo administrado por agente, en el Panel de control, haga doble clic en Microsoft Monitoring Agent.

  2. En la pestaña Operations Manager, desactive o seleccione Actualizar automáticamente asignaciones de grupos de administración desde AD DS. Si selecciona esta opción, en el inicio del agente, el agente pedirá a Active Directory una lista de grupos de administración a los que se ha asignado. Estos grupos de administración, si los hay, se agregarán a la lista. Si desactiva esta opción, se quitarán de la lista todos los grupos de administración asignados al agente en Active Directory.

  3. Seleccione Aceptar.

Integración de Active Directory con un dominio que no es de confianza

  1. Cree un usuario en un dominio que no sea de confianza con permisos para leer, escribir y eliminar objetos en AD.
  2. Cree un grupo de seguridad local del dominio o global. Agregue el usuario creado en el paso 1 a este grupo.
  3. Ejecute MOMAdAdmin.exe en el dominio que no es de confianza con los parámetros siguientes: path>\MOMADAdmin.exe <ManagementGroupName><MOMAdminSecurityGroup><RunAsAccount><Domain>
  4. Cree una nueva cuenta de ejecución en Operations Manager; use la cuenta creada en el paso 1. Asegúrese de que el nombre de dominio se proporciona con FQDN, no con el nombre netBIOS (por ejemplo, CONTOSO.COM\ADUser).
  5. Distribuya la cuenta al grupo de recursos de asignación de AD.
  6. Cree un nuevo perfil de ejecución en el módulo de administración predeterminado. Si este perfil se crea en cualquier otro módulo de administración, asegúrese de sellar el módulo de administración para que se pueda hacer referencia a este en otro módulo de administración.
  7. Agregue la cuenta de ejecución recién creada a este perfil y de destino al grupo de recursos de asignación de AD.
  8. Cree las reglas de integración de Active Directory en Operations Manager.

Nota

Después de la integración con un dominio que no es de confianza, cada servidor de administración muestra la base de datos de seguridad del mensaje de advertencia en el servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo que indica que se produjo un error en la validación de la cuenta de ejecución utilizada por la asignación de AD. Los identificadores de evento 7000 o 1105 se generan en el registro de eventos de Operations Manager. Sin embargo, esta alerta no tiene ningún efecto en la asignación de AD en un dominio que no es de confianza.

Pasos siguientes

Para entender cómo instalar el agente de Windows desde la consola de Operations Manager, vea Instalación de agente en Windows con el Asistente para detección o bien, para instalar el agente desde la línea de comandos, vea Instalar Agente para Windows manualmente mediante MOMAgent.msi.