Use este procedimiento para comprobar que los equipos cliente compatibles con NAP están configurados para el método de cumplimiento de Protección de acceso a redes (NAP) para el protocolo de seguridad de Internet (IPsec). Un equipo compatible con NAP es un equipo que tiene instalados componentes NAP y puede comprobar el estado de mantenimiento enviando informes de mantenimiento (SoH) al Servidor de directivas de redes (NPS) para su evaluación. Para obtener más información acerca de NAP, consulte
El mínimo requerido para completar este procedimiento es la pertenencia al grupo Domain Admins o un grupo equivalente. Revise los detalles acerca del uso de las cuentas y pertenencias a grupos correspondientes en
Comprobación de componentes cliente de NAP
Los componentes de NAP incluyen el servicio de agente NAP, uno o varios clientes de cumplimiento NAP y al menos un agente de mantenimiento del sistema (SHA). También pueden ser necesarios otros servicios si son compatibles con un SHA instalado. Todos estos componentes trabajan conjuntamente para controlar de forma continua el estado de mantenimiento de un equipo cliente NAP y ofrecer este estado a servidores NAP para su evaluación.
Agente NAP
El servicio de agente NAP recoge y administra información de mantenimiento en el equipo cliente. El agente NAP también procesa SoH desde todos los SHA instalados e informa del estado del cliente a todos los clientes de cumplimiento. El agente NAP debe estar operativo para que los equipos cliente puedan solicitar y recibir certificados de mantenimiento.
 | Para comprobar que se haya iniciado el servicio de agente NAP |
Haga clic en Inicio, en Panel de control, en Sistema y mantenimiento, en Herramientas administrativas y, por último, haga doble clic en Servicios.
En la lista de servicios, debajo de Nombre, haga doble clic en Agente de Protección de acceso a redes.
Compruebe que el estado del Servicio es Iniciado y que el Tipo de inicio está establecido en Automático.
Si el servicio no está iniciado, elija Automático que se encuentra junto a Tipo de inicio y, a continuación, haga clic en Inicio.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Protección de acceso a redes.
Cierre la consola Servicios.
 | Nota |
|
Al reiniciar el servicio de agente NAP, se reiniciarán automáticamente los SHA y el equipo intentará adquirir un nuevo certificado de mantenimiento. Esto puede resultar útil para solucionar problemas de NAP. |
Cliente de cumplimiento NAP para IPsec
El cliente de cumplimiento NAP para IPsec debe estar instalado y habilitado en los equipos cliente. El cliente de cumplimiento NAP solicita acceso a una red y comunica el estado de mantenimiento de un equipo cliente a otros componentes de la arquitectura de cliente NAP. El cliente de cumplimiento NAP para IPsec restringe el acceso a redes protegidas por IPsec mediante la interacción con el almacén de certificados de un equipo cliente.
| Para comprobar que se haya inicializado el cliente de cumplimiento NAP para IPsec |
Haga clic en Inicio, apunte a Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Símbolo del sistema.
En la ventana del símbolo del sistema, escriba netsh nap client show state y presione Entrar. Este comando muestra el estado NAP del equipo cliente.
En el comando, en Estado del cliente de cumplimiento, compruebe que el estado Usuario de confianza de IPsec sea Inicializado = Sí.
Comprobación de la configuración del cliente de IPsec
Los clientes NAP deben configurarse con las opciones que les permiten comunicarse con componentes de servidor NAP. Puede configurar estas opciones mediante la Directiva de grupo, la consola Configuración del cliente de NAP o la línea de comandos. Para el método de cumplimiento para IPsec, la configuración del cliente NAP incluye Directiva de solicitud y Grupos de servidores de confianza.
Directiva de solicitud
No es necesario modificar la configuración de la directiva de solicitud predeterminada en equipos cliente NAP. Si cambia esta configuración, es importante que compruebe que está habilitada una configuración similar en los servidores NAP. De manera predeterminada, un equipo cliente compatible con NAP inicia un proceso de negociación con un servidor NAP mediante un mecanismo de seguridad predeterminado, que ambas partes aceptan, para cifrar la comunicación. Se recomienda usar la configuración de la directiva de solicitud predeterminada.
| Para ver la configuración de la directiva de solicitud |
Haga clic en Inicio, apunte a Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Símbolo del sistema.
Si usa la directiva de grupo para implementar la configuración del cliente de NAP, en el símbolo del sistema, escriba netsh nap client show group y, a continuación, presione Entrar. Si usa la directiva local para implementar la configuración del cliente de NAP, en el símbolo del sistema, escriba netsh nap client show config y, a continuación, presione Entrar. Estos comandos muestran la directiva de grupo y las opciones de configuración de la directiva local NAP en equipos cliente.
En el comando, compruebe que el Proveedor de servicios de cifrado (CSP) y la configuración de Algoritmos hash se correspondan con las opciones configuradas en HRA. El proveedor de servicios de cifrado predeterminado es Proveedor de cifrado Microsoft RSA SChannel, longitudDeClave = 2048. El algoritmo hash predeterminado es sha1RSA (1.3.14.3.2.29).
Grupos de servidores de confianza
Los grupos de servidores de confianza se configuran dentro del registro de mantenimiento del cliente, de forma que los equipos cliente NAP pueden ponerse en contacto con los sitios web usados por HRA para procesar solicitudes de certificados de mantenimiento. Si estos grupos de servidores de confianza no se configuran o se configuran de forma incorrecta, los equipos cliente NAP no podrán adquirir certificados de mantenimiento.
| Para comprobar la configuración de grupos de servidores de confianza |
Haga clic en Inicio, apunte a Todos los programas, haga clic en Accesorios y, a continuación, haga clic en Símbolo del sistema.
Si usa la directiva de grupo para implementar la configuración del cliente de NAP, en el símbolo del sistema, escriba netsh nap client show group y, a continuación, presione Entrar. Si usa la directiva local para implementar la configuración del cliente de NAP, en el símbolo del sistema, escriba netsh nap client show config y, a continuación, presione Entrar. Estos comandos muestran la directiva de grupo y las opciones de configuración de la directiva local NAP en equipos cliente.
En el comando, en Configuración de grupos de servidores de confianza, compruebe que la configuración sea la correcta para las entradas situadas junto a Orden de procesamiento, Grupo, Requerir Https y URL.
| Nota |
|
Un equipo cliente NAP intentará obtener un certificado de mantenimiento de la primera URL en todos los grupos de servidores de confianza configurados a no ser que el servidor esté marcado como no disponible. Para obtener más información, consulte Comprobación de la configuración de IIS y Descripción de los requisitos de autenticación de HRA. |
Revisión de eventos de cliente NAP
Una revisión de la información incluida en los eventos de cliente NAP puede ayudarle a solucionar algunos problemas. También puede ayudarle a entender la funcionalidad de cliente NAP.
| Para revisar eventos de cliente NAP en el visor de eventos |
Haga clic en Inicio, apunte a Todos los programas, en Accesorios y, a continuación, en Ejecutar.
Escriba eventvwr.msc y presione Entrar.
En el árbol de la izquierda, navegue hasta Visor de eventos (locales)\Registros de aplicaciones y servicios\Microsoft\Windows\Protección de acceso a redes\Operativo.
Haga clic en un evento en el panel central.
De forma predeterminada, se muestra la ficha General. Haga clic en la ficha Detalles para ver información adicional.
También puede hacer clic con el botón secundario y, después, hacer clic en Propiedades de evento para abrir una ventana nueva para revisar eventos.