Está en la página 1de 66

Mdulo 10: Solucin de problemas de acceso a la red

Contenido Introduccin Leccin: Recursos para la solucin de problemas de acceso a la red Leccin: Solucin de problemas de autenticacin de LAN Leccin: Solucin de problemas de acceso remoto Demostracin: Supervisin del acceso remoto mediante IAS Demostracin: Anlisis de archivos de registro de autenticacin y administracin de cuentas de IAS Demostracin: Creacin y comprobacin de conexiones VPN salientes Prctica A: Solucin de problemas de acceso a la red 1 2 16 29 35

36 47 54

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web en Internet, est sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compaas, productos, dominios, direcciones de correo electrnico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociacin con compaas, organizaciones, productos, dominios, direcciones de correo electrnico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma, ni por ningn medio (ya sea electrnico, mecnico, por fotocopia, grabacin o de otra manera) con ningn propsito, sin la previa autorizacin por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor, y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint, SharePoint, Visual Basic y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros pases. Los nombres de compaas reales y productos aqu mencionados pueden ser marcas registradas de sus respectivos propietarios.

Mdulo 10: Solucin de problemas de acceso a la red

iii

Notas para el instructor


Presentacin: 60 minutos Prctica: 30 minutos Este mdulo proporciona a los alumnos una introduccin a la solucin de problemas de acceso a la red. Los alumnos aprendern los procesos y las herramientas que se utilizan para solucionar problemas de una infraestructura de red de Microsoft Windows Server 2003. Despus de completar este mdulo, los alumnos podrn:
! !

Identificar recursos para solucionar problemas de acceso a la red. Explicar cmo solucionar problemas de autenticacin de red de rea local (LAN). Explicar cmo solucionar problemas de acceso remoto.

Material necesario

Para impartir este mdulo, necesitar el material siguiente:


! !

El archivo 2191A_10.ppt de PowerPoint Archivos multimedia: Supervisin del acceso remoto mediante IAS Creacin y comprobacin de conexiones VPN salientes

Importante Se recomienda utilizar PowerPoint 2002 o una versin posterior para mostrar las diapositivas de este curso. Si utiliza PowerPoint Viewer o una versin anterior de PowerPoint, puede que no se muestren correctamente todas las caractersticas de las diapositivas. Tareas de preparacin Para preparar este mdulo, debe:
! ! ! !

Leer todo el material relacionado. Completar los ejercicios prcticos y la prctica, y revisar las respuestas de esta. Observar las presentaciones multimedia. Revisar los requisitos previos en lo que respecta a cursos y mdulos.

iv

Mdulo 10: Solucin de problemas de acceso a la red

Recomendaciones para impartir este mdulo


Este mdulo no ensear a los alumnos cmo solucionar problemas. Se espera que ya cuenten con conocimientos bsicos sobre la solucin de problemas. Deben saber leer un diagrama de flujo de procesos simple. Tambin deben conocer el uso de un proceso sistemtico para identificar una causa posible y, a continuacin, analizar los datos para determinar una posible solucin al problema. Puesto que la solucin de problemas es un tema complejo, resulta difcil impartir unos conocimientos tan amplios en un curso de cinco das. Este mdulo ofrece algunos diagramas Microsoft Visio que los alumnos pueden utilizar como ayuda para solucionar los problemas de acceso a la red. En estos diagramas se presentan muchas herramientas para la solucin de problemas. Los alumnos recibirn listas de recursos adicionales que pueden utilizar para obtener ms informacin sobre el problema.

Directrices, ejercicios prcticos y prcticas


Pginas de directrices Las pginas de directrices proporcionan decisiones clave sobre el tema tratado en la leccin. Utilice estas directrices para reforzar el contenido y los objetivos de la leccin. Una vez tratado el contenido del tema y realizadas las demostraciones de los procedimientos de la leccin, explique que un ejercicio prctico permitir a los alumnos adquirir experiencia prctica en las tareas tratadas en la leccin. Al final de cada mdulo, gracias a la prctica los alumnos pueden ejercitarse en las tareas que se explican y se aplican en todo el mdulo. Mediante situaciones relacionadas con la funcin de trabajo, la prctica proporciona a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo: Crear un grupo). La columna de la derecha contiene instrucciones especficas necesarias para que los alumnos puedan realizar la tarea (por ejemplo: En Usuarios y equipos de Active Directory, haga doble clic en el nodo del dominio). En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada prctica, por si los alumnos necesitan instrucciones paso a paso para completarla. Tambin pueden consultar los ejercicios prcticos y las pginas de instrucciones del mdulo.

Ejercicios prcticos

Prcticas

Mdulo 10: Solucin de problemas de acceso a la red

Leccin: Recursos para la solucin de problemas de acceso a la red


En este mdulo se explica el concepto de acceso a la red y de qu manera se relaciona con el planeamiento de una infraestructura de red de Windows Server 2003. En lugar de tratar el acceso remoto como concepto independiente, en este mdulo se agrupa la red LAN, las redes privadas virtuales (VPN) el acceso inalmbrico y telefnico bajo el concepto de acceso de red. En este mdulo los alumnos planearn una estrategia completa de acceso a la red. Registros de acceso a la red Sucesos de acceso a la red Herramientas de acceso a la red Proceso para solucionar problemas de recursos para las conexiones LAN Proceso para solucionar problemas de recursos para las conexiones remotas Revise los registros que se presentan en las pginas y explique cmo pueden utilizarse para solucionar problemas de acceso a la red. Emplee ms tiempo en los registros con los que crea que los alumnos estarn menos familiarizados. Explique a los alumnos cmo pueden utilizar el registro de sucesos para solucionar problemas de acceso a la red. Revise las herramientas que se presentan en este tema y, si tiene tiempo, lleve a cabo una demostracin rpida de una de las herramientas para explicar cmo los alumnos pueden utilizarla para analizar el acceso a la red. Explique que el proceso de las diapositivas no es completo. En las diapositivas se presenta un flujo de procesos simplificado que proporciona una introduccin para los alumnos que no estn familiarizados con los procesos de solucin de problemas. Revise el proceso que se encuentra en la pgina del tema. Explique que el proceso de las diapositivas no es completo. En las diapositivas se presenta un flujo de proceso simplificado que proporciona una introduccin para los alumnos que no estn familiarizados con las fases de solucin de problemas. Revise el proceso que se encuentra en la pgina del tema.

Ejercicio prctico: Identificacin de recursos para solucionar problemas de acceso a la red


En este ejercicio prctico se ofrece a los alumnos la oportunidad de intentar seleccionar un mtodo de conexin de acceso a la red.

Leccin: Solucin de problemas de autenticacin de LAN


Causas de los errores de autenticacin de LAN Registro de sucesos de seguridad Auditora de sucesos de inicio de sesin de cuenta Auditora de sucesos de inicio de sesin Directrices para solucionar problemas de acceso a LAN Revise las causas comunes de los errores de autenticacin de LAN.

Revise la auditora de sucesos de inicio de sesin por cuenta y la auditora de sucesos de inicio de sesin. Revise la auditora de sucesos de inicio de sesin por cuenta ms comunes que aparecen enumerados en esta pgina. Revise la auditora de sucesos de inicio de sesin ms comunes que aparecen enumerados en la pgina. Se trata de unas directrices de alto nivel. Proporcione ms informacin detallada para cada una de ellas.

vi

Mdulo 10: Solucin de problemas de acceso a la red

Ejercicio prctico: Solucin de problemas para tener acceso a la red LAN


En este ejercicio prctico se ofrece a los alumnos la oportunidad de probar sus conocimientos sobre cmo seleccionar un mtodo de conexin de acceso a red.

Leccin: Solucin de problemas de acceso remoto


Validacin de certificado Autenticacin mediante registros de IAS Demostracin: Supervisin del acceso remoto mediante IAS Demostracin: Anlisis de archivos de registro de autenticacin y administracin de cuentas de IAS Registro de PPP Conexiones de acceso remoto Autenticacin de acceso inalmbrico Explique la importancia de asegurarse de que los certificados de usuario y de equipo se hayan validado. Revise los temas ms comunes que surgen a la hora de solucionar problemas de autenticacin. Revise la demostracin para asegurarse de que comprende los puntos clave que se presentan. No olvide revisar la pgina multimedia antes de presentar el medio. En la pgina multimedia se presentan las cuestiones claves que los alumnos pueden plantear al ver la demostracin. Esta demostracin la imparte un instructor. Practique la demostracin antes de impartir la clase y preste una atencin especial a las reas que puedan plantear dudas a los alumnos.

Revise los pasos para realizar la conexin PPP y los modos en que se pueden utilizar los registros de PPP para resolver problemas de conexin de cliente. Revise todos los tipos de conexiones y las acciones que los alumnos deben llevar a cabo para solucionar los problemas de cada tipo de conexin. Revise el modo en que la versin 2 del protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP v2) proporciona autenticacin de usuario. Revise, asimismo, las herramientas que se utilizan para solucionar problemas de un punto de acceso inalmbrico. Revise los problemas de acceso a VPN y las estrategias para solucionarlos. Revise la demostracin para asegurarse de que comprende los puntos clave que se presentan. No olvide revisar la pgina multimedia antes de presentar el medio. En la pgina multimedia se presentan las cuestiones claves que los alumnos pueden plantear al ver la demostracin. Revise el proceso para solucionar problemas de acceso telefnico.

Problemas comunes de VPN Demostracin: Creacin y comprobacin de conexiones VPN salientes Proceso para solucionar problemas de acceso telefnico Directrices para solucionar problemas de acceso remoto

Revise las directrices y explique a los alumnos por qu deben tener en cuenta cada directriz. Asegrese de que comprenden las consecuencias de no seguir dichas directrices.

Mdulo 10: Solucin de problemas de acceso a la red

vii

Ejercicio prctico: Solucin de problemas de autenticacin de acceso remoto


En este ejercicio prctico se ofrece a los alumnos la oportunidad de probar sus conocimientos acerca de cmo determinar una estrategia de directiva de acceso remoto.

Prctica A: Solucin de problemas de acceso a la red


Informacin general de la prctica En la prctica se muestra el mismo enfoque que se utiliza en todo el mdulo. El escenario del ejercicio 1 muestra un problema. Se muestra a los alumnos el resultado de varias herramientas con las que se puede determinar un problema. Los alumnos deben examinar cuidadosamente la informacin del resultado de las diferentes herramientas de solucin de problemas y detectar la causa probable del problema. En el ejercicio 2 se presenta otro escenario. Los alumnos deben determinar una metodologa y seleccionar las herramientas de solucin de problemas que pueden proporcionar la informacin ms relevante sobre el problema.

Informacin de personalizacin
En esta seccin se identifican los requisitos de instalacin de las prcticas de un mdulo y los cambios de configuracin que se producen en los equipos de los alumnos durante estas prcticas. Esta informacin pretende ayudarle a replicar o personalizar el material del curso MOC (Microsoft Official Curriculum). La prctica de este mdulo tambin depende de la configuracin del aula especificada en la seccin Informacin de personalizacin, al final de la Gua de configuracin automatizada del aula del curso 2191A, Planeamiento y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003.

Configuracin de las prcticas


No existen requisitos de instalacin de la prctica que afecten a la replicacin o la personalizacin.

Resultados de las prcticas


No hay ningn cambio de configuracin de los equipos de los alumnos que afecte a la replicacin o la personalizacin.

Mdulo 10: Solucin de problemas de acceso a la red

Introduccin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En este mdulo se proporciona informacin sobre cmo solucionar problemas de acceso a la red de una infraestructura de red de Microsoft Windows Server 2003. Existen dos categoras principales de acceso a la red: acceso a redes de rea local (LAN) y de acceso remoto. En cada una de estas reas, se pueden utilizar procedimientos y herramientas que facilitan la resolucin de los problemas de acceso. Despus de finalizar este mdulo, el alumno podr:
! ! !

Objetivos

Identificar recursos para solucionar problemas de acceso a la red. Explicar cmo se solucionan los problemas de autenticacin de LAN. Explicar cmo solucionar problemas de acceso remoto.

Mdulo 10: Solucin de problemas de acceso a la red

Leccin: Recursos para la solucin de problemas de acceso a la red

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En esta leccin se explican los diferentes recursos existentes para la solucin de problemas de acceso a la red. Adems, en la leccin se identifican los mejores recursos para la solucin de problemas de acceso a la red LAN y de acceso remoto. Despus de finalizar esta leccin, el alumno podr:
! ! ! !

Objetivos de la leccin

Identificar los registros de solucin de problemas de acceso a la red. Identificar los sucesos de solucin de problemas de acceso a la red. Identificar las herramientas de solucin de problemas de acceso a la red. Explicar el proceso para los recursos de solucin de problemas de conexiones de LAN. Explicar el proceso para los recursos de solucin de problemas de conexiones remotas.

Mdulo 10: Solucin de problemas de acceso a la red

Registros de acceso a la red

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Puede utilizar varios mtodos para conectarse a una red. Muchos de ellos permiten crear y analizar registros y registros de transacciones o actividades para ayudarle a solucionar los problemas cuando se produzcan. Si utiliza un servidor que ejecuta el servicio Enrutamiento y acceso remoto de Microsoft Windows Server 2003 como servidor de acceso a la red, puede utilizar la autenticacin o la contabilidad de Windows. Si la autenticacin o la contabilidad de Windows estn activadas, puede registrar informacin de autenticacin y administracin de cuentas para las conexiones de acceso a la red en archivos de registro locales. Este registro es independiente de los sucesos que se registran por el registro del sistema. La informacin de autenticacin y administracin de cuentas se almacena en un archivo de registro configurable o en archivos que se almacenan en la carpeta raz_del_sistema\System32\LogFiles (la carpeta que contiene los archivos del sistema de Windows 2000). Los archivos de registro se guardan con formato IAS (Servicio de autenticacin de Internet) o con un formato compatible con bases de datos de manera que cualquier programa de bases de datos pueda leerlos directamente para analizarlos. Algunos de los registros tambin se guardan en formato XML (Lenguaje de marcado extensible). Puede utilizar la informacin almacenada en los registros de autenticacin y contabilidad de Windows para realizar un seguimiento de la utilizacin del acceso a la red y de los intentos de autenticacin. El registro de autenticacin y administracin de cuentas es especialmente til para solucionar problemas de directivas de acceso remoto. Por cada intento de autenticacin, se registra el nombre de la directiva de acceso remoto que lo acepta o rechaza. Registros de PPP El registro de PPP (Protocolo Punto a Punto) almacena la serie de funciones de programacin y mensajes de control PPP durante una conexin PPP y es una valiosa fuente de informacin cuando se intenta solucionar un error de conexin PPP. De forma predeterminada, el registro de PPP se almacena como archivo ppp.log en la carpeta raz_del_sistema\Tracing.

Autenticacin de Windows o contabilidad de Windows

Mdulo 10: Solucin de problemas de acceso a la red

Registros de IAS

Un servidor que ejecuta el servicio Enrutamiento y acceso remoto puede efectuar el registro de informacin de autenticacin y administracin de cuentas para las conexiones de acceso a la red en un servidor RADIUS (Servicio de usuario telefnico de autenticacin remota) cuando se habilitan la autenticacin y la administracin de cuentas de RADIUS. Este registro es independiente de los sucesos que se registran en el registro del sistema. Cuando configure el registro, puede especificar lo siguiente:
! ! ! !

Las solicitudes que se registran. El formato del archivo de registro. La frecuencia de inicio de nuevos registros. La eliminacin automtica del archivo de registro ms antiguo cuando el disco se llene. El lugar en el que se almacenan los archivos de registro. La informacin que contiene el archivo de registro.

! !

Puede utilizar la informacin registrada en el servidor IAS para realizar un seguimiento del uso del acceso a la red y de los intentos de autenticacin. Si el servidor RADIUS est ejecutando IAS, la informacin de autenticacin y administracin de cuentas se registra en archivos de registro que se almacenan en el servidor IAS. Utilice un procedimiento simple para habilitar y configurar el registro, de mismo modo que lo hara con un servidor donde se ejecutara el servicio Enrutamiento y acceso remoto. Puede utilizar la consola IAS para especificar las peticiones que se registran, el formato del archivo de registro, la frecuencia con la que se inician registros nuevos y el lugar en el que se almacenarn los archivos de registro. Adems, puede recopilar esta informacin desde una ubicacin central y puede utilizar IAS para crear archivos de registro basados en las peticiones de autenticacin y administracin de cuentas recibidas desde los servidores de acceso. Puede simplificar la administracin del servicio configurando y utilizando los archivos de registro para realizar un seguimiento de la informacin de autenticacin, como por ejemplo la aceptacin y el rechazo de conexin. Puede configurar y utilizar registros para realizar un seguimiento de la informacin de administracin de cuentas (como registros de inicio y de cierre de sesin) para mantener una relacin y emplearla en la facturacin, por ejemplo. Registro de auditora y Oakley Puede utilizar la funcin de registro de auditora de Windows Server 2003 para supervisar los sucesos relacionados con la seguridad del protocolo de Internet (IPSec). Esta funcin es el modo ms rpido y fcil de solucionar problemas de conexiones del protocolo de tnel de capa dos (L2TP)/IPSec. Tambin puede habilitar el registro Oakley para registrar todas las negociaciones de modo rpido o modo principal del protocolo de administracin de claves y asociaciones de seguridad de Internet (ISAKMP).

Mdulo 10: Solucin de problemas de acceso a la red

Registro de seguimiento IKE

Algunos escenarios IPSec pueden requerir un anlisis ms detallado de las negociaciones de modo rpido y de las negociaciones de modo principal IKE (Intercambio de claves de Internet) para la solucin de problemas. Puede habilitar el seguimiento para las negociaciones IKE en el caso de que los sucesos de error de la auditora no ofrezcan suficiente informacin. El registro de seguimiento IKE es un registro detallado destinado a solucionar problemas de interoperabilidad de IKE en circunstancias controladas. Es necesario tener conocimientos especficos RFC 2408 de ISAKMP y de RFC 2409 de IKE para interpretar este archivo de registro. El registro de seguimiento IKE se encuentra en el archivo raz_del_sistema\Debug\Oakley.log. El registro tiene un tamao fijo de 50.000 lneas y se sobrescribir segn convenga. Cada vez que se inicia el servicio IPSec se crea un archivos Oakley.log nuevo y la versin anterior de dicho archivo se guarda como Oakley.log.sav. Una vez lleno el archivo Oakley.log, el archivo actual se guarda como Oakley.log.bak y se crea un nuevo archivo Oakley.log. Puesto que es posible que se produzcan muchas negociaciones IKE simultneamente, debe reducir el nmero de negociaciones y limitar al mximo el tiempo de duracin del registro para obtener un archivo que pueda interpretarse ms fcilmente.

Mdulo 10: Solucin de problemas de acceso a la red

Sucesos de acceso a la red

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El registro de sucesos se crea al registrar los sucesos en varios archivos de registro de sucesos de Windows Server 2003. El registro de sucesos suele utilizarse para solucionar problemas o para notificar a los administradores de la red la existencia de sucesos poco habituales. Los registros de sucesos son un primer recurso excelente para comprobar la existencia de problemas de acceso a la red, ya que muchos servicios registran sus errores y advertencias en ellos. Al utilizar la directiva de grupo para habilitar la auditora de sucesos de inicio de sesin, puede aplicar la directiva en la unidad organizativa de los controladores de dominio para asegurarse de que todos registren estos sucesos. Para sucesos de inicio de sesin de estaciones de trabajo individuales, puede establecer una directiva de grupo local para registrar los sucesos locales de inicio de sesin. Registros de sistema Los registros de sistema contienen informacin de varios servicios que se ejecutan y registran la informacin relativa a su estado. Los servicios como el acceso remoto y el inicio de sesin en red pueden registrar errores y advertencias importantes en el registro del sistema para notificar al usuario problemas de acceso determinados. Puede habilitar el registro de sucesos y seleccionar el nivel de detalle que desea registrar en la ficha Registro de la pgina Propiedades para un servidor de acceso remoto. El servicio de inicio de sesin tambin registra en el registro del sistema errores y advertencias relativas a problemas de acceso a la red. Por ejemplo, si un problema de confianza del dominio no permite que todos los usuarios de un determinado dominio inicien sesin, aparecer un mensaje de advertencia de inicio de sesin en el registro del sistema que le alertar.

Mdulo 10: Solucin de problemas de acceso a la red

Registros de seguridad

El registro de sucesos de seguridad puede ser de gran utilidad para solucionar errores de autenticacin Kerberos o IPSec. Si se habilita este tipo de registro, podr ver los errores de inicio de sesin durante una autenticacin de usuario, lo que resulta de utilidad para explicar lo que puede haber ocurrido durante el proceso de autenticacin y por qu dicho proceso no se ha llevado a cabo correctamente. Nota Para obtener ms informacin acerca del protocolo Kerberos, consulte el artculo 217098 Basic Overview of Kerberos User Authentication Protocol in Windows 2000 en la base del conocimiento de Microsoft que se encuentra en http://support.microsoft.com/default.aspx?scid=kb;en-us;217098. Puede establecer una directiva de grupo para sucesos de inicio de sesin de cuenta y de auditora para recopilar informacin sobre la autenticacin Kerberos. Nota Para obtener ms informacin sobre la solucin de problemas de Kerberos, consulte el artculo 326985, Troubleshoot Kerberos-Related Issues in IIS en la base del conocimiento de Microsoft que se encuentra en http://support.microsoft.com/default.aspx?scid=kb;en-us;326985.

Sucesos IKE de IPSec

Los sucesos IKE de IPSec (negociacin correcta y con errores) tambin pueden registrarse en el registro de seguridad. Nota Para obtener informacin adicional acerca del registro de sucesos IKE de IPSec, busque DisableIKEAudits en los archivos de la Ayuda de Windows Server 2003. Si habilita la auditora de acciones correctas o errores en la directiva de auditora Auditar sucesos de inicio de sesin, IPSec registra la accin correcta o el error de cada negociacin de modo principal y modo rpido, as como el establecimiento y terminacin de cada negociacin como sucesos independientes. No obstante, al habilitar este tipo de auditora, el registro de seguridad puede llenarse de sucesos IKE. Por ejemplo, en los servidores que estn conectados a Internet, los ataques al protocolo IKE pueden provocar que el registro de seguridad se llene de sucesos IKE. Los sucesos IKE tambin pueden llenar el registro de seguridad de los servidores que emplean IPSec para proteger el trfico destinado a diversos clientes. Para evitar que el registro se llene de sucesos IKE, puede deshabilitar la auditora de sucesos IKE en el registro de seguridad si modifica la opcin de registro DisableIKEAudits. Precaucin Si modifica incorrectamente el registro, se puede daar gravemente el sistema. Antes de efectuar cambios en el registro, debe hacer una copia de seguridad de toda la informacin valiosa del equipo. Advertencia Como norma general, no registre sucesos IKE de IPSec de forma ininterrumpida, puesto que, de este modo, se pueden registrar grandes volmenes de datos. Es recomendable desactivar el registro cuando haya terminado de solucionar los problemas.

