Autenticación y cifrado de datos en Operations ManagerAuthentication and Data Encryption in Operations Manager

Se aplica a: System Center 2016 Operations ManagerApplies To: System Center 2016 - Operations Manager

System Center 2016 Operations Manager consta de características como servidor de administración, servidor de puerta de enlace, servidor de informes, base de datos operativa, almacenamiento de datos de informes, agente, consola web y consola del operador.System Center 2016 – Operations Manager consists of features such as the management server, gateway server, Reporting server, Operational database, Reporting data warehouse, agent, web console, and Operations console. En esta sección se explica cómo se realiza la autenticación y se identifican los canales de conexión donde se cifran los datos.This section explains how authentication is performed and identifies connection channels where the data is encrypted.

Autenticación basada en certificadoCertificate-Based Authentication

Cuando un agente de Operations Manager y un servidor de administración están separados por un bosque que no es de confianza o un límite de grupo de trabajo, es necesario implementar la autenticación basada en certificado.When an Operations Manager agent and management server are separated by either an untrusted forest or workgroup boundary, certificate-based authentication will need to be implemented. En las secciones siguientes se proporciona información sobre estas situaciones y procedimientos específicos para obtener e instalar certificados de entidades de certificación basadas en Windows.The following sections provide information about these situations and specific procedures for obtaining and installing certificates from Windows-based certification authorities.

Configuración de la comunicación entre agentes y servidores de administración dentro del mismo límite de confianzaSetting Up Communication Between Agents and Management Servers Within the Same Trust Boundary

Un agente y el servidor de administración usan la autenticación de Windows para autenticarse mutuamente entre sí antes de que el servidor de administración acepte datos del agente.An agent and the management server use Windows authentication to mutually authenticate with each other before the management server accepts data from the agent. El protocolo Kerberos versión 5 es el método predeterminado para proporcionar autenticación.The Kerberos version 5 protocol is the default method for providing authentication. Para que funcione la autenticación mutua basada en Kerberos, los agentes y el servidor de administración se deben instalar en un dominio de Active Directory.In order for Kerberos-based mutual authentication to function, the agents and management server must be installed in an Active Directory domain. Si un agente y un servidor de administración están en dominios separados, debe existir plena confianza entre los dominios.If an agent and a management server are in separate domains, full trust must exist between the domains. En este escenario, después de que se haya realizado la autenticación mutua, se cifra el canal de datos entre el agente y el servidor de administración.In this scenario, after mutual authentication has taken place, the data channel between the agent and the management server is encrypted. No se requiere la intervención del usuario para que se realicen la autenticación y el cifrado.No user intervention is required for authentication and encryption to take place.

Configuración de la comunicación entre agentes y servidores de administración a través de límites de confianzaSetting Up Communication Between Agents and Management Servers Across Trust Boundaries

Un agente (o agentes) pueden implementarse en un dominio (dominio B) separado del servidor de administración (dominio A) y es posible que no exista confianza bidireccional entre los dominios.An agent (or agents) might be deployed into a domain (domain B) separate from the management server (domain A), and no two-way trust might exist between the domains. Al no haber confianza entre los dos dominios, los agentes de un dominio no se pueden autenticar en el servidor de administración del otro dominio mediante el protocolo Kerberos.Because there is no trust between the two domains, the agents in one domain cannot authenticate with the management server in the other domain using the Kerberos protocol. Se sigue produciendo la autenticación mutua entre las características de Operations Manager dentro de cada dominio.Mutual authentication between the Operations Manager features within each domain still occurs. Una solución a esta situación es instalar un servidor de administración en el mismo dominio en el que residen los agentes e instalar certificados en el servidor de puerta de enlace y el servidor de administración para conseguir autenticación mutua y cifrado de datos.A solution to this situation is to install a gateway server in the same domain where the agents reside, and then install certificates on the gateway server and the management server to achieve mutual authentication and data encryption. El uso del servidor de puerta de enlace significa que solo se necesita un certificado en el dominio B y solo un puerto a través del firewall, como se muestra en la ilustración siguiente.The use of the gateway server means you need only one certificate in domain B and only one port through the firewall, as shown in the following illustration.

Supervisar al agente que no es de confianza con una puerta de enlace

Configuración de la comunicación a través de un dominio – Límite de grupo de trabajoSetting Up Communication Across a Domain – Workgroup Boundary

En su entorno, es posible que tenga uno o dos agentes implementados en un grupo de trabajo dentro de su firewall.In your environment, you may have one or two agents deployed to a workgroup inside your firewall. El agente del grupo de trabajo no puede autenticarse en el servidor de administración del dominio que usa el protocolo Kerberos.The agent in the workgroup cannot authenticate with the management server in the domain using the Kerberos protocol. Una solución para esta situación es instalar certificados tanto en el equipo que hospeda el agente como en el servidor de administración al que se conecta el agente, como se muestra en la ilustración siguiente.A solution to this situation is to install certificates on both the computer hosting the agent and the management server that the agent connects to, as shown in the following illustration.

Nota

En este escenario, se debe instalar manualmente el agente.In this scenario, the agent must be manually installed.

Supervisar al agente que no es de confianza en el grupo de trabajo

Realice los pasos siguientes en el equipo que hospeda el agente y en el servidor de administración que usa la misma entidad de certificación (CA) para cada uno de ellos:Perform the following steps on both the computer hosting the agent and the management server using the same certification authority (CA) for each:

  1. Solicite certificados de la CA.Request certificates from the CA.
  2. Apruebe las solicitudes de certificado de la CA.Approve the certificate requests on the CA.
  3. Instale los certificados aprobados en los almacenes de certificados del equipo.Install the approved certificates in the computer certificate stores.
  4. Use la herramienta MOMCertImport para configurar Operations Manager.Use the MOMCertImport tool to configure Operations Manager.

Estos son los mismos pasos necesarios para la instalación de certificados en un servidor de puerta de enlace excepto que, en este caso, no se instala o ejecuta la herramienta de aprobación de la puerta de enlace.These are the same steps for installing certificates on a gateway server, except you do not install or run the gateway approval tool

Confirmación de la instalación del certificadoConfirming Certificate Installation

Si ha instalado correctamente el certificado, se escribe el evento siguiente en el registro de eventos de Operations Manager.If you have properly installed the certificate, the following event is written into the Operations Manager event log.

TipoType OrigenSource Id. de eventoEvent ID GeneralGeneral
InformaciónInformation Conector OpsMgrOpsMgr Connector 2005320053 El conector OpsMgr ha cargado correctamente el certificado de autenticación especificado.The OpsMgr Connector has loaded the specified authentication certificate successfully.

Durante la instalación de un certificado, se ejecuta la herramienta MOMCertImport.During the setup of a certificate, you run the MOMCertImport tool. Cuando ha finalizado la herramienta MOMCertImport, el número de serie del certificado que importó se escribe en el Registro, en la subclave siguiente.When the MOMCertImport tool has finished, the serial number of the certificate that you imported is written to the registry at the following subkey.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings

Precaución

La modificación incorrecta del Registro puede dañar gravemente el sistema.Incorrectly editing the registry can severely damage your system. Antes de realizar cualquier cambio en el Registro, debe realizar una copia de seguridad de los datos de valor del equipo.Before making changes to the registry, you should back up any valued data on the computer.

Autenticación y cifrado de datos entre el servidor de administración, el servidor de puerta de enlace y los agentesAuthentication and data encryption between management server, Gateway server, and agents

La comunicación entre estas características de Operations Manager comienza con la autenticación mutua.Communication among these Operations Manager features begins with mutual authentication. Si los certificados están presentes en ambos extremos del canal de comunicaciones, los certificados se usarán para autenticación mutua; de lo contrario, se usa el protocolo Kerberos versión 5.If certificates are present on both ends of the communications channel, then certificates will be used for mutual authentication; otherwise, the Kerberos version 5 protocol is used. Si dos características están separadas a través de un dominio que no es de confianza, se debe realizar la autenticación mutua mediante certificados.If any two features are separated across an untrusted domain, mutual authentication must be performed using certificates. Las comunicaciones normales como eventos, alertas y la implementación de un módulo de administración se producen a través de este canal.Normal communications, such as events, alerts, and deployment of a management pack, occur over this channel. La ilustración anterior muestra un ejemplo de una alerta generada en uno de los agentes que se enruta al servidor de administración.The previous illustration shows an example of an alert being generated on one of the agents that is routed to the management server. Desde el agente al servidor de puerta de enlace, el paquete de seguridad de Kerberos se utiliza para cifrar los datos, porque el servidor de puerta de enlace y el agente están en el mismo dominio.From the agent to the gateway server, the Kerberos security package is used to encrypt the data, because the gateway server and the agent are in the same domain. El servidor de puerta de enlace descifra la alerta, que se vuelve a cifrar mediante certificados para el servidor de administración.The alert is decrypted by the gateway server and re-encrypted using certificates for the management server. Una vez que el servidor de administración recibe la alerta, descifra el mensaje, lo vuelve a cifrar mediante el protocolo Kerberos y lo envía al servidor de administración, donde se descifra la alerta.After the management server receives the alert, the management server decrypts the message, re-encrypts it using the Kerberos protocol, and sends it to the management server where the management server decrypts the alert. La comunicación entre el servidor de administración y el agente puede incluir información de credenciales; por ejemplo, datos de configuración y tareas.Some communication between the management server and the agent may include credential information; for example, configuration data and tasks. El canal de datos entre el agente y el servidor de administración agrega otra capa de cifrado al cifrado de canal normal.The data channel between the agent and the management server adds another layer of encryption in addition to the normal channel encryption. No se requiere la intervención del usuario.No user intervention is required.

Servidor de administración y consola del operador, servidor de consola web y servidor de informesManagement server and Operations console, Web console server, and Reporting server

La autenticación y el cifrado de datos entre el servidor de administración y la consola del operador, el servidor de consola web o el servidor de informes se consiguen mediante la tecnología de Windows Communication Foundation (WCF).Authentication and data encryption between the management server and the Operations console, Web console server, or Reporting server is accomplished by using Windows Communication Foundation (WCF) technology. El intento inicial de autenticación se realiza mediante las credenciales del usuario.The initial attempt at authentication is made by using the user's credentials. Primero se intenta el protocolo Kerberos.The Kerberos protocol is attempted first. Si el protocolo Kerberos no funciona, se realiza otro intento mediante NTLM.If the Kerberos protocol does not work, another attempt is made using NTLM. Si la autenticación sigue generando error, se solicita al usuario que proporcione credenciales.If authentication still fails, the user is prompted to provide credentials. Una vez que se ha llevado a cabo la autenticación, se cifra la secuencia de datos como función del protocolo Kerberos o de SSL, si se usa NTLM.After authentication has taken place, the data stream is encrypted as a function of either the Kerberos protocol or SSL, if NTLM is used.

En el caso de un servidor de informes y un servidor de administración, después de que se ha producido la autenticación, se establece una conexión de datos entre el servidor de administración y el servidor de informes de SQL Server.In the case of a Reporting server and a management server, after authentication has occurred, a data connection is established between the management server and SQL Server Reporting Server. Esto se consigue mediante el uso estricto del protocolo Kerberos; por lo tanto, el servidor de administración y el servidor de informes deben residir en dominios de confianza.This is accomplished by strictly using the Kerberos protocol; therefore, the management server and Reporting Server must reside in trusted domains. Para obtener más información acerca de WCF, consulte el artículo de MSDN ¿Qué es Windows Communication Foundation?.For more information about WCF, see the MSDN article What Is Windows Communication Foundation.

Servidor de administración y almacenamiento de datos de informesManagement server and Reporting data warehouse

Entre un servidor de administración y el almacenamiento de datos de informes existen dos canales de comunicación:Two communication channels exist between a management server and the Reporting data warehouse:

  • Proceso de supervisión de host generado por el servicio de mantenimiento (servicio de administración de System Center) de un servidor de administración.The monitoring host process spawned by the health service (System Center Management service) in a management server
  • Los servicios de acceso a datos de System Center del servidor de administraciónThe System Center Data Access services in the management server

Proceso de host de supervisión y almacenamiento de datos de informesMonitoring Host Process and Reporting Data Warehouse

De forma predeterminada, el proceso de host de supervisión generado por el servicio de mantenimiento, que es responsable de escribir eventos recopilados y contadores de informes en el almacenamiento de datos, consigue la autenticación de Windows integrada al ejecutarse como la cuenta de escritura de datos especificada durante la instalación de Reporting.By default, the monitoring host process spawned by the Health Service, which is responsible for writing collected events and performance counters to the data warehouse, achieves Windows Integrated Authentication by running as the Data Writer Account specified during Reporting Setup. La credencial de la cuenta está almacenada de forma segura en una cuenta de ejecución denominada Cuenta de acción de almacenamiento de datos.The account credential is securely stored in a Run As Account called Data Warehouse Action Account. Esta cuenta de ejecución es miembro de un perfil de ejecución denominado Cuenta de almacenamiento de datos (que está asociada con las reglas de recopilación reales).This Run As Account is a member of a Run As Profile called Data Warehouse Account (which is associated with the actual collection rules).

