No se puede ver un equipo de grupo de trabajo cuando se instala un agente de Operations Manager en él sin usar un servidor de puerta de enlace

En este artículo se proporciona una solución para el problema de que no se puede configurar un servidor de System Center Operations Manager para supervisar un equipo de grupo de trabajo remoto que no es de confianza sin usar un servidor de puerta de enlace.

Versión del producto original:   System Center 2012 Operations Manager
Número de KB original:   947691

Síntomas

Cuando intenta instalar un agente de System Center Operations Manager en un equipo de grupo de trabajo sin usar un servidor de puerta de enlace, Operations Manager no puede ver el equipo del grupo de trabajo.

Además, se registra el siguiente mensaje de error en el registro de eventos de Operations Manager:

IDENTIFICADOR de evento: 21007 el conector de OpsMgr no puede crear una conexión mutuamente autenticada para <servidor de administración> porque no se encuentra en un dominio de confianza.
IDENTIFICADOR de evento: 21016 OpsMgr no pudo configurar un canal de comunicación para <servidor de administración> y no hay hosts de conmutación por error

Causa

Este problema suele producirse cuando el agente no puede establecer un canal de comunicación de seguridad con el servidor de administración porque los certificados correctos no están disponibles. Este problema se produce porque los agentes del grupo de trabajo no pueden usar el protocolo Kerberos para la autenticación mutua. Los certificados deben usarse en un entorno en el que no se use el protocolo Kerberos.

Solución

Para solucionar este problema, puede configurar un servidor de Operations Manager para supervisar un equipo de grupo de trabajo remoto que no es de confianza sin usar un servidor de puerta de enlace. Para ello, es necesario realizar la autenticación de certificados entre el servidor de administración y el equipo de grupo de trabajo administrado por agente. Presumiblemente, este escenario será común en una red perimetral (también conocida como DMZ, zona desmilitarizada y subred filtrada).

Para configurar un servidor de Operations Manager para supervisar un equipo de grupo de trabajo administrado por agente independiente, debe disponer de los siguientes certificados:

  • Un certificado raíz de entidad de certificación (CA) importado para el servidor de administración y para el equipo de grupo de trabajo
  • Un certificado para el servidor de administración. El nombre común (CN) del certificado debe ser un nombre de dominio completo (FQDN).
  • Un certificado para el equipo del grupo de trabajo

Si el equipo del grupo de trabajo se resuelve mediante un FQDN, el equipo también debe usar el formato FQDN para solicitar el certificado para este equipo. De lo contrario, recibirá este mensaje de error:

No se pudo cargar el certificado especificado porque el nombre del firmante del certificado no coincide con el nombre del equipo local
Nombre del firmante del certificado: <Certificate Subject Name>
Nombre del equipo: <Computer Name>

Cómo supervisar un equipo de grupo de trabajo sin usar un servidor de puerta de enlace

  1. Importe los certificados de CA raíz para el servidor de administración y para el equipo de grupo de trabajo administrado por agente. Para ello, siga estos pasos:

    Nota

    Debe seguir estos pasos en el servidor de administración y en el equipo del grupo de trabajo. Debe tener una entidad de certificación (CA) raíz instalada y debe poder crear otro certificado mediante identificadores de objeto (OID). Si no tiene una entidad de certificación raíz instalada, vea la sección Cómo instalar una entidad de certificación raíz en un dominio .

    1. En el escritorio del servidor, abra un explorador Web y, a continuación, señale al servidor de la entidad de certificación. Por ejemplo, escriba la dirección http://<certification_authority_server>/certsrv.

    2. Seleccione Descargar certificado de CA, cadena de certificados o CRL.

    3. Seleccione Descargar cadena de certificados de CA. Se descarga un certificado denominado Certnew. p7b. Guarde este certificado en el escritorio.

    4. Una vez finalizada la descarga, seleccione Inicio, seleccione Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar para abrir una instancia de Microsoft Management Console (MMC).

    5. En el menú archivo , seleccione Agregar o quitar complemento > Agregar > certificados.

    6. Seleccione Agregar > cuenta de equipoa > continuación.

    7. Seleccione el equipo local > terminarel > cierre > correcto.

    8. En entidades de certificación raíz de confianza, haga clic con el botón secundario en certificados, seleccione todas las tareasy, a continuación, seleccione importar.

