Instalación

El contenido a continuación está destinado a administradores de TI y le guiará a través del proceso de instalación de Specops Password Reset.

Componentes clave

Texto alternativo para esta imagen

Specops Password Reset consta de los siguientes componentes y no requiere servidores o recursos adicionales en su entorno. La visión general arquitectónica anterior muestra la comunicación entre los componentes en una instalación típica. Tenga en cuenta que el servidor de Password Reset y los componentes web de Password Reset generalmente se instalan en el mismo servidor dentro de la red.

Servidor: Gestiona todas las operaciones contra Active Directory, como cambiar/restablecer contraseñas, y responde a las solicitudes de la aplicación web Specops Password.
Herramientas de administración: Se utilizan para configurar los aspectos centrales de la solución y permitir la creación de configuraciones de Specops Password Reset en Objetos de Política de Grupo.
Web: Muestra la interfaz de usuario final del producto y se comunica con el servidor de Specops Password Reset para verificar la entrada del usuario.
Specops Client (anteriormente conocido como Specops Password Client): Specops Client presenta un enlace a la aplicación web Specops Password Reset en la pantalla de inicio de sesión de Windows y presenta notificaciones al usuario final sobre los requisitos de inscripción.

Requisitos

El entorno de su organización debe cumplir con los siguientes requisitos del sistema:

Componente	Requisito
Servidor	Windows Server 2016/2019/2022 .NET Framework 4.7.2 o posterior Windows Identity Foundation instalado
Herramientas de administración	Windows Server 2016/2019/2022 Complemento Active Directory y Computadoras Consola de Administración de Políticas de Grupo (GPMC) .NET Framework 4.7.2 o posterior
Web	Windows Server 2016/2019/2022 .NET Framework 4.7.2 o posterior IIS instalado Certificado SSL de confianza para todos los nombres que se presentará la aplicación web
Specops Client	Windows 10 x64, Windows 11 x64 o Windows Server 2016/2019/2022 .NET Framework 4.7.2 o posterior

Instalación de Specops Password Reset

Durante la instalación, Specops Password Reset lanzará el Asistente de Configuración. El Asistente de Configuración le ayudará a instalar los siguientes componentes para Specops Password Reset:

Servidor
Herramientas de administración
Web
Specops Client

Descargue el Asistente de Configuración.
Guarde y ejecute el Asistente de Configuración en su servidor.

Nota

Por defecto, el archivo se extrae a C:\temp\SpecopsPasswordReset_Setup_[VersionNumber]
Haga doble clic en SpecopsPasswordReset.Setup.exe para iniciar el Asistente de Configuración.
Para comenzar, haga clic en Iniciar instalación en el cuadro de diálogo Asistente de Configuración de Specops y Aceptar el Acuerdo de Licencia de Usuario Final.

Instalación del servidor Specops Password Reset

El servidor Specops Password Reset realiza operaciones contra Active Directory y responde a solicitudes de la aplicación web Specops Password.

Desde el Asistente de Configuración, seleccione Servidor.
Verifique que haya cumplido con los requisitos previos. Si no cumple con los requisitos previos, es posible que deba hacer lo siguiente:
Verifique que esté ejecutando un sistema operativo válido.
Windows Identity Foundation está instalado.
Verifique que la cuenta que se está utilizando para ejecutar el Asistente de Configuración tenga permisos administrativos locales.
Haga clic en Seleccionar usuario.
Ingrese el Nombre de Usuario y la Contraseña de la cuenta de usuario con la que se ejecutará el servicio, y haga clic en OK.

Nota

Todas las operaciones realizadas por el componente del servidor Specops Password Reset se realizarán en el contexto de la cuenta de servicio seleccionada aquí.
Haga clic en Seleccionar para identificar el nivel de gestión donde se crean los permisos de Active Directory. Esto también se utiliza para rastrear el uso de licencias.
Haga clic en Seleccionar y haga clic en Crear certificado autofirmado. El certificado autofirmado se utilizará para asegurar las llamadas al servicio Specops Password Reset.

Nota

Desde la Consola de Administración de Microsoft, renombre el certificado autofirmado con un nombre de usuario amigable para que pueda ser fácilmente identificado durante una actualización: Certificados > Personal > clic derecho y seleccione Propiedades > complete el campo Nombre de usuario amigable, y haga clic en OK.
Haga clic en Configurar para configurar las notificaciones de administrador utilizadas para enviar correos electrónicos al administrador con notificaciones sobre la Licencia de Specops Password Reset.
En el campo Configuración de correo electrónico, ingrese el Nombre del Servidor SMTP.
Ingrese el Nombre de Usuario SMTP y la Contraseña SMTP.

