No se puede ver un equipo de grupo de trabajo al instalar un agente de Operations Manager en él sin usar un servidor de puerta de enlace

  • Artículo

En este artículo se proporciona una solución para el problema de que no se puede configurar un servidor de System Center Operations Manager para supervisar un equipo de grupo de trabajo remoto que no es de confianza sin usar un servidor de puerta de enlace.

Versión original del producto: System Center 2012 Operations Manager
Número de KB original: 947691

Síntomas

Al intentar instalar un agente de System Center Operations Manager en un equipo de grupo de trabajo sin usar un servidor de puerta de enlace, Operations Manager no puede ver el equipo del grupo de trabajo.

Además, se registra el siguiente mensaje de error en el registro de eventos de Operations Manager:

Identificador de evento: 21007 El conector de OpsMgr no puede crear una conexión mutuamente autenticada con <el servidor> de administración porque no está en un dominio de confianza.
Identificador de evento: 21016 Opsmgr no pudo configurar un canal de comunicación con el < servidor >de administración y no hay hosts de conmutación por error

Causa

Este problema suele producirse cuando el agente no puede establecer un canal de comunicación de seguridad con el servidor de administración porque los certificados correctos no están disponibles. Este problema se produce porque los agentes del grupo de trabajo no pueden usar el protocolo Kerberos para la autenticación mutua. Los certificados deben usarse en un entorno en el que no se usa el protocolo Kerberos.

Solución

Para solucionar este problema, puede configurar un servidor de Operations Manager para supervisar un equipo de grupo de trabajo remoto que no es de confianza sin usar un servidor de puerta de enlace. Para ello, se requiere autenticación de certificados entre el servidor de administración y el equipo del grupo de trabajo administrado por el agente. Se supone que este escenario será común en una red perimetral (también conocida como red perimetral, zona desmilitarizada y subred filtrada).

Para configurar un servidor de Operations Manager para supervisar un equipo de grupo de trabajo independiente administrado por agente, debe tener estos certificados:

  • Certificado raíz de entidad de certificación (CA) importado para el servidor de administración y para el equipo del grupo de trabajo
  • Certificado para el servidor de administración. El nombre común (CN) del certificado debe ser un nombre de dominio completo (FQDN).
  • Un certificado para el equipo del grupo de trabajo

Si el equipo del grupo de trabajo está dirigido por un FQDN, el equipo también debe usar el formato FQDN para solicitar el certificado para este equipo. De lo contrario, recibirá este mensaje de error:

No se pudo cargar el certificado especificado porque el nombre del firmante del certificado no coincide con el nombre del equipo local.
Nombre del firmante del certificado: <nombre del firmante del certificado>
Nombre del equipo: <Nombre del equipo>

Supervisión de un equipo de grupo de trabajo sin usar un servidor de puerta de enlace

  1. Importe los certificados de CA raíz para el servidor de administración y para el equipo del grupo de trabajo administrado por el agente. Para ello, siga estos pasos:

    Nota:

    Debe seguir estos pasos en el servidor de administración y en el equipo del grupo de trabajo. Debe tener instalada una entidad de certificación raíz (CA) y debe poder crear otro certificado mediante identificadores de objeto (IDO). Si no tiene instalada una entidad de certificación raíz, consulte la sección Instalación de una entidad de certificación raíz en un dominio .

    1. Desde el escritorio del servidor, abra un explorador web y, a continuación, apunte al servidor de entidad de certificación. Por ejemplo, escriba la dirección http://<certification_authority_server>/certsrv.

    2. Seleccione Descargar un certificado de CA, una cadena de certificados o una CRL.

    3. Seleccione Descargar cadena de certificados de CA. Se descarga un certificado denominado Certnew.p7b. Guarde este certificado en el escritorio.

    4. Cuando finalice la descarga, seleccione Inicio, Ejecutar, escriba mmcy, a continuación, seleccione Aceptar para abrir una instancia de Microsoft Management Console (MMC).

