Acerca de los servidores de puerta de enlace en Operations Manager

System Center 2012 – Operations Manager requiere que la autenticación mutua se realice entre agentes y servidores de administración antes del intercambio de información entre ellos. Para proteger el proceso de autenticación entre los dos, el proceso está cifrado. Cuando el agente y el servidor de administración residen en el mismo dominio de Active Directory o en dominios de Active Directory que han establecido relaciones de confianza, se sirven de los mecanismos de autenticación de Kerberos V5 proporcionados por Active Directory. Cuando los agentes y servidores de administración no se encuentran dentro del mismo límite de confianza, deben utilizarse otros mecanismos para cumplir el requisito de autenticación mutua segura.

En Operations Manager, esto se consigue mediante certificados X.509 emitidos para cada equipo. Si hay muchos equipos supervisados por agentes, se produce una sobrecarga administrativa elevada para administrar todos esos certificados. Además, si hay un firewall entre los agentes y los servidores de administración, diversos extremos autorizados deben definirse y mantenerse en las reglas de firewall para permitir la comunicación entre ellos.

Para reducir esta carga administrativa, Operations Manager tiene un rol de servidor llamado servidor de puerta de enlace. Los servidores de puerta de enlace se encuentran dentro del límite de confianza de los agentes y pueden participar en la autenticación mutua obligatoria. Puesto que se encuentran dentro de los mismos límites de confianza que los agentes, se utiliza el protocolo Kerberos V5 para Active Directory entre los agentes y el servidor de puerta de enlace. A continuación, cada agente se comunica únicamente con los servidores de puerta de enlace de los que tiene constancia. Los servidores de puerta de enlace se comunican con los servidores de administración.

Para admitir la autenticación mutua segura y obligatoria entre los servidores de puerta de enlace y los servidores de administración, los certificados deben emitirse e instalarse únicamente para los servidores de puerta de enlace y administración. Esto reduce el número de certificados requeridos y, en caso de que intervenga un firewall, también reduce el número de extremos autorizados que deben definirse en las reglas de firewall. La ilustración siguiente muestra las relaciones de autenticación en un grupo de administración que usa un servidor de puerta de enlace.

Para obtener información acerca de la instalación de un servidor de puerta de enlace, consulte Implementación de un servidor de puerta de enlace en la Guía de implementación.