Post on 10-Apr-2018
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
1/33
Contenido
Introduccin 2
Leccin: Administrar los servicios de acceso a la red 3
Leccin: Configurar el registro en un servidor de acceso a la red 10
Leccin: Recopilar y supervisar los datos de acceso a la red 25
Administrar y supervisar
el acceso a la red
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
2/33
2 Admini strar y supervis ar el acceso a la red
Introduccin
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
El presente mdulo proporciona a los alumnos los conocimientos y capacidadesnecesarios para administrar y supervisar el acceso a la red de clientes de acceso
telefnico, de red privada virtual (VPN) e inalmbricos.
Despus de finalizar este mdulo, ser capaz de:
Administrar los servicios de acceso a la red.
Configurar el registro en el servidor de acceso a la red.
Recopilar y supervisar los datos de acceso a la red.
Introduccin
Objetivo
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
3/33
Admini strar y supervisar el acceso a la red 3
Leccin: Administrar los servicios de acceso a la red
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Esta leccin le permitir adquirir las tcnicas y conocimientos que necesita pararealizar las funciones de administracin bsicas en los servicios de acceso a la
red proporcionadas por el Servicio de enrutamiento y acceso remoto.
Despus de finalizar esta leccin, ser capaz de:
Aplicar las directrices para administrar un servidor de acceso remoto.
Administrar los clientes de acceso remoto.
Introduccin
Objetivos
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
4/33
4 Admini strar y supervis ar el acceso a la red
Directrices para administrar los servicios de acceso a la red
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
De vez en cuando, es necesario cerrar el Servicio de enrutamiento y accesoremoto. Por ejemplo, puede que necesite cambiar la ubicacin de un servidor de
acceso remoto que se encuentra en el edificio de su organizacin. O bien, puedeque deba cerrar el servicio para reparar o actualizar el hardware. Puede seguir
unas cuantas directrices sencillas que le ayudarn a reducir las consecuenciasque sufrirn los clientes durante la interrupcin del servicio programado.
Cuando tenga que cerrar el Servicio de enrutamiento y acceso remoto, debera:
1. Configurar un servidor de acceso remoto sustituto.
2. Programar el tiempo de inactividad del servicio a las horas demenos trabajo.
3. Enviar un mensaje a los clientes para alertarles de la hora y duracindel tiempo de inactividad programado.
4. Utilizar la consola de Enrutamiento y acceso remoto para desconectar aaquellos clientes que no se hayan desconectado de los servidores de
acceso remoto.
5. Detener el Servicio de enrutamiento y acceso remoto.
Directrices para detenere iniciar el Servicio deenrutamiento y accesoremoto
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
5/33
Admini strar y supervisar el acceso a la red 5
Cmo administrar clientes de acceso remoto
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
La consola de Enrutamiento y acceso remoto se utiliza para:
Enviar un mensaje a los clientes para notificarles que deben cambiar a un
servidor de acceso remoto diferente.
Desconectar a aquellos clientes que no hayan cambiado a otros servidores
de acceso remoto.
Es recomendable que inicie sesin con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Para enviar un mensaje a un nico cliente de acceso remoto:
1. Inicie una sesin con una cuenta de usuario no administrativa.
2. Haga clic en Inicio y, despus, en Panel de control.
3. En Panel de control, abra Herramientas administrativas y, a continuacin,
haga clic con el botn secundario del mouse (ratn) en Enrutamiento yacceso remoto y seleccione Ejecutar como.
4. En el cuadro de dilogo Ejecutar como, seleccione El siguiente usuario y,a continuacin, escriba una cuenta de usuario y contrasea que posea los
permisos apropiados para completar la tarea. Haga clic en Aceptar.
5. Abra Enrutamiento y acceso remoto y haga clic en Clientes de accesoremoto.
6. Haga clic con el botn secundario del mouse en el nombre de usuarioapropiado, haga clic en Enviar mensaje y, a continuacin, haga clicen Aceptar.
Introduccin
Nota
Procedimiento paraenviar un mensajea un nico clientede acceso remoto
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
6/33
6 Admini strar y supervis ar el acceso a la red
Para enviar un mensaje a todos los clientes de acceso remoto:
1. Abra la consola de Enrutamiento y acceso remoto y haga clic con el botnsecundario del mouse en Clientes de acceso remoto.
2. Seleccione Enviar a todos y, despus, haga clic en Aceptar.
Para desconectar un cliente de acceso remoto:
1. Abra la consola de Enrutamiento y acceso remoto y haga clic con el botnsecundario del mouse en Clientes de acceso remoto.
2. Seleccione el nombre de usuario apropiado y, a continuacin, haga clicen Desconectar.
Una vez desconectados todos los clientes de un servidor de acceso remoto,puede cerrar correctamente el servicio en ese servidor.
Para iniciar y detener el Servicio de enrutamiento y acceso remoto:
1. En la consola de Enrutamiento y acceso remoto, en el rbol de la consola,haga clic en Estado del servidor.
2. En el panel de detalles, haga clic con el botn secundario del mouse enun nombre del servidor, seleccione Todas las tareas y realice uno delos pasos siguientes:
Para iniciar el servicio, haga clic en Inicio.
Para detener el servicio, haga clic en Detener.
Tambin puede iniciar y detener el Servicio de enrutamiento y accesoremoto con los comandos net start remoteaccess y net stopremoteaccess,respectivamente.
Procedimiento paraenviar un mensaje atodos los cli entes deacceso remoto
Procedimiento paradesconectar un clientede acceso remoto
Procedimientopara iniciar y detenerel Servicio de
enrutamientoy acceso remoto
Nota
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
7/33
Admini strar y supervisar el acceso a la red 7
Ejercic io: Administrar el servicio de acceso remoto
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
En este ejercicio, administrar el servicio de acceso remoto.
Para completar este ejercicio, consulte el documento Valores del plan deimplementacin, incluido en el apndice al final del cuaderno de trabajo.
Debe haber iniciado sesin con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta de
usuario que disponga de las credenciales administrativas apropiadas pararealizar la tarea.
Se ha programado la interrupcin del servicio del servidor de acceso remoto deldepartamento de laboratorio para llevar a cabo una actualizacin del hardware.El ingeniero de sistemas ha creado un servidor de acceso remoto sustituto para
que d servicio a los clientes de acceso remoto en ese perodo. Deber cerrar elservidor de acceso remoto correctamente.
Conectarse al equipo de su compaero con la conexin VPN Complete esta tarea desde el equipo del alumno que tenga el nmero
de identificacin ms alto.
1. En el escritorio, haga doble clic en VPNNombreDeEquipo(dondeNombreDeEquipo es el equipo de su compaero).
2. En el cuadro de dilogo Conectarse a VPNNombreDeEquipo, escriba lasiguiente informacin y haga clic en Conectar:
a. Nombre de usuario: NombreDeEquipoAdmin (dondeNombreDeEquipoes el nombre de su equipo)
b. Contrasea: P@ssw0rd
Objetivo
Instrucciones
Situacin de ejemplo
Ejercicio
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
8/33
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
9/33
Admini strar y supervisar el acceso a la red 9
Detener el Servicio de enrutamiento y acceso remoto Complete esta tarea desde el equipo del alumno que tenga el nmero
de identificacin ms bajo.
Herramienta administrativa: Enrutamiento y acceso remoto
Iniciar el Servicio de enrutamiento y acceso remoto Complete esta tarea desde el equipo del alumno que tenga el nmero
de identificacin ms bajo.
Herramienta administrativa: Enrutamiento y acceso remoto
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
10/33
10 Admini strar y supervisar el acceso a la red
Leccin: Configurar el registro en un servidor de accesoa la red
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Esta leccin permite adquirir los conocimientos y capacidades necesarios parautilizar ciertos tipos de registro que ayudan a aislar problemas comunes en elacceso a la red.
Despus de finalizar esta leccin, ser capaz de:
Describir los tipos de registro admitidos por el Servicio de enrutamiento
y acceso remoto.
Explicar en qu consiste el registro de autenticacin y de administracin
de cuentas.
Configurar el registro de autenticacin y de administracin de cuentas.
Identificar los archivos de registro que se utilizan para conexiones
especficas.
Configurar el registro para tipos de conexin especficos.
Introduccin
Objetivos de la leccin
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
11/33
Admini strar y supervisar el acceso a la red 11
Registro de Enrutamiento y acceso remoto
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Un servidor que ejecuta Enrutamiento y acceso remoto admite tres tiposde registro:
Registro de sucesos.
Registro de autenticacin local y de administracin de cuentas.
Registro de autenticacin y de administracin de cuentas basado en
el Servicio de usuario de acceso telefnico de autenticacin remota
(RADIUS,Remote Authentication Dial-In User Service).
Puede utilizar la funcin de registro de sucesos para grabar los errores delservidor de acceso remoto, advertencias y otra informacin detallada en el
registro de sucesos del sistema. Para habilitar la funcin de registro de sucesosy configurar los tipos de suceso registrados, puede usar la ficha Inicio de sesindel cuadro de dilogo Propiedades del servidor de acceso remoto.
Por ejemplo, el registro de sucesos puede grabar la detencin e inicio delservicio de acceso remoto adems de registrar a los usuarios a los que se les
ha denegado el acceso y los motivos.
En el cuadro de dilogo Propiedades del servidor de acceso remoto, tambinpuede habilitar el registro de informacin adicional de Enrutamiento y accesoremoto. Cuando habilita el registro, el equipo crea numerosos archivos de
registro detallado en el directorio %Systemroot%\Tracing, que contieneun registro ms completo de las funciones de Enrutamiento y acceso remoto.
En el seguimiento se utilizan recursos del sistema y debera realizarsecon moderacin para identificar los problemas de red.
Introduccin
Registro de sucesos
Nota
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
12/33
12 Admini strar y supervisar el acceso a la red
El Servicio de enrutamiento y acceso remoto puede llevar a cabo el registrode informacin relativa a la autenticacin y a la administracin de cuentas en
los intentos de conexin cuando se configura la autenticacin de Microsoft
Windows o el proveedor de administracin de cuentas. Este registro esindependiente de los sucesos que se almacenan en el registro de sucesosdel sistema.
