Instalación de un servidor de puerta de enlace

Normalmente, los servidores de puerta de enlace se usan para habilitar la supervisión de equipos cliente que están fuera del límite de confianza de Kerberos de los grupos de administración. Sin embargo, las puertas de enlace también son útiles dentro del mismo dominio, como si hubiera un requisito para segmentar la red y reducir el número de puertos de firewall abiertos. Otro escenario consiste en usar puertas de enlace para agentes que están demasiado "lejos" para conectarse de forma confiable a un servidor de administración dentro del intervalo de latido de cinco minutos.

Los agentes se comunican directamente con el servidor de puerta de enlace y el servidor de puerta de enlace se comunica con uno o varios servidores de administración. Se pueden colocar varios servidores de puerta de enlace en un solo dominio para que los agentes puedan conmutar por error entre uno y otro si pierden la comunicación con su puerta de enlace principal. Asimismo, se puede configurar un único servidor de puerta de enlace para conmutar por error entre servidores de administración para que no exista ningún único punto de error en la cadena de comunicación. El servidor de puerta de enlace actúa como proxy para la comunicación entre el agente y el servidor de administración, lo que permite abrir un solo puerto entre redes en lugar de muchos. Los certificados deben usarse para establecer la identidad de cada equipo cuando se encuentra fuera del límite de confianza de Kerberos. Sin certificados, los sistemas pueden conectarse pero rechazar la comunicación debido a que no se puede autenticar la conexión.

Antes de continuar, asegúrate de que el servidor cumple los requisitos mínimos del sistema para System Center -Operations Manager. Para obtener más información, consulta Requisitos del sistema de System Center Operations Manager.

Nota:

Si las directivas de seguridad restringen TLS 1.0 y 1.1, se produce un error al instalar un nuevo rol de servidor de puerta de enlace de Operations Manager 2016 porque el medio de instalación no incluye las actualizaciones para admitir TLS 1.2. La única manera de instalar este rol pasa por habilitar TLS 1.0 en el sistema, aplicar el paquete acumulativo de actualizaciones 4 y, a continuación, habilitar TLS 1.2 en el sistema.

Requisitos previos

Para poder continuar con la instalación del rol de puerta de enlace en un escenario estándar, hay tres aspectos principales que debemos tener listos e implantados:

1. Los certificados deben generarse para la puerta de enlace y los servidores de administración e instalarse en los almacenes de certificados.
   • Si la puerta de enlace y los servidores del cliente se usan en un escenario de grupo de trabajo, los clientes también necesitan certificados.
2. El servidor de puerta de enlace previsto debe estar "Aprobado" para ser una puerta de enlace en el grupo de administración antes de la instalación.
3. El puerto 5723 debe estar abierto entre la puerta de enlace y el servidor de administración, tal como se define en la guía: Configuración de un firewall para Operations Manager.

Certificados y resolución de nombres

1. La implementación de servidores de puerta de enlace en dominios sin una confianza transitiva bidireccional o en un grupo de trabajo requiere el uso de certificados para la autenticación. Los servidores de administración principales y de conmutación por error necesitan uno además de la puerta de enlace que se conecta a ellos. Estos certificados pueden provenir de una ENTIDAD de certificación de Servicios de certificados de Microsoft o una CA que no sea de Microsoft, si están configuradas correctamente para Operations Manager. Si necesitas ayuda para crear estos certificados, usa la guía: Obtención de un certificado para su uso con servidores de Windows y System Center Operations Manager

   Nota:

   • Los servidores de puerta de enlace que están en el mismo dominio o en un límite de confianza compartido que el grupo de administración no requieren certificados.
   • Si la puerta de enlace y los agentes están en un grupo de trabajo, necesitamos certificados para cada servidor de administración, puerta de enlace y equipo cliente, ya que no hay ningún dominio dentro de un grupo de trabajo para facilitar la autenticación de los sistemas.

2. Debe existir una resolución de nombres confiable entre los equipos administrados por el agente y el servidor de puerta de enlace, y entre el servidor de puerta de enlace y el servidor de administración. Normalmente, esta resolución de nombres se realiza a través de DNS. Pero si no es posible obtener la resolución de nombres adecuada a través de DNS, puede que sea necesario crear manualmente entradas en el archivo de hosts de cada equipo.

