Implementación paso a paso de un punto de administración en un dominio de Active Directory que no es de confianza

Se aplica a: Administrador de configuración (rama actual)

En este ejemplo se muestra cómo instalar un punto de administración de Administrador de configuración (MP) en un servidor de un dominio de Active Directory que no tiene una confianza bidireccional con el dominio que contiene el servidor de sitio. Este escenario es común cuando se necesita ampliar la administración a una red perimetral (DMZ), un dominio de asociado u otro segmento de red en el que no confíe completamente.

Revise la red de su organización y la documentación de Active Directory para ver los procedimientos y procedimientos recomendados que se aplican a su entorno. Siga los pasos de este artículo como referencia de prueba de concepto. Para obtener instrucciones de producción, consulte Comunicaciones entre bosques de Active Directory.

Nota:

Este escenario se aplica solo a un sistema de sitio conectado a un sitio primario. Los sitios secundarios requieren una confianza de dominio bidireccional entre el dominio del sitio secundario y el dominio del sitio primario. No se admite la instalación de un sitio secundario en un dominio sin la confianza necesaria.

Entorno de prueba

Las instrucciones paso a paso de este artículo usan el siguiente entorno de prueba:

  • Dominio de confianza (corp.contoso.com): contiene el Administrador de configuración servidor de sitio principal (SiteServer) y la base de datos de sitio SQL Server (SQLServer). El código de sitio es P01.

  • Dominio que no es de confianza (branch.fabrikam.com): contiene el servidor que hospeda el punto de administración (DMZ-MP). No existe ninguna confianza de Active Directory entre los dos dominios.

  • Ambos dominios usan Windows Server DNS y los reenviadores condicionales DNS se configuran en ambas direcciones para que cada dominio pueda resolver los FQDN del otro dominio.

  • Puede iniciar sesión como administrador de dominio en ambos dominios para realizar todos los procedimientos.

Introducción a los pasos de implementación

En la tabla siguiente se resume esta implementación y se explica por qué se requiere cada paso.

Paso Lo que haces Por qué es necesario
Paso 1 Creación de cuentas de servicio en el dominio que no es de confianza La cuenta de instalación del sistema de sitio y la cuenta de conexión de base de datos mp deben existir en el dominio donde reside el servidor MP o como cuentas globales que se pueden resolver desde ambos dominios.
Paso 2 Concesión de permisos de base de datos SQL Server La cuenta de conexión de base de datos mp debe tener los permisos para leer datos en la base de datos del sitio para que el punto de administración pueda consultar la directiva de cliente y los datos de inventario.
Paso 3 Configuración de reglas de firewall Normalmente, todo el tráfico de red entre el mp y el servidor de sitio y la base de datos de sitio deben permitirse explícitamente a través de firewalls.
Paso 4 Instalación de los requisitos previos del punto de administración en el servidor del sistema de sitio Garantiza que DMZ-MP tiene las características de Windows y los componentes de conectividad sql necesarios antes de que Administrador de configuración instale el rol.
Paso 5 Instalar el rol de punto de administración en DMZ-MP Crea el objeto de servidor del sistema de sitio e instala el rol de punto de administración mediante las cuentas y la configuración preparadas en los pasos anteriores.
Paso 6 Comprobación de la instalación del punto de administración Confirma que el punto de administración es correcto y que los clientes del bosque que no es de confianza pueden comunicarse con él.

Paso 1: Crear cuentas de dominio

Use dos cuentas de usuario dedicadas. Configure ambas cuentas con contraseñas que no expiren y no conceda privilegios innecesarios.

Cuenta Dominio Objetivo Permisos necesarios
branch.fabrikam.com\svc-cm-dmzmpinstall No confiable (branch.fabrikam.com) Cuenta de instalación del sistema de sitio: el servidor de sitio usa esta cuenta para conectarse e DMZ-MP instalar el rol de punto de administración. Miembro del grupo administradores local en DMZ-MP.
corp.contoso.com\svc-cm-dmzmpdbconnect De confianza (corp.contoso.com) Cuenta de conexión de punto de administración: el punto de administración usa esta cuenta para leer y escribir datos en la base de datos del sitio. SQL Server inicio de sesión en SQLServer la instancia con los smsdbrole_MP roles y smsdbrole_MPUserSvc asignados en la base de datos SQL del sitio (concedido en el paso 2).

Para crear la cuenta de instalación del sistema de sitio en el dominio que no es de confianza

  1. Inicie sesión en un controlador de dominio con branch.fabrikam.com una cuenta de administrador de dominio.

  2. Abra Usuarios y equipos de Active Directory.

  3. En el panel de navegación, expanda branch.fabrikam.com, haga clic con el botón derecho en la unidad organizativa cuentas de servicio (OU) y, a continuación, elija Nuevo>usuario.

    Sugerencia

    Si no existe una unidad organizativa cuentas de servicio dedicadas, cree una primera o coloque las cuentas en una unidad organizativa adecuada. No coloque cuentas de servicio en el contenedor Users predeterminado en un entorno de producción.

  4. Complete el Asistente para nuevo objeto : usuario con la siguiente configuración y, a continuación, elija Finalizar:

    • Nombre: svc-cm-dmzmpinstall
    • Nombre de inicio de sesión de usuario: svc-cm-dmzmpinstall
    • Contraseña: use una contraseña segura que no expire.
    • Seleccione Password never expires (La contraseña nunca expira) y desactive User must change password (El usuario debe cambiar la contraseña en el siguiente inicio de sesión).

  5. Cierre Usuarios y equipos de Active Directory.

Para crear la cuenta de conexión de base de datos de MP en el dominio de confianza

  1. Inicie sesión en un controlador de dominio con corp.contoso.com una cuenta de administrador de dominio.

  2. Abra Usuarios y equipos de Active Directory.

  3. En el panel de navegación, expanda corp.contoso.com, haga clic con el botón derecho en la unidad organizativa cuentas de servicio (OU) y, a continuación, elija Nuevo>usuario.

  4. Complete el Asistente para nuevo objeto : usuario con la siguiente configuración y, a continuación, elija Finalizar:

    • Nombre: svc-cm-dmzmpdbconnect
    • Nombre de inicio de sesión de usuario: svc-cm-dmzmpdbconnect
    • Contraseña: use una contraseña segura que no expire.
    • Seleccione Password never expires (La contraseña nunca expira) y desactive User must change password (El usuario debe cambiar la contraseña en el siguiente inicio de sesión).

  5. Cierre Usuarios y equipos de Active Directory.

Para agregar la cuenta de instalación al grupo de administradores local en el servidor de punto de administración

  1. Inicie sesión en DMZ-MP con una cuenta de administrador local o de dominio.

  2. Abra Administración de equipos, expanda Usuarios y grupos locales y, a continuación, elija Grupos.

  3. Haga clic con el botón derecho en Administradores y, a continuación, elija Agregar al grupo.

  4. En el cuadro de diálogo Propiedades de los administradores , elija Agregar.

  5. En el cuadro de diálogo Seleccionar usuarios, equipos, cuentas de servicio o grupos , escriba FABRIKAM\svc-cm-dmzmpinstall en el cuadro nombre del objeto, elija Comprobar nombres para validar y, a continuación, elija Aceptar.

  6. Elija Aceptar para cerrar Las propiedades de los administradores.

Paso 2: Conceder permisos de base de datos de SQL Server para la cuenta de conexión de MP

El punto de administración debe poder leer y escribir datos en la base de datos del sitio. Conceda este acceso agregando la svc-cm-dmzmpdbconnect cuenta como inicio de sesión SQL Server y asignando los roles de base de datos necesarios.

Importante

La cuenta de conexión de base de datos mp debe residir en el dominio de confianza (corp.contoso.com) porque se conecta a SQL Server (SQLServer) en ese dominio. Especifique la cuenta como inicio de sesión de Windows mediante el nombre CORP\svc-cm-dmzmpdbconnectde dominio NetBIOS . Si se produce un error en la resolución de nombres, use el formato corp.contoso.com\svc-cm-dmzmpdbconnectFQDN . Para obtener más información, consulte Cuenta de conexión de punto de administración.

Para crear el inicio de sesión SQL Server y asignar roles de base de datos

  1. Inicie sesión en SQLServer con una cuenta de administrador de SQL Server y abra SQL Server Management Studio.

  2. En Explorador de objetos, expanda Seguridad, haga clic con el botón derecho en Inicios de sesión y, a continuación, elija Nuevo inicio de sesión.

  3. En el cuadro de diálogo Inicio de sesión – Nuevo , en la página General , complete la siguiente configuración:

    • Nombre de inicio de sesión: escriba CORP\svc-cm-dmzmpdbconnect.
    • Seleccione autenticación de Windows.

  4. En el panel izquierdo del cuadro de diálogo Inicio de sesión – Nuevo , elija Asignación de usuarios.

  5. En la lista Usuarios asignados a este inicio de sesión, active la casilla situada junto a la base de datos del sitio de Administrador de configuración (por ejemplo, CM_P01).

  6. En la sección Pertenencia a roles de base de datos en la parte inferior de la página, seleccione los siguientes roles:

    • smsdbrole_MP
    • smsdbrole_MPUserSvc

  7. Elija Aceptar para crear el inicio de sesión.

  8. Cierre SQL Server Management Studio.

Paso 3: Configurar reglas de firewall

En la tabla siguiente se enumeran las reglas de firewall mínimas necesarias para esta implementación. Configure estas reglas en todos los firewalls de red y perfiles de Firewall de Windows basados en host entre corp.contoso.com y branch.fabrikam.com.

Origen Dirección Destino Protocolo Puerto Objetivo
SiteServer (servidor de sitio) DMZ-MP (punto de administración) TCP 135 Asignador de puntos de conexión RPC
SiteServer (servidor de sitio) DMZ-MP (punto de administración) TCP 49152–65535 Puertos dinámicos RPC
SiteServer (servidor de sitio) DMZ-MP (punto de administración) TCP 445 SMB (transferencia de archivos)
DMZ-MP (punto de administración) SQLServer (base de datos del sitio) TCP 1433 SQL Server (conexión de base de datos mp)

Sugerencia

Si el SQL Server usa una instancia con nombre o un puerto no predeterminado, actualice la fila SQL Server de la tabla en consecuencia. Para obtener más información sobre todos los puertos que Administrador de configuración usa, consulte Puertos usados en Administrador de configuración.

Las siguientes conexiones son necesarias para que el punto de administración pueda autenticarse en los controladores de dominio en el bosque CORP y viceversa. No se incluyen los puertos DNS.

Origen Dirección Destino Protocolo Puerto Objetivo
SiteServer (servidor de sitio) DC.branch.fabrikam.com (Controlador de dominio BRANCH) UDP 389 CLDAP
SiteServer (servidor de sitio) DC.branch.fabrikam.com (Controlador de dominio BRANCH) TCP 88 Autenticación Kerberos
DMZ-MP (punto de administración) DC.corp.contoso.com (Controlador de dominio CORP) UDP 389 CLDAP
DMZ-MP (punto de administración) DC.corp.contoso.com (Controlador de dominio CORP) TCP 88 Autenticación Kerberos

Sugerencia

Tanto el servidor de sitio como el punto de administración deben poder localizar un Centro de distribución de claves Kerberos (KDC) en el otro dominio. Para ello, cada servidor debe ser capaz de resolver registros SRV de DNS, como _kerberos._tcp.dc._msdcs.corp.contoso.com y _kerberos._tcp.dc._msdcs.branch.fabrikam.com.

Paso 4: Instalación de requisitos previos en el servidor de punto de administración

Antes de agregar el rol de punto de administración, instale las características de Windows necesarias y los componentes auxiliares en DMZ-MP. Para ver la lista completa y actual, consulte Requisitos previos del sistema de sitio y sitio.

En este ejemplo, prepárese DMZ-MP con estos roles y características de Windows:

  • Rol de servidor web (IIS) y características seleccionadas automáticamente.
  • Característica de .NET Framework 3.5 .
  • Característica de .NET Framework 4.8 . Windows Server 2022 y versiones posteriores incluyen esta versión de forma predeterminada.
  • Extensión del servidor IIS (en el servicio de transferencia inteligente en segundo plano (BITS)). Seleccione la característica y todas las opciones seleccionadas automáticamente.
  • Servicios de rol del servidor web (IIS): autenticación de Windows, extensiones ISAPI, compatibilidad de metabase de IIS 6 y compatibilidad con WMI de IIS 6

Para instalar las características necesarias de Windows

  1. Inicie sesión en DMZ-MP con una cuenta de administrador local o de dominio.

  2. Abra una sesión de Windows PowerShell con privilegios elevados.

  3. Ejecute el comando siguiente:

    Install-WindowsFeature NET-Framework-Features, NET-Framework-Core, BITS, BITS-IIS-Ext, Web-Server, Web-WebServer, Web-Common-Http, Web-Default-Doc, Web-Dir-Browsing, Web-Http-Errors, Web-Static-Content, Web-Health, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Performance, Web-Stat-Compression, Web-Security, Web-Filtering, Web-Windows-Auth, Web-App-Dev, Web-ISAPI-Ext, Web-Http-Redirect, Web-Mgmt-Tools, Web-Mgmt-Console, Web-Mgmt-Compat, Web-Metabase, Web-WMI -IncludeManagementTools

Nota:

La carga de características de .NET Framework 3.5 se quita de la imagen del sistema operativo base en versiones modernas de Windows Server.

Para entornos sin conexión, puede instalar .NET Framework 3.5 mediante cualquiera de los métodos siguientes:

  • PowerShell: monte Windows Server medios de instalación y ejecute Install-WindowsFeature Net-Framework-Core -Source D:\sources\sxs (reemplace por D: la unidad multimedia).
  • Asistente para agregar roles y características: en Administrador del servidor>Agregar roles y características, seleccione Características de .NET Framework 3.5. En Confirmar selecciones de instalación, elija Especificar una ruta de acceso de origen alternativa y escriba D:\sources\sxs.

Use medios de instalación que coincidan con la misma versión de Windows Server que DMZ-MP. Para obtener más información, vea Habilitar .NET Framework 3.5 mediante el Asistente para agregar roles y características y Habilitar .NET Framework 3.5 mediante PowerShell.

  1. Reinicie DMZ-MP si Windows solicita un reinicio.

Paso 5: Instalar el rol de punto de administración

Este procedimiento instala el rol de punto de administración en DMZ-MP mediante el Asistente para crear servidor de sistema de sitio . El asistente le permite especificar las cuentas y la configuración entre bosques que requiere el rol.

  1. En la consola de Administrador de configuración, vaya al área de trabajo Administración. Expanda Configuración del sitio y, a continuación, elija Servidores y roles de sistema de sitio.

  2. En la pestaña Inicio , en el grupo Crear , elija Crear servidor de sistema de sitio.

  3. En la página General , complete la siguiente configuración y, a continuación, elija Siguiente:

    • Nombre: escriba el FQDN del servidor de punto de administración: DMZ-MP.branch.fabrikam.com.

    • Código de sitio: seleccione P01 (o el código de sitio adecuado para su entorno).

    • Cuenta de instalación del sistema de sitio: elija Especificar una cuenta y FABRIKAM\svc-cm-dmzmpinstallescriba .

      Importante

      Debe especificar una cuenta de instalación del sistema de sitio cuando el servidor de destino se encuentra en un bosque que no es de confianza. El servidor de sitio no puede usar su propia cuenta de equipo para autenticarse en un servidor de un bosque sin confianza. Para obtener más información, consulte Cuenta de instalación del sistema de sitio.

  4. En la página General , seleccione Requerir que el servidor de sitio inicie las conexiones a este sistema de sitio.

    Importante

    DMZ-MP carece de permisos para conectarse de nuevo al servidor de sitio. Con esta opción seleccionada, el servidor de sitio inicia todas las transferencias de datos y usa la misma cuenta de instalación del sistema de sitio.

