Supervisar Microsoft Tunnel
Después de la instalación de Microsoft Tunnel, puede ver la configuración del servidor y el estado del servidor en el centro de administración de Microsoft Intune.
Uso de la interfaz de usuario del centro de administración
Inicie sesión en Microsoft Intune centro de administración y vaya a Administración > de inquilinosEstado de mantenimiento de puertade enlace> de Microsoft Tunnel.
A continuación, seleccione un servidor y abra la pestaña Comprobación de estado para ver las métricas de estado de mantenimiento de los servidores. De forma predeterminada, cada métrica usa valores de umbral predefinidos que determinan el estado. Las siguientes métricas admiten la personalización de estos umbrales:
- Uso de CPU
- Uso de memoria
- Uso de espacio en disco
- Latencia
Valores predeterminados para las métricas de mantenimiento del servidor:
Última protección: la última vez que se protegió el servidor de puerta de enlace de Tunnel con Intune.
- Correcto: la última sincronización se realizó en los últimos cinco minutos.
- Incorrecto : el último registro fue hace más de cinco minutos.
Conexiones actuales: el número de conexiones únicas que estaban activas en la última sincronización.
- Correcto: había 4990 o menos conexiones.
- Incorrecto: había más de 4990 conexiones activas.
Rendimiento: los megabits bits por segundo del tráfico que pasa a través de la NIC de puerta de enlace de Tunnel en la última sincronización del servidor.
Uso de CPU: el uso medio de la CPU por parte del servidor de puerta de enlace de Tunnel cada cinco minutos.
- Correcto: 95 % o menos.
- Advertencia: 96 % a 99 %.
- Incorrecto: uso del 100 %.
Núcleos de CPU : el número de núcleos de CPU disponibles en este servidor.
- Correcto : 4 o más núcleos
- Advertencia : 1, 2 o 3 núcleos
- Núcleos de -0 incorrectos
Uso de memoria: el promedio de uso de memoria por el servidor de puerta de enlace de túnel cada 5 minutos.
- Correcto: 95 % o menos.
- Advertencia: 96 % a 99 %.
- Incorrecto: uso del 100 %.
Uso del espacio en disco: la cantidad de espacio en disco que usa el servidor de puerta de enlace de Tunnel.
- Correcto : por encima de 5 GB
- Advertencia : 3-5 GB
- Incorrecto : por debajo de 3 GB
Latencia: la cantidad media de tiempo que tardan los paquetes IP en llegar y en salir de la interfaz de red.
- Correcto: menos de 10 milisegundos.
- Advertencia: entre 10 milisegundos y 20 milisegundos.
- Incorrecto: más de 20 milisegundos.
Certificado de agente de administración: Tunnel Gateway usa el certificado de agente de administración para autenticarse con Intune por lo que es importante renovarlo antes de que expire. Sin embargo, debería renovarse automáticamente.
- Correcto : la expiración del certificado está a más de 30 días.
- Advertencia : la expiración del certificado está a menos de 30 días.
- Incorrecto : el certificado ha expirado.
Certificado TLS : el número de días hasta que expira el certificado de seguridad de la capa de transporte (TLS) que protege el tráfico entre los clientes y el servidor de puerta de enlace de túnel.
- Correcto: más de 30 días.
- Advertencia: 30 días o menos.
- Incorrecto: el certificado ha expirado
Revocación de certificados TLS : la puerta de enlace de Tunnel intenta comprobar el estado de revocación del certificado de seguridad de la capa de transporte (TLS) mediante un protocolo de estado de certificado en línea (OCSP) o una dirección de lista de revocación de certificados (CRL) tal como se define en el certificado TLS. Esta comprobación requiere que el servidor tenga acceso al punto de conexión OCSP o a la dirección CRL tal como se define en el certificado.
- Correcto : no se revoca el certificado TLS.
- Advertencia : no se puede comprobar si se revoca el certificado TLS. Asegúrese de que se puede acceder a los puntos de conexión definidos en el certificado desde el servidor de Tunnel.
- Incorrecto : se revoca el certificado TLS.
Planee reemplazar un certificado TLS revocado.
Para obtener más información sobre el Protocolo de estado de certificado en línea (OCSP), consulte Protocolo de estado de certificado en línea en wikipedia.org.
Accesibilidad de red interna: estado de la comprobación más reciente de la dirección URL interna. La dirección URL se configura como parte de una configuración de sitio de Tunnel.
- Correcto: el servidor puede acceder a la dirección URL especificada en las propiedades del sitio.
- Incorrecto: el servidor no puede acceder a la dirección URL especificada en las propiedades del sitio.
- Desconocido: este estado aparece cuando no se ha establecido una dirección URL en las propiedades del sitio. Este estado no afecta al estado general del sitio.
Capacidad de actualización : la capacidad del servidor de ponerse en contacto con el repositorio de contenedores de Microsoft, lo que permite que Tunnel Gateway se actualice cuando las versiones estén disponibles.
- Correcto : el servidor no se ha contactado con el repositorio de contenedores de Microsoft en los últimos 5 minutos.
- Incorrecto : el servidor no se ha contactado con el repositorio de contenedores de Microsoft durante más de 5 minutos.
Versión del servidor: el estado del software del servidor de puerta de enlace de Tunnel, en relación con la versión más reciente.
- Correcto: actualizado con la versión de software más reciente.
- Advertencia: una versión previa.
- Incorrecto: dos o más versiones previas y sin soporte técnico.
Si la Versión del servidor no aparece como Correcto, planee la instalación de actualizaciones para Microsoft Tunnel.
Contenedor de servidor: determina si el contenedor que hospeda el servidor de Microsoft Tunnel se está ejecutando.
- Correcto : el estado del contenedor del servidor es correcto.
- Incorrecto : el estado del contenedor del servidor no es correcto.
Configuración del servidor: determina si la configuración del servidor se aplica correctamente al servidor tunnel desde Microsoft Intune configuración del sitio.
- Correcto : la configuración del servidor se aplicó correctamente.
- Incorrecto : no se pudo aplicar la configuración del servidor.
Registros del servidor: determina si los registros se han cargado en el servidor en los últimos 60 minutos.
- Correcto : los registros del servidor se cargaron en los últimos 60 minutos.
- Incorrecto : los registros del servidor no se han cargado en los últimos 60 minutos.
Administración de umbrales de estado de mantenimiento
Puede personalizar las siguientes métricas de estado de mantenimiento de Microsoft Tunnel para cambiar los umbrales que usa cada una para notificar su estado. Las personalizaciones son para todo el inquilino y se aplican a todos servidores de Tunnel. Las métricas de comprobación de estado que puede personalizar incluyen:
- Uso de CPU
- Uso de memoria
- Uso de espacio en disco
- Latencia
Para modificar un valor del umbral de métricas:
Inicie sesión en Microsoft Intune centro de administración y vaya a Administración > de inquilinosEstado de lapuerta de enlace> de Microsoft Tunnel.
Seleccione Configurar umbrales.
En la página Umbrales configurados , establezca nuevos umbrales para cada categoría de comprobación de estado que quiera personalizar.
- Los valores de umbral se aplican a todos los servidores de todos los sitios.
- Seleccione Revertir al valor predeterminado para restaurar todos los umbrales a sus valores predeterminados.
Seleccione Guardar.
En el panel Estado de mantenimiento, seleccione Actualizar para actualizar el estado de todos los servidores en función de los valores de umbral personalizados.
Después de modificar los umbrales, los valores que se encuentran en la pestaña Comprobación de estado de un servidor se actualizan automáticamente para reflejar el estado, en función de los umbrales actuales.
Tendencias del estado de mantenimiento para los servidores de Tunnel
Vea las tendencias de estado de mantenimiento de las métricas de estado de puertas de enlace de Microsoft Tunnel en forma de gráfico. Los datos de los gráficos se promedian durante un bloque de tres horas y, como tal, se pueden retrasar hasta tres horas.
Los gráficos de tendencias del estado de mantenimiento están disponibles para las métricas siguientes:
- Connections
- Uso de CPU
- Uso de espacio en disco
- Uso de memoria
- Latencia promedio
- Rendimiento
Para ver gráficos de tendencias:
Inicie sesión en el Centro de administración de Microsoft Intune.
