MONITOREO DE SERVIDORES EN WINDOWS SERVER 2012

Como administradores de red debemos velar por el correcto funcionamiento

de nuestra infraestructura para evitar as inconvenientes como cadas de la
operacin, inestabilidad o fallas en algn servicio.
Los administradores de sistemas que os dedicis a gestionar servidores
Windows Server sabis que en Solvetic tenis una seccin que os gustar y
ayudar en mltiples ocasiones de diversas temticas relacionadas.
Windows Server 2012 nos brinda herramientas muy tiles para poder
supervisar peridicamente el estado de nuestro servidor y as poder corregir
falencias o estar a un paso adelante en las respectivas configuraciones.
Analizaremos algunas de estas herramientas para comprender su
funcionamiento y la gran utilidad que son para nosotros.
Lo mejor es que empecemos a analizar, pulsemos en Siguiente o selecciona la
herramienta que quieras descubrir en el men principal.
1. MMC (Microsoft Management Console)
La primera herramienta que analizaremos ser MMC (Microsoft Management
Console), esta herramienta nos permite administrar Windows y algunas de los
servicios de red de Windows.
Para iniciar MMC podemos usar el siguiente mtodo rpido:
Abrir la lnea de comandos (Windows + R) y escribir:
mmc
o
mmc.exe

Veremos que se despliega la siguiente ventana de administracin:

Podremos agregar o quitar complementos para poderlos administrar desde

nuestra ventana MMC, para ello daremos clic en Archivo y elegimos Agregar o
quitar complemento, veremos que se despliega la siguiente ventana.

All podremos seleccionar los complementos deseados y dar clic en Agregar,

finalmente en Aceptar y veremos los complementos que hemos incluido en
nuestra ventana principal de MMC.

2. Herramientas Administrativas WinServ

Las herramientas administrativas estn disponibles para los administradores

del sistema, esta carpeta la encontramos en el Panel de Control dentro de la
categora Sistema y Seguridad.

Algunas de las tareas que podemos realizar a travs de la opcin

Herramientas Administrativas son las siguientes:
Componentes de servicio
Permite configurar y administrar los objetos COM.
Visor de eventos
Permite ver informacin sobre los eventos ms importantes que ocurren en el
servidor.
Polticas de seguridad local
Permite ver y editar las GPOs.
Monitoreo de Rendimiento
Permite ver informacin avanzada de la informacin del sistema.
Administracin del Computador
Podemos realizar diversas tareas como configuracin de discos duros,
administrar el rendimiento, etc.
Administrador del servidor

Permite administrar los diferentes roles del servidor.

Servicios
Brinda la posibilidad de administrar diferentes servicios.
Programador de tareas
Permite programar tareas para que corran automticamente.

3. Administrador del Servidor

A travs del administrador del servidor podemos realizar diversas tareas de
gestin a nuestro sistema Server 2012 tales como:

Agregar o remover roles y caractersticas.

Supervisar y gestionar los roles activos.
Adicionar o remover servidores.
Realizar tareas de administracin (por ejemplo, iniciar o detener
servicios).
Reiniciar servidores, entre otras tareas.

Para ejecutar el administrador del servidor (Se inicia automticamente al

encender el servidor) podemos dar clic en el cono ubicado en el extremo
inferior izquierdo. Se desplegar la siguiente ventana donde podremos
realizar las diferentes tareas mencionadas:

Si quieres ms informacin del Administrador del Servidor de Windows Server

(Server Manager), no te pierdas este tutorial.
4. Uso de la consola de servicios
Recordemos que un servicio es un programa o proceso que realiza una tarea
especfica en el sistema.

Para administrar los servicios usaremos la consola de servicios, para acceder

a ella realizaremos el siguiente proceso

Accedemos a Panel de control

Sistema y seguridad
Herramientas administrativas
Servicios

Se desplegar la siguiente ventana donde podremos seleccionar el servicio a

gestionar, para abrirlo damos doble clic sobre l y podremos iniciarlo,
pausarlo o detener el servicio indicado.

5. Uso del visor de eventos

El visor de eventos es una de las herramientas ms usadas por todos los
administradores, ya que a travs de esta herramienta podemos ubicar los
sucesos que acontecen en nuestro servidor, sucesos como:

Apagados
Reinicios
Cambios en el sistema
Creacin o eliminacin de archivos, etc.

Para acceder al visor de eventos haremos lo siguiente:

Panel de control
Seguridad y sistema
Herramientas administrativas
Visor de eventos

Ejecutando este comando desde la lnea de comandos:

eventvwr.mmc

Se desplegar la siguiente ventana:

Como vemos tenemos diferentes opciones para visualizar nuestros eventos en

dicho visor, analicemos estas opciones:
Vista personalizada
Nos permite crear una vista de acuerdo a nuestras necesidades

Registro de Windows
Incluye la vista de los eventos ocurridos en nuestro sistema en segmentos
como Aplicacin, Seguridad, Instalacin, Sistema, etc.
Registros de aplicaciones y servicios
Despliega los eventos acontecidos en las aplicaciones y servicios de Windows
Dentro del visor de eventos podemos filtrar segn los requerimientos que
tengamos:

6. Monitor de confiabilidad
El monitor de confiabilidad nos permite visualizar los problemas de hardware
y software que estn afectando el rendimiento de nuestro servidor. Para
ejecutar el monitor debemos ingresar el siguiente comando en la lnea de
comandos:

WIN + R
Abrir la ventana de ejecutar comandos y escribimos:
Perfmon /rel

Se desplegar la siguiente ventana donde podremos visualizar los eventos por

da o semana y por tipo de evento, y grficamente nos indica la estabilidad de
nuestro servidor.

Para habilitar nuestro monitor de confiabilidad debemos realizar el siguiente

proceso:

Ir al programador de tareas y seguir la siguiente ruta:

\Microsoft \ Windows \ RAC \ Ractask

Veremos que se encuentra deshabilitado, damos clic en el botn Habilitar

ubicado en el panel lateral derecho. Adicional debemos abrir el editor de
registros, para ello ingresamos el comando Regedit en la lnea de comandos y
vamos a la siguiente ruta:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Reliability
Analysis/WMI/WMIEnable
All daremos doble clic en WMIEnable y cambiaremos el valor del registro de
cero (0) a uno (1).

Damos clic en Aceptar y reiniciamos el servidor para aplicar los cambios.

7. Uso del administrador de tareas
El administrador de tareas nos permite revisar y gestionar todo lo relacionado
con el rendimiento de nuestra mquina, ya que el administrador nos provee
informacin completa de los procesos y programas que se estn ejecutando en
nuestro dispositivo.
Para acceder al administrador de tareas usaremos la combinacin de teclas:
Ctrl + Alt + Supr
Seleccionamos Administrador de tareas.

Una vez demos clic en Administrador de tareas se desplegar la siguiente

ventana en la cual tenemos diversas pestaas para gestionar los procesos:
Procesos
Nos muestra los procesos que se estn ejecutando actualmente en la mquina,
podemos observar el consumo de CPU y memoria que consume cada proceso y
podremos (si es necesario) finalizar un proceso en particular.
Rendimiento
Nos muestra grficamente el rendimiento de la CPU, Memoria y Ethernet.
Usuarios
Brinda una vista de los usuarios que han iniciado sesin en la mquina y el
consumo de recursos que usan.
Detalles
Brinda una muestra explcita de todos los procesos corriendo, indicando su
estado, tamao, consumo, ID y descripcin detallada.
Servicios

Muestra los servicios que se estn ejecutando en el servidor y su estado (En

ejecucin, Detenido o Pausado).

8. Monitor de recursos
El monitor de recursos nos brinda informacin detallada acerca de los
recursos del sistema, CPU, memoria, discos duros y red. Esta herramienta nos
permite analizar que procesos o servicios estn consumiendo de manera
anormal alguno de los recursos de hardware del servidor, lo cual puede incidir
en un bajo rendimiento en la mquina.
Para acceder al monitor de recursos nos dirigimos al Administrador del
servidor y elegimos la opcin Monitor de recursos o bien a travs de
Powershell con el comando:
resmon.exe

Una vez ejecutada esta opcin se desplegar la siguiente ventana en la cual

podremos visualizar y gestionar el rendimiento de nuestro servidor, veremos
que tenemos disponibles las siguientes pestaas para administrar:
Informacin general.

CPU
Memoria
Disco
Red

Podemos desplegar cada pestaa para observar el comportamiento de nuestro

recurso de hardware.

