Servicios de acceso y directivas de redes proporciona las siguientes soluciones de conectividad de red:

  • Protección de acceso a redes (NAP). NAP es una tecnología de creación, aplicación y corrección de directivas de mantenimiento de clