Configurando el Windows Server para los Directory Services

Este artículo explica cómo configurar los ajustes y permisos en un servidor Windows para permitir que los PoPs en el Cato Cloud se integren con el Domain Controller de Active Directory.

Nota

Notas:

  • Las capturas de pantalla y procedimientos en este artículo están basados en Windows Server 2016. Los detalles pueden ser diferentes para otras versiones.

  • Si necesitas más información sobre la IP address de Cato para el servicio LDAP, consulta Resolviendo Problemas con LDAP Sync (debes estar logueado en la Cato Knowledge Base para ver este artículo).

Creando un Nuevo Domain User para los Directory Services

Crea un domain user dedicado para la integración entre tu cuenta de Cato y el AD domain.

Estos son los requisitos de contraseña de AD para este user:

  • La contraseña nunca expira

  • Desactiva la configuración que obliga al user a cambiar la contraseña en el primer login

Para crear un user para los Directory Services:

  1. Crea un nuevo domain user (este user solo se utiliza para los Cato Directory Services).

  2. En la pestaña Member Of, asegúrate de que el user sea miembro del grupo Domain Users.

  3. Añade el user a los siguientes grupos:

    • Usuarios Distribuidos de COM

    • Lectores de Registro de Eventos

      Requisitos_previos_para_Habilitar_la_Conciencia_del_Usuario_01.png

  4. Haz clic en OK para crear el usuario.

Configurando los DCOM Settings

Configura estos Distributed COM (DCOM) settings en el Windows server para permitir que los PoPs en el Cato Cloud se comuniquen remotamente con el domain. Estos son los DCOM settings que necesitas configurar:

  • Servicios de Windows

  • Propiedades y Protocolos de DCOM

  • Permisos de Seguridad de COM

Configurando los Windows Services

Inicia los servicios Windows de Server, Remote Registry y WMI Performance Adapter, y configúralos para que se inicien automáticamente con el Windows server.

Nota

Nota: El servicio WMI Performance Adapter se llama WMI en otras versiones del servidor Windows.

Para habilitar los Windows services:

  1. Desde el menú Run, ingresa services.msc y haz clic en OK.

  2. En la ventana de Services, verifica que cada uno de los servicios Server, Remote Registry, WMI Performance Adapter estén iniciados y configurados para inicio automático.

    1. Para cambiar una propiedad del service, haz clic derecho sobre el nombre del service, y luego haz clic en Properties.

    2. Para el Startup type, selecciona Automatic.

    3. Si el estado del servicio no ha iniciado, haz clic en Start.

  3. Haz clic en OK y cierra la ventana de Services.

Configurando las DCOM Communication Properties y Protocols

Las propiedades de DCOM definen la Authentication y el Impersonation Level para el servidor. Configura el Authentication Level del servidor en Connect, lo que significa que la sesión clave solo se utiliza para el handshake de authentication.

Establece el Impersonation Level en Identify, para permitir que los PoPs solo accedan a los datos de user que son relevantes para los Cato Directory Services.

La DCOM Protocol Sequence para el servidor define cómo el servidor se comunica sobre la network. Los Directory Services usan el protocolo TCP/IP orientado a conexión.

Para configurar DCOM para los Directory Services:

  1. Desde el menú Run ingresa dcomcnfg y haz clic en OK. Se abre la ventana de Component Services.

  2. Desde Component Services > Computers > My Computer, haz clic derecho en My Computer y selecciona Properties. Se abre la ventana de My Computer Properties.

    Windows_DCOM.png

  3. Configura las propiedades de comunicación DCOM para el Windows server:

    1. En la ventana de My Computer Properties, selecciona la pestaña Default Properties.

    2. Selecciona Enable Distributed COM on this computer.

    3. Desde Default Authentication Level, selecciona Connect.

    4. Desde Default Impersonation Level, selecciona Identify.

  4. Asegúrate de que los DCOM protocols incluyan Connection-oriented TCP/IP.

    Windows_DCOM_Protocols.png

    1. Haz clic en la pestaña Default Protocols. Si los DCOM Protocols incluyen Connection-oriented TCP/IP, continúa con el paso 6 abajo.

