Con guración SNMP servidores Windows

 24 marzo 2015 Català

 Profesionales IT  Josep Ma Solanes  11

 snmp | sysadmin

En nuestras redes cada vez hay más dispositivos y servidores (más de virtuales, que de físicos). Ya no tenemos uno o dos
equipos que si les pasa algo rápidamente podemos saber donde está el problema. Sino que los sistemas son muchos, decicados
a una tarea especí ca, pero que todos ellos se relacionan entre sí. Es el típico “divide y vencerás“. Pero también es motivo de
complicarnos las cosas al Departamento de TI, al crecer setas por todas partes, que nos hace tener que mirar “trenta mil” cosas
para encontrar que falla del entorno.

Este es el principal motivo por el que se hace necesario el despliegue de un entorno de monitorización, para ayudarnos a
detectar el origen del problema lo más rápidamente posible. Pero no sólo eso, los sistemas de monitorización avanzados
también nos permiten ser o por ellos mismos ya son proactivos. Es decir, cuando se detecta un posible error, el sistema puede
ejecutar tareas pre programadas para evitar que se produzca la caída del servicio. Poniendo un ejemplo, si tenemos un servidor
de base de datos en que el disco que contiene la base de datos está llegando al 90% de ocupación, el sistema lanza una alerta
que provoca la ejecución de una tarea que amplía la capacidad del disco duro un 10%.

SNMP  son las siglas de Simple Network Management Protocol, del que podéis encontrar más información en la Wikipedia. En
términos generales, casi es un estándar en la monitorización y administración de dispositivos. La gran mayoría de dispositivos
físicos (routers switch, la parte física de los servidores y cabinas) soportan este protocolo. En el caso de los servidores o sistemas
operativos, hay que habilitar el servicio que proporciona esta información. Toda esta información se envía y se recoge por un
equipo capaz de interpretar esta información, es lo que se conoce como servidor de monitorización o traps. Al ser información
sensible es muy aconsejable que esté controlado dónde va a parar esta información y que viaje por la red lo más protegida
posible.

Por el protocolo SNMP se utilizan dos comunidades que es parecido al nombre de un dominio donde se envían y se recogen los
eventos. Por defecto las comunidades son dos:

public. Con solo acceso de lectura.

private. Con acceso de lectura y escritura.
Por lo tanto, ya lo sabéis, NO utilizar nunca las comunidades public y private. En su lugar, hay que escoger dos nombres de
comunidades diferentes que tendremos que con gurar en todos los dispositivos que queramos gestionar por SNMP. Parece
mucho trabajo al principio, pero no lo es tanto y nos evita posibles problemas de seguridad.

Podemos decir que el habilitar el servicio de SNMP es una manera no agresiva de tener monitorizado un servidor sin necesidad
de instalar aplicaciones de terceros.

Hecha la introducción, en esta entrada veremos como desplegar y con gurar el servicio de SNMP de los servidores Windows
para que informen para unas comunidades en concreto en un servidor de monitorización.

Instalación del servicio

Como he comentado, el servicio SNMP es una característica que llevan la mayoría de sistemas operativos. En el caso de Windows
Server hay que habilitar la característica. Desde el administrador del servidor, en el menú de la parte superior derecha, hacer clic
en Administrar y Agregar roles y características.

Seleccionar Instalación basada en características o en roles y hacer clic en el botón Siguiente.

Seleccionar la opción un servidor del grupo de servidores, marcar el servidor donde se quiere habilitar el SNMP y hacer clic en el
botón Siguiente.
Saltar el apartado de roles de servidor ya que SNMP es una característica. Hacer clic en el botón Siguiente.
De la lista, marcar Servicio de SNMP y también Proveedor WMI de SNMP. Aceptar el aviso de instalación de herramientas
administrativas. Hacer clic en el botón Siguiente para continuar.
Resumen de la instalación, hacer clic en el botón Instalar.
Una vez instalada la característica, hacer clic en el botón Cerrar.
Aparentemente parece que no haya pasado nada en el entorno, pero si abrimos el administrador de servicios, menú de la parte
superior derecha, hacer clic en Herramientas y Servicios.
Tenemos que encontrar un nuevo servicio: Servicio SNMP, con una con guración de inicio en Automático.
Botón derecho sobre el servicio, en el menú, hacer clic en Propiedades.
Este servicio es un poco diferente del resto, ya que al visualizar las propiedades del mismo aparecen tres pestañas nuevas:
Agente, Capturas y Seguridad. En caso que estas tres pestañas no aparezcan indica que el sistema necesita un reinicio.
Pestaña Agente. Información sobre contacto, ubicación y servicios asociados. Esta información se puede dejar por defecto.
Pestaña Capturas. Es donde se con guran los nombres de las comunidades y el servidor de monitorización. Se puede con gurar
manualmente, uno a uno, pero lo más correcto es crear una política de grupo para con gurar todos los equipos de manera
administrativa.
Pestaña Seguridad. Establece los derechos de las comunidades (lectura o lectura y escritura) y de que IP pueden provenir los
paquetes SNMP. Por defecto se aceptan sólo los paquetes SNMP del localhost.
Hacer clic en Aceptar para cerrar las propiedades del servicio.

Con guración servicio SNMP administrativamente

Tener que con gurar lo mismo en todos los servidores de la infraestructura puede llevar a error y es un trabajo de narices. Por
suerte tenemos un Active Directory en el que se puede crear una política que haga esta con guración en todos los equipos, sin
margen de error. Sin embargo, no nos quedará más remedio que hacer la con guración manual para los equipos fuera del
dominio (DMZs y compañía).

Desde el administrador de servidor de un equipo que tenga las herramientas administrativas de Active Directory, en el menú
superior de la derecha, hacer clic en Herramientas y Administración de directivas de grupo.
Desplegar el bosque y dominio hasta encontrar la carpeta Objetos de directiva de grupo.
Botón derecho sobre Objetos de directiva de grupo. En el menú, hacer clic en Nuevo.
Indicar un nombre descriptivo, por ejemplo, Equipos – Con guración SNMP. Hacer clic en el botón Aceptar.
Localizar la nueva directiva, botón derecho del ratón, hacer clic en Editar.
En la rama Con guración del equipo, desplegar Directivas > Plantillas administrativas > Red > SNMP. Ya que el protocolo SNMP
es un servicio que actúa a nivel de equipo, no de usuario.
Dentro de la carpeta SNMP tenemos tres parámetros a con gurar:

Especi car comunidades

Especi car administradores permitidos
Especi car capturas para comunidades públicas
Especi car comunidades
Primer parámetro que permite especi car el nombre de la o las comunidades de LECTURA que se utilizarán. En caso de necesitar
especi car comunidades de escritura hay que realizar una plantilla administrativa de edición de registro especí ca ya que esta
no lo permite. Hacer clic sobre Especi car comunidades para editar los parámetros. Seleccionar la opción Habilitada y en el
apartado de opciones, hacer clic en el botón Mostrar para añadir las comunidades correspondientes.
Añadir el nombre de la comunidad de lectura, recordar NO utilizar la de defecto. En el ejemplo se utiliza como comunidad
pública el nombre ComUn1tatPub. Hacer clic en el botón Aceptar para guardar las modi caciones.
Hacer clic en el botón Valor siguiente para pasar al siguiente parámetro:

Especi car administradores permitidos

Se especi can las direcciones IP autorizadas para recoger la información SNMP que pueda generar la máquina, es decir, la IP del
servidor de monitorización. Seleccionar la opción Habilitada y en el apartado de opciones, hacer clic en el botón Mostrar para
añadir las direcciones IP autorizadas.
Añadir la dirección IP del servidor de monitorización. Hacer clic en el botón Aceptar para guardar las modi caciones.
Hacer clic en el botón Valor siguiente para pasar al siguiente parámetro:

Especi car capturas para comunidades públicas

Se especi can las direcciones IP donde se enviará la información SNMP, es decir, otra vez la IP del servidor de monitorización.
Excepto para servidores físicos (como ahora Hewlett Packard) que puedan contener herramientas del propio fabricante para
recoger información de los componentes, en las que también se tendrá que añadir el localhost. Seleccionar la opción Habilitada
y en el apartado de opciones, hacer clic en el botón Mostrar para añadir las direcciones IP autrorizadas.
Añadir la dirección IP del servidor de monitorización. Hacer clic en el botón Aceptar para guardar las modi caciones.
Hacer clic en el botón Aceptar de la ventana mostrar contenido y otra vez el botón Aceptar del parámetro Especi car capturas
para comunidades públicas para guardar la con guración.

Reglas para el cortafuegos de Windows

Pero también es necesario proteger un poco este entorno de monitorización, especialmente en los servidores. Por eso, aparte de
con gurar el protocolo SNMP, también me gusta crear las reglas especí cas en el cortafuegos para este protocolo, limitando los
accesos.

Se puede aprovechar la misma directiva de SNMP para añadir administrativamente estas reglas a los equipos. Por eso, sin
abandonar el editor, localizar la rama: Con guración del equipo > Directivas > Con guración de Windows > Con guración de
seguridad > Firewall de Windows con seguridad avanzada > Firewall de Windows con seguridad avanzada – LDAP… > Reglas de
entrada.
Botón derecho del ratón sobre Reglas de entrada, del menú desplegable, hacer clic en Nueva regla.
Se inicia el asistente para la creación de reglas en el cortafuegos. Seleccionar Prede nida. Del listado, seleccionar Servicio SNMP.
Hacer clic en el botón Siguiente.
Asegurar que se crearán las dos reglas para el servicio SNMP, la que corresponde a la red de Dominio y la de la red privada y
pública. Hacer clic en el botón Siguiente.
Indicar el tipo de conexión a realizar según las condiciones anteriores. Seleccionar Permitir la conexión. Hacer clic en el botón
Finalizar.
Comprobar que se han creado las dos nuevas reglas para el servicio de SNMP de entrada.
Se puede repetir el proceso para el servicio de captura de SNMP. Dejando la con guración en 4 reglas
Los asistentes son lo que son y yo un poco peculiar. Terminaremos de a nar estas reglas limitando la conexión desde y hacia la
IP del servidor de monitorización. Botón derecho sobre una de las reglas, hacer clic en Propiedades.
Tenemos una visión general de la con guración de la regla del cortafuegos, igual que podemos tener en nuestro equipo cliente,
algunos parámetros los podremos modi car, otros nos vienen asignados por la regla prede nida. Hacer clic en la pestaña
Ámbito.
En el apartado Dirección IP remota se especi ca la IP desde la que permitiremos la conexión al protocolo SNMP. Nuestro
servidor de monitorización. Seleccionar Estas direcciones IP y hacer clic en el botón Agregar. Seleccionar esta dirección IP o
subred y indicar la dirección IP del servidor de monitorización. Hacer clic en los botones Aceptar para guardar los cambios.
Repetir el proceso para el resto de reglas de entrada que se han creado.

