Cómo instalar y administrar equipos de agente Microsoft Operations Manager 2005 que están detrás de un firewall o en un dominio de confianza


Resumen


En este artículo se describe cómo instalar y administrar equipos de agente Microsoft Operations Manager (MOM) 2005 que están detrás de un firewall o en un dominio de confianza. Desea instalar al agente MOM 2005 en un equipo que está más allá del firewall corporativo. En algunos casos, es aconsejable instalar al agente MOM 2005 en un servidor que está en una red perimetral. Una red perimetral es una red que existe entre dos redes. Normalmente, las otras dos redes no confían entre sí. Una red perimetral es también conocida como DMZ, zona desmilitarizada o subred filtrada.

Más información


De forma predeterminada, el agente MOM 2005 utiliza el puerto TCP 1270 para enviar información de datos, como alertas y eventos al servidor de administración MOM. El agente MOM utiliza el puerto UDP 1270 para enviar información de latido para el servidor de administración MOM. El agente MOM y el servidor de administración MOM negocian un puerto abierto a utilizar en el equipo del agente MOM. El servidor de administración MOM utiliza el puerto negociado para enviar las reglas al agente.

Requisitos de los agentes MOM que están detrás de un firewall

Los agentes MOM pueden comunicarse con el servidor de administración MOM si el equipo del agente MOM está detrás de un firewall. Sin embargo, debe abrir el puerto TCP 1270 y el puerto UDP 1270. Además, debe instalar manualmente y actualizar a los agentes MOM que están detrás de un firewall. Si no se habilita el acceso al puerto 1270 a través del firewall, debe instalar a un grupo de administración MOM en la red perimetral. Puede supervisar el grupo de administración de la red de perímetro por separado. O bien, puede habilitar el reenvío desde el grupo de administración de la red de perímetro al grupo de administración MOM interno utilizando el puerto 1271.You puede usar la utilidad de comprobación de requisitos previos remoto de MOM (MOMNetChk.exe) en el Kit de recursos de Microsoft Operations Manager para examinar de alerta un equipo para el estado de los puertos que son utilizados por el servicio MOM y servicios relacionados. Para obtener el Kit de recursos de MOM, visite el siguiente sitio Web de Microsoft: La comprobación de requisitos previos de MOM remoto lleva a cabo una serie de pruebas de conectividad. Estas pruebas incluyen una prueba de ping y para comprobar la conectividad DNS. La utilidad también proporciona información sobre el estado de los servicios de los que depende el servicio MOM. Esta información puede aparecer en una ventana de informe o guardarse en el archivo Momscan.log. Para utilizar la comprobación de requisitos previos de MOM remoto, iniciar MOMNetChk.exe, escriba el nombre del equipo y, a continuación, haga clic en Ejecutar análisis. Si desea guardar los resultados en un archivo de registro, haga clic en Guardar archivo de registroy, a continuación, especifique la ubicación del archivo. Para ver los resultados de las pruebas que se ejecutaron, expanda los nodos en el panel izquierdo de la ventana de la utilidad.Nota La utilidad MOMNetChk.exe comprueba el estado de red necesarios y los componentes de servicio. No notifican errores específicos. Si los equipos administrados pertenecen al dominio interno, las condiciones siguientes son verdaderas:
  • La autenticación mutua está disponible.
  • Firmado y cifradas comunicaciones están disponibles.
  • Los puertos siguientes estén abiertos para que pueda autenticar el dominio de administración de MOM y comunicarse con el dominio del equipo administrado:
    • Puerto UDP 53 para admitir las consultas de sistema de nombres de dominio (DNS) y registros dinámicos
    • Puerto UDP 88 para admitir Kerberos
    • Puerto UDP 123 para admitir Network Time Protocol (NTP)
    • Puerto TCP 135 para admitir llamadas a procedimiento remoto (RPC)
    • Puerto UDP 389 y puerto TCP 389 para admitir el protocolo ligero de acceso a directorios (LDAP)
    • Puerto TCP 445 para admitir el bloque de mensajes del servidor (SMB)
    • Todos los puertos sobre 1024 para la comunicación RPC y respuesta a los puertos de origen dinámico en el equipo del agente MOM.
    Si los equipos administrados pertenecen a un dominio de red perimetral, las condiciones siguientes son verdaderas:
    • Si existe una relación de confianza del servicio de directorio Active Directory completa entre el dominio del servidor de administración y el agente, están disponibles las siguientes opciones:
      • Autenticación mutua
      • Comunicaciones firmadas y cifradas
    • Si no existe una relación de confianza de Active Directory completa, están disponibles sólo comunicaciones firmadas y cifradas. La autenticación mutua no está disponible.