Si el almacenamiento de datos de informes y el servidor de administración están separados por un límite de confianza (por ejemplo, cada uno reside en dominios diferentes sin confianza), no funcionará la autenticación de Windows integrada.If the Reporting data warehouse and the management server are separated by a trust boundary (for example, each resides in different domains with no trust), then Windows Integrated Authentication will not work. Para solucionar esta situación, el proceso de host de supervisión se puede conectar al almacenamiento de datos de informes mediante la autenticación de SQL Server.To work around this situation, the monitoring host process can connect to the Reporting data warehouse using SQL Server Authentication. Para ello, cree una nueva cuenta de ejecución (del tipo Cuenta simple) con la credencial de cuenta SQL y conviértala en miembro del perfil de ejecución denominado Cuenta de autenticación de SQL Server de almacenamiento de datos, con el servidor de administración como el equipo de destino.To do this, create a new Run As Account (of Simple Account type) with the SQL account credential and make it a member of the Run As Profile called Data Warehouse SQL Server Authentication Account, with the management server as the target computer.

Importante

De forma predeterminada, al perfil de ejecución Cuenta de autenticación de SQL Server del almacenamiento de datos se le asignó una cuenta especial a través del uso de la cuenta de ejecución del mismo nombre.By default, the Run As Profile, Data Warehouse SQL Server Authentication Account was assigned a special account through the use of the Run As Account of the same name. Nunca realice cambios en la cuenta asociada con el perfil de ejecución, Cuenta de autenticación de SQL Server del almacenamiento de datos.Never make any changes to the account that is associated with the Run As Profile, Data Warehouse SQL Server Authentication Account. En su lugar, cree su propia cuenta y su propia cuenta de ejecución, y convierta la cuenta de ejecución en miembro del perfil de ejecución Cuenta de autenticación de SQL Server del almacenamiento de datos al configurar la autenticación de SQL Server.Instead, create your own account and your own Run As Account and make the Run As Account a member of the Run As Profile, Data Warehouse SQL Server Authentication Account when configuring SQL Server Authentication.

A continuación, se describe la relación de las diversas credenciales de cuenta, cuentas de ejecución y perfiles de ejecución para la autenticación de Windows integrada y la autenticación de SQL Server.The following outlines the relationship of the various account credentials, Run As Accounts, and Run As Profiles for both Windows Integrated Authentication and SQL Server Authentication.

Predeterminado: Autenticación de Windows integradaDefault: Windows Integrated Authentication

  1. Perfil de ejecución: Cuenta de almacenamiento de datosRun As Profile: Data Warehouse Account

    • Cuenta de ejecución: acción de almacenamiento de datosRun As Account: Data Warehouse Action
    • Credenciales de cuenta: cuenta de escritura de datos (especificada durante la instalación)Account credentials: Data Writer Account (specified during setup)
  2. Perfil de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datosRun As Profile: Data Warehouse SQL Server Authentication Account

    • Cuenta de ejecución: autenticación de SQL Server de almacenamiento de datosRun As Account: Data Warehouse SQL Server Authentication
    • Credenciales de cuenta: Cuenta especial creada por Operations Manager (no la cambie)Account credentials: Special account created by Operations Manager (do not change)

Opcional: Autenticación de SQL ServerOptional: SQL Server Authentication

  1. Perfil de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datosRun As Profile: Data Warehouse SQL Server Authentication Account
    • Cuenta de ejecución: Una cuenta de ejecución que especificó durante la instalación.Run As Account: A Run As Account you specified during setup.
    • Credenciales de cuenta: una cuenta que especificó durante la instalación.Account credentials: An account you specified during setup.

Servicio de acceso a datos de System Center y almacenamiento de datos de informesThe System Center Data Access service and Reporting data warehouse

De forma predeterminada, el servicio de acceso a datos de System Center, que es responsable de la lectura de datos del almacenamiento de datos de informes y de que estén disponibles en el área de parámetros de informe, consigue la autenticación de Windows integrada al ejecutarse como la cuenta del servicio de acceso a datos y el servicio de configuración que se definió durante la instalación de Operations Manager.By default, the System Center Data Access service, which is responsible for reading data from the Reporting data warehouse and making it available in the Report Parameter Area, achieves Windows Integrated Authentication by running as the Data Access Service and Config Service account that was defined during setup of Operations Manager.