Vaya a Administración de inquilinos>Puerta de enlace de Microsoft Tunnel>Estado de mantenimiento>seleccione un servidor y, luego, seleccione Tendencias.
Use la lista desplegable Métrica para seleccionar el gráfico de métricas que desea ver.
Uso de la herramienta de línea de comandos mst-cli
Use la herramienta de línea de comandos mst-cli para obtener información sobre el servidor de Microsoft Tunnel. Este archivo se agrega al servidor Linux cuando se instala Microsoft Tunnel. La herramienta se encuentra en: /usr/sbin/mst-cli.
Para obtener más información y ejemplos de línea de comandos, vea Herramienta de línea de comandos mst-cli de Microsoft Tunnel.
Visualización de registros de Microsoft Tunnel
Microsoft Tunnel registra información en los registros del servidor Linux en el formato syslog. Para ver las entradas de registro mediante el comando journalctl -t seguido de una o más etiquetas específicas de las entradas de Microsoft Tunnel:
mstunnel-agent: mostrar registros del agente.
mstunnel_monitor: mostrar registros de tareas de supervisión.
ocserv : muestra los registros del servidor.
ocserv-access: muestra los registros de acceso.
De forma predeterminada, el registro de acceso está deshabilitado. Si se habilitan los registros de acceso, el rendimiento podría verse afectado según el número de conexiones activas y los patrones de uso en el servidor. El registro de conexiones DNS aumenta el nivel de detalle de los registros, lo que puede resultar ruidoso.
Los registros de acceso tienen el siguiente formato:
<Server timestamp><Server Name><ProcessID on Server><userId><deviceId><protocol><src IP and port><dst IP and port><bytes sent><bytes received><connection time in seconds>
Por ejemplo:- Feb 25 16:37:56 MSTunnelTest-VM ocserv-access[9528]: ACCESS_LOG,41150dc4-238x-4dwv-9q89-55e987f30c32,f5132455-ef2dd-225a-a693-afbbqed482dce,tcp,169.254.54.149:49462,10.88.0.5:80,112,60,10
Importante
En ocserv-access, el valor deviceId identifica la instancia de instalación única de Microsoft Defender que se ejecuta en un dispositivo y no identifica el identificador de dispositivo Intune ni Microsoft Entra identificador de dispositivo. Si Defender se desinstala y, a continuación, se vuelve a instalar en un dispositivo, se genera una nueva instancia de DeviceId*.
Para habilitar el registro de acceso:
- establezca TRACE_SESSIONS=1 en /etc/mstunnel/env.sh
- establezca TRACE_SESSIONS=2 para incluir el registro de conexiones DNS
- Ejecute
mst-cli server restart
para reiniciar el servidor.
Si los registros de acceso son demasiado ruidosos, puede desactivar el registro de conexión DNS al establecer TRACE_SESSIONS=1 y reiniciar el servidor.
OCSERV_TELEMETRY : muestra los detalles de telemetría de las conexiones a Tunnel.
Los registros de telemetría tienen el siguiente formato, con los valores de bytes_in, bytes_out y duración que solo se usan para las operaciones de desconexión: Por ejemplo:
<operation><client_ip><server_ip><gateway_ip><assigned_ip><user_id><device_id><user_agent><bytes_in><bytes_out><duration>
- 20 de octubre de 19:32:15 mstunnel ocserv[4806]: OCSERV_TELEMETRY,connect,31258,73.20.85.75,172.17.0.3, 169.254.0.1,169.254.107.209,3780e1fc-3ac2-4268-a1fd-dd910ca8c13c, 5A683ECC-D909-4E5F-9C67-C0F595A4A70E,MobileAccess iOS 1.1.34040102
Importante
En OCSERV_TELEMETRY, el valor deviceId identifica la instancia de instalación única de Microsoft Defender que se ejecuta en un dispositivo y no identifica el identificador de dispositivo Intune ni el identificador de dispositivo Microsoft Entra. Si Defender se desinstala y, a continuación, se vuelve a instalar en un dispositivo, se genera una nueva instancia de DeviceId*.
Ejemplos de línea de comandos para journalctl:
- Para ver solo información del servidor de túnel, ejecute
journalctl -t ocserv
. - Para ver el registro de telemetría, ejecute
journalctl -t ocserv | grep TELEMETRY
- Para ver información de todas las opciones de registro, ejecute
journalctl -t ocserv -t ocserv-access -t mstunnel-agent -t mstunnel_monitor
. - Agregue
-f
al comando para mostrar una vista activa y continua del archivo de registro. Por ejemplo, para supervisar activamente los procesos continuos de Microsoft Tunnel, ejecutejournalctl -t mstunnel_monitor -f
.
Más opciones para journalctl:
-
journalctl -h
: muestra la ayuda del comando para journalctl. -
man journalctl
: muestra información adicional. -
man journalctl.conf
: muestra información sobre la configuración. Para obtener más información sobre journalctl, consulte la documentación de la versión de Linux que use.
Carga sencilla de registros de diagnóstico para servidores de Tunnel
Como ayuda de diagnóstico, puede usar un solo clic en el centro de administración de Intune para que Intune habilitar, recopilar y enviar registros detallados desde un servidor de puerta de enlace de Tunnel directamente a Microsoft. Estos registros detallados estarán disponibles directamente para Microsoft cuando trabaje con Microsoft para identificar o resolver problemas con un servidor de Tunnel.
Puede recopilar y cargar registros detallados de un evento antes de abrir un incidente de soporte técnico o, a petición, si ya está trabajando con Microsoft para examinar una operación de servidores tunnel.
Para usar esta funcionalidad:
Abra el centro de administración Microsoft Intune vaya a Administración> deinquilinos Puerta de enlace> de Microsoft Tunnel seleccione un servidor> y, a continuación, seleccione la pestaña Registros.
En la pestaña Registros , busque la sección Enviar registros detallados del servidor y seleccione Enviar registros.
Al seleccionar Enviar registros para un servidor de Tunnel, comienza el proceso siguiente:
- En primer lugar, Intune captura el conjunto actual de registros de servidor de Tunnel y los carga directamente en Microsoft. Estos registros se recopilan mediante el nivel de detalle de registro actual de los servidores. De forma predeterminada, el nivel de detalle del servidor es cero (0).
- A continuación, Intune habilita un nivel de detalle de cuatro (4) para los registros de servidor de Tunnel. Este nivel de detalle se recopila durante ocho horas.
- Durante las ocho horas de recopilación de registros detallada, se debe reproducir el problema o la operación que se está investigando para capturar los detalles detallados de los registros.
- Después de ocho horas, Intune recopila un segundo conjunto de registros del servidor que incluyen los detalles detallados y los carga en Microsoft. En el momento de la carga, Intune también restablece los registros del servidor tunnel para usar el nivel de detalle predeterminado de cero (0). Si anteriormente elevó el nivel de detalle del servidor, después de Intune restablece la verbosidad a cero, puede restaurar el nivel de detalle personalizado.
Cada conjunto de registros que Intune recopila y carga se identifica como un conjunto independiente con los siguientes detalles que aparecen en el Centro de administración debajo del botón Enviar registros:
- Hora de inicio y finalización de la recopilación de registros
- Cuando se generó la carga
- El registro establece el nivel de detalle
- Un identificador de incidente que se puede usar para identificar ese conjunto de registros específico
Después de capturar un problema durante la ejecución de una recopilación de registros detallada, puede proporcionar el identificador de incidente de ese conjunto de registros en Microsoft para ayudar con la investigación.
Acerca de la recopilación de registros
- Intune no detiene ni reinicia el servidor tunnel para habilitar o deshabilitar el registro detallado.
- El período de registro detallado de ocho horas no se puede extender ni detener antes.
- Puede usar el proceso Enviar registros con la frecuencia necesaria para capturar un problema con el registro detallado. Sin embargo, el aumento de detalles del registro agrega esfuerzo al servidor de túnel y no se recomienda como una configuración regular.
