Modo de sincronización - Active Directory/Open Directory/LDAP
Para crear una nueva tarea del servidor, haga clic en Tareas > Nueva > Tarea de servidor o seleccione el tipo de tarea deseada del árbol y haga clic en Nueva > Tarea de servidor.
Básica
En la sección Básico, introduzca la información básica sobre la tarea, como Nombre y Descripción (opcional). Haga clic en Seleccionar etiquetas para asignar etiquetas.
En el menú desplegable Tarea, seleccione el tipo de tarea que desea crear y configurar. Si seleccionó un tipo de tarea específico antes de crear una nueva tarea, se preselecciona Tarea en función de la elección anterior que haya hecho. Tarea (vea la lista de Todas las tareas) define las configuraciones y el comportamiento para la tarea.
También puede seleccionar de la siguiente configuración del desencadenador de tareas:
•Ejecutar tarea inmediatamente luego de finalizar: seleccione esta opción para que la tarea se ejecute luego de hacer clic en Finalizar.
•Configurar desencadenador: seleccione esta opción para habilitar la sección Desencadenador, donde puede configurarlo.
Para configurar el desencadenador más adelante, deje las casillas de verificación sin marcar.
Configuración
Configuraciones comunes
Haga clic en Seleccionar en Nombre de grupo estático: por defecto, se utilizará el grupo hogar del usuario ejecutador para los equipos sincronizados. Alternativamente, puede crear un Grupo estático nuevo.
•Objeto a sincronizar: ya sean Equipos y grupos o Solo equipos.
•Manejo de colisiones de creación de equipos: si la sincronización agrega equipos que ya son miembros del Grupo estático, puede seleccionar un método de resolución de conflictos:
oOmitir (no se agregarán los equipos sincronizados)
oMover (los equipos nuevos se moverán a un subgrupo)
oDuplicar (se crea un nuevo equipo con nombre diferente)
•Manejo de extinciones de equipos: si un equipo ya no existe, puede Eliminar u Omitir este equipo.
•Manejo de extinciones de grupos: si un grupo ya no existe, puede Eliminar u Omitir este grupo.
Si establece el Manejo de extinciones de grupos en Omitir y elimina un grupo (Unidad organizativa) de Active Directory, los equipos que pertenecían al grupo en ESET PROTECT On-Prem no se eliminarán, ni siquiera si establece su Manejo de extinciones de equipos en Quitar. |
•Modo de sincronización - Active Directory/Open Directory/LDAP
Lea nuestro artículo de la base de conocimiento sobre la administración de equipos con sincronización con Active Directory en ESET PROTECT On-Prem.
Configuración de conexión del servidor
Si el servidor ESET PROTECT se ejecuta en una máquina Windows conectada a un dominio, solo es necesario el campo Servidor. Puede omitir todos los demás pasos de configuración de Active Directory a continuación. Es posible sincronizar entre más dominios si se ha establecido confianza. |
•Servidor - Ingrese el nombre del servidor o la dirección IP de su controlador de dominio.
•Iniciar sesión - Ingrese el nombre de usuario para su controlador de dominio con el siguiente formato:
oServidor de DOMAIN\username (ESET PROTECT ejecutándose en Windows)
oServidor de username@FULL.DOMAIN.NAME o username (ESET PROTECT ejecutándose en Linux).
Asegúrese de escribir el dominio en letras mayúsculas, ya que es el formato requerido para autenticar consultas correctamente en un servidor de Active Directory. |
•Contraseña: ingrese la contraseña usada para ingresar al controlador de dominio.