Nota

Si no se especifican credenciales, el servidor se autenticarán como la cuenta de servicio con la que se está ejecutando.
Haga clic en OK.
Haga clic en Configurar para configurar la configuración del mensaje de verificación móvil. Esto generará un código de verificación por SMS que se utilizará para autenticar a los usuarios que soliciten restablecimientos de contraseña a través del servicio de asistencia.
En el campo de texto De correo electrónico, ingrese la dirección de correo electrónico que se utilizará para enviar el mensaje de validación.
Configure la configuración de Para correo electrónico, Asunto y Cuerpo de acuerdo con las especificaciones de su proveedor de SMS.
Desde el cuadro desplegable Insertar código de marcador de posición, puede seleccionar la información que será diferente para cada usuario.
Haga clic en OK.
Haga clic en Instalar.

Instalación del componente web Specops Password Reset

El componente web Specops Password Reset presenta la interfaz de usuario final del producto y se comunica con el servidor de Specops Password Reset para verificar la entrada del usuario. Durante la instalación, se le dará la opción de incluir el Servicio Web de Specops Password Reset (Acceso Móvil). El componente de Acceso Móvil se utiliza para permitir que la aplicación de dispositivo móvil Specops Password Reset se conecte al servidor Specops Password Reset. La instalación de Specops Password Web también instalará la herramienta de Personalización Web de Specops Password Reset, que se puede utilizar para gestionar traducciones de idiomas y la marca gráfica del sitio web.

Desde el Asistente de Configuración, seleccione Web.
Verifique que haya cumplido con los requisitos previos. Si no cumple con los requisitos previos, es posible que deba hacer lo siguiente:
Verifique que esté ejecutando un sistema operativo válido.
Verifique que la cuenta que se está utilizando para ejecutar el Asistente de Configuración tenga permisos administrativos locales.
Verifique que IIS esté instalado.
Configure IIS para Specops Password Reset.
Haga clic en Seleccionar para seleccionar a qué servicio de servidor Specops Password Reset desea que se conecte el componente web.
Ingrese el nombre del servidor y haga clic en OK.
Haga clic en Seleccionar para identificar el sitio web donde se instalará Specops Password Reset Web.
Nota
- Si hay más de un sitio web ejecutándose en su IIS, puede seleccionar cuál desea usar para el componente web Specops Password Reset.
- Si el componente web está instalado en un servidor en la red interna, y desea dirigir a sus clientes de contraseña internos para que utilicen el servidor web que está instalando, la opción Actualizar la información del Punto de Conexión del Servicio durante la instalación debe permanecer marcada.
Haga clic en OK.
Haga clic en Seleccionar para seleccionar el certificado que desea usar para el cifrado SSL, y haga clic en OK.
Haga clic en Instalar.

Nota

Aparecerá el Asistente de Configuración Web de Specops Password Reset. El asistente le permitirá instalar el componente móvil.
En el Asistente de Configuración Web de Specops Password Reset, haga clic en Siguiente.
Lea y acepte el acuerdo de licencia, y haga clic en Siguiente.
Seleccione el cuadro desplegable junto a Servicio Web de Password Reset (Acceso Móvil), y haga clic en Se instalará en el disco duro local.
Haga clic en Siguiente.
Haga clic en Instalar.

Instalación del componente web en DMZ

Si la computadora está en un grupo de trabajo, la forma recomendada de instalar es la interfaz de usuario en el asistente de configuración:

Verifique que tenga .Net 3.5 SP1 instalado en el servidor DMZ.
No seleccione Actualizar la información del Punto de Conexión del Servicio durante la instalación.

Nota

Esta opción no será visible si el servidor DMZ no está unido al dominio.
Si el certificado está instalado en el servidor, podrá seleccionar/ver el certificado en el asistente de configuración.

Nota

Si no puede seleccionar/ver el certificado, continúe con el asistente de configuración y seleccione el certificado SSL en el administrador de IIS/sitio web predeterminado/Bindings/https/Edit/.
La zona DMZ que aloja sus registros DNS públicos necesitará ser actualizada con un registro que proporcione un nombre de sitio más fácil de recordar para los usuarios finales.
Verifique que el puerto 4371 en su firewall esté abierto al servidor interno Specops Password Reset.