El registro de autenticacin y de administracin de cuentas es especialmente
til a la hora de aislar problemas relacionados con las directivas de accesoremoto. Por cada intento de autenticacin, se registra el nombre de la directiva
de acceso remoto que acepta o rechaza la conexin.
Un servidor que ejecuta Enrutamiento y acceso remoto puede efectuar el
registro de informacin de autenticacin y de administracin de cuentas paralas conexiones de acceso remoto en un servidor RADIUS cuando se habilitanla autenticacin y la administracin de cuentas RADIUS. El registro de
autenticacin y de administracin de cuentas RADIUS es independiente de los
sucesos que se almacenan en el registro de sucesos del sistema. Puede utilizarla informacin registrada en el servidor RADIUS para realizar un seguimientodel uso del acceso remoto y de los intentos de autenticacin.
Por ejemplo, el registro de administracin de cuentas RADIUS almacenainformacin de conexin, incluida la duracin de su conexin al servidor
de acceso remoto.
Registro deautenticacin localy de administracinde cuentas
Registro deautenticacin y deadministracin decuentas basadoen RADIUS
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
13/33
Admini strar y supervisar el acceso a la red 13
Registro de autenticacin y de administracin de cuentas
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
El registro de autenticacin y de administracin de cuentas es un proceso quealmacena informacin detallada acerca de las solicitudes de conexin de acceso
remoto.
Puede utilizar la informacin registrada para realizar un seguimiento de lautilizacin del acceso remoto y de los intentos de autenticacin. Mediante la
configuracin y uso de los archivos de registro para realizar un seguimientode la informacin de autenticacin, puede simplificar la administracin del
servicio de acceso remoto. Puede configurar y utilizar registros para realizarun seguimiento de la informacin de administracin de cuentas (como registros
de inicio y de cierre de sesin) para mantener una relacin y emplearla en lafacturacin, por ejemplo. El registro de autenticacin y de administracin de
cuentas es especialmente til a la hora de aislar problemas de directivas deacceso remoto. Por cada intento de autenticacin, se registra el nombre de ladirectiva de acceso remoto que lo acepta o rechaza.
La informacin de autenticacin y de administracin de cuentas se almacenaen un archivo de registro configurable o en archivos almacenados en la carpeta
%Systemroot%\System32\LogFiles. Los archivos de registro se guardan en elServicio de autenticacin de Internet (IAS,Internet Authentication Service) o
en un formato compatible con bases de datos de manera que cualquier programade bases de datos pueda leerlos directamente para analizarlos. Puede configurar
tanto el Servicio de enrutamiento y acceso remoto como IAS para enviar lainformacin de autenticacin y de administracin de cuentas directamente a unservidor de base de datos que permita que varios servidores graben datos en la
misma base de datos.
Definicin
Ventajas de utilizarel registro deautenticacin yde administracinde cuentas
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
14/33
14 Admini strar y supervisar el acceso a la red
Cuando configure el registro, puede especificar lo siguiente:
Las solicitudes que se registrarn.
El formato del archivo de registro. La frecuencia de inicio de nuevos registros.
La eliminacin automtica del archivo de registro ms antiguo cuando
el disco se llene.
Dnde se almacenan los archivos de registro.
Qu informacin contiene el archivo de registro.
Todos los tipos de registro de solicitudes estn deshabilitados de manera
predeterminada. En un principio, se recomienda habilitar el registro desolicitudes de autenticacin y de administracin de cuentas. Puede definir
los mtodos de registro tras determinar los datos que mejor se adaptan a sus
necesidades. Tal como se muestra en la siguiente tabla, puede seleccionar lostipos de solicitudes que se van a registrar. El origen y destino de los elementosdel archivo de registro dependen de si se envan de un cliente RADIUS a un
servidor RADIUS o de si se registran localmente en un archivo de registro deEnrutamiento y acceso remoto utilizando la autenticacin y de administracinde cuentas de Windows.
Tipos de solicitudes Descripcin de las entradas del registroSolicitudes de administracin
de cuentas
Accounting-on (Administracin de
cuentas activa)indica que el servidor
est en conexin y preparado para
aceptar conexiones.
Accounting-off(Administracin decuentas inactiva)indica que el servidor
est fuera de conexin.
Accounting-start (Iniciada
administracin de cuenta) indica
el inicio de sesin de un usuario.
Accounting-stop (Detenida
administracin de cuenta) indica
el fin de la sesin de un usuario.
Solicitudes de autenticacin Authentication requests (Solicitudes
de autenticacin) registra los atributos
de entrada que enva un usuario que
se est conectando. Estas entradasdel archivo de registro contienen
solamente atributos de entrada.
Authentication accepts and rejects
(Aceptaciones y rechazos de
autenticacin) registra las entradas
que indican si se acepta o se rechaza
al usuario.
Propiedades delarchivo de registro
Tipos de registrode solicitudes
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
15/33
Admini strar y supervisar el acceso a la red 15
(continuacin)
Tipos de solicitudes Descripcin de las entradas del registroEstado peridico Periodic status (Estado peridico)
registra entradas para solicitudes
de administracin de cuentas
provisionales que proporcionan
algunos servidores de acceso remoto
durante las sesiones.
Accounting-interim requests
(Solicitudes provisionales de cuenta)
registra las entradas que proporciona
peridicamente el servidor de acceso
remoto durante una sesin de usuario.
Puede registrar la administracin de cuentas, la autenticacin y el estadoperidico en una base de datos de Microsoft SQL Server. Para obtener msinformacin, consulte Registro de bases de datos de SQL Server en la
documentacin de Ayuda de Windows Server 2003.
Nota
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
16/33
16 Admini strar y supervisar el acceso a la red
Cmo configurar el registro de autenticacin y de administracin
de cuentas
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Para configurar el registro de autenticacin y de administracin de cuentas,primero deber habilitar la autenticacin de Windows o la administracin decuentas de Windows. Posteriormente, podr configurar el tipo de actividad que
desea registrar (de autenticacin o de administracin de cuentas) y las opciones
del archivo de registro.
Si el equipo que ejecuta el Servicio de enrutamiento y acceso remoto seconfigura para realizar la autenticacin RADIUS o como proveedor de
administracin de cuentas, y el servidor RADIUS es un equipo que ejecutaWindows Server 2003 e IAS, la informacin de registro se almacena en el
equipo servidor IAS.
Es recomendable que inicie sesin con una cuenta que no tengacredenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadaspara realizar esta tarea.
Para habilitar la administracin de cuentas de Windows:
1. Abra la consola de Enrutamiento y acceso remoto, haga clic con el botnsecundario del mouse en el nombre del servidor para el que desee configurar
la administracin de cuentas de Windows y, a continuacin, haga clic
en Propiedades.
2. En la ficha Seguridad, en Proveedor de cuentas, haga clic enContabilidad de Windows y, a continuacin, haga clic en Aceptar.
Introduccin
Nota
Procedimientopara habilitar laadministracin decuentas de Windows
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
17/33
Admini strar y supervisar el acceso a la red 17
Para configurar el registro de autenticacin local y de administracinde cuentas:
1. Abra la consola de Enrutamiento y acceso remoto.
2. En el rbol de la consola, haga clic en Registro de acceso remoto.
3. En el panel de detalles, haga clic con el botn secundario del mouse enArchivo local y, despus, haga clic en Propiedades.
4. En el cuadro de dilogo Propiedades del Archivo local, en la fichaConfiguracin, seleccione una o varias de las tres opciones siguientes:
Solicitudes de cuentas. Esta opcin registra informacin como el inicioy el fin de una sesin de usuario.
Solicitudes de autenticacin.Esta opcin registra informacin comola aceptacin o rechazo de la solicitud de acceso de un usuario.
Estado peridico. Esta opcin registra informacin como solicitudesprovisionales de administracin de cuentas. Para registrar estas
solicitudes, debe configurarse el atributo Intervalo provisional deadministracin de cuentas RADIUS en el perfil de acceso remotoen el servidor IAS.
5. En el cuadro de dilogo Propiedades del Archivo local, en la fichaArchivo de registro, seleccione las siguientes opciones de registroapropiadas:
a. Directorio: ruta de acceso de la carpeta donde se almacenan los archivosde registro
b. Formato: IAS o Base de datos compatible
c. Crear un nuevo archivo de registro: Diariamente, Semanalmente,Mensualmente, Nunca (tamao de archivo ilimitado), Cuando eltamao del archivo de registro alcance
6. En el cuadro de dilogo Propiedades del archivo local, en la ficha Archivode registro, si corresponde, seleccione Eliminar los registros ms viejoscuando el disco est lleno y, a continuacin, haga clic en Aceptar.
Siempre que cambie el proveedor de autenticacin o el proveedor de
administracin de cuentas en la ficha Seguridad, deber detener e iniciar elServicio de enrutamiento y acceso remoto para que estos cambios se apliquen.
Procedimiento paraconfigurar el registrode autenticacin localy de administracinde cuentas
Nota
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
18/33
18 Admini strar y supervisar el acceso a la red
Para configurar la administracin de cuentas basada en RADIUS:
1. Abra la consola de Enrutamiento y acceso remoto.
2. Haga clic con el botn secundario del mouse en el nombre del servidor parael que desee configurar la administracin de cuentas basada en RADIUS y,
a continuacin, haga clic en Propiedades.
3. En la ficha Seguridad, en el campo Proveedor de cuentas, seleccioneAdministracin de cuentas RADIUS y, a continuacin, haga clic enConfigurar.
4. En el cuadro de dilogo Administracin de cuentas RADIUS, haga clicen Agregar.
5. En el cuadro de dilogo Agregar servidorRADIUS, en el campo Nombredel servidor, escriba el nombre de host del servidor RADIUS.
6. En el cuadro de dilogo Agregar servidor RADIUS, haga clic
en Cambiar.7. En el cuadro de dilogo Cambiar secreto, en los campos Secreto nuevo y
Confirmar el nuevo secreto, escriba el secreto y, a continuacin, haga clic
en Aceptar.
8. En el cuadro de dilogo Administracin de cuentas RADIUS, haga clicen Aceptar.
9. En el cuadro de dilogo Propiedades deNombreDeServidor, haga clicen Aceptar.
Procedimientopara configurarla administracinde cuentas basadaen RADIUS
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
19/33
Admini strar y supervisar el acceso a la red 19
Archivos de registro para conexiones especficas
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Para ayudar a reunir informacin detallada y aislar los problemas del servidorde acceso remoto, puede configurar funciones de registro adicionales. Acte
con precaucin cuando habilite este tipo de registro, ya que puede agregaruna carga notable al servidor de acceso remoto.
Puede utilizar el registro del Protocolo punto a punto (PPP) para registrar la
serie de funciones de programacin y de mensajes de control PPP durante unaconexin PPP. El registro de PPP es una valiosa fuente de informacin cuando
se intenta solucionar el error de una conexin PPP.
Puede utilizar el complemento Visor de sucesos para ver los siguientes sucesosrelacionados con IPSec:
Sucesos del Agente de directivas de Seguridad del protocolo Internet
(IPSec,Internet Protocol Security) en el registro de auditora.
Sucesos de Intercambio de claves de Internet (IKE,Internet Key Exchange),
los detalles de asociacin de seguridad, en el registro de seguridad. Para
ver estos sucesos, habilite la auditora de acciones correctas o errores en la
directiva de auditora Auditar sucesos de inicio de sesin en su dominio
o equipo local. Sucesos de cambio de la directiva IPSec en el registro de seguridad. Para
ver estos sucesos, habilite la auditora de acciones correctas o errores en
la directiva de auditora Auditar cambios de auditora en su dominioo equipo local.
Sucesos de paquetes descartados del controlador IPSec en el registro del
sistema. En la familia de Windows Server 2003, puede habilitar el registro
de sucesos de paquetes para el controlador IPSec mediante la herramientade lnea de comandos Netsh ipsec.
Para habilitar el registro de paquetes entrantes y salientes descartados,especifique el valor 7. En el smbolo del sistema, escriba netsh ipsecdynamicset config ipsecdiagnostics 7 y, a continuacin, reinicie el equipo.
Introduccin
Registro de PPP
Registro de auditora
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
20/33
20 Admini strar y supervisar el acceso a la red
Habilitar el registro de auditora para sucesos del Protocolo de asociacinde seguridad y de administracin de claves en Internet(ISAKMP,InternetSecurity Association and Key Management Protocol) y ver los sucesos en el
Visor de sucesos es la forma ms rpida y sencilla de aislar las negociacionesde modo principal o modo rpido fallidas.
Si habilita la auditora de acciones correctas o errores en la directiva deauditora Auditar sucesos de inicio de sesin, IPSec registra la accin correcta
o el error de cada negociacin de modo principal y modo rpido, as comoel establecimiento y terminacin de cada negociacin como sucesos
independientes. No obstante, al habilitar este tipo de auditora, el registro deseguridad puede llenarse de sucesos IKE. Por ejemplo, en los servidores queestn conectados a Internet, los ataques al protocolo IKE pueden provocar
que el registro de seguridad se llene de sucesos IKE. Los sucesos IKE tambinpueden llenar el registro de seguridad de los servidores que emplean IPSec para
proteger el trfico destinado a diversos clientes. Para evitar que el registro se
llene de sucesos IKE, puede deshabilitar la auditora de sucesos IKE en elregistro de seguridad si modifica el Registro.
Puede utilizar el registro Oakley para ver detalles acerca del proceso de
establecimiento de asociaciones de seguridad. El registro Oakley se habilitaen el Registro pero no est habilitado de manera predeterminada.
Una vez habilite el registro Oakley, que se encuentra almacenado en la carpeta%Systemroot%\Debug, registrar todas las negociaciones de modo principal omodo rpido de ISAKMP. Cada vez que se inicia el Agente de directivas IPSec,se crea un nuevo archivo Oakley.log y la versin anterior se guarda como
Oakley.log.sav.
Registro Oakley
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
21/33
Admini strar y supervisar el acceso a la red 21
Cmo configurar el registro para tipos de conexin especficos
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Puede utilizar las funciones de diagnstico de acceso remoto que se encuentrandisponibles en la familia de Windows Server 2003 para recopilar registros e
informacin detallados acerca de una conexin de acceso remoto.
Cuando termine de solucionar los errores, debera deshabilitar el registro.
Es recomendable que inicie sesin con una cuenta que no tengacredenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadaspara realizar esta tarea.
Para configurar el registro de PPP:
1. En la consola de Enrutamiento y acceso remoto, haga clic con el botnsecundario del mouse en el nombre del servidor y, a continuacin, haga
clic en Propiedades.
2. En el cuadro de dilogo Propiedades deNombreDeServidor, en la fichaRegistro, seleccione una de las siguientes opciones:
Slo registrar errores
Registrar errores y advertencias
Registrar todos los sucesos
No registrar ningn suceso
3. En la ficha Registro, si corresponde, seleccione Registrar informacinadicional de Enrutamiento y acceso remoto y, a continuacin, haga clic
en Aceptar. Esta opcin registra los sucesos del proceso de establecimientode la conexin PPP.
Introduccin
Nota
Procedimiento paraconfigurar el registrode PPP
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
22/33
22 Admini strar y supervisar el acceso a la red
Para configurar un registro Oakley para una conexin L2TP/IPSec:
1. Para habilitar el registro Oakley, defina la opcin del Registro DWORDHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging con el valor 1. (La clave de Oakley no
existe de manera predeterminada y, por lo tanto, deber crearse.)
Para obtener informacin adicional acerca de cmo agregar valoresa las claves del Registro, consulte la documentacin de Ayuda de Windows
Server 2003.
2. Para activar la nueva opcin del Registro EnableLogging tras modificarsu valor:
a. Escriba net stop remoteaccess en el smbolo del sistema para detenerel Servicio de enrutamiento y acceso remoto.
b. Escriba net stop policyagent en el smbolo del sistema para detener losservicios IPSec.
c. Escriba net start policyagent en el smbolo del sistema para iniciar losservicios IPSec.
d. Escriba net startremoteaccess en el smbolo del sistema para iniciarel Servicio de enrutamiento y acceso remoto.
Para configurar un registro de auditora de modo que se use una conexin
L2TP/IPSec:
1. Defina la opcin del Registro KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\DiagnosticMode con el valor 1.
2. Para activar la nueva opcin del Registro DiagnosticMode tras modificarsu valor:
a. Escriba net stop remoteaccess en el smbolo del sistema para detenerel Servicio de enrutamiento y acceso remoto.
b. Escriba net stop policyagent en el smbolo del sistema para detener losservicios IPSec.
c. Escriba net start policyagent en el smbolo del sistema para iniciar losservicios IPSec.
d. Escriba net startremoteaccess en el smbolo del sistema para iniciarel Servicio de enrutamiento y acceso remoto.
El controlador IPSec solamente escribe los sucesos en el registro del
sistema una vez cada hora. Para obtener informacin adicional acerca del registrode sucesos del controlador IPSec, consulte los kits de recursos de Windows.
Procedimiento paraconfigurar un registroOakley para unaconexin L2TP/IPSec
Nota
Procedimiento paraconfigurar un registrode auditora con unaconexin L2TP/IPSec
Nota
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
23/33
Admini strar y supervisar el acceso a la red 23
Ejercic io: Configurar el registro en un servidor de acceso remoto
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
En este ejercicio, configurar el registro en un servidor de acceso remoto.
Debe haber iniciado sesin con una cuenta que no tenga credencialesadministrativas y ejecutar el comando Ejecutar como con una cuenta deusuario que disponga de las credenciales administrativas apropiadas pararealizar la tarea.
El ingeniero de sistemas ha diseado un plan de registro para el servidor deacceso remoto del laboratorio. Deber configurar el servidor de acceso remotopara que registre los datos de autenticacin y de administracin de cuentas.
Configurar el registro de autenticacin local en su servidorde acceso remoto
Complete esta tarea desde los equipos de ambos alumnos.
Herramienta administrativa: Enrutamiento y acceso remoto
Registrar la siguiente informacin:
Solicitudes de cuentas
Solicitudes de autenticacin
Estado peridico
Directorio del archivo de registro: C:\
Crear un nuevo archivo de registro: Diariamente
Introduccin
Instrucciones
Situacin de ejemplo
Ejercicio
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
24/33
24 Admini strar y supervisar el acceso a la red
Comprobar que el archivo de registro no existe Complete esta tarea desde los equipos de ambos alumnos.
Con el Explorador de Windows, abra: C:\ Compruebe que no existen archivos de registro y deje la carpeta abierta.
Detener e iniciar el Servicio de enrutamiento y acceso remoto Complete esta tarea desde los equipos de ambos alumnos.
Herramienta administrativa: Enrutamiento y acceso remoto
Comprobar que el archivo de registro existe Complete esta tarea desde los equipos de ambos alumnos.
Compruebe que el archivo de registro existe y cierre la carpeta.
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
25/33
Admini strar y supervisar el acceso a la red 25
Leccin: Recopilar y supervisar los datos de accesoa la red
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
La informacin contenida en esta leccin le permitir adquirir las tcnicas yconocimientos que necesita con el fin de recopilar y supervisar los datos deacceso a la red para el Servicio de enrutamiento y acceso remoto o IAS.
Despus de finalizar esta leccin, ser capaz de:
Explicar los motivos de la recopilacin de datos de rendimiento para
el acceso a la red.
Especificar y describir las diferentes herramientas que se utilizan para
recopilar los datos de acceso a la red.
Supervisar la actividad de las redes inalmbricas.
Introduccin
Objetivos de la leccin
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
26/33
26 Admini strar y supervisar el acceso a la red
Por qu recopilar datos de rendimiento
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
La supervisin del rendimiento del sistema es una parte fundamental a la horade mantener y administrar los servicios de acceso a la red. Puede utilizar los
datos de rendimiento para lo siguiente:
Evaluar la carga de trabajo del servidor y el correspondiente efecto en los
recursos del sistema.
Observar los cambios y tendencias de las cargas de trabajo.
Realizar un seguimiento del uso de los recursos para planear futuras
actualizaciones.
Probar los cambios de configuracin u otros intentos de ajuste mediante
la supervisin de los resultados.
Aislar problemas tales como un error en la conexin, la interrupcin
de conexiones activas y el rendimiento general.
Identificar los componentes o procesos que pueden optimizarse.
Motivos para recopilarlos datos de rendimiento
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
27/33
Admini strar y supervisar el acceso a la red 27
Herramientas para recopilar los datos de acceso a la red
******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******
Windows Server 2003 incluye las siguientes herramientas que puede utilizarpara recopilar datos que le ayuden a identificar y prever los problemas de
acceso a la red:
Monitor de sistema. Esta herramienta permite ver los datos de rendimiento
en tiempo real relativos a componentes y servicios especficos. Tambin
puede utilizarla para ver los datos de rendimiento capturados u obtenidos
con anterioridad.
Registros y alertas de rendimiento. Esta herramienta le permite capturar datosde rendimiento especficos para componentes y servicios a travs de un perodo
configurable en un archivo de registro. Tambin puede definir las alertas que segeneran cuando se producen determinados sucesos, como los siguientes:
Enviar un mensaje.
Ejecutar un programa.
Incluir una entrada en el registro de sucesos de la aplicacin.
Iniciar un registro cuando el valor de un contador seleccionado supera
o no alcanza la configuracin especificada.
Monitor inalmbrico . El servicio Configuracin inalmbrica registrainformacin en el Monitor inalmbrico, lo que le permite:
Identificar los cambios de configuracin del servicio.
Comprobar los sucesos registrados en el registro del servicio Configuracin
inalmbrica que se generan fuera de su red inalmbrica, como las
notificaciones de sucesos de medios, sucesos 802.1x y sucesos de caducidad
de temporizadores.
Ver detalles acerca de los puntos de acceso a la red y clientes inalmbricos.
Puede utilizar la informacin de registro para aislar problemas en el servicio
inalmbrico.
Herramientas pararecopilar datos
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
28/33
28 Admini strar y supervisar el acceso a la red
Entre los objetos utilizados comnmente para supervisar los servidoresde acceso a la red se incluyen los siguientes:
Memoria, Procesador, Red y Disco. Estos objetos contienen contadores deservicio de red estndar que puede utilizar para todos los tipos de servidores.
Con el Servicio de enrutamiento y acceso remoto, el lugar ms propenso a
sufrir cuellos de botella es la red. El Servicio de enrutamiento y acceso
remoto e IAS no suelen provocar un uso significativo del procesador, la
memoria y el disco si el servidor se destina a funciones de marcado. No
obstante, si un servidor de acceso remoto o servidor IAS tambin aloja otras
aplicaciones o servicios, stos podran competir por los recursos. En este
caso, debera supervisar los cuatro contadores principales globalmente en el
servidor con el fin de garantizar que una aplicacin o servicio no usa los
recursos en exceso de modo que pueda comprometer al resto de funciones
del servidor.
Para obtener informacin adicional acerca de los objetos estndar derendimiento, consulte el curso 2164A:Mantenimiento de un entorno
Microsoft Windows Server 2003.
Servidor de autenticacin IAS. Este objeto contiene contadores que puede
utilizar para supervisar solicitudes entrantes y salientes, as como errores
que detecta el servidor de autenticacin.
Clientes de autenticacin IAS. Este objeto contiene contadores que puedeutilizar para supervisar solicitudes entrantes y salientes, as como erroresque detecta el cliente de autenticacin.
IPv4. Este objeto contiene contadores que puede utilizar para aislar datosde rendimiento del Protocolo de control de transporte/Protocolo Internet
(TCP/IP, Transmission Control Protocol/Internet Protocol), errores, fallosy posibles ataques a la red.
IPv6. Este objeto contiene los mismos contadores y funciones que IPv4,
pero los contadores del objeto IPv6 se centran en este protocolo.
Puerto RAS. Este objeto contiene contadores que proporcionaninformacin acerca del rendimiento y funcionamiento de cada puerto
de acceso remoto.
Total RA. Este objeto contiene contadores que proporcionan informacinacerca del rendimiento y funcionamiento de todos los puertos de acceso
remoto en conjunto.
Ejemplos de objetoscomunes
Nota
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
29/33
Admini strar y supervisar el acceso a la red 29
Puede crear un registro de rendimiento para mantener un seguimiento de loserrores en IAS. A continuacin se enumeran algunos ejemplos de contadores
que puede utilizar para aislar y resolver problemas comunes de acceso a la red:
Datagrams Received Discarded (Datagramas recibidos descartados).Cantidad de datagramas IP de entrada descartados cuando surgi un
problema que impeda su procesamiento continuado, como la falta de
espacio en el bfer.
Datagram Received Address Errors (Datagramas recibidos con errores dedireccin). Cantidad de datagramas de IP descartados debido a errores en la
direccin, como valores no vlidos (0.0.0.0) y clases no admitidas (Clase E).
Access-Request (Solicitudes de acceso). Cantidad de solicitudes deacceso recibidas.