Cómo instalar al agente MOM

Debe deshabilitar la autenticación mutua en el servidor MOM para que el agente MOM puede conectarse al servidor de administración MOM. Para deshabilitar la autenticación mutua, siga estos pasos:
  1. Inicie la consola de administrador de MOM 2005.
  2. Expanda administracióny, a continuación, haga clic enConfiguración Global.
  3. Haga doble clic en seguridad.
  4. En la ficha seguridad , haga clic para desactivar la casilla de verificaciónse requiere autenticación mutua y, a continuación, haga clic enAceptar.
Debe instalar manualmente el agente MOM. De forma predeterminada, MOM 2005 está configurado a agentes de rechazar nuevos instalado manualmente para impedir la instalación automática de los agentes no autorizados. Esta configuración ayuda a evitar datos dañinos o malintencionados desde que se envía al servidor de administración MOM. Instalación manual del agente es una configuración global que puede deshabilitar durante el proceso de instalación manual del agente. Después de instalar manualmente los agentes que desea, recomendamos encarecidamente que habilita esta configuración de nuevo ayudar a proteger el entorno de MOM. Para cambiar la configuración global para permitir manualmente los agentes para todos los servidores de administración MOM instalados, siga estos pasos:
  1. En la consola de administrador de MOM, expandaadministracióny, a continuación, haga clic en Configuración Global.
  2. En el panel de detalles, haga clic en Administración de servidoresy, a continuación, haga clic en Propiedades.
  3. En la ficha Instalación de agente , haga clic para desactivar la casilla de verificación Rechazar nuevas instalaciones manuales de agentes y, a continuación, haga clic en Aceptar.
Para cambiar la configuración para permitir que los agentes instalados manualmente en un único servidor de administración MOM, siga estos pasos:
  1. En la consola de administrador de MOM, expandaadministración, expanda equiposy, a continuación, haga clic en Administración de servidores.
  2. En el panel de detalles, haga clic en el servidor de administración MOM que desea configurar y, a continuación, haga clic enPropiedades.
  3. En la ficha Instalación de agente , haga clic para desactivar la casilla de verificación Usar configuración global .
  4. Haga clic para desactivar la casilla de verificación Rechazar nuevas instalaciones manuales de agentes y, a continuación, haga clic en Aceptar.
Después de volver a configurar el servidor de administración MOM para permitir manualmente los agentes instalados, debe confirmar el cambio de configuración y, a continuación, reinicie el servicio MOM en todos los servidores de administración MOM. Para confirmar el cambio y, a continuación, reinicie el servicio MOM, siga estos pasos:
  1. En la consola de administrador de MOM, haga clic enMódulos de administracióny, a continuación, haga clic en Confirmar cambio de configuración.
  2. En los servidores de administración MOM, haga clic enInicio, haga clic en Ejecutar, escribaservices.mscy, a continuación, haga clic enAceptar.
  3. (Ratón) en el servicio MOM y, a continuación, haga clic enreiniciar.
Para instalar manualmente el agente MOM, siga estos pasos:
  1. En el equipo de destino, inserte el CD de origen de MOM 2005 en la unidad de CD. Si no aparece automáticamente el cuadro de diálogo Recursos de instalación de Microsoft Operations Manager 2005 , ejecute el programa Setup.exe desde el CD de origen de MOM 2005.
  2. En la ficha Instalación de agente Manual , haga clic enagente de instalación de Microsoft Operations Manager 2005 para iniciar al Asistente para la instalación del agente de Microsoft Operations Manager 2005.
  3. Haga clic en siguiente dos veces para abrir el cuadro de diálogo deConfiguración del agente .