  5. En la página Proxy , configure un servidor proxy si DMZ-MP es necesario que uno llegue a los puntos de conexión de Internet. De lo contrario, elija Siguiente.

  6. En la página Selección de roles del sistema , seleccione Punto de administración y, a continuación, elija Siguiente.

  7. En la página Punto de administración , complete la siguiente configuración y, a continuación, elija Siguiente:

    • Conexiones de cliente: elija HTTPS para requerir la comunicación de cliente cifrada (requiere un certificado de servidor web PKI enlazado al sitio web predeterminado de IIS en DMZ-MP) o EHTTP.
    • Generar alerta cuando el punto de administración no es correcto: opcionalmente, seleccione esta opción para recibir alertas en la consola cuando el punto de administración no sea correcto.
    • Deje otras opciones en su configuración predeterminada.

  8. En la página Conexión de base de datos de punto de administración , complete la siguiente configuración y, a continuación, elija Siguiente:

    • Usar la base de datos del sitio: esta es la configuración predeterminada. No es necesario especificar la instancia de SQL Server porque el sitio ya tiene esta información.
    • Conexión de base de datos de punto de administración: elija Especificar una cuenta y escriba corp.contoso.com\svc-cm-dmzmpdbconnect. Use el formato FQDN para asegurarse de que el punto de administración puede resolver la cuenta en el dominio de confianza y autenticarse para SQL Server correctamente.

      Importante

      Debe especificar la cuenta de conexión del punto de administración cuando el punto de administración se encuentra en un dominio o bosque que no es de confianza porque se autentica directamente en SQL Server en el dominio de confianza. La especificación de la cuenta en el formato DomainFQDN\UserName (por ejemplo, corp.contoso.com\svc-cm-dmzmpdbconnect) ayuda a la resolución de nombres durante la autenticación Kerberos. Para obtener más información, consulte Cuenta de conexión de punto de administración.

  9. Revise el resumen en la página Resumen y, a continuación, elija Siguiente para completar el asistente.

  10. Elija Cerrar en la página Finalización .

Nota:

Después de cerrar el asistente, Administrador de configuración crea el objeto de servidor del sistema de sitio y comienza la instalación en segundo plano del rol de punto de administración en DMZ-MP. La instalación puede tardar varios minutos en completarse. Supervise el progreso como se describe en el paso 6.

Paso 6: Comprobar la instalación del punto de administración

Una vez finalizado el asistente, compruebe que el punto de administración se instaló correctamente y que es correcto antes de dirigir a los clientes a él.

Para comprobar el estado del punto de administración en la consola de Administrador de configuración

  1. En la consola de Administrador de configuración, vaya al área de trabajo Supervisión. Expanda Estado del sistema y, a continuación, elija Estado del componente.

  2. Busque el componente SMS_MP_CONTROL_MANAGER en DMZ-MP.branch.fabrikam.com. En la columna Estado , confirme que el estado es Correcto.

    Nota:

    El asistente puede tardar hasta 30 minutos en cerrarse para que el punto de administración parezca correcto. Si el estado es Advertencia o Crítico, haga clic con el botón derecho en el componente, elija Mostrar mensajes>todo y revise los detalles del error. A continuación, revise los archivos de registro que se describen a continuación.

  3. Repita la comprobación del componente de SMS_MP_FILE_DISPATCH_MANAGER .

Para comprobar la instalación del punto de administración, revise los archivos de registro.

  1. Inicie sesión en DMZ-MPy busque la SMS carpeta en la raíz de una de las unidades.

  2. Si la carpeta no existe, revise SiteComp.log en el servidor de sitio para confirmar que el servidor de sitio se conectó a DMZ-MP e inició la instalación mediante la cuenta de instalación del sistema de sitio. Si falta la SMS carpeta, es probable que el servidor de sitio no pueda comunicarse con DMZ-MP o no tenga permisos para crear la carpeta e instalar el rol.

