X10-0251910.pdf

Contenido

Introducción 1

Lección: Recursos para la solución de problemas de acceso a la red 2

Lección: Solución de problemas de autenticación de LAN 16

Lección: Solución de problemas de acceso remoto 29

Demostración: Supervisión del acceso remoto mediante IAS 35

Demostración: Análisis de archivos de registro de autenticación y administración de cuentas de IAS 36

Demostración: Creación y comprobación de conexiones VPN salientes 47

Práctica A: Solución de problemas de acceso a la red 54

Módulo 10: Solución de problemas de acceso a la red

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web en Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 10: Solución de problemas de acceso a la red iii

Notas para el instructor Este módulo proporciona a los alumnos una introducción a la solución de problemas de acceso a la red. Los alumnos aprenderán los procesos y las herramientas que se utilizan para solucionar problemas de una infraestructura de red de Microsoft® Windows Server� 2003.

Después de completar este módulo, los alumnos podrán:

! Identificar recursos para solucionar problemas de acceso a la red. ! Explicar cómo solucionar problemas de autenticación de red de área local

(LAN). ! Explicar cómo solucionar problemas de acceso remoto.

Para impartir este módulo, necesitará el material siguiente:

! El archivo 2191A_10.ppt de PowerPoint® ! Archivos multimedia:

• Supervisión del acceso remoto mediante IAS

• Creación y comprobación de conexiones VPN salientes

Se recomienda utilizar PowerPoint 2002 o una versión posterior para mostrar las diapositivas de este curso. Si utiliza PowerPoint Viewer o una versión anterior de PowerPoint, puede que no se muestren correctamente todas las características de las diapositivas.

Para preparar este módulo, debe:

! Leer todo el material relacionado. ! Completar los ejercicios prácticos y la práctica, y revisar las respuestas de esta. ! Observar las presentaciones multimedia. ! Revisar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 60 minutos Práctica: 30 minutos

Material necesario

Importante

Tareas de preparación

iv Módulo 10: Solución de problemas de acceso a la red

Recomendaciones para impartir este módulo Este módulo no enseñará a los alumnos cómo solucionar problemas. Se espera que ya cuenten con conocimientos básicos sobre la solución de problemas. Deben saber leer un diagrama de flujo de procesos simple. También deben conocer el uso de un proceso sistemático para identificar una causa posible y, a continuación, analizar los datos para determinar una posible solución al problema.

Puesto que la solución de problemas es un tema complejo, resulta difícil impartir unos conocimientos tan amplios en un curso de cinco días. Este módulo ofrece algunos diagramas Microsoft Visio® que los alumnos pueden utilizar como ayuda para solucionar los problemas de acceso a la red. En estos diagramas se presentan muchas herramientas para la solución de problemas.

Los alumnos recibirán listas de recursos adicionales que pueden utilizar para obtener más información sobre el problema.

Directrices, ejercicios prácticos y prácticas Las páginas de directrices proporcionan decisiones clave sobre el tema tratado en la lección. Utilice estas directrices para reforzar el contenido y los objetivos de la lección.

Una vez tratado el contenido del tema y realizadas las demostraciones de los procedimientos de la lección, explique que un ejercicio práctico permitirá a los alumnos adquirir experiencia práctica en las tareas tratadas en la lección.

Al final de cada módulo, gracias a la práctica los alumnos pueden ejercitarse en las tareas que se explican y se aplican en todo el módulo.

Mediante situaciones relacionadas con la función de trabajo, la práctica proporciona a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo: Crear un grupo). La columna de la derecha contiene instrucciones específicas necesarias para que los alumnos puedan realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory, haga doble clic en el nodo del dominio).

En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada práctica, por si los alumnos necesitan instrucciones paso a paso para completarla. También pueden consultar los ejercicios prácticos y las páginas de instrucciones del módulo.

Páginas de directrices

Ejercicios prácticos

Prácticas

Módulo 10: Solución de problemas de acceso a la red v

Lección: Recursos para la solución de problemas de acceso a la red En este módulo se explica el concepto de acceso a la red y de qué manera se relaciona con el planeamiento de una infraestructura de red de Windows Server 2003. En lugar de tratar el acceso remoto como concepto independiente, en este módulo se agrupa la red LAN, las redes privadas virtuales (VPN) el acceso inalámbrico y telefónico bajo el concepto de acceso de red. En este módulo los alumnos planearán una estrategia completa de acceso a la red.

Revise los registros que se presentan en las páginas y explique cómo pueden utilizarse para solucionar problemas de acceso a la red. Emplee más tiempo en los registros con los que crea que los alumnos estarán menos familiarizados.

Explique a los alumnos cómo pueden utilizar el registro de sucesos para solucionar problemas de acceso a la red.

Revise las herramientas que se presentan en este tema y, si tiene tiempo, lleve a cabo una demostración rápida de una de las herramientas para explicar cómo los alumnos pueden utilizarla para analizar el acceso a la red.

Explique que el proceso de las diapositivas no es completo. En las diapositivas se presenta un flujo de procesos simplificado que proporciona una introducción para los alumnos que no están familiarizados con los procesos de solución de problemas. Revise el proceso que se encuentra en la página del tema.

Explique que el proceso de las diapositivas no es completo. En las diapositivas se presenta un flujo de proceso simplificado que proporciona una introducción para los alumnos que no están familiarizados con las fases de solución de problemas. Revise el proceso que se encuentra en la página del tema.

Ejercicio práctico: Identificación de recursos para solucionar problemas de acceso a la red

En este ejercicio práctico se ofrece a los alumnos la oportunidad de intentar seleccionar un método de conexión de acceso a la red.

Lección: Solución de problemas de autenticación de LAN Revise las causas comunes de los errores de autenticación de LAN.

Revise la auditoría de sucesos de inicio de sesión por cuenta y la auditoría de sucesos de inicio de sesión.

Revise la auditoría de sucesos de inicio de sesión por cuenta más comunes que aparecen enumerados en esta página.

Revise la auditoría de sucesos de inicio de sesión más comunes que aparecen enumerados en la página.

Se trata de unas directrices de alto nivel. Proporcione más información detallada para cada una de ellas.

Registros de acceso a la red

Sucesos de acceso a la red

Herramientas de acceso a la red

Proceso para solucionar problemas de recursos para las conexiones LAN

Proceso para solucionar problemas de recursos para las conexiones remotas

Causas de los errores de autenticación de LAN

Registro de sucesos de seguridad

Auditoría de sucesos de inicio de sesión de cuenta Auditoría de sucesos de inicio de sesión

Directrices para solucionar problemas de acceso a LAN

vi Módulo 10: Solución de problemas de acceso a la red

Ejercicio práctico: Solución de problemas para tener acceso a la red LAN

En este ejercicio práctico se ofrece a los alumnos la oportunidad de probar sus conocimientos sobre cómo seleccionar un método de conexión de acceso a red.

Lección: Solución de problemas de acceso remoto Explique la importancia de asegurarse de que los certificados de usuario y de equipo se hayan validado.

Revise los temas más comunes que surgen a la hora de solucionar problemas de autenticación.

Revise la demostración para asegurarse de que comprende los puntos clave que se presentan. No olvide revisar la página multimedia antes de presentar el medio. En la página multimedia se presentan las cuestiones claves que los alumnos pueden plantear al ver la demostración.

Esta demostración la imparte un instructor. Practique la demostración antes de impartir la clase y preste una atención especial a las áreas que puedan plantear dudas a los alumnos.

Revise los pasos para realizar la conexión PPP y los modos en que se pueden utilizar los registros de PPP para resolver problemas de conexión de cliente.

Revise todos los tipos de conexiones y las acciones que los alumnos deben llevar a cabo para solucionar los problemas de cada tipo de conexión.

Revise el modo en que la versión 2 del protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP v2) proporciona autenticación de usuario. Revise, asimismo, las herramientas que se utilizan para solucionar problemas de un punto de acceso inalámbrico.

Revise los problemas de acceso a VPN y las estrategias para solucionarlos.

Revise la demostración para asegurarse de que comprende los puntos clave que se presentan. No olvide revisar la página multimedia antes de presentar el medio. En la página multimedia se presentan las cuestiones claves que los alumnos pueden plantear al ver la demostración.

Revise el proceso para solucionar problemas de acceso telefónico.

Revise las directrices y explique a los alumnos por qué deben tener en cuenta cada directriz. Asegúrese de que comprenden las consecuencias de no seguir dichas directrices.

Validación de certificado

Autenticación mediante registros de IAS

Demostración: Supervisión del acceso remoto mediante IAS

Demostración: Análisis de archivos de registro de autenticación y administración de cuentas de IAS

Registro de PPP

Conexiones de acceso remoto

Autenticación de acceso inalámbrico

Problemas comunes de VPN

Demostración: Creación y comprobación de conexiones VPN salientes

Proceso para solucionar problemas de acceso telefónico Directrices para solucionar problemas de acceso remoto

Módulo 10: Solución de problemas de acceso a la red vii

Ejercicio práctico: Solución de problemas de autenticación de acceso remoto

En este ejercicio práctico se ofrece a los alumnos la oportunidad de probar sus conocimientos acerca de cómo determinar una estrategia de directiva de acceso remoto.

Práctica A: Solución de problemas de acceso a la red En la práctica se muestra el mismo enfoque que se utiliza en todo el módulo. El escenario del ejercicio 1 muestra un problema. Se muestra a los alumnos el resultado de varias herramientas con las que se puede determinar un problema. Los alumnos deben examinar cuidadosamente la información del resultado de las diferentes herramientas de solución de problemas y detectar la causa probable del problema. En el ejercicio 2 se presenta otro escenario. Los alumnos deben determinar una metodología y seleccionar las herramientas de solución de problemas que pueden proporcionar la información más relevante sobre el problema.

Información de personalización En esta sección se identifican los requisitos de instalación de las prácticas de un módulo y los cambios de configuración que se producen en los equipos de los alumnos durante estas prácticas. Esta información pretende ayudarle a replicar o personalizar el material del curso MOC (Microsoft Official Curriculum).

La práctica de este módulo también depende de la configuración del aula especificada en la sección Información de personalización, al final de la Guía de configuración automatizada del aula del curso 2191A, Planeamiento y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003.

Configuración de las prácticas No existen requisitos de instalación de la práctica que afecten a la replicación o la personalización.

Resultados de las prácticas No hay ningún cambio de configuración de los equipos de los alumnos que afecte a la replicación o la personalización.

Información general de la práctica

Módulo 10: Solución de problemas de acceso a la red 1

Introducción

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******

En este módulo se proporciona información sobre cómo solucionar problemas de acceso a la red de una infraestructura de red de Microsoft® Windows Server� 2003. Existen dos categorías principales de acceso a la red: acceso a redes de área local (LAN) y de acceso remoto. En cada una de estas áreas, se pueden utilizar procedimientos y herramientas que facilitan la resolución de los problemas de acceso.