  4. En el cuadro de texto Servidor de administración , especifique la dirección IP del servidor de administración MOM. Si utiliza el nombre DNS o el nombre NetBIOS, debe abrir puertos adicionales que pueden disminuir la seguridad de la red. Es recomendable que abra los puertos que no se mencionan en este artículo.
  5. Bajo Nivel de Control del agente, haga clic enNinguno. Estableciendo el Nivel de Control del agente enNinguno, el servidor de administración MOM no puede actualizar al agente o realizar actualizaciones de configuración del agente. Sin embargo, el agente puede realizar exploraciones de atributo, descargar reglas y realizar otras tareas.
  6. Si recibe un mensaje "El Management Server no se pudo contactar", haga clic en continuar.
  7. En el cuadro de diálogo Cuenta de acción del agente MOM , haga clic en Sistema Localy, a continuación, haga clic ensiguiente.
  8. En el cuadro de diálogo de Configuración de Active Directory, haga clic en No, mi entorno se ajusta a una de las condiciones siguientes, haga clic en siguientey, a continuación, haga clic eninstalar.
Después de instala el agente MOM, debe aprobar al agente MOM para la instalación manual. Para ello, siga estos pasos en el equipo servidor de administración MOM:
  1. En la consola de administrador de MOM, expandaadministración, expanda equiposy, a continuación, haga clic en Acciones pendientes.
  2. (Ratón) en el equipo y, a continuación, haga clic en Aprobar la instalación Manual del agente ahora.
Para cada agente que instale manualmente, debe modificar el nombre DNS, nombre de host y nombre de dominio completo (FQDN) de nombre valores en la tabla equipo de la base de datos OnePoint. Para modificar estos valores, siga estos pasos en el equipo que está ejecutando Microsoft SQL Server y que administra la base de datos OnePoint:
  1. Inicie el Administrador corporativo de SQL Server.
  2. Expanda Servidores de Microsoft SQL Server\SQL Server grupo\()(Windows NT) local\bases de datos.
  3. Expanda OnePointy, a continuación, haga clic entablas.
  4. Haga clic en la tabla de equipo , elijaAbrir tablay, a continuación, haga clic en devolver todas las filas.
  5. Busque el nombre de equipo del equipo agente instalado manualmente.
  6. Haga clic en el valor de la columnaDNSName< NULL > y, a continuación, escriba el nombre DNS del dominio de red perimetral que contiene el equipo agente instalado manualmente. Por ejemplo, escriba DMZDOMAIN.COM.
  7. Haga clic en el valor < NULL > en la columna denombre de host y, a continuación, escriba el FQDN del equipo de agente MOM. Por ejemplo, escribaComputer1.DMZ.DOMAIN.COM.
  8. Haga clic en el valor < NULL > en la columna denombre de dominio completo y, a continuación, escriba el FQDN del equipo de agente MOM. Por ejemplo, escriba Computer1.DMZ.DOMAIN.COM.
Nota El nombre DNS es el nombre de Active Directory, no el nombre de dominio NetBIOS que contiene el equipo del agente MOM. El nombre de host y el FQDN tendrá la misma entrada. Si se utiliza una configuración de espacio de nombres DNS inconexa, la entrada podría contener un sufijo de dominio DNS diferente que depende de la configuración IP del equipo de agente MOM, pero no en la pertenencia al dominio de AD de la entrada. Un espacio de nombres DNS inconexo es una infraestructura DNS que incluye dos o más nombres de dominio DNS nivel superior. Para obtener más información acerca de cómo configurar la resolución de nombres para los espacios de nombres desunido, visite el siguiente sitio Web de Microsoft Technet: Importante Si no se ha configurado correctamente las entradas DNSName, nombre de hosty nombre de dominio completo en la tabla equipo , muchas reglas que utilizan secuencias de comandos en varios módulos de administración, como Active Directory Management Pack, no se ejecutarán correctamente. Los agentes que se instalan automáticamente ya tienen los siguientes campos rellena. Puede utilizar los datos existentes como ejemplo.

