January 2007 - Artículos

ISA Server 2004:Mejorando...

Por supuesto no sólo el interfaz gráfico ha sido mejorado y aumentado en ISA Server 2004. De hecho muchas de las tareas familiares que los administradores realizaban con ISA 2000 se han simplificado en ISA 2004.

  • Administración remota
  • Características de cortafuegos
  • VPN y acceso remoto
  • Caché web y proxy
  • Control e informes

Los administradores necesitan ser capaces de administrar los cortafuegos desde sitios remotos: desde sus propios equipos, desde sus portatiles en cualquier sitio, e incluso a veces, desde otros equipos de los que no tienen todo el control, por ejemplo equipos públicos (Ojito con estos). Si nuestra empresa dispone de múltiples instalaciones de ISA y además en ubicaciones diferentes, no creo que deseemos visitarlas físicamente cada una para realizar cualquier tarea administrativa.

Con ISA Server 2004 hay distintas formas de administrar remotamente los cortafuegos, tres métodos importantes:

      • La consola de administración de ISA 2004.
      • Uso de TS o Escritorio Remoto.
      • Herramientas de terceros.

Podemos conectar remotamente a uno o múltiples ISA Server 2004 con la consola de administración. Cada uno de ellos tendrá su propio nodo en el panel izquierdo.

Para ir conectando con sucesivos ISA lo haremos desde el panel derecho, ficha tareas, teniendo seleccionado el nodo raíz del panel izquierdo.

 

Pulsando en Conectar a un servidor ISA Local o Remoto y luego rellenaremos los datos en el cuadro de diálogo de Conectar con para agregar el servidor local o remoto a la consola de administración.


NOTA: Sólo podemos conectar remotamente con la consola de administración con cortafuegos ISA Server 2004. Si intentamos conectar con un ISA Server 2000 recibiremos un error.


Publicado por Juansa con no comments

ISA Server: Nodo Configuración -Complementos y General-

El subnodo de complementos (Add-ins) se usa para configurar el filtrado en la capa de aplicación. Aquí es donde habilitaremos, veremos, modificaremos y deshabilitaremos los filtros de aplicación y los filtros web. Algunos de ellos se instalan y habilitan de forma predeterminada al instalar ISA.

El último de los subnodos es el General, que incluye diversas tareas administrativas, como:

  • Delegación de administración para conceder permisos a usuarios y grupos para realizar tareas administrativas específicas.
  • Configurar encadenamiento de firewall para especificar como se reenviarán las solicitudes desde los clientes Firewall y SecureNat hacia los servidores de seguridad.
  • Especificar preferencias de acceso telefónico si se usa cuenta de acceso telefónico.
  • Definir la configuración del cliente Firewall.
  • Ver detalles del equipo ISA Server.
  • Configurar traducción de vínculos para seleccionar los tipos de contenido en la traducción de vínculos.
  • Especificar la revocación de certificado para que ISA pueda verificar que los certificados entrantes no están en la lista de certificados revocados (CRL).
  • Definir preferencias de compresión HTTP.
  • Especificar preferencias de Diffserv.
  • Definir servidores RADIUS.
  • Habilitar detección de intrusiones y detecciones de ataques DNS.
  • Definir preferencias IP.
  • Definir límites de conexiones.

 

Publicado por Juansa con no comments

Manteniendo los controladores de dispositivos

Las opciones de firmado de controladores

¿Qué es un dispositivo?

Cualquier pieza de equipamiento añadido al ordenador. Por ejemplo: tarjetas de vídeo, impresoras, mandos de control de juegos, adaptadores de red, un modem, etc...

Los dispositivos los dividimos en dos grandes grupos:

  • Enchufar y listo (Plug&play)

Enchufar y listo es una combinación de hard&soft que habilita al sistema del equipo a reconocer, y adaptar la configuración de hardware prácticamente con nula intervención de usuario.

Podemos agregar o quitar dispositivos P&P dinámicamente, sin cambiar configuración manualmente. Con P&P, podemos confiar en que todos los dispositivos trabajarán juntos y el equipo reiniciará sin problemas después de añadir/quitar alguno.

La instalación muchas veces consiste sólo en conectar el dispositivo nada más. Para otros, debemos apagar el equipo antes de conectarlos y reiniciar para su instalación final. La gran mayoría de dispositivos desde 1995 son P&P.

  • Los que no son P&P

El ser P&P depende del propio hardware y del controlador del dispositivo. Estos dispositivos no están soportados en la familia Windows Server 2003.

Publicado por Juansa con no comments
Archivado en:

ISA Server: Nodo Configuración -Redes y Caché-

Este nodo se divide a su vez en cuatro subnodos: Redes, Caché, Complementos y General. En el panel medio tenemos los accesos a cada uno de ellos, o también podemos directamente clicar sobre cualquiera de los subnodos.

Si elegimos Definir distribución y propiedades de la red del panel medio, o directamente seleccionamos el subnodo Redes del árbol en el panel izquierdo: nos encontramos que en el panel medio disponemos de un grupo de fichas que incluyen: Redes, Conjunto de redes, Reglas de red y Encadenamiento web. El panel derecho nos muestra como casi siempre, Tareas, plantillas y ayuda.

La ficha de Redes se usa para la creación y configuración de redes en un entorno de multiredes.

La de Conjunto de redes nos permite agrupar redes y aplicar reglas a un grupo, o conjunto, de redes.

La ficha de Reglas de red nos servirá para crear, exportar e importar reglas que definen si, y que tipo de conectividad está permitida entre las distintas redes sea por NAT o conexiones enrutadas.

La de Encadenamiento de web es una ficha que utilizaremos para crear reglas de encadenamiento web que nos permiten enrutar solicitudes desde clientes contra el ISA Server o a una ubicación alternativa.

El subnodo de Caché, que se ve en la captura de imagen, se usa para utilizar el caching en ISA Server.

Deninimos las unidades de caché donde será cacheado el contenido siendo almacenado y la creación de reglas de caché mediante un asistente de Nueva regla de caché. Las reglas se aplicarán a redes específicas y determinarán como los objetos almacenados en la caché se recuperan cuando sean solicitados, al igual que cuando se cacheará el contenido, además de los límites de tamaño para objetos cacheados. Podemos configurar valores generales de caché y exportar e importar reglas de caché. También deshabilitar el caching en conjunto, dejando al ISA Server con la única función de cortafuegos.

Como vemos en las capturas hay dos fichas: Reglas de caché y Trabajos de descarga de contenido.

 

Publicado por Juansa con no comments

ISA Server 2004: Nodo VPN

No es díficil configurar nuestro ISA Server para que actúe como un gateway VPN para accesos remotos o VPN entre sitios. El nodo Redes Vprivadas virtuales VPN nos proporciona un interfaz amistoso para realizar las tareas comunes de configuración VPN y el control de acceso de clientes.

Como podemos ver en el panel central se nos muestran la lista de tareas de configuración, en el caso de Clientes VPN son:

  • Comprobación de qué el acceso de cliente está habilitado.
  • Especificar usuarios Windows o selección de servidor RADIUS.
  • Comprobación de propiedades VPN y de configuración de acceso remoto.
  • Ver las directivas para la red de clientes VPN.
  • Ver las reglas de red, que especifican las relaciones entre los clientes VPN y el resto de redes.

En el panel derecho podemos configurar el acceso de cliente (especificar el número de conexiones simultáneas, selección de grupos a los que se les permite el acceso y a qué VPNs, protocolos VPN autorizados, y mapeo de usuarios desde espacios no Windows). Podemos deshabilitar el acceso a todas las VPN con un simple clic.

Publicado por Juansa con no comments

ISA Server 2004: Directiva de Firewall

Cuando seleccionamos el nodo de Directiva de Firewall el panel medio nos muestra una lista de las reglas de cortafuegos y en el panel derecho nos aparecen tres fichas: Herramientas, Tareas y Ayuda.

Este nodo es el núcleo de la interfaz de ISA. Desde aquí crearemos las reglas de acceso, reglas de publicación web, de publicación de servidores de correo y otras reglas de publicación para controlar el acceso hacia y desde nuestra red. Como añadido, podemos editar las políticas del sistema, definir las preferencias IP y exportar e importar las reglas de cortafuegos y sistema. Las nuevas reglas de acceso se crean con facilidad con el asistente de nueva regla de acceso.

Ya veremos estas creaciones y las de publicación más adelante.

 

Publicado por Juansa con no comments

Identificando cuellos de botella de red

Los cuellos de botella de la Red son difíciles de controlar pues muchas redes son complejas. También, muchos elementos pueden afectar al rendmiento de la red. Podemos monitorizar varios objetos y contadores en la red, como un servidor, segmento de red, redirector y protocolos. Dependiendo del entorno determinaremos cual monitorizar.

Los contadores más comunes que podemos utilizar y que nos conformarán un esquema de como la red se está usando y nos ayudará a descubrir esos cuellos de botella, son:

  • Administrador de tareas: %Uso de Red. El porcentaje del ancho de banda de la red en uso por el segmento de red local. Podemos usar este contador para ver el efecto de diversas operaciones en la red, como la validación de usuarios o la sincronización de cuentas de dominio.
  • Interfaz de red: Bytes enviados/segundo. Número de Bytes enviados a través de este adaptador de red.
  • Interfaz de red: Bytes totales/segundo. Número de Bytes que se están envíando/recibiendo a través de este adaptador de red. Lo usaremos para determinar el rendimiento del adaptador. Debería ser un número alto, para indicar un número de transmisiones con éxito grande.
  • Servidor: Bytes recibidos/segundo. Comparar los Bytes recibidos por segundo con el ancho de banda total del adaptador de red para determinar si la conexión de red sufre cuellos de botella. Para permitir espacios vacíos de tráfico no deberíamos utilizar más del 50% de la capacidad. Si este número se acerca a la máxima capacidad de la conexión y el procesador y memoria en uso son moderados, la conexión puede estar causando algún problema.

