35.- Administrar y Supervisar El Acceso a La Red

8/8/2019 35.- Administrar y Supervisar El Acceso a La Red

1/33

Contenido

Introduccin 2

Leccin: Administrar los servicios de acceso a la red 3

Leccin: Configurar el registro en un servidor de acceso a la red 10

Leccin: Recopilar y supervisar los datos de acceso a la red 25

Administrar y supervisar

el acceso a la red


2/33

2 Admini strar y supervis ar el acceso a la red

Introduccin

******el uso por quienes no sean instructores no est a utorizado y resulta ilegal******

El presente mdulo proporciona a los alumnos los conocimientos y capacidadesnecesarios para administrar y supervisar el acceso a la red de clientes de acceso

telefnico, de red privada virtual (VPN) e inalmbricos.

Despus de finalizar este mdulo, ser capaz de:

Administrar los servicios de acceso a la red.

Configurar el registro en el servidor de acceso a la red.

Recopilar y supervisar los datos de acceso a la red.

Introduccin

Objetivo


3/33

Admini strar y supervisar el acceso a la red 3

Leccin: Administrar los servicios de acceso a la red

******el uso por quienes no sean instructores no est aut orizado y resulta ilegal******

Esta leccin le permitir adquirir las tcnicas y conocimientos que necesita pararealizar las funciones de administracin bsicas en los servicios de acceso a la

red proporcionadas por el Servicio de enrutamiento y acceso remoto.

Despus de finalizar esta leccin, ser capaz de:

Aplicar las directrices para administrar un servidor de acceso remoto.

Administrar los clientes de acceso remoto.

Introduccin

Objetivos


4/33


Directrices para administrar los servicios de acceso a la red


De vez en cuando, es necesario cerrar el Servicio de enrutamiento y accesoremoto. Por ejemplo, puede que necesite cambiar la ubicacin de un servidor de

acceso remoto que se encuentra en el edificio de su organizacin. O bien, puedeque deba cerrar el servicio para reparar o actualizar el hardware. Puede seguir

unas cuantas directrices sencillas que le ayudarn a reducir las consecuenciasque sufrirn los clientes durante la interrupcin del servicio programado.

Cuando tenga que cerrar el Servicio de enrutamiento y acceso remoto, debera:

1. Configurar un servidor de acceso remoto sustituto.

2. Programar el tiempo de inactividad del servicio a las horas demenos trabajo.

3. Enviar un mensaje a los clientes para alertarles de la hora y duracindel tiempo de inactividad programado.

4. Utilizar la consola de Enrutamiento y acceso remoto para desconectar aaquellos clientes que no se hayan desconectado de los servidores de

acceso remoto.

5. Detener el Servicio de enrutamiento y acceso remoto.

Directrices para detenere iniciar el Servicio deenrutamiento y accesoremoto


5/33


Cmo administrar clientes de acceso remoto


La consola de Enrutamiento y acceso remoto se utiliza para:

Enviar un mensaje a los clientes para notificarles que deben cambiar a un

servidor de acceso remoto diferente.

Desconectar a aquellos clientes que no hayan cambiado a otros servidores

de acceso remoto.

Es recomendable que inicie sesin con una cuenta que no tenga

credenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadas

para realizar esta tarea.

Para enviar un mensaje a un nico cliente de acceso remoto:

1. Inicie una sesin con una cuenta de usuario no administrativa.

2. Haga clic en Inicio y, despus, en Panel de control.

3. En Panel de control, abra Herramientas administrativas y, a continuacin,

haga clic con el botn secundario del mouse (ratn) en Enrutamiento yacceso remoto y seleccione Ejecutar como.

4. En el cuadro de dilogo Ejecutar como, seleccione El siguiente usuario y,a continuacin, escriba una cuenta de usuario y contrasea que posea los

permisos apropiados para completar la tarea. Haga clic en Aceptar.

5. Abra Enrutamiento y acceso remoto y haga clic en Clientes de accesoremoto.

6. Haga clic con el botn secundario del mouse en el nombre de usuarioapropiado, haga clic en Enviar mensaje y, a continuacin, haga clicen Aceptar.

Introduccin

Nota

Procedimiento paraenviar un mensajea un nico clientede acceso remoto


6/33


Para enviar un mensaje a todos los clientes de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto y haga clic con el botnsecundario del mouse en Clientes de acceso remoto.

2. Seleccione Enviar a todos y, despus, haga clic en Aceptar.

Para desconectar un cliente de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto y haga clic con el botnsecundario del mouse en Clientes de acceso remoto.

2. Seleccione el nombre de usuario apropiado y, a continuacin, haga clicen Desconectar.

Una vez desconectados todos los clientes de un servidor de acceso remoto,puede cerrar correctamente el servicio en ese servidor.

