Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
En nuestras redes cada vez hay más dispositivos y servidores (más de virtuales, que de físicos). Ya no tenemos uno o dos
equipos que si les pasa algo rápidamente podemos saber donde está el problema. Sino que los sistemas son muchos, decicados
a una tarea especí ca, pero que todos ellos se relacionan entre sí. Es el típico “divide y vencerás“. Pero también es motivo de
complicarnos las cosas al Departamento de TI, al crecer setas por todas partes, que nos hace tener que mirar “trenta mil” cosas
para encontrar que falla del entorno.
Este es el principal motivo por el que se hace necesario el despliegue de un entorno de monitorización, para ayudarnos a
detectar el origen del problema lo más rápidamente posible. Pero no sólo eso, los sistemas de monitorización avanzados
también nos permiten ser o por ellos mismos ya son proactivos. Es decir, cuando se detecta un posible error, el sistema puede
ejecutar tareas pre programadas para evitar que se produzca la caída del servicio. Poniendo un ejemplo, si tenemos un servidor
de base de datos en que el disco que contiene la base de datos está llegando al 90% de ocupación, el sistema lanza una alerta
que provoca la ejecución de una tarea que amplía la capacidad del disco duro un 10%.
SNMP son las siglas de Simple Network Management Protocol, del que podéis encontrar más información en la Wikipedia. En
términos generales, casi es un estándar en la monitorización y administración de dispositivos. La gran mayoría de dispositivos
físicos (routers switch, la parte física de los servidores y cabinas) soportan este protocolo. En el caso de los servidores o sistemas
operativos, hay que habilitar el servicio que proporciona esta información. Toda esta información se envía y se recoge por un
equipo capaz de interpretar esta información, es lo que se conoce como servidor de monitorización o traps. Al ser información
sensible es muy aconsejable que esté controlado dónde va a parar esta información y que viaje por la red lo más protegida
posible.
Por el protocolo SNMP se utilizan dos comunidades que es parecido al nombre de un dominio donde se envían y se recogen los
eventos. Por defecto las comunidades son dos:
Podemos decir que el habilitar el servicio de SNMP es una manera no agresiva de tener monitorizado un servidor sin necesidad
de instalar aplicaciones de terceros.
Hecha la introducción, en esta entrada veremos como desplegar y con gurar el servicio de SNMP de los servidores Windows
para que informen para unas comunidades en concreto en un servidor de monitorización.
Desde el administrador de servidor de un equipo que tenga las herramientas administrativas de Active Directory, en el menú
superior de la derecha, hacer clic en Herramientas y Administración de directivas de grupo.
Desplegar el bosque y dominio hasta encontrar la carpeta Objetos de directiva de grupo.
Botón derecho sobre Objetos de directiva de grupo. En el menú, hacer clic en Nuevo.
Indicar un nombre descriptivo, por ejemplo, Equipos – Con guración SNMP. Hacer clic en el botón Aceptar.
Localizar la nueva directiva, botón derecho del ratón, hacer clic en Editar.
En la rama Con guración del equipo, desplegar Directivas > Plantillas administrativas > Red > SNMP. Ya que el protocolo SNMP
es un servicio que actúa a nivel de equipo, no de usuario.
Dentro de la carpeta SNMP tenemos tres parámetros a con gurar:
Se puede aprovechar la misma directiva de SNMP para añadir administrativamente estas reglas a los equipos. Por eso, sin
abandonar el editor, localizar la rama: Con guración del equipo > Directivas > Con guración de Windows > Con guración de
seguridad > Firewall de Windows con seguridad avanzada > Firewall de Windows con seguridad avanzada – LDAP… > Reglas de
entrada.
Botón derecho del ratón sobre Reglas de entrada, del menú desplegable, hacer clic en Nueva regla.
Se inicia el asistente para la creación de reglas en el cortafuegos. Seleccionar Prede nida. Del listado, seleccionar Servicio SNMP.
Hacer clic en el botón Siguiente.
Asegurar que se crearán las dos reglas para el servicio SNMP, la que corresponde a la red de Dominio y la de la red privada y
pública. Hacer clic en el botón Siguiente.
Indicar el tipo de conexión a realizar según las condiciones anteriores. Seleccionar Permitir la conexión. Hacer clic en el botón
Finalizar.
Comprobar que se han creado las dos nuevas reglas para el servicio de SNMP de entrada.
Se puede repetir el proceso para el servicio de captura de SNMP. Dejando la con guración en 4 reglas
Los asistentes son lo que son y yo un poco peculiar. Terminaremos de a nar estas reglas limitando la conexión desde y hacia la
IP del servidor de monitorización. Botón derecho sobre una de las reglas, hacer clic en Propiedades.
Tenemos una visión general de la con guración de la regla del cortafuegos, igual que podemos tener en nuestro equipo cliente,
algunos parámetros los podremos modi car, otros nos vienen asignados por la regla prede nida. Hacer clic en la pestaña
Ámbito.
En el apartado Dirección IP remota se especi ca la IP desde la que permitiremos la conexión al protocolo SNMP. Nuestro
servidor de monitorización. Seleccionar Estas direcciones IP y hacer clic en el botón Agregar. Seleccionar esta dirección IP o
subred y indicar la dirección IP del servidor de monitorización. Hacer clic en los botones Aceptar para guardar los cambios.
Repetir el proceso para el resto de reglas de entrada que se han creado.
Toda entrada también tiene una salida, para evitar que el trá co no se nos vaya de donde tiene que ir, botón derecho sobre la
rama Reglas de salida, hacer clic en Nueva regla.
Se vuelve a abrir el asistente para crear una nueva regla de salida. Seleccionar Prede nida. De la lista, seleccionar Servicio SNMP.
