Configuración SNMP servidores Windows
CatalàEn nuestras redes cada vez hay más dispositivos y servidores (más de virtuales, que de físicos). Ya no tenemos uno o dos equipos que si les pasa algo rápidamente podemos saber donde está el problema. Sino que los sistemas son muchos, decicados a una tarea específica, pero que todos ellos se relacionan entre sí. Es el típico «divide y vencerás«. Pero también es motivo de complicarnos las cosas al Departamento de TI, al crecer setas por todas partes, que nos hace tener que mirar «trenta mil» cosas para encontrar que falla del entorno.
Este es el principal motivo por el que se hace necesario el despliegue de un entorno de monitorización, para ayudarnos a detectar el origen del problema lo más rápidamente posible. Pero no sólo eso, los sistemas de monitorización avanzados también nos permiten ser o por ellos mismos ya son proactivos. Es decir, cuando se detecta un posible error, el sistema puede ejecutar tareas pre programadas para evitar que se produzca la caída del servicio. Poniendo un ejemplo, si tenemos un servidor de base de datos en que el disco que contiene la base de datos está llegando al 90% de ocupación, el sistema lanza una alerta que provoca la ejecución de una tarea que amplía la capacidad del disco duro un 10%.
SNMP son las siglas de Simple Network Management Protocol, del que podéis encontrar más información en la Wikipedia. En términos generales, casi es un estándar en la monitorización y administración de dispositivos. La gran mayoría de dispositivos físicos (routers switch, la parte física de los servidores y cabinas) soportan este protocolo. En el caso de los servidores o sistemas operativos, hay que habilitar el servicio que proporciona esta información. Toda esta información se envía y se recoge por un equipo capaz de interpretar esta información, es lo que se conoce como servidor de monitorización o traps. Al ser información sensible es muy aconsejable que esté controlado dónde va a parar esta información y que viaje por la red lo más protegida posible.
Por el protocolo SNMP se utilizan dos comunidades que es parecido al nombre de un dominio donde se envían y se recogen los eventos. Por defecto las comunidades son dos:
- public. Con solo acceso de lectura.
- private. Con acceso de lectura y escritura.
Por lo tanto, ya lo sabéis, NO utilizar nunca las comunidades public y private. En su lugar, hay que escoger dos nombres de comunidades diferentes que tendremos que configurar en todos los dispositivos que queramos gestionar por SNMP. Parece mucho trabajo al principio, pero no lo es tanto y nos evita posibles problemas de seguridad.
Podemos decir que el habilitar el servicio de SNMP es una manera no agresiva de tener monitorizado un servidor sin necesidad de instalar aplicaciones de terceros.
Hecha la introducción, en esta entrada veremos como desplegar y configurar el servicio de SNMP de los servidores Windows para que informen para unas comunidades en concreto en un servidor de monitorización.
Instalación del servicio
Como he comentado, el servicio SNMP es una característica que llevan la mayoría de sistemas operativos. En el caso de Windows Server hay que habilitar la característica. Desde el administrador del servidor, en el menú de la parte superior derecha, hacer clic en Administrar y Agregar roles y características.
Seleccionar Instalación basada en características o en roles y hacer clic en el botón Siguiente.
Seleccionar la opción un servidor del grupo de servidores, marcar el servidor donde se quiere habilitar el SNMP y hacer clic en el botón Siguiente.
Saltar el apartado de roles de servidor ya que SNMP es una característica. Hacer clic en el botón Siguiente.
De la lista, marcar Servicio de SNMP y también Proveedor WMI de SNMP. Aceptar el aviso de instalación de herramientas administrativas. Hacer clic en el botón Siguiente para continuar.
Resumen de la instalación, hacer clic en el botón Instalar.
Una vez instalada la característica, hacer clic en el botón Cerrar.
Aparentemente parece que no haya pasado nada en el entorno, pero si abrimos el administrador de servicios, menú de la parte superior derecha, hacer clic en Herramientas y Servicios.
Tenemos que encontrar un nuevo servicio: Servicio SNMP, con una configuración de inicio en Automático.
Botón derecho sobre el servicio, en el menú, hacer clic en Propiedades.
Este servicio es un poco diferente del resto, ya que al visualizar las propiedades del mismo aparecen tres pestañas nuevas: Agente, Capturas y Seguridad. En caso que estas tres pestañas no aparezcan indica que el sistema necesita un reinicio.
Pestaña Agente. Información sobre contacto, ubicación y servicios asociados. Esta información se puede dejar por defecto.
Pestaña Capturas. Es donde se configuran los nombres de las comunidades y el servidor de monitorización. Se puede configurar manualmente, uno a uno, pero lo más correcto es crear una política de grupo para configurar todos los equipos de manera administrativa.
Pestaña Seguridad. Establece los derechos de las comunidades (lectura o lectura y escritura) y de que IP pueden provenir los paquetes SNMP. Por defecto se aceptan sólo los paquetes SNMP del localhost.
Hacer clic en Aceptar para cerrar las propiedades del servicio.
Configuración servicio SNMP administrativamente
Tener que configurar lo mismo en todos los servidores de la infraestructura puede llevar a error y es un trabajo de narices. Por suerte tenemos un Active Directory en el que se puede crear una política que haga esta configuración en todos los equipos, sin margen de error. Sin embargo, no nos quedará más remedio que hacer la configuración manual para los equipos fuera del dominio (DMZs y compañía).
Desde el administrador de servidor de un equipo que tenga las herramientas administrativas de Active Directory, en el menú superior de la derecha, hacer clic en Herramientas y Administración de directivas de grupo.
Desplegar el bosque y dominio hasta encontrar la carpeta Objetos de directiva de grupo.
Botón derecho sobre Objetos de directiva de grupo. En el menú, hacer clic en Nuevo.
Indicar un nombre descriptivo, por ejemplo, Equipos – Configuración SNMP. Hacer clic en el botón Aceptar.
Localizar la nueva directiva, botón derecho del ratón, hacer clic en Editar.
En la rama Configuración del equipo, desplegar Directivas > Plantillas administrativas > Red > SNMP. Ya que el protocolo SNMP es un servicio que actúa a nivel de equipo, no de usuario.
Dentro de la carpeta SNMP tenemos tres parámetros a configurar:
- Especificar comunidades
- Especificar administradores permitidos
- Especificar capturas para comunidades públicas
Especificar comunidades
Primer parámetro que permite especificar el nombre de la o las comunidades de LECTURA que se utilizarán. En caso de necesitar especificar comunidades de escritura hay que realizar una plantilla administrativa de edición de registro específica ya que esta no lo permite. Hacer clic sobre Especificar comunidades para editar los parámetros. Seleccionar la opción Habilitada y en el apartado de opciones, hacer clic en el botón Mostrar para añadir las comunidades correspondientes.
Añadir el nombre de la comunidad de lectura, recordar NO utilizar la de defecto. En el ejemplo se utiliza como comunidad pública el nombre ComUn1tatPub. Hacer clic en el botón Aceptar para guardar las modificaciones.
Hacer clic en el botón Valor siguiente para pasar al siguiente parámetro:
Especificar administradores permitidos
Se especifican las direcciones IP autorizadas para recoger la información SNMP que pueda generar la máquina, es decir, la IP del servidor de monitorización. Seleccionar la opción Habilitada y en el apartado de opciones, hacer clic en el botón Mostrar para añadir las direcciones IP autorizadas.
Añadir la dirección IP del servidor de monitorización. Hacer clic en el botón Aceptar para guardar las modificaciones.
Hacer clic en el botón Valor siguiente para pasar al siguiente parámetro:
Especificar capturas para comunidades públicas
Se especifican las direcciones IP donde se enviará la información SNMP, es decir, otra vez la IP del servidor de monitorización. Excepto para servidores físicos (como ahora Hewlett Packard) que puedan contener herramientas del propio fabricante para recoger información de los componentes, en las que también se tendrá que añadir el localhost. Seleccionar la opción Habilitada y en el apartado de opciones, hacer clic en el botón Mostrar para añadir las direcciones IP autrorizadas.
Añadir la dirección IP del servidor de monitorización. Hacer clic en el botón Aceptar para guardar las modificaciones.
Hacer clic en el botón Aceptar de la ventana mostrar contenido y otra vez el botón Aceptar del parámetro Especificar capturas para comunidades públicas para guardar la configuración.
Reglas para el cortafuegos de Windows
Pero también es necesario proteger un poco este entorno de monitorización, especialmente en los servidores. Por eso, aparte de configurar el protocolo SNMP, también me gusta crear las reglas específicas en el cortafuegos para este protocolo, limitando los accesos.
Se puede aprovechar la misma directiva de SNMP para añadir administrativamente estas reglas a los equipos. Por eso, sin abandonar el editor, localizar la rama: Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Firewall de Windows con seguridad avanzada > Firewall de Windows con seguridad avanzada – LDAP… > Reglas de entrada.
Botón derecho del ratón sobre Reglas de entrada, del menú desplegable, hacer clic en Nueva regla.
Se inicia el asistente para la creación de reglas en el cortafuegos. Seleccionar Predefinida. Del listado, seleccionar Servicio SNMP. Hacer clic en el botón Siguiente.
Asegurar que se crearán las dos reglas para el servicio SNMP, la que corresponde a la red de Dominio y la de la red privada y pública. Hacer clic en el botón Siguiente.
Indicar el tipo de conexión a realizar según las condiciones anteriores. Seleccionar Permitir la conexión. Hacer clic en el botón Finalizar.
Comprobar que se han creado las dos nuevas reglas para el servicio de SNMP de entrada.
Se puede repetir el proceso para el servicio de captura de SNMP. Dejando la configuración en 4 reglas
Los asistentes son lo que son y yo un poco peculiar. Terminaremos de afinar estas reglas limitando la conexión desde y hacia la IP del servidor de monitorización. Botón derecho sobre una de las reglas, hacer clic en Propiedades.
Tenemos una visión general de la configuración de la regla del cortafuegos, igual que podemos tener en nuestro equipo cliente, algunos parámetros los podremos modificar, otros nos vienen asignados por la regla predefinida. Hacer clic en la pestaña Ámbito.
En el apartado Dirección IP remota se especifica la IP desde la que permitiremos la conexión al protocolo SNMP. Nuestro servidor de monitorización. Seleccionar Estas direcciones IP y hacer clic en el botón Agregar. Seleccionar esta dirección IP o subred y indicar la dirección IP del servidor de monitorización. Hacer clic en los botones Aceptar para guardar los cambios.
Repetir el proceso para el resto de reglas de entrada que se han creado.
Toda entrada también tiene una salida, para evitar que el tráfico no se nos vaya de donde tiene que ir, botón derecho sobre la rama Reglas de salida, hacer clic en Nueva regla.
Se vuelve a abrir el asistente para crear una nueva regla de salida. Seleccionar Predefinida. De la lista, seleccionar Servicio SNMP. Hacer clic en el botón Siguiente.
Asegurar que se crearán las dos reglas para el servicio SNMP, la que corresponde a la red de Dominio y la de la red privada y pública. Hacer clic en el botón Siguiente.
Indicar el tipo de conexión a realizar según las condiciones anteriores. Seleccionar Permitir la conexión. Hacer clic en el botón Finalizar.
Comprobar que se han creado las dos nuevas reglas para el servicio de SNMP de salida.
Al igual que para las reglas de entrada, modificamos la regla para que sólo permita enviar el tráfico a la IP del servidor de monitorización. Botón derecho sobre la regla, hacer clic en Propiedades.
Hacer clic en la pestaña Ámbito.
En el apartado dirección IP remota, seleccionar estas direcciones IP. Hacer clic en el botón Agregar. Seleccionar Esta dirección IP o subred y indicar la dirección IP del servidor de monitorización. Hacer clic en los botones Aceptar para guardar los cambios. Y ya se puede cerrar el editor de directivas por la crucecita de la ventana.
Tenemos la directiva creada, pero no asignada. Desde el Administrador de directivas del grupo, botón derecho sobre una Unidad Organizativa que contenga los servidores que queremos cofigurar el servicio SNMP, por ejemplo, los Domain Controllers. Hacer clic en Vincular una GPO existente.
Seleccionar la Directiva correspondiente de SNMP del listado y hacer clic en el botón Aceptar.
En caso que tengamos más de un controlador Active Directory aseguramos la réplica, desde una consola de sistema con privilegios de administrador, con el comando:
repadmin /syncall /e
Desde los servidores a los que hemos aplicado la directiva, podemos esperar que la aplique automáticamente o forzarla, desde una consola de sistema con privilegios de administrador, con el comando:
gpupdate /force
Volviendo a uno de los servidores que hemos dado de alta el servicio de SNMP, en el Administrador del servidor, en el menú superior derecho, hacer clic en Herramientas > Servicios. Localizar el servicio de SNMP, botón derecho Propiedades. Pestaña Capturas, podemos comprobar que se han añadido los destinos de captura marcados por la directiva y que no se puede modificar
Lo mismo pasa en la pestaña Seguridad. Se ha añadido la comunidad de lectura y las IPs de los servidores de monitorización
Por otra parte, si revisamos la configuración del cortafuegos. Desde el Administrador del servidor, en el menú superior derecho, hacer clic en Herramientas > Firewall de Windows con seguridad Avanzada.
Haciendo clic en Reglas de entrada, se pueden encontrar las reglas correspondientes al servicio SNMP.
Ojo si hay más de dos, deshabilitar las que sean del sistema, las que no hemos parametrizado nosotros. Botón derecho sobre la regla, hacer clic en Deshabilitar regla para evitar que se sobreescriban o contradigan.
Repetir el mismo proceso para las reglas de salida.
Ya tenemos los servidores preparados para ser monitorizados mediante el protocolo SNMP. El siguiente paso será desplegar un sistema de monitorización que pueda entender este protocolo y nos informe de las incidencias que se puedan dar.
¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Excelente artículo.
Muchas gracias Javier.
no sirve,
contenido borrado por falta de respetoHola Juan Pablo,
me ha sorprendido su comentario. Primero porque indica que «no sirve», pero no el qué, no lo entiendo. ¿No sirve la configuración SNMP?
Y segundo, por las frases obscenas a continuación, que he eliminado por respeto a los otros compañeros. ¿A qué se refiere? ¿Qué le ha disgustado tanto del artículo?
Saludos,
Excelente artículo!!! Claro conciso!!!
Pregunta y como puedo saber que equipos tienen permisos para hacer consultas SNMP, me refiero en una plataforma de 100 o mas servidores que se hizo a mano el proceso que tu explicas perfectamente por GPO sin tener que ir uno a uno claro.
GRACIAS!!
Cuando aplicas la configuración de SNMP por GPO, sobreescribes la que pudieses tener configurada a mano. Para asegurar quien puede hacer consultas, puedes aplicar la seguridad en SNMP v3 mediante usuario y contraseña.
Muy buen articulo. Gracias por el aporte
Excelente guía, esta muy bien detallada.
Gracias.
Hola, que aplicativo, free recomendarías para revisar esta configuración ???, por otra parte, muy bien el instructivo.
Puedes automatizar mediante herramientas como Ansible, Puppet… Para operaciones y gestión IT, quizá te encuentres más cómodo con Ansible
En el Món hi ha de tot, però per mi ets un referent en el tema de serveis i configuració de Windows Server. Me ha sigut de gran utilitat el teu esforç en mostrar amb paciència els articles acurats que tens fet.
Moltes gràcies Manel.