Si la computadora en DMZ es miembro de un dominio de Active Directory separado para DMZ, la forma recomendada de instalar es instalar el MSI usando una línea de comandos:

Los siguientes parámetros se utilizan en el script de línea de comandos:

IISPARENTWEBSITE: Nombre del sitio web principal, por ejemplo, “Default Web Site”
REMOTINGSERVER: Nombre del servidor SPR, que debe ser accesible desde DMZ
IISTHUMBPRINT: Certificado TLS

MSIEXEC /i SpecopsPasswordResetWeb-x64.msi
  ALLUSERS=1 IISPARENTWEBSITE="Default Web Site"
  REMOTINGSERVER=spr.acme.org REMOTINGPORT=4371
  SERVERINDMZ=1 IISTHUMBPRINT="‎" IISAPPLICATIONNAME=SpecopsPassword
  IISAPPLICATIONPOOLNAME=SpecopsPassword IISHASSILVERLIGHTPAGES=false
  IISUSEWCF=false IISENABLESSL=true IISENABLEANONYMOUSAUTHENTICATION=true
  IISSECUREFOLDERS="Enrollment,Helpdesk"

Instalación de las herramientas de administración

La instalación de las herramientas de administración instalará la herramienta de Configuración de Specops Password Reset y el complemento GPMC. Puede usar la herramienta de Configuración para gestionar configuraciones que se aplican a todo su dominio. Puede usar el complemento GPMC para configurar políticas de Specops Password Reset en un Objeto de Política de Grupo. El GPO puede aplicarse a todo su dominio o a una parte de su dominio.

Las herramientas de administración deben instalarse en la computadora desde la que desea administrar el producto.

Desde el Asistente de Configuración, seleccione Herramientas de administración.
Haga clic en Agregar ext. de menú para registrar los Especificadores de Pantalla de Specops en la partición de configuración de su bosque de Active Directory.
Haga clic en Instalar.

Instalación y actualización del Specops Client

Specops Password Reset requiere la instalación tanto del Specops Client en todas las computadoras cliente. Esto se describe en Instalación del Specops Client.

Configuración posterior a la instalación

Deberá completar la siguiente configuración una vez que haya instalado Specops Password Reset.

Importe su clave de licencia

Ingrese su clave de licencia en la Herramienta de Configuración de Password Reset.

Abra la Herramienta de Configuración de Specops Password Reset.
En el panel de navegación, seleccione Licencia.
Haga clic en Importar licencia.
Navegue hasta la ubicación del archivo TXT y haga clic en Abrir.

Verifique que su dominio esté configurado para su uso con Specops Password Reset

Abra la Herramienta de Configuración de Specops Password Reset.
En el panel de navegación, seleccione Dominios.
Verifique que su dominio esté listado bajo Dominios Configurados.

Habilitar la autenticación en el servidor web de Password Reset

Agregar miembros a los grupos de seguridad locales de Specops Password Reset

Instale servidores web adicionales que pueda querer usar para acceso externo

Consulte Instalar el componente web en DMZ (si corresponde)

Si usa Autenticación de Pregunta Secreta, asegúrese de que los usuarios se inscriban en los sistemas

Para obtener información sobre las diferentes opciones de inscripción y las mejores prácticas, consulte Specops Password Reset Opciones de Inscripción y Mejores Prácticas.

Verifique que el Specops Client esté instalado en sus máquinas cliente

Realice los siguientes pasos en el cliente para determinar que el Cliente se ha instalado correctamente.

Ver programas instalados desde el Panel de Control:
- Abra Programas y características.
- En la lista de programas instalados, encuentre Specops Client.
Nota

También puede ver la versión del Cliente.
Ver programas instalados desde el Registro.
- Abra el editor del registro.
- Navegue a HKEY_LOCAL_MACHINE\SOFTWARE\Specopssoft\uReset\Client
Nota

La clave anterior solo existirá después de que el Cliente haya sido instalado.

Verifique la configuración de seguridad para cuentas administrativas

Windows contiene muchas características de seguridad integradas diseñadas para mejorar la seguridad alrededor de las cuentas administrativas. Una de estas características es la funcionalidad adminSDHolder, que reconfigura automáticamente el ACL en objetos que son miembros de grupos privilegiados integrados de Active Directory. Este proceso se ejecuta cada 60 minutos en el Emulador PDC y eliminará los permisos heredados de su cuenta de servicio Specops Password Reset de los objetos de usuario protegidos. Si desea que sus cuentas administrativas puedan usar Specops Password Reset, debe agregar manualmente permisos para la cuenta de servicio al contenedor AdminSDHolder.

Inicie sesión con una cuenta con permisos de Administrador de Dominio y ejecute el siguiente comando:

dsacls "CN=AdminSDHolder, CN=System, <Domain DN>" /G
  "<ServiceAccount>:CCDC;classStore;" "<ServiceAccount>:LC;;"
  "<ServiceAccount>:CA;Reset Password;" "<ServiceAccount>:RP;userAccountControl;"
  "<ServiceAccount>:RPWP;mobile;" "<ServiceAccount>:RPWP;pwdLastSet;"
  "<ServiceAccount>:RPWP;lockoutTime;"

Ejemplo:dsacls "CN=AdminSDHolder, CN=System, DC=example, DC=com" /G
          "EXAMPLEsprsvc:CCDC;classStore;" "EXAMPLEsprsvc:LC;;"
          "EXAMPLEsprsvc:CA;Reset Password;" "EXAMPLEsprsvc:RP;userAccountControl;"
          "EXAMPLEsprsvc:RPWP;mobile;" "EXAMPLEsprsvc:RPWP;pwdLastSet;"
          "EXAMPLEsprsvc:RPWP;lockoutTime;"

Reemplace <domainDN> y <serviceAccount> con los componentes de dominio de su dominio y el nombre de la cuenta de servicio SPR.