   Importante

   Las resoluciones de nombres directos e inversos se comprueban antes de que se lleve a cabo la autenticación entre servidores. Si recibimos otro nombre de host o FQDN al comprobar la dirección IP, se produce un error en la autenticación.

   Sugerencia

   El archivo de hosts, que se encuentra en el directorio %SystemRoot%\system32\drivers\etc, contiene las instrucciones para la configuración. Este archivo debe editarse en un Bloc de notas u otra aplicación que se ejecute como administrador.

Registrar la puerta de enlace con el grupo de administración

Para evitar problemas posteriores, es importante registrar y aprobar la máquina de puerta de enlace prevista como puerta de enlace antes de la instalación; de lo contrario, corremos el riesgo de que la puerta de enlace se detecte como un agente.

Estos pasos los deben realizar desde un servidor de administración, preferiblemente el servidor principal o "RMSE".

1. Hay un archivo ejecutable incluido con el soporte de instalación de Operations Manager denominado "Microsoft.EnterpriseManagement.GatewayApprovalTool.exe", que se puede encontrar en el soporte de instalación en ..\SupportTools\amd64\.

2. Una vez localizado, copia este archivo ejecutable y el archivo de configuración con el mismo nombre en la ruta de instalación en: %ProgramFiles%\Microsoft System Center\Operations Manager\Server

3. Abre un símbolo del sistema como administrador y ve al directorio de instalación de Operations Manager. (ex. cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server)

4. Usa el siguiente comando para registrar la puerta de enlace prevista como puerta de enlace y asegúrate de reemplazar los nombres de servidor por los tuyos propios:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /Action=Create
   

   Nota:

   Para evitar que el servidor de puerta de enlace inicie la comunicación con un servidor de administración, use el parámetro /ManagementServerInitiatesConnection=True en el comando . De forma predeterminada, la puerta de enlace inicia la comunicación, pero este parámetro es útil si desea evitar el acceso entrante al dominio principal desde la red donde se encuentra la puerta de enlace. Por ejemplo:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=MS01.contoso.com /GatewayName=GW01.dmz.contoso.com /ManagementServerInitiatesConnection=True /Action=Create
   

5. Si la aprobación se realiza correctamente, se devuelve el mensaje The approval of server <GatewayFQDN> completed successfully. .

6. Si necesitas quitar el servidor de puerta de enlace del grupo de administración, ejecuta el mismo comando, pero sustituye /Action=Create por la marca /Action=Delete.

7. Abre la consola de Operations en la vista Supervisión. Selecciona la vista Inventario detectado para saber si el servidor de puerta de enlace está presente. También debes ser visible en Administración > Administración de dispositivos > Servidores de administración.

El proceso de instalación

Una vez registrado el servidor de puerta de enlace previsto con el grupo de administración, es el momento de instalar el rol en la nueva puerta de enlace.

Nota:

Se produce un error en la instalación al iniciar Windows Installer (por ejemplo, al instalar un servidor de puerta de enlace haciendo doble clic en MOMGateway.msi) si la directiva de seguridad local "Control de cuentas de usuario: ejecutar todos los administradores en modo de aprobación de administrador" está habilitada.

Sugerencia

Si experimentas problemas durante la instalación, los registros se encuentran aquí: %LocalAppData%\SCOM\Logs

Instalación mediante la GUI

Haz lo siguiente para instalar el servidor de la puerta de enlace:

1. Inicie sesión en el servidor de puerta de enlace con derechos de Administrador.

2. En el soporte de instalación de Operations Manager, inicia Setup.exe.

3. En el área Instalar, selecciona el vínculo Servidor de administración de puerta de enlace (no el vínculo grande "Instalar" que hay hacia la parte inferior de la ventana).

4. En la pantalla de bienvenida, seleccione Siguiente.

5. En la página Carpeta de destino, acepta el valor predeterminado o bien selecciona Cambiar para seleccionar otro directorio de instalación y luego selecciona Siguiente.

6. En la página Configuración del grupo de administración, escribe el nombre del grupo de administración de destino en el campo Nombre del grupo de administración, escribe el nombre del servidor administración de destino en el campo Servidor de administración, comprueba que el campo Puerto de servidor de administración es 5723 y selecciona Siguiente.

7. En la página Cuenta de acción de la puerta de enlace, selecciona la opción de cuenta de Sistema local, a menos que uses una cuenta de acción de puerta de enlace basada en dominio o en equipo local. Seleccione Siguiente.

8. En la página Microsoft Update, opcionalmente indica si quieres usar Microsoft Update y selecciona Siguiente. (Normalmente, esta selección debe ser No).

9. En la página Preparado para instalar , seleccione Instalar.

10. En la página Finalización, selecciona Finalizar.

Instalación mediante el símbolo del sistema

Haz lo siguiente para instalar el servidor de puerta de enlace desde el símbolo del sistema:

1. Inicia sesión en el servidor de puerta de enlace con derechos de Administrador.
2. Abre una nueva ventana del símbolo del sistema mediante la opción Ejecutar como administrador.
3. Ejecuta el siguiente comando, donde path\to\Installer es la ruta de acceso del medio de instalación. Encontrará MOMGateway.msi en el medio de instalación de Operations Manager, en ..\gateway\amd64\.

Sugerencia

El carácter ^ se usa para permitir la entrada de varias líneas en el símbolo del sistema, mejorando así la legibilidad y facilitando la edición. Si el comando no funciona en el entorno, quite los caracteres ^ y asegúrese de que el comando está en una sola línea.

Si usas LocalSystem como la cuenta de acción:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=1 ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Si usas un Usuario de dominio como cuenta de acción:

%WinDir%\System32\msiexec.exe /i C:\path\to\Installer\gateway\amd64\MOMGateway.msi /qn /l*v %LocalAppData%\SCOM\Logs\GatewayInstall.log ^
AcceptEndUserLicenseAgreement=1 ^
ADDLOCAL=MOMGateway ^
MANAGEMENT_GROUP="ManagementGroupName" ^
IS_ROOT_HEALTH_SERVER=0 ^
ROOT_MANAGEMENT_SERVER_AD="MS01.contoso.com" ^
ROOT_MANAGEMENT_SERVER_DNS="MS01.contoso.com" ^
ACTIONS_USE_COMPUTER_ACCOUNT=0 ^
ACTIONSDOMAIN="DomainName" ^
ACTIONSUSER="ActionAccountName" ^
ACTIONSPASSWORD="Password" ^
ROOT_MANAGEMENT_SERVER_PORT=5723 ^
INSTALLDIR="C:\Program Files\System Center Operations Manager"

Importante

La contraseña de la cuenta de acción no puede contener caracteres "no válidos" en el símbolo del sistema, como: & < > ( ) @ ^ | ". Si lo hace, se produce un error en la instalación, ya que no puede analizar la cadena, cambiar la contraseña para que no contenga estos caracteres y, a continuación, ajustarla entre comillas dobles dentro del propio comando.

Importación de certificados con la herramienta de MOMCertImport.exe

Realiza esta operación en cada puerta de enlace y servidor de administración, junto con los equipos cliente que se van a administrar en un grupo de trabajo.

1. Asegúrate de que los certificados están instalados antes de continuar
2. Busca el archivo MOMCertImport.exe ubicado en el medio de instalación, en ..\SupportTools\amd64\
3. Copia este archivo en el directorio raíz del servidor de destino o en el directorio de instalación de Operations Manager.
   • (Por ejemplo, %ProgramFiles%\Microsoft System Center\Operations Manager\Server).
4. Abre un símbolo del sistema como administrador y cambia el directorio al directorio donde está MOMCertImport.exe.
   • Por ejemplo: cd %ProgramFiles%\Microsoft System Center\Operations Manager\Server
5. A continuación, ejecuta el comando MOMCertImport.exe /SubjectName subjectNameFQDN, donde "subjectNameFQDN" es el asunto definido en el certificado.
   • También puedes ejecutar MOMCertImport.exe sin argumentos para permitirte elegir un certificado en una ventana emergente que muestre los certificados en el almacén personal del equipo local.
6. Si se ejecuta correctamente, el servicio Microsoft Monitoring Agent se reinicia y eventID 20053 se registra en el registro de eventos de Operations Manager. Si este eventID no está presente, observa los detalles de uno de estos identificadores para cualquier problema y realiza las correcciones que correspondan: 20049,20050,20052,20066,20069,20077

Sugerencia

Una vez que el certificado se haya importado correctamente, puedes ver una versión reflejada de la huella digital en el registro aquí: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\MachineSettings\ChannelCertificateSerialNumber

Configuración de servidores de puerta de enlace para la conmutación por error entre servidores de administración

De forma predeterminada, los servidores de puerta de enlace solo se comunican con un servidor de administración, su principal. Si se pierde esta conexión, la puerta de enlace y los agentes conectados se muestran de color gris en la consola y no se supervisan. Si tienes varios servidores de administración, puedes evitar este problema configurando los servidores de administración a los que la puerta de enlace puede conmutar por error hasta que el principal esté disponible de nuevo. Para configurar una conmutación por error:

Se usa el cmdlet Set-SCOMParentManagementServer en el Shell de Operations Manager, como se muestra en el ejemplo siguiente, para configurar un servidor de puerta de enlace para conmutar por error a varios servidores de administración. Los comandos se pueden ejecutar desde cualquier Shell de comandos del grupo de administración.

1. Inicia sesión en el servidor de administración con una cuenta que sea miembro del rol de administradores de Operations Manager.

2. En el menú Inicio, ejecuta el Shell de Operations Manager en la carpeta "Microsoft System Center".

3. En la consola, ejecuta los siguientes comandos:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS02.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -FailoverServer $FailoverServer
   

   Nota:

   No se puede establecer un servidor de conmutación por error para que sea el mismo que el servidor principal sin cambiar el servidor principal al mismo tiempo o primero. Si deseas cambiar el principal y establecerlo en una secundario, use los siguientes comandos:

   $GatewayServer = Get-SCOMGatewayManagementServer -Name "GW01.dmz.contoso.com"
   $PrimaryServer = Get-SCOMManagementServer -Name "MS02.Contoso.com"
   $FailoverServer = Get-SCOMManagementServer -Name "MS01.Contoso.com","MS03.Contoso.com"
   Set-SCOMParentManagementServer -GatewayServer $GatewayServer -PrimaryServer $PrimaryServer -FailoverServer $FailoverServer
   

Encadenamiento de varios servidores de puerta de enlace

Aunque es poco común, a veces es necesario encadenar varias puertas de enlace juntas para supervisar entre varios límites que no son de confianza. En esta sección, se describe cómo encadenar varias puertas de enlace juntas.

Nota:

• Instale solo una puerta de enlace a la vez. Compruebe que cada puerta de enlace recién instalada se muestra como correcta en la consola de Operations Manager antes de agregar otra puerta de enlace en la cadena.
• Al agregar gateways al final de la cadena al mismo grupo de recursos, no configure la conmutación por error a otra cadena mediante el comando Set-SCOMParentManagementServer. En este escenario, la piscina no funcionará como se esperaba. Para que la configuración de la conmutación por error y el grupo de recursos funcionen juntos, el extremo de la cadena de la puerta de enlace debe tener el mismo elemento primario.

Para configurar una cadena de puerta de enlace, usamos la herramienta Microsoft.EnterpriseManagement.GatewayApprovalTool.exe tal como hicimos para el servidor de puerta de enlace inicial. Sin embargo, esta vez es necesario establecer "ManagementServerName" como el servidor de puerta de enlace ascendente en la cadena. Por ejemplo, si GW02 se va a conectar a GW01, entonces GW01 es "ManagementServer" en este escenario.

1. Inicia sesión en uno de tus servidores de administración que ya tenga configurado GatewayApprovalTool.

2. Abre un símbolo del sistema como Administrador y navega hasta el directorio en el que se ha guardado la herramienta.

3. A continuación, ejecute el siguiente comando para aprobar el servidor de puerta de enlace de bajada, asegurándose de reemplazar los nombres de servidor por los suyos propios:

   Microsoft.EnterpriseManagement.GatewayApprovalTool.exe /ManagementServerName=GW01.dmz.contoso.com /GatewayName=GW02.dmz.contoso.com /Action=Create
   

4. Instala el rol de puerta de enlace en un nuevo servidor.

5. Configura los certificados entre GW01 y GW02 de la misma manera que configurarías los certificados entre una puerta de enlace y un servidor de administración. El Servicio de estado solo puede cargar y usar un solo certificado. Por lo tanto, el elemento primario y el elemento secundario de la puerta de enlace de la cadena usan el mismo certificado.

Pasos siguientes

Para comprender la secuencia y los pasos para instalar los roles de servidor de Operations Manager en varios servidores del grupo de administración, consulta Implementación distribuida de Operations Manager.