Después de finalizar este módulo, el alumno podrá:

! Identificar recursos para solucionar problemas de acceso a la red. ! Explicar cómo se solucionan los problemas de autenticación de LAN. ! Explicar cómo solucionar problemas de acceso remoto.

Introducción

Objetivos

2 Módulo 10: Solución de problemas de acceso a la red

Lección: Recursos para la solución de problemas de acceso a la red


En esta lección se explican los diferentes recursos existentes para la solución de problemas de acceso a la red. Además, en la lección se identifican los mejores recursos para la solución de problemas de acceso a la red LAN y de acceso remoto.

Después de finalizar esta lección, el alumno podrá:

! Identificar los registros de solución de problemas de acceso a la red. ! Identificar los sucesos de solución de problemas de acceso a la red. ! Identificar las herramientas de solución de problemas de acceso a la red. ! Explicar el proceso para los recursos de solución de problemas de

conexiones de LAN. ! Explicar el proceso para los recursos de solución de problemas de

conexiones remotas.

Introducción

Objetivos de la lección


Registros de acceso a la red


Puede utilizar varios métodos para conectarse a una red. Muchos de ellos permiten crear y analizar registros y registros de transacciones o actividades para ayudarle a solucionar los problemas cuando se produzcan.

Si utiliza un servidor que ejecuta el servicio Enrutamiento y acceso remoto de Microsoft Windows Server 2003 como servidor de acceso a la red, puede utilizar la autenticación o la contabilidad de Windows. Si la autenticación o la contabilidad de Windows están activadas, puede registrar información de autenticación y administración de cuentas para las conexiones de acceso a la red en archivos de registro locales. Este registro es independiente de los sucesos que se registran por el registro del sistema.

La información de autenticación y administración de cuentas se almacena en un archivo de registro configurable o en archivos que se almacenan en la carpeta raíz_del_sistema\System32\LogFiles (la carpeta que contiene los archivos del sistema de Windows 2000). Los archivos de registro se guardan con formato IAS (Servicio de autenticación de Internet) o con un formato compatible con bases de datos de manera que cualquier programa de bases de datos pueda leerlos directamente para analizarlos. Algunos de los registros también se guardan en formato XML (Lenguaje de marcado extensible).

Puede utilizar la información almacenada en los registros de autenticación y contabilidad de Windows para realizar un seguimiento de la utilización del acceso a la red y de los intentos de autenticación. El registro de autenticación y administración de cuentas es especialmente útil para solucionar problemas de directivas de acceso remoto. Por cada intento de autenticación, se registra el nombre de la directiva de acceso remoto que lo acepta o rechaza.

El registro de PPP (Protocolo Punto a Punto) almacena la serie de funciones de programación y mensajes de control PPP durante una conexión PPP y es una valiosa fuente de información cuando se intenta solucionar un error de conexión PPP. De forma predeterminada, el registro de PPP se almacena como archivo ppp.log en la carpeta raíz_del_sistema\Tracing.

Introducción

Autenticación de Windows o contabilidad de Windows

Registros de PPP


Un servidor que ejecuta el servicio Enrutamiento y acceso remoto puede efectuar el registro de información de autenticación y administración de cuentas para las conexiones de acceso a la red en un servidor RADIUS (Servicio de usuario telefónico de autenticación remota) cuando se habilitan la autenticación y la administración de cuentas de RADIUS. Este registro es independiente de los sucesos que se registran en el registro del sistema. Cuando configure el registro, puede especificar lo siguiente:

! Las solicitudes que se registran. ! El formato del archivo de registro. ! La frecuencia de inicio de nuevos registros. ! La eliminación automática del archivo de registro más antiguo cuando el

disco se llene. ! El lugar en el que se almacenan los archivos de registro. ! La información que contiene el archivo de registro.

Puede utilizar la información registrada en el servidor IAS para realizar un seguimiento del uso del acceso a la red y de los intentos de autenticación. Si el servidor RADIUS está ejecutando IAS, la información de autenticación y administración de cuentas se registra en archivos de registro que se almacenan en el servidor IAS. Utilice un procedimiento simple para habilitar y configurar el registro, de mismo modo que lo haría con un servidor donde se ejecutara el servicio Enrutamiento y acceso remoto.

Puede utilizar la consola IAS para especificar las peticiones que se registran, el formato del archivo de registro, la frecuencia con la que se inician registros nuevos y el lugar en el que se almacenarán los archivos de registro.

Además, puede recopilar esta información desde una ubicación central y puede utilizar IAS para crear archivos de registro basados en las peticiones de autenticación y administración de cuentas recibidas desde los servidores de acceso. Puede simplificar la administración del servicio configurando y utilizando los archivos de registro para realizar un seguimiento de la información de autenticación, como por ejemplo la aceptación y el rechazo de conexión. Puede configurar y utilizar registros para realizar un seguimiento de la información de administración de cuentas (como registros de inicio y de cierre de sesión) para mantener una relación y emplearla en la facturación, por ejemplo.

Puede utilizar la función de registro de auditoría de Windows Server 2003 para supervisar los sucesos relacionados con la seguridad del protocolo de Internet (IPSec). Esta función es el modo más rápido y fácil de solucionar problemas de conexiones del protocolo de túnel de capa dos (L2TP)/IPSec. También puede habilitar el registro Oakley para registrar todas las negociaciones de modo rápido o modo principal del protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP).

Registros de IAS

Registro de auditoría y Oakley


Algunos escenarios IPSec pueden requerir un análisis más detallado de las negociaciones de modo rápido y de las negociaciones de modo principal IKE (Intercambio de claves de Internet) para la solución de problemas. Puede habilitar el seguimiento para las negociaciones IKE en el caso de que los sucesos de error de la auditoría no ofrezcan suficiente información. El registro de seguimiento IKE es un registro detallado destinado a solucionar problemas de interoperabilidad de IKE en circunstancias controladas. Es necesario tener conocimientos específicos RFC 2408 de ISAKMP y de RFC 2409 de IKE para interpretar este archivo de registro.

El registro de seguimiento IKE se encuentra en el archivo raíz_del_sistema\Debug\Oakley.log. El registro tiene un tamaño fijo de 50.000 líneas y se sobrescribirá según convenga. Cada vez que se inicia el servicio IPSec se crea un archivos Oakley.log nuevo y la versión anterior de dicho archivo se guarda como Oakley.log.sav. Una vez lleno el archivo Oakley.log, el archivo actual se guarda como Oakley.log.bak y se crea un nuevo archivo Oakley.log.

Puesto que es posible que se produzcan muchas negociaciones IKE simultáneamente, debe reducir el número de negociaciones y limitar al máximo el tiempo de duración del registro para obtener un archivo que pueda interpretarse más fácilmente.

Registro de seguimiento IKE


Sucesos de acceso a la red


El registro de sucesos se crea al registrar los sucesos en varios archivos de registro de sucesos de Windows Server 2003. El registro de sucesos suele utilizarse para solucionar problemas o para notificar a los administradores de la red la existencia de sucesos poco habituales. Los registros de sucesos son un primer recurso excelente para comprobar la existencia de problemas de acceso a la red, ya que muchos servicios registran sus errores y advertencias en ellos.

Al utilizar la directiva de grupo para habilitar la auditoría de sucesos de inicio de sesión, puede aplicar la directiva en la unidad organizativa de los controladores de dominio para asegurarse de que todos registren estos sucesos. Para sucesos de inicio de sesión de estaciones de trabajo individuales, puede establecer una directiva de grupo local para registrar los sucesos locales de inicio de sesión.

Los registros de sistema contienen información de varios servicios que se ejecutan y registran la información relativa a su estado. Los servicios como el acceso remoto y el inicio de sesión en red pueden registrar errores y advertencias importantes en el registro del sistema para notificar al usuario problemas de acceso determinados.

Puede habilitar el registro de sucesos y seleccionar el nivel de detalle que desea registrar en la ficha Registro de la página Propiedades para un servidor de acceso remoto.

El servicio de inicio de sesión también registra en el registro del sistema errores y advertencias relativas a problemas de acceso a la red. Por ejemplo, si un problema de confianza del dominio no permite que todos los usuarios de un determinado dominio inicien sesión, aparecerá un mensaje de advertencia de inicio de sesión en el registro del sistema que le alertará.

Introducción

Registros de sistema


El registro de sucesos de seguridad puede ser de gran utilidad para solucionar errores de autenticación Kerberos o IPSec. Si se habilita este tipo de registro, podrá ver los errores de inicio de sesión durante una autenticación de usuario, lo que resulta de utilidad para explicar lo que puede haber ocurrido durante el proceso de autenticación y por qué dicho proceso no se ha llevado a cabo correctamente.

Para obtener más información acerca del protocolo Kerberos, consulte el artículo 217098 �Basic Overview of Kerberos User Authentication Protocol in Windows 2000� en la base del conocimiento de Microsoft que se encuentra en http://support.microsoft.com/default.aspx?scid=kb;en-us;217098.

Puede establecer una directiva de grupo para sucesos de inicio de sesión de cuenta y de auditoría para recopilar información sobre la autenticación Kerberos.

Para obtener más información sobre la solución de problemas de Kerberos, consulte el artículo 326985, �Troubleshoot Kerberos-Related Issues in IIS� en la base del conocimiento de Microsoft que se encuentra en http://support.microsoft.com/default.aspx?scid=kb;en-us;326985.

Los sucesos IKE de IPSec (negociación correcta y con errores) también pueden registrarse en el registro de seguridad.

Para obtener información adicional acerca del registro de sucesos IKE de IPSec, busque �DisableIKEAudits� en los archivos de la Ayuda de Windows Server 2003.

Si habilita la auditoría de acciones correctas o errores en la directiva de auditoría Auditar sucesos de inicio de sesión, IPSec registra la acción correcta o el error de cada negociación de modo principal y modo rápido, así como el establecimiento y terminación de cada negociación como sucesos independientes. No obstante, al habilitar este tipo de auditoría, el registro de seguridad puede llenarse de sucesos IKE. Por ejemplo, en los servidores que están conectados a Internet, los ataques al protocolo IKE pueden provocar que el registro de seguridad se llene de sucesos IKE. Los sucesos IKE también pueden llenar el registro de seguridad de los servidores que emplean IPSec para proteger el tráfico destinado a diversos clientes. Para evitar que el registro se llene de sucesos IKE, puede deshabilitar la auditoría de sucesos IKE en el registro de seguridad si modifica la opción de registro DisableIKEAudits.

Si modifica incorrectamente el registro, se puede dañar gravemente el sistema. Antes de efectuar cambios en el registro, debe hacer una copia de seguridad de toda la información valiosa del equipo.

Como norma general, no registre sucesos IKE de IPSec de forma ininterrumpida, puesto que, de este modo, se pueden registrar grandes volúmenes de datos. Es recomendable desactivar el registro cuando haya terminado de solucionar los problemas.

Registros de seguridad

Nota

Nota

Sucesos IKE de IPSec

Nota

Precaución

Advertencia


Herramientas de acceso a la red


Puede utilizar varias herramientas, además del registro y los sucesos, para solucionar problemas de acceso a la red.