El servidor de ESET PROTECT en Windows usa el protocolo de cifrado LDAPS (LDAP por sobre SSL) de manera predeterminada para todas las conexiones de Active Directory (AD). También puede configurar LDAPS en el aparato virtual de ESET PROTECT. Para realizar correctamente una conexión de AD a través de LDAPS, configure lo siguiente: 1.El controlador de dominio debe tener instalado un certificado de la máquina. Para emitir un certificado para su controlador de dominio, siga los pasos indicados a continuación: a)Abra el Administrador de servidores y haga clic en Administrar > Agregar roles y características, e instale Servicios certificados de Active Directory > Autoridad de certificación. Se creará una nueva autoridad de certificación en Autoridades de certificación raíz de confianza. b)Haga clic en la notificación (triángulo amarillo) en el Administrador del servidor y Configure los servicios de certificados de Active Directory en el servidor de destino. En Servicios de roles, seleccione Autoridad de certificación. Finalice la configuración haciendo clic en Siguiente. c)Diríjase a Iniciar >tipo certlm.msc y presione Aceptar para ejecutar la extensión Certificados Consola de administración de Microsoft > Certificados - Equipo local > Personal > haga clic con el botón secundario en el panel vacío > Todas las tareas > Solicitar un nuevo certificado > rol Inscribir controlador de dominio. d)Compruebe que el certificado emitido contenga la FQDN del controlador de dominio. e)En el servidor ESET PROTECT, importe la CA que generó en la tienda de certificados (con la herramienta certlm.msc) > Máquina local > de la carpeta Entidades de certificación raíz de confianza. f)Reinicie el equipo del servidor ESET PROTECT. 2.Cuando proporcione la configuración de conexión al servidor de AD, escriba el FQDN del controlador de dominio (como se indica en el certificado del controlador de dominio) en el campo Servidor o Host. La dirección IP ya no es suficiente para LDAPS. |
Para habilitar la reserva al protocolo LDAP, seleccione la casilla de verificación Usar LDAP en lugar de Active Directory e introduzca los atributos específicos que se ajusten con su servidor. De manera alternativa, puede seleccionar Valores predeterminados al hacer clic en Seleccionar y los atributos se completarán automáticamente:
•Active Directory
•macOS Server Open Directory (Nombres de host del equipo)
•macOS Server Open Directory (Direcciones IP del equipo)
•OpenLDAP con registros del equipo Samba: para configurar los parámetros del nombre DNS en Active Directory.
Cuando seleccione Usar LDAP en lugar de Active Directory y la preconfiguración de Active Directory, puede ingresar los atributos de su estructura de Active Directory para completar los detalles del equipo. Solo se pueden usar atributos del tipo DirectoryString. Puede usar una herramienta (por ejemplo, ADExplorer) para inspeccionar los atributos en su controlador de dominio. Seleccione los campos correspondientes en la siguiente tabla:
Campos de detalles del equipo |
Campos de tarea de sincronización |
---|---|
Nombre |
Atributo de nombre de host del equipo |
Descripción |
Atributo de descripción del equipo |
Configuración de sincronización
•Nombre distinguido: ruta (nombre distinguido) al nodo en el árbol de Active Directory. Dejar esta opción vacía sincronizará el árbol del AD completo. Haga clic en Navegar junto a Nombre distinguido. Aparecerá el árbol de Active Directory. Seleccione la entrada superior para sincronizar todos los grupos con ESET PROTECT On-Prem o seleccione solo los grupos específicos que desea agregar. Solo se sincronizan los equipos y las unidades organizativas. Haga clic en Aceptar cuando haya finalizado.
Determinar el nombre distinguido 1.Abra la aplicación Usuarios y equipos de Active Directory. 2.Haga clic en Ver y seleccione Características avanzadas. 3.Haga clic con el botón derecho del ratón en el dominio > Propiedades >, seleccione la ficha Editor de atributos. 4.Ubique distinguishedName la línea. Debe tener el mismo aspecto que el de este ejemplo: DC=ncop,DC=local. |
•Nombres distinguidos excluidos: puede optar por excluir (ignorar) nodos específicos en el árbol del Active Directory.
•Ignorar equipos deshabilitados (solo en Active Directory): puede optar por ignorar los equipos deshabilitados en el Active Directory; la tarea omitirá estos equipos.
Si recibe un error: Server not found in Kerberos database luego de hacer click en Navegar, use AD FQDN del servidor en lugar de la dirección IP. |
Sincronización desde el servidor de Linux
Desencadenador
La sección Desencadenador contiene información sobre los desencadenadores que ejecutarán una tarea. Cada Tarea del servidor puede tener hasta un desencadenador. Cada desencadenador solo puede ejecutar una Tarea del servidor. Si no se selecciona Configurar desencadenador en la sección Básico, no se crea un desencadenador. Se puede crear una tarea sin un desencadenador. Dicha tarea se puede ejecutar manualmente o se puede agregar un desencadenador en otro momento.
Configuración avanzada: Umbral
Al configurar un límite, puede establecer reglas avanzadas para el desencadenador creado. Establecer un límite es opcional.
Resumen
Todas las opciones configuradas se visualizan aquí. Revise la configuración y haga clic Finalizar.
En Tareas, puede ver la barra indicadora de progreso, el ícono de estado y los detalles de cada una de las tareas creadas.
Puede ejecutar la tarea del servidor Instalación de agente para instalar el ESET Management agente a los equipos sincronizados desde Active Directory. |