Toda entrada también tiene una salida, para evitar que el trá co no se nos vaya de donde tiene que ir, botón derecho sobre la
rama Reglas de salida, hacer clic en Nueva regla.
Se vuelve a abrir el asistente para crear una nueva regla de salida. Seleccionar Prede nida. De la lista, seleccionar Servicio SNMP.
Hacer clic en el botón Siguiente.
Asegurar que se crearán las dos reglas para el servicio SNMP, la que corresponde a la red de Dominio y la de la red privada y
pública. Hacer clic en el botón Siguiente.
Indicar el tipo de conexión a realizar según las condiciones anteriores. Seleccionar Permitir la conexión. Hacer clic en el botón
Finalizar.
Comprobar que se han creado las dos nuevas reglas para el servicio de SNMP de salida.
Al igual que para las reglas de entrada, modi camos la regla para que sólo permita enviar el trá co a la IP del servidor de
monitorización. Botón derecho sobre la regla, hacer clic en Propiedades.
Hacer clic en la pestaña Ámbito.
En el apartado dirección IP remota, seleccionar estas direcciones IP. Hacer clic en el botón Agregar. Seleccionar Esta dirección IP
o subred y indicar la dirección IP del servidor de monitorización. Hacer clic en los botones Aceptar para guardar los cambios. Y ya
se puede cerrar el editor de directivas por la crucecita de la ventana.
Tenemos la directiva creada, pero no asignada. Desde el Administrador de directivas del grupo, botón derecho sobre una Unidad
Organizativa que contenga los servidores que queremos co gurar el servicio SNMP, por ejemplo, los Domain Controllers. Hacer
clic en Vincular una GPO existente.
Seleccionar la Directiva correspondiente de SNMP del listado y hacer clic en el botón Aceptar.
En caso que tengamos más de un controlador Active Directory aseguramos la réplica, desde una consola de sistema con
privilegios de administrador, con el comando:

repadmin /syncall /e

Desde los servidores a los que hemos aplicado la directiva, podemos esperar que la aplique automáticamente o forzarla, desde
una consola de sistema con privilegios de administrador, con el comando:

gpupdate /force

Volviendo a uno de los servidores que hemos dado de alta el servicio de SNMP, en el Administrador del servidor, en el menú
superior derecho, hacer clic en Herramientas > Servicios. Localizar el servicio de SNMP, botón derecho Propiedades. Pestaña
Capturas, podemos comprobar que se han añadido los destinos de captura marcados por la directiva y que no se puede
modi car
Lo mismo pasa en la pestaña Seguridad. Se ha añadido la comunidad de lectura y las IPs de los servidores de monitorización
Por otra parte, si revisamos la con guración del cortafuegos. Desde el Administrador del servidor, en el menú superior derecho,
hacer clic en Herramientas > Firewall de Windows con seguridad Avanzada.
Haciendo clic en Reglas de entrada, se pueden encontrar las reglas correspondientes al servicio SNMP.
Ojo si hay más de dos, deshabilitar las que sean del sistema, las que no hemos parametrizado nosotros. Botón derecho sobre la
regla, hacer clic en Deshabilitar regla para evitar que se sobreescriban o contradigan.
Repetir el mismo proceso para las reglas de salida.
Ya tenemos los servidores preparados para ser monitorizados mediante el protocolo SNMP. El siguiente paso será desplegar un
sistema de monitorización que pueda entender este protocolo y nos informe de las incidencias que se puedan dar.

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o
sugerencia. ¡Gracias!

Similar Posts by The Author:

Hola mundo! WordPress 5 y Gutenberg
Hola món! WordPress 5 i Gutenberg
Windows Admin Center
Windows Admin Center
Cambiar idioma del usuario de Windows 10
Canviar llenguatge de l’usuari de Windows 10
BitLocker. Cifrado de disco duro con Windows
BitLocker. Xifrat de disc dur amb Windows
Cloud privado con Microsoft Hyper-V
Cloud privat amb Microsoft Hyper-V

Cali car (8 Votos)

Compartir:

 LinkedIn  Twitter  Google  Facebook  Pocket  Correo electrónico  WhatsApp  Telegram

 11 comentaris per a
“Con guración SNMP servidores Windows”

Javier Cosculluela dice:

6 diciembre 2016 a las 22:52

Excelente artículo.

00
Cali car

Contestar

1. JMSolanes dice:

8 diciembre 2016 a las 9:12

Muchas gracias Javier.

00
Cali car

Contestar

juan pablo vidal dice:

28 marzo 2017 a las 21:32

no sirve, contenido borrado por falta de respeto

00
Cali car

Contestar

1. JMSolanes dice:

31 marzo 2017 a las 18:38

Hola Juan Pablo,

me ha sorprendido su comentario. Primero porque indica que “no sirve”, pero no el qué, no lo entiendo. ¿No sirve la con guración SNMP?

Y segundo, por las frases obscenas a continuación, que he eliminado por respeto a los otros compañeros. ¿A qué se re ere? ¿Qué le ha disgustado tanto del artículo?

Saludos,

00
Cali car

Contestar

DSR dice:

9 mayo 2017 a las 16:46

Excelente artículo!!! Claro conciso!!!

Pregunta y como puedo saber que equipos tienen permisos para hacer consultas SNMP, me re ero en una plataforma de 100 o mas servidores que se hizo a mano el
proceso que tu explicas perfectamente por GPO sin tener que ir uno a uno claro.
GRACIAS!!

00
Cali car

Contestar

1. JMSolanes dice:
 14 mayo 2017 a las 7:50
Cuando aplicas la con guración de SNMP por GPO, sobreescribes la que pudieses tener con gurada a mano. Para asegurar quien puede hacer consultas, puedes
aplicar la seguridad en SNMP v3 mediante usuario y contraseña.

00
Cali car

Contestar

Oscar dice:

19 junio 2017 a las 12:10

Muy buen articulo. Gracias por el aporte

00
Cali car

Contestar

dlsv15 dice:

23 junio 2017 a las 19:23

Excelente guía, esta muy bien detallada.

00
Cali car

Contestar

1. JMSolanes dice:

25 junio 2017 a las 11:32

Gracias.

00
Cali car

Contestar

Cristian dice:

4 mayo 2018 a las 19:39

Hola, que aplicativo, free recomendarías para revisar esta con guración ???, por otra parte, muy bien el instructivo.

00
Cali car

Contestar

1. JMSolanes dice:

4 junio 2018 a las 16:40

Puedes automatizar mediante herramientas como Ansible, Puppet… Para operaciones y gestión IT, quizá te encuentres más cómodo con Ansible

00
Cali car

Contestar

Deixar un comentari
Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

El teu comentari (necessari)

 El teu nom (necessari)

El teu correu electrònic (necessari)

Web

No soy un robot
reCAPTCHA
Privacidad - Condiciones

Guardar mi nombre, correo electrónico y sitio web en este navegador para la próxima vez que haga un comentario.

Recibir un email con los siguientes comentarios a esta entrada.

Recibir un email con cada nueva entrada.

Publicar comentari

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Sobre mi

Me llamo Josep Ma Solanes.

Trabajo como Arquitecto de Soluciones Cloud para ICOT, una consultora situada en Tarragona de ámbito nacional.
Mi foco está puesto en las tecnologías de Microsoft, VMware y NetApp. Con especial atención en las soluciones para empresas de cloud on-
premise, Azure y O ce 365.

nube de etiquetas

actualización administración alta disponibilidad archivo bases de datos certi cado cifrado cloud clúster contraseña copia seguridad correo
electrónico cortafuegos directorio activo disco duro documentos dpi ssl escritorio remoto Essentials chero grupo de almacenamiento Hyper-V
idioma IIS impresora instalar iscsi maqueta mvp mvp mysql per les móviles per l red pyme red redes Server SQL Server sysadmin todos Windows 2012 R2
Windows 2012 R2 Windows 2016 windows server Windows Server 2016

ENLACES DE INTERÉS IDIOMAS

 Inicio Català
 Profesionales IT Español
 Programación English
 Usuarios
 Opinión

AVISO LEGAL

Aviso legal y política de privacidad

 2013-2018 Algunos derechos reservados. Todas las imágenes son propiedad de sus
respectivos autores, con el
Esta obra está sujeta a una licencia de correspondiente licensiamiento..
Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional de Creative Commons