Puede utilizar las funciones de diagnóstico de acceso remoto que se encuentran disponibles en la familia de Windows Server 2003 para recopilar registros e información detallados acerca de una conexión de acceso remoto. Puede ejecutar diagnósticos específicos introduciendo el comando netsh ras diag en la línea de comandos.

Para visualizar la sintaxis del comando, ejecute netsh ras diag desde la línea de comandos y visualice los comandos disponibles o consulte los archivos de la Ayuda de Windows Server 2003 para obtener más información.

El monitor de red (o cualquier analizador de paquetes) puede capturar el tráfico de la red entre un cliente de red y el servidor de acceso a la red. Al analizar el tráfico de acceso a la red, puede encontrar las respuestas a los problemas de acceso a la red, así como soluciones posibles.

Para interpretar adecuadamente el tráfico de la red con el monitor de red, es necesario tener conocimientos detallados de los protocolos de red. Puede guardar los archivos capturados del monitor de red y enviarlos a un experto en protocolos para que los analice.

La utilidad Dominios de red (Netdom) es una solución de línea de comandos que permite al administrador comprobar los servidores y establecer y/o restablecer las relaciones de confianza.

Introducción

Diagnósticos de acceso remoto

Nota

Monitor de red

Netdom


Kerbtray.exe es una utilidad muy práctica para solucionar problemas de Kerberos. Esta forma parte del kit de recursos de Microsoft Windows 2000. Mediante Kerbtray, puede ver los vales Kerberos que se han concedido fuera de la caché local. Puede descargar la utilidad Kerbtray en http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ kerbtray-o.asp

Para obtener más información sobre Kerbtray y consejos para solucionar problemas de Kerberos, consulte el artículo �Authentication for Administrative Authority� que se encuentra en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bestprac/authent.asp.

El monitor de seguridad IP es una herramienta que se utiliza para solucionar problemas avanzados de IPSec. Permite visualizar los detalles sobre una directiva IPSec activa que se aplica localmente o a un dominio; así como estadísticas asociadas con el proceso de intercambio de claves.

Además de las utilidades específicas de acceso a red, también puede utilizar las herramientas estándar para solucionar problemas de red, como por ejemplo ipconfig, ping, pathping, traceroute, etc.

Kerbtray

Nota

Monitor de seguridad IP

Utilidades estándar para solucionar problemas de red


Proceso para solucionar problemas de recursos para las conexiones LAN


Como en cualquier actividad relativa a la solución de problemas, debe disponer de un proceso definido que seguirá al solucionar los problemas de acceso a la red. Una vez que haya definido el proceso, debe definir los recursos que utilizará para determinar y resolver los problemas de conexión LAN.

Es importante recordar que, en primer lugar, debe recopilar información más general y, a continuación, debe recopilar información más específica de forma progresiva según convenga para solucionar el problema. Con frecuencia, puede solucionar problemas examinando la información del registro de sucesos que ha sido más fácil de recopilar y que es de carácter más general. Una vez que haya determinado que un usuario no puede iniciar una sesión, debe llevar a cabo los pasos siguientes para solucionar los problemas de conexión LAN:

! Compruebe que se ha completado el proceso estándar de solución de problemas de red.

! Determine si el problema es general o sólo afecta a un usuario. ! Visualice los registros del sistema adecuados. ! Si los registros del sistema no ofrecen información suficiente, recopile más

información mediante los registros y sucesos del equipo local. ! Una vez que haya identificado el problema, utilice las herramientas

adecuadas para solucionarlo.

Siempre debe comprobar primero si los registros del visor de sucesos contienen información relevante relacionada con el intento de conexión. Si ha habilitado la auditoría de sucesos de inicio de sesión y de sucesos de inicio de sesión de cuenta, podrá recopilar información relevante en el caso de que tenga problemas con Kerberos. Esta información también puede resultarle de utilidad para identificar los problemas relacionados con IPSec.

Introducción

Proceso

Registros del visor de sucesos


Si es necesario, recopile información más detallada relacionada con el problema. Por ejemplo, si le parece que el problema tiene que ver con Kerberos y todavía necesita más información, le puede ser de utilidad la información de Kerbtray para definir el problema.

Si la autenticación RADIUS se utiliza para la conexión, podrá utilizar los registros de RADIUS. Estos pueden contener información importante relativa al problema.

Si no puede identificar el problema mediante otros métodos, debe visualizar la propia interacción del protocolo, que puede analizarse mediante el monitor de red u otro analizador de protocolos. Sin embargo, esta información sólo resulta de utilidad si es un experto en el protocolo que se está analizando; así que es posible que necesite a un técnico para que le ayude con el análisis.

Kerbtray

Registros de RADIUS

Monitor de red


Proceso para solucionar problemas de recursos para las conexiones remotas


Una vez que haya definido el proceso para solucionar problemas de conexiones remotas, debe seleccionar los recursos que utilizará para ello.

El proceso para solucionar problemas de acceso remoto es similar al que se utiliza para solucionar problemas de acceso a LAN, pero la diferencia principal es que es más probable que dicho problema se encuentre en el equipo cliente. Una vez que haya identificado que un usuario no puede iniciar una sesión, debe llevar a cabo los pasos siguientes para solucionar los problemas de la conexión remota:

! Compruebe que se ha completado el proceso estándar de solución de problemas de red.

! Determine si el problema es general o sólo afecta a un usuario. ! Visualice los registros del servicio Enrutamiento y acceso remoto para

identificar el problema. ! Si los registros del sistema no ofrecen información suficiente, recopile más

información mediante los registros y sucesos del equipo local. ! Una vez que haya identificado el problema, utilice las herramientas

adecuadas para solucionarlo.

Si utiliza un servidor que ejecuta el servicio Enrutamiento y acceso remoto como servidor de acceso a la red y se ha habilitado el registro de sucesos, podrá encontrar pistas acerca del problema del acceso remoto en el registro de sucesos. Algunos problemas requerirán que lleve a cabo una acción inmediata. Otros deberá analizarlos con detenimiento.

Introducción

Proceso

Registro de sucesos


Si utiliza un servidor que ejecuta el servicio Enrutamiento y acceso remoto como servidor de acceso a la red, también puede recopilar más información en los registros de contabilidad y autenticación de Windows o en los registros de autorización y administración de cuentas de RADIUS.

Si se necesitan más detalles, resultará de utilidad en esta fase los diagnósticos de acceso remoto de la herramienta de línea de comandos: Netsh.

Puede recopilar información detallada adicional de los registros configurables, como los registros de PPP o el registro Oakley para los problemas de L2TP/IPSec.

Si no puede identificar el problema mediante otros métodos, tendrá que analizar dicho problema en el nivel de protocolo, lo cual implica que debe ser un experto en los protocolos. El monitor de red permite capturar la información que necesitará para analizar los protocolos.

Registros de contabilidad y autenticación de Windows

Netsh

Otros registros

Monitor de red


Ejercicio práctico: Identificación de recursos para solucionar problemas de acceso a la red


En este ejercicio práctico, identificará los recursos y los procesos para solucionar problemas de acceso a la red.

El objetivo de este ejercicio práctico es identificar los recursos para solucionar problemas de acceso a la red.

1. Lea el escenario. 2. Prepárese para tratar los retos que implica esta tarea en un debate posterior

al ejercicio práctico.

La empresa Contoso Ltda., un proveedor de soluciones de conectividad de red, le ha contratado como consultor. El crecimiento rápido de la empresa ha supuesto una carga excesiva para los técnicos de soporte de red contratados y la empresa tendrá que contratar a técnicos de nivel básico para adaptarse a la creciente demanda. El método actual de la empresa para la solución de problemas de acceso a la red consiste en recopilar y analizar los datos en los registros de seguimiento y en las capturas de paquetes adecuados. Puesto que es posible que el nuevo personal no tenga los conocimientos necesarios para interpretar estos datos, debe aconsejar otros modos para facilitar el proceso de solución de problemas.

Introducción

Objetivo

Instrucciones

Escenario


¿Qué otros métodos y herramientas debe utilizar el personal de soporte técnico para facilitar la solución de los problemas de acceso a la red?

En lugar de empezar con la información detallada que se encuentra en los archivos de seguimiento y en las capturas de paquetes, el personal de soporte técnico debe llegar a dominar perfectamente las tareas de recopilación e interpretación de información de los registros de sucesos y de los registros de administración de cuentas y autenticación que se encuentran en el servidor que ejecuta el servicio Enrutamiento y acceso remoto o en el servidor IAS, en función del proveedor de autenticación que se haya configurado. Si la información que se encuentra en estos registros no permite llegar a una solución, puede recopilar registros más avanzados y compartirlos con los ingenieros de software o el personal de soporte técnico de nivel superior de la empresa, quienes tienen conocimientos específicos sobre los protocolos implicados en el acceso a la red. _______________________________________________________________

_______________________________________________________________

_______________________________________________________________

_______________________________________________________________

Ejercicio práctico


Lección: Solución de problemas de autenticación de LAN


Esta lección se centra en la solución de problemas de autenticación de LAN. Existen varias razones por las que la autenticación de LAN puede convertirse en un problema. En esta lección se identifican los problemas más comunes, así como las herramientas que puede utilizar para resolverlos.


! Identificar las causas de los errores de autenticación de LAN. ! Explicar cómo se utilizan los registros de auditoría para solucionar

problemas de autenticación. ! Identificar sucesos de auditoría de inicio de sesión de cuenta. ! Identificar sucesos de auditoría de inicio de sesión. ! Aplicar las directrices para solucionar problemas de acceso a LAN.

Introducción



Causas de los errores de autenticación de LAN


Los problemas más comunes con la autenticación de LAN son problemas de ruta de confianza y no poder comunicarse con un controlador de dominio.

El hecho de no poder autenticarse en LAN puede deberse a la imposibilidad de conexión con otros recursos de red, como el servidor DHCP, el servidor DNS, etc. La conectividad de red básica con estos recursos debe producirse antes de la autenticación.

Es posible que pueda conectarse a la red, obtener una dirección IP e incluso resolver el nombre del controlador del dominio; sin embargo, en función del protocolo de autenticación que se utilice, necesitará comunicarse con un controlador de dominio en algún momento del proceso. Si no puede llegar al controlador de dominio, es posible que la autenticación no pueda llevarse a cabo.

Si existen problemas con los dispositivos físicos, no podrá conectarse mediante ningún método. Debe utilizar el proceso estándar de solución de problemas de red para garantizar la conectividad de red entre clientes, los recursos de red y los controladores de dominio.

Una ruta de confianza se define por una serie de vínculos de confianza establecidos entre dominios para pasar solicitudes de autenticación. El servicio Inicio de sesión de red implementa las rutas de confianza a través de una conexión autenticada de llamada a procedimiento remoto (RPC) con la autoridad del dominio de confianza; es decir, el controlador de dominio.