    9. Seleccione importara > continuación.

    10. Cuando se le pida el archivo del certificado, seleccione examinar.

    11. Cambiar archivos de tipo a certificados de #7 PKCS ( * . SPC, *. p7b).

    12. Seleccione el archivo de certificado correspondiente que ha descargado del servidor de la entidad de certificación y, a continuación, seleccione abrir.

    13. Seleccione siguiente > fin.

  2. Configure el servidor de la entidad de certificación raíz de la empresa para admitir los certificados de Operations Manager. Para ello, siga estos pasos:

    1. Use credenciales de administrador de dominio para iniciar sesión en el servidor de entidad de certificación subordinada de empresa.

    2. Seleccione Inicio, seleccione Ejecutar, escriba mmc y, a continuación, presione Entrar.

    3. En el menú archivo , seleccione Agregar o quitar complemento.

    4. Seleccione Agregar.

    5. En Agregar un complemento independiente, seleccione plantillas de certificadoy, a continuación, seleccione Agregar.

    6. Seleccione entidad de certificacióny, a continuación, seleccione Agregar.

    7. En el complemento entidad de certificación , seleccione la opción equipo local (el equipo en el que se está ejecutando esta consola) .

    8. Seleccione Finalizar.

    9. Seleccione cerrary, después, haga clic en Aceptar.

    10. En el complemento entidad de certificación , compruebe que aparezcan el complemento plantillas de certificados y el complemento entidad de certificación .

    11. Seleccione plantillas de certificado.

    12. En el panel de detalles, haga clic con el botón secundario en equipoy seleccione plantilla duplicada.

    13. En la pestaña General , cambie el nombre de la plantilla por un nombre significativo para su organización. Por ejemplo, puede usar OpsMgr2012 como el nombre de la plantilla. Compruebe que el período de validez cumple los requisitos de la organización.

    14. Seleccione la pestaña Administración de solicitudes y, a continuación, seleccione permitir que la clave privada se exporte.

    15. Seleccione la pestaña nombre de sujeto y, a continuación, seleccione suministrar en la opción solicitar .

    16. Seleccione la ficha Seguridad.

    17. Conceda permisos de inscripción e inscripción automática para los siguientes grupos de todos los dominios:

      • Usuarios autenticados
      • Administradores de dominio
      • Equipos del dominio
      • Administradores de organización
    18. Seleccione aplicary, después, seleccione Aceptar.

    19. Para comprobar la configuración, expanda plantillas de certificado.

    20. En el panel de detalles, haga clic con el botón secundario en la plantilla que ha configurado, seleccione propiedades, Compruebe la configuración y, después, seleccione Aceptar.

    21. Expanda entidad de certificación (local) y, a continuación, expanda la entidad de certificación.

    22. En el árbol de la consola, haga clic con el botón secundario en plantillas de certificado, seleccione nuevoy, a continuación, seleccione plantilla de certificado para emitir.

    23. Seleccione la nueva plantilla y, a continuación, haga clic en Aceptar.

    24. Compruebe que la nueva plantilla aparece en el panel de detalles y, a continuación, compruebe que la entrada autenticación de servidor y la entrada de autenticación de cliente aparecen en propósito previsto.

    25. Cierre el complemento.

    26. Seleccione Inicio, seleccione Ejecutar, escriba gpupdate /force en el campo abrir y, a continuación, presione Entrar.

      Nota

      Este paso fuerza una actualización de la Directiva de grupo en el controlador de dominio y una replicación de estos cambios en todo el bosque.

    27. Seleccione Inicio, seleccione ejecutar, escriba http://<Name_of_the_issuing_CA_Server>/certsrv en el campo abrir y, a continuación, presione Entrar.

    28. Si se le pide, escriba el nombre y la contraseña de la cuenta de administrador de dominio.

    29. En la página servicios de certificados , seleccione solicitar un certificado en seleccionar una tarea.

    30. Seleccione solicitud de certificado avanzada.

    31. Seleccione crear y enviar una solicitud a esta CA.

    32. En la lista plantilla de certificado , compruebe que aparece la nueva plantilla de certificado.

  3. Envíe la solicitud de certificado al servidor de la entidad de certificación. Para ello, siga estos pasos en el servidor de administración y en el equipo del grupo de trabajo:

    1. Seleccione Inicio, seleccione ejecutar, escriba http://<Name_of_the_issuing_CA_Server>/certsrv en el campo abrir y, a continuación, presione Entrar.

    2. Si se le pide, escriba el nombre y la contraseña de la cuenta de administrador de dominio.

    3. En la página servicios de certificados , seleccione solicitar un certificado en seleccionar una tarea.

    4. Seleccione solicitud de certificado avanzada.

    5. Seleccione crear y enviar una solicitud a esta CA.

    6. En el campo plantilla de certificado , seleccione el nombre de plantilla que configuró en el paso 2. Por ejemplo, seleccione OpsMgr2012.

    7. En el campo nombre , escriba el FQDN del servidor de administración.

    8. Active la casilla de verificación marcar clave como exportable . Cuando use la interfaz de usuario de solicitud de certificado Web, también debe comprobar el cuadro almacenar el certificado en el almacén de certificados de proceso local .

      Nota

      Si no lo hace, no se podrá usar el certificado.

    9. Seleccione Enviar para enviar la solicitud al servidor de la entidad de certificación y, a continuación, siga las instrucciones que aparecen en la pantalla.

    10. En función de la configuración de seguridad de la entidad de certificación, debe esperar a que un administrador apruebe manualmente la solicitud. No se garantiza que la entidad de certificación pueda descargarse de inmediato.

    11. Compruebe el certificado. Para ello, siga estos pasos:

      1. Seleccione Inicio, seleccione Ejecutar, escriba mmc y, a continuación, presione Entrar.
      2. En el menú archivo , seleccione Agregar o quitar complemento.
      3. Seleccione Agregar.
      4. Seleccione el complemento certificados y, a continuación, seleccione Agregar.
      5. Seleccione mi cuenta de usuario, haga clic en Finalizar, seleccione cerrar para cerrar la lista de complementos y, a continuación, seleccione Aceptar para cerrar la ventana Agregar o quitar complemento .
      6. Expanda certificados: usuario actual, expanda personal, expanda certificadosy, a continuación, seleccione el certificado de servidor.
      7. Haga doble clic en el certificado y, a continuación, seleccione la pestaña detalles .
      8. En la lista, seleccione uso mejorado de clave. Debe ver las siguientes entradas:
        • Autenticación de cliente (1.3.6.1.5.5.7.3.2)
        • Autenticación del servidor (1.3.6.1.5.5.7.3.1)
  4. Configure el servidor de Operations Manager 2012 para usar certificados que se puedan exportar desde el almacén privado del equipo. Para ello, siga estos pasos:

    1. Seleccione Inicio, seleccione Ejecutar, escriba mmc y, a continuación, presione Entrar.
    2. En el menú archivo , seleccione Agregar o quitar complemento.
    3. Seleccione Agregar.
    4. Seleccione certificadosy, después, haga clic en Agregar.
    5. Seleccione cuenta de equipoy, después, haga clic en Finalizar.
    6. Seleccione equipo local, haga clic en Finalizar, seleccione cerrar para cerrar la lista de complementos y, a continuación, seleccione Aceptar para cerrar la ventana Agregar o quitar complemento .
    7. Expanda certificados (equipo local), expanda personal, expanda certificadosy, a continuación, seleccione un certificado adecuado.
    8. Haga clic con el botón derecho en el certificado, seleccione todas las tareasy, a continuación, seleccione exportar.
    9. Seleccione Siguiente.
    10. Seleccione sí, exportar la clave privaday, a continuación, seleccione siguiente.
    11. Use la configuración predeterminada para el formato de archivo.
    12. Escriba una contraseña para el archivo.
    13. Escriba un nombre de archivo y, a continuación, seleccione siguiente.
    14. Seleccione Finalizar.
    15. Repita todos estos pasos en el servidor de administración y en el equipo del grupo de trabajo.
  5. Instale el agente en el equipo del grupo de trabajo. Para ello, siga estos pasos.

