El Servidor de directivas de redes (NPS) es el servidor central usado con todos los métodos de Protección de acceso a redes (NAP) para evaluar las solicitudes de acceso de los clientes NAP. Los requisitos de mantenimiento de red se definen en NPS mediante directivas que conceden o restringen el acceso de los equipos cliente NAP según su estado de mantenimiento. Un servidor que ejecuta NPS y que hospeda estas directivas NAP se conoce como servidor de directivas de mantenimiento NAP. Según su implementación, puede contar con uno o varios servidores de directivas de mantenimiento de NAP en su red. El servidor de directivas de mantenimiento de NAP usa clientes RADIUS, directivas de solicitud de conexión, directivas de red, directivas de mantenimiento y validadores de mantenimiento del sistema (SHV) para definir y aplicar los requisitos de mantenimiento de la red.

Cuando instala la Autoridad de registro de mantenimiento (HRA), NPS se instala en el mismo equipo automáticamente. Si ha implementado más de una HRA y prefiere centralizar la evaluación de directivas colocando sus directivas de mantenimiento de NAP en otro equipo, debe configurar el servidor NPS local como un servidor proxy RADIUS. Cuando use NPS como proxy RADIUS, la directiva de solicitud de conexión se configurará para pedirle al servidor local con NPS que reenvíe las solicitudes de acceso a la red a los grupos de servidores RADIUS remotos para su evaluación.

Para obtener más información acerca de NPS, consulte https://go.microsoft.com/fwlink/?LinkId=94389 (puede estar en inglés).

El mínimo requerido para completar este procedimiento es la pertenencia al grupo Domain Admins o un grupo equivalente. Revise los detalles acerca del uso de las cuentas y pertenencias a grupos correspondientes en https://go.microsoft.com/fwlink/?LinkId=83477 (puede estar en inglés).

Comprobación de la configuración del servidor de directivas de mantenimiento NAP

Use los procedimientos siguientes para comprobar la configuración del servidor local que ejecuta NPS como servidor de directivas de mantenimiento de NAP. Si el servidor HRA local se configura como un proxy RADIUS, consulte Comprobación de la configuración del proxy NPS.

Clientes RADIUS

Si configura los servidores HRA remotos como proxy RADIUS para reenviar las solicitudes de conexión al servidor local con NPS para su evaluación, el servidor local con NPS debe tener una entrada de cliente RADIUS correspondiente para cada servidor HRA remoto. El cumplimiento NAP para IPsec no necesita clientes RADIUS si todos los servidores HRA son también servidores de directivas de mantenimiento NAP. Si usa servidores HRA que tienen NPS configurado como servidor proxy RADIUS, use el procedimiento siguiente para comprobar que los clientes RADIUS se han configurado correctamente en el servidor local con NPS de forma que pueda procesar las solicitudes de conexión de cliente recibidas por los servidores HRA remotos.

Para comprobar clientes RADIUS
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba nps.msc y, a continuación, presione Entrar.

  2. En el árbol de la consola NPS, haga doble clic en Clientes y servidores RADIUS y, a continuación, haga clic en Clientes RADIUS.

  3. En el panel de detalles, haga doble clic en el nombre descriptivo del cliente RADIUS correspondiente al servidor HRA con NPS instalado y configurado como servidor proxy RADIUS. Si no hay ninguna entrada de cliente RADIUS; use el procedimiento siguiente para crear un cliente RADIUS nuevo. Este procedimiento solo es aplicable si tiene servidores HRA remotos configurados para reenviar solicitudes de conexión al servidor local con NPS.

    1. Haga clic con el botón secundario en Clientes RADIUS y, a continuación, haga clic en Nuevo.

    2. En Nombre descriptivo, escriba un nombre para el cliente RADIUS, por ejemplo HRA-1.

    3. En Dirección (IP o DNS), escriba la dirección IP o el nombre DNS del servidor HRA remoto, haga clic en Comprobar y, después, haga clic en Resolver.

    4. Confirme que la dirección IP que aparece corresponde al servidor HRA remoto correcto y, a continuación, haga clic en Aceptar.