Si se hace referencia a la solicitud de autenticación, se calcula la ruta para la autenticación de paso NTLM o para una referencia Kerberos mediante la información acerca de las relaciones de confianza de acceso directo actual y de árbol para encontrar la ruta al dominio de destino.

Introducción

Sin conectividad con los recursos de redes

Imposible llegar al controlador de dominio

Problemas con dispositivos físicos

¿Qué es una ruta de confianza?

Rutas de confianza para NTLM y Kerberos


Para obtener información adicional acerca de las rutas de confianza para NTLM y Kerberos, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet /prodtechnol/windows2000serv/maintain/kerberos.asp.

En el cálculo de esta ruta, las relaciones de confianza de acceso directo tienen la función de pasar por alto los dominios superiores de la jerarquía. En cada nivel del árbol, se comprueban las relaciones de confianza de acceso directo que pueden existir. Si se encuentra una que hace referencia al dominio de destino, no será necesario comprobar el siguiente dominio del árbol.

! NTLM Si utiliza el protocolo NTLM, el servidor debe ponerse en contacto con un servicio de autenticación de dominios de un controlador de dominio para comprobar las credenciales del cliente. Los servidores autentican a los clientes reenviando las credenciales de estos a un controlador de dominio del dominio de la cuenta del cliente.

! Kerberos Si utiliza el protocolo Kerberos, el servidor no se pondrá en contacto con el controlador de dominio. Para conseguir un vale, el cliente lo solicita al controlador de dominio del dominio de la cuenta del servidor y el servidor valida dicho vale sin consultárselo a ninguna otra autoridad.

En la tabla siguiente se proporciona una lista de los errores comunes que puede encontrar mientras soluciona problemas de conexiones LAN. Encontrará estos y otros errores en el registro del sistema.

Número de error Descripción Sugerencias para la solución Error 0x6 No se encuentra

el nombre del cliente (entidad principal desconocida).

Si encuentra este error, debe comprobar si el nombre se encuentra en el servicio de directorio Active Directory®. En caso afirmativo, compruebe si la cuenta ha caducado. Es posible que un usuario quede bloqueado de forma repentina mientras está conectado a una sesión.

Error 0x7 No se encuentra el nombre del servidor (entidad principal desconocida).

Si encuentra este error, debe comprobar si el nombre se encuentra en Active Directory. En caso afirmativo, compruebe si la cuenta ha caducado. Es posible que un usuario quede bloqueado de forma repentina mientras está conectado a una sesión.

Error 0x17 La contraseña ha caducado; debe cambiarla para restablecerla.

Si se almacena en la caché un vale y caduca o se modifica la contraseña del usuario, es posible que existan conflictos entre credenciales.

El usuario tendrá que cerrar la sesión y volver a iniciarla para que las credenciales coincidan.

Error 0x1F Error al comprobar la integridad en el archivo descifrado.

Es probable que el cliente haya recibido la dirección incorrecta del servidor que estaba buscando. El lugar donde se debe empezar a buscar un problema es DNS o el sistema que se esté utilizando para la resolución de nombres.

Nota

Errores comunes


(continuación) Número de error Descripción Sugerencias para la solución Error 0x29 Secuencia de mensajes

modificada. Es probable que el cliente haya recibido la dirección incorrecta del servidor que estaba buscando. El lugar donde se debe empezar a buscar un problema es DNS o el sistema que se esté utilizando para la resolución de nombres.

Error 0x20 El vale ha caducado. Cuanto menor sea el valor de �Vigencia máxima del vale de servicio�, más veces aparecerá este error.

Error 0x25 La solicitud de sesión es una reproducción.

Este error indica que un autenticador específico ha aparecido dos veces. La causa puede ser que un atacante intente reproducir una sesión o que simplemente la tarjeta de red sea defectuosa.

Error 0x25 La desviación del reloj es demasiado amplia.

Aunque este error aparezca en los registros, no evitará que se realice la autenticación de los usuarios. Suponiendo que las credenciales del usuario son válidas, la autenticación del usuario se llevará a cabo en el segundo intento.


Registro de sucesos de seguridad


El registro de sucesos de seguridad puede resultar de gran ayuda para solucionar errores de autenticación de Kerberos y NTLM. Una vez habilitado el registro de sucesos de seguridad, podrá ver los errores de inicio de sesión generados durante la autenticación de usuarios. Esta información le permitirá comprender mejor lo que puede ocurrir durante el proceso de autenticación y por qué se producen errores en este.

Dos categorías de auditoría de directiva de grupo son particularmente útiles para solucionar problemas de autenticación de LAN: Auditoria de sucesos de inicio de sesión de cuenta y auditoría de sucesos de inicio de sesión.

La definición de la configuración de directiva permite especificar si deben auditarse los aciertos y los errores o no auditar en absoluto el tipo de suceso. Las auditorías de aciertos generan una entrada de auditoría cuando se lleva a cabo correctamente un inicio de sesión de cuenta. Las auditorías de errores generan una entrada de auditoría cuando no se lleva a cabo correctamente un inicio de sesión de cuenta.

Puede establecer este valor en el cuadro de diálogo Propiedades para esta configuración de directiva. Debe seleccionar la casilla de verificación Definir esta configuración de directiva y desactivar las casillas de verificación Correcto y Error. El valor predeterminado es Correcto.

Si se ha habilitado la auditoría de aciertos para sucesos de inicio de sesión de cuenta en un controlador de dominio, se registra una entrada para cada usuario que se haya validado con dicho controlador de dominio aunque dicho usuario inicie la sesión realmente en una estación de trabajo asociada al dominio.

Introducción

Definición de configuración de directiva


La configuración de seguridad de la auditoría de sucesos de inicio de sesión de cuenta determina si debe auditarse cada una de las instancias de un inicio o cierre de sesión de usuario desde otro equipo en el que se utilice el controlador de dominio para validar la cuenta. Los sucesos de inicio de sesión de cuenta se generan cuando se autentica una cuenta de usuario de dominio en un controlador de dominio. El suceso se registra en el registro de seguridad del controlador de dominio.

Si define esta configuración de directiva, puede especificar si debe auditarse los aciertos o los errores para auditar o no auditar en absoluto. Las auditorías de aciertos generan una entrada de auditoría cuando se lleva a cabo correctamente un inicio de sesión de cuenta. Las auditorías de errores generan una entrada de auditoría cuando no se lleva a cabo correctamente un inicio de sesión de cuenta.

Esta configuración de seguridad determina si debe auditarse cada una de las instancias de inicio o de cierre de sesión de un usuario desde otro equipo. Los sucesos de inicio de sesión se generan cuando se autentica un usuario local en un equipo local. El suceso se registra en el registro de seguridad local.

Si define esta configuración de directiva, puede especificar si debe auditarse los aciertos o los errores para auditar o no auditar en absoluto. Las auditorías de aciertos generan una entrada de auditoría cuando se inicia una sesión correctamente. Las auditorías de errores generan una entrada de auditoría cuando no se inicia una sesión correctamente.

Auditoría de sucesos de inicio de sesión de cuenta

Auditoría de sucesos de inicio de sesión




Al examinar una auditoría de sucesos de inicio de sesión de cuenta, encontrará sucesos que describen el problema de seguridad que puede estar teniendo.

En la tabla siguiente aparece una lista de los Id. de suceso y la descripción de cada uno de ellos.

Id. de suceso Descripción 672 Se ha emitido y validado correctamente un vale de sistemas autónomos

(AS) de servicio de autenticación.

673 Se ha otorgado un vale del servicio de generación de vales TGS (servicio para otorgar vales).

674 Una entidad principal de seguridad ha renovado un vale AS o un vale TGS.

675 Error de preautenticación. Este suceso se genera en un centro de distribución de claves (KDC) cuando un usuario introduce una contraseña incorrecta.

678 Se ha asignado correctamente una cuenta a una cuenta de dominio.

682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla.

Para obtener más información acerca de cada uno de los ID. de suceso, consulte el artículo Q326985 �How to Troubleshoot Kerberos-Related Issues in IIS� que se encuentra en la base del conocimiento de Microsoft en http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b326985.

Introducción


Nota


Auditoría de sucesos de inicio de sesión


La configuración de seguridad de la auditoría de sucesos de inicio de sesión determina si debe auditarse cada una de las instancias de un usuario que inicia o cierra sesión desde un equipo.

En la tabla siguiente se ofrece una breve descripción de cada uno de los Id. de sucesos. Los tres sucesos que se producen con más frecuencia son los números de Id. de suceso 528, 529 y 540.

Id. de suceso Descripción 528 Un usuario ha iniciado correctamente una sesión en un equipo. 529 Error de inicio de sesión. Se ha intentado iniciar una sesión con un

nombre de usuario desconocido o con un nombre de usuario conocido con una contraseña no válida.

530 Error de inicio de sesión. Un usuario ha intentado iniciar una sesión fuera del tiempo permitido.

531 Error de inicio de sesión. Se ha intentado iniciar una sesión mediante una cuenta deshabilitada.

532 Error de inicio de sesión. Se ha intentado iniciar una sesión mediante una cuenta caducada.

533 Error de inicio de sesión. Un usuario al que no se le permite iniciar una sesión en este equipo ha intentado iniciar una sesión.

534 Error de inicio de sesión. El usuario ha intentado iniciar una sesión con un tipo no permitido.

535 Error de inicio de sesión. La contraseña de la cuenta especificada ha caducado.

Introducción

Sucesos de inicio de sesión de cuenta comunes


(continuación) Id. de suceso Descripción 536 Error de inicio de sesión. El servicio de inicio de sesión de red no se

encuentra activo. 537 Error de inicio de sesión. Error al intentar iniciar una sesión debido a

otros motivos. Nota: en algunos casos, es posible que no se determine cuál es el motivo del error de inicio de sesión.

538 El proceso de cierre de sesión se ha completado para un usuario. 539 Error de inicio de sesión. La cuenta estaba bloqueada cuando se intentó

iniciar una sesión. 540 Un usuario ha iniciado correctamente una sesión en la red. 541 Se ha completado la autenticación IKE de modo principal entre el equipo

local y la identidad del homólogo listada (se establece una asociación de seguridad), o bien el modo rápido ha establecido un canal de datos.

542 El canal de datos se ha interrumpido. 543 El modo principal se ha interrumpido.

Nota: esta interrupción puede ocurrir debido a la caducidad del límite temporal de la asociación de seguridad (el valor predeterminado es ocho horas), a cambios de directivas o a la interrupción del homólogo.

544 Error de autenticación de modo principal debida a que el homólogo no ha proporcionado un certificado válido o a que la firma no se ha validado.

545 Error de autenticación de modo principal debido a un error de Kerberos o a una contraseña no válida.

546 Error de establecimiento de asociación de seguridad IKE debido a que el homólogo ha enviado una propuesta no válida. Se ha recibido un paquete que contiene datos no válidos.

547 Error durante el protocolo de enlace IKE. 548 Error de inicio de sesión. El Id. de seguridad (SID) de un dominio de

confianza no coincide con el SID del dominio de la cuenta del cliente. 549 Error de inicio de sesión. Se han filtrado todos los SID que corresponden

a espacios de nombre que no son de confianza mientras se realizaba una autenticación entre bosques.

550 Mensaje de notificación que puede indicar un posible ataque de denegación de servicio.

551 Un usuario ha iniciado el proceso de cierre de sesión. 552 Un usuario ha iniciado una sesión en un equipo correctamente mediante

credenciales explícitas mientras ya había iniciado sesión como un usuario diferente.

682 Un usuario se ha vuelto a conectar a una sesión de Terminal Server desconectada.

683 Un usuario se ha desconectado de una sesión de Terminal Server sin cerrarla. Nota: este suceso se genera cuando un usuario se conecta a una sesión de Terminal Server en la red. Aparece en el Terminal Server.


Para obtener información detallada sobre los sucesos más habituales, consulte el artículo Q326985 �How to Troubleshoot Kerberos-Related Issues with IIS� que se encuentra en la base del conocimiento de Microsoft en http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b326985.

Nota


Directrices para solucionar problemas de acceso a LAN


Solucionar los problemas de acceso a LAN puede ser una tarea desalentadora. Además de identificar las herramientas adecuadas, debe definir un proceso. Las directrices siguientes le ayudarán a determinar la mejor metodología de solución de problemas para la empresa.

Utilice el proceso siguiente a la hora de solucionar problemas de acceso a LAN:

! Identificar los síntomas del problema Debe comprobar los síntomas del problema con el cliente. También debe evaluar los recursos de red para asegurarse de que el problema no está relacionado con el hardware.

! Seleccionar los recursos que deben utilizarse Seleccione los recursos adecuados basándose en los síntomas del problema. Una vez que haya seleccionado los recursos, debe habilitar la auditoría de los sucesos de inicio de sesión y de los sucesos de inicio de sesión de cuenta.

! Aislar el problema Una vez que haya seleccionado los recursos, debe determinar el mejor modo de utilizarlos para aislar el problema.

Como ayuda a largo plazo para solucionar problemas, es recomendable adquirir o crear una aplicación que supervise en el registro de sucesos determinados sucesos y que se lo notifique cuando se produzcan.

Introducción

Sugerencia


Ejercicio práctico: Solución de problemas para tener acceso a la red LAN


En este ejercicio práctico, identificará el proceso para solucionar un problema de autenticación de LAN.

El objetivo de este ejercicio práctico es solucionar un problema de autenticación de LAN.



Suponga que es un ingeniero de sistemas de Contoso Ltda., una gran empresa que ha implementado Active Directory en Windows Server 2003 con tres dominios. La empresa actualmente tiene las oficinas centrales en Zúrich, Suiza, y dispone de tres centros principales en Estados Unidos.

El administrador del sistema en el centro de la empresa situado en San Diego, California, le ha informado de que un usuario no puede iniciar una sesión en el dominio Research. Todavía es muy temprano en San Diego y la mayoría de los trabajadores no se han incorporado a sus lugares de trabajo.

Introducción

Objetivo

Instrucciones

Escenario


¿Cuál sería el plan para solucionar este problema?

En primer lugar, compruebe si el administrador del sistema ha determinado si se trata de un problema aislado o general. Si se trata de un problema aislado, concéntrese en solucionar los problemas en la estación de trabajo. Busque posibles pistas del problema en el registro del sistema y, si es necesario, lleve a cabo los procedimientos estándar para solucionar problemas de red. Si el problema es general, compruebe los registros del sistema de los controladores del dominio Research. Busque errores o advertencias recientes, especialmente del servicio de servicio de inicio de sesión de red. Compruebe si existen problemas de registros en los registros del servidor DNS que pueden afectar a la ubicación del controlador de dominio. También debe investigar otros errores o advertencias de Kerberos, IPSec o LSASrv. LSASrv es el servicio asociado con la autoridad de seguridad local (LSA). La autoridad LSA es subsistema de seguridad responsable de todos los servicios interactivos de autorización y de autenticación del usuario en el equipo local. La autoridad LSA también se usa para procesar las solicitudes de autenticación realizadas a través del protocolo Kerberos v5 o del protocolo NTLM en Active Directory. En función de los problemas que encuentre, deberá aplicar técnicas adicionales de solución de problemas a un problema determinado. La habilitación de los registros de auditoría de inicio de sesión y de inicio de sesión de cuenta puede resultarle de utilidad para recopilar información adicional de inicio de sesión. ________________________________________________________________

________________________________________________________________

________________________________________________________________

________________________________________________________________

Ejercicio práctico


Lección: Solución de problemas de acceso remoto


Si trabaja con un sistema de acceso remoto, muchos de los problemas que encuentre estarán relacionados con componentes que están fuera de su control. Resulta muy útil aprender a identificar el origen de los problemas de acceso remoto. En esta lección se ofrece información sobre la solución de problemas de acceso remoto a una red.


! Explicar cómo solucionar problemas de validación de certificados. ! Explicar cómo solucionar problemas de autenticación utilizando registros

de IAS. ! Explicar cómo solucionar problemas de conexiones utilizando registros

de PPP. ! Explicar cómo solucionar problemas de conexiones de acceso remoto. ! Explicar cómo solucionar problemas de acceso inalámbrico. ! Explicar cómo solucionar problemas comunes de redes privadas virtuales

(VPN). ! Explicar el proceso para solucionar problemas de acceso telefónico. ! Aplicar las directrices para solucionar problemas de acceso remoto.

Introducción



Validación de certificado


En un proceso de autenticación que utiliza un certificado, deben validarse los certificados de usuario y del equipo. Pueden producirse errores al final del proceso de validación.

Si se utiliza el protocolo EAP-TLS (Protocolo de autenticación extensible-Seguridad del nivel de transporte) para la autenticación, el cliente de acceso a la red envía un certificado de usuario y el servidor de autenticación (servidor de acceso remoto o servidor RADIUS) envía un certificado de equipo.

Los certificados también pueden utilizarse para la autenticación durante una fase de negociación IKE de L2TP/IPSec IKE, durante la cual el cliente y el servidor de acceso remoto deben disponer de certificados de equipo válidos. Los certificados se utilizan de dos modos diferentes. La primera validación del certificado se produce al iniciarse la conexión. Una vez validado el certificado de usuario, se configura y conecta el túnel. Una vez que se haya conectado, se producirá la autenticación PPP.

En la tabla siguiente se describen algunos de los errores más comunes de cliente de acceso a la red que se producen cuando los usuarios no se pueden autenticar mediante certificados. Encontrará estos y otros errores en el registro del sistema.

Error Descripción Causa del error 766 La conexión que utiliza el protocolo L2TP

en IPSec requiere que se instale un certificado de máquina, también conocido como certificado de equipo.

Normalmente, este error se genera en un servidor de acceso a red cuyos puertos L2TP se han configurado como activos. El servicio de acceso remoto se ha iniciado, pero no hay ningún certificado en el almacén de certificados del equipo.

781 Para poder conectarse, es necesario utilizar un certificado durante una llamada L2TP.

Este mensaje de error aparecerá si se precisa de un certificado para realizar la conexión, pero no se ha encontrado ningún certificado válido en el cliente durante el intento de llamada L2TP.

Introducción

Proceso de certificado

Errores de certificado


Si utiliza un método de autenticación EAP-TLS, debe disponer de un certificado de cliente válido en una tarjeta inteligente o en el almacén local de certificados. Para que la autenticación funcione correctamente, asegúrese de que todos los certificados de la cadena de certificados enviados por el cliente cumplen las condiciones siguientes:

! La fecha actual debe ser una de las fechas de validez del certificado. Los certificados sólo pueden utilizarse durante un intervalo de fechas específico.

! No se ha revocado el certificado. Los certificados emitidos pueden revocarse en cualquier momento.

! El certificado dispone de una firma digital válida. Las entidades emisoras de certificados (CA) firman digitalmente los certificados que emiten. El servidor IAS comprueba la firma digital de cada certificado de la cadena, excepto la entidad emisora raíz, obteniendo la clave pública de la entidad emisora de certificados que emita el certificado en cuestión y validando matemáticamente la firma digital.

El certificado de cliente también debe disponer del propósito del certificado de autenticación de cliente (también conocido como uso mejorado de claves) con el identificador de objetos 1.3.6.1.5.5.7.3.2 y debe contener un nombre principal de usuario de una cuenta de usuario válida o un nombre de dominio completo de una cuenta de equipo válida para la propiedad Nombre alternativo del sujeto del certificado.

El servidor de autenticación debe tener el certificado de entidad emisora raíz de la entidad emisora del certificado de cliente de acceso remoto instalado en el almacén de entidades emisoras raíz de confianza, para que se pueda confiar en la cadena de certificados que ofrece el cliente de acceso remoto.

Además, el servidor de autenticación comprueba que la identidad enviada en el mensaje de identidad o de respuesta EAP sea la misma que el nombre de la propiedad Nombre alternativo del sujeto del certificado. De este modo, se evita que los usuarios malintencionados se hagan pasar por el usuario especificado en el mensaje de identidad o respuesta EAP.

Certificados válidos de cliente

Uso mejorado de claves

Certificado de equipo válido


Si el servidor de autenticación es un servidor IAS, las configuraciones de registro siguientes de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ RasMan\PPP\EAP\13 pueden modificar el comportamiento de EAP-TLS al llevar a cabo la revocación de certificados.

Comportamiento de EAP-TLS

Descripción Configuración

IgnoreNoRevocationCheck Puede usar esta entrada para autenticar a los

clientes si el certificado no incluye los puntos de distribución de la lista de revocaciones de certificados (CRL), como los de terceros.

1 = habilitado

0 = deshabilitado (predeterminado)

IgnoreRevocationOffline IAS no permite a los clientes conectarse a menos que pueda completar una comprobación de revocación de la cadena de certificados de los clientes y pueda comprobar que no se ha revocado ninguno de los certificados. Si no puede conectarse a ningún servidor que almacene una CRL, EAP-TLS considera que el certificado no ha superado la comprobación de revocación.

1 = permite a los clientes EAP-TLS conectarse y evita que se produzcan errores en la validación de certificados producidos por insuficiencias en la red

0 = desconectado (predeterminado)

NoRevocationCheck

La comprobación de revocación verifica si el certificado del cliente de acceso remoto y los certificados de la cadena de certificados de este no han sido revocados. NoRevocationCheck se establece en 0 de forma predeterminada.

1 = impide que EAP-TLS lleve a cabo una comprobación del certificado


NoRootRevocationCheck

Esta entrada elimina solamente la comprobación de revocación del certificado de la entidad emisora raíz del cliente. De todas maneras, se llevará a cabo una comprobación derevocación del resto de los certificados de la cadena de certificados del cliente de acceso remoto.

1 = IAS impide que EAP-TLS lleve a cabo una comprobación de revocación de la raíz del cliente de acceso directo.


