Exemplo passo a passo de implementação de um ponto de gestão num domínio não fidedigno do Active Directory

Aplica-se a: Gerenciador de Configurações (branch atual)

Este exemplo mostra como instalar um ponto de gestão de Gerenciador de Configurações (MP) num servidor num domínio do Active Directory que não tem uma confiança bidirecional com o domínio que contém o servidor do site. Este cenário é comum quando precisa de expandir a gestão para uma rede de perímetro (DMZ), um domínio de parceiro ou outro segmento de rede em que não confia totalmente.

Reveja a rede da sua organização e a documentação do Active Directory para obter procedimentos e melhores práticas aplicáveis ao seu ambiente. Utilize os passos neste artigo como uma referência de prova de conceito. Para obter orientações de produção, veja Comunicações entre florestas do Active Directory.

Observação

Este cenário aplica-se apenas a um sistema de sites ligado a um site primário. Os sites secundários requerem uma fidedignidade de domínio bidirecional entre o domínio do site secundário e o domínio do site primário principal. A instalação de um site secundário num domínio sem a confiança necessária não é suportada.

Ambiente de teste

As instruções passo a passo neste artigo utilizam o seguinte ambiente de teste:

  • Domínio fidedigno (corp.contoso.com): contém o Gerenciador de Configurações servidor de site primário (SiteServer) e a base de dados do site SQL Server (SQLServer). O código do site é P01.

  • Domínio não fidedigno (branch.fabrikam.com): contém o servidor que aloja o ponto de gestão (DMZ-MP). Não existe confiança do Active Directory entre os dois domínios.

  • Ambos os domínios utilizam Windows Server DNS e os reencaminhadores condicionais DNS são configurados em ambas as direções para que cada domínio possa resolve FQDNs no outro domínio.

  • Pode iniciar sessão como administrador de domínio em ambos os domínios para efetuar todos os procedimentos.

Descrição geral dos passos de implementação

A tabela seguinte resume esta implementação e explica o motivo pelo qual cada passo é necessário.

Etapa O que faz Por que motivo é necessário
Etapa 1 Criar contas de serviço no domínio não fidedigno A conta de instalação do sistema de sites e a conta de ligação da base de dados MP têm de existir no domínio onde reside o servidor MP ou como contas globais resolvíveis de ambos os domínios.
Etapa 2 Conceder permissões SQL Server base de dados A conta de ligação da base de dados MP tem de ter permissões para ler dados na base de dados do site para que o ponto de gestão possa consultar a política de cliente e os dados de inventário.
Etapa 3 Configurar regras de firewall Normalmente, todo o tráfego de rede entre o MP e o servidor do site e a base de dados do site tem de ser explicitamente permitido através de firewalls.
Etapa 4 Instalar pré-requisitos do ponto de gestão no servidor do sistema de sites Garante que DMZ-MP tem as funcionalidades do Windows e os componentes de conectividade SQL necessários antes de Gerenciador de Configurações instalar a função.
Etapa 5 Instalar a função do ponto de gestão em DMZ-MP Cria o objeto de servidor do sistema de sites e instala a função de ponto de gestão através das contas e definições preparadas em passos anteriores.
Etapa 6 Verificar a instalação do ponto de gestão Confirma que o ponto de gestão está em bom estado de funcionamento e que os clientes na floresta não fidedigna podem comunicar com o mesmo.

Passo 1: Criar contas de domínio

Utilize duas contas de utilizador dedicadas. Configure ambas as contas com palavras-passe que não expiram e não conceda privilégios desnecessários.

Conta Domínio Objetivo Permissões obrigatórias
branch.fabrikam.com\svc-cm-dmzmpinstall Não fidedigno (branch.fabrikam.com) Conta de instalação do sistema de sites – o servidor do site utiliza esta conta para DMZ-MP ligar e instalar a função de ponto de gestão. Membro do grupo de Administradores local em DMZ-MP.
corp.contoso.com\svc-cm-dmzmpdbconnect Fidedigno (corp.contoso.com) Conta de ligação do ponto de gestão – o ponto de gestão utiliza esta conta para ler e escrever dados na base de dados do site. SQL Server iniciar sessão na SQLServer instância com as smsdbrole_MP funções e smsdbrole_MPUserSvc atribuídas na base de dados SQL do site (concedidas no Passo 2).