    5. En Secreto compartido y Confirmar secreto compartido, escriba el secreto configurado en el grupo de servidores RADIUS remotos del servidor HRA remoto.

    6. Si el servidor HRA remoto tiene habilitado el atributo autenticador de mensaje en la configuración del grupo de servidores RADIUS remotos, active la casilla Los mensajes de Access-Request deben contener el atributo de Message-Authenticator. Si esta opción no está habilitada en el servidor HRA remoto, asegúrese de que esta casilla no esté activada.

    7. Active la casilla El cliente RADIUS es compatible con NAP y haga clic en Aceptar.

    8. Reanude el procedimiento actual para validar la configuración del nuevo cliente RADIUS.

  4. En la ventana Propiedades, compruebe que la casilla Habilitar este cliente RADIUS está activada.

  5. Compruebe que la casilla El cliente RADIUS es compatible con NAP está activada.

  6. Si el servidor HRA remoto está configurado para exigir que las solicitudes de acceso contengan el atributo autenticador de mensaje, compruebe que la casilla Los mensajes de Access-Request deben contener el atributo de Message-Authenticator está activada. En caso contrario, esta casilla debe estar desactivada.

  7. Junto a Nombre de proveedor, compruebe que está seleccionado RADIUS Standard.

  8. En Dirección (IP o DNS), confirme que el nombre DNS o dirección IP que aparece se corresponde con el servidor HRA remoto correcto y haga clic en Comprobar.

  9. En el cuadro de diálogo Comprobar cliente, haga clic en Resolver.

  10. En Dirección IP, confirme que la dirección IP que se muestra corresponde al servidor HRA que se ha configurado para reenviar solicitudes al servidor local con NPS y que el servidor local con NPS tiene conectividad de red en esta dirección IP.

  11. Haga clic en Aceptar. Si sospecha que el secreto compartido no coincide, escriba el secreto en Secreto compartido y en Confirmar secreto compartido y, a continuación, haga clic en Aceptar.

  12. Repita este procedimiento para cada HRA de la red que esté configurado para reenviar solicitudes de conexión al servidor local con NPS para su procesamiento.

Directivas de solicitud de conexión

Las directivas de solicitud de conexión son condiciones y opciones que validan las solicitudes de acceso a la red y especifican el lugar en que se realiza la validación. Use el procedimiento siguiente para confirmar que la directiva de solicitud de conexión en el servidor local con NPS está configurada para el cumplimiento NAP para IPsec.

Para comprobar directivas de solicitud de conexión
  1. En el árbol de la consola NPS, haga doble clic en Directivas y, a continuación, haga clic en Directivas de solicitud de conexión.

  2. En el panel de detalles, haga doble clic en la directiva de solicitud de conexión usada para autenticar las solicitudes de acceso a la red entrantes desde clientes NAP protegidos mediante IPsec. Si esta directiva no existe, siga los siguientes pasos para crear una directiva de solicitud de conexión.

    1. Haga clic con el botón secundario en Directivas de solicitud de conexión y , a continuación, haga clic en Nueva.

    2. En Nombre de directiva, escriba un nombre para la directiva de solicitud de conexión, por ejemplo NAP para IPsec con HRA.

    3. En Tipo de servidor de acceso a la red, seleccione Autoridad de registro de mantenimiento y, a continuación, haga clic en Siguiente.

    4. La directiva de solicitud de conexión requiere que se especifique al menos una condición. Para agregar una condición que no deniegue ninguna solicitud de acceso entrante, en la página Especificar condiciones, haga clic en Agregar.

    5. En la ventana Seleccionar condición, haga clic en Restricciones de día y hora y, a continuación, haga clic en Agregar.

    6. En la ventana Restricciones de la hora del día, seleccione Permitido. Compruebe que están permitidos todos los días y horas, haga clic en Aceptar y luego haga clic en Siguiente.

    7. Si el servidor local con NPS es un servidor de directivas de mantenimiento de NAP, compruebe que la opción Autenticar solicitudes en este servidor está seleccionada, haga clic en Siguiente tres veces y, a continuación, haga clic en Finalizar. Si el servidor local con NPS va a reenviar solicitudes a otro servidor para su evaluación, vea Comprobación de la configuración del proxy NPS.

  3. En la ficha Introducción, compruebe que está activada la casilla Directiva habilitada.

  4. En la ficha Introducción, compruebe que el Tipo de servidor de acceso a la red es Autoridad de registro de mantenimiento o No especificado. Para obtener más información acerca de cómo especificar un tipo de servidor de acceso, vea "Consideraciones adicionales" más adelante en este tema.

  5. Haga clic en la ficha Condiciones y compruebe que todas las condiciones configuradas coinciden con los clientes NAP compatibles y no compatibles. Por ejemplo, se puede configurar Restricciones de día y hora para permitir el acceso a la red sólo en días específicos y horas específicas.

  6. Haga clic en la ficha Configuración. En Métodos de autenticación necesarios, haga clic en Métodos de autenticación y compruebe que la casilla Invalidar la configuración de autenticación de la directiva de red está desactivada.

  7. En Reenviando solicitud de conexión, haga clic en Autenticación.

  8. Para habilitar el servidor local con NPS como servidor de directivas de mantenimiento de NAP, compruebe que la opción Autenticar solicitudes en este servidor está activada.

  9. Haga clic en Aceptar para cerrar la ventana de propiedades.

Directivas de red

Las directivas de red usan condiciones, opciones de configuración y restricciones para determinar quién puede conectarse a la red. Para evaluar el estado de mantenimiento de los clientes NAP, debe haber al menos una directiva de red que se aplique a los equipos que cumplen los requisitos de mantenimiento y al menos otra directiva de red que se aplique a los equipos que no cumplen estos requisitos. Use el procedimiento siguiente para comprobar que estas directivas se han creado y configurado para el cumplimiento NAP para IPsec.

Para comprobar directivas de red
  1. En el árbol de la consola NPS, haga doble clic en Directivas y, a continuación, haga clic en Directivas de red.

  2. En el panel de detalles, compruebe que tiene al menos una directiva para equipos compatibles y otra para equipos no compatibles; después, compruebe que estas directivas tienen el Estado de Habilitado. Para habilitar una directiva, haga clic con el botón secundario en el nombre de la directiva y, a continuación, haga clic en Habilitar. Si estas directivas no están presentes, siga los pasos siguientes para crear una directiva de red.

    1. Haga clic con el botón secundario en Directivas de red y, a continuación, haga clic en Nueva.

    2. En Nombre de directiva, escriba un nombre para la directiva de red, por ejemplo, Compatible con NAP para IPsec con HRA o No compatible con NAP para IPsec con HRA.

    3. En Tipo de servidor de acceso a la red, seleccione Autoridad de registro de mantenimiento y, a continuación, haga clic en Siguiente.

    4. En la página Especificar condiciones, haga clic en Agregar.

    5. En Seleccionar condición, haga clic en Directivas de mantenimiento y luego haga clic en Agregar.

    6. Si esta directiva de red se aplica a equipos cliente compatibles, en Directivas de mantenimiento, elija una directiva de mantenimiento que se haya configurado para coincidir con el estado de mantenimiento de un cliente compatible y, a continuación, haga clic en Aceptar.

    7. Si esta directiva de red se aplica a equipos cliente no compatibles, en Directivas de mantenimiento, elija una directiva de mantenimiento que se haya configurado para coincidir con el estado de mantenimiento de un cliente no compatible y, a continuación, haga clic en Aceptar.

    8. Haga clic en Siguiente, seleccione Acceso concedido y haga clic de nuevo en Siguiente.

    9. En la página Configurar métodos de autenticación, active la casilla Realizar sólo comprobación de mantenimiento del equipo y, a continuación, haga clic en Siguiente dos veces.

    10. En la página Configurar opciones, haga clic en Cumplimiento NAP.

    11. Elija un modo de cumplimiento para esta directiva. Para obtener más información, vea Modos de cumplimiento NAP más adelante en este tema.

    12. Para habilitar la corrección automática de equipos no compatibles, active la casilla Habilitar corrección automática de equipos cliente. Si no desea habilitar la corrección automática, desactive esta casilla.