Todas estas configuraciones de registro deben agregarse como tipo DWORD y deben tener el valor 0 o 1. El cliente de acceso remoto no usa estas configuraciones.

Configuraciones de registros de IAS


Autenticación mediante registros de IAS


Si utiliza un servidor IAS, todos los problemas de autenticación con los que se encuentre aparecerán detallados en los registros de IAS. Es posible que tenga que solucionar problemas de los protocolos de autenticación CHAP (protocolo de autenticación por desafío mutuo), EAP (protocolo de autenticación extensible), etc. Puede usar los registros de IAS para determinar si existe un problema de autenticación.

Si usa IAS para la solución de autenticación, debe comprobar lo siguiente para solucionar los problemas más comunes:

! El punto de acceso inalámbrico puede llegar a los servidores IAS. Para comprobar esto, emita un comando ping para la dirección IP del puerto no controlado de punto de acceso inalámbrico desde los servidores IAS. Asimismo, asegúrese de que las directivas IPSec, los filtros de paquetes IP y otros mecanismos que restringen el tráfico de red no impiden el intercambio de mensajes RADIUS (puertos UDP [protocolo de datagrama de usuario] 1812 y 1813) entre el punto de acceso inalámbrico y sus servidores IAS configurados.

! Cada par de punto de acceso inalámbrico/servidor IAS se configura con un secreto compartido común.

! Los servidores IAS pueden llegar a un servidor de catálogo global y a un controlador de dominio Active Directory.

! Las cuentas de equipo de los servidores IAS forman parte del grupo de servidores del servicio Enrutamiento y acceso remoto e IAS de los dominios adecuados.

! La cuenta del usuario o del equipo no debe estar bloqueada, caducada o deshabilitada, y la conexión debe realizarse durante las horas de inicio de sesión permitidas.

Introducción

Solución de problemas comunes


! La cuenta de usuario no ha sido bloqueada mediante el bloqueo de cuentas de acceso remoto. El bloqueo de cuentas de acceso remoto es un mecanismo de bloqueo y de recuento de autenticación diseñado para evitar ataques de diccionarios en línea a una contraseña de usuario.

! La conexión se autoriza mediante una directiva de acceso remoto. Para obtener el nombre de la directiva de acceso remoto que ha rechazado el intento de conexión, asegúrese de que el registro de sucesos IAS está habilitado y busque los sucesos que tengan IAS como origen y el Id. de suceso establecido en 2. En el texto del mensaje del suceso, busque el nombre de la directiva de acceso remoto que aparece junto al campo Nombre-directiva.

! Si ha cambiado recientemente el dominio Active Directory de modo mixto a modo nativo, los servidores IAS ya no podrán autenticar solicitudes de conexión válidas. Debe reiniciar todos los controladores de dominio en el dominio para que la modificación se replique.


Demostración: Supervisión del acceso remoto mediante IAS


El objetivo de esta demostración es explicar el modo en que el servidor Servicio de autenticación de Internet puede registrar el acceso remoto.

Mediante esta presentación aprenderá a:

! Habilitar el registro en IAS. ! Abrir archivos de registro para ver los registros de las cuentas. ! Explicar cómo se utiliza IAS para supervisar el uso del acceso remoto.

Al ver esta demostración, debe tener en cuenta las preguntas siguientes:

! ¿Qué opciones y formatos están disponibles para guardar los registros de IAS? ! ¿Para qué sirven los registros de IAS?

Introducción

Objetivos didácticos

Preguntas clave


Demostración: Análisis de archivos de registro de autenticación y administración de cuentas de IAS


Los servidores de acceso a la red que son compatibles con IAS pueden registrar información de autenticación y administración de cuentas para conexiones de acceso a la red en un servidor RADIUS cuando la autenticación y la administración de cuentas RADIUS están habilitados. Este registro es independiente de los sucesos que se registran en el registro del sistema. Puede utilizar la información registrada en el servidor IAS para realizar un seguimiento del uso del acceso remoto y de los intentos de autenticación.

La información de autenticación y administración de cuentas de IAS se almacena en archivos de registro que se guardan en el servidor IAS en raíz_del_sistema\system32\LogFiles.

Para ver los datos registrados en un archivo de registro de IAS:

1. Vaya a C:\MOC\2191\Labfiles. 2. Haga doble clic en in0302.log.

Tenga en cuenta que el formato de los datos del archivo de registro no es fácil de leer.

Introducción

Examine el archivo de registro sin formato


La utilidad de herramientas de soporte de Windows Server 2003 llamada iasparse.exe puede analizar un archivo de registro para facilitar su lectura.

Para analizar el archivo de registro:

1. Abra una ventana de símbolo del sistema. 2. Cambie el directorio actual por C:\Archivos de programa\Support Tools. 3. Escriba el comando iasparse -f:C:\MOC\2191\Labfiles\in0302.log

Desplácese al principio del archivo y observe que la entrada de datos sin formato aparece en forma de lista. Los datos analizados aparecen debajo; en cada línea se muestra un atributo y su valor asociado.

La salida de iasparse muestra que este archivo contiene dos entradas: una solicitud de acceso y un rechazo de acceso. La entrada de rechazo de acceso indica el motivo del rechazo.

Para obtener más información sobre los atributos y los valores asociados que se registran en estos archivos de registro, consulte �Interpretación de registros de IAS� en la carpeta C:\MOC\2191\labfiles.

Uso de iasparse.exe para analizar el archivo

Nota


Registro de PPP


Los registros de PPP (Protocolo Punto a Punto) ofrecen información que puede utilizar para resolver problemas de conexión del cliente.

Después de que se haya establecido una conexión física o lógica con un servidor de acceso remoto basado en PPP, las negociaciones siguientes establecen una conexión PPP:

! Negociación del uso del vínculo. PPP utiliza el protocolo de control de vínculos (LCP) para negociar parámetros de vínculo como el tamaño máximo de trama de PPP, el uso de multivínculos y el uso de un protocolo de autenticación PPP específico.

! Autenticación del cliente de acceso remoto. El cliente y el servidor intercambian mensajes de acuerdo con el protocolo de autenticación negociado. Si se usa EAP, el cliente y el servidor negociarán un método EAP específico, conocido como tipo EAP y, a continuación, intercambiarán los mensajes de dicho tipo.

! Uso de la devolución de llamada. Si se configura la devolución de llamada para la conexión de acceso telefónico y se interrumpe la conexión física, el servidor de acceso remoto devuelve la llamada al cliente.

! Negociación del uso de protocolos de red. Este proceso implica el uso de una serie de protocolos de control de red (NCP) para configurar los protocolos de red que el cliente de acceso remoto utiliza.

Introducción

Proceso de conexión PPP


La conexión PPP resultante permanece activa hasta que se desconecte la línea por cualquiera de los motivos siguientes:

! El usuario o el administrador desconectan la línea explícitamente. ! La línea se ha desconectado porque se ha excedido el tiempo de espera de

inactividad. ! Se ha producido un error de vínculo irrecuperable.

Las conexiones de acceso telefónico y VPN (tanto PPTP [protocolo de túnel punto a punto] y L2TP) dependen de PPP para establecer un vínculo, para autenticar y para asignar direcciones IP a conexiones de acceso remoto. Puede habilitar el registro para un archivo de registro de PPP para facilitar el diagnóstico de problemas de conectividad relacionados con PPP. Basándose en las entradas del registro de PPP, puede ver si se ha producido un error de conexión.

Si no se ha iniciado ninguna sesión PPP, no se realizará ninguna entrada en el registro de PPP para el intento de conexión. El hecho de que no se creen entradas significa que se ha producido un error de conexión durante o antes del inicio de sesión mediante una contraseña sin cifrar.

Si hay entradas en el registro de PPP, la naturaleza de estas entradas puede ayudarle a identificar los elementos que han producido errores durante el intento de conexión. Si las demás fuentes de información fallan, los registros de PPP pueden ser el mejor medio para realizar comprobaciones.

En los servidores que ejecutan el servicio Enrutamiento y acceso remoto, puede habilitar el registro de PPP en la ficha Registro en la página de propiedades de un servidor de acceso remoto. En un cliente de acceso remoto Windows Server 2003, puede habilitar el registro de PPP mediante Netsh.

Una vez que haya habilitado el registro, el equipo registra toda la actividad PPP en el archivo ppp.log en la carpeta raíz_del_sistema\Tracing.

Puesto que el registro de PPP utiliza recursos del sistema y espacio del disco duro, es recomendable desactivar el registro cuando acabe de solucionar los problemas.

Los registros de PPP también pueden ayudarle a identificar si un problema está relacionado con un error de autenticación (problemas de contraseña o de nombre de usuario). En caso de que sea así, el registro incluye información similar a la lista de información siguiente. Suponiendo que el protocolo LCP sea correcto, el paso siguiente es la autenticación.

! Fase de autenticación iniciada

Si examina el registro desde este punto, puede encontrar un mensaje similar a los siguientes:

! El protocolo de autenticación c023 se ha interrumpido con el error 4 ! El protocolo de autenticación c223 se ha interrumpido con el error 7

Registro de PPP

Habilitación del registro de PPP

Importante

Error de autenticación


Estos mensajes indican que se acaba de llevar a cabo la negociación de autenticación y que se ha producido un error de inicio de sesión. En el primer caso (c023), el protocolo que ha fallado ha sido el protocolo de autenticación de contraseña (PAP). En el segundo caso, ha fallado el protocolo CHAP. Si aparecen estos mensajes, lleve a cabo los pasos siguientes:

! Compruebe que el nombre de usuario y la contraseña se hayan introducido correctamente.

! Compruebe la configuración de la ficha Seguridad de la entrada de libreta de teléfonos que está utilizando. La mejor opción en este caso es Aceptar cualquier autenticación incluido el texto en blanco puesto que esta opción significa que se puede establecer una conexión independientemente de que el proveedor de servicios de Internet (ISP) solicite PAP o CHAP.

! El cuadro de diálogo Conectar a... contiene el campo DOMINIO. Si no está conectado a un servidor Microsoft Windows NT® Server que ejecute el Servicio de acceso remoto, asegúrese de que este cuadro no esté seleccionado ya que, de lo contrario, pueden producirse en ocasiones errores de protocolo CHAP.

! Si siguen produciéndose errores de autenticación, compruebe el nombre de usuario y la contraseña con el proveedor ISP o con el personal técnico de la red corporativa. Debe colaborar con ellos para descubrir el motivo de los errores de conexión.


Conexiones de acceso remoto


Algunos métodos para solucionar problemas son válidos para todos los tipos de conexiones de acceso remoto. Además, para cada problema existen síntomas relacionados, herramientas y procesos que pueden ayudarle a resolverlo.

Si se rechaza un intento de conexión cuando debería aceptarse, debe comprobar que:

! El servicio de acceso remoto se esté ejecutando. ! Los puertos PPTP y L2TP estén habilitados. ! La directiva de acceso remoto se haya configurado para un método de

autenticación común. ! El servidor esté configurado de modo que se pueda utilizar un método de

autenticación común. ! La configuración y las condiciones de la directiva de acceso remoto

coincidan. ! La configuración de conexión de cuenta de usuario sea correcta. ! La configuración del proveedor de autenticación sea correcta. ! En el caso de un servidor VPN que forme parte de un dominio de modo

nativo de Windows, compruebe que el servidor VPN se haya unido al dominio.

! En el caso de autenticación IAS, compruebe que el equipo del servidor VPN pueda comunicarse con el servidor RADIUS.

Introducción

Intentos de conexión erróneos


Si se ha aceptado un intento de conexión cuando debía rechazarse, debe comprobar que los parámetros de la conexión no disponen de permiso según las directivas de acceso remoto.

Si el cliente no puede llegar a ubicaciones que se encuentran más allá del servidor VPN, debe comprobar lo siguiente:

! El protocolo está habilitado para el enrutamiento. ! Los conjuntos de direcciones IP del servidor de acceso remoto son

correctos. ! Los enrutadores se encuentran en ambos lados de la conexión VPN (para

conexiones entre enrutadores).

Aceptación de un intento de conexión que debe rechazarse

No es posible llegar al servidor VPN


Autenticación de acceso inalámbrico


Si utiliza IAS para la autenticación RADIUS para clientes inalámbricos (método más seguro y recomendado), debe asegurarse de que el servidor IAS está configurado y funciona correctamente. Asimismo, debe comprobar los certificados del servidor y el cliente, en función del método EAP que decida implementar. Si elige EAP-TLS, deberá comprobar ambos tipos de certificados. Si usa EAP protegido (PEAP)/MS-CHAP v2, sólo necesitará un certificado de servidor para el servidor RADIUS.

Si utiliza la autenticación EAP-TLS, deberá comprobar que tanto el servidor de autenticación como el cliente disponen de certificados válidos.

En lugar de usar un certificado para la autenticación de usuarios, un cliente inalámbrico que utiliza PEAP/MS-CHAP v2 envía una combinación de nombre de usuario y contraseña para que se valide con una cuenta de usuario en Active Directory. Para que esta validación de cuenta se lleve a cabo correctamente, debe asegurarse de que se cumplen las condiciones siguientes:

! La porción del dominio del nombre de usuario corresponde a un dominio que es el dominio del servidor IAS o a un dominio que tiene una confianza bidireccional con el dominio del servidor IAS.

! La porción del nombre de cuenta del nombre de usuario corresponde a la cuenta válida del dominio.

! La contraseña es la contraseña correcta de la cuenta.

Para verificar estas credenciales, indique al usuario del cliente inalámbrico cómo iniciar una sesión en el dominio mediante un equipo que ya esté conectado a la red; por ejemplo, mediante una conexión Ethernet (si es posible).

Introducción

Credenciales MS-CHAP v2 de cliente inalámbrico


Si utiliza Microsoft Windows XP como sistema operativo para un cliente inalámbrico, puede usar la página de conexiones de red para visualizar las propiedades de la conexión de red inalámbrica. En esta página se incluye la ficha Redes inalámbricas en la que se muestran las conexiones inalámbricas preferidas y disponibles. Puede configurar las propiedades de asociación y autenticación de una red inalámbrica en la página Propiedades.

Para obtener más información acerca de como solucionar problemas generales del cliente inalámbrico de Windows XP, consulte el artículo 313242 �How to Troubleshoot Wireless Network Connections in Windows XP� que se encuentra en la base del conocimiento de Microsoft en http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B313242.

Las herramientas para la solución de problemas de punto de acceso inalámbrico dependen del conjunto de herramientas y del software de administración que se proporcionan con el punto de acceso inalámbrico. Por ejemplo:

! Algunos puntos de acceso inalámbrico incluyen herramientas de análisis de la intensidad de la señal que puede usar para solucionar problemas de intensidad de señal baja y de área de cobertura.

! Un punto de acceso inalámbrico también puede incluir una utilidad PING para comprobar la accesibilidad del punto de acceso inalámbrico mediante protocolos inalámbricos de propietario o estándar.

! Un punto de acceso inalámbrico también puede ser compatible con el protocolo SNMP (Protocolo simple de administración de red) y la base de datos de información de administración 802.11.

Cuando habilite WEP, especifique que se utilice una clave de red para el cifrado. Puede obtener la clave de red automáticamente (por ejemplo, puede encontrarse en el adaptador de red inalámbrico) o puede especificarla usted mismo. Si configura la clave usted mismo, debe asegurarse de que selecciona la longitud de clave correcta y el número adecuado de claves (puede configurar un máximo de cuatro). Asimismo, debe asegurarse de que la clave se ha introducido correctamente. Si no configura la clave correctamente, no podrá conectarse a la red. Póngase en contacto con el administrador de la red para llevar a cabo la configuración correctamente.

Para obtener más información sobre las herramientas y las técnicas para solucionar problemas de punto de acceso inalámbrico, consulte la documentación que se proporciona con el punto de acceso inalámbrico.

Información de red de cliente inalámbrico

Herramientas para la solución de problemas de punto de acceso inalámbrico

Claves WEP




Para solucionar problemas de redes VPN, debe solucionar los problemas relacionados con la conectividad IP, el establecimiento de la conexión de marcado a petición y de acceso remoto, el enrutamiento e IPSec.

La mayoría de los problemas de VPN están relacionados con los protocolos de túnel VPN. La lista siguiente proporciona un punto de partida para el proceso de solución de problemas:

! Compruebe los mensajes de error. Si se produce el error 678 para una conexión PPTP, es probable que el servidor VPN no responda debido a que se ha excedido el tiempo de espera de la conexión TCP con el servidor VPN. Este error se produce si el puerto TCP 1723 se encuentra bloqueado en algún lugar entre el cliente VPN y el servidor VPN.

! Verifique que el filtrado de paquetes de la interfaz de enrutador entre el cliente VPN y el servidor VPN no impide que se reenvíe el tráfico del protocolo de túnel. En un servidor VPN basado en Windows Server 2003, el filtrado de paquetes IP puede configurarse desde las propiedades avanzadas de TCP/IP y desde el complemento del servicio Enrutamiento y acceso remoto. Compruebe que no existan filtros en el servidor ni en el cliente que puedan excluir el tráfico de la conexión VPN.

! Verifique que el cliente Winsock Proxy no se está ejecutando en el cliente VPN actualmente. Si el cliente Winsock Proxy se encuentra activo, las llamadas de la interfaz de programación de aplicaciones (API) Winsock, como las que se utilizan para crear túneles y enviar datos de túnel, se interceptan y se reenvían a un servidor proxy configurado.

Introducción



! Verifique que el protocolo de túnel del cliente VPN es compatible con el servidor VPN. De forma predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 tienen la opción de tipo de servidor Automático seleccionada, lo que significa que, en primer lugar, intentan establecer un protocolo L2TP en una conexión VPN basada en IPSec y, a continuación, intentan realizar una conexión VPN basada en PPTP.

! Si se encuentra seleccionada la opción de tipo de servidor Protocolo de túnel punto a punto (PPTP) o Protocolo de túnel de capa 2 (L2TP), verifique que el protocolo de túnel seleccionado es compatible con el servidor VPN.

! Para protocolos L2TP de acceso remoto en conexiones IPSec, verifique que los certificados de equipo (también conocidos como certificados de máquina) se han instalado tanto en el cliente VPN como en el servidor VPN.

! Para las conexiones PPTP que usan MS-CHAP versión 1 y que intentan negociar el cifrado MPPE (Cifrado punto a punto de Microsoft) de 40 bits, compruebe que la contraseña del usuario no conste de más de 14 caracteres.

! Para los clientes L2TP/IPSec que utilizan un traductor de direcciones de red (NAT), compruebe que el cliente admite NAT Traversal para IPSec (NAT�T). NAT�T para IPSec es compatible con el cliente VPN L2TP/IPSec (Windows 98, Windows Millennium Edition y Windows NT 4.0 Workstation) y con Windows Server 2003. NAT-T para IPSec se admite en los clientes Windows 2000 y Windows XP cuando se entrega Windows Server 2003.


Demostración: Creación y comprobación de conexiones VPN salientes


El objetivo de esta demostración es mostrar cómo y dónde se especifican los túneles VPN.

Aprenderá a hacer lo siguiente:

" Crear una conexión VPN saliente " Especificar la dirección del servidor VPN (nombre de host o dirección IP) " Especificar los permisos de cuenta de usuario para el servidor VPN " Verificar y probar la dirección IP asignada en el túnel VPN

Al ver esta demostración, debe tener en cuenta las preguntas siguientes:

" Al crear una conexión de túnel, ¿cómo se identifica el servidor VPN? " ¿Cómo pongo esta conexión a disposición de todos los usuarios del equipo? " ¿Cómo se puede averiguar el tiempo que una conexión ha estado

establecida?

Introducción

Objetivos didácticos

Preguntas clave


Proceso para solucionar problemas de acceso telefónico


La solución de problemas de acceso telefónico implica solucionar problemas relevantes relacionados con los módems que se utilizan para establecer las conexiones. Sin embargo, es posible que también deba solucionar problemas de los clientes porque es precisamente con los clientes con los que surgen más problemas.

La mayor parte del proceso para solucionar problemas de configuración del servidor de acceso remoto se centra en el equipo cliente e incluye los pasos siguientes:

1. Tomar nota de los mensajes de error que se reciben y, a continuación, comprobar los registros del visor de sucesos. El registro del sistema en particular puede ofrecer información útil para facilitar la solución de problemas.

2. Verificar la configuración física del hardware. 3. Una vez que esté satisfecho con el funcionamiento del hardware, verifique

que la conexión de red está configurada correctamente para el tipo de servidor con el que se va a conectar por vía telefónica. Preste una atención especial a la configuración de seguridad.

A menudo verá que un problema se debe a una modificación realizada por el usuario en la configuración. Si está prestando servicio técnico a un usuario sobre el terreno, interróguelo minuciosamente para averiguar qué modificación ha llevado a cabo.

Volver a crear la entrada de conexión de red puede ayudarle a determinar rápidamente si el origen del problema es un error de configuración del equipo cliente. Si a través de la conexión que acaba de crear puede llegar al servidor de acceso remoto, sabrá que la conexión de red original se ha configurado de forma incorrecta.

Introducción

Proceso para solucionar problemas de equipos cliente


Aunque en el servidor se producen pocos problemas de acceso remoto, puede disponer de mejores herramientas de solución de problemas en el servidor que en el cliente. Las siguientes directrices para la solución de problemas son parecidas para el servidor y el cliente:

1. Anote siempre los mensajes de error que puede recibir porque le ahorrará trabajo al solucionar los problemas.

2. En los registros del visor de sucesos, compruebe si existen sucesos que puedan indicar lo que ocurre cuando el cliente marca al servidor.

3. Realice un seguimiento de las conexiones de acceso remoto.

Si aparecen errores en el archivo de registro, es posible que tenga que sustituir el módem por otro que sea compatible con Windows. (Puede utilizar cualquier módem compatible con el conjunto de comandos Hayes.)