Para criar a conta de instalação do sistema de sites no domínio não fidedigno

  1. Inicie sessão num controlador de domínio com branch.fabrikam.com uma conta de administrador de domínio.

  2. Abra Usuários e Computadores do Active Directory.

  3. No painel de navegação, expanda branch.fabrikam.com, clique com o botão direito do rato na unidade organizacional (UO) das Contas de Serviço e, em seguida, selecione Novo>Utilizador.

    Dica

    Se não existir uma UO de Contas de Serviço dedicada, crie uma ou coloque as contas numa UO adequada. Não coloque as contas de serviço no contentor Utilizadores predefinido num ambiente de produção.

  4. Conclua o Assistente Novo Objeto – Utilizador com as seguintes definições e, em seguida, selecione Concluir:

    • Nome próprio: svc-cm-dmzmpinstall
    • Nome de início de sessão do utilizador: svc-cm-dmzmpinstall
    • Palavra-passe: utilize uma palavra-passe forte e sem expiração.
    • Selecione A palavra-passe nunca expira e desmarqueO utilizador tem de alterar a palavra-passe no início de sessão seguinte.

  5. Feche Usuários e Computadores do Active Directory.

Para criar a conta de ligação da base de dados MP no domínio fidedigno

  1. Inicie sessão num controlador de domínio com corp.contoso.com uma conta de administrador de domínio.

  2. Abra Usuários e Computadores do Active Directory.

  3. No painel de navegação, expanda corp.contoso.com, clique com o botão direito do rato na unidade organizacional (UO) das Contas de Serviço e, em seguida, selecione Novo>Utilizador.

  4. Conclua o Assistente Novo Objeto – Utilizador com as seguintes definições e, em seguida, selecione Concluir:

    • Nome próprio: svc-cm-dmzmpdbconnect
    • Nome de início de sessão do utilizador: svc-cm-dmzmpdbconnect
    • Palavra-passe: utilize uma palavra-passe forte e sem expiração.
    • Selecione A palavra-passe nunca expira e desmarqueO utilizador tem de alterar a palavra-passe no início de sessão seguinte.

  5. Feche Usuários e Computadores do Active Directory.

Para adicionar a conta de instalação ao grupo administradores local no servidor de ponto de gestão

  1. Inicie sessão com DMZ-MP uma conta de administrador local ou de domínio.

  2. Abra Gestão de Computadores, expanda Utilizadores e Grupos Locais e, em seguida, selecione Grupos.

  3. Clique com o botão direito do rato em Administradores e, em seguida, selecione Adicionar ao Grupo.

  4. Na caixa de diálogo Propriedades dos Administradores , selecione Adicionar.

  5. Na caixa de diálogo Selecionar Utilizadores, Computadores, Contas de Serviço ou Grupos , introduza FABRIKAM\svc-cm-dmzmpinstall na caixa nome do objeto, selecione Verificar Nomes para validar e, em seguida, selecione OK.

  6. Selecione OK para fechar as Propriedades dos Administradores.

Passo 2: Conceder permissões de base de dados SQL Server para a conta de ligação MP

O ponto de gestão tem de conseguir ler e escrever dados na base de dados do site. Conceda este acesso adicionando a svc-cm-dmzmpdbconnect conta como um SQL Server início de sessão e atribuindo as funções de base de dados necessárias.

Importante

A conta de ligação da base de dados MP tem de residir no domínio fidedigno (corp.contoso.com) porque se liga a SQL Server (SQLServer) nesse domínio. Especifique a conta como um início de sessão do Windows com o nome CORP\svc-cm-dmzmpdbconnectde domínio NetBIOS . Se a resolução de nomes falhar, utilize o formato corp.contoso.com\svc-cm-dmzmpdbconnectFQDN . Para obter mais informações, veja Conta de ligação do ponto de gestão.