Cómo solucionar problemas de conectividad

Para solucionar problemas de conexión entre el agente y el servidor de administración MOM detrás del firewall, siga estos pasos en el equipo del agente MOM:
  1. Intente hacer ping a la dirección IP del servidor de administración MOM. Si no puede hacer ping del servidor de administración MOM, asegúrese de que el servidor de administración MOM está disponible y que puede tener acceso a recursos detrás del firewall. Si puede hacer ping correctamente en el servidor de administración MOM detrás del servidor de seguridad, vaya al paso 2.
  2. Pruebe a hacer ping al servidor de administración MOM mediante el nombre del equipo. Si puede hacer ping el nombre de equipo del servidor de administración MOM, vaya al paso 3. Si no puede hacer ping el nombre del equipo, considere las siguientes posibilidades:
    • ¿El equipo del agente MOM está configurado para utilizar DNS o servicio de nombres Internet de Windows (WINS) para la resolución de nombres?
    • ¿Los servidores DNS y WINS están disponibles para el equipo del agente MOM?
    • ¿Es la resolución de nombres de los equipos internos que están detrás del firewall permitido a través del firewall?
    En el dominio de red perimetral, considere la posibilidad de instalar a un servidor DNS o WINS que contiene entradas estáticas para los equipos del agente MOM para hacer referencia a. No deje que el servidor DNS o WINS en la red perimetral replicar la información de los servidores de nombres que están dentro del firewall. Es aconsejable utilizar un archivo Lmhosts en el equipo del agente MOM para cargar previamente el nombre de host del servidor de administración MOM.
  3. Pruebe a utilizar el programa Telnet.exe para conectarse desde el equipo del agente MOM al puerto 1270 en el servidor de administración MOM. Una sesión de telnet correcta demuestra que el agente MOM puede enviar datos al servidor de administración MOM. Sin embargo, una conexión telnet demuestra sólo la conectividad TCP. Una conexión telnet no puede comprobar la conectividad UDP.
  4. Si el servidor de administración MOM indica que no se ha recibido ninguna información de latido desde el cliente, el puerto UDP 1270 no está abierto. Abrir el puerto UDP 1270 en el servidor de seguridad.
  5. Si el servidor de administración MOM intenta hacer ping en el agente MOM y no recibe una respuesta, incluso aunque el equipo esté disponible, puede que el firewall esté bloqueando el tráfico de Internet Control Message Protocol (ICMP). Asegúrese de que el firewall no está configurado para bloquear el tráfico ICMP.
Para solucionar problemas de conectividad en el servidor de administración MOM, siga estos pasos:
  1. Asegúrese de que puede hacer ping correctamente la dirección IP del equipo de agente MOM.
  2. Asegúrese de que el equipo del agente MOM puede hacer ping con el nombre de host y el nombre DNS. Si no puede hacer ping correctamente en el nombre del equipo de agente MOM, se producirá un error en las secuencias de comandos que dependen de la resolución de nombres, incluso si se ha instalado correctamente el agente.
Si el firewall de Windows está habilitado en el equipo del agente MOM, consulte el artículo siguiente en Microsoft Knowledge Base:
885726 El agente Microsoft Operations Manager 2005 no se instala en equipos que ejecutan Windows XP con Service Pack 2 (SP2) y Windows Server 2003 con Service Pack 1 (S885726)
Artículo de Microsoft Knowledge Base 885726 describe cómo modificar la configuración de firewall de Windows firewall para permitir el tráfico del puerto. El artículo también describe cómo incluir al agente MOM ejecutable. De forma predeterminada, la configuración de firewall de Windows no permite la instalación de inserción correcta del agente MOM 2005 en equipos que ejecutan Microsoft Windows XP con Service Pack 2 y Microsoft Windows Server 2003 con Service Pack 1 para obtener más información, consulte el "capítulo 7 : Implementación de MOM 2005 en entornos de avanzada "en la Guía de implementación de MOM 2005. Para ver la Guía de implementación de MOM 2005 en línea, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de cómo abrir puertos de firewall para diferentes programas, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
832017 Introducción a los servicios y a los requisitos de puertos de red para el sistema Windows Server