Mdulo 10: Solucin de problemas de acceso a la red

Herramientas de acceso a la red

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Diagnsticos de acceso remoto Puede utilizar varias herramientas, adems del registro y los sucesos, para solucionar problemas de acceso a la red. Puede utilizar las funciones de diagnstico de acceso remoto que se encuentran disponibles en la familia de Windows Server 2003 para recopilar registros e informacin detallados acerca de una conexin de acceso remoto. Puede ejecutar diagnsticos especficos introduciendo el comando netsh ras diag en la lnea de comandos. Nota Para visualizar la sintaxis del comando, ejecute netsh ras diag desde la lnea de comandos y visualice los comandos disponibles o consulte los archivos de la Ayuda de Windows Server 2003 para obtener ms informacin. Monitor de red El monitor de red (o cualquier analizador de paquetes) puede capturar el trfico de la red entre un cliente de red y el servidor de acceso a la red. Al analizar el trfico de acceso a la red, puede encontrar las respuestas a los problemas de acceso a la red, as como soluciones posibles. Para interpretar adecuadamente el trfico de la red con el monitor de red, es necesario tener conocimientos detallados de los protocolos de red. Puede guardar los archivos capturados del monitor de red y enviarlos a un experto en protocolos para que los analice. Netdom La utilidad Dominios de red (Netdom) es una solucin de lnea de comandos que permite al administrador comprobar los servidores y establecer y/o restablecer las relaciones de confianza.

Mdulo 10: Solucin de problemas de acceso a la red

Kerbtray

Kerbtray.exe es una utilidad muy prctica para solucionar problemas de Kerberos. Esta forma parte del kit de recursos de Microsoft Windows 2000. Mediante Kerbtray, puede ver los vales Kerberos que se han concedido fuera de la cach local. Puede descargar la utilidad Kerbtray en http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/ kerbtray-o.asp Nota Para obtener ms informacin sobre Kerbtray y consejos para solucionar problemas de Kerberos, consulte el artculo Authentication for Administrative Authority que se encuentra en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/ bestprac/authent.asp.

Monitor de seguridad IP

El monitor de seguridad IP es una herramienta que se utiliza para solucionar problemas avanzados de IPSec. Permite visualizar los detalles sobre una directiva IPSec activa que se aplica localmente o a un dominio; as como estadsticas asociadas con el proceso de intercambio de claves. Adems de las utilidades especficas de acceso a red, tambin puede utilizar las herramientas estndar para solucionar problemas de red, como por ejemplo ipconfig, ping, pathping, traceroute, etc.

Utilidades estndar para solucionar problemas de red

10

Mdulo 10: Solucin de problemas de acceso a la red

Proceso para solucionar problemas de recursos para las conexiones LAN

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Como en cualquier actividad relativa a la solucin de problemas, debe disponer de un proceso definido que seguir al solucionar los problemas de acceso a la red. Una vez que haya definido el proceso, debe definir los recursos que utilizar para determinar y resolver los problemas de conexin LAN. Es importante recordar que, en primer lugar, debe recopilar informacin ms general y, a continuacin, debe recopilar informacin ms especfica de forma progresiva segn convenga para solucionar el problema. Con frecuencia, puede solucionar problemas examinando la informacin del registro de sucesos que ha sido ms fcil de recopilar y que es de carcter ms general. Una vez que haya determinado que un usuario no puede iniciar una sesin, debe llevar a cabo los pasos siguientes para solucionar los problemas de conexin LAN:
!

Proceso

Compruebe que se ha completado el proceso estndar de solucin de problemas de red. Determine si el problema es general o slo afecta a un usuario. Visualice los registros del sistema adecuados. Si los registros del sistema no ofrecen informacin suficiente, recopile ms informacin mediante los registros y sucesos del equipo local. Una vez que haya identificado el problema, utilice las herramientas adecuadas para solucionarlo.

! ! !

Registros del visor de sucesos

Siempre debe comprobar primero si los registros del visor de sucesos contienen informacin relevante relacionada con el intento de conexin. Si ha habilitado la auditora de sucesos de inicio de sesin y de sucesos de inicio de sesin de cuenta, podr recopilar informacin relevante en el caso de que tenga problemas con Kerberos. Esta informacin tambin puede resultarle de utilidad para identificar los problemas relacionados con IPSec.

Mdulo 10: Solucin de problemas de acceso a la red

11

Kerbtray

Si es necesario, recopile informacin ms detallada relacionada con el problema. Por ejemplo, si le parece que el problema tiene que ver con Kerberos y todava necesita ms informacin, le puede ser de utilidad la informacin de Kerbtray para definir el problema. Si la autenticacin RADIUS se utiliza para la conexin, podr utilizar los registros de RADIUS. Estos pueden contener informacin importante relativa al problema. Si no puede identificar el problema mediante otros mtodos, debe visualizar la propia interaccin del protocolo, que puede analizarse mediante el monitor de red u otro analizador de protocolos. Sin embargo, esta informacin slo resulta de utilidad si es un experto en el protocolo que se est analizando; as que es posible que necesite a un tcnico para que le ayude con el anlisis.

Registros de RADIUS

Monitor de red

12

Mdulo 10: Solucin de problemas de acceso a la red

Proceso para solucionar problemas de recursos para las conexiones remotas

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Proceso Una vez que haya definido el proceso para solucionar problemas de conexiones remotas, debe seleccionar los recursos que utilizar para ello. El proceso para solucionar problemas de acceso remoto es similar al que se utiliza para solucionar problemas de acceso a LAN, pero la diferencia principal es que es ms probable que dicho problema se encuentre en el equipo cliente. Una vez que haya identificado que un usuario no puede iniciar una sesin, debe llevar a cabo los pasos siguientes para solucionar los problemas de la conexin remota:
!

Compruebe que se ha completado el proceso estndar de solucin de problemas de red. Determine si el problema es general o slo afecta a un usuario. Visualice los registros del servicio Enrutamiento y acceso remoto para identificar el problema. Si los registros del sistema no ofrecen informacin suficiente, recopile ms informacin mediante los registros y sucesos del equipo local. Una vez que haya identificado el problema, utilice las herramientas adecuadas para solucionarlo.

! !

Registro de sucesos

Si utiliza un servidor que ejecuta el servicio Enrutamiento y acceso remoto como servidor de acceso a la red y se ha habilitado el registro de sucesos, podr encontrar pistas acerca del problema del acceso remoto en el registro de sucesos. Algunos problemas requerirn que lleve a cabo una accin inmediata. Otros deber analizarlos con detenimiento.

Mdulo 10: Solucin de problemas de acceso a la red

13

Registros de contabilidad y autenticacin de Windows Netsh Otros registros

Si utiliza un servidor que ejecuta el servicio Enrutamiento y acceso remoto como servidor de acceso a la red, tambin puede recopilar ms informacin en los registros de contabilidad y autenticacin de Windows o en los registros de autorizacin y administracin de cuentas de RADIUS. Si se necesitan ms detalles, resultar de utilidad en esta fase los diagnsticos de acceso remoto de la herramienta de lnea de comandos: Netsh. Puede recopilar informacin detallada adicional de los registros configurables, como los registros de PPP o el registro Oakley para los problemas de L2TP/IPSec. Si no puede identificar el problema mediante otros mtodos, tendr que analizar dicho problema en el nivel de protocolo, lo cual implica que debe ser un experto en los protocolos. El monitor de red permite capturar la informacin que necesitar para analizar los protocolos.

Monitor de red

14

Mdulo 10: Solucin de problemas de acceso a la red

Ejercicio prctico: Identificacin de recursos para solucionar problemas de acceso a la red

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En este ejercicio prctico, identificar los recursos y los procesos para solucionar problemas de acceso a la red. El objetivo de este ejercicio prctico es identificar los recursos para solucionar problemas de acceso a la red. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario La empresa Contoso Ltda., un proveedor de soluciones de conectividad de red, le ha contratado como consultor. El crecimiento rpido de la empresa ha supuesto una carga excesiva para los tcnicos de soporte de red contratados y la empresa tendr que contratar a tcnicos de nivel bsico para adaptarse a la creciente demanda. El mtodo actual de la empresa para la solucin de problemas de acceso a la red consiste en recopilar y analizar los datos en los registros de seguimiento y en las capturas de paquetes adecuados. Puesto que es posible que el nuevo personal no tenga los conocimientos necesarios para interpretar estos datos, debe aconsejar otros modos para facilitar el proceso de solucin de problemas.

Mdulo 10: Solucin de problemas de acceso a la red

15

Ejercicio prctico

Qu otros mtodos y herramientas debe utilizar el personal de soporte tcnico para facilitar la solucin de los problemas de acceso a la red? En lugar de empezar con la informacin detallada que se encuentra en los archivos de seguimiento y en las capturas de paquetes, el personal de soporte tcnico debe llegar a dominar perfectamente las tareas de recopilacin e interpretacin de informacin de los registros de sucesos y de los registros de administracin de cuentas y autenticacin que se encuentran en el servidor que ejecuta el servicio Enrutamiento y acceso remoto o en el servidor IAS, en funcin del proveedor de autenticacin que se haya configurado. Si la informacin que se encuentra en estos registros no permite llegar a una solucin, puede recopilar registros ms avanzados y compartirlos con los ingenieros de software o el personal de soporte tcnico de nivel superior de la empresa, quienes tienen conocimientos especficos sobre los protocolos implicados en el acceso a la red. _______________________________________________________________ _______________________________________________________________ _______________________________________________________________ _______________________________________________________________

16

Mdulo 10: Solucin de problemas de acceso a la red

Leccin: Solucin de problemas de autenticacin de LAN

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Esta leccin se centra en la solucin de problemas de autenticacin de LAN. Existen varias razones por las que la autenticacin de LAN puede convertirse en un problema. En esta leccin se identifican los problemas ms comunes, as como las herramientas que puede utilizar para resolverlos. Despus de finalizar esta leccin, el alumno podr:
! !

Objetivos de la leccin

Identificar las causas de los errores de autenticacin de LAN. Explicar cmo se utilizan los registros de auditora para solucionar problemas de autenticacin. Identificar sucesos de auditora de inicio de sesin de cuenta. Identificar sucesos de auditora de inicio de sesin. Aplicar las directrices para solucionar problemas de acceso a LAN.

! ! !

Mdulo 10: Solucin de problemas de acceso a la red

17

Causas de los errores de autenticacin de LAN

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Sin conectividad con los recursos de redes Los problemas ms comunes con la autenticacin de LAN son problemas de ruta de confianza y no poder comunicarse con un controlador de dominio. El hecho de no poder autenticarse en LAN puede deberse a la imposibilidad de conexin con otros recursos de red, como el servidor DHCP, el servidor DNS, etc. La conectividad de red bsica con estos recursos debe producirse antes de la autenticacin. Es posible que pueda conectarse a la red, obtener una direccin IP e incluso resolver el nombre del controlador del dominio; sin embargo, en funcin del protocolo de autenticacin que se utilice, necesitar comunicarse con un controlador de dominio en algn momento del proceso. Si no puede llegar al controlador de dominio, es posible que la autenticacin no pueda llevarse a cabo. Si existen problemas con los dispositivos fsicos, no podr conectarse mediante ningn mtodo. Debe utilizar el proceso estndar de solucin de problemas de red para garantizar la conectividad de red entre clientes, los recursos de red y los controladores de dominio. Una ruta de confianza se define por una serie de vnculos de confianza establecidos entre dominios para pasar solicitudes de autenticacin. El servicio Inicio de sesin de red implementa las rutas de confianza a travs de una conexin autenticada de llamada a procedimiento remoto (RPC) con la autoridad del dominio de confianza; es decir, el controlador de dominio. Si se hace referencia a la solicitud de autenticacin, se calcula la ruta para la autenticacin de paso NTLM o para una referencia Kerberos mediante la informacin acerca de las relaciones de confianza de acceso directo actual y de rbol para encontrar la ruta al dominio de destino.