    2. Haz clic en Add. Se abre la ventana de Select DCOM protocol.

    3. Desde Protocol Sequence, selecciona Connection-oriented TCP/IP.

    4. Haz clic en OK para cerrar la ventana de Select DCOM protocol.

  5. Haz clic en OK.

  6. Un mensaje te notifica sobre cambiar los ajustes generales de DCOM Machine. Haz clic en Yes para continuar.

Configurando los COM Security Permissions

En la ventana de Component Services (dcomcnfg), configura los COM security Access Permissions y Launch and Activity Permissions para dar a los PoPs acceso por defecto a:

  • Usuarios Distribuidos de COM

  • Lectores de Registro de Eventos

Para configurar los COM Security permissions para los Directory Services:

  1. Si es necesario, abre la ventana de My Computer Properties, desde Component Services > Computers > My Computer, haz clic derecho en My Computer y selecciona Properties.

  2. Haz clic en la pestaña COM Security.

    Windows_COM_Security.png

  3. Configura los permisos de acceso por defecto para los Distributed COM Users y los Event Log Readers:

    1. En Access Permissions, haz clic en Edit Default.

    2. Bajo Group or user names, añade y configura los Distributed COM Users con los siguientes permisos:

      • Acceso Local - Permitir

      • Acceso Remoto - Permitir

    3. Repite los dos pasos anteriores para el grupo de Event Log Readers.

    4. Haz clic en OK.

  4. Configura los launch permissions para los Distributed COM Users y los Event Log Readers:

    1. En Launch and Activation Permissions, haz clic en Edit Default.

    2. Bajo Group or user names, añade y configura los Distributed COM Users con los siguientes permisos:

      • Lanzamiento Remoto - Permitir

      • Activación Remota - Permitir

    3. Repite los dos pasos anteriores para el grupo de Event Log Readers.

    4. Haz clic en OK.

  5. Haz clic en OK y cierra la ventana de My Computer Properties y de Component Services. Los permisos de seguridad COM están configurados.

Configurando Windows Server WMI

Esta sección discute cómo configurar los WMI permissions para permitir que Cato User Awareness envíe consultas WMI desde los PoPs al Windows server.

Configurando WMI para Conectar con la Cato Management Application

Para conectarte a una computadora remota usando WMI, asegúrate de que los correctos ajustes de DCOM y WMI namespace security settings estén habilitados para la conexión.

Para más detalles sobre cómo configurar los ajustes de WMI para permitir conexiones desde la Cato Management Application, consulta la documentación de Microsoft.

Configurando el Acceso de Usuario WMI

El user o group que configuraste para el acceso DCOM también debe tener permiso WMI para acceder a los Windows event logs que dan acceso a Cato a los login events para los AD users. Configura WMI para permitir acceso remoto para los Distributed COM Users y los Event Log Readers.

Para configurar los ajustes de acceso de usuario WMI:

  1. Desde el menú Run, ingresa wmimgmt.msc y haz clic en OK. Se abre la ventana de Windows Management Instrumentation.

  2. Haz clic derecho en WMI Control (Local) y selecciona Properties. Se abre la ventana de WMI Control (Local) Properties.

  3. Selecciona la pestaña Security. Aparece el árbol del menú Namespace.

  4. Expande la rama Root y haz clic en CIMV2.

    Windows_WMI_Seguridad.png

  5. Haz clic en Security debajo del árbol del menú. Se abre la ventana de Security for ROOT\CIMV2.

  6. Configura los launch permissions para los distributed COM users y los event log readers

    1. Bajo Group or user names, añade y configura los Distributed COM Users con los siguientes permisos:

      • Habilitar cuenta - Permitir

      • Habilitación remota - Permitir

    2. Repita el paso anterior para lectores de registros de eventos.

  7. Configure los ajustes avanzados para los usuarios COM distribuidos:

    1. Seleccione Usuarios COM distribuidos y haga clic en Avanzado. Se abre la ventana de configuración avanzada de seguridad para CIMV2.

    2. En la columna de Principal, seleccione Usuarios COM distribuidos y haga clic en Editar. Se abre la ventana de entrada de permisos para CIMV2.

    3. En el menú desplegable Se aplica a, seleccione Este espacio de nombres y subespacios de nombres.

      Windows_COMusuarios_Avanzado.png

  8. Haga clic en OK. Cerrar la ventana de configuración avanzada de seguridad para CIMV2.

  9. Configure los ajustes avanzados para los lectores de registros de eventos:

    1. Seleccione Lectores de registros de eventos y haga clic en Avanzado.

      Windows_EventosRegistro_Avanzado.png

      Se abre la ventana de configuración avanzada de seguridad para CIMV2.