Viendo los contadores podemos ver la actividad en el servidor para las solicitudes de sesión o acceso a datos. Si determinamos que el subsistema de Red es el causante del cuello de botella debemos tomar algunas decisiones con el ánimo de aliviarlo. Por ejemplo:

  • Agregar servidores a la red, de ese modo distribuimos la carga de procesamiento.
  • Comprobar y mejorar los componentes de la capa física, como enrutadores, conmutadores y cableado.
  • Dividir la red en sub-redes o segmentos de red, encargando a un servidor de cada segmento mediante un adaptador separado. Normalmente se reduce la congestión en el servidor mediante la dispersión de las solicitudes.
  • Dividir el tráfico de red en segmentos apropiados. Por ejemplo, configurar la red de modo que sistemas compartidos en el mismo grupo de gente estén en la misma sub-red.
  • Aprovechar aquéllos adaptadores de red que no se usan frecuentemente.
  • Para un mejor rendimiento, usar adaptadores con el ancho de banda más grande disponibles. Aunque el incremento de ancho de banda puede incrementar el número de transmisiones y aumentar el trabajo del sistema.
  • Usar carpetas off-line para trabajar con aplicaciones de red sin estar conectado a la misma. Estas carpetas fuera de línea hacen uso del caché del lado del cliente de ese modo se reduce el tráfico de red.
  1. Inicio, Panel de Control, Herramientas administrativas, Rendimiento.
  2. Clic derecho en el panel derecho, Agregar contadores.
    1. Bajo objetos de rendimiento, seleccionamos Adaptador de red y seleccionamos los contadores, después pulsamos agregar.
      • Interfaz de red\Bytes enviados/seg.
      • Interfaz de red\Bytes totales/seg.
    2. Luego seleccionamos Servidor bajo objetos de rendimiento y seleccionamos el contador, Agregar y Cerrar.
      • Servidor\Bytes recibidos/seg.
  3. Veremos los contadores en el panel derecho del monitor del sistema, a partir de ahí... cada uno..:-)

Podemos abrir el Administrador de tareas también y ver la ficha Red para ver el uso de la red.

Publicado por Juansa con no comments
Archivado en:

Nos queda el control del uso de Red...

Las comunicaciones a través de la red se están incrementando sensiblemente en cualquier entorno de trabajo. Al igual que el procesador o los discos del sistema, el comportamiento de la red afecta a las operaciones del propio sistema. Un control regular del uso de la red en nuestro sistema, tráfico de red o uso de recursos, puede optimizar el rendimiento de nuestro sistema.

El uso de red viene a ser el % de ancho de banda que se está utilizando en el segmento que está siendo monitorizado.

El ancho de banda de red se mide de distintas formas:

  • El ratio al que los Bytes se transfieren hacia y desde el servidor.
  • El ratio al que los paquetes de datos se envían mediante el servidor. Frames, paquetes, segmentos y datagramas.
  • El ratio al que los archivos se envían y reciben mediante el servidor.

La efectividad del ancho de banda de la red varia dependiendo de la capacidad de transmisión del enlace, de la configuración del servidor y de la carga de trabajo del servidor.

Si controlamos el uso de la red es con el fin de detectar cuellos de botella en la propia red. Estos afectan directamente a la experiencia que recibe el usuario en el equipo cliente y a la red entera. Normalmente limitan el número de clientes que pueden estar conectados simultáneamente al servidor.

Las causas más típicas de los cuellos de botella de red son:

  • Sobrecarga en el servidor.
  • Sobrecarga en la red.
  • Pérdida de integridad de la red.
Publicado por Juansa con no comments

El resto de las fichas de Supervisión en ISA Server 2004

La ficha de sesiones facilita a los administradores ver quienes están o han estado conectados a través del servicio de Cortafuegos de ISA Server 2004 y qué aplicaciones usan. Esta información se puede filtrar para una lectura más concienzuda. La ventana de sesiones, aunque no había ninguna activa en el momento de captura:

 

En la ficha de Servicios podemos ver los servicios y su estatus. Desde aquí podemos detenerlos e iniciarlos. O utilizar el panel derecho para ello.

 

La ficha de Informes la podemos utilizar para la generación de informes, sea en el momento o mediante la configuración de un horario para ello. Nos encontramos con un nuevo asistente de Informe, qué nos ayuda paso a paso en la creación de un informe. Los horarios de informe pueden ser diarios, semanales o mensuales. Además podemos especificar que información incluir en el informe.