Imposible llegar al controlador de dominio

Problemas con dispositivos fsicos

Qu es una ruta de confianza?

Rutas de confianza para NTLM y Kerberos

18

Mdulo 10: Solucin de problemas de acceso a la red

Nota Para obtener informacin adicional acerca de las rutas de confianza para NTLM y Kerberos, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet /prodtechnol/windows2000serv/maintain/kerberos.asp. En el clculo de esta ruta, las relaciones de confianza de acceso directo tienen la funcin de pasar por alto los dominios superiores de la jerarqua. En cada nivel del rbol, se comprueban las relaciones de confianza de acceso directo que pueden existir. Si se encuentra una que hace referencia al dominio de destino, no ser necesario comprobar el siguiente dominio del rbol.
!

NTLM Si utiliza el protocolo NTLM, el servidor debe ponerse en contacto con un servicio de autenticacin de dominios de un controlador de dominio para comprobar las credenciales del cliente. Los servidores autentican a los clientes reenviando las credenciales de estos a un controlador de dominio del dominio de la cuenta del cliente.

Kerberos Si utiliza el protocolo Kerberos, el servidor no se pondr en contacto con el controlador de dominio. Para conseguir un vale, el cliente lo solicita al controlador de dominio del dominio de la cuenta del servidor y el servidor valida dicho vale sin consultrselo a ninguna otra autoridad.

Errores comunes

En la tabla siguiente se proporciona una lista de los errores comunes que puede encontrar mientras soluciona problemas de conexiones LAN. Encontrar estos y otros errores en el registro del sistema.
Descripcin No se encuentra el nombre del cliente (entidad principal desconocida). No se encuentra el nombre del servidor (entidad principal desconocida). La contrasea ha caducado; debe cambiarla para restablecerla. Sugerencias para la solucin Si encuentra este error, debe comprobar si el nombre se encuentra en el servicio de directorio Active Directory. En caso afirmativo, compruebe si la cuenta ha caducado. Es posible que un usuario quede bloqueado de forma repentina mientras est conectado a una sesin. Si encuentra este error, debe comprobar si el nombre se encuentra en Active Directory. En caso afirmativo, compruebe si la cuenta ha caducado. Es posible que un usuario quede bloqueado de forma repentina mientras est conectado a una sesin. Si se almacena en la cach un vale y caduca o se modifica la contrasea del usuario, es posible que existan conflictos entre credenciales. El usuario tendr que cerrar la sesin y volver a iniciarla para que las credenciales coincidan.

Nmero de error Error 0x6

Error 0x7

Error 0x17

Error 0x1F

Error al comprobar la integridad en el archivo descifrado.

Es probable que el cliente haya recibido la direccin incorrecta del servidor que estaba buscando. El lugar donde se debe empezar a buscar un problema es DNS o el sistema que se est utilizando para la resolucin de nombres.

Mdulo 10: Solucin de problemas de acceso a la red (continuacin) Nmero de error Error 0x29 Descripcin Secuencia de mensajes modificada. Sugerencias para la solucin Es probable que el cliente haya recibido la direccin incorrecta del servidor que estaba buscando. El lugar donde se debe empezar a buscar un problema es DNS o el sistema que se est utilizando para la resolucin de nombres. Cuanto menor sea el valor de Vigencia mxima del vale de servicio, ms veces aparecer este error. Este error indica que un autenticador especfico ha aparecido dos veces. La causa puede ser que un atacante intente reproducir una sesin o que simplemente la tarjeta de red sea defectuosa.

19

Error 0x20 Error 0x25

El vale ha caducado. La solicitud de sesin es una reproduccin. La desviacin del reloj es demasiado amplia.

Error 0x25

Aunque este error aparezca en los registros, no evitar que se realice la autenticacin de los usuarios. Suponiendo que las credenciales del usuario son vlidas, la autenticacin del usuario se llevar a cabo en el segundo intento.

20

Mdulo 10: Solucin de problemas de acceso a la red

Registro de sucesos de seguridad

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin El registro de sucesos de seguridad puede resultar de gran ayuda para solucionar errores de autenticacin de Kerberos y NTLM. Una vez habilitado el registro de sucesos de seguridad, podr ver los errores de inicio de sesin generados durante la autenticacin de usuarios. Esta informacin le permitir comprender mejor lo que puede ocurrir durante el proceso de autenticacin y por qu se producen errores en este. Dos categoras de auditora de directiva de grupo son particularmente tiles para solucionar problemas de autenticacin de LAN: Auditoria de sucesos de inicio de sesin de cuenta y auditora de sucesos de inicio de sesin. Definicin de configuracin de directiva La definicin de la configuracin de directiva permite especificar si deben auditarse los aciertos y los errores o no auditar en absoluto el tipo de suceso. Las auditoras de aciertos generan una entrada de auditora cuando se lleva a cabo correctamente un inicio de sesin de cuenta. Las auditoras de errores generan una entrada de auditora cuando no se lleva a cabo correctamente un inicio de sesin de cuenta. Puede establecer este valor en el cuadro de dilogo Propiedades para esta configuracin de directiva. Debe seleccionar la casilla de verificacin Definir esta configuracin de directiva y desactivar las casillas de verificacin Correcto y Error. El valor predeterminado es Correcto. Si se ha habilitado la auditora de aciertos para sucesos de inicio de sesin de cuenta en un controlador de dominio, se registra una entrada para cada usuario que se haya validado con dicho controlador de dominio aunque dicho usuario inicie la sesin realmente en una estacin de trabajo asociada al dominio.

Mdulo 10: Solucin de problemas de acceso a la red

21

Auditora de sucesos de inicio de sesin de cuenta

La configuracin de seguridad de la auditora de sucesos de inicio de sesin de cuenta determina si debe auditarse cada una de las instancias de un inicio o cierre de sesin de usuario desde otro equipo en el que se utilice el controlador de dominio para validar la cuenta. Los sucesos de inicio de sesin de cuenta se generan cuando se autentica una cuenta de usuario de dominio en un controlador de dominio. El suceso se registra en el registro de seguridad del controlador de dominio. Si define esta configuracin de directiva, puede especificar si debe auditarse los aciertos o los errores para auditar o no auditar en absoluto. Las auditoras de aciertos generan una entrada de auditora cuando se lleva a cabo correctamente un inicio de sesin de cuenta. Las auditoras de errores generan una entrada de auditora cuando no se lleva a cabo correctamente un inicio de sesin de cuenta.

Auditora de sucesos de inicio de sesin

Esta configuracin de seguridad determina si debe auditarse cada una de las instancias de inicio o de cierre de sesin de un usuario desde otro equipo. Los sucesos de inicio de sesin se generan cuando se autentica un usuario local en un equipo local. El suceso se registra en el registro de seguridad local. Si define esta configuracin de directiva, puede especificar si debe auditarse los aciertos o los errores para auditar o no auditar en absoluto. Las auditoras de aciertos generan una entrada de auditora cuando se inicia una sesin correctamente. Las auditoras de errores generan una entrada de auditora cuando no se inicia una sesin correctamente.

22

Mdulo 10: Solucin de problemas de acceso a la red

Auditora de sucesos de inicio de sesin de cuenta

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Auditora de sucesos de inicio de sesin de cuenta Al examinar una auditora de sucesos de inicio de sesin de cuenta, encontrar sucesos que describen el problema de seguridad que puede estar teniendo. En la tabla siguiente aparece una lista de los Id. de suceso y la descripcin de cada uno de ellos.
Id. de suceso 672 673 674 675 Descripcin Se ha emitido y validado correctamente un vale de sistemas autnomos (AS) de servicio de autenticacin. Se ha otorgado un vale del servicio de generacin de vales TGS (servicio para otorgar vales). Una entidad principal de seguridad ha renovado un vale AS o un vale TGS. Error de preautenticacin. Este suceso se genera en un centro de distribucin de claves (KDC) cuando un usuario introduce una contrasea incorrecta. Se ha asignado correctamente una cuenta a una cuenta de dominio. Un usuario se ha vuelto a conectar a una sesin de Terminal Server desconectada. Un usuario se ha desconectado de una sesin de Terminal Server sin cerrarla.

678 682

683

Nota Para obtener ms informacin acerca de cada uno de los ID. de suceso, consulte el artculo Q326985 How to Troubleshoot Kerberos-Related Issues in IIS que se encuentra en la base del conocimiento de Microsoft en http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b326985.

Mdulo 10: Solucin de problemas de acceso a la red

23

Auditora de sucesos de inicio de sesin

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La configuracin de seguridad de la auditora de sucesos de inicio de sesin determina si debe auditarse cada una de las instancias de un usuario que inicia o cierra sesin desde un equipo. En la tabla siguiente se ofrece una breve descripcin de cada uno de los Id. de sucesos. Los tres sucesos que se producen con ms frecuencia son los nmeros de Id. de suceso 528, 529 y 540.
Id. de suceso Descripcin 528 529 Un usuario ha iniciado correctamente una sesin en un equipo. Error de inicio de sesin. Se ha intentado iniciar una sesin con un nombre de usuario desconocido o con un nombre de usuario conocido con una contrasea no vlida. Error de inicio de sesin. Un usuario ha intentado iniciar una sesin fuera del tiempo permitido. Error de inicio de sesin. Se ha intentado iniciar una sesin mediante una cuenta deshabilitada. Error de inicio de sesin. Se ha intentado iniciar una sesin mediante una cuenta caducada. Error de inicio de sesin. Un usuario al que no se le permite iniciar una sesin en este equipo ha intentado iniciar una sesin. Error de inicio de sesin. El usuario ha intentado iniciar una sesin con un tipo no permitido. Error de inicio de sesin. La contrasea de la cuenta especificada ha caducado.

Sucesos de inicio de sesin de cuenta comunes

530 531 532 533 534 535

24

Mdulo 10: Solucin de problemas de acceso a la red (continuacin) Id. de suceso Descripcin 536 537 Error de inicio de sesin. El servicio de inicio de sesin de red no se encuentra activo. Error de inicio de sesin. Error al intentar iniciar una sesin debido a otros motivos. Nota: en algunos casos, es posible que no se determine cul es el motivo del error de inicio de sesin. El proceso de cierre de sesin se ha completado para un usuario. Error de inicio de sesin. La cuenta estaba bloqueada cuando se intent iniciar una sesin. Un usuario ha iniciado correctamente una sesin en la red. Se ha completado la autenticacin IKE de modo principal entre el equipo local y la identidad del homlogo listada (se establece una asociacin de seguridad), o bien el modo rpido ha establecido un canal de datos. El canal de datos se ha interrumpido. El modo principal se ha interrumpido. Nota: esta interrupcin puede ocurrir debido a la caducidad del lmite temporal de la asociacin de seguridad (el valor predeterminado es ocho horas), a cambios de directivas o a la interrupcin del homlogo. Error de autenticacin de modo principal debida a que el homlogo no ha proporcionado un certificado vlido o a que la firma no se ha validado. Error de autenticacin de modo principal debido a un error de Kerberos o a una contrasea no vlida. Error de establecimiento de asociacin de seguridad IKE debido a que el homlogo ha enviado una propuesta no vlida. Se ha recibido un paquete que contiene datos no vlidos. Error durante el protocolo de enlace IKE. Error de inicio de sesin. El Id. de seguridad (SID) de un dominio de confianza no coincide con el SID del dominio de la cuenta del cliente. Error de inicio de sesin. Se han filtrado todos los SID que corresponden a espacios de nombre que no son de confianza mientras se realizaba una autenticacin entre bosques. Mensaje de notificacin que puede indicar un posible ataque de denegacin de servicio. Un usuario ha iniciado el proceso de cierre de sesin. Un usuario ha iniciado una sesin en un equipo correctamente mediante credenciales explcitas mientras ya haba iniciado sesin como un usuario diferente. Un usuario se ha vuelto a conectar a una sesin de Terminal Server desconectada. Un usuario se ha desconectado de una sesin de Terminal Server sin cerrarla. Nota: este suceso se genera cuando un usuario se conecta a una sesin de Terminal Server en la red. Aparece en el Terminal Server.

