instalar agentes adicionales. Sin embargo, debido a las normas de seguridad más
estrictas, el monitoreo remoto es posible únicamente después de la configuración
inicial que depende de su entorno Windows.
SERVIDOR DE MONITOREO
El servidor de NetCrunch puede ser instalado en Windows Server 2003 R2, Windows Server 2008/2008 R2 o Windows Server 2012. Si administra la mayoría de los servidores a través del Directorio Activo de Microsoft, es mejor instalar NetCrunch en un equipo dentro del dominio del Directorio Activo. Esto hace que la configuración sea más fácil.
SISTEMAS MONITOREADOS
SERVIDORES
La mayoría de los servidores vienen con el firewall activo, el cual bloquea la administración remota. Esta es la primera cosa que hay que arreglar. Es fácil de configurar - especialmente si se administra mediante las políticas de grupo del Directorio Activo. De lo contrario, tendrá que configurar los servidores de uno en uno - puede hacerlo mediante un script sencillo (descargarlo de:
http://www.adremsoft.com/download/SetWinForNC.zip).
ESTACIONES DETRABAJO
Si administra las estaciones de trabajo por el Directorio Activo, prepararlos para el monitoreo será lo mismo que para los servidores (mediante las políticas de grupo del Directorio Activo).
El monitoreo de estaciones de trabajo en grupo de trabajo es un poco más difícil de configurar, debido a que a partir de Windows Vista, todos los sistemas posteriores utilizan UAC (el control de cuenta de usuario). Este no permite que conexiones remotas hereden los derechos de administración del grupo de administradores locales. En este caso se puede optar por utilizar una cuenta de Administrador local, o crear una nueva cuenta y asignar manualmente los derechos necesarios directamente a esta cuenta.
RESUMEN DE PASOS DE CONFIGURACIÓN
1. Configuración de derechos de acceso
NetCrunch necesita una cuenta usuario para el monitoreo que tenga los derechos de acceso apropiados sobre DCOM, WMI (root\cimV2) y (acceso de lectura) a la llave del registro: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib. La forma más fácil en hacer esto es agregar este usuario al grupo de Administradores Locales.
2. Configuración de reglas del Firewall
El Firewall debe permitir tráfico de RPC, Monitoreo del Rendimiento, Named Pipes and WMI.
3. Habilitando el monitoreo de PerfMon
El servicio de Registro Remoto debe estar en ejecución y el tipo de inicio se debe establecer en Automático
4. Deshabilitar las restricciones remotas de UAC
Las restricciones remotas del Control de Cuentas de Usuario (UAC) necesitan ser deshabilitadas en los servidores que no están dentro de un Dominio. Esto requiere cambiar el valor en la llave de registro:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAc countTokenFilterPolicy
CONFIGURACIÓN DE DOMINIOS DE DIRECTORIO ACTIVO
Si la mayoría de los servidores se administran mediante el Directorio Activo la mejor solución es instalar
NetCrunch en un servidor dentro del dominio del Directorio Activo, y crear un cuenta de usuario dedicada al monitoreo. En este caso, se deberá cancelar la instalación actual y configurar primero el Directorio Activo. Puede concluir la instalación de NetCrunch después de que la configuración es propagada en todos los servidores – esto puede tomar aproximadamente 2 horas.
En esta forma NetCrunch será capaz de descubrir todos los servidores en el Directorio Activo y
automáticamente establecerá el monitoreo de todos los servidores. En otros servidores en dominios no seguros o en grupos de trabajo pueden ser configurados de forma independiente (Ver el capítulo de Configuración de Servidores Windows de forma independiente).
CONFIGURANDO LOS DERECHOS DE ACCESO
El procedimiento siguiente requiere un conocimiento práctico de usuarios y equipos en el Directorio Activo y herramientas administrativas de Gestión de Políticas de Grupo.
Cree la cuenta de usuario en el Directorio Activo (por ejemplo nc-monitor-user) que será utilizada por el Servidor de NetCrunch para el monitoreo. Más tarde se solicitarán las credenciales de este usuario durante la instalación de NetCrunch.
PASO 2 – ESTABLECIENDO LOS DERECHOS DEL USUARIO
La cuenta del usuario necesita derechos de administrativos para todas las computadoras Windows monitoreadas (incluyendo el servidor donde NetCrunch es instalado). Hay dos formas diferentes para lograr esto, dependiendo de la arquitectura del Directorio Activo y las necesidades:
SI ES UN SIMPLE DOMINIO DONDE SE DESEA MONITOREAR TODAS LAS MÁQUINAS Agregue la cuenta de usuario creada a los Administradores de Dominio predefinidos del grupo de Directorio Activo.
SI SON MÚLTIPLES DOMINIOS O UNICAMENTE UN SUBCONJUNTO DE COMPUTADORAS NECESITAN SER MONITOREADAS
Necesita usar las Políticas de Grupo para modificar los grupos de administradores locales (en cada máquina Windows monitoreada)
a) Cree el grupo de Directorio Activo denominado Usuarios de Monitoreo y agrega la cuenta de usuario previamente creada (nc-monitor-user) a este grupo.
b) Cree un nuevo Objeto de Política de Grupo (GPO) ydenomínelo por ejemplo miembro del grupo de Administradores Locales para NetCrunch.
c) Cree una regla para los miembros del grupo de Usuarios de Monitoreo. Ir a:
Computer Configuration Policies Windows Settings Security Settings Restricted Groups
Y agregue losUsuarios de Monitoreo al grupo de Administradores Localesutilizando la sección Este grupo es un miembro de
d) Ligue los miembros del grupo de Administradores Locales para el GPO de NetCrunch a la Unidad de Organización (OU) apropiada en el (los) dominio(s) del Directorio Activo.
En bosques multi-dominio, el alcance del grupo por default del Directorio Activo (el cual es Global) debe ser suficiente para este grupo, debido a que los grupos locales pueden ser usados para asignar permisos a los recursos en cualquier dominio en un bosque.
ESTABLECIENDO LAS REGLAS DEL FIREWALL
Cree un nuevo Objeto de Política de Grupo (GPO) ydenomínelo por ejemplo reglas del Firewall de Windows para el monitoreo de NetCrunch.
1. Utilice dos ramas diferentes en el GPO para configurar ambos tipos de firewall internos en las máquinas Windows que se desean monitorear:
a. Para XP y Servidores 2003 R2
Ir a:
Computer Configuration Administrative Templates Network Network Connections Windows Firewall Domain Profile
Y establecer esta configuración a “Habilitada”
Windows Firewall: Allow inbound file and printer sharing exception Windows Firewall: Allow inbound remote administration exception
b. Para Vista/7/8 y Servidores 2008/ 2008 R2 /2012 Go to Ir a:
Computer Configuration Policies Windows Settings Security Settings Windows Firewall with Advanced Security
y agregar estas reglas a Inbound Rules, seleccionar de la lista predefinida :
File and Printer Sharing Remote Administration
2. Ligue las reglas del firewall de Windows para el monitoreo por el GPO de NetCrunch a la Unidad de Organización (OU) apropiada en el (los) dominio(s) del Directorio Activo.
Por razones de seguridad, se recomienda personalizar las reglas de administración remota para delimitar la lista de direcciones IP permitidas únicamente a la dirección del servidor de NetCrunch.
Por default, el firewall interno de Windows no bloquea el tráfico saliente – si se ha cambiado este comportamiento, agregue las reglas con los mismos nombres de la lista predefinida en
HABILITANDO EL MONITOREO DE PERFMON
1. Cree un nuevo Objeto de Política de Grupo (GPO) y denomínelo por ejemplo servicios de Windows de NetCrunch.
2. Configure el servicio de Registro Remoto Ir a:
Computer Configuration Policies Windows Settings Security Settings System Services
Y establezca el modo de ejecución de inicio del servicio de Windows Registro Remoto a Automático.
3. Ligue los servicios de Windows para el monitoreo por el GPO de NetCrunch a la Unidad de Organización (OU) apropiada en el (los) dominio(s) del Directorio Activo.
Justamente después de refrescar la política, este servicio deberá inmediatamente iniciar en cada computadora.
CONFIGURACIÓN DE SERVIDORES WINDOWS DE FORMA INDEPENDIENTE
Todos los comandos de abajo deben ser ejecutados desde la línea de comandos del administrador. EL SCRIPT COMPLETO PUEDE SER DESCARGADO DE:http://www.adremsoft.com/download/SetWinForNC.zip
CONFIGURANDO LOS DERECHOS DE ACCESO
Cree la cuenta nc-monitor-user utilizando comandos de shell y agregue esta cuenta al grupo de Administradores locales.
ESTABLECIENDO REGLAS DE FIREWALL
Para Servidores Windows 2003 y Servidores 2003 R2:Para Servidores Windows 2008, Servidores Windows 2008 R2 y Servidores Windows 2012 puede crear una regla únicamente para la dirección IP del servidor de NetCrunch.
HABILITANDO EL MONITOREO DE PERFMON
Configure el estado de ejecución de inicio del servicio Registro Remoto e inicie el servicio netsh advfirewall firewall add rule name="NC-Mon" dir=in action=allow remoteip="%IP%" netsh advfirewall firewall add rule name="NC-Mon" dir=out action=allow remoteip="%IP%" netsh firewall set service type=fileandprint scope=all profile=all
netsh firewall set service type=remoteadmin scope=all profile=all
WMIC SERVICE where name=”RemoteRegistry” call ChangeStartMode StartMode=Automatic WMIC SERVICE where name=”RemoteRegistry” call StartService
net user /add nc-mon-user <Password>
Modifique el comportamiento del control de cuentas de usuario (UAC) para servidores Windows 2008/2008 R2, y servidores Windows 2012
(http://support.microsoft.com/kb/951016)
TECNOLOGÍAS DE WINDOWS UTILIZADAS POR NETCRUNCH
Las tecnologías de Windows se han construido capa por capa. Una en la parte superior de otra - por ejemplo RPC está trabajando en la parte superior de Named Pipes, el servicio de Registro Remoto necesita RPC y WMI utiliza DCOM que a su vez utiliza también para la comunicación RPC. Todo necesita una configuración apropiada tanto del firewall como de las reglas de seguridad. De esta manera aquí está una lista corta de las tecnologías utilizadas por NetCrunch que necesitan una configuración adecuada.
1. RPC & Named Pipes – (Necesita habilitar la opción de compartir archivos y configuración del firewall)
2. Remote Registry – (Necesita la configuración del firewall y que el servicio de Registro Remoto se esté ejecutando)
3. WMI & DCOM – (Necesita la configuración del firewall y la configuración de seguridad de DCOM y WMI)
Es simple el caso de que el usuario designado para el monitoreo es un miembro del grupo de administradores locales - como se describe en este documento. Esta es la forma más sencilla de configurar el monitoreo de los servidores, pero no la más segura. En el caso de que la seguridad es una gran preocupación, es posible configurar los derechos exactos para la cuenta de monitoreo.
WMIC /Namespace: \\Root\Default Class StdRegProv Call SetDWORDValue hDefKey="&H80000002" sSubKeyName="SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
