Siguiendo la regla de causa-efecto, debido a la fiebre de la virtualización tenemos como resultado una proliferación de Maquinas Virtuales que los administradores de sistemas debemos gestionar.
Eso genera la necesidad de monitorizar los diferentes sistemas (Routers, Switches, Almacenamiento, Hosts físicos, Servidores Virtuales, Servicios, Dispositivos, etc) para que nuestro trabajo sea, en la medida de lo posible, pro activo.
Si bien es cierto que muchos sistemas de monitorización recomiendan instalar sus propios agentes, muchas veces resulta muy interesante (y sobre todo liviano a nivel de rendimiento) configurar el sistema SNMP (protocolo estándar de monitorización) en nuestros servidores para que sean gestionados por nuestro sistema de monitorización.
Vamos a comenzar revisando los conceptos para luego realizar la instalación del sistema SNMP y configurarlo de forma automática utilizando GPOs.
SNMP Manager: es un equipo (servicio) que envía consultas a un Agente (equipo administrado). En algunos casos el Manager SNMP envía peticiones al Agente para que realice cambios de configuración.
SNMP Agente: Es un equipo o dispositivo que responde peticiones de los Managers SNMP. El Agente envía eventos específicos como un reinicio o acceso ilegal sin que el Manager lo solicite.
Para que un Manager y un Agente trabajen en conjunto, deben ser miembros de la misma Comunidad. Esa comunidad puede estar asegurada con una contraseña.
Si se asigna al Manager SNMP permisos de escritura por parte del Agente, el Manager podrá enviar peticiones (del tipo Set) para cambiar parámetros locales. Los mensajes de consulta son conocidos como del tipo Get. No obstante los parámetros del tipo Get están limitados en base a las características del equipo o dispositivo cliente.
MIB (Management Information Base): Define el tipo de información de cada objeto administrado y su propia descripción.
Cada equipo o dispositivo con un Agente SNMP cuenta con un MIB:
-Nombre del Objeto y su identificador OID
-Texto descriptivo del objeto
-Definición del tipo de objeto (counter, string, gauge or address)
-Nivel de acceso permitido (Read o Write)
-Restricciones de tamaño
Comunidades: Para que un Manager y un Agente se comuniquen, éstos deben formar parte de la misma comunidad. Los nombres de comunidades son sensibles a mayúsculas y minúsculas.
Mensajes SNMP
MensajeDesde/Para Descripción del Mensaje Get Manage/Agente Consulta valores de uno o más MIB de un Agente SNMP GetResponse Agente/Manager Responde a una petición del tipo Get, GetNext o una operación Set GetNext Manager/Agente Busca el todo el árbol MIB y lee los valores de forma secuencial. GetBulk
(solo SNMPv2) Manager/Agente Solicita información de a varias unidades a la vez para optimizar el tráfico. Set Manager/Agente Cambia un valor actual de un objeto MIB. El Manager deberá tener acceso Write. Este comando es poco frecuente ya que por lo general solo se tiene derecho de Read. Trap Agent/Manager Notifica al Manager cuando un evento local ocurre.
Servicio SNMP en Windows Server
Por defecto, un Windows Server 2008 R2 no tiene habilitada la característica de SNMP.
Podemos añadir los servicios de SNMP como cualquier otra característica del sistema.
Una vez instalada la característica tendremos dos servicios nuevos: Servicio SNMP y Captura SNMP. Por más que el sistema no nos lo indique, si queremos tener acceso a la configuración de los parámetros de SNMP, deberemos reiniciar el servidor.
De forma predeterminada el servicio SNMP está configurado sin nombre de comunidad y responde solamente al host local.
Un nombre de comunidad funciona como una contraseña compartida, generalmente entre varios Agentes y un Manager. Un Agente SNMP acepta peticiones solamente de Managers que comparten nombre de comunidad y que esté habilitado para recibir peticiones de otros hosts.
Si bien una configuración de comunidad SNMP es muy simple, cuando hablamos de monitorizar sistemas estamos entrando en un entorno “proactivo” y dentro de lo posible automatizado. Al menos esa sería la idea, sin importar la cantidad de equipos (da igual físicos o virtuales) que gestionemos.
Comenzaremos creando el objeto de Directiva de Grupo o GPO para luego configurarlo con nuestros parámetros de comunidad y, por último, vincularlo al contenedor o contenedores de servidores (Unidades Organizativas).
En un Controlador de Dominio, dentro del menú herramientas administrativas, tenemos la consola Administración de directivas de grupo.
Cuando abrimos la consola podremos ver una estructura jerárquica que comienza con el Bosque, para continuar con los dominios y luego los contenedores que cuelgan de cada dominio.
Hay un contenedor que se llama Objetos de directiva de grupo. Haremos clic sobre él y veremos todos nuestros objetos de Directivas de grupo. Haremos clic sobre el propio contenedor y seleccionamos Nuevo.
Podremos ver la ventana de creación de un nuevo GPO al cual deberemos asignarle un nombre. En nuestro caso le llamaremos “Configuración SNMP Servidores” (muy original por cierto ;).
Las configuraciones de SNMP son a nivel de equipo. Los objetos GPO se dividen entre configuraciones de Equipo y Configuraciones de usuario. Como sabemos que este GPO únicamente va a aplicar configuraciones a nivel de equipo, podemos optimizar el proceso de aplicación de GPO deshabilitando en este caso la configuración de usuario del objeto GPO.
Para ello hacemos clic con el segundo botón sobre el objeto GPO que acabamos de configurar y, dentro de la opción Estado de GPO, marcamos Configuración de usuario deshabilitada.
Ahora debemos configurar las opciones SNMP del objeto GPO. Hacemos clic con el segundo botón sobre el objeto GPO que acabamos de crear y seleccionamos Editar.
Se nos abrirá el panel de configuración del objeto GPO.
Dentro del panel de configuración abrimos: Configuración del equipo\Directivas\Plantillas administrativas\Red\SNMP.
Según podemos observar tenemos tres opciones de configuración: Comunidades, Administradores y Capturas.
Hacemos clic sobre Comunidades, clic en editar y añadimos nuestra comunidad. La mayoría de sistemas de monitorización utilizan el nombre de comunidad por defecto “Public” pero probablemente no sea una buena idea por cuestiones de seguridad. En nuestro ejemplo hemos puesto CNL-SNMP aunque deberíais utilizar vuestro nombre de comunidad como si de una clave compartida se tratase.
Si hacemos clic en Valor siguiente podremos configurar los administradores.
En este caso la traducción al castellano nos traiciona ya que más que administradores, se trata del sistema de monitorización que hará consultas SNMP a nuestro sistema Windows.
Podremos ingresar tanto el nombre fqdn o bien la dirección IP del sistema de monitorización.
Y por último configuraremos las Capturas para comunidades públicas. Aquí configuramos lo mismo que en la ventana anterior ya que se trata de envíos de traps SNMP por parte del host (nuestro sistema Windows) hacia nuestro manager SNMP que no es otro que el sistema de monitorización.
Ya para finalizar cerramos la ventana de configuración del objeto GPO y vinculamos el objeto GPO a la o las Unidades Organizativas en donde tengamos nuestros servidores que queremos monitorizar utilizando el protocolo SNMP.
Eso genera la necesidad de monitorizar los diferentes sistemas (Routers, Switches, Almacenamiento, Hosts físicos, Servidores Virtuales, Servicios, Dispositivos, etc) para que nuestro trabajo sea, en la medida de lo posible, pro activo.
Si bien es cierto que muchos sistemas de monitorización recomiendan instalar sus propios agentes, muchas veces resulta muy interesante (y sobre todo liviano a nivel de rendimiento) configurar el sistema SNMP (protocolo estándar de monitorización) en nuestros servidores para que sean gestionados por nuestro sistema de monitorización.
Vamos a comenzar revisando los conceptos para luego realizar la instalación del sistema SNMP y configurarlo de forma automática utilizando GPOs.
SNMP Manager: es un equipo (servicio) que envía consultas a un Agente (equipo administrado). En algunos casos el Manager SNMP envía peticiones al Agente para que realice cambios de configuración.
SNMP Agente: Es un equipo o dispositivo que responde peticiones de los Managers SNMP. El Agente envía eventos específicos como un reinicio o acceso ilegal sin que el Manager lo solicite.
Para que un Manager y un Agente trabajen en conjunto, deben ser miembros de la misma Comunidad. Esa comunidad puede estar asegurada con una contraseña.
Si se asigna al Manager SNMP permisos de escritura por parte del Agente, el Manager podrá enviar peticiones (del tipo Set) para cambiar parámetros locales. Los mensajes de consulta son conocidos como del tipo Get. No obstante los parámetros del tipo Get están limitados en base a las características del equipo o dispositivo cliente.
MIB (Management Information Base): Define el tipo de información de cada objeto administrado y su propia descripción.
Cada equipo o dispositivo con un Agente SNMP cuenta con un MIB:
-Nombre del Objeto y su identificador OID
-Texto descriptivo del objeto
-Definición del tipo de objeto (counter, string, gauge or address)
-Nivel de acceso permitido (Read o Write)
-Restricciones de tamaño
Comunidades: Para que un Manager y un Agente se comuniquen, éstos deben formar parte de la misma comunidad. Los nombres de comunidades son sensibles a mayúsculas y minúsculas.
Mensajes SNMP
Mensaje | Desde/Para | Descripción del Mensaje |
| Get | Manage/Agente | Consulta valores de uno o más MIB de un Agente SNMP |
| GetResponse | Agente/Manager | Responde a una petición del tipo Get, GetNext o una operación Set |
| GetNext | Manager/Agente | Busca el todo el árbol MIB y lee los valores de forma secuencial. |
| GetBulk (solo SNMPv2) | Manager/Agente | Solicita información de a varias unidades a la vez para optimizar el tráfico. |
| Set | Manager/Agente | Cambia un valor actual de un objeto MIB. El Manager deberá tener acceso Write. Este comando es poco frecuente ya que por lo general solo se tiene derecho de Read. |
| Trap | Agent/Manager | Notifica al Manager cuando un evento local ocurre. |
Servicio SNMP en Windows Server
Por defecto, un Windows Server 2008 R2 no tiene habilitada la característica de SNMP.
Podemos añadir los servicios de SNMP como cualquier otra característica del sistema.
Una vez instalada la característica tendremos dos servicios nuevos: Servicio SNMP y Captura SNMP. Por más que el sistema no nos lo indique, si queremos tener acceso a la configuración de los parámetros de SNMP, deberemos reiniciar el servidor.
De forma predeterminada el servicio SNMP está configurado sin nombre de comunidad y responde solamente al host local.
Un nombre de comunidad funciona como una contraseña compartida, generalmente entre varios Agentes y un Manager. Un Agente SNMP acepta peticiones solamente de Managers que comparten nombre de comunidad y que esté habilitado para recibir peticiones de otros hosts.
Si bien una configuración de comunidad SNMP es muy simple, cuando hablamos de monitorizar sistemas estamos entrando en un entorno “proactivo” y dentro de lo posible automatizado. Al menos esa sería la idea, sin importar la cantidad de equipos (da igual físicos o virtuales) que gestionemos.
Comenzaremos creando el objeto de Directiva de Grupo o GPO para luego configurarlo con nuestros parámetros de comunidad y, por último, vincularlo al contenedor o contenedores de servidores (Unidades Organizativas).
En un Controlador de Dominio, dentro del menú herramientas administrativas, tenemos la consola Administración de directivas de grupo.
Cuando abrimos la consola podremos ver una estructura jerárquica que comienza con el Bosque, para continuar con los dominios y luego los contenedores que cuelgan de cada dominio.
Hay un contenedor que se llama Objetos de directiva de grupo. Haremos clic sobre él y veremos todos nuestros objetos de Directivas de grupo. Haremos clic sobre el propio contenedor y seleccionamos Nuevo.
Comenzaremos creando el objeto de Directiva de Grupo o GPO para luego configurarlo con nuestros parámetros de comunidad y, por último, vincularlo al contenedor o contenedores de servidores (Unidades Organizativas).
En un Controlador de Dominio, dentro del menú herramientas administrativas, tenemos la consola Administración de directivas de grupo.
Cuando abrimos la consola podremos ver una estructura jerárquica que comienza con el Bosque, para continuar con los dominios y luego los contenedores que cuelgan de cada dominio.
Hay un contenedor que se llama Objetos de directiva de grupo. Haremos clic sobre él y veremos todos nuestros objetos de Directivas de grupo. Haremos clic sobre el propio contenedor y seleccionamos Nuevo.
Podremos ver la ventana de creación de un nuevo GPO al cual deberemos asignarle un nombre. En nuestro caso le llamaremos “Configuración SNMP Servidores” (muy original por cierto ;).
Las configuraciones de SNMP son a nivel de equipo. Los objetos GPO se dividen entre configuraciones de Equipo y Configuraciones de usuario. Como sabemos que este GPO únicamente va a aplicar configuraciones a nivel de equipo, podemos optimizar el proceso de aplicación de GPO deshabilitando en este caso la configuración de usuario del objeto GPO.
Para ello hacemos clic con el segundo botón sobre el objeto GPO que acabamos de configurar y, dentro de la opción Estado de GPO, marcamos Configuración de usuario deshabilitada.
Ahora debemos configurar las opciones SNMP del objeto GPO. Hacemos clic con el segundo botón sobre el objeto GPO que acabamos de crear y seleccionamos Editar.
Se nos abrirá el panel de configuración del objeto GPO.
Dentro del panel de configuración abrimos: Configuración del equipo\Directivas\Plantillas administrativas\Red\SNMP.
Para ello hacemos clic con el segundo botón sobre el objeto GPO que acabamos de configurar y, dentro de la opción Estado de GPO, marcamos Configuración de usuario deshabilitada.
Ahora debemos configurar las opciones SNMP del objeto GPO. Hacemos clic con el segundo botón sobre el objeto GPO que acabamos de crear y seleccionamos Editar.
Se nos abrirá el panel de configuración del objeto GPO.
Dentro del panel de configuración abrimos: Configuración del equipo\Directivas\Plantillas administrativas\Red\SNMP.
Según podemos observar tenemos tres opciones de configuración: Comunidades, Administradores y Capturas.
Hacemos clic sobre Comunidades, clic en editar y añadimos nuestra comunidad. La mayoría de sistemas de monitorización utilizan el nombre de comunidad por defecto “Public” pero probablemente no sea una buena idea por cuestiones de seguridad. En nuestro ejemplo hemos puesto CNL-SNMP aunque deberíais utilizar vuestro nombre de comunidad como si de una clave compartida se tratase.
Hacemos clic sobre Comunidades, clic en editar y añadimos nuestra comunidad. La mayoría de sistemas de monitorización utilizan el nombre de comunidad por defecto “Public” pero probablemente no sea una buena idea por cuestiones de seguridad. En nuestro ejemplo hemos puesto CNL-SNMP aunque deberíais utilizar vuestro nombre de comunidad como si de una clave compartida se tratase.
Si hacemos clic en Valor siguiente podremos configurar los administradores.
En este caso la traducción al castellano nos traiciona ya que más que administradores, se trata del sistema de monitorización que hará consultas SNMP a nuestro sistema Windows.
Podremos ingresar tanto el nombre fqdn o bien la dirección IP del sistema de monitorización.
En este caso la traducción al castellano nos traiciona ya que más que administradores, se trata del sistema de monitorización que hará consultas SNMP a nuestro sistema Windows.
Podremos ingresar tanto el nombre fqdn o bien la dirección IP del sistema de monitorización.
Y por último configuraremos las Capturas para comunidades públicas. Aquí configuramos lo mismo que en la ventana anterior ya que se trata de envíos de traps SNMP por parte del host (nuestro sistema Windows) hacia nuestro manager SNMP que no es otro que el sistema de monitorización.
Ya para finalizar cerramos la ventana de configuración del objeto GPO y vinculamos el objeto GPO a la o las Unidades Organizativas en donde tengamos nuestros servidores que queremos monitorizar utilizando el protocolo SNMP.
Ya para finalizar cerramos la ventana de configuración del objeto GPO y vinculamos el objeto GPO a la o las Unidades Organizativas en donde tengamos nuestros servidores que queremos monitorizar utilizando el protocolo SNMP.
No hay comentarios :
Publicar un comentario