538 539 540 541

542 543

544 545 546

547 548 549

550 551 552

682 683

Mdulo 10: Solucin de problemas de acceso a la red

25

Nota Para obtener informacin detallada sobre los sucesos ms habituales, consulte el artculo Q326985 How to Troubleshoot Kerberos-Related Issues with IIS que se encuentra en la base del conocimiento de Microsoft en http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b326985.

26

Mdulo 10: Solucin de problemas de acceso a la red

Directrices para solucionar problemas de acceso a LAN

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Solucionar los problemas de acceso a LAN puede ser una tarea desalentadora. Adems de identificar las herramientas adecuadas, debe definir un proceso. Las directrices siguientes le ayudarn a determinar la mejor metodologa de solucin de problemas para la empresa. Utilice el proceso siguiente a la hora de solucionar problemas de acceso a LAN:
!

Identificar los sntomas del problema Debe comprobar los sntomas del problema con el cliente. Tambin debe evaluar los recursos de red para asegurarse de que el problema no est relacionado con el hardware.

Seleccionar los recursos que deben utilizarse Seleccione los recursos adecuados basndose en los sntomas del problema. Una vez que haya seleccionado los recursos, debe habilitar la auditora de los sucesos de inicio de sesin y de los sucesos de inicio de sesin de cuenta.

Aislar el problema Una vez que haya seleccionado los recursos, debe determinar el mejor modo de utilizarlos para aislar el problema.

Sugerencia Como ayuda a largo plazo para solucionar problemas, es recomendable adquirir o crear una aplicacin que supervise en el registro de sucesos determinados sucesos y que se lo notifique cuando se produzcan.

Mdulo 10: Solucin de problemas de acceso a la red

27

Ejercicio prctico: Solucin de problemas para tener acceso a la red LAN

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En este ejercicio prctico, identificar el proceso para solucionar un problema de autenticacin de LAN. El objetivo de este ejercicio prctico es solucionar un problema de autenticacin de LAN. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario Suponga que es un ingeniero de sistemas de Contoso Ltda., una gran empresa que ha implementado Active Directory en Windows Server 2003 con tres dominios. La empresa actualmente tiene las oficinas centrales en Zrich, Suiza, y dispone de tres centros principales en Estados Unidos. El administrador del sistema en el centro de la empresa situado en San Diego, California, le ha informado de que un usuario no puede iniciar una sesin en el dominio Research. Todava es muy temprano en San Diego y la mayora de los trabajadores no se han incorporado a sus lugares de trabajo.

28

Mdulo 10: Solucin de problemas de acceso a la red

Ejercicio prctico

Cul sera el plan para solucionar este problema? En primer lugar, compruebe si el administrador del sistema ha determinado si se trata de un problema aislado o general. Si se trata de un problema aislado, concntrese en solucionar los problemas en la estacin de trabajo. Busque posibles pistas del problema en el registro del sistema y, si es necesario, lleve a cabo los procedimientos estndar para solucionar problemas de red. Si el problema es general, compruebe los registros del sistema de los controladores del dominio Research. Busque errores o advertencias recientes, especialmente del servicio de servicio de inicio de sesin de red. Compruebe si existen problemas de registros en los registros del servidor DNS que pueden afectar a la ubicacin del controlador de dominio. Tambin debe investigar otros errores o advertencias de Kerberos, IPSec o LSASrv. LSASrv es el servicio asociado con la autoridad de seguridad local (LSA). La autoridad LSA es subsistema de seguridad responsable de todos los servicios interactivos de autorizacin y de autenticacin del usuario en el equipo local. La autoridad LSA tambin se usa para procesar las solicitudes de autenticacin realizadas a travs del protocolo Kerberos v5 o del protocolo NTLM en Active Directory. En funcin de los problemas que encuentre, deber aplicar tcnicas adicionales de solucin de problemas a un problema determinado. La habilitacin de los registros de auditora de inicio de sesin y de inicio de sesin de cuenta puede resultarle de utilidad para recopilar informacin adicional de inicio de sesin. ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________

Mdulo 10: Solucin de problemas de acceso a la red

29

Leccin: Solucin de problemas de acceso remoto

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si trabaja con un sistema de acceso remoto, muchos de los problemas que encuentre estarn relacionados con componentes que estn fuera de su control. Resulta muy til aprender a identificar el origen de los problemas de acceso remoto. En esta leccin se ofrece informacin sobre la solucin de problemas de acceso remoto a una red. Despus de finalizar esta leccin, el alumno podr:
! !

Objetivos de la leccin

Explicar cmo solucionar problemas de validacin de certificados. Explicar cmo solucionar problemas de autenticacin utilizando registros de IAS. Explicar cmo solucionar problemas de conexiones utilizando registros de PPP. Explicar cmo solucionar problemas de conexiones de acceso remoto. Explicar cmo solucionar problemas de acceso inalmbrico. Explicar cmo solucionar problemas comunes de redes privadas virtuales (VPN). Explicar el proceso para solucionar problemas de acceso telefnico. Aplicar las directrices para solucionar problemas de acceso remoto.

! ! !

! !

30

Mdulo 10: Solucin de problemas de acceso a la red

Validacin de certificado

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin En un proceso de autenticacin que utiliza un certificado, deben validarse los certificados de usuario y del equipo. Pueden producirse errores al final del proceso de validacin. Si se utiliza el protocolo EAP-TLS (Protocolo de autenticacin extensibleSeguridad del nivel de transporte) para la autenticacin, el cliente de acceso a la red enva un certificado de usuario y el servidor de autenticacin (servidor de acceso remoto o servidor RADIUS) enva un certificado de equipo. Los certificados tambin pueden utilizarse para la autenticacin durante una fase de negociacin IKE de L2TP/IPSec IKE, durante la cual el cliente y el servidor de acceso remoto deben disponer de certificados de equipo vlidos. Los certificados se utilizan de dos modos diferentes. La primera validacin del certificado se produce al iniciarse la conexin. Una vez validado el certificado de usuario, se configura y conecta el tnel. Una vez que se haya conectado, se producir la autenticacin PPP. Errores de certificado En la tabla siguiente se describen algunos de los errores ms comunes de cliente de acceso a la red que se producen cuando los usuarios no se pueden autenticar mediante certificados. Encontrar estos y otros errores en el registro del sistema.
Causa del error Normalmente, este error se genera en un servidor de acceso a red cuyos puertos L2TP se han configurado como activos. El servicio de acceso remoto se ha iniciado, pero no hay ningn certificado en el almacn de certificados del equipo. Este mensaje de error aparecer si se precisa de un certificado para realizar la conexin, pero no se ha encontrado ningn certificado vlido en el cliente durante el intento de llamada L2TP.

Proceso de certificado

Error 766

Descripcin La conexin que utiliza el protocolo L2TP en IPSec requiere que se instale un certificado de mquina, tambin conocido como certificado de equipo. Para poder conectarse, es necesario utilizar un certificado durante una llamada L2TP.

781

Mdulo 10: Solucin de problemas de acceso a la red

31

Certificados vlidos de cliente

Si utiliza un mtodo de autenticacin EAP-TLS, debe disponer de un certificado de cliente vlido en una tarjeta inteligente o en el almacn local de certificados. Para que la autenticacin funcione correctamente, asegrese de que todos los certificados de la cadena de certificados enviados por el cliente cumplen las condiciones siguientes:
!

La fecha actual debe ser una de las fechas de validez del certificado. Los certificados slo pueden utilizarse durante un intervalo de fechas especfico.

No se ha revocado el certificado. Los certificados emitidos pueden revocarse en cualquier momento. El certificado dispone de una firma digital vlida. Las entidades emisoras de certificados (CA) firman digitalmente los certificados que emiten. El servidor IAS comprueba la firma digital de cada certificado de la cadena, excepto la entidad emisora raz, obteniendo la clave pblica de la entidad emisora de certificados que emita el certificado en cuestin y validando matemticamente la firma digital.

Uso mejorado de claves

El certificado de cliente tambin debe disponer del propsito del certificado de autenticacin de cliente (tambin conocido como uso mejorado de claves) con el identificador de objetos 1.3.6.1.5.5.7.3.2 y debe contener un nombre principal de usuario de una cuenta de usuario vlida o un nombre de dominio completo de una cuenta de equipo vlida para la propiedad Nombre alternativo del sujeto del certificado. El servidor de autenticacin debe tener el certificado de entidad emisora raz de la entidad emisora del certificado de cliente de acceso remoto instalado en el almacn de entidades emisoras raz de confianza, para que se pueda confiar en la cadena de certificados que ofrece el cliente de acceso remoto. Adems, el servidor de autenticacin comprueba que la identidad enviada en el mensaje de identidad o de respuesta EAP sea la misma que el nombre de la propiedad Nombre alternativo del sujeto del certificado. De este modo, se evita que los usuarios malintencionados se hagan pasar por el usuario especificado en el mensaje de identidad o respuesta EAP.

Certificado de equipo vlido

32

Mdulo 10: Solucin de problemas de acceso a la red

Configuraciones de registros de IAS

Si el servidor de autenticacin es un servidor IAS, las configuraciones de registro siguientes de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ RasMan\PPP\EAP\13 pueden modificar el comportamiento de EAP-TLS al llevar a cabo la revocacin de certificados.
Descripcin Puede usar esta entrada para autenticar a los clientes si el certificado no incluye los puntos de distribucin de la lista de revocaciones de certificados (CRL), como los de terceros. IAS no permite a los clientes conectarse a menos que pueda completar una comprobacin de revocacin de la cadena de certificados de los clientes y pueda comprobar que no se ha revocado ninguno de los certificados. Si no puede conectarse a ningn servidor que almacene una CRL, EAP-TLS considera que el certificado no ha superado la comprobacin de revocacin. La comprobacin de revocacin verifica si el certificado del cliente de acceso remoto y los certificados de la cadena de certificados de este no han sido revocados. NoRevocationCheck se establece en 0 de forma predeterminada. Esta entrada elimina solamente la comprobacin de revocacin del certificado de la entidad emisora raz del cliente. De todas maneras, se llevar a cabo una comprobacin de revocacin del resto de los certificados de la cadena de certificados del cliente de acceso remoto. Configuracin 1 = habilitado 0 = deshabilitado (predeterminado) 1 = permite a los clientes EAPTLS conectarse y evita que se produzcan errores en la validacin de certificados producidos por insuficiencias en la red 0 = desconectado (predeterminado)

Comportamiento de EAP-TLS IgnoreNoRevocationCheck

IgnoreRevocationOffline

NoRevocationCheck

1 = impide que EAP-TLS lleve a cabo una comprobacin del certificado 0 = deshabilitado (predeterminado) 1 = IAS impide que EAP-TLS lleve a cabo una comprobacin de revocacin de la raz del cliente de acceso directo. 0 = deshabilitado (predeterminado)

NoRootRevocationCheck

Todas estas configuraciones de registro deben agregarse como tipo DWORD y deben tener el valor 0 o 1. El cliente de acceso remoto no usa estas configuraciones.