Si el almacenamiento de datos de informes y el servidor de administración están separados por un límite de confianza (por ejemplo, cada uno reside en dominios diferentes sin confianza), no funcionará la autenticación integrada de Windows.If the Reporting data warehouse and the management server are separated by a trust boundary (for example, each resides in different domains with no trust), then Windows Integrated Authentication would not work. Para solucionar esta situación, el servicio de acceso a datos de System Center se puede conectar al almacenamiento de datos de informes mediante la autenticación de SQL Server.To work around this situation, the System Center Data Access service can connect to the Reporting data warehouse using SQL Server Authentication. Para ello, cree una nueva cuenta de ejecución (del tipo Cuenta simple) con la credencial de cuenta SQL y conviértala en miembro del perfil de ejecución denominado Cuenta de autenticación de SQL Server del SDK de creación de informes, con el servidor de administración como el equipo de destino.To do this, create a new Run As Account (of Simple Account type) with the SQL account credential and make it a member of the Run As Profile called Reporting SDK SQL Server Authentication Account with the management server as the target computer.

Importante

De forma predeterminada, al perfil de ejecución Cuenta de autenticación de SQL Server del SDK de creación de informes se le asignó una cuenta especial a través del uso de la cuenta de ejecución del mismo nombre.By default, the Run As Profile, Reporting SDK SQL Server Authentication Account was assigned a special account through the use of the Run As Account of the same name. Nunca realice cambios en la cuenta asociada con el perfil de ejecución Cuenta de autenticación de SQL Server del SDK de creación de informes.Never make any changes to the account that is associated with the Run As Profile, Reporting SDK SQL Server Authentication Account. En su lugar, cree su propia cuenta y su propia cuenta de ejecución, y convierta a la cuenta de ejecución en miembro del perfil de ejecución Cuenta de autenticación de SQL Server del SDK de creación de informes al configurar la autenticación de SQL Server.Instead, create your own account and your own Run As Account, and make the Run As Account a member of the Run As Profile, Reporting SDK SQL Server Authentication Account when configuring SQL Server Authentication.

A continuación, se describe la relación de las diversas credenciales de cuenta, cuentas de ejecución y perfiles de ejecución para la autenticación de Windows integrada y la autenticación de SQL Server.The following outlines the relationship of the various account credentials, Run As Accounts, and Run As Profiles for both Windows Integrated Authentication and SQL Server Authentication.

Predeterminado: Autenticación de Windows integradaDefault: Windows Integrated Authentication

  1. Cuenta del servicio de acceso a datos y el servicio de configuración (definida durante la instalación de Operations Manager)Data Access Service and Config Service Account (defined during setup of Operations Manager)

    • Perfil de ejecución: Cuenta de autenticación de SQL Server del SDK de creación de informesRun As Profile: Reporting SDK SQL Server Authentication Account
    • Cuenta de ejecución: Cuenta de autenticación de SQL Server del SDK de creación de informesRun As Account: Reporting SDK SQL Server Authentication Account
    • Credenciales de cuenta: Cuenta especial creada por Operations Manager (no la cambie)Account credentials: Special account created by Operations Manager (do not change)
  2. Opcional: Autenticación de SQL ServerOptional: SQL Server Authentication

    • Perfil de ejecución: Cuenta de autenticación de SQL Server de almacenamiento de datosRun As Profile: Data Warehouse SQL Server Authentication Account
    • Cuenta de ejecución: Una cuenta de ejecución que especificó durante la instalación.Run As Account: A Run As Account you specified during setup.
    • Credenciales de cuenta: una cuenta que especificó durante la instalación.Account credentials: An account you specified during setup.

Consola del operador y servidor de informesOperations console and Reporting server

La consola del operador se conecta al servidor de informes en el puerto 80 mediante HTTP.The Operations console connects to Reporting Server on port 80 using HTTP. La autenticación se realiza mediante la autenticación de Windows.Authentication is performed by using Windows Authentication. Los datos se pueden cifrar mediante el canal SSL.Data can be encrypted by using the SSL channel.

Servidor de informes y almacenamiento de datos de informesReporting server and Reporting data warehouse

La autenticación entre el servidor de informes y el almacenamiento de datos de informes se consigue mediante la autenticación de Windows.Authentication between Reporting Server and the Reporting data warehouse is accomplished using Windows Authentication. La cuenta que se especificó como la cuenta de lectura de datos durante la instalación de Informes se convierte en la cuenta de ejecución del servidor de informes.The account that was specified as the Data Reader Account during setup of Reporting becomes the Execution Account on Reporting Server. Si debe cambiar la contraseña de la cuenta, debe realizar el mismo cambio de contraseña utilizando el Administrador de configuración de Reporting Services en SQL Server.If the password for the account should change, you will need to make the same password change using the Reporting Services Configuration Manager in SQL Server. Los datos entre el servidor de informes y el almacenamiento de datos de informes no se cifran.The data between the Reporting Server and the Reporting data warehouse is not encrypted.