    Nota

    Como está realizando una instalación manual del agente, debe usar el archivo ejecutable del agente de instalación que está disponible en la carpeta \Agent\i386 en la ubicación de distribución de Operations Manager.

    1. Ejecute el archivo de MOMAgent.msi.
    2. En la pantalla de bienvenida , seleccione siguiente.
    3. Cuando se le pida el destino de una carpeta para el software, acepte la ubicación predeterminada y, a continuación, seleccione siguiente.
    4. Cuando se le pida que configure la información del grupo de administración, acepte la configuración predeterminada y, a continuación, seleccione siguiente.
    5. Escriba el nombre del grupo de administración, el nombre del servidor de administración y el puerto y, a continuación, seleccione siguiente.
    6. Acepte la configuración predeterminada y, a continuación, seleccione siguiente.
    7. Compruebe que toda la información que ha escrito es correcta y, después, seleccione instalar para iniciar la instalación.
    8. Una vez finalizada la instalación, seleccione Finalizar para salir de la instalación.
  6. Use la herramienta Momcertimport para importar el certificado. Para ello, siga estos pasos:

    Nota

    La herramienta Momcertimport se usa para escribir el número de serie del certificado específico en el registro. Debe seguir estos pasos en el servidor de administración y en el equipo del grupo de trabajo. Asegúrese de que el agente de Operations Manager esté instalado en el equipo del grupo de trabajo. En caso contrario, recibirá un error al ejecutar la herramienta Momcertimport.

    1. Haga clic en Inicio y, a continuación, en Ejecutar.

    2. En el campo abrir , escriba cmd y, a continuación, seleccione Aceptar.

    3. En el símbolo del sistema, escriba drive_letter: y, a continuación, presione Entrar.

      Nota

      drive_letter es la unidad en la que se encuentra el medio de instalación de Operations Manager.

    4. Escriba cd \SupportTools\i386 y, a continuación, presione Entrar.

    5. Escriba el siguiente comando y presione ENTRAR:

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m
      
    6. Reinicie el servicio de mantenimiento de Operations Manager.

  7. Espere a que el servidor de administración vea la instalación manual y solicite la aprobación. Esto debe tardar un tiempo (de 5 a diez minutos). Cuando se te pida, aprueba el agente. El agente de grupo de trabajo ahora puede comunicarse con el servidor.

Cómo instalar una entidad de certificación raíz en un dominio

Nota

Si el sitio ya tiene una entidad de certificación raíz, omita estos pasos.

Para instalar los servicios de la entidad de certificación en un controlador de dominio, siga estos pasos. Este procedimiento de ejemplo usa un controlador de dominio. Sin embargo, puede instalar la entidad de certificación raíz en cualquier lugar de su dominio.

  1. Inicie sesión en un controlador de dominio.

  2. Seleccione Inicio, seleccione Panel de control, haga doble clic en Agregar o quitar programasy, a continuación, seleccione Agregar o quitar componentes de Windows.

  3. Desplácese hacia abajo hasta encontrar servicios de certificadosy, a continuación, selecciónelo. Asegúrese de seleccionar las dos subopciones para los servicios. Al seleccionar estos componentes, recibirá un mensaje de advertencia. Este mensaje le indica que no debe cambiar el nombre del equipo ni su pertenencia al dominio. Después de leer la advertencia, seleccione para continuar y, a continuación, seleccione siguiente.

  4. Cuando el asistente le solicite el tipo de CA, seleccione entidad de certificación raíz independientey, a continuación, seleccione siguiente.

  5. Cuando el asistente le solicite un nombre común para la entidad de certificación, use el nombre NetBIOS o el nombre de host del sistema de nombres de dominio (DNS). En este ejemplo, escriba DC01 y, a continuación, seleccione siguiente.

  6. Acepte la configuración predeterminada de la base de datos y, a continuación, seleccione siguiente.

Los servicios de la entidad de certificación ahora están instalados en el servidor. Para obtener acceso a los servicios, visite el sitio web http://<server_name>/certsrv. En este ejemplo, escriba http://dc01/certsrv .