Mdulo 10: Solucin de problemas de acceso a la red

33

Autenticacin mediante registros de IAS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si utiliza un servidor IAS, todos los problemas de autenticacin con los que se encuentre aparecern detallados en los registros de IAS. Es posible que tenga que solucionar problemas de los protocolos de autenticacin CHAP (protocolo de autenticacin por desafo mutuo), EAP (protocolo de autenticacin extensible), etc. Puede usar los registros de IAS para determinar si existe un problema de autenticacin. Si usa IAS para la solucin de autenticacin, debe comprobar lo siguiente para solucionar los problemas ms comunes:
!

Solucin de problemas comunes

El punto de acceso inalmbrico puede llegar a los servidores IAS. Para comprobar esto, emita un comando ping para la direccin IP del puerto no controlado de punto de acceso inalmbrico desde los servidores IAS. Asimismo, asegrese de que las directivas IPSec, los filtros de paquetes IP y otros mecanismos que restringen el trfico de red no impiden el intercambio de mensajes RADIUS (puertos UDP [protocolo de datagrama de usuario] 1812 y 1813) entre el punto de acceso inalmbrico y sus servidores IAS configurados.

Cada par de punto de acceso inalmbrico/servidor IAS se configura con un secreto compartido comn. Los servidores IAS pueden llegar a un servidor de catlogo global y a un controlador de dominio Active Directory. Las cuentas de equipo de los servidores IAS forman parte del grupo de servidores del servicio Enrutamiento y acceso remoto e IAS de los dominios adecuados. La cuenta del usuario o del equipo no debe estar bloqueada, caducada o deshabilitada, y la conexin debe realizarse durante las horas de inicio de sesin permitidas.

34

Mdulo 10: Solucin de problemas de acceso a la red


!

La cuenta de usuario no ha sido bloqueada mediante el bloqueo de cuentas de acceso remoto. El bloqueo de cuentas de acceso remoto es un mecanismo de bloqueo y de recuento de autenticacin diseado para evitar ataques de diccionarios en lnea a una contrasea de usuario.

La conexin se autoriza mediante una directiva de acceso remoto. Para obtener el nombre de la directiva de acceso remoto que ha rechazado el intento de conexin, asegrese de que el registro de sucesos IAS est habilitado y busque los sucesos que tengan IAS como origen y el Id. de suceso establecido en 2. En el texto del mensaje del suceso, busque el nombre de la directiva de acceso remoto que aparece junto al campo Nombre-directiva.

Si ha cambiado recientemente el dominio Active Directory de modo mixto a modo nativo, los servidores IAS ya no podrn autenticar solicitudes de conexin vlidas. Debe reiniciar todos los controladores de dominio en el dominio para que la modificacin se replique.

Mdulo 10: Solucin de problemas de acceso a la red

35

Demostracin: Supervisin del acceso remoto mediante IAS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivos didcticos El objetivo de esta demostracin es explicar el modo en que el servidor Servicio de autenticacin de Internet puede registrar el acceso remoto. Mediante esta presentacin aprender a:
! ! !

Habilitar el registro en IAS. Abrir archivos de registro para ver los registros de las cuentas. Explicar cmo se utiliza IAS para supervisar el uso del acceso remoto.

Preguntas clave

Al ver esta demostracin, debe tener en cuenta las preguntas siguientes:


! !

Qu opciones y formatos estn disponibles para guardar los registros de IAS? Para qu sirven los registros de IAS?

36

Mdulo 10: Solucin de problemas de acceso a la red

Demostracin: Anlisis de archivos de registro de autenticacin y administracin de cuentas de IAS

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Los servidores de acceso a la red que son compatibles con IAS pueden registrar informacin de autenticacin y administracin de cuentas para conexiones de acceso a la red en un servidor RADIUS cuando la autenticacin y la administracin de cuentas RADIUS estn habilitados. Este registro es independiente de los sucesos que se registran en el registro del sistema. Puede utilizar la informacin registrada en el servidor IAS para realizar un seguimiento del uso del acceso remoto y de los intentos de autenticacin. La informacin de autenticacin y administracin de cuentas de IAS se almacena en archivos de registro que se guardan en el servidor IAS en raz_del_sistema\system32\LogFiles. Examine el archivo de registro sin formato Para ver los datos registrados en un archivo de registro de IAS: 1. Vaya a C:\MOC\2191\Labfiles. 2. Haga doble clic en in0302.log. Tenga en cuenta que el formato de los datos del archivo de registro no es fcil de leer.

Mdulo 10: Solucin de problemas de acceso a la red

37

Uso de iasparse.exe para analizar el archivo

La utilidad de herramientas de soporte de Windows Server 2003 llamada iasparse.exe puede analizar un archivo de registro para facilitar su lectura. Para analizar el archivo de registro: 1. Abra una ventana de smbolo del sistema. 2. Cambie el directorio actual por C:\Archivos de programa\Support Tools. 3. Escriba el comando iasparse -f:C:\MOC\2191\Labfiles\in0302.log Desplcese al principio del archivo y observe que la entrada de datos sin formato aparece en forma de lista. Los datos analizados aparecen debajo; en cada lnea se muestra un atributo y su valor asociado. La salida de iasparse muestra que este archivo contiene dos entradas: una solicitud de acceso y un rechazo de acceso. La entrada de rechazo de acceso indica el motivo del rechazo. Nota Para obtener ms informacin sobre los atributos y los valores asociados que se registran en estos archivos de registro, consulte Interpretacin de registros de IAS en la carpeta C:\MOC\2191\labfiles.

38

Mdulo 10: Solucin de problemas de acceso a la red

Registro de PPP

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Proceso de conexin PPP Los registros de PPP (Protocolo Punto a Punto) ofrecen informacin que puede utilizar para resolver problemas de conexin del cliente. Despus de que se haya establecido una conexin fsica o lgica con un servidor de acceso remoto basado en PPP, las negociaciones siguientes establecen una conexin PPP:
!

Negociacin del uso del vnculo. PPP utiliza el protocolo de control de vnculos (LCP) para negociar parmetros de vnculo como el tamao mximo de trama de PPP, el uso de multivnculos y el uso de un protocolo de autenticacin PPP especfico.

Autenticacin del cliente de acceso remoto. El cliente y el servidor intercambian mensajes de acuerdo con el protocolo de autenticacin negociado. Si se usa EAP, el cliente y el servidor negociarn un mtodo EAP especfico, conocido como tipo EAP y, a continuacin, intercambiarn los mensajes de dicho tipo.

Uso de la devolucin de llamada. Si se configura la devolucin de llamada para la conexin de acceso telefnico y se interrumpe la conexin fsica, el servidor de acceso remoto devuelve la llamada al cliente.

Negociacin del uso de protocolos de red. Este proceso implica el uso de una serie de protocolos de control de red (NCP) para configurar los protocolos de red que el cliente de acceso remoto utiliza.

Mdulo 10: Solucin de problemas de acceso a la red

39

La conexin PPP resultante permanece activa hasta que se desconecte la lnea por cualquiera de los motivos siguientes:
! !

El usuario o el administrador desconectan la lnea explcitamente. La lnea se ha desconectado porque se ha excedido el tiempo de espera de inactividad. Se ha producido un error de vnculo irrecuperable.

Registro de PPP

Las conexiones de acceso telefnico y VPN (tanto PPTP [protocolo de tnel punto a punto] y L2TP) dependen de PPP para establecer un vnculo, para autenticar y para asignar direcciones IP a conexiones de acceso remoto. Puede habilitar el registro para un archivo de registro de PPP para facilitar el diagnstico de problemas de conectividad relacionados con PPP. Basndose en las entradas del registro de PPP, puede ver si se ha producido un error de conexin. Si no se ha iniciado ninguna sesin PPP, no se realizar ninguna entrada en el registro de PPP para el intento de conexin. El hecho de que no se creen entradas significa que se ha producido un error de conexin durante o antes del inicio de sesin mediante una contrasea sin cifrar. Si hay entradas en el registro de PPP, la naturaleza de estas entradas puede ayudarle a identificar los elementos que han producido errores durante el intento de conexin. Si las dems fuentes de informacin fallan, los registros de PPP pueden ser el mejor medio para realizar comprobaciones.

Habilitacin del registro de PPP

En los servidores que ejecutan el servicio Enrutamiento y acceso remoto, puede habilitar el registro de PPP en la ficha Registro en la pgina de propiedades de un servidor de acceso remoto. En un cliente de acceso remoto Windows Server 2003, puede habilitar el registro de PPP mediante Netsh. Una vez que haya habilitado el registro, el equipo registra toda la actividad PPP en el archivo ppp.log en la carpeta raz_del_sistema\Tracing. Importante Puesto que el registro de PPP utiliza recursos del sistema y espacio del disco duro, es recomendable desactivar el registro cuando acabe de solucionar los problemas.

Error de autenticacin

Los registros de PPP tambin pueden ayudarle a identificar si un problema est relacionado con un error de autenticacin (problemas de contrasea o de nombre de usuario). En caso de que sea as, el registro incluye informacin similar a la lista de informacin siguiente. Suponiendo que el protocolo LCP sea correcto, el paso siguiente es la autenticacin.
!

Fase de autenticacin iniciada

Si examina el registro desde este punto, puede encontrar un mensaje similar a los siguientes:
! !

El protocolo de autenticacin c023 se ha interrumpido con el error 4 El protocolo de autenticacin c223 se ha interrumpido con el error 7

40

Mdulo 10: Solucin de problemas de acceso a la red

Estos mensajes indican que se acaba de llevar a cabo la negociacin de autenticacin y que se ha producido un error de inicio de sesin. En el primer caso (c023), el protocolo que ha fallado ha sido el protocolo de autenticacin de contrasea (PAP). En el segundo caso, ha fallado el protocolo CHAP. Si aparecen estos mensajes, lleve a cabo los pasos siguientes:
!

Compruebe que el nombre de usuario y la contrasea se hayan introducido correctamente. Compruebe la configuracin de la ficha Seguridad de la entrada de libreta de telfonos que est utilizando. La mejor opcin en este caso es Aceptar cualquier autenticacin incluido el texto en blanco puesto que esta opcin significa que se puede establecer una conexin independientemente de que el proveedor de servicios de Internet (ISP) solicite PAP o CHAP. El cuadro de dilogo Conectar a... contiene el campo DOMINIO. Si no est conectado a un servidor Microsoft Windows NT Server que ejecute el Servicio de acceso remoto, asegrese de que este cuadro no est seleccionado ya que, de lo contrario, pueden producirse en ocasiones errores de protocolo CHAP. Si siguen producindose errores de autenticacin, compruebe el nombre de usuario y la contrasea con el proveedor ISP o con el personal tcnico de la red corporativa. Debe colaborar con ellos para descubrir el motivo de los errores de conexin.

Mdulo 10: Solucin de problemas de acceso a la red

41

Conexiones de acceso remoto

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Algunos mtodos para solucionar problemas son vlidos para todos los tipos de conexiones de acceso remoto. Adems, para cada problema existen sntomas relacionados, herramientas y procesos que pueden ayudarle a resolverlo. Si se rechaza un intento de conexin cuando debera aceptarse, debe comprobar que:
! ! !

Intentos de conexin errneos

El servicio de acceso remoto se est ejecutando. Los puertos PPTP y L2TP estn habilitados. La directiva de acceso remoto se haya configurado para un mtodo de autenticacin comn. El servidor est configurado de modo que se pueda utilizar un mtodo de autenticacin comn. La configuracin y las condiciones de la directiva de acceso remoto coincidan. La configuracin de conexin de cuenta de usuario sea correcta. La configuracin del proveedor de autenticacin sea correcta. En el caso de un servidor VPN que forme parte de un dominio de modo nativo de Windows, compruebe que el servidor VPN se haya unido al dominio. En el caso de autenticacin IAS, compruebe que el equipo del servidor VPN pueda comunicarse con el servidor RADIUS.