Para criar o SQL Server iniciar sessão e atribuir funções de base de dados

  1. Inicie sessão com SQLServer uma conta de administrador SQL Server e abra SQL Server Management Studio.

  2. No Pesquisador de Objetos, expanda Segurança, clique com o botão direito do rato em Inícios de Sessão e, em seguida, selecione Novo Início de Sessão.

  3. Na caixa de diálogo Início de Sessão – Novo , na página Geral , preencha as seguintes definições:

    • Nome do início de sessão: introduza CORP\svc-cm-dmzmpdbconnect.
    • Selecione autenticação do Windows.

  4. No painel esquerdo da caixa de diálogo Iniciar Sessão – Novo , selecione Mapeamento de Utilizadores.

  5. Na lista Utilizadores mapeados para este início de sessão, selecione a caixa de marcar junto à base de dados Gerenciador de Configurações site (por exemplo, CM_P01).

  6. Na secção Associação à função de base de dados na parte inferior da página, selecione as seguintes funções:

    • smsdbrole_MP
    • smsdbrole_MPUserSvc

  7. Selecione OK para criar o início de sessão.

  8. Feche SQL Server Management Studio.

Passo 3: Configurar regras de firewall

A tabela seguinte lista as regras de firewall mínimas necessárias para esta implementação. Configure estas regras em todas as firewalls de rede e perfis de Firewall do Windows baseados no anfitrião entre corp.contoso.com e branch.fabrikam.com.

Origem Direção Destino Protocolo Porta Objetivo
SiteServer (servidor do site) DMZ-MP (ponto de gestão) TCP 135 Mapeador de pontos finais RPC
SiteServer (servidor do site) DMZ-MP (ponto de gestão) TCP 49152–65535 Portas dinâmicas RPC
SiteServer (servidor do site) DMZ-MP (ponto de gestão) TCP 445 SMB (transferência de ficheiros)
DMZ-MP (ponto de gestão) SQLServer (base de dados do site) TCP 1433 SQL Server (ligação de base de dados MP)

Dica

Se o SQL Server utilizar uma instância nomeada ou uma porta não predefinida, atualize a linha SQL Server na tabela em conformidade. Para obter mais informações sobre todas as portas que Gerenciador de Configurações utiliza, veja Portas utilizadas no Gerenciador de Configurações.

As seguintes ligações são necessárias para que o ponto de gestão possa autenticar-se nos controladores de domínio na floresta CORP e vice-versa. As portas DNS não estão incluídas.

Origem Direção Destino Protocolo Porta Objetivo
SiteServer (servidor do site) DC.branch.fabrikam.com (Controlador de Domínio BRANCH) UDP 389 CLDAP
SiteServer (servidor do site) DC.branch.fabrikam.com (Controlador de Domínio BRANCH) TCP 88 Autenticação Kerberos
DMZ-MP (ponto de gestão) DC.corp.contoso.com (Controlador de Domínio CORP) UDP 389 CLDAP
DMZ-MP (ponto de gestão) DC.corp.contoso.com (Controlador de Domínio CORP) TCP 88 Autenticação Kerberos

Dica

Tanto o servidor do site como o ponto de gestão têm de conseguir localizar um Centro de Distribuição de Chaves kerberos (KDC) no outro domínio. Para tal, cada servidor tem de conseguir resolve registos SRV DNS, tais como _kerberos._tcp.dc._msdcs.corp.contoso.com e _kerberos._tcp.dc._msdcs.branch.fabrikam.com.

Passo 4: Instalar pré-requisitos no servidor do ponto de gestão

Antes de adicionar a função de ponto de gestão, instale as funcionalidades necessárias do Windows e os componentes de suporte no DMZ-MP. Para obter a lista completa e atual, veja Pré-requisitos do site e do sistema de sites.

Para este exemplo, prepare-se DMZ-MP com estas funções e funcionalidades do Windows:

  • Função de Servidor Web (IIS) e funcionalidades selecionadas automaticamente.
  • .NET Framework funcionalidade 3.5.
  • .NET Framework funcionalidade 4.8. Windows Server 2022 e posterior incluem esta versão por predefinição.
  • Extensão do Servidor IIS (no Serviço de Transferência Inteligente em Segundo Plano (BITS)). Selecione a funcionalidade e todas as opções selecionadas automaticamente.
  • Serviços de função do Servidor Web (IIS):Autenticação do Windows, Extensões ISAPI, Compatibilidade de Metabase do IIS 6 e Compatibilidade WMI do IIS 6

Para instalar as funcionalidades necessárias do Windows

  1. Inicie sessão com DMZ-MP uma conta de administrador local ou de domínio.

  2. Abra uma sessão de Windows PowerShell elevada.

  3. Execute o seguinte comando:

    Install-WindowsFeature NET-Framework-Features, NET-Framework-Core, BITS, BITS-IIS-Ext, Web-Server, Web-WebServer, Web-Common-Http, Web-Default-Doc, Web-Dir-Browsing, Web-Http-Errors, Web-Static-Content, Web-Health, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Performance, Web-Stat-Compression, Web-Security, Web-Filtering, Web-Windows-Auth, Web-App-Dev, Web-ISAPI-Ext, Web-Http-Redirect, Web-Mgmt-Tools, Web-Mgmt-Console, Web-Mgmt-Compat, Web-Metabase, Web-WMI -IncludeManagementTools

Observação

O payload da funcionalidade .NET Framework 3.5 é removido da imagem de SO base em versões de Windows Server modernas.

Para ambientes offline, pode instalar o .NET Framework 3.5 através de qualquer um dos métodos:

  • PowerShell: monte Windows Server suporte de dados de instalação e execute Install-WindowsFeature Net-Framework-Core -Source D:\sources\sxs (substitua pela D: unidade de multimédia).
  • Assistente para Adicionar Funções e Funcionalidades: no Gerenciador do Servidor>Adicionar Funções e Funcionalidades, selecione .NET Framework Funcionalidades 3.5. Em Confirmar seleções de instalação, selecione Especificar um caminho de origem alternativo e introduza D:\sources\sxs.

Utilize suportes de dados de instalação que correspondam à mesma versão Windows Server que DMZ-MP. Para obter mais informações, consulte Ativar o .NET Framework 3.5 com o Assistente para Adicionar Funções e Funcionalidades e Ativar o .NET Framework 3.5 com o PowerShell.

  1. Reinicie DMZ-MP se o Windows pedir um reinício.

Passo 5: Instalar a função de ponto de gestão

Este procedimento instala a função do ponto de gestão no DMZ-MP através do assistente Criar Servidor do Sistema de Sites . O assistente permite-lhe especificar as contas e definições entre florestas exigidas pela função.

  1. Na consola do Gerenciador de Configurações, aceda à área de trabalho Administração. Expanda Configuração do Site e, em seguida, selecione Servidores e Funções do Sistema de Sites.

  2. No separador Base , no grupo Criar , selecione Criar Servidor do Sistema de Sites.

  3. Na página Geral , preencha as seguintes definições e, em seguida, selecione Seguinte:

    • Nome: introduza o FQDN do servidor do ponto de gestão: DMZ-MP.branch.fabrikam.com.

    • Código do site: selecione P01 (ou o código de site adequado para o seu ambiente).

    • Conta de instalação do sistema de sites: selecione Especificar uma conta e, em seguida, introduza FABRIKAM\svc-cm-dmzmpinstall.

      Importante

      Tem de especificar uma Conta de Instalação do Sistema de Sites quando o servidor de destino está numa floresta não fidedigna. O servidor do site não pode utilizar a sua própria conta de computador para se autenticar num servidor numa floresta sem fidedignidade. Para obter mais informações, veja Conta de instalação do sistema de sites.

  4. Na página Geral , selecione Exigir que o servidor do site inicie ligações a este sistema de sites.

    Importante

    DMZ-MP não tem permissões para ligar novamente ao servidor do site. Com esta opção selecionada, todas as transferências de dados são iniciadas pelo servidor do site e utilizam a mesma conta de instalação do Sistema de sites.

  5. Na página Proxy , configure um servidor proxy se DMZ-MP precisar de um para aceder aos pontos finais da Internet. Caso contrário, selecione Seguinte.

  6. Na página Seleção de Função do Sistema , selecione Ponto de gestão e, em seguida, selecione Seguinte.

  7. Na página Ponto de Gestão , preencha as seguintes definições e, em seguida, selecione Seguinte:

    • Ligações de cliente: selecione HTTPS para exigir comunicação de cliente encriptada (requer um certificado de servidor Web PKI vinculado ao Web Site Predefinido do IIS em DMZ-MP) ou EHTTP.
    • Gerar alerta quando o ponto de gestão não estiver em bom estado de funcionamento: opcionalmente, selecione-o para receber alertas na consola quando o ponto de gestão estiver em mau estado de funcionamento.
    • Deixe outras opções nas predefinições.

  8. Na página Ligação à Base de Dados do Ponto de Gestão, preencha as seguintes definições e, em seguida, selecione Seguinte:

    • Utilizar a base de dados do site: esta é a configuração predefinida. Não precisa de especificar a instância SQL Server porque o site já tem estas informações.
    • Ligação à base de dados do ponto de gestão: selecione Especificar uma conta e, em seguida, introduza corp.contoso.com\svc-cm-dmzmpdbconnect. Utilize o formato FQDN para garantir que o ponto de gestão pode resolve a conta no domínio fidedigno e autenticar para SQL Server com êxito.

      Importante

      Tem de especificar a conta de ligação do Ponto de gestão quando o ponto de gestão está num domínio ou floresta não fidedigno porque se autentica diretamente no SQL Server no domínio fidedigno. Especificar a conta no formato DomainFQDN\UserName (por exemplo, corp.contoso.com\svc-cm-dmzmpdbconnect) ajuda com a resolução de nomes durante a autenticação Kerberos. Para obter mais informações, veja Conta de ligação do ponto de gestão.

  9. Reveja o resumo na página Resumo e, em seguida, selecione Seguinte para concluir o assistente.

  10. Selecione Fechar na página Conclusão.

Observação

Depois de fechar o assistente, Gerenciador de Configurações cria o objeto de servidor do sistema de sites e inicia a instalação em segundo plano da função do ponto de gestão no DMZ-MP. A instalação pode demorar vários minutos a concluir. Monitorize o progresso conforme descrito no Passo 6.

Passo 6: Verificar a instalação do ponto de gestão

Após a conclusão do assistente, verifique se o ponto de gestão foi instalado com êxito e está em bom estado de funcionamento antes de direcionar os clientes para o mesmo.

Para verificar o ponto de gestão status na consola do Gerenciador de Configurações

  1. Na consola do Gerenciador de Configurações, aceda à área de trabalho Monitorização. Expanda Estado do Sistema e, em seguida, selecione Estado do Componente.

  2. Localize o componente SMS_MP_CONTROL_MANAGER em DMZ-MP.branch.fabrikam.com. Na coluna Estado, confirme que o status está OK.

    Observação

    Pode demorar até 30 minutos após o assistente fechar para que o ponto de gestão pareça estar em bom estado de funcionamento. Se o status for Aviso ou Crítico, clique com o botão direito do rato no componente, selecione Mostrar Todas as Mensagens> e reveja os detalhes da falha. Em seguida, reveja os ficheiros de registo descritos abaixo.

  3. Repita o marcar para o componente SMS_MP_FILE_DISPATCH_MANAGER.

Para verificar a instalação do ponto de gestão ao rever os ficheiros de registo

  1. Inicie sessão em DMZ-MPe localize a SMS pasta na raiz de uma das unidades.

  2. Se a pasta não existir, reveja SiteComp.log no servidor do site para confirmar que o servidor do site se ligou DMZ-MP e iniciou a instalação com a conta de instalação do Sistema de sites. Se a SMS pasta estiver em falta, é provável que o servidor do site não consiga comunicar ou DMZ-MP não tenha permissões para criar a pasta e instalar a função.

  3. Reveja os seguintes ficheiros de registo para DMZ-MP obter mensagens relacionadas com a instalação e configuração do ponto de gestão:

    Arquivo de log Localização ativada DMZ-MP O que procurar
    MPSetup.log \SMS\Logs Mensagens de pré-requisitos de alto nível e de instalação mp: em particular, CcmSetup, , msoledbsql.msifuncionalidade ASPNET45 IIS e mp.msi.
    MPMSI.log \SMS\Logs Detalhes sobre a instalação do MP e o estado de reversão do MSI. Se a instalação falhar com o erro 1603, procure a mensagem de erro detalhada neste ficheiro.
    CCMSetup.log %Windir%\CCMSetup\Logs Mensagens de instalação binária do cliente e pré-requisitos relacionados (por exemplo, vcredist e Plataforma de Políticas da Microsoft). A instalação deve ser concluída com o código 0de retorno .
    BGBSetup.log \SMS\Logs Mensagens de instalação do Servidor de Notificação de Cliente: procure a conclusão com êxito.

  4. Após a instalação do MP, a SMS_CCM pasta deverá aparecer na mesma unidade que SMS. Esta pasta poderá não aparecer se o cliente tiver sido instalado antes do ponto de gestão. Nesse caso, reveja a CCM\Logs pasta do cliente instalado. Em seguida, reveja os seguintes ficheiros de registo para DMZ-MP obter mensagens relacionadas com a comunicação do ponto de gestão com o servidor do site e a base de dados do site:

    Arquivo de log Localização ativada DMZ-MP O que procurar
    MpControl.log \SMS\Logs Verificações regulares de disponibilidade do Ponto de Gestão e do Serviço de Utilizador. O marcar bem-sucedido assemelha-se Call to HttpSendRequestSync succeeded for port 443 with status code 200, text: OKa .
    BGBServer.log \SMS\Logs Relatórios do servidor de Notificação de Cliente (canal rápido). As entradas típicas incluem o número de clientes ligados, como Total online clients: 100 (TCP: 99 HTTP: 1)~~.
    MPFDM.log \SMS\Logs Em DMZ-MP, este registo deve mostrar uma atividade mínima e incluir Remote site is in pull-mode.. No servidor do site, o mesmo registo deve mostrar a atividade de movimentação de ficheiros, com entradas semelhantes a ~Moved file....
    MP_Framework.log \SMS_CCM\Logs Mensagens de ligação da base de dados que utilizam a conta de ligação do ponto de gestão, como Loaded MP settings cache from reg key HKLM\Software\Microsoft\SMS\MP: Database Settings:. Se ocorrerem erros, procure a autenticação falhada ou SQL Server problemas de conectividade.

Para testar a comunicação do cliente com o novo ponto de gestão

  1. Num computador cliente no branch.fabrikam.com, copie os ficheiros de instalação do cliente para uma pasta local. Abra uma Linha de Comandos elevada nessa pasta e execute o seguinte comando para atribuir manualmente o cliente ao novo ponto de gestão:

    ccmsetup.exe SMSSITECODE=P01 SMSMP=DMZ-MP.branch.fabrikam.com

    Observação

    Se o MP estiver configurado para HTTPS, certifique-se de que o cliente tem um certificado de cliente PKI inscrito e inclua o /UsePKICert comutador com ccmsetup.exe. Para obter mais informações, veja Acerca das propriedades de instalação do cliente.

  2. Reveja %Windir%\CCMSetup\Logs\CCMSetup.log para confirmar se a instalação foi concluída com êxito.

  3. Reveja \SMS_CCM\Logs\ClientIDManagerStartup.log para confirmar o registo de cliente com êxito. Procure mensagens semelhantes a [RegTask] - Client is registered. Server assigned ClientID is GUID:00000000-0000-0000-0000-000000000000. Approval status 1.

  4. Verifique se o cliente aparece na consola do Gerenciador de Configurações e mostra um ícone Online. Adicione a coluna Ponto de Gestão à vista de consola para confirmar que o cliente está atribuído a DMZ-MP.branch.fabrikam.com.

Mais informações

  • Last updated on