Para iniciar y detener el Servicio de enrutamiento y acceso remoto:

1. En la consola de Enrutamiento y acceso remoto, en el rbol de la consola,haga clic en Estado del servidor.

2. En el panel de detalles, haga clic con el botn secundario del mouse enun nombre del servidor, seleccione Todas las tareas y realice uno delos pasos siguientes:

Para iniciar el servicio, haga clic en Inicio.

Para detener el servicio, haga clic en Detener.

Tambin puede iniciar y detener el Servicio de enrutamiento y accesoremoto con los comandos net start remoteaccess y net stopremoteaccess,respectivamente.

Procedimiento paraenviar un mensaje atodos los cli entes deacceso remoto

Procedimiento paradesconectar un clientede acceso remoto

Procedimientopara iniciar y detenerel Servicio de

enrutamientoy acceso remoto

Nota


7/33


Ejercic io: Administrar el servicio de acceso remoto


En este ejercicio, administrar el servicio de acceso remoto.

Para completar este ejercicio, consulte el documento Valores del plan deimplementacin, incluido en el apndice al final del cuaderno de trabajo.

Debe haber iniciado sesin con una cuenta que no tenga credenciales

administrativas y ejecutar el comando Ejecutar como con una cuenta de

usuario que disponga de las credenciales administrativas apropiadas pararealizar la tarea.

Se ha programado la interrupcin del servicio del servidor de acceso remoto deldepartamento de laboratorio para llevar a cabo una actualizacin del hardware.El ingeniero de sistemas ha creado un servidor de acceso remoto sustituto para

que d servicio a los clientes de acceso remoto en ese perodo. Deber cerrar elservidor de acceso remoto correctamente.

Conectarse al equipo de su compaero con la conexin VPN Complete esta tarea desde el equipo del alumno que tenga el nmero

de identificacin ms alto.

1. En el escritorio, haga doble clic en VPNNombreDeEquipo(dondeNombreDeEquipo es el equipo de su compaero).

2. En el cuadro de dilogo Conectarse a VPNNombreDeEquipo, escriba lasiguiente informacin y haga clic en Conectar:

a. Nombre de usuario: NombreDeEquipoAdmin (dondeNombreDeEquipoes el nombre de su equipo)

b. Contrasea: P@ssw0rd

Objetivo

Instrucciones

Situacin de ejemplo

Ejercicio


8/33


9/33


Detener el Servicio de enrutamiento y acceso remoto Complete esta tarea desde el equipo del alumno que tenga el nmero

de identificacin ms bajo.

Herramienta administrativa: Enrutamiento y acceso remoto

Iniciar el Servicio de enrutamiento y acceso remoto Complete esta tarea desde el equipo del alumno que tenga el nmero

de identificacin ms bajo.



10/33

10 Admini strar y supervisar el acceso a la red

Leccin: Configurar el registro en un servidor de accesoa la red

******el uso por quienes no sean instructores no est autorizado y resulta ilegal******

Esta leccin permite adquirir los conocimientos y capacidades necesarios parautilizar ciertos tipos de registro que ayudan a aislar problemas comunes en elacceso a la red.


Describir los tipos de registro admitidos por el Servicio de enrutamiento

y acceso remoto.

Explicar en qu consiste el registro de autenticacin y de administracin

de cuentas.

Configurar el registro de autenticacin y de administracin de cuentas.

Identificar los archivos de registro que se utilizan para conexiones

especficas.

Configurar el registro para tipos de conexin especficos.

Introduccin

Objetivos de la leccin


11/33


Registro de Enrutamiento y acceso remoto


Un servidor que ejecuta Enrutamiento y acceso remoto admite tres tiposde registro:

Registro de sucesos.

Registro de autenticacin local y de administracin de cuentas.

Registro de autenticacin y de administracin de cuentas basado en

el Servicio de usuario de acceso telefnico de autenticacin remota

(RADIUS,Remote Authentication Dial-In User Service).

Puede utilizar la funcin de registro de sucesos para grabar los errores delservidor de acceso remoto, advertencias y otra informacin detallada en el

registro de sucesos del sistema. Para habilitar la funcin de registro de sucesosy configurar los tipos de suceso registrados, puede usar la ficha Inicio de sesindel cuadro de dilogo Propiedades del servidor de acceso remoto.

Por ejemplo, el registro de sucesos puede grabar la detencin e inicio delservicio de acceso remoto adems de registrar a los usuarios a los que se les

ha denegado el acceso y los motivos.

En el cuadro de dilogo Propiedades del servidor de acceso remoto, tambinpuede habilitar el registro de informacin adicional de Enrutamiento y accesoremoto. Cuando habilita el registro, el equipo crea numerosos archivos de

registro detallado en el directorio %Systemroot%\Tracing, que contieneun registro ms completo de las funciones de Enrutamiento y acceso remoto.

En el seguimiento se utilizan recursos del sistema y debera realizarsecon moderacin para identificar los problemas de red.

Introduccin

Registro de sucesos

Nota


12/33


El Servicio de enrutamiento y acceso remoto puede llevar a cabo el registrode informacin relativa a la autenticacin y a la administracin de cuentas en

los intentos de conexin cuando se configura la autenticacin de Microsoft

Windows o el proveedor de administracin de cuentas. Este registro esindependiente de los sucesos que se almacenan en el registro de sucesosdel sistema.

El registro de autenticacin y de administracin de cuentas es especialmente

til a la hora de aislar problemas relacionados con las directivas de accesoremoto. Por cada intento de autenticacin, se registra el nombre de la directiva

de acceso remoto que acepta o rechaza la conexin.

Un servidor que ejecuta Enrutamiento y acceso remoto puede efectuar el

registro de informacin de autenticacin y de administracin de cuentas paralas conexiones de acceso remoto en un servidor RADIUS cuando se habilitanla autenticacin y la administracin de cuentas RADIUS. El registro de

autenticacin y de administracin de cuentas RADIUS es independiente de los

sucesos que se almacenan en el registro de sucesos del sistema. Puede utilizarla informacin registrada en el servidor RADIUS para realizar un seguimientodel uso del acceso remoto y de los intentos de autenticacin.

Por ejemplo, el registro de administracin de cuentas RADIUS almacenainformacin de conexin, incluida la duracin de su conexin al servidor

de acceso remoto.

Registro deautenticacin localy de administracinde cuentas

Registro deautenticacin y deadministracin decuentas basadoen RADIUS


13/33


Registro de autenticacin y de administracin de cuentas


El registro de autenticacin y de administracin de cuentas es un proceso quealmacena informacin detallada acerca de las solicitudes de conexin de acceso

remoto.

Puede utilizar la informacin registrada para realizar un seguimiento de lautilizacin del acceso remoto y de los intentos de autenticacin. Mediante la

configuracin y uso de los archivos de registro para realizar un seguimientode la informacin de autenticacin, puede simplificar la administracin del

servicio de acceso remoto. Puede configurar y utilizar registros para realizarun seguimiento de la informacin de administracin de cuentas (como registros

de inicio y de cierre de sesin) para mantener una relacin y emplearla en lafacturacin, por ejemplo. El registro de autenticacin y de administracin de

cuentas es especialmente til a la hora de aislar problemas de directivas deacceso remoto. Por cada intento de autenticacin, se registra el nombre de ladirectiva de acceso remoto que lo acepta o rechaza.

La informacin de autenticacin y de administracin de cuentas se almacenaen un archivo de registro configurable o en archivos almacenados en la carpeta

%Systemroot%\System32\LogFiles. Los archivos de registro se guardan en elServicio de autenticacin de Internet (IAS,Internet Authentication Service) o

en un formato compatible con bases de datos de manera que cualquier programade bases de datos pueda leerlos directamente para analizarlos. Puede configurar

tanto el Servicio de enrutamiento y acceso remoto como IAS para enviar lainformacin de autenticacin y de administracin de cuentas directamente a unservidor de base de datos que permita que varios servidores graben datos en la

misma base de datos.

Definicin

Ventajas de utilizarel registro deautenticacin yde administracinde cuentas


14/33


Cuando configure el registro, puede especificar lo siguiente:

Las solicitudes que se registrarn.

El formato del archivo de registro. La frecuencia de inicio de nuevos registros.

La eliminacin automtica del archivo de registro ms antiguo cuando

el disco se llene.

Dnde se almacenan los archivos de registro.

Qu informacin contiene el archivo de registro.

Todos los tipos de registro de solicitudes estn deshabilitados de manera

predeterminada. En un principio, se recomienda habilitar el registro desolicitudes de autenticacin y de administracin de cuentas. Puede definir

los mtodos de registro tras determinar los datos que mejor se adaptan a sus

necesidades. Tal como se muestra en la siguiente tabla, puede seleccionar lostipos de solicitudes que se van a registrar. El origen y destino de los elementosdel archivo de registro dependen de si se envan de un cliente RADIUS a un

servidor RADIUS o de si se registran localmente en un archivo de registro deEnrutamiento y acceso remoto utilizando la autenticacin y de administracinde cuentas de Windows.

Tipos de solicitudes Descripcin de las entradas del registroSolicitudes de administracin

de cuentas

Accounting-on (Administracin de

cuentas activa)indica que el servidor

est en conexin y preparado para

aceptar conexiones.

Accounting-off(Administracin decuentas inactiva)indica que el servidor

est fuera de conexin.

Accounting-start (Iniciada

administracin de cuenta) indica

el inicio de sesin de un usuario.

Accounting-stop (Detenida

administracin de cuenta) indica

el fin de la sesin de un usuario.

Solicitudes de autenticacin Authentication requests (Solicitudes

de autenticacin) registra los atributos

de entrada que enva un usuario que

se est conectando. Estas entradasdel archivo de registro contienen

solamente atributos de entrada.

Authentication accepts and rejects

(Aceptaciones y rechazos de

autenticacin) registra las entradas

que indican si se acepta o se rechaza

al usuario.