! ! !

42

Mdulo 10: Solucin de problemas de acceso a la red

Aceptacin de un intento de conexin que debe rechazarse No es posible llegar al servidor VPN

Si se ha aceptado un intento de conexin cuando deba rechazarse, debe comprobar que los parmetros de la conexin no disponen de permiso segn las directivas de acceso remoto. Si el cliente no puede llegar a ubicaciones que se encuentran ms all del servidor VPN, debe comprobar lo siguiente:
! !

El protocolo est habilitado para el enrutamiento. Los conjuntos de direcciones IP del servidor de acceso remoto son correctos. Los enrutadores se encuentran en ambos lados de la conexin VPN (para conexiones entre enrutadores).

Mdulo 10: Solucin de problemas de acceso a la red

43

Autenticacin de acceso inalmbrico

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Si utiliza IAS para la autenticacin RADIUS para clientes inalmbricos (mtodo ms seguro y recomendado), debe asegurarse de que el servidor IAS est configurado y funciona correctamente. Asimismo, debe comprobar los certificados del servidor y el cliente, en funcin del mtodo EAP que decida implementar. Si elige EAP-TLS, deber comprobar ambos tipos de certificados. Si usa EAP protegido (PEAP)/MS-CHAP v2, slo necesitar un certificado de servidor para el servidor RADIUS. Si utiliza la autenticacin EAP-TLS, deber comprobar que tanto el servidor de autenticacin como el cliente disponen de certificados vlidos. Credenciales MS-CHAP v2 de cliente inalmbrico En lugar de usar un certificado para la autenticacin de usuarios, un cliente inalmbrico que utiliza PEAP/MS-CHAP v2 enva una combinacin de nombre de usuario y contrasea para que se valide con una cuenta de usuario en Active Directory. Para que esta validacin de cuenta se lleve a cabo correctamente, debe asegurarse de que se cumplen las condiciones siguientes:
!

La porcin del dominio del nombre de usuario corresponde a un dominio que es el dominio del servidor IAS o a un dominio que tiene una confianza bidireccional con el dominio del servidor IAS. La porcin del nombre de cuenta del nombre de usuario corresponde a la cuenta vlida del dominio. La contrasea es la contrasea correcta de la cuenta.

Para verificar estas credenciales, indique al usuario del cliente inalmbrico cmo iniciar una sesin en el dominio mediante un equipo que ya est conectado a la red; por ejemplo, mediante una conexin Ethernet (si es posible).

44

Mdulo 10: Solucin de problemas de acceso a la red

Informacin de red de cliente inalmbrico

Si utiliza Microsoft Windows XP como sistema operativo para un cliente inalmbrico, puede usar la pgina de conexiones de red para visualizar las propiedades de la conexin de red inalmbrica. En esta pgina se incluye la ficha Redes inalmbricas en la que se muestran las conexiones inalmbricas preferidas y disponibles. Puede configurar las propiedades de asociacin y autenticacin de una red inalmbrica en la pgina Propiedades. Para obtener ms informacin acerca de como solucionar problemas generales del cliente inalmbrico de Windows XP, consulte el artculo 313242 How to Troubleshoot Wireless Network Connections in Windows XP que se encuentra en la base del conocimiento de Microsoft en http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B313242.

Herramientas para la solucin de problemas de punto de acceso inalmbrico

Las herramientas para la solucin de problemas de punto de acceso inalmbrico dependen del conjunto de herramientas y del software de administracin que se proporcionan con el punto de acceso inalmbrico. Por ejemplo:
!

Algunos puntos de acceso inalmbrico incluyen herramientas de anlisis de la intensidad de la seal que puede usar para solucionar problemas de intensidad de seal baja y de rea de cobertura. Un punto de acceso inalmbrico tambin puede incluir una utilidad PING para comprobar la accesibilidad del punto de acceso inalmbrico mediante protocolos inalmbricos de propietario o estndar. Un punto de acceso inalmbrico tambin puede ser compatible con el protocolo SNMP (Protocolo simple de administracin de red) y la base de datos de informacin de administracin 802.11.

Claves WEP

Cuando habilite WEP, especifique que se utilice una clave de red para el cifrado. Puede obtener la clave de red automticamente (por ejemplo, puede encontrarse en el adaptador de red inalmbrico) o puede especificarla usted mismo. Si configura la clave usted mismo, debe asegurarse de que selecciona la longitud de clave correcta y el nmero adecuado de claves (puede configurar un mximo de cuatro). Asimismo, debe asegurarse de que la clave se ha introducido correctamente. Si no configura la clave correctamente, no podr conectarse a la red. Pngase en contacto con el administrador de la red para llevar a cabo la configuracin correctamente. Para obtener ms informacin sobre las herramientas y las tcnicas para solucionar problemas de punto de acceso inalmbrico, consulte la documentacin que se proporciona con el punto de acceso inalmbrico.

Mdulo 10: Solucin de problemas de acceso a la red

45

Problemas comunes de VPN

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Para solucionar problemas de redes VPN, debe solucionar los problemas relacionados con la conectividad IP, el establecimiento de la conexin de marcado a peticin y de acceso remoto, el enrutamiento e IPSec. La mayora de los problemas de VPN estn relacionados con los protocolos de tnel VPN. La lista siguiente proporciona un punto de partida para el proceso de solucin de problemas:
!

Problemas comunes de VPN

Compruebe los mensajes de error. Si se produce el error 678 para una conexin PPTP, es probable que el servidor VPN no responda debido a que se ha excedido el tiempo de espera de la conexin TCP con el servidor VPN. Este error se produce si el puerto TCP 1723 se encuentra bloqueado en algn lugar entre el cliente VPN y el servidor VPN.

Verifique que el filtrado de paquetes de la interfaz de enrutador entre el cliente VPN y el servidor VPN no impide que se reenve el trfico del protocolo de tnel. En un servidor VPN basado en Windows Server 2003, el filtrado de paquetes IP puede configurarse desde las propiedades avanzadas de TCP/IP y desde el complemento del servicio Enrutamiento y acceso remoto. Compruebe que no existan filtros en el servidor ni en el cliente que puedan excluir el trfico de la conexin VPN.

Verifique que el cliente Winsock Proxy no se est ejecutando en el cliente VPN actualmente. Si el cliente Winsock Proxy se encuentra activo, las llamadas de la interfaz de programacin de aplicaciones (API) Winsock, como las que se utilizan para crear tneles y enviar datos de tnel, se interceptan y se reenvan a un servidor proxy configurado.

46

Mdulo 10: Solucin de problemas de acceso a la red


!

Verifique que el protocolo de tnel del cliente VPN es compatible con el servidor VPN. De forma predeterminada, los clientes VPN de acceso remoto de Windows Server 2003 tienen la opcin de tipo de servidor Automtico seleccionada, lo que significa que, en primer lugar, intentan establecer un protocolo L2TP en una conexin VPN basada en IPSec y, a continuacin, intentan realizar una conexin VPN basada en PPTP.

Si se encuentra seleccionada la opcin de tipo de servidor Protocolo de tnel punto a punto (PPTP) o Protocolo de tnel de capa 2 (L2TP), verifique que el protocolo de tnel seleccionado es compatible con el servidor VPN. Para protocolos L2TP de acceso remoto en conexiones IPSec, verifique que los certificados de equipo (tambin conocidos como certificados de mquina) se han instalado tanto en el cliente VPN como en el servidor VPN. Para las conexiones PPTP que usan MS-CHAP versin 1 y que intentan negociar el cifrado MPPE (Cifrado punto a punto de Microsoft) de 40 bits, compruebe que la contrasea del usuario no conste de ms de 14 caracteres. Para los clientes L2TP/IPSec que utilizan un traductor de direcciones de red (NAT), compruebe que el cliente admite NAT Traversal para IPSec (NATT). NATT para IPSec es compatible con el cliente VPN L2TP/IPSec (Windows 98, Windows Millennium Edition y Windows NT 4.0 Workstation) y con Windows Server 2003. NAT-T para IPSec se admite en los clientes Windows 2000 y Windows XP cuando se entrega Windows Server 2003.

Mdulo 10: Solucin de problemas de acceso a la red

47

Demostracin: Creacin y comprobacin de conexiones VPN salientes

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivos didcticos El objetivo de esta demostracin es mostrar cmo y dnde se especifican los tneles VPN. Aprender a hacer lo siguiente: " " " " Preguntas clave Crear una conexin VPN saliente Especificar la direccin del servidor VPN (nombre de host o direccin IP) Especificar los permisos de cuenta de usuario para el servidor VPN Verificar y probar la direccin IP asignada en el tnel VPN

Al ver esta demostracin, debe tener en cuenta las preguntas siguientes: " " " Al crear una conexin de tnel, cmo se identifica el servidor VPN? Cmo pongo esta conexin a disposicin de todos los usuarios del equipo? Cmo se puede averiguar el tiempo que una conexin ha estado establecida?

48

Mdulo 10: Solucin de problemas de acceso a la red

Proceso para solucionar problemas de acceso telefnico

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La solucin de problemas de acceso telefnico implica solucionar problemas relevantes relacionados con los mdems que se utilizan para establecer las conexiones. Sin embargo, es posible que tambin deba solucionar problemas de los clientes porque es precisamente con los clientes con los que surgen ms problemas. La mayor parte del proceso para solucionar problemas de configuracin del servidor de acceso remoto se centra en el equipo cliente e incluye los pasos siguientes: 1. Tomar nota de los mensajes de error que se reciben y, a continuacin, comprobar los registros del visor de sucesos. El registro del sistema en particular puede ofrecer informacin til para facilitar la solucin de problemas. 2. Verificar la configuracin fsica del hardware. 3. Una vez que est satisfecho con el funcionamiento del hardware, verifique que la conexin de red est configurada correctamente para el tipo de servidor con el que se va a conectar por va telefnica. Preste una atencin especial a la configuracin de seguridad. A menudo ver que un problema se debe a una modificacin realizada por el usuario en la configuracin. Si est prestando servicio tcnico a un usuario sobre el terreno, interrguelo minuciosamente para averiguar qu modificacin ha llevado a cabo. Volver a crear la entrada de conexin de red puede ayudarle a determinar rpidamente si el origen del problema es un error de configuracin del equipo cliente. Si a travs de la conexin que acaba de crear puede llegar al servidor de acceso remoto, sabr que la conexin de red original se ha configurado de forma incorrecta.

Proceso para solucionar problemas de equipos cliente

Mdulo 10: Solucin de problemas de acceso a la red

49

Proceso para solucionar problemas de servidores remotos

Aunque en el servidor se producen pocos problemas de acceso remoto, puede disponer de mejores herramientas de solucin de problemas en el servidor que en el cliente. Las siguientes directrices para la solucin de problemas son parecidas para el servidor y el cliente: 1. Anote siempre los mensajes de error que puede recibir porque le ahorrar trabajo al solucionar los problemas. 2. En los registros del visor de sucesos, compruebe si existen sucesos que puedan indicar lo que ocurre cuando el cliente marca al servidor. 3. Realice un seguimiento de las conexiones de acceso remoto. Si aparecen errores en el archivo de registro, es posible que tenga que sustituir el mdem por otro que sea compatible con Windows. (Puede utilizar cualquier mdem compatible con el conjunto de comandos Hayes.)

Problemas adicionales relacionados con el acceso telefnico

Tambin puede encontrarse con otros problemas relacionados con el acceso telefnico. Algunos de estos problemas son:
!

Comunicaciones entre equipo y mdem La incapacidad de un equipo de comunicarse con un mdem suele ser la causa de problemas de servidor de acceso remoto, especialmente para un servidor que haya utilizado el servicio de acceso remoto antes de actualizar el hardware. Para comprobar la conectividad entre el equipo y el mdem, verifique que el puerto serie funciona correctamente.

Comunicaciones entre mdems Una vez que haya determinado que puede comunicarse con el mdem, use HyperTerminal para verificar que puede establecer comunicaciones con otro mdem.

Comunicaciones entre mdem y el servicio de acceso remoto Una vez que haya verificado que el mdem puede conectarse con el equipo cliente y con otros mdems, deber verificar que el mdem puede funcionar correctamente mediante el servicio Enrutamiento y acceso remoto. Para inspeccionar la secuencia de configuracin de la comunicacin entre el servicio Enrutamiento y acceso remoto y el mdem, deber aadir el registro en la ficha Diagnstico de las propiedades del mdem.

50

Mdulo 10: Solucin de problemas de acceso a la red

Directrices para solucionar problemas de acceso remoto

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin La solucin de problemas de acceso remoto incluye el proceso y las herramientas que se utilizan para identificar y resolver el problema. Las directrices siguientes le servirn de ayuda para definir la estrategia de solucin de problemas.
!

Identificar los sntomas del problema En primer lugar, debe identificar los sntomas del problema. Tambin debe evaluar los recursos de red para asegurarse de que el problema no est relacionado con el hardware. Los sntomas que identifique le indicarn si el problema est relacionado con el cliente o con el servidor.

Seleccionar los recursos que deben utilizarse Seleccione los recursos de solucin de problemas que usar basndose en los sntomas del problema. Una vez que haya seleccionado dichos recursos, deber habilitar la auditora de los sucesos de inicio de sesin y los sucesos de inicio de sesin de cuenta.

Aislar el problema Use los recursos seleccionados para aislar el problema. Si se trata de un problema relacionado con el cliente, compruebe los elementos siguientes de la configuracin del cliente: Nmero de telfono Nombre de usuario y contrasea Dispositivo de conexin Configuracin de cifrado Protocolos de autenticacin Configuracin de tipo VPN Controladores y servicios usados con la conexin

Mdulo 10: Solucin de problemas de acceso a la red

51

Si se trata de un problema relacionado con el servidor, deber hacer lo siguiente:


! ! ! ! ! ! ! ! !

Comprobar las propiedades de marcado del usuario. Comprobar los registros y sucesos. Comprobar las directivas de acceso remoto. Comprobar la conectividad del servidor (marcado o LAN). Comprobar si funciona el servicio Enrutamiento y acceso remoto. Comprobar las conexiones entrantes habilitadas. Comprobar los puertos disponibles. Comprobar las direcciones disponibles. Comprobar si existe un proveedor de autenticacin adecuado y si est configurado correctamente.

52

Mdulo 10: Solucin de problemas de acceso a la red

Ejercicio prctico: Solucin de problemas de autenticacin de acceso remoto

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Introduccin Objetivo Instrucciones En este ejercicio prctico, identificar los pasos de solucin de problemas que debe llevar a cabo para resolver un problema de acceso remoto. El objetivo de este ejercicio prctico es solucionar problemas de acceso remoto. 1. Lea el escenario. 2. Preprese para tratar los retos que implica esta tarea en un debate posterior al ejercicio prctico. Escenario Contoso Ltda. ha actualizado recientemente todos los servidores de Windows a Windows Server 2003. Asimismo, la compaa requiere que los usuarios remotos utilicen L2TP para conectarse a la red corporativa. La compaa ha implementado una infraestructura de certificados para emitir certificados de usuario y de equipo y ha enviado a sus usuarios remotos tarjetas inteligentes, lectores de tarjetas inteligentes y las instrucciones de instalacin probadas asociadas. Antes de llevar a cabo la actualizacin, todos los usuarios remotos se conectaban a la red corporativa mediante PPTP sin experimentar problemas. Ahora que la red corporativa slo acepta conexiones L2TP, algunos usuarios remotos ya no pueden conectarse. Todos los clientes remotos ejecutan Windows XP Professional en sus equipos.

Mdulo 10: Solucin de problemas de acceso a la red

53

Ejercicio prctico

Qu pasos debe llevar a cabo para solucionar este problema? Para los usuarios que tienen problemas con la conexin, compruebe los elementos que tienen en comn. De forma similar, compruebe los elementos que comparten los usuarios que s pueden conectarse. Puesto que sabe que algunos usuarios pueden conectarse, es menos probable que el problema se encuentre en el lado del servidor. Puede consultar en el registro del sistema del servidor que ejecuta el servicio Enrutamiento y acceso remoto si existen errores o advertencias, pero es aconsejable que centre su anlisis en el lado del cliente en primer lugar. Compruebe si existen claves posibles en el registro del sistema del cliente. Si existen problemas de certificados, encontrar informacin sobre los problemas en los registros. A continuacin, puede llevar a cabo ms pasos de solucin de problemas basados en el error especfico que haya encontrado. Compruebe si los usuarios que no pueden conectarse estn utilizando un NAT. En caso afirmativo, compruebe si sus sistemas operativos Windows XP se han actualizado con el software de actualizacin de NAT-T. Sin esta actualizacin, los usuarios no pueden usar L2TP/IPSec a travs de un NAT. Esta actualizacin puede explicar el motivo por el que slo algunos usuarios hayan podido conectarse (tal vez se trate de los usuarios que utilizaron una conexin de acceso telefnico para conectarse al ISP). _______________________________________________________________ _______________________________________________________________ _______________________________________________________________ _______________________________________________________________

54

Mdulo 10: Solucin de problemas de acceso a la red

Prctica A: Solucin de problemas de acceso a la red

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO EST AUTORIZADO Y RESULTA ILEGAL****** Objetivos Una vez que haya completado esta prctica, podr solucionar problemas de conectividad de red y errores de autenticacin mediante la informacin que haya recopilado. Suponga que es un ingeniero de sistemas de la empresa Northwind Traders y se le pide que ayude al administrador MCSA (Administrador de sistemas certificado de Microsoft) del departamento de soporte a solucionar problemas de conectividad de red y problemas de autenticacin en la sucursal de la empresa en Canterbury, Reino Unido. Las estaciones de trabajo y los servidores forman parte de Active Directory de Northwind Traders y utilizan el sistema operativo Windows XP Professional o Windows Server 2003. Algunos problemas estn relacionados con los usuarios de equipos de escritorio de LAN de la empresa, y otros con los usuarios remotos que se conectan a la red mediante conexiones VPN.

Escenario

Mdulo 10: Solucin de problemas de acceso a la red


Sucursal de Canterbury

55

Puerta de enlace predeterminada 192.168.5.65

Modificador C de 10/100 Mbps Dplex completa de 100 Mbps

Estaciones de trabajo

Estaciones de trabajo Estaciones de trabajo VLAN2

192.168.5.128\27

Controlador de dominio e IAS 192.168.5.75

Puerta de enlace predeterminada 192.168.5.129

POWERFAULT DATA ALARM

DHCP/WINS 192.168.5.76

VLAN3 192.168.5.32\27

Puerta de enlace predeterminada 192.168.5.33

Otros servidores VLAN1 192.168.5.64\27

Modificador B de 10/100 Mbps 192.168.5.1 Modificador B de capa 3 de 10/100 Mbps Servidores de seguridad /Proxy e ISA Enrutador CSU/DSU A la red corporativa a 512 Kbps

LAN 1 192.168.5.0\24

Tiempo previsto para completar esta prctica: 30 minutos

56

Mdulo 10: Solucin de problemas de acceso a la red

Ejercicio 1 Solucin de problemas de acceso a LAN


En este ejercicio, solucionar un problema de la sucursal de Canterbury de Northwind Traders. Se encuentra en la oficina de Londres y debe obtener la informacin necesaria para resolver el problema de forma remota.

Escenario
Un usuario de la oficina de Canterbury tiene problemas a veces para obtener acceso a los recursos cuando se conecta a la red a travs de LAN. Se le solicita solucionar el problema y se le facilita la siguiente informacin:
!

El equipo porttil del usuario est conectado fsicamente a la VLAN 192.168.5.128\27. El equipo porttil arranca con normalidad y muestra una pantalla de inicio de sesin del dominio. Cuando el usuario inicia la sesin con sus credenciales del dominio, algunas veces slo tiene acceso a los recursos de su propio equipo. Si el usuario inicia la sesin correctamente, a menudo tiene problemas intermitentes con aplicaciones como Microsoft Internet Explorer, que informan de errores del tipo No se ha encontrado el servidor DNS o bien la pgina tarda mucho en cargarse. El usuario informa de que ltimamente no ha podido utilizar el equipo durante ms de dos horas seguidas sin que se haya presentado algn error de estas caractersticas. El usuario informa de que si se desconecta de la red y utiliza el acceso inalmbrico, no tiene problemas. Sin embargo, el acceso inalmbrico es demasiado lento para las aplicaciones multimedia con las que trabaja.

! !

Tareas
1.

Informacin especfica

Documentar el proceso que utilizar para solucionar el problema.


a.

2. Analizar los datos capturados.

Los datos se almacenan en: C:\MOC\2191\labfiles\lab11.exe. completar la prctica. Al principio de cada archivo aparece informacin sobre los datos capturados y, a continuacin, los resultados.

b. Los archivos se han comprimido y deben descomprimirse para

c. e. 3.

En C:\MOC\2191\labfiles, cree una carpeta denominada analysis. Ejecute lab11.exe para descomprimir los archivos en la carpeta Analysis.

d. Copie lab11.exe en la carpeta.

Identificar la causa raz ms probable del error.

Mdulo 10: Solucin de problemas de acceso a la red

57

Ejercicio 2 Solucin de problemas de autenticacin de acceso remoto


En este ejercicio, documentar cmo investigar los problemas que pueden producirse en los servidores de acceso remoto VPN que deben implementarse en el centro de datos de la oficina de Londres.

Escenario
El personal de soporte tcnico ser el encargado de atender las llamadas por averas en primer lugar y usted deber encargarse de solucionar los problemas en segundo lugar. Se le pide que documente los registros que deben supervisarse y capturarse durante las fases iniciales de la implementacin. Se prev que el perodo inicial dedicado a la solucin de problemas ser de menos de dos semanas. Dispone de la siguiente informacin:
!

Los tres servidores VPN que se implementarn en el centro de datos de Londres normalmente atendern de forma simultnea entre 30 y 50 conexiones. Los tres servidores han sido probados con una configuracin piloto y su rendimiento y funcionalidades parecen estar validados. Los servidores VPN estn configurados con dos entradas de servidor IAS para completar la autenticacin mediante RADIUS. El software del servidor IAS est instalado en dos controladores de dominio del centro de datos de Londres. Se han emitido tarjetas inteligentes para el personal que tiene permiso para usar los servidores VPN. Se ha implementado Connection Manager para los usuarios y la informacin de configuracin se ha validado en la configuracin piloto. Ya se han implementado los certificados de los equipos cliente mediante los servicios de Certificate Server. Las nicas conexiones VPN permitidas utilizan L2TP/IPSec.

Tareas
1.

Informacin especfica

Documentar la metodologa, las herramientas, los registros generales y los registros del visor de sucesos que vaya a utilizar y que considere imprescindibles para la solucin de los problemas iniciales de implementacin que puedan producirse.

THIS PAGE INTENTIONALLY LEFT BLANK