- Una vez finalizado el registro detallado, se establece el nivel de detalle predeterminado de cero para los registros de servidor de Tunnel, independientemente de los niveles de detalle establecidos anteriormente.
- Los registros siguientes se recopilan a través de este proceso:
- mstunnel-agent (registros del agente)
- mstunnel_monitor (supervisión de registros de tareas)
- ocserv (registros del servidor)
Los registros de ocserv-access no se recopilan ni cargan.
Problemas conocidos
Los siguientes son problemas conocidos de Microsoft Tunnel.
Estado del servidor
Los clientes pueden usar correctamente el túnel cuando el estado de mantenimiento del servidor se muestra como sin conexión
Problema: en la pestaña Estado de mantenimiento del túnel, el estado de mantenimiento de un servidor se notifica como sin conexión, lo que indica que está desconectado, aunque los usuarios puedan llegar al servidor de túnel y conectarse a los recursos de la organización.
Solución: para resolver este problema, debe reinstalar Microsoft Tunnel, que vuelve a inscribir el agente de servidor de Tunnel con Intune. Para evitar este problema, instale las actualizaciones para el agente y el servidor de Tunnel poco después de que se publiquen. Use las métricas de estado del servidor de Tunnel en el centro de administración de Microsoft Intune para supervisar el estado del servidor.
Con Podman, verá "Error al ejecutar la comprobación" en el registro de mstunnel_monitor
Problema: Podman no puede identificar o ver que los contenedores activos están en ejecución e informa de "Error al ejecutar la comprobación" en el registro de mstunnel_monitor del servidor de Tunnel. A continuación se muestran ejemplos de errores:
Agente:
Error executing Checkup Error details \tscript: 561 /usr/sbin/mst-cli \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger) \tstack: \t\t<> Checkup /usr/sbin/mst-cli Message: NA \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-agent \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
Servidor:
Error executing Checkup Error details \tscript: 649 /usr/sbin/mst-cli \t\tcommand: $ctr_cli exec $agent_name mstunnel checkup 2> >(FailLogger) \tstack: \t\t<> Checkup /usr/sbin/mst-cli Message: NA \t\t<> MonitorServices /usr/sbin/mst-cli Message: Failure starting service mstunnel-server \t\t<> main /usr/sbin/mstunnel_monitor Message: NA
Solución: para resolver este problema, reinicie manualmente los contenedores de Podman. Podman debería poder identificar los contenedores. Si el problema persiste o devuelve, considere la posibilidad de usar cron para crear un trabajo que reinicie automáticamente los contenedores cuando se vea este problema.
Con Podman, verá errores de System.DateTime en el registro mstunnel-agent.
Problema: Cuando se usa Podman, el registro mstunnel-agent puede contener errores similares a las siguientes entradas:
Failed to parse version-info.json for version information.
System.Text.Json.JsonException: The JSON value could not be converted to System.DateTime
Este problema se produce debido a diferencias en las fechas de formato entre Podman y Tunnel Agent. Estos errores no indican un problema irrecuperable ni impiden la conectividad. A partir de los contenedores publicados después de octubre de 2022, se deben resolver los problemas de formato.
Solución: para resolver estos problemas, actualice el contenedor del agente (Podman o Docker) a la versión más reciente. A medida que se descubran nuevos orígenes de estos errores, seguiremos solucionándolos en las actualizaciones de versiones posteriores.
Conectividad con Tunnel
Los dispositivos no se pueden conectar al servidor de Tunnel
Problema: los dispositivos no se pueden conectar al servidor y el archivo de registro de ocserv del servidor tunnel contiene una entrada similar a la siguiente: main: tun.c:655: Can't open /dev/net/tun: Operation not permitted
Para obtener instrucciones sobre cómo ver los registros de Tunnel, consulte Consultar registros de Microsoft Tunnel en este artículo.
Solución: reinicie el servidor con mst-cli server restart
después de reiniciar el servidor Linux.
Si el problema persiste, baraje la posibilidad de automatizar el comando de reinicio mediante la utilidad de programación cron. Consulte Cómo usar cron en Linux en opensource.com.