    13. Haga clic en Siguiente y, después, en Finalizar.

    14. Reanude el procedimiento actual para validar la configuración de la nueva directiva de red.

  3. En el panel de detalles, compruebe que el Orden de procesamiento de las directivas está configurado correctamente para su implementación. Las directivas más específicas se procesan antes que las más generales. Para cambiar el orden de las directivas, haga clic con el botón secundario en el nombre de una directiva y elija Subir o Bajar.

  4. En el panel de detalles, compruebe que las directivas NAP compatibles y no compatibles están configuradas con un Tipo de acceso de tipo Conceder acceso. Para configurar permisos de acceso, haga clic con el botón secundario en el nombre de la directiva, haga clic en Propiedades, haga clic en la ficha Introducción y seleccione Conceder acceso.

  5. En el panel de dealles, compruebe que el Origen de las directivas usadas para procesar clientes NAP protegidos mediante IPsec es Autoridad de registro de mantenimiento o No especificado. Para obtener más información acerca de cómo especificar un tipo de servidor de acceso, vea "Consideraciones adicionales" más adelante en este tema.

  6. En el panel de detalles, haga doble clic en el nombre de una directiva de red que se use para coincidir con clientes compatibles y, a continuación, haga clic en la ficha Condiciones.

  7. Compruebe que al menos una de las condiciones especificadas es Directiva de mantenimiento y que el Valor corresponde a la directiva de mantenimiento que ha configurado para coincidir con el estado de mantenimiento de un cliente compatible. Si no se cumple esta condición, siga los pasos siguientes.

    1. Haga clic en Agregar, haga clic en Directivas de mantenimiento y, a continuación, haga clic en Agregar.

    2. En Directivas de mantenimiento, elija una directiva que corresponda al estado de mantenimiento de un cliente compatible y, a continuación, haga clic en Aceptar. Si no hay ninguna directiva de mantenimiento disponible, compruebe las directivas de mantenimiento y repita este procedimiento.

  8. Haga clic en la ficha Restricciones y, a continuación, haga clic en Métodos de autenticación.

  9. Compruebe que la casilla Realizar sólo comprobación de mantenimiento del equipo está activada.

  10. Haga clic en la ficha Configuración y luego haga clic en Cumplimiento NAP.

  11. Compruebe que está seleccionada la opción Permitir acceso completo a la red para esta directiva de red compatible y, a continuación, haga clic en Aceptar. Esto finaliza la comprobación de una directiva de red compatible.

  12. En el panel de detalles, haga doble clic en el nombre de una directiva de red que se use para coincidir con clientes no compatibles y, a continuación, haga clic en la ficha Condiciones.

  13. Compruebe que al menos una de las condiciones especificadas es Directiva de mantenimiento y que el Valor corresponde a la directiva de mantenimiento que ha configurado para coincidir con el estado de mantenimiento de un cliente no compatible. Si no se cumple esta condición, siga los pasos siguientes.

    1. Haga clic en Agregar, haga clic en Directivas de mantenimiento y, a continuación, haga clic en Agregar.

    2. En Directivas de mantenimiento, elija una directiva que corresponda al estado de mantenimiento de un cliente no compatible y, a continuación, haga clic en Aceptar. Si no hay ninguna directiva de mantenimiento disponible, compruebe las directivas de mantenimiento y repita este procedimiento.

  14. Haga clic en la ficha Restricciones y, a continuación, haga clic en Métodos de autenticación.

  15. Compruebe que la casilla Realizar sólo comprobación de mantenimiento del equipo está activada.

  16. Haga clic en la ficha Configuración y luego haga clic en Cumplimiento NAP.

    • Compruebe que la opción Permitir acceso limitado está seleccionada para esta directiva de red no compatible si ha implementado NAP en un modo de cumplimiento completo.

    • Compruebe que la opción Permitir acceso completo a la red por tiempo limitado está seleccionada para esta directiva de red no compatible si ha implementado NAP en un modo de cumplimiento diferido.

    • Compruebe que la opción Permitir acceso completo a la red está seleccionada para esta directiva de red no compatible si ha implementado NAP en modo de informes.

    • Compruebe que la casilla Habilitar corrección automática de equipos cliente está activada si desea habilitar la corrección automática de clientes NAP no compatibles.