9. Monitor de rendimiento
El monitor de rendimiento es una herramienta que nos permite analizar el
rendimiento del sistema. Para ejecutar dicha herramienta realizaremos el
siguiente proceso:
Abrimos el Panel de Control y vamos a la siguiente ruta:

Sistema y seguridad
Herramientas administrativas
Monitor de rendimiento

Se desplegar la siguiente ventana:

Podremos adicionar contadores de rendimiento de manera personalizada, para

ello, debemos dirigirnos al men Accin, seleccionamos Nuevo y elegimos
Recopilador de datos, se desplegar el siguiente asistente en el cual podremos
elegir el tipo de contador a ejecutar:

Eventos
Rendimiento
Alertas, etc.

Elegimos el tipo de recopilador y damos clic en Siguiente, se desplegar la

opcin para agregar los contadores que necesitemos, por defecto est vaco,
seleccionamos Agregar y procedemos a ingresar los contadores del equipo de
los cuales deseemos tener visualizacin, podemos elegir diversos contadores
del equipo local.
Una vez hayamos seleccionado los respectivos contadores damos clic en
Aceptar para guardar los cambios y establecer nuestra nueva tarea de
recopilacin.

Veremos nuestra tarea en el respectivo men.

10. Monitoreo de red

Sin duda la red puede ocasionarnos muchos problemas debido a la gran
cantidad de procesos que internamente se manejan. Como administradores
podemos usar algunos tips para validar nuestra configuracin de red:

Asegurarnos que estn conectados apropiadamente los cables de red.

Asegurarnos que la interfaz de red est habilitada.
Verificar nuestra direccin IP local usando el comando ipconfig.
Usar el comando ping para validar que el recorrido de la red est
correcto, podemos hacer lo siguiente:
Hacer ping a la direccin loopback (127.0.0.1)
Hacer ping a una direccin IP local
Hacer ping a un Gateway remoto para comprobar conexin
Hacer ping a un computador remoto
Identificar cada router entre las redes usando el comando tracert.
Verificar la configuracin DNS (Domain Name Server) usando el
comando nslookup.

As mismo podremos usar el comando netstat para validar las conexiones

entrantes y salientes de nuestro sistema.
Podremos usar las siguientes combinaciones con el comando netstat:

Despliega todas las conexiones

Netstat -a
Despliega la tabla de enrutamiento
Netstat -r
Despliega el estado de Ethernet

Netstat -e
Despliega las estadsticas por protocolo
Netstat -s
Link:
http://www.solvetic.com/tutoriales/article/2514-monitoreo-de-servidores-enwindows-server-2012/

CAMBIAR PUERTO ESCRITORIO REMOTO WINDOWS SERVER 2012 /

2016
Dentro de las mltiples tareas que tenemos como administradores y personal
del grupo de IT est la de gestionar los equipos de manera remota para
acceder a solucionar diversos problemas que se presenten en los equipos de
los usuarios, para actualizar sus equipos o en general para diversas consultas
que surjan dentro del horario laboral. Hay muchos programas buenos y
gratuitos para este tipo de conexiones remotas, pero en este tutorial nos
centramos en el que viene por defecto en sistemas Windows aumentando su
seguridad cambiando el puerto por defecto.
Sabemos que el puerto que usa Windows para las conexiones por RDP
(Remote Desktop Protocol - Protocolo de Escritorio remoto) es el 3389 pero
hoy vamos a analizar cmo modificar dicho puerto RDP en Windows Server
2016.
Quizs surge la pregunta, muy lgica, sobre cul es la razn fundamental por
la que deseamos cambiar el puerto de nuestras conexiones por RDP, la razn
es sencilla pero radical: Seguridad, esto debido a que los hackers o atacantes
conocen que el puerto 3389 es el que usan Windows por defecto para las
conexiones de Escritorio Remoto y por all intentarn acceder a nuestros
equipos y sustraer informacin, realizar cambios no autorizados y en general
afectar la estabilidad del servidor y de los usuarios.
Conociendo la razn por la cual es ideal cambiar el puerto de los escritorios
remotos vamos a ver cmo ejecutar este cambio.
1. Acceder y editar editor de registros Windows Server 2016
Para realizar este cambio debemos acceder al editor de registros usando el
comando Ejecutar la combinacin de teclas:
WIN + R
Y ahora ingresar el trmino:
regedit
Con ello abriremos el editor de registro.
En la ventana desplegada iremos a la siguiente ruta:
HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control /
Terminal Server / WinStations / RDP-Tcp

En la columna derecho buscaremos el registro con el nombre PortNumber y

podemos ver que su valor est por defecto en 3389.
Para cambiar el valor del puerto daremos doble clic sobre este registro o clic
derecho / Modificar y podemos ver que el valor registrado en el campo
Informacin del valor es d3d esto es debido a que lo estamos viendo en
formato hexadecimal pero si lo pasamos a decimal veremos 3389.

A continuacin modificaremos el nmero del puerto, en este caso ingresamos

el puerto 6000 y pulsamos Aceptar para guardar los cambios.

Una vez realizado este proceso es necesario reiniciar el servidor para que los
cambios surtan efecto.
2. Validando la conexin va RDP
Si intentamos acceder al servidor usando el mtodo normal veremos lo
siguiente:

Para poder acceder de forma correcta debemos agregar el nmero de puerto

al final de la direccin IP, en este caso sera:
192.168.0.26:6000

Pulsamos Conectar y a continuacin debemos ingresar las credenciales de

usuario para tener acceso al servidor usando el puerto 6000.

De esta manera podemos modificar el puerto de acceso remoto de Windows

Server 2016 (Tambin aplica para Server 2012) y as garantizar un nivel ms
elevado de seguridad a nuestro equipo e informacin confidencial
manteniendo siempre disponible e ntegra la informacin de la compaa.
Link:
http://www.solvetic.com/tutoriales/article/3175-cambiar-puerto-escritorioremoto-windows-server-2012-2016/

Buscar cuentas inactivas en Windows Server con PowerShell

Dentro de las tareas administrativas que tenemos que realizar como personal
encargado de IT es la gestin de todos los usuarios que forman parte de
nuestra organizacin y por ende de nuestra infraestructura de red. La
administracin de usuarios con PowerShell en Windows 10 es muy interesante
tenerlo siempre a mano.
Sabemos que los usuarios sufren diversos tipos de cambios, bien sea porque el
usuario se retire de la organizacin, porque puede ser un usuario temporal o
simplemente por orden de RRHH o de Gerencia se establece una fecha
especfica para que la cuenta del usuario caduque.
El problema nos puede surgir si por alguna razn, y sin duda aparecer, es
que debemos generar reportes sobre que usuarios han sido deshabilitados o
su cuenta ha expirado para tener un control especfico en estos usuarios ya
que en muchas organizaciones se siguen teniendo en cuenta este tipo de
usuarios aun cuando ya no pertenecen a la organizacin, por ejemplo, el rea
de finanzas enva semanalmente un reporte a una lista de distribucin
especfica y si uno de los usuarios de dicha lista ya no pertenece a la
organizacin se retornar un mensaje de error al remitente indicando que la
cuenta no existe.
En este anlisis vamos a ver cmo podemos usar Windows PowerShell para
visualizar que usuarios han sido deshabilitados o su cuenta ha expirado. Esta
bsqueda es vital para organizaciones que poseen muchos usuarios y la
bsqueda manual es prcticamente imposible.
Nota
Por si no sabes abrir abrir la herramienta PowerShell, aqu te mostramos la
forma ms rpida, debes combina las siguientes teclas:
WIN + R
Nos saldr una ventana, ah debemos escribir powershell y dar en Aceptar,
entonces se abrir el programa:

1. Buscar cuentas deshabilitadas con PowerShell

Para realizar este tipo de bsqueda vamos a abrir Windows PowerShell y

debemos ingresar el siguiente cmdlet:
Search-ADAccount -AccountDisabled
Gracias a este cmdlet vamos a visualizar las diversas cuentas que estn
deshabilitadas en la organizacin.
Al usar este cmdlet obtendremos la siguiente vista:

Podemos notar que vemos detalles especficos acerca de los usuarios

deshabilitados como:

Fecha de expiracin de la cuenta (Si aplica)

Nombre del usuario deshabilitado
PasswordExpire: Nos permite definir si la contrasea del usuario ha
expirado
ID del usuario, entre otros valores.

2. Buscar cuentas usuario que han expirado con PowerShell

Otro de las posibilidades que tenemos es buscar aquellos usuarios que por
algn motivo se ha definido una fecha especfica para que su cuenta fuera
deshabilitada. Para ver este tipo de usuarios usaremos el siguiente cmdlet:
Search-ADAccount -AccountExpired
Veremos el siguiente resultado:

Podemos ver informacin especfica de los usuarios cuya cuenta ha expirado

como:

AccountExpirationDate: Fecha exacta en la que expir la cuenta del

usuario
Name: Nombre del usuario
UserPrincipalName: Nombre con el cual el usuario iniciaba sesin en el
dominio
DistinguishedName: Indica la ruta exacta donde se encuentra el usuario

3. Buscar cuentas usuario inactivas con PowerShell

Otra de las bsquedas que podemos realizar mediante Windows PowerShell es
buscar aquellas cuentas que estn inactivas, estas cuentas pueden ser las que
han expirado o aquellas cuentas que despus de un periodo determinado de
no usarse el sistema las inactiva. Para ver estos usuarios inactivos usaremos el
siguiente cmdlet:
Search-ADAccount -AccountInactive
Este ser el resultado obtenido:

Al igual que en las anteriores vistas tenemos diferentes parmetros asociados

a estos usuarios. Recordemos que administrando el Directorio Activo de
Windows Server 2016 podemos deshabilitar usuarios y equipos, razn por la
cual si usamos el cmdlet Search-ADAccount -AccountDisabled veremos todos
los objetos (usuarios y equipos), para visualizar nicamente un objeto
especfico debemos agregar lo siguiente:
Search-ADAccount -AccountDisabled -UsersOnly (ver los usuarios)
Search-ADAccount -AccountDisabled -ComputersOnly (ver los equipos)
Link:
http://www.solvetic.com/tutoriales/article/2990-buscar-cuentas-inactivas-enwindows-server-con-powershell/
Ipconfig, tracert, ping y nslookup en PowerShell

Cuando somos administradores de Sistemas es importante que conozcamos

las herramientas que tenemos a nuestro alcance para poder gestionar todo
correctamente. Windows Server es un software bastante extendido para ello.
Contiene herramientas para administrar nuestro Sistema desde tan slo una
consola de comandos.
En nuestros roles diarios como personal del grupo de sistemas bien sea como
jefes, coordinadores, administradores o auxiliares, es muy comn usar algunos
comandos a nivel de consola para obtener informacin de los equipos, la red u
otra informacin necesaria.
Sabemos que existen comandos muy especiales que nos suministran
informacin detallada la cual sirve para la gestin de nuestra labor.
PowerShell en este caso contiene una serie de comandos esenciales para
cualquier administrador pues le ayudar a desempear su tarea.
Gracias a estos comandos, desde PowerShell podremos hacer tareas muy
diversas tambin en Windows 10 entre lo ms sencillo y lo ms complejo
yendo desde limpiar nuestro disco hasta Administrar perfiles de Usuario.
Diversas funciones que podemos realizar con tan slo unos comandos y que
hasta nos permite automatizar tareas. Para ello hay que conocerlo muy bien.
Vamos a ver cmo usar los comandos IPCONFIG, TRACERT, PING y
NSLOOKUP usando la consola de PowerShell, sabemos que a travs de
PowerShell obtenemos mejores resultados que usando CMD esto debido a su
implementacin y automatizacin.
PowerShell viene con interesantes novedades para la versin de Windows
Server 2016, si quieres conocer todo acerca de ello echa un vistazo al
siguiente enlace y entrate de todo.
1. Explorando los comandos IPCONFIG, TRACERT, PING y NSLOOKUP
Muchas hemos odo hablar de estos comandos y los usamos frecuentemente
pero no viene mal recordar un poco la funcionalidad de cada uno de ellos.

IPCONFIG
Este comando nos despliega informacin detallada acerca de la configuracin
TCP/IP de nuestro sistema y es posible actualizar la configuracin del DHCP a
travs de este comando.

PING
Usando este comando podemos verificar el tiempo total que tarda un servidor
en responder una peticin y as determinar si la conectividad est o no
correcta.
TRACERT
El comando Tracert es una herramienta de diagnstico la cual nos permite
hacer un monitoreo de los paquetes que son originados desde un host.
NSLOOKUP
Con NSLOOKUP podemos determinar si un servidor est resolviendo de
manera correcta los nombres y las direcciones IP.
Recordando estos pequeos conceptos vamos a analizarlos usando Windows
PowerShell en Windows Server 2016.
2. Usar IPCONFIG a travs de PowerShell
Paso 1
Abrimos la consola de PowerShell y podemos ingresar el comando IPCONFIG
tal como si estuviramos en CMD y el resultado no vara en nada.

Paso 2

Ahora usando Windows PowerShell vamos a ver que podemos obtener

informacin ms especfica y completa; Podemos usar el cmdlet GetNetIPConfiguration, gracias a este comando podemos ver parmetros como
estos. Como veremos el resultado es el siguiente.
Tarjeta de red en funcionamiento

Servidores DNS
Direcciones IP
Interfaces usadas, etc.

Paso 3
Existen parmetros que podemos agregar al cmdlet Get-NetIPConfiguration
para obtener una bsqueda mucho ms amplia. Podemos aadir parmetros
como:
-Detailed
Permite ver detalles adicionales
configuracin del equipo, etc.

como

interfaces,

informacin

de

- All
Permite ver parmetros de configuracin de IP en todas las interfaces del
equipo.

Estos son los dos parmetros ms importantes que podemos adicionar en

nuestro cmdlet para obtener informacin, pero podemos optar a otro para
darnos otra configuracin.
Get-NetIPAddress
Adicional al cmdlet Get-NetIPConfiguration podemos usar el cmdlet GetNetIPAddress el cual nos permite visualizar todas las configuraciones a nivel
de tarjetas en el equipo.

3. Usar PING a travs de PowerShell

Este comando es quizs el ms usado por todos nosotros ya que nos permite
ver la disponibilidad de un servidor.
Paso 1

Usando PowerShell podemos ingresar el comando comn ping ms la

direccin IP a la cual deseamos realizar la consulta, en este caso usaremos la
direccin de Solvetic: 178.33.118.246

Paso 2

Podemos ver que se recibe respuesta correcta de conectividad. En PowerShell

podemos usar el cmdlet Test-NetConnection para ejecutar esta misma tarea,
vamos a realizar esta tarea realizando la conectividad con el dominio de
Solvetic, usaremos la sintaxis Test-NetConnection 178.33.118.246.

Paso 3
El resultado obtenido ser el siguiente y podemos ver que es ms completo
que en CMD.

4. Usar NSLOOKUP a travs de PowerShell

Como hemos mencionado NSLOOKUP nos permite validar que el servidor est
resolviendo de manera correcta los nombres y direcciones IP.

Paso 1
En Windows PowerShell vamos a usar el cmdlet Resolve-DnsName para
validar esta configuracin. En este ejemplo vamos a usar la direccin web de
Microsoft para ver toda la informacin que Resolve-DnsName nos suministra.

5. Usar TRACERT a travs de PowerShell

Otro de los comandos ms usados a nivel administrativo es Tracert el cual nos
permite ver la ruta por la cual se mueven los paquetes en la red. En
PowerShell para Windows Server 2016 podemos usar el cmdlet TestNetConnection con un parmetro adicional -TraceRoute para realizar esta
validacin.
Paso 1
En este ejemplo haremos un seguimiento a la direccin IP de Solvetic.com,
por lo cual debemos ingresar lo siguiente.
Test-NetConnection 178.33.118.246 -TraceRoute.

Paso 2
Posteriormente veremos que el resultado obtenido es el siguiente. Podemos
ver todos los servidores por los cuales pasa el paquete antes de llegar a su
destino (178.33.118.246) as como la IP de donde sali el paquete, ver el
estado del ping, etc.

Link:
http://www.solvetic.com/tutoriales/article/2917-ipconfig-tracert-ping-ynslookup-en-powershell/

Ver los usuarios que inician sesin en Windows Server

Uno de los temas ms importantes que como administradores tenemos que
tener presente es la seguridad de nuestros servidores y equipos, velando por
quienes tienen acceso a los mismos y cuidando que privilegio tienen en el
mismo. Puede suceder que algn usuario, por accidente o no, realizan
modificaciones en diferentes parmetros del servidor y as como pueden haber
cambios que no afectan el rendimiento y la estabilidad del sistema otros
cambios pueden afectar notablemente la seguridad, la confidencialidad y el
performance de Windows Server 2016 y a su vez esto acarrea graves
problemas que pueden llegar incluso a problemas legales.
Adems de realizar copias de seguridad (backup), una de las mejores
prcticas que podemos realizar como administradores, jefes de IT y en general
como personal de sistemas es implementar una poltica de auditora que nos
permita supervisar que usuarios han iniciado sesin en Windows Server 2016
(O versiones anteriores de W.Server) y de esta manera poder analizar si las
fallas del sistema concuerdan con el inicio de sesin de algn usuario
diferente a los autorizados. Vamos a analizar como podemos implementar esta
poltica en un entorno Windows Server 2016.
1. Configuracin de las polticas de auditora
El primer paso que debemos realizar para crear nuestra poltica de auditora
ser ingresar al Group Policy Management Console o Consola de
Administracin de Polticas de Grupo, para ello usaremos la combinacin de
teclas:
WIN + R
Es la zona de Ejecutar y all ingresamos el trmino:
gpmc.msc

Pulsamos Enter u OK y veremos la siguiente ventana:

Estando en la consola de GPO vamos a desplazarnos de la siguiente forma:

Forest / Domains / Nuestro_Dominio / Domain Controllers / Default
Domain Controllers Policy

Daremos clic derecho sobre Default Domain Controllers Policy y

seleccionamos Edit para ingresar al editor de las polticas de grupo, veremos
el siguiente entorno:

All debemos dirigirnos a la siguiente ruta:

Computer Configuration
Policies
Windows Settings
Security Settings
Advanced Audit Policy Configuration
Audit Policies

De esta manera hemos ingresado a la opcin de Logon / Logoff y debemos

habilitar la auditora para estas acciones, as cuando un usuario inicie sesin
quedar registrado en el visor de eventos para ms adelante poder ingresar y
realizar el anlisis correspondiente. Como vemos la parte derecha tenemos
una serie de opciones, pero debemos editar las siguientes:

Audit Logoff
Audit Logon
Audit Other Logon/Logoff Events

Estas traes (3) opciones nos brindarn informacin detallada acerca de:

Inicios de sesin
Cierres de sesin
Bloqueo de equipo
Conexiones a travs de escritorio remoto
Etc.

Basta con dar doble clic en las tres (3) opciones y activar la casilla Configure
the following audit events y marcar las dos opciones disponibles (Success
-Satisfactorio y Failure Errneo) para llevar un control total sobre los
eventos de inicio y cierre de sesin en Windows Server 2016.

Pulsamos Apply y posteriormente OK para guardar los cambios.

2. Analizar el visor de eventos
Una vez hayamos configurado estos parmetros de forma correcta vamos a
ingresar al visor de eventos para analizar los respectivos eventos.
Eventos de auditora de inicio y cierre de sesin

Ahora los IDs de los eventos que debemos tener presentes para monitorear
son los siguientes:

4624: Logon (Evento de seguridad)

4647: Logoff (Evento de seguridad)
6005: Arranque del sistema (Evento de sistema)
4778: Conexin a un RDP Escritorio Remoto (Evento de seguridad)
4779: Cierre de sesin en RDP Escritorio Remoto (Evento de
seguridad)
4800: Bloqueo de equipo (Evento de seguridad)
4801: Desbloqueo de equipo (Evento de seguridad)

Podremos acceder al visor de eventos usando cualquiera de las siguientes

opciones:
Clic derecho en el cono de inicio Imagen enviada y seleccionamos Visor de
eventos o Event Viewer
Desde el comando Ejecutar podemos ingresar el trmino:
eventvwr
y pulsar Enter.
Esta ser la apariencia del Visor de eventos en Windows Server 2016
Technical Preview.

Para poder revisar los eventos antes mencionados seleccionaremos la opcin

Security de la ficha Windows Logs:

A continuacin, daremos clic en la opcin Filter Current Log para poder filtrar
por ID de evento. Debemos ingresar el ID o los IDs que deseamos validar,
simplemente ingresamos el valor (en este ejemplo 4624) en el campo Enter
ID:

Pulsamos OK y veremos el siguiente resultado:

All podremos seleccionar cualquiera de los eventos para analizar toda su

informacin:

Link:
http://www.solvetic.com/tutoriales/article/2779-ver-los-usuarios-que-iniciansesion-en-windows-server/