También puede encontrarse con otros problemas relacionados con el acceso telefónico. Algunos de estos problemas son:

! Comunicaciones entre equipo y módem La incapacidad de un equipo de comunicarse con un módem suele ser la causa de problemas de servidor de acceso remoto, especialmente para un servidor que haya utilizado el servicio de acceso remoto antes de actualizar el hardware. Para comprobar la conectividad entre el equipo y el módem, verifique que el puerto serie funciona correctamente.

! Comunicaciones entre módems Una vez que haya determinado que puede comunicarse con el módem, use HyperTerminal para verificar que puede establecer comunicaciones con otro módem.

! Comunicaciones entre módem y el servicio de acceso remoto Una vez que haya verificado que el módem puede conectarse con el equipo cliente y con otros módems, deberá verificar que el módem puede funcionar correctamente mediante el servicio Enrutamiento y acceso remoto. Para inspeccionar la secuencia de configuración de la comunicación entre el servicio Enrutamiento y acceso remoto y el módem, deberá añadir el registro en la ficha Diagnóstico de las propiedades del módem.

Proceso para solucionar problemas de servidores remotos

Problemas adicionales relacionados con el acceso telefónico


Directrices para solucionar problemas de acceso remoto


La solución de problemas de acceso remoto incluye el proceso y las herramientas que se utilizan para identificar y resolver el problema. Las directrices siguientes le servirán de ayuda para definir la estrategia de solución de problemas.

! Identificar los síntomas del problema En primer lugar, debe identificar los síntomas del problema. También debe evaluar los recursos de red para asegurarse de que el problema no está relacionado con el hardware. Los síntomas que identifique le indicarán si el problema está relacionado con el cliente o con el servidor.

! Seleccionar los recursos que deben utilizarse Seleccione los recursos de solución de problemas que usará basándose en los síntomas del problema. Una vez que haya seleccionado dichos recursos, deberá habilitar la auditoría de los sucesos de inicio de sesión y los sucesos de inicio de sesión de cuenta.

! Aislar el problema Use los recursos seleccionados para aislar el problema. Si se trata de un problema relacionado con el cliente, compruebe los elementos siguientes de la configuración del cliente:

• Número de teléfono

• Nombre de usuario y contraseña

• Dispositivo de conexión

• Configuración de cifrado

• Protocolos de autenticación

• Configuración de tipo VPN

• Controladores y servicios usados con la conexión

Introducción


Si se trata de un problema relacionado con el servidor, deberá hacer lo siguiente:

! Comprobar las propiedades de marcado del usuario. ! Comprobar los registros y sucesos. ! Comprobar las directivas de acceso remoto. ! Comprobar la conectividad del servidor (marcado o LAN). ! Comprobar si funciona el servicio Enrutamiento y acceso remoto. ! Comprobar las conexiones entrantes habilitadas. ! Comprobar los puertos disponibles. ! Comprobar las direcciones disponibles. ! Comprobar si existe un proveedor de autenticación adecuado y si está

configurado correctamente.


Ejercicio práctico: Solución de problemas de autenticación de acceso remoto


En este ejercicio práctico, identificará los pasos de solución de problemas que debe llevar a cabo para resolver un problema de acceso remoto.

El objetivo de este ejercicio práctico es solucionar problemas de acceso remoto.



Contoso Ltda. ha actualizado recientemente todos los servidores de Windows a Windows Server 2003. Asimismo, la compañía requiere que los usuarios remotos utilicen L2TP para conectarse a la red corporativa. La compañía ha implementado una infraestructura de certificados para emitir certificados de usuario y de equipo y ha enviado a sus usuarios remotos tarjetas inteligentes, lectores de tarjetas inteligentes y las instrucciones de instalación probadas asociadas.

Antes de llevar a cabo la actualización, todos los usuarios remotos se conectaban a la red corporativa mediante PPTP sin experimentar problemas. Ahora que la red corporativa sólo acepta conexiones L2TP, algunos usuarios remotos ya no pueden conectarse.

Todos los clientes remotos ejecutan Windows XP Professional en sus equipos.

Introducción

Objetivo

Instrucciones

Escenario


¿Qué pasos debe llevar a cabo para solucionar este problema?

Para los usuarios que tienen problemas con la conexión, compruebe los elementos que tienen en común. De forma similar, compruebe los elementos que comparten los usuarios que sí pueden conectarse. Puesto que sabe que algunos usuarios pueden conectarse, es menos probable que el problema se encuentre en el lado del servidor. Puede consultar en el registro del sistema del servidor que ejecuta el servicio Enrutamiento y acceso remoto si existen errores o advertencias, pero es aconsejable que centre su análisis en el lado del cliente en primer lugar. Compruebe si existen claves posibles en el registro del sistema del cliente. Si existen problemas de certificados, encontrará información sobre los problemas en los registros. A continuación, puede llevar a cabo más pasos de solución de problemas basados en el error específico que haya encontrado. Compruebe si los usuarios que no pueden conectarse están utilizando un NAT. En caso afirmativo, compruebe si sus sistemas operativos Windows XP se han actualizado con el software de actualización de NAT-T. Sin esta actualización, los usuarios no pueden usar L2TP/IPSec a través de un NAT. Esta actualización puede explicar el motivo por el que sólo algunos usuarios hayan podido conectarse (tal vez se trate de los usuarios que utilizaron una conexión de acceso telefónico para conectarse al ISP). _______________________________________________________________

_______________________________________________________________

_______________________________________________________________

_______________________________________________________________

Ejercicio práctico


Práctica A: Solución de problemas de acceso a la red


Una vez que haya completado esta práctica, podrá solucionar problemas de conectividad de red y errores de autenticación mediante la información que haya recopilado.

Suponga que es un ingeniero de sistemas de la empresa Northwind Traders y se le pide que ayude al administrador MCSA (Administrador de sistemas certificado de Microsoft) del departamento de soporte a solucionar problemas de conectividad de red y problemas de autenticación en la sucursal de la empresa en Canterbury, Reino Unido. Las estaciones de trabajo y los servidores forman parte de Active Directory de Northwind Traders y utilizan el sistema operativo Windows XP Professional o Windows Server 2003. Algunos problemas están relacionados con los usuarios de equipos de escritorio de LAN de la empresa, y otros con los usuarios remotos que se conectan a la red mediante conexiones VPN.

Objetivos

Escenario


Servidores de seguridad/Proxy e ISA

Controladorde dominio e IAS

192.168.5.75

Otros servidores

EnrutadorCSU/DSU

A la red corporativaa 512 Kbps

Sucursal de Canterbury

Modificador B de capa 3de 10/100 Mbps

Estacionesde trabajoModificador C

de 10/100 Mbps

Modificador Bde 10/100 Mbps

VLAN1192.168.5.64\27 192.168.5.1

Estacionesde trabajo

Estaciones de trabajo VLAN2

192.168.5.128\27

LAN 1192.168.5.0\24

Dúplexcompleta

de 100 Mbps

Puerta de enlacepredeterminada192.168.5.129


DHCP/WINS192.168.5.76

POWERFAULT DATA ALARM

VLAN3192.168.5.32\27


Tiempo previsto para completar esta práctica: 30 minutos


Ejercicio 1 Solución de problemas de acceso a LAN En este ejercicio, solucionará un problema de la sucursal de Canterbury de Northwind Traders. Se encuentra en la oficina de Londres y debe obtener la información necesaria para resolver el problema de forma remota.

Escenario Un usuario de la oficina de Canterbury tiene problemas a veces para obtener acceso a los recursos cuando se conecta a la red a través de LAN. Se le solicita solucionar el problema y se le facilita la siguiente información:

! El equipo portátil del usuario está conectado físicamente a la VLAN 192.168.5.128\27.

! El equipo portátil arranca con normalidad y muestra una pantalla de inicio de sesión del dominio. ! Cuando el usuario inicia la sesión con sus credenciales del dominio, algunas veces sólo tiene

acceso a los recursos de su propio equipo. ! Si el usuario inicia la sesión correctamente, a menudo tiene problemas intermitentes con

aplicaciones como Microsoft Internet Explorer, que informan de errores del tipo �No se ha encontrado el servidor DNS� o bien la página tarda mucho en cargarse.

! El usuario informa de que últimamente no ha podido utilizar el equipo durante más de dos horas seguidas sin que se haya presentado algún error de estas características.

! El usuario informa de que si se desconecta de la red y utiliza el acceso inalámbrico, no tiene problemas. Sin embargo, el acceso inalámbrico es demasiado lento para las aplicaciones multimedia con las que trabaja.

Tareas Información específica

1. Documentar el proceso que utilizará para solucionar el problema.

2. Analizar los datos capturados. a. Los datos se almacenan en: C:\MOC\2191\labfiles\lab11.exe.

b. Los archivos se han comprimido y deben descomprimirse para completar la práctica. Al principio de cada archivo aparece información sobre los datos capturados y, a continuación, los resultados.

c. En C:\MOC\2191\labfiles, cree una carpeta denominada analysis.

d. Copie lab11.exe en la carpeta.

e. Ejecute lab11.exe para descomprimir los archivos en la carpeta Analysis.

3. Identificar la causa raíz más probable del error.


Ejercicio 2 Solución de problemas de autenticación de acceso remoto En este ejercicio, documentará cómo investigar los problemas que pueden producirse en los servidores de acceso remoto VPN que deben implementarse en el centro de datos de la oficina de Londres.

Escenario El personal de soporte técnico será el encargado de atender las llamadas por averías en primer lugar y usted deberá encargarse de solucionar los problemas en segundo lugar. Se le pide que documente los registros que deben supervisarse y capturarse durante las fases iniciales de la implementación. Se prevé que el período inicial dedicado a la solución de problemas será de menos de dos semanas. Dispone de la siguiente información:

! Los tres servidores VPN que se implementarán en el centro de datos de Londres normalmente atenderán de forma simultánea entre 30 y 50 conexiones.

! Los tres servidores han sido probados con una configuración piloto y su rendimiento y funcionalidades parecen estar validados.

! Los servidores VPN están configurados con dos entradas de servidor IAS para completar la autenticación mediante RADIUS.

! El software del servidor IAS está instalado en dos controladores de dominio del centro de datos de Londres.

! Se han emitido tarjetas inteligentes para el personal que tiene permiso para usar los servidores VPN.

! Se ha implementado Connection Manager para los usuarios y la información de configuración se ha validado en la configuración piloto.

! Ya se han implementado los certificados de los equipos cliente mediante los servicios de Certificate Server.

! Las únicas conexiones VPN permitidas utilizan L2TP/IPSec.

Tareas Información específica

1. Documentar la metodología, las herramientas, los registros generales y los registros del visor de sucesos que vaya a utilizar y que considere imprescindibles para la solución de los problemas iniciales de implementación que puedan producirse.

THIS PAGE INTENTIONALLY LEFT BLANK

X10-0251910.pdf

Documents

Transcript of X10-0251910.pdf