    5. En el menú Archivo , seleccione Agregar o quitar complemento>Agregar>certificados.

    6. Seleccione Agregar> cuenta >de equipoSiguiente.

    7. Seleccione Equipo local>Finalizar>Cerrar>Aceptar.

    8. En Entidades de certificación raíz de confianza, haga clic con el botón derecho en Certificados, seleccione Todas las tareas y, a continuación, seleccione Importar.

    9. Seleccione Importar>siguiente.

    10. Cuando se le pida el archivo de certificado, seleccione Examinar.

    11. Cambie Archivos de tipo a Certificados PKCS #7 (*.spc,*.p7b).

    12. Seleccione el archivo de certificado adecuado que descargó del servidor de entidad de certificación y, a continuación, seleccione Abrir.

    13. Seleccione Siguiente>Finalizar.

  2. Configure el servidor de entidad de certificación raíz de la empresa para admitir los certificados de Operations Manager. Para ello, siga estos pasos:

    1. Use las credenciales de administrador de dominio para iniciar sesión en el servidor de entidad de certificación subordinada de la empresa.

    2. Seleccione Inicio, seleccione Ejecutar, escriba mmcy presione ENTRAR.

    3. En el menú Archivo, seleccione Agregar o quitar complemento.

    4. Seleccione Agregar.

    5. En Agregar complemento independiente, seleccione Plantillas de certificado y, a continuación, seleccione Agregar.

    6. Seleccione Entidad de certificación y, después, Agregar.

    7. En el complemento Entidad de certificación, seleccione la opción Equipo local (el equipo en el que se ejecuta esta consola).

    8. Seleccione Finalizar.

    9. Seleccione Cerrar y, luego, Aceptar.

    10. En el complemento Entidad de certificación , compruebe que aparezcan el complemento Plantillas de certificado y el complemento Entidad de certificación .

    11. Seleccione Plantillas de certificado.

    12. En el panel de detalles, haga clic con el botón derecho en Equipo y, a continuación, seleccione Duplicar plantilla.

    13. En la pestaña General , cambie el nombre de la plantilla a un nombre significativo para su organización. Por ejemplo, puede usar OpsMgr2012 como nombre de plantilla. Compruebe que el período de validez cumple los requisitos de su organización.

    14. Seleccione la pestaña Control de solicitudes y, a continuación, seleccione Permitir que se exporte la clave privada.

    15. Seleccione la pestaña Nombre del firmante y, a continuación, seleccione Suministrar en la opción Solicitar .

    16. Seleccione la ficha Seguridad.

    17. Conceda permisos de inscripción e inscripción automática para los siguientes grupos en todos los dominios:

      • Usuarios autenticados
      • Administradores de dominio
      • Equipos de dominio
      • Administradores de empresa

    18. Seleccione Aplicar y luego Aceptar.

    19. Para comprobar la configuración, expanda Plantillas de certificado.

    20. En el panel de detalles, haga clic con el botón derecho en la plantilla que configuró, seleccione Propiedades, compruebe la configuración y, a continuación, seleccione Aceptar.

    21. Expanda Entidad de certificación (local) y, a continuación, expanda la entidad de certificación.

    22. En el árbol de consola, haga clic con el botón derecho en Plantillas de certificado, seleccione Nuevo y, a continuación, seleccione Plantilla de certificado para emitir.

    23. Seleccione la nueva plantilla y, a continuación, seleccione Aceptar.

    24. Compruebe que la nueva plantilla aparece en el panel de detalles y, a continuación, compruebe que la entrada Autenticación del servidor y la entrada Autenticación de cliente aparecen en Propósito previsto.

    25. Cierre el complemento.

    26. Seleccione Inicio, seleccione Ejecutar, escriba gpupdate /force en el campo Abrir y presione ENTRAR.

      Nota:

      Este paso fuerza una actualización directiva de grupo en el controlador de dominio y una replicación de estos cambios en todo el bosque.

    27. Seleccione Inicio, seleccione Ejecutar, escriba http://<name_of_the_issuing_CA_Server>/certsrv en el campo Abrir y presione ENTRAR.

    28. Si se le solicita, escriba el nombre de la cuenta de administrador de dominio y la contraseña.

    29. En la página Servicios de certificados, seleccione Solicitar un certificado en Seleccionar una tarea.

    30. Seleccione Solicitud de certificado avanzada.

    31. Seleccione Crear y envíe una solicitud a esta CA.

    32. En la lista Plantilla de certificado , compruebe que aparece la nueva plantilla de certificado.

  3. Envíe la solicitud de certificado al servidor de entidad de certificación. Para ello, siga estos pasos en el servidor de administración y en el equipo del grupo de trabajo:

    1. Seleccione Inicio, seleccione Ejecutar, escriba http://<name_of_the_issuing_CA_Server>/certsrv en el campo Abrir y presione ENTRAR.

    2. Si se le solicita, escriba el nombre y la contraseña de la cuenta de administrador de dominio.

    3. En la página Servicios de certificados, seleccione Solicitar un certificado en Seleccionar una tarea.

    4. Seleccione Solicitud de certificado avanzada.

    5. Seleccione Crear y envíe una solicitud a esta CA.

    6. En el campo Plantilla de certificado , seleccione el nombre de plantilla que configuró en el paso 2. Por ejemplo, seleccione OpsMgr2012.

    7. En el campo Nombre , escriba el FQDN del servidor de administración.

    8. Active la casilla Marcar clave como exportable . Cuando se usa la interfaz de usuario de solicitud de certificado web, también debe activar la casilla Almacenar el certificado en el almacén de certificados de proceso local .

      Nota:

      El certificado no se podrá usar si no se hace.

    9. Seleccione Enviar para enviar la solicitud al servidor de la entidad de certificación y, a continuación, siga las instrucciones que aparecen en la pantalla.

    10. En función de la configuración de seguridad de la entidad de certificación, debe esperar a que un administrador apruebe manualmente la solicitud. No se garantiza que la ca se pueda descargar inmediatamente.

    11. Compruebe el certificado. Para ello, siga estos pasos:

      1. Seleccione Inicio, seleccione Ejecutar, escriba mmcy presione ENTRAR.
      2. En el menú Archivo, seleccione Agregar o quitar complemento.
      3. Seleccione Agregar.
      4. Seleccione el complemento Certificados y, a continuación, seleccione Agregar.
      5. Seleccione Mi cuenta de usuario, Seleccione Finalizar, Cerrar para cerrar la lista de complementos y, a continuación, seleccione Aceptar para cerrar la ventana Agregar o quitar complemento .
      6. Expanda Certificados: usuario actual, personal,certificadosy, a continuación, seleccione el certificado de servidor.
      7. Haga doble clic en el certificado y, a continuación, seleccione la pestaña Detalles .
      8. En la lista, seleccione Uso mejorado de claves. Debería ver las siguientes entradas:
        • Autenticación de cliente (1.3.6.1.5.5.7.3.2)
        • Autenticación del servidor (1.3.6.1.5.5.7.3.1)

  4. Configure el servidor de Operations Manager 2012 para usar certificados que se pueden exportar desde el almacén privado del equipo. Para ello, siga estos pasos:

    1. Seleccione Inicio, seleccione Ejecutar, escriba mmcy presione ENTRAR.
    2. En el menú Archivo, seleccione Agregar o quitar complemento.
    3. Seleccione Agregar.
    4. Seleccione Certificados y, a continuación, agregar.
    5. Seleccione Cuenta de equipo y, a continuación, seleccione Finalizar.
    6. Seleccione Equipo local, seleccione Finalizar, Cerrar para cerrar la lista de complementos y, a continuación, seleccione Aceptar para cerrar la ventana Agregar o quitar complemento .
    7. Expanda Certificados (equipo local),personal,certificadosy, a continuación, seleccione un certificado adecuado.
    8. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, a continuación, seleccione Exportar.
    9. Seleccione Siguiente.
    10. Seleccione Sí, exporte la clave privada y, a continuación, seleccione Siguiente.
    11. Use la configuración predeterminada para el formato de archivo.
    12. Escriba una contraseña para el archivo.
    13. Escriba un nombre de archivo y, a continuación, seleccione Siguiente.
    14. Seleccione Finalizar.
    15. Repita todos estos pasos en el servidor de administración y en el equipo del grupo de trabajo.