Nota

Permitir que Specops Password Reset funcione con cuentas con permisos administrativos no es una práctica recomendada por razones de seguridad. Habilite estas configuraciones solo si es requerido por la realidad práctica de su organización.

Configure el acceso a las Políticas de Contraseña de Grano Fino de Active Directory

Si Specops Password Reset está instalado en un dominio donde se utilizan políticas de contraseña de grano fino, se deben otorgar permisos a la cuenta de servicio de Specops Password Reset para leer las políticas de contraseña configuradas.

Inicie sesión con una cuenta con permisos de Administrador de Dominio y ejecute el siguiente comando:

dsacls “CN=Password Settings Container,CN=System,<domainDN>” /I:T /G
<serviceAccount>:GR;;

Ejemplo: dsacls “CN=Password Settings Container,CN=System,DC=example,DC=com” /I:T /G EXAMPLEsprsvc:GR;;

Reemplace <domainDN> y <serviceAccount> con los componentes de dominio de su dominio y el nombre de la cuenta de servicio SPR.

Configure su entorno para su uso con el Servicio Web de Acceso Móvil

Si instaló el Servicio Web de Acceso Móvil como parte de la instalación de Specops Password Reset Web, deberá completar los siguientes pasos antes de que el servicio esté listo para su uso dentro de su organización.

Haga que el Servicio Web de Acceso Móvil sea accesible desde Internet: Su firewall debe permitir la comunicación en el puerto tcp 443 para que el dispositivo móvil pueda conectarse al servicio a través de https.

Habilitar el descubrimiento de servicios: Para que el dispositivo encuentre el servicio de Acceso Móvil, la aplicación requerirá que el usuario ingrese su dirección de correo electrónico. La parte del dominio de la dirección de correo electrónico se utilizará para realizar una consulta DNS para encontrar un registro de servicio para el Servicio Web de Acceso Móvil en la zona de correo electrónico. Esto requiere que cada zona DNS se actualice con un nuevo registro de servicio que apunte al Servicio de Acceso Móvil de Password Reset.

Cree el registro SRV de Specops Password: El registro de servicio debe crearse en su zona DNS externa habilitada para correo por usted o su ISP, dependiendo de quién gestione los datos de la zona.

Se deben utilizar las siguientes configuraciones al crear el registro de servicio:

Parte del registro DNS	Valor	Explicación
_service	_tcp	El servicio “_specopspassword” se accede a través de tcp.
Nombre de la zona	[zona]	Esta parte es el nombre de su zona de Internet. El nombre completo del registro de servicio para el dominio “example.com” sería: _specopspassword._tcp.example.com.
TTL	[TTL]	El tiempo (en segundos) que el registro puede ser almacenado en caché antes de considerarse obsoleto. Cada zona tiene un valor TTL predeterminado, pero también es posible crear TTLs separados para cada registro.
Clase	IN	El campo de clase DNS estándar, esto siempre es “IN”.
Prioridad	0	Si existe más de un host de destino para el registro de servicio, la prioridad determina la preferencia entre los destinos. Los valores más bajos significan mayor preferencia.
Puerto	443	El servicio “_specopspassword” se accede a través de SSL en el puerto tcp/443. Si esta configuración se cambia en el servidor web, los datos del puerto en el registro SRV también deben reflejar esto.
Destino	[FQDN de destino]	El destino es el FQDN del host que ejecuta el Servicio Web de Specops Password Reset. Para un host llamado “spr” en el dominio example.com, el destino sería: spr.example.com

El registro completo para conectar clientes al host “spr.example.com” podría verse así: _specopspassword._tcp.example.com 86400 IN 0 0 443 spr.example.com

Pruebe el registro de servicio: El registro de servicio se puede probar ejecutando el siguiente comando:

nslookup -type=SRV _specopspassword._tcp.[your_domain_name]  8.8.8.8`

Respuesta esperada:

nslookup -type=SRV _specopspassword._tcp.example.com 8.8.8.8

Servidor: google-public-dns-a.google.com

Dirección: 8.8.8.8

Respuesta no autoritativa:

_specopspassword._tcp.example.com ubicación del servicio SRV:

prioridad = 0

peso = 0

puerto = 443

nombre del servidor = spr.example.com

Si está utilizando un proxy internamente, deberá agregar una excepción para omitir la autenticación y permitir que el sistema navegue a la página web de Specops Password Reset sin autenticación.