    2. En la columna de Principal, seleccione Lectores de registros de eventos y haga clic en Editar. Se abre la ventana de entrada de permisos para CIMV2.

    3. En el menú desplegable Se aplica a, seleccione Este espacio de nombres y subespacios de nombres.

  10. Haga clic en OK para cerrar la ventana de configuración avanzada de seguridad para CIMV2.

  11. Haga clic OK para cerrar las propiedades de seguridad para ROOT\CIMV2 y la ventana de propiedades de Control de WMI (local).

    Se ha configurado el acceso de usuario WMI.

Configuración del registro del controlador WMI

Edite el registro de Windows para dar permisos de lectura a los usuarios COM distribuidos y a los lectores de registros de eventos.

Para configurar los permisos del registro para el controlador WMI:

  1. Ejecute Regedit.

  2. Navegar a

    HKEY_LOCAL_MACHINE\SYSTEM\

    CurrentControlSet\

    Servicios\Registro de eventos\Seguridad

  3. Haga clic con el botón derecho en la carpeta de seguridad y seleccione permisos.

  4. Agregue y configure estos grupos con permisos de lectura:

    • Usuarios COM distribuidos

    • Lectores de registros de eventos

  5. Haga clic en OK.

Configuración de un controlador WMI con un túnel IPsec

Dado que la conexión al DC utiliza una IP de origen en el rango del sistema de Cato, si está utilizando un túnel IPsec para conectarse al Socket de Cato, debe configurar la Fase 2 para el rango del sistema de Cato: 10.254.254.12.

Para cuentas que usan un rango de sistema personalizado en lugar del predeterminado, utilice el rango personalizado para calcular la dirección IP fija para la sincronización de conocimiento del usuario. La dirección IP fija es la 9ª en el rango personalizado. Por ejemplo, si el rango reservado personalizado es 10.10.10.0/16, entonces la dirección IP fija es 10.10.10.9.

Para cuentas que utilizan un rango de IP más pequeño, todavía usan la 9ª en el rango personalizado. Por ejemplo, si el rango reservado personalizado es 10.200.200.64/28, entonces la dirección IP fija es 10.200.200.73 (10.200.200.64 + x.x.x.9).

Configuración del firewall de Windows para permitir DCOM

Configure el firewall de Windows o de terceros para permitir el acceso a la dirección IP fija para el rango del sistema (o para un rango personalizado). Para más información sobre rangos de sistema y personalizados, vea arriba configuración de un controlador WMI con un túnel IPsec.

  • Si utiliza un firewall de Windows, debe agregar una excepción que permita las comunicaciones DCOM

  • Si utiliza un firewall de terceros entre el servidor de Windows y la red de Cato, agregue la misma excepción a él

Para configurar el firewall de Windows para permitir comunicaciones DCOM:

  1. Abra el menú Ejecutar.

  2. Escriba wf.msc y haga clic en OK.

  3. Seleccione Reglas de entrada.

  4. En el menú de acción, seleccione Nueva regla. Se abre el asistente de Nueva regla de entrada.

    Windows_FW_NuevaRegla.png

  5. Seleccione Personalizado y haga clic en Siguiente. La ventana de programa se abre.

  6. Seleccione Todos los programas, y haga clic en Siguiente. La ventana de protocolo y puertos se abre.

  7. Para tipo de protocolo, seleccione TCP y haga clic en Siguiente. La ventana de ámbito se abre.

  8. Para a qué direcciones IP remotas se aplica esta regla, seleccione la opción Estas direcciones IP.

  9. Haga clic en Agregar. En Esta dirección IP o subred, ingrese la dirección IP fija para el rango del sistema: 10.254.254.12.

    • Si está utilizando un rango personalizado, ingrese la dirección IP fija para su rango.

  10. Haga clic en OK y luego haga clic en Siguiente. La ventana de acción se abre.

  11. Seleccione Permitir la conexión y haga clic en Siguiente. La ventana de perfil se abre.

  12. Seleccione uno o más perfiles de red a los que se aplica la regla y haga clic en Siguiente. La ventana de nombre se abre.

  13. Ingrese el nombre para la regla del firewall y luego haga clic en Finalizar.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 3 de 3

0 comentarios