  17. Haga clic en Aceptar.

  18. Repita estos pasos cuando sea necesario para comprobar la configuración de cada una de las directivas de red usadas para evaluar solicitudes de acceso desde clientes NAP protegidos mediante IPsec.

Modos de cumplimiento NAP

Cuando habilite NAP en su red, habrá disponibles tres modos de cumplimiento. Use estos modos de cumplimiento para poner en marcha su implementación de NAP.

  • Para habilitar el modo de informes, seleccione Permitir acceso completo a la red para los equipos cliente NAP compatibles y no compatibles. En el modo de informes, el estado de mantenimiento de los equipos cliente se registra, pero el acceso a la red no está restringido. Tanto los equipos compatibles como los no compatibles reciben certificados de mantenimiento.

  • Para habilitar el modo de cumplimiento diferido, seleccione Permitir acceso completo a la red en la directiva de red compatible y Permitir acceso completo a la red por tiempo limitado en la directiva de red no compatible. También debe especificar una fecha y hora en que los clientes no compatibles tendrán el acceso restringido. En el modo de cumplimiento diferido, los equipos cliente reciben inmediatamente notificaciones NAP si no cumplen los requisitos de mantenimiento de la red, pero no tienen el acceso restringido hasta la fecha y hora especificadas.

  • Para habilitar el modo de cumplimiento completo, seleccione Permitir acceso completo a la red en la directiva de red compatible y Permitir acceso limitado en la directiva de red no compatible. En el modo de cumplimiento completo, los equipos cliente tienen restringido inmediatamente el acceso a la red si no cumplen los requisitos de mantenimiento de la misma.

Directivas de mantenimiento

Las directivas de mantenimiento definen qué SHV se evalúan y cómo se usan para validar la configuración de equipos que intenten conectarse a la red. Según los resultados de las comprobaciones de SHV, las directivas de mantenimiento clasifican el estado de mantenimiento de los clientes. Necesita al menos una directiva de mantenimiento que corresponda al estado de mantenimiento de un cliente compatible y al menos otra directiva de mantenimiento que corresponda al estado de mantenimiento de un cliente no compatible. Use el procedimiento siguiente para comprobar que las directivas de mantenimiento compatibles y no compatibles se han configurado en el servidor de directivas de mantenimiento NAP.

Para comprobar directivas de mantenimiento
  1. En la consola NPS, haga doble clic en Directivas y, a continuación, haga clic en Directivas de mantenimiento.

  2. En el panel de detalles, en Nombre de directiva, haga doble clic en el nombre de una directiva de mantenimiento compatible. Si esta directiva no existe, siga los pasos siguientes para crear una directiva de mantenimiento compatible.

    1. Haga clic con el botón secundario en Directivas de mantenimiento y, a continuación, haga clic en Nueva.

    2. En Nombre de directiva, escriba un nombre para la directiva de mantenimiento compatible, por ejemplo, Compatible con NAP para IPsec con HRA.

    3. En Comprobaciones de SHV para clientes, seleccione El cliente supera todas las comprobaciones de SHV para crear una directiva de mantenimiento estricta, o bien seleccione El cliente superar una o más comprobaciones de SHV para crear una directiva de mantenimiento más flexible.

    4. En SHV usados en estas directivas de mantenimiento, active la casilla junto a cada SHV que vaya a usar para evaluar el estado de mantenimiento del cliente. El Validador de mantenimiento de seguridad de Windows está disponible de manera predeterminada. Hay disponibles también otros SHV si están instalados.

    5. Haga clic en Aceptar.

  3. En Comprobaciones de SHV para clientes, compruebe que está seleccionada la opción El cliente supera todas las comprobaciones de SHV o El cliente superar una o más comprobaciones de SHV. Estas condiciones se usan para crear directivas compatibles que sean más restrictivas o menos restrictivas, según la opción que elija.

  4. En SHV usados en estas directivas de mantenimiento, compruebe que están activadas las casillas de verificación junto a los SHV instalados que se van a usar para evaluar el estado de mantenimiento de los equipos cliente NAP protegidos mediante IPsec y, a continuación, haga clic en Aceptar.

  5. En el panel de detalles, en Nombre de directiva, haga doble clic en el nombre de una directiva de mantenimiento no compatible. Si esta directiva no existe, siga los pasos siguientes para crear una directiva de mantenimiento no compatible.

    1. Haga clic con el botón secundario en Directivas de mantenimiento y, a continuación, haga clic en Nueva.

    2. En Nombre de directiva, escriba un nombre para la directiva de mantenimiento no compatible, por ejemplo, No compatible con NAP para IPsec con HRA.

    3. En Comprobaciones de SHV para clientes, seleccione El cliente no supera una o más comprobaciones de SHV para crear una directiva de mantenimiento estricta, o bien seleccione El cliente no supera ninguna de las comprobaciones de SHV para crear una directiva de mantenimiento más flexible.

    4. En SHV usados en estas directivas de mantenimiento, active la casilla junto a cada SHV que vaya a usar para evaluar el estado de mantenimiento del cliente. El Validador de mantenimiento de seguridad de Windows está disponible de manera predeterminada. Hay disponibles también otros SHV si están instalados.

    5. Haga clic en Aceptar.

  6. En Comprobaciones de SHV para clientes, compruebe que está seleccionada la opción El cliente no supera una o más comprobaciones de SHV o El cliente no supera ninguna de las comprobaciones de SHV. Estas condiciones se usan para crear directivas no compatibles que sean más restrictivas o menos restrictivas, según la opción que elija.

  7. En SHV usados en estas directivas de mantenimiento, compruebe que están activadas las casillas de verificación junto a los SHV instalados que se van a usar para evaluar el estado de mantenimiento de los equipos cliente NAP protegidos mediante IPsec y, a continuación, haga clic en Aceptar.

  8. Repita estos pasos para todas las directivas de mantenimiento usadas para evaluar los equipos cliente NAP protegidos mediante IPsec.

SHV

Los SHV definen requisitos de configuración y de software para equipos que intentan conectarse a la red. Use el procedimiento siguiente para comprobar que los SHV están configurados correctamente para su implementación.

Para comprobar los SHV
  1. En la consola NPS, haga doble clic en Protección de acceso a redes y, a continuación, haga clic en Validadores de mantenimiento del sistema.

  2. En el panel de detalles, en Nombre, haga doble clic en el nombre de un SHV instalado.

  3. La configuración de los SHV varía según la implementación. Si usa un validador de mantenimiento de seguridad de Windows, haga clic en Configurar.

    • Para configurar requisitos de mantenimiento para los equipos que ejecuten Windows Vista, haga clic en la ficha Windows Vista.

    • Para configurar requisitos de mantenimiento para los equipos que ejecuten Windows XP con Service Pack 3, haga clic en la ficha Windows XP.

  4. Habilite los requisitos de mantenimiento activando las casillas situadas junto a los componentes de mantenimiento oportunos. Desactive estas casillas cuando desee deshabilitar requisitos. Los requisitos de mantenimiento disponibles cuando use WSHV incluyen: Firewall, Protección antivirus, Protección contra spyware, Actualizaciones automáticas y Protección de actualizaciones de seguridad.

  5. Haga clic en Aceptar y configure resoluciones de código de error para su implementación. Las resoluciones de código de error determinan cómo se evalúan los clientes bajo las condiciones de error enumeradas. Puede seleccionar volver a un estado de Compatible o de No compatible para cada condición.

  6. Haga clic en Aceptar y cierre la consola NPS.

Comprobación de la configuración del proxy NPS

Use el procedimiento siguiente para comprobar que el servidor local con NPS esté configurado como un proxy RADIUS. Este procedimiento no es aplicable si el servidor local con NPS está configurado como servidor de directivas de mantenimiento de NAP.

Para comprobar la configuración del proxy NPS
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba nps.msc y, a continuación, presione Entrar.

  2. En el árbol de la consola NPS, haga doble clic en Clientes y servidores RADIUS y, a continuación, haga clic en Grupos de servidores remotos RADIUS.

  3. En el panel de detalles, en Nombre de grupo, haga doble clic en el nombre de un grupo de servidores remotos RADIUS. Si no se muestra ninguna entrada de grupo de servidores remotos RADIUS, siga los pasos siguientes para agregar uno:

    1. En el árbol de consola, en Clientes y servidores RADIUS, haga clic con el botón secundario en Grupos de servidores remotos RADIUS y, a continuación, haga clic en Nuevo.

    2. En Nombre de grupo, escriba un nombre para el grupo de servidores remotos RADIUS, por ejemplo, Servidor 1 de directivas de mantenimiento NAP.

    3. Haga clic en Agregar y, en Servidor, escriba el nombre DNS o la dirección IP de un servidor con NPS que esté configurado para evaluar solicitudes de conexión de clientes NAP para IPsec reenviadas desde el servidor HRA local.

    4. Haga clic en Comprobar y, a continuación, en Resolver. Confirme que la dirección IP mostrada es correcta para su implementación y, a continuación, haga clic en Aceptar.

    5. Haga clic en la ficha Autenticación/cuentas.

    6. En Secreto compartido y Confirmar secreto compartido, escriba el secreto establecido en la configuración de NPS en el servidor de directivas de mantenimiento NAP.

    7. Haga clic en Aceptar dos veces.

  4. En la ventana de propiedades del grupo de servidores, en Servidor RADIUS, haga clic en el nombre de un servidor RADIUS remoto y, a continuación, haga clic en Editar.

  5. En la ficha Dirección, haga clic en Comprobar.

  6. En el cuadro de diálogo Comprobar cliente, haga clic en Resolver. Compruebe que la dirección IP del cliente RADIUS corresponde a un servidor de directivas de mantenimiento de NAP en la red configurada con un proxy RADIUS que corresponde al servidor local con NPS.

  7. Haga clic en Aceptar y, a continuación, haga clic en la ficha Autenticación/cuentas.

  8. Compruebe que los puertos de cuentas y autenticación son correctos para su implementación. El puerto de autenticación predeterminado es 1812 y el puerto de cuentas predeterminado es 1813.

  9. Compruebe que la casilla La solicitud debe contener el atributo de autenticador de mensaje está activada solamente si hay habilitado un requisito de mensaje de solicitud de acceso correspondiente para el atributo de autenticador de mensaje en el servidor de directivas de mantenimiento NAP. Desactive esta casilla si el servidor de directivas de mantenimiento NAP no requiere este atributo.

  10. Si sospecha que el secreto compartido no coincide, escriba el secreto en Secreto compartido y en Confirmar secreto compartido y, a continuación, haga clic en Aceptar dos veces.

  11. En la consola NPS, haga doble clic en Directivas y, a continuación, haga clic en Directivas de solicitud de conexión.

  12. En el panel de detalles, haga doble clic en la directiva de solicitud de conexión usada para autenticar las solicitudes de acceso a la red entrantes desde clientes NAP protegidos mediante IPsec.

  13. Haga clic en la ficha Configuración y, en Reenviando solicitud de conexión, haga clic en Autenticación.

  14. Compruebe que está seleccionada la opción Reenviar solicitudes para que se autentiquen en los siguientes grupos de servidores remotos RADIUS y compruebe que el nombre del grupo de servidores remotos RADIUS seleccionado se corresponde con los servidores de directivas de mantenimiento NAP correctos en la red.

  15. Repita estos pasos para todos los grupos y servidores remotos que ejecutan NPS.

  16. Cierre la consola NPS.

Consideraciones adicionales

Si el tipo de servidor de acceso a la red en la directiva de solicitud de conexión y la directiva de red se establece en No especificado, NPS usará esta directiva para evaluar todas las solicitudes de conexión que se originen desde cualquier tipo de servidor de acceso a la red. Si el tipo de servidor de acceso a la red se establece en Autoridad de registro de mantenimiento, sólo las solicitudes de conexión reenviadas desde un servidor HRA serán evaluadas por esta directiva. Si una o varias directivas habilitadas tienen un origen especificado de Autoridad de registro de mantenimiento, todas las directivas con un origen No especificado serán ignoradas por NPS cuando se procesen solicitudes de acceso a la red de clientes NAP protegidos mediante IPsec.

Referencias adicionales