Hacer clic en el botón Siguiente.
Asegurar que se crearán las dos reglas para el servicio SNMP, la que corresponde a la red de Dominio y la de la red privada y
pública. Hacer clic en el botón Siguiente.
Indicar el tipo de conexión a realizar según las condiciones anteriores. Seleccionar Permitir la conexión. Hacer clic en el botón
Finalizar.
Comprobar que se han creado las dos nuevas reglas para el servicio de SNMP de salida.
Al igual que para las reglas de entrada, modi camos la regla para que sólo permita enviar el trá co a la IP del servidor de
monitorización. Botón derecho sobre la regla, hacer clic en Propiedades.
Hacer clic en la pestaña Ámbito.
En el apartado dirección IP remota, seleccionar estas direcciones IP. Hacer clic en el botón Agregar. Seleccionar Esta dirección IP
o subred y indicar la dirección IP del servidor de monitorización. Hacer clic en los botones Aceptar para guardar los cambios. Y ya
se puede cerrar el editor de directivas por la crucecita de la ventana.
Tenemos la directiva creada, pero no asignada. Desde el Administrador de directivas del grupo, botón derecho sobre una Unidad
Organizativa que contenga los servidores que queremos co gurar el servicio SNMP, por ejemplo, los Domain Controllers. Hacer
clic en Vincular una GPO existente.
Seleccionar la Directiva correspondiente de SNMP del listado y hacer clic en el botón Aceptar.
En caso que tengamos más de un controlador Active Directory aseguramos la réplica, desde una consola de sistema con
privilegios de administrador, con el comando:
repadmin /syncall /e
Desde los servidores a los que hemos aplicado la directiva, podemos esperar que la aplique automáticamente o forzarla, desde
una consola de sistema con privilegios de administrador, con el comando:
gpupdate /force
Volviendo a uno de los servidores que hemos dado de alta el servicio de SNMP, en el Administrador del servidor, en el menú
superior derecho, hacer clic en Herramientas > Servicios. Localizar el servicio de SNMP, botón derecho Propiedades. Pestaña
Capturas, podemos comprobar que se han añadido los destinos de captura marcados por la directiva y que no se puede
modi car
Lo mismo pasa en la pestaña Seguridad. Se ha añadido la comunidad de lectura y las IPs de los servidores de monitorización
Por otra parte, si revisamos la con guración del cortafuegos. Desde el Administrador del servidor, en el menú superior derecho,
hacer clic en Herramientas > Firewall de Windows con seguridad Avanzada.
Haciendo clic en Reglas de entrada, se pueden encontrar las reglas correspondientes al servicio SNMP.
Ojo si hay más de dos, deshabilitar las que sean del sistema, las que no hemos parametrizado nosotros. Botón derecho sobre la
regla, hacer clic en Deshabilitar regla para evitar que se sobreescriban o contradigan.
Repetir el mismo proceso para las reglas de salida.
Ya tenemos los servidores preparados para ser monitorizados mediante el protocolo SNMP. El siguiente paso será desplegar un
sistema de monitorización que pueda entender este protocolo y nos informe de las incidencias que se puedan dar.
¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o
sugerencia. ¡Gracias!
Compartir:
00
Cali car
Contestar
1. JMSolanes dice:
00
Cali car
Contestar
00
Cali car
Contestar
1. JMSolanes dice:
me ha sorprendido su comentario. Primero porque indica que “no sirve”, pero no el qué, no lo entiendo. ¿No sirve la con guración SNMP?
Y segundo, por las frases obscenas a continuación, que he eliminado por respeto a los otros compañeros. ¿A qué se re ere? ¿Qué le ha disgustado tanto del artículo?
Saludos,
00
Cali car
Contestar
DSR dice:
Pregunta y como puedo saber que equipos tienen permisos para hacer consultas SNMP, me re ero en una plataforma de 100 o mas servidores que se hizo a mano el
proceso que tu explicas perfectamente por GPO sin tener que ir uno a uno claro.
GRACIAS!!
00
Cali car
Contestar
1. JMSolanes dice:
14 mayo 2017 a las 7:50
Cuando aplicas la con guración de SNMP por GPO, sobreescribes la que pudieses tener con gurada a mano. Para asegurar quien puede hacer consultas, puedes
aplicar la seguridad en SNMP v3 mediante usuario y contraseña.
00
Cali car
Contestar
Oscar dice:
00
Cali car
Contestar
dlsv15 dice:
00
Cali car
Contestar
1. JMSolanes dice:
00
Cali car
Contestar
Cristian dice:
00
Cali car
Contestar
1. JMSolanes dice:
00
Cali car
Contestar
Deixar un comentari
Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.
Web
No soy un robot
reCAPTCHA
Privacidad - Condiciones
Guardar mi nombre, correo electrónico y sitio web en este navegador para la próxima vez que haga un comentario.
Publicar comentari
Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.
Sobre mi
nube de etiquetas
actualización administración alta disponibilidad archivo bases de datos certi cado cifrado cloud clúster contraseña copia seguridad correo
electrónico cortafuegos directorio activo disco duro documentos dpi ssl escritorio remoto Essentials chero grupo de almacenamiento Hyper-V
idioma IIS impresora instalar iscsi maqueta mvp mvp mysql per les móviles per l red pyme red redes Server SQL Server sysadmin todos Windows 2012 R2
Windows 2012 R2 Windows 2016 windows server Windows Server 2016
Inicio Català
Profesionales IT Español
Programación English
Usuarios
Opinión
AVISO LEGAL
2013-2018 Algunos derechos reservados. Todas las imágenes son propiedad de sus
respectivos autores, con el
Esta obra está sujeta a una licencia de correspondiente licensiamiento..
Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons