Paso 3: Preparar un servidor de PAM
Instalar Windows Server 2016 o 2019
En una tercera máquina virtual, instale Windows Server 2016 o 2019 para crear PAMSRV. Dado que SQL Server servicio MIM y, opcionalmente, SharePoint 2013, se instalará en este equipo, requiere al menos 8 GB de RAM.
Al instalar, especifique Windows Server 2016 (Servidor con experiencia de escritorio).
Revise los términos de licencia y acéptelos.
Seleccione Personalizado: Instale Solo Windows y use el espacio en disco sin inicializar, ya que el disco estará vacío.
Inicie sesión en ese nuevo equipo como administrador. Mediante el Panel de control, asígnele una dirección IP estática en la red virtual, configure esa interfaz de red para que envíe consultas DNS a la dirección IP de PRIVDC y establezca el nombre del equipo en PAMSRV. Esto requerirá el reinicio del servidor.
Si la red virtual no proporciona conectividad a Internet, agregue una interfaz de red adicional al equipo que proporciona una conexión a Internet. Esto solo será necesario para descargar actualizaciones y para la instalación de SharePoint, y se puede deshabilitar una vez completado este paso.
Espere a que se reinicie el servidor. Una vez reiniciado el servidor, inicie sesión como administrador. Mediante el Panel de control, configure el equipo para que compruebe si hay actualizaciones y para que instale todas las actualizaciones necesarias. Esto podría precisar el reinicio del servidor.
Espere a que se reinicie el servidor. Una vez que el servidor se haya reiniciado, inicie sesión como administrador, abra el Panel de control y una PAMSRV al dominio PRIV (priv.contoso.local). Para ello se deberá proporcionar el nombre de usuario y las credenciales de un administrador de dominio PRIV (PRIV\Administrador). Después de que aparezca el mensaje de bienvenida, cierre el cuadro de diálogo y reinicie este servidor.
Incorporación de los roles de servidor web (IIS) y servidor de aplicaciones
Agregue el rol Servidor web (IIS), las características de .NET Framework 3.5 y 4.6 y el módulo de Active Directory para Windows PowerShell. Si tiene previsto instalar SharePoint, agregue también otras características requeridas por SharePoint.
Inicie sesión como administrador de dominio PRIV (PRIV\Administrador) e inicie PowerShell.
Escriba los siguientes comandos: Tenga en cuenta que puede que sea necesario especificar una ubicación diferente para los archivos de origen de las características de .NET Framework 3.5. Normalmente, estas características no están presentes cuando se instala Windows Server, pero están disponibles en la carpeta en paralelo (SxS) de la carpeta orígenes de disco de instalación del sistema operativo, por ejemplo,
d:\Sources\SxS\
.import-module ServerManager Install-WindowsFeature Web-WebServer, Net-Framework-Features, rsat-ad-powershell,Web-Mgmt-Tools, Windows-Identity-Foundation,Server-Media-Foundation, Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxS
Configuración de la directiva de seguridad del servidor
Configure la directiva de seguridad del servidor para permitir que las cuentas recién creadas se ejecuten como servicios.
Inicie el programa Directiva de seguridad local .
Vaya a Directivas locales>Asignación de derechos de usuario.
Vea el panel de detalles, haga clic con el botón derecho en Iniciar sesión como servicio y seleccione Propiedades.
Haga clic en Agregar usuario o grupo y, en Nombres de usuario y grupo, escriba priv\mimmonitor; priv\MIMService; priv\SharePoint; priv\mimcomponent; priv\SqlServer. Haga clic en Comprobar nombres y luego en Aceptar.
Seleccione Aceptar para cerrar la ventana de propiedades.
Vea el panel de detalles, haga clic con el botón derecho en Denegar acceso a este equipo desde la red y seleccione Propiedades.
Haga clic en Agregar usuario o grupo y, en Nombres de usuario y grupo, escriba priv\mimmonitor; priv\MIMService; priv\mimcomponent y haga clic en Aceptar.
Seleccione Aceptar para cerrar la ventana de propiedades.
Vea el panel de detalles, haga clic con el botón derecho en Denegar inicio de sesión localmente y seleccione Propiedades.
Haga clic en Agregar usuario o grupo y, en Nombres de usuario y grupo, escriba priv\mimmonitor; priv\MIMService; priv\mimcomponent y haga clic en Aceptar.
Seleccione Aceptar para cerrar la ventana de propiedades.
Cierre la ventana Directiva de seguridad local.
Inicie Panel de control y cambie a Cuentas de usuario.
Haga clic en Conceder acceso al equipo a otros usuarios.
Haga clic en Agregar, escriba el usuario MIMADMIN en el dominio PRIV y, en la siguiente pantalla del asistente, haga clic en Agregar este usuario como administrador.
Haga clic en Agregar, escriba el usuario SharePoint en el dominio PRIV y, en la siguiente pantalla del asistente, haga clic en Agregar este usuario como administrador.
Cierre el Panel de control.
Cambio de la configuración de IIS
Hay dos formas de cambiar la configuración de IIS para permitir que las aplicaciones usen el modo de autenticación de Windows. Asegúrese de que ha iniciado sesión como MIMAdmin y, a continuación, siga una de estas opciones.
Si quiere usar PowerShell:
Haga clic con el botón derecho en PowerShell y seleccione Ejecutar como administrador.
Detenga IIS y desbloquee la configuración del host de la aplicación mediante estos comandos.
iisreset /STOP C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost iisreset /START
Si quiere usar un editor de texto como el Bloc de notas:
- Abra el archivo C:\Windows\System32\inetsrv\config\applicationHost.config.
- Desplácese hasta la línea 82 de ese archivo. El valor de etiqueta de overrideModeDefault debe ser
<section name="windowsAuthentication" overrideModeDefault="Deny" />
. - Cambie el valor de overrideModeDefault a Allow.
- Guarde el archivo y reinicie IIS con el comando
iisreset /START
de PowerShell .
Instalación de bibliotecas de requisitos previos
Instale los paquetes redistribuibles de Visual C++ 2013 para Windows Server de 64 bits.
Si usa TLS 1.2 o el modo FIPS en el dominio PRIV, consulte MIM 2016 SP2 en "solo TLS 1.2" o entornos en modo FIPS para obtener más requisitos previos.
Instalar SQL Server
Si SQL Server no está en el entorno bastión, instale SQL Server 2012 (Service Pack 1 o posterior), SQL Server 2014 o posterior. En los siguientes pasos se supone que se ha instalado SQL 2014.
- Asegúrese de iniciar sesión como MIMAdmin.
- Haga clic con el botón derecho en PowerShell y seleccione Ejecutar como administrador.
- Vaya al directorio donde se encuentra el programa de instalación de SQL Server.
- Escriba el siguiente comando:
.\setup.exe /Q /IACCEPTSQLSERVERLICENSETERMS /ACTION=install /FEATURES=SQL,SSMS /INSTANCENAME=MSSQLSERVER /SQLSVCACCOUNT="PRIV\SqlServer" /SQLSVCPASSWORD="Pass@word1" /AGTSVCSTARTUPTYPE=Automatic /AGTSVCACCOUNT="NT AUTHORITY\Network Service" /SQLSYSADMINACCOUNTS="PRIV\MIMAdmin"
Cambio de la configuración de actualización
- Abra Configuración y vaya a Windows Update.
- Compruebe si hay nuevas actualizaciones y asegúrese de que las actualizaciones importantes pendientes de Windows Server o SQL Server estén instaladas antes de continuar.
Instalar SharePoint Server 2016 o 2019 (solo es necesario para el portal de MIM)
En las secciones siguientes de este artículo solo se necesitan requisitos previos si se instala el portal de MIM. Si no va a instalar el portal de MIM, continúe con el paso 4 para instalar otros componentes de MIM.
Use la guía para preparar Sharepoint para instalar SharePoint Server 2016 o 2019.
Establecimiento del sitio web como la intranet local
- Inicie Internet Explorer y abra una nueva pestaña del explorador web.
- Vaya a
http://pamsrv.priv.contoso.local:82/
e inicie sesión como PRIV\MIMAdmin. Se mostrará un sitio vacío de SharePoint denominado "Portal de MIM". - En Internet Explorer, abra Opciones de Internet, cambie a la pestaña Seguridad, seleccione Intranet local y agregue la dirección URL
http://pamsrv.priv.contoso.local:82/
.
Si se produce un error de inicio de sesión, puede que sea necesario actualizar los SPN de Kerberos que se crearon en el paso 2.
Inicio del servicio de administración de SharePoint
Mediante Servicios (que se encuentra en Herramientas administrativas), inicie el servicio Administración de SharePoint si aún no se está ejecutando.
En el paso 4, empezará a instalar los componentes de MIM en el servidor PAM.