Access-Rejects (Rechazos de acceso). Cantidad de solicitudes deacceso rechazadas.
Bad Authenticators (Autenticadores no vlidos). Cantidad de paquetes quecontienen un atributo del autenticador del mensaje no vlido (RADIUS).
Unknown Type (Tipo desconocido). Cantidad de paquetes de tipodesconocido (paquetes que no son RADIUS recibidos).
Ejemplos de contadores
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
30/33
30 Admini strar y supervisar el acceso a la red
Cmo supervisar la actividad de las redes inalmbricas
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
Puede utilizar el complemento Monitor inalmbrico para supervisar la actividadde las redes inalmbricas.
Es recomendable que inicie sesin con una cuenta que no tenga
credenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadas
para realizar esta tarea.
Para habilitar o deshabilitar el registro de informacin de clientes inalmbricos:
1. Cree una consola que contenga el Monitor inalmbrico. O bien, abra unarchivo de consola guardado que contenga el Monitor inalmbrico.
2. Expanda el nombre del servidor que desee configurar.
3. Haga clic con el botn secundario del mouse en Informacin de clienteinalmbrico y, a continuacin, configure una de las siguientes opciones:
Si desea habilitar el registro para clientes de redes inalmbricas, hagaclic en Habilitar registro.
Si desea deshabilitarlo, haga clic en Deshabilitar registro.
Puede ver el nombre de la red donde existe el punto de acceso, el tipo de red,
la direccin de red y la actividad actual, adems de la intensidad de la seal.
Para ver los detalles acerca de los puntos de acceso a la red inalmbricos:
1. Cree una consola que contenga el Monitor inalmbrico. O bien, abraun archivo de consola guardado que lo contenga.
2. Haga doble clic en Informacin de punto de acceso.
Introduccin
Nota
Procedimiento parahabilitar o deshabilitar elregistro de informacinde clientes inalmbricos
Procedimiento para verlos detalles acerca delos puntos de acceso ala red inalmbricos
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
31/33
Admini strar y supervisar el acceso a la red 31
Puede ver el origen de la red desde donde se comunica el cliente inalmbrico,el tipo de comunicacin, dnde se ha producido la comunicacin y el nombre
de la red.
Para ver los detalles acerca de los clientes de red inalmbrica:
1. Cree una consola que contenga el Monitor inalmbrico. O bien, abraun archivo de consola guardado que contenga el Monitor inalmbrico.
2. Haga doble clic en Informacin de cliente inalmbrico.
Procedimiento paraver los detalles acercade los clientes de redinalmbrica
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
32/33
32 Admini strar y supervisar el acceso a la red
Ejercic io: Recopi lar y supervisar los datos de acceso a la red
******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******
En este ejercicio, se ocupar de:
Determinar las herramientas idneas para supervisar e identificar
determinados problemas de acceso a la red.
Configurar registros de rendimiento.
Para completar este ejercicio, consulte el documento Valores del plan deimplementacin, incluido en el apndice al final del cuaderno de trabajo.
Debe haber iniciado sesin con una cuenta que no tenga credenciales
administrativas y ejecutar el comando Ejecutar como con una cuenta deusuario que disponga de las credenciales administrativas apropiadas para
realizar la tarea.
Los clientes de acceso a la red del laboratorio han experimentado problemaspara conectarse y permanecer conectados al servidor de acceso a la red.
Hay numerosas directivas de acceso remoto configuradas.
Otros usuarios de acceso a la red se han quejado de que sus conexionesse interrumpan tras ser validadas. Estos usuarios no han documentado los
mensajes de error que reciban cuando se les desconectaba. Usted sospechaque los servidores de acceso remoto sufren una sobrecarga.
Objetivo
Instrucciones
Situacin de ejemplo
8/8/2019 35.- Administrar y Supervisar El Acceso a La Red
33/33
Admini strar y supervisar el acceso a la red 33
Determinar las herramientas que se utilizarn Los alumnos en parejas debern responder a las siguientes preguntas:
1. Qu herramienta configurara para comprobar que se est aplicandola directiva apropiada?
____________________________________________________________
____________________________________________________________
2. Qu herramienta utilizara para identificar a los usuarios que estn siendodesconectados?
____________________________________________________________
____________________________________________________________
Configurar registros de rendimiento Complete esta tarea desde los equipos de ambos alumnos.
1. En Herramientas administrativas, abra la consola Rendimiento.
2. Cree un nuevo Registro de contador.
3. En el cuadro Nueva configuracin de registro, en el campo Nombre,escriba Registro de contador RAS.
4. Agregue los objetos y contadores que se muestran en la tabla siguiente.
Objetos Contadores
Memoria Kilobytes disponibles
Interfaz de red Total de bytes/s
Procesador % de tiempo de procesador
5. En la ficha Programacin, compruebe que Iniciar registro estconfigurado como Manualmente (usando el men contextual).
6. En la ficha Archivos de registro, configure la ubicacin del archivo deregistro como C:\con el nombre de archivo deNombreDeEquipoStress.log.
7. Guarde la consola Rendimiento como Registro de acceso remotoen el escritorio.
Ejercicio