Propiedades delarchivo de registro

Tipos de registrode solicitudes


15/33


(continuacin)

Tipos de solicitudes Descripcin de las entradas del registroEstado peridico Periodic status (Estado peridico)

registra entradas para solicitudes

de administracin de cuentas

provisionales que proporcionan

algunos servidores de acceso remoto

durante las sesiones.

Accounting-interim requests

(Solicitudes provisionales de cuenta)

registra las entradas que proporciona

peridicamente el servidor de acceso

remoto durante una sesin de usuario.

Puede registrar la administracin de cuentas, la autenticacin y el estadoperidico en una base de datos de Microsoft SQL Server. Para obtener msinformacin, consulte Registro de bases de datos de SQL Server en la

documentacin de Ayuda de Windows Server 2003.

Nota


16/33


Cmo configurar el registro de autenticacin y de administracin

de cuentas


Para configurar el registro de autenticacin y de administracin de cuentas,primero deber habilitar la autenticacin de Windows o la administracin decuentas de Windows. Posteriormente, podr configurar el tipo de actividad que

desea registrar (de autenticacin o de administracin de cuentas) y las opciones

del archivo de registro.

Si el equipo que ejecuta el Servicio de enrutamiento y acceso remoto seconfigura para realizar la autenticacin RADIUS o como proveedor de

administracin de cuentas, y el servidor RADIUS es un equipo que ejecutaWindows Server 2003 e IAS, la informacin de registro se almacena en el

equipo servidor IAS.

Es recomendable que inicie sesin con una cuenta que no tengacredenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadaspara realizar esta tarea.

Para habilitar la administracin de cuentas de Windows:

1. Abra la consola de Enrutamiento y acceso remoto, haga clic con el botnsecundario del mouse en el nombre del servidor para el que desee configurar

la administracin de cuentas de Windows y, a continuacin, haga clic

en Propiedades.

2. En la ficha Seguridad, en Proveedor de cuentas, haga clic enContabilidad de Windows y, a continuacin, haga clic en Aceptar.

Introduccin

Nota

Procedimientopara habilitar laadministracin decuentas de Windows


17/33


Para configurar el registro de autenticacin local y de administracinde cuentas:

1. Abra la consola de Enrutamiento y acceso remoto.

2. En el rbol de la consola, haga clic en Registro de acceso remoto.

3. En el panel de detalles, haga clic con el botn secundario del mouse enArchivo local y, despus, haga clic en Propiedades.

4. En el cuadro de dilogo Propiedades del Archivo local, en la fichaConfiguracin, seleccione una o varias de las tres opciones siguientes:

Solicitudes de cuentas. Esta opcin registra informacin como el inicioy el fin de una sesin de usuario.

Solicitudes de autenticacin.Esta opcin registra informacin comola aceptacin o rechazo de la solicitud de acceso de un usuario.

Estado peridico. Esta opcin registra informacin como solicitudesprovisionales de administracin de cuentas. Para registrar estas

solicitudes, debe configurarse el atributo Intervalo provisional deadministracin de cuentas RADIUS en el perfil de acceso remotoen el servidor IAS.

5. En el cuadro de dilogo Propiedades del Archivo local, en la fichaArchivo de registro, seleccione las siguientes opciones de registroapropiadas:

a. Directorio: ruta de acceso de la carpeta donde se almacenan los archivosde registro

b. Formato: IAS o Base de datos compatible

c. Crear un nuevo archivo de registro: Diariamente, Semanalmente,Mensualmente, Nunca (tamao de archivo ilimitado), Cuando eltamao del archivo de registro alcance

6. En el cuadro de dilogo Propiedades del archivo local, en la ficha Archivode registro, si corresponde, seleccione Eliminar los registros ms viejoscuando el disco est lleno y, a continuacin, haga clic en Aceptar.

Siempre que cambie el proveedor de autenticacin o el proveedor de

administracin de cuentas en la ficha Seguridad, deber detener e iniciar elServicio de enrutamiento y acceso remoto para que estos cambios se apliquen.

Procedimiento paraconfigurar el registrode autenticacin localy de administracinde cuentas

Nota


18/33


Para configurar la administracin de cuentas basada en RADIUS:

1. Abra la consola de Enrutamiento y acceso remoto.

2. Haga clic con el botn secundario del mouse en el nombre del servidor parael que desee configurar la administracin de cuentas basada en RADIUS y,

a continuacin, haga clic en Propiedades.

3. En la ficha Seguridad, en el campo Proveedor de cuentas, seleccioneAdministracin de cuentas RADIUS y, a continuacin, haga clic enConfigurar.

4. En el cuadro de dilogo Administracin de cuentas RADIUS, haga clicen Agregar.

5. En el cuadro de dilogo Agregar servidorRADIUS, en el campo Nombredel servidor, escriba el nombre de host del servidor RADIUS.

6. En el cuadro de dilogo Agregar servidor RADIUS, haga clic

en Cambiar.7. En el cuadro de dilogo Cambiar secreto, en los campos Secreto nuevo y

Confirmar el nuevo secreto, escriba el secreto y, a continuacin, haga clic

en Aceptar.

8. En el cuadro de dilogo Administracin de cuentas RADIUS, haga clicen Aceptar.

9. En el cuadro de dilogo Propiedades deNombreDeServidor, haga clicen Aceptar.

Procedimientopara configurarla administracinde cuentas basadaen RADIUS


19/33


Archivos de registro para conexiones especficas


Para ayudar a reunir informacin detallada y aislar los problemas del servidorde acceso remoto, puede configurar funciones de registro adicionales. Acte

con precaucin cuando habilite este tipo de registro, ya que puede agregaruna carga notable al servidor de acceso remoto.

Puede utilizar el registro del Protocolo punto a punto (PPP) para registrar la

serie de funciones de programacin y de mensajes de control PPP durante unaconexin PPP. El registro de PPP es una valiosa fuente de informacin cuando

se intenta solucionar el error de una conexin PPP.

Puede utilizar el complemento Visor de sucesos para ver los siguientes sucesosrelacionados con IPSec:

Sucesos del Agente de directivas de Seguridad del protocolo Internet

(IPSec,Internet Protocol Security) en el registro de auditora.

Sucesos de Intercambio de claves de Internet (IKE,Internet Key Exchange),

los detalles de asociacin de seguridad, en el registro de seguridad. Para

ver estos sucesos, habilite la auditora de acciones correctas o errores en la

directiva de auditora Auditar sucesos de inicio de sesin en su dominio

o equipo local. Sucesos de cambio de la directiva IPSec en el registro de seguridad. Para

ver estos sucesos, habilite la auditora de acciones correctas o errores en

la directiva de auditora Auditar cambios de auditora en su dominioo equipo local.

Sucesos de paquetes descartados del controlador IPSec en el registro del

sistema. En la familia de Windows Server 2003, puede habilitar el registro

de sucesos de paquetes para el controlador IPSec mediante la herramientade lnea de comandos Netsh ipsec.

Para habilitar el registro de paquetes entrantes y salientes descartados,especifique el valor 7. En el smbolo del sistema, escriba netsh ipsecdynamicset config ipsecdiagnostics 7 y, a continuacin, reinicie el equipo.

Introduccin

Registro de PPP

Registro de auditora


20/33


Habilitar el registro de auditora para sucesos del Protocolo de asociacinde seguridad y de administracin de claves en Internet(ISAKMP,InternetSecurity Association and Key Management Protocol) y ver los sucesos en el

Visor de sucesos es la forma ms rpida y sencilla de aislar las negociacionesde modo principal o modo rpido fallidas.

Si habilita la auditora de acciones correctas o errores en la directiva deauditora Auditar sucesos de inicio de sesin, IPSec registra la accin correcta

o el error de cada negociacin de modo principal y modo rpido, as comoel establecimiento y terminacin de cada negociacin como sucesos

independientes. No obstante, al habilitar este tipo de auditora, el registro deseguridad puede llenarse de sucesos IKE. Por ejemplo, en los servidores queestn conectados a Internet, los ataques al protocolo IKE pueden provocar

que el registro de seguridad se llene de sucesos IKE. Los sucesos IKE tambinpueden llenar el registro de seguridad de los servidores que emplean IPSec para

proteger el trfico destinado a diversos clientes. Para evitar que el registro se

llene de sucesos IKE, puede deshabilitar la auditora de sucesos IKE en elregistro de seguridad si modifica el Registro.

Puede utilizar el registro Oakley para ver detalles acerca del proceso de

establecimiento de asociaciones de seguridad. El registro Oakley se habilitaen el Registro pero no est habilitado de manera predeterminada.

Una vez habilite el registro Oakley, que se encuentra almacenado en la carpeta%Systemroot%\Debug, registrar todas las negociaciones de modo principal omodo rpido de ISAKMP. Cada vez que se inicia el Agente de directivas IPSec,se crea un nuevo archivo Oakley.log y la versin anterior se guarda como

Oakley.log.sav.

Registro Oakley


21/33


Cmo configurar el registro para tipos de conexin especficos


Puede utilizar las funciones de diagnstico de acceso remoto que se encuentrandisponibles en la familia de Windows Server 2003 para recopilar registros e

informacin detallados acerca de una conexin de acceso remoto.

Cuando termine de solucionar los errores, debera deshabilitar el registro.

Es recomendable que inicie sesin con una cuenta que no tengacredenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadaspara realizar esta tarea.

Para configurar el registro de PPP:

1. En la consola de Enrutamiento y acceso remoto, haga clic con el botnsecundario del mouse en el nombre del servidor y, a continuacin, haga

clic en Propiedades.

2. En el cuadro de dilogo Propiedades deNombreDeServidor, en la fichaRegistro, seleccione una de las siguientes opciones:

Slo registrar errores

Registrar errores y advertencias

Registrar todos los sucesos

No registrar ningn suceso

3. En la ficha Registro, si corresponde, seleccione Registrar informacinadicional de Enrutamiento y acceso remoto y, a continuacin, haga clic

en Aceptar. Esta opcin registra los sucesos del proceso de establecimientode la conexin PPP.

Introduccin

Nota

Procedimiento paraconfigurar el registrode PPP


22/33


Para configurar un registro Oakley para una conexin L2TP/IPSec:

1. Para habilitar el registro Oakley, defina la opcin del Registro DWORDHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging con el valor 1. (La clave de Oakley no

existe de manera predeterminada y, por lo tanto, deber crearse.)

Para obtener informacin adicional acerca de cmo agregar valoresa las claves del Registro, consulte la documentacin de Ayuda de Windows

Server 2003.

2. Para activar la nueva opcin del Registro EnableLogging tras modificarsu valor:

a. Escriba net stop remoteaccess en el smbolo del sistema para detenerel Servicio de enrutamiento y acceso remoto.

b. Escriba net stop policyagent en el smbolo del sistema para detener losservicios IPSec.

c. Escriba net start policyagent en el smbolo del sistema para iniciar losservicios IPSec.

d. Escriba net startremoteaccess en el smbolo del sistema para iniciarel Servicio de enrutamiento y acceso remoto.

Para configurar un registro de auditora de modo que se use una conexin

L2TP/IPSec:

1. Defina la opcin del Registro KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\DiagnosticMode con el valor 1.

2. Para activar la nueva opcin del Registro DiagnosticMode tras modificarsu valor:

a. Escriba net stop remoteaccess en el smbolo del sistema para detenerel Servicio de enrutamiento y acceso remoto.

b. Escriba net stop policyagent en el smbolo del sistema para detener losservicios IPSec.

c. Escriba net start policyagent en el smbolo del sistema para iniciar losservicios IPSec.

d. Escriba net startremoteaccess en el smbolo del sistema para iniciarel Servicio de enrutamiento y acceso remoto.

El controlador IPSec solamente escribe los sucesos en el registro del

sistema una vez cada hora. Para obtener informacin adicional acerca del registrode sucesos del controlador IPSec, consulte los kits de recursos de Windows.

Procedimiento paraconfigurar un registroOakley para unaconexin L2TP/IPSec

Nota

Procedimiento paraconfigurar un registrode auditora con unaconexin L2TP/IPSec

Nota


23/33


Ejercic io: Configurar el registro en un servidor de acceso remoto


En este ejercicio, configurar el registro en un servidor de acceso remoto.

Debe haber iniciado sesin con una cuenta que no tenga credencialesadministrativas y ejecutar el comando Ejecutar como con una cuenta deusuario que disponga de las credenciales administrativas apropiadas pararealizar la tarea.

El ingeniero de sistemas ha diseado un plan de registro para el servidor deacceso remoto del laboratorio. Deber configurar el servidor de acceso remotopara que registre los datos de autenticacin y de administracin de cuentas.

Configurar el registro de autenticacin local en su servidorde acceso remoto

Complete esta tarea desde los equipos de ambos alumnos.


Registrar la siguiente informacin:

Solicitudes de cuentas

Solicitudes de autenticacin

Estado peridico

Directorio del archivo de registro: C:\

Crear un nuevo archivo de registro: Diariamente

Introduccin

Instrucciones

Situacin de ejemplo

Ejercicio


24/33


Comprobar que el archivo de registro no existe Complete esta tarea desde los equipos de ambos alumnos.

Con el Explorador de Windows, abra: C:\ Compruebe que no existen archivos de registro y deje la carpeta abierta.

Detener e iniciar el Servicio de enrutamiento y acceso remoto Complete esta tarea desde los equipos de ambos alumnos.


Comprobar que el archivo de registro existe Complete esta tarea desde los equipos de ambos alumnos.

Compruebe que el archivo de registro existe y cierre la carpeta.


25/33


Leccin: Recopilar y supervisar los datos de accesoa la red


La informacin contenida en esta leccin le permitir adquirir las tcnicas yconocimientos que necesita con el fin de recopilar y supervisar los datos deacceso a la red para el Servicio de enrutamiento y acceso remoto o IAS.


Explicar los motivos de la recopilacin de datos de rendimiento para

el acceso a la red.

Especificar y describir las diferentes herramientas que se utilizan para

recopilar los datos de acceso a la red.

Supervisar la actividad de las redes inalmbricas.

Introduccin

Objetivos de la leccin


26/33


Por qu recopilar datos de rendimiento


La supervisin del rendimiento del sistema es una parte fundamental a la horade mantener y administrar los servicios de acceso a la red. Puede utilizar los

datos de rendimiento para lo siguiente:

Evaluar la carga de trabajo del servidor y el correspondiente efecto en los

recursos del sistema.

Observar los cambios y tendencias de las cargas de trabajo.

Realizar un seguimiento del uso de los recursos para planear futuras

actualizaciones.

Probar los cambios de configuracin u otros intentos de ajuste mediante

la supervisin de los resultados.

Aislar problemas tales como un error en la conexin, la interrupcin

de conexiones activas y el rendimiento general.

Identificar los componentes o procesos que pueden optimizarse.

Motivos para recopilarlos datos de rendimiento


27/33


Herramientas para recopilar los datos de acceso a la red


Windows Server 2003 incluye las siguientes herramientas que puede utilizarpara recopilar datos que le ayuden a identificar y prever los problemas de

acceso a la red:

Monitor de sistema. Esta herramienta permite ver los datos de rendimiento

en tiempo real relativos a componentes y servicios especficos. Tambin

puede utilizarla para ver los datos de rendimiento capturados u obtenidos

con anterioridad.

Registros y alertas de rendimiento. Esta herramienta le permite capturar datosde rendimiento especficos para componentes y servicios a travs de un perodo

configurable en un archivo de registro. Tambin puede definir las alertas que segeneran cuando se producen determinados sucesos, como los siguientes:

Enviar un mensaje.

Ejecutar un programa.

Incluir una entrada en el registro de sucesos de la aplicacin.

Iniciar un registro cuando el valor de un contador seleccionado supera

o no alcanza la configuracin especificada.

Monitor inalmbrico . El servicio Configuracin inalmbrica registrainformacin en el Monitor inalmbrico, lo que le permite:

Identificar los cambios de configuracin del servicio.

Comprobar los sucesos registrados en el registro del servicio Configuracin

inalmbrica que se generan fuera de su red inalmbrica, como las

notificaciones de sucesos de medios, sucesos 802.1x y sucesos de caducidad

de temporizadores.

Ver detalles acerca de los puntos de acceso a la red y clientes inalmbricos.

Puede utilizar la informacin de registro para aislar problemas en el servicio

inalmbrico.

Herramientas pararecopilar datos


28/33


Entre los objetos utilizados comnmente para supervisar los servidoresde acceso a la red se incluyen los siguientes:

Memoria, Procesador, Red y Disco. Estos objetos contienen contadores deservicio de red estndar que puede utilizar para todos los tipos de servidores.

Con el Servicio de enrutamiento y acceso remoto, el lugar ms propenso a

sufrir cuellos de botella es la red. El Servicio de enrutamiento y acceso

remoto e IAS no suelen provocar un uso significativo del procesador, la

memoria y el disco si el servidor se destina a funciones de marcado. No

obstante, si un servidor de acceso remoto o servidor IAS tambin aloja otras

aplicaciones o servicios, stos podran competir por los recursos. En este

caso, debera supervisar los cuatro contadores principales globalmente en el

servidor con el fin de garantizar que una aplicacin o servicio no usa los

recursos en exceso de modo que pueda comprometer al resto de funciones

del servidor.

Para obtener informacin adicional acerca de los objetos estndar derendimiento, consulte el curso 2164A:Mantenimiento de un entorno

Microsoft Windows Server 2003.

Servidor de autenticacin IAS. Este objeto contiene contadores que puede

utilizar para supervisar solicitudes entrantes y salientes, as como errores

que detecta el servidor de autenticacin.

Clientes de autenticacin IAS. Este objeto contiene contadores que puedeutilizar para supervisar solicitudes entrantes y salientes, as como erroresque detecta el cliente de autenticacin.

IPv4. Este objeto contiene contadores que puede utilizar para aislar datosde rendimiento del Protocolo de control de transporte/Protocolo Internet

(TCP/IP, Transmission Control Protocol/Internet Protocol), errores, fallosy posibles ataques a la red.

IPv6. Este objeto contiene los mismos contadores y funciones que IPv4,

pero los contadores del objeto IPv6 se centran en este protocolo.

Puerto RAS. Este objeto contiene contadores que proporcionaninformacin acerca del rendimiento y funcionamiento de cada puerto

de acceso remoto.

Total RA. Este objeto contiene contadores que proporcionan informacinacerca del rendimiento y funcionamiento de todos los puertos de acceso

remoto en conjunto.

Ejemplos de objetoscomunes

Nota


29/33


Puede crear un registro de rendimiento para mantener un seguimiento de loserrores en IAS. A continuacin se enumeran algunos ejemplos de contadores

que puede utilizar para aislar y resolver problemas comunes de acceso a la red:

Datagrams Received Discarded (Datagramas recibidos descartados).Cantidad de datagramas IP de entrada descartados cuando surgi un

problema que impeda su procesamiento continuado, como la falta de

espacio en el bfer.

Datagram Received Address Errors (Datagramas recibidos con errores dedireccin). Cantidad de datagramas de IP descartados debido a errores en la

direccin, como valores no vlidos (0.0.0.0) y clases no admitidas (Clase E).

Access-Request (Solicitudes de acceso). Cantidad de solicitudes deacceso recibidas.

Access-Rejects (Rechazos de acceso). Cantidad de solicitudes deacceso rechazadas.

Bad Authenticators (Autenticadores no vlidos). Cantidad de paquetes quecontienen un atributo del autenticador del mensaje no vlido (RADIUS).

Unknown Type (Tipo desconocido). Cantidad de paquetes de tipodesconocido (paquetes que no son RADIUS recibidos).

Ejemplos de contadores


30/33


Cmo supervisar la actividad de las redes inalmbricas


Puede utilizar el complemento Monitor inalmbrico para supervisar la actividadde las redes inalmbricas.

Es recomendable que inicie sesin con una cuenta que no tenga

credenciales administrativas y que ejecute el comando Ejecutar como con unacuenta de usuario que disponga de las credenciales administrativas apropiadas

para realizar esta tarea.

Para habilitar o deshabilitar el registro de informacin de clientes inalmbricos:

1. Cree una consola que contenga el Monitor inalmbrico. O bien, abra unarchivo de consola guardado que contenga el Monitor inalmbrico.

2. Expanda el nombre del servidor que desee configurar.

3. Haga clic con el botn secundario del mouse en Informacin de clienteinalmbrico y, a continuacin, configure una de las siguientes opciones:

Si desea habilitar el registro para clientes de redes inalmbricas, hagaclic en Habilitar registro.

Si desea deshabilitarlo, haga clic en Deshabilitar registro.

Puede ver el nombre de la red donde existe el punto de acceso, el tipo de red,

la direccin de red y la actividad actual, adems de la intensidad de la seal.

Para ver los detalles acerca de los puntos de acceso a la red inalmbricos:

1. Cree una consola que contenga el Monitor inalmbrico. O bien, abraun archivo de consola guardado que lo contenga.

2. Haga doble clic en Informacin de punto de acceso.

Introduccin

Nota

Procedimiento parahabilitar o deshabilitar elregistro de informacinde clientes inalmbricos

Procedimiento para verlos detalles acerca delos puntos de acceso ala red inalmbricos


31/33


Puede ver el origen de la red desde donde se comunica el cliente inalmbrico,el tipo de comunicacin, dnde se ha producido la comunicacin y el nombre

de la red.

Para ver los detalles acerca de los clientes de red inalmbrica:

1. Cree una consola que contenga el Monitor inalmbrico. O bien, abraun archivo de consola guardado que contenga el Monitor inalmbrico.

2. Haga doble clic en Informacin de cliente inalmbrico.

Procedimiento paraver los detalles acercade los clientes de redinalmbrica


32/33


Ejercic io: Recopi lar y supervisar los datos de acceso a la red


En este ejercicio, se ocupar de:

Determinar las herramientas idneas para supervisar e identificar

determinados problemas de acceso a la red.

Configurar registros de rendimiento.

Para completar este ejercicio, consulte el documento Valores del plan deimplementacin, incluido en el apndice al final del cuaderno de trabajo.

Debe haber iniciado sesin con una cuenta que no tenga credenciales

administrativas y ejecutar el comando Ejecutar como con una cuenta deusuario que disponga de las credenciales administrativas apropiadas para

realizar la tarea.

Los clientes de acceso a la red del laboratorio han experimentado problemaspara conectarse y permanecer conectados al servidor de acceso a la red.

Hay numerosas directivas de acceso remoto configuradas.

Otros usuarios de acceso a la red se han quejado de que sus conexionesse interrumpan tras ser validadas. Estos usuarios no han documentado los

mensajes de error que reciban cuando se les desconectaba. Usted sospechaque los servidores de acceso remoto sufren una sobrecarga.

Objetivo

Instrucciones

Situacin de ejemplo


33/33


Determinar las herramientas que se utilizarn Los alumnos en parejas debern responder a las siguientes preguntas:

1. Qu herramienta configurara para comprobar que se est aplicandola directiva apropiada?

____________________________________________________________

____________________________________________________________

2. Qu herramienta utilizara para identificar a los usuarios que estn siendodesconectados?

____________________________________________________________

____________________________________________________________

Configurar registros de rendimiento Complete esta tarea desde los equipos de ambos alumnos.

1. En Herramientas administrativas, abra la consola Rendimiento.

2. Cree un nuevo Registro de contador.

3. En el cuadro Nueva configuracin de registro, en el campo Nombre,escriba Registro de contador RAS.

4. Agregue los objetos y contadores que se muestran en la tabla siguiente.

Objetos Contadores

Memoria Kilobytes disponibles

Interfaz de red Total de bytes/s

Procesador % de tiempo de procesador

5. En la ficha Programacin, compruebe que Iniciar registro estconfigurado como Manualmente (usando el men contextual).

6. En la ficha Archivos de registro, configure la ubicacin del archivo deregistro como C:\con el nombre de archivo deNombreDeEquipoStress.log.

7. Guarde la consola Rendimiento como Registro de acceso remotoen el escritorio.

Ejercicio

Documents

35.- Administrar y Supervisar El Acceso a La Red