  5. Instale el agente en el equipo del grupo de trabajo. Para ello, siga estos pasos.

    Nota:

    Dado que está realizando una instalación manual del agente, debe usar el archivo ejecutable de instalación del agente que está disponible en la carpeta \Agent\i386 de la ubicación de distribución de Operations Manager.

    1. Ejecute el archivo MOMAgent.msi.
    2. En la pantalla de bienvenida , seleccione Siguiente.
    3. Cuando se le pida un destino de carpeta para el software, acepte la ubicación predeterminada y, a continuación, seleccione Siguiente.
    4. Cuando se le pida que configure la información del grupo de administración, acepte la configuración predeterminada y, a continuación, seleccione Siguiente.
    5. Escriba el nombre del grupo de administración, el nombre del servidor de administración y el puerto y, a continuación, seleccione Siguiente.
    6. Acepte la configuración predeterminada y, a continuación, seleccione Siguiente.
    7. Compruebe que toda la información que ha escrito es correcta y, a continuación, seleccione Instalar para iniciar la instalación.
    8. Una vez completada la instalación, seleccione Finalizado para salir de la instalación.

  6. Use la herramienta Momcertimport para importar el certificado. Para ello, siga estos pasos:

    Nota:

    La herramienta Momcertimport se usa para especificar el número de serie del certificado específico en el Registro. Debe seguir estos pasos en el servidor de administración y en el equipo del grupo de trabajo. Asegúrese de que el agente de Operations Manager está instalado en el equipo del grupo de trabajo. De lo contrario, recibirá un error al ejecutar la herramienta Momcertimport.

    1. Haga clic en Inicio y, a continuación, en Ejecutar.

    2. En el campo Abrir , escriba cmdy, a continuación, seleccione Aceptar.

    3. En el símbolo del sistema, escriba drive_letter: y presione ENTRAR.

      Nota:

      drive_letter es la unidad en la que se encuentra el medio de instalación de Operations Manager.

    4. Escriba cd \SupportTools\i386 y presione ENTRAR.

    5. Escriba el siguiente comando y presione ENTRAR:

      MOMCertImport path_of_the_certificate .pfx_file_that_is_exported_in_step_5m

    6. Reinicie el servicio de mantenimiento de Operations Manager.

  7. Espere a que el servidor de administración vea la instalación manual y solicite la aprobación. Esto debería tardar algún tiempo (de cinco a diez minutos). Cuando se le pida, apruebe el agente. El agente del grupo de trabajo ahora puede comunicarse con el servidor.

Instalación de una entidad de certificación raíz en un dominio

Nota:

Si el sitio ya tiene una entidad de certificación raíz, omita estos pasos.

Para instalar servicios de entidad de certificación en un controlador de dominio, siga estos pasos. Este procedimiento de ejemplo usa un controlador de dominio. Sin embargo, puede instalar la entidad de certificación raíz en cualquier lugar del dominio.

  1. Inicie sesión en un controlador de dominio.

  2. Seleccione Inicio, seleccione Panel de control, haga doble clic en Agregar o quitar programas y, a continuación, seleccione Agregar o quitar componentes de Windows.

  3. Desplácese hacia abajo hasta que encuentre Servicios de certificados y selecciónelo. Asegúrese de seleccionar ambas subopciones para los servicios. Al seleccionar estos componentes, recibirá un mensaje de advertencia. Este mensaje le indica que no cambie el nombre del equipo o su pertenencia a dominio. Después de leer la advertencia, seleccione para continuar y, a continuación, seleccione Siguiente.

  4. Cuando el asistente le pida el tipo de CA, seleccione Entidad de certificación raíz independiente y, a continuación, seleccione Siguiente.

  5. Cuando el asistente le pida un nombre común para la entidad de certificación, use el nombre NetBIOS o el nombre de host del sistema de nombres de dominio (DNS). En este ejemplo, escriba DC01 y, a continuación, seleccione Siguiente.

  6. Acepte la configuración predeterminada de la base de datos y, a continuación, seleccione Siguiente.

Los servicios de entidad de certificación ahora están instalados en el servidor. Para acceder a los servicios, visite el sitio web http://<server_name>/certsrv. En este ejemplo, escriba http://dc01/certsrv.