  3. Revise los siguientes archivos de registro activados DMZ-MP para ver los mensajes relacionados con la instalación y configuración del punto de administración:

    Archivo de registro Ubicación en DMZ-MP Qué buscar
    MPSetup.log \SMS\Logs Mensajes de instalación de mp y requisitos previos de alto nivel: en particular, , CcmSetupmsoledbsql.msi, característica ASPNET45 IIS y mp.msi.
    MPMSI.log \SMS\Logs Detalles sobre la instalación de MP y el estado de reversión de MSI. Si se produce un error 1603en la instalación, busque en este archivo el mensaje de error detallado.
    CCMSetup.log %Windir%\CCMSetup\Logs Mensajes de instalación binaria de cliente y requisitos previos relacionados (por ejemplo, vcredist y Microsoft Policy Platform). La instalación debe completarse con código 0de retorno .
    BGBSetup.log \SMS\Logs Mensajes de instalación del servidor de notificaciones de cliente: busque una finalización correcta.

  4. Una vez instalado el mp, la SMS_CCM carpeta debe aparecer en la misma unidad que SMS. Es posible que esta carpeta no aparezca si el cliente se instaló antes del punto de administración. En ese caso, revise la CCM\Logs carpeta del cliente instalado. A continuación, revise los siguientes archivos de registro activados DMZ-MP para ver los mensajes relacionados con la comunicación del punto de administración con el servidor de sitio y la base de datos del sitio:

    Archivo de registro Ubicación en DMZ-MP Qué buscar
    MpControl.log \SMS\Logs Comprobaciones regulares de disponibilidad de punto de administración y servicio de usuario. La comprobación correcta es Call to HttpSendRequestSync succeeded for port 443 with status code 200, text: OKsimilar a .
    BGBServer.log \SMS\Logs Informes de servidor de notificación de cliente (canal rápido). Las entradas típicas incluyen el número de clientes conectados, como Total online clients: 100 (TCP: 99 HTTP: 1)~~.
    MPFDM.log \SMS\Logs En DMZ-MP, este registro debe mostrar una actividad mínima e incluir Remote site is in pull-mode.. En el servidor de sitio, el mismo registro debe mostrar la actividad de movimiento de archivos, con entradas similares a ~Moved file....
    MP_Framework.log \SMS_CCM\Logs Mensajes de conexión de base de datos que usan la cuenta de conexión del punto de administración, como Loaded MP settings cache from reg key HKLM\Software\Microsoft\SMS\MP: Database Settings:. Si se producen errores, busque errores de autenticación o SQL Server problemas de conectividad.

Para probar la comunicación del cliente con el nuevo punto de administración

  1. En un equipo cliente de , copie los archivos de instalación del cliente en branch.fabrikam.comuna carpeta local. Abra un símbolo del sistema con privilegios elevados en esa carpeta y ejecute el siguiente comando para asignar manualmente el cliente al nuevo punto de administración:

    ccmsetup.exe SMSSITECODE=P01 SMSMP=DMZ-MP.branch.fabrikam.com

    Nota:

    Si el módulo de administración está configurado para HTTPS, asegúrese de que el cliente tiene un certificado de cliente PKI inscrito e incluya el /UsePKICert modificador con ccmsetup.exe. Para obtener más información, vea Acerca de las propiedades de instalación de cliente.

  2. Revise %Windir%\CCMSetup\Logs\CCMSetup.log para confirmar que la instalación se realizó correctamente.

  3. Revise \SMS_CCM\Logs\ClientIDManagerStartup.log para confirmar que el registro de cliente se realizó correctamente. Busque mensajes similares a [RegTask] - Client is registered. Server assigned ClientID is GUID:00000000-0000-0000-0000-000000000000. Approval status 1.

  4. Compruebe que el cliente aparece en la consola de Administrador de configuración y muestra un icono en línea. Agregue la columna Punto de administración a la vista de consola para confirmar que el cliente está asignado a DMZ-MP.branch.fabrikam.com.

Más información

  • Last updated on