 

La ficha Conectividad nos permite crear, exportar e importar verificadores de conectividad. Estos son objetos que controlar la conectividad entre el Isa Server y específicos equipos o URL. La conectividad se determina vía ping, tcp port, o http.

 

La última de las fichas de Supervisión es la de Registro. Se utiliza para configurar la comprobación de los mensajes de procesos en pantalla de registro para el cortafuegos, Web proxy y SMTP. Podemos editar filtros también para limitar los resultados que vemos, o exportar e importar filtros definidos o las consultas de registro.

Publicado por Juansa con no comments
Archivado en:

Procedimiento motinorización del disco

  1. Inicio, Panel de control, Herramientas administrativas, Rendimiento.
  2. Clic derecho en el panel derecho del Monitor del Sistema y seleccionamos Agregar contadores.
  3. En el cuadro de diálogo, bajo objetos de rendimiento, seleccionamos Disco físico, seleccionando los siguientes contadores y luego pulsamos Agregar.
    • %Disk Time
    • Avg. Disk Bytes/Transfer
    • Current Disk Queue Length
    • Disk Bytes/Sec
  4. Vigilar los contadores en el panel derecho del Monitor de Sistema y tomar las medidas apropiadas, si las hay, para resolver cualquier problemilla del disco.
Publicado por Juansa con no comments
Archivado en:

ISA Server 2004: Monitoring node (Supervisión-Ficha Alertas)

Esta ficha nos proporciona información sobre los eventos significativos que han ocurrido (inicio/apagado de servicios, intrusiones, límite de conexiones excedidas, etc...). Podemos configurar que acciones provocarán alertas. Aquí teneis una captura:

Como podreis observar si seleccionamos una alerta se nos muestra información extra en la parte de abajo del panel central. Las alertas tienen además un icono que indica la importancia que pueden tener. Son iconos bastantemente conocidos por los administradores de sistemas Windows, ya que son practicamente los mismos que se utilizan en el visor de sucesos y registro de aplicaciones:

  • Una i minúscula dentro de un círculo blanco: Significa una alerta informativa, no debe tomarse ninguna medida.
  • El signo ! exclamación en un triángulo amarillo: Alerta significativa, puede que deba tomarse alguna medida.
  • Ua X mayúscula en un círculo rojo: Indica un error, problema o potencial problema que debe ser atendido de inmediato.

El panel derecho nos permite actualizar la ventana de alertas manualmente, o podemos establecer una frecuencia de actualización automático. Bajo el título Tareas de alertas, podemos restablecer las alertas seleccionadas, las podemos seleccionar conjuntamente con el uso de la tecla CRTL, y pulsamos en restablecer. Se nos preguntará si estamos seguros de querer reiniciarlas.

También podemos elegir Confirmar para indiccar que estamos manejando la alerta. Esto no suprime la alerta de la lista en la ventana, sin embargo, la alerta se suprimirá de la vista de escritorio digital.

Para terminar, podemos configurar alertas mediante la elección desde una lista de alertas de evento predefinidas y podemos especificar el número de repeticiones de un evento o las veces por segundo, para que provoque una alerta. También podemos especificar que ocurrirá cuando se produzca una alerta (como mandar un correo al administrador, ejecutar una aplicación, etc...).

Publicado por Juansa con no comments
Archivado en:

Cómo identificamos los problemas de disco, ¿podemos resolverlos?

Tenemos claro que el disco almacena programas y datos que procesan éstos. Si la espera de una respuesta desde el equipo se prolonga demos por seguro que el disco tiene las de ganar. En este caso este subsistema es el más importante aspecto del rendimiento de E/S. Sin embargo, los problemas pueden estar ocultos por otros factores como la falta de memoria.

Los contadores de rendimiento de disco están disponibles tanto para discos lógicos como discos físicos. Los de discos lógicos monitorizan las particiones lógicas de las unidades físicas. Esto es útil para determinar que partición es la causante de la actividad del disco, que podría indicarnos la aplicación o servicio que genera las solicitudes. Los de Discos físicos monitorizan las unidades de disco duro individuales y es útil para el control completo del disco.

Estos contadores se activan automáticamente según la necesidad. Por lo que no es necesario activarlos manualmente con ningún comando.

Cuando queremos analizar el rendimiento y capacidad del subsistema de disco, usaremos los contadores:

  • %Tiempo de disco. Nos indica el tiempo en el que el disco se encuentra ocupado leyendo/escribiendo solicitudes. Si se mantiene cerca del 100% es que se está usando demasiado. El control individual de los procesos puede ayudarnos a determinar si alguno o algunos de ellos se están apropiando del uso del disco mediante sus solicitudes.
  • Longitud de cola actual de disco. Indica el número de solicitudes de E/S al disco pendientes. Si este valor se mantiene por encima de 2, hay congestión.
  • Media de transferencia Bytes. La media de los bytes transferidos hacia o desde el disco durante las operaciones de lectura/escritura. Cuanto mayor sea el tamaño de la media, mayor es la eficiencia del disco.
  • Bytes por segundo. Ratio al que se han transferido los bytes hacia o desde el disco durante operaciones de lectura/escritura. Cuanto mayor sea mejor rendimiento.
  • %Espacio libre disco lógico. Cantidad de espacio sin usar.

Si llegamos a la conclusión de que estamos sufriendo cuellos de botella en nuestros discos:

  • Desfragmentar las unidades.
  • Descartar la escasez de memoria. Si la memoria es escasa el administrador de memoria virtual escribe más páginas en disco y con ello incrementa la actividad del disco. Antes de añadir hardware asegurémonos que la falta de memoria no sea la causa, y es que suele ser una de las causas más comunes.
  • Sopesar el añadir una controladora más rápida.
  • Sopesar los entornos de RAID.
  • Intentar repartir/desviar la carga de trabajo hacia otros servidores.
Publicado por Juansa con no comments
Archivado en:

Controlar los discos

El Disco es el subsistema que maneja el almacenamiento y el movimiento de programas y datos en el equipo, teniendo una gran influencia en el rating de rendimiento del servidor. La consola de rendimiento proporciona contadores específicos de disco que nos permiten medir la actividad del disco y su tasa de transferencia.

Controlando los discos conservamos nuestros sistemas trabajando eficientemente. También podemos usar los datos que recopilamos al controlar los discos para planear futuras ampliaciones/actualizaciones de hardware y/o software.

Cuando nos encontramos con ciertas condiciones estamos frente a un síntoma evidente de la presencia de cuellos de botella del disco:

  • Un ratio sustancial de actividad de disco por encima de la media.
  • Colas de disco persistentes mayores a dos por disco.
  • Ausencia de suficiente memoria para paginamiento.

Sin ésta combinación es díficil que exista algún cuello de botella de disco.

Consideremos la capacidad del disco y su tasa de transferencia cuando evaluemos su configuración de inicio. Usemos el bus, la controladora, cables y tecnologías que proporcionen la mejor tasa de transferencia que sea práctica y asequible. Muchos equipos llevan a cabo su función adecuadamente con precios moderados, sin embargo si se quiere obtener un mayor rendimiento deben elegirse componentes de última generación.

Si nuestra configuración está formada por varios tipos de disco, controladoras y buses, las diferencias en su diseño pueden afectar los ratios de tasa de transferencia. Deberíamos comprobar las tasas de transferencia mediante el uso de estos varios discos para determinar si alguno provoca resultados desfavorables en general o sólo en ciertos tipos de actividad y, cambiarlos si fuese necesario.

Ciertas configuraciones de tipos de volúmenes pueden ofrecer mejor rendimiento.

El Monitor de Sistema puede monitorizar los juegos de volúmenes con los mismos objetos y contadores de rendimiento que usamos para discos individuales. Teniendo en cuenta que un hardware basado en RAID informará de toda la actividad como si se tratase de un sólo disco físico sin mostrar la distribución de las operaciones entre los discos del array.

Saber el tiempo de búsqueda, velocidad de rotación, tiempo de acceso y ratio de transferencia de datos de nuestros discos con sólo una simple consulta a su propia documentación. Considerar el ancho de banda del cable y controlador. El componente más lento determina el ratio máximo de tasa de transferencia, hay que asegurarse de monitorizar cada componente.

Para comparar el rendimiento de diferentes discos, monitorizarlos mediante los mismos contadores y actividad del disco. Si se encuentran diferencias en el rendimiento, podemos distribuir la carga de trabajo hacia el de mejor rendimiento, o cambiar el de componentes de menor rendimiento.

Publicado por Juansa con no comments
Archivado en:

ISA Server 2004: Monitoring node (Supervisión-Ficha Escritorio digital)

El nodo de supervisión de ISA Server 2004 es una mejora palpable sobre la interfaz de supervisión y registro de ISA Server 2000. Es un nodo completo, con siete partes en fichas que se muestran en el panel central:

  • Escritorio digital
  • Alertas
  • Sesiones
  • Servicios
  • Informes
  • Conectividad
  • Registro

(bueno, al final he conseguido capturas de pantalla de un ISA Server 2004 en castellano, a ver que tal quedan aquí, :-))

El Escritorio digital no es ni más ni menos que eso, un escritorio digital donde nos encontramos cada una de las áreas representadas por las fichas(excepto el Registro). Como el salpicadero de un coche, donde somos capaces de dar una ojeada a todos nuestros instrumentos de medida desde un único lugar. De hecho la imagen anterior muestra el escritorio digital.

El escritorio nos proporciona también información del rendimiento del sistema (en la imagen aparece su barra abajo del todo) y lo podemos ver mediante gráficos, se nos indica la cantidad de paquetes permitidos y los denegados por segundo.

En cada una de las secciones de este escritorio se observan iconos que indicarán el estado del área:

    • Una marca dentro de un círculo verde: todo perfecto.
    • Un signo de exclamación dentro de un triángulo amarillo: Aviso, alerta.
    • El signo X dentro de un círulo rojo: un problema o potencial problema.
Publicado por Juansa con no comments
Archivado en:

ISA Server 2004: Examinemos los elementos de administración

Según seleccionemos en el panel izquierdo, el central nos mostrará distintos elementos de configuración para elegir.

En el panel izquierdo tenemos:

  • Nombre_servidor
  • Monitoring node
  • Firewall Policy node
  • Virtual Private Networks (VPN) node
  • Configuration node
        • Networks
        • Cache
        • Add-ins
        • General

Nota: Mi ISA es inglés de nacimiento :-( así que me disculpais esas traducciones 'sui generis' mías ;-)

  • Nombre del servidor
  • Nodo de control ¿monitorización?
  • Nodo de políticas de cortafuegos
  • Nodo de VPN, redes virtuales privadas.
  • Configuración
    • Redes
    • Caché
    • Extras
    • General

---

El nodo superior, donde nos encontramos el nombre del servidor, al seleccionarlo el panel intermedio nos mostrará la página de 'Inicio con ISA Server' -no tiene nada que ver con la guía de inicio-.

En esta página tenemos diversas selecciones posibles, desde las cuales estableceremos el entorno de nuestro servidor ISA, las opciones que nos ayudarán a la realización de las siguientes tareas:

  • Definir la configuración de tu red ISA Server nos permitirá seleccionar entre las plantillas de redes predefinidas que podemos utilizar para crear la distribución para tu red ISA Server y aplicar las reglas por defecto. Podemos especificar la relación entre las distintas redes ISA, NAT o enrutamiento.
  • Ver y crear reglas de cortafuego nos permitirá configurar las reglas que determinarán como se permitirá el acceso seguro a los sitios internos y externos, otros sitios, servidores, correo electrónico, y otros servicios.
  • Definir como ISA Server cachea la Web configura el caching, primero definiendo una unidad para el caché y después creando las reglas de caché para controlar como se tratará la descarga del contenido web y la frecuencia de actualización del propio caché.
  • Configurar acceso VPN nos permite la creación de redes privadas virtuales, permitiendo el acceso a usuarios remotos a nuestra red interna mediante la conexión VPN.
  • Controlar tu red ISA Server aporta opciones para ver los detalles del sistema y comprobar la conectividad (incluyendo monitorización en tiempo real, que usuarios están conectados y a qué páginas web y uso de aplicaciones). También podemos crear alertas de notificación a los administradores de eventos específicos mediante correo electrónico y establecer la generación de informes únicos o programados.

Si además tenemos el panel derecho desplegado y está seleccionado el nodo superior del panel izquierdo, tenemos la ficha de tareas en el derecho donde podemos ver los elementos que podemos pulsar para realizar diversas tareas, incluyendo:

  • Definir funciones administrativas que iniciará el asistente de delegación de administración, que podemos usar para asignar funciones administrativas a usuarios individuales o grupos. Las funciones definen que permisos tendrán estos usuarios para la administración del ISA Server.
  • Desconectar servidor seleccionado desde la consola de administración desconectará un servidor seleccionado, sea local o remoto.
  • Copia de seguridad de configuración ISA Server permite guardar la configuración de ISA Server en un archivo XML.
  • Restaurar configuración de ISA Server permite restaurar la configuración de ISA Server desde el archivo XML creado con la opción anterior.

Se incluyen tareas relacionadas con la exportación e importación de archivos de configuración (en formato XML).

¿Cómo se diferencian las funciones de copiar/restaurar de Exportar/Importar?

En ambos casos salvamos la configuración de ISA en un archivo XML o la recuperamos. La única diferencia que verás entre los dos cuadros de diálogo para guardar el archivo es que el diálogo de Exportar incluye dos casillas de verificación que no verás cuando utilices la característica de copia de seguridad:

    • Valores de permisos de usuario de exportación
    • Información confidencial de exportación (se usará cifrado)

Ambas funciones permiten guardar la configuración pero la característica de Exportar/Importar nos da más control granular sobre qué información guardar y cómo guardarla.

Con Copiar/Restaurar la configuración general de los servidores se guardan. Esto consiste en reglas de cortafuegos, elementos de reglas, configuraciones de alertas, configuración de la caché y configuración de VPN. No tenemos opción de guardar sólo parte de la información, es un todo o nada.

Con Exportar/Importar podemos guardarla toda o sólo partes específicas de la misma. Por supuesto si seleccionamos toda la información para exportar se guardarán: Reglas de acceso, Reglas de publicación, Elementos de regla, Configuación de alertas, Configuración de caché, propiedades de ISA Server y toda la configuración general.

Podemos elegir si exportar información confidencial como las contraseñas de usuario, claves pre-compartidas para IPSec y secretos compartidos RADIUS. También elegir si exportamos los valores de permisos de usuario. Con la función de copia de seguridad no tenemos elección: se guarda todo automáticamente. En cualquier caso, cuando guardemos información confidencial ésta se cifrará por seguridad. Podemos especificar una contraseña durante la exportación, que tendrá que introducirse cuando se importe.

¿Por qué exportar una configuración entera en lugar de realizar una copia de seguridad?

Esto se usa frecuentemente para clonar un servidor, creando un segundo ISA Server con idéntica configuración. Si necesitamos varios ISA Server configurados idénticamente, por ejemplo para diversas oficinas dispersas, es la vía más rápida para hacerlo.

Un importante hecho a notar es que cuando exportamos una configuración entera, se incluyen los valores de certificado. Si importamos la configuración en otro ISA Server que no tiene los mismos certificados instalados ,el servicio de cortafuegos no arrancará.

Publicado por Juansa con no comments
Archivado en:

Cuellos de botella en el procesador.

Todas las actividades que ocurren en un servidor afectan al procesador. El procesador en un servidor de aplicaciones se utiliza más que en un servidor de archivos e impresión. Como resultado, el nivel de actividad del procesador, lo que se considera normal, es distinto entre esos dos tipos de servidor.

Las dos causas más comunes de la aparición de cuellos de botella en el procesador son las aplicaciones vinculadas al procesador y controladores, y las excesivas interrupciones generadas por los componentes de otros subsistemas: disco, red.

Los contadores de control del procesador ayudan a determinar si se están produciendo cuellos de botella en el procesador:

  • %Tiempo proceso. Medidas de la cantidad de tiempo en el que el procesador está ocupado. Cuando el uso del procesador supera el 85% permanentemente, se está produciendo un cuello de botella. Analizando el uso mediante el control individual de los procesos nos ayudará a determinar cual es la causa de esa actividad del procesador.
  • Sistema: tamaño de la cola de proceso. Número de peticiones en la cola para el procesador. Indica el número de hilos que están listos para ejecutarse y que están esperando la asignación de tiempo del procesador. Normalmente, el tamaño de la cola no debería ser mayor a dos, si es superior es un indicativo de congestión. Para determinar la causa de esa congestión, podemos analizar el proceso individual (o procesos) que están haciendo peticiones de uso de procesador.
  • Colas de trabajos del servidor: tamaño de cola. Número de solicitudes en la cola del procesador seleccionado. Una cola de más de dos trabajos indica congestión.
  • Interrupciones/segundo. Número de interrupciones que el procesador está revisando desde las aplicaciones o de dispositivos de hardware. Windows Server 2003 puede manejar miles de interrupciones por segundo. Un incremento dramático de este contador sin el correspondiente aumento en la actividad del sistema indica un problema de hardware. El problema podría ser producido por un dispositivo que es incapaz de mantener el nivel del resto del sistema, como un controlador de disco o una tarjeta de interfaz de red (NIC).

Si al final determinamos que se producen demasiados cuellos de botella en el procesador podemos realizar algunas acciones para mejorar el rendimiento:

  • Añadir un procesador más rápido si es un servidor de archivos e impresión.
  • Añadir múltiples procesadores para servidores de aplicaciones, muy especialmente si dichas aplicaciones son multihilo.
  • Descargar proceso hacia otro sistema en la red, como usuarios, aplicaciones o servicios.
  • Actualizar la red, adaptadores, controladores. Hay adaptadores inteligentes que proporcionan mejor rendimiento al sistema ya que permiten que las interrupciones se procesen en el propio adaptador y así quitarle carga de trabajo al procesador del sistema.

Para mantener nuestro sistema en ejecución eficientemente debemos controlar el procesador del sistema para detectar cualquier cuello de botella de tanto en cuanto. Los cuellos de botella ocurren sólo cuando el procesador está demasiado ocupado y no puede responder a otras peticiones. Estas situaciones indican, en parte, ratios de actividad de proceso grandes, que manteniéndose mucho tiempo, aumentan las colas y degradan la respuesta de las aplicaciones.

Si queremos controlarlo usando rendimiento:

  • Abrimos rendimiento, Inicio->Panel de control->Herramientas administrativas->Rendimiento. Como el monitor del sistema está seleccionado por defecto, se nos muestra el % de tiempo de uso del procesador en el panel derecho.

Si queremos controlarlo desde el Administrador de tareas:

  1. Accedemos al Administrador (CTRL+ALT+SUPR y pulsamos Administrador de tareas).
  2. En la ficha rendimiento, podemos ver el uso de CPU y el historial de uso de CPU.
Publicado por Juansa con no comments
Archivado en:

PowerShell

Fue en el IT Forum donde se presentó el nuevo Shell de Microsoft, después de convivir con la línea de comandos y Windows Scripting Host, nos llega un shell potente, al menos así lo creo yo mismo.

La verdad es que la primera vez que lo ví fue en Redmon, hace exactamente tres años, la demostración fue a cargo de Jeffrey Snover, al que tuve el placer de conocer y charlar durante varios minutos. Ya entonces me encandiló, si puedo decirlo así, me recordaba a ese shell potente de Linux para realizar cualquier acción y he de decir que era algo qué disfruté mientras realicé mis estudios.

Sí, aprovechándome de la ocasión me metí entre el grupo que estuvo probándolo desde su preview, pasando por las betas públicas, hasta su lanzamiento. Y también que la reacción de todos los que estuvimos allí, aparte de que Jeffrey es un tio simpático, quedamos gratamente sorprendidos.

Siempre estaré de acuerdo con la sencillez de cambiar parámetros de cualquier aplicación mediante un interfaz gráfico y accediendo a una ventana de propiedades. Pero que te voy a contar, la sangre es la sangre y la pasión se lleva en la sangre, así que diré que siempre tengo querencia a utilizar todo menos la interfaz gráfica. Desde los comandos puedo trazar y repetir hasta la saciedad su ejecución; puedo ver que acabo de hacer o guardarlo. Lo puedo repetir cien veces sabiendo que todas las veces son exactamente iguales, y desde que tengo la línea adecuada, muchísimo más rápido que viajar entre ventanas.

A diferencia del WSH donde tenemos que 'programar', diría que más a fondo, en PowerShell sólo debemos escribir esos cmdlets necesarios y sus parámetros, aunque también es una forma de programar, menos purista seguramente pero al fin y al cabo cierto orden hemos de introducir ¿no?

Desde acciones simples hasta complicarlas con encadenamientos de cmdlets y formateando su salida. Trabajar con archivos, el registro de Windows, gestionar servicios, impresoras, conexiones de red, etc... Y no veas con Exchange 2007, primer producto que lo utiliza al 100%. Y no digamos de las posibilidades de scripting...

Es un lenguaje muy intuitivo y que los administradores debemos ir aprendiendo, lo digo seriamente, pues creo que es algo que nos quitará algún que otro problemilla... ;-)

http://www.microsoft.com/windowsserver2003/technologies/management/powershell/default.mspx

Publicado por Juansa con no comments
Archivado en:

El procesador

Despúes del consumo de memoria la actividad del procesador es el dato más importante a controlar en nuestro servidor. Para determinar si las tareas del procesador se manejan eficientemente para todos el trabajo en el equipo o si está sobrecargado, debemos examinar su uso.

El uso del procesador o uso de CPU es el porcentaje de tiempo en el que se encuentra ocupado trabajando. Debemos vigilar esta ocupación para detectar cuellos de botella en el procesador.

En Windows Server 2003, podemos utilizar el Administrador de tareas o Rendimiento para controlar el uso y la actividad del procesador. El contador que define el uso del procesador en cada una de estas herramientas es:

  • Uso de CPU, en el Administrador de tareas, y,
  • % Tiempo de proceso en Rendimiento.

En el Administrador de tareas el uso de CPU muestra un gráfico indicando el porcentaje de tiempo que el procesador está trabajando. Este contador es el primer indicador de la actividad del procesador. Viendo el gráfico vemos cuanto tiempo de proceso se esta utilizando. Si el equipo parece enlentecerse, el gráfico puede estar mostrando un gran porcentaje de uso.

En Rendimiento, el porcentaje de tiempo de procesador es el porcentaje de tiempo transcurrido que el procesador ha gastado en ejecutar un hilo que no sea el de inactivo. Cada procesador tiene un hilo de inactividad que consume ciclos cuando no hay otros hilos en ejecución. Este contador es el primer indicador de la actividad del procesador. Muestra el porcentaje medio de tiempo ocupado observado durante el intervalo de muestra. Se calcula el valor mediante el control del tiempo que el proceso de inactividad está activo y que se le resta al 100%.

Es interesante el control de este contador en sistemas de multiproceso simétrico (SMP) como a los sistemas de único procesador. SMP permite a cualquier procesador del sistema ejecutar cualquier hilo del sistema operativo o de aplicación simultáneamente con otro procesador en el sistema. Observar la pauta en el uso de un procesador en procesadores individuales y para todos los procesadores durante el periodo establecido. También, considerar el número de hilos en la cola del procesador del sistema para determinar si el uso elevado de procesador está limitando la capacidad del sistema para cumplir su trabajo.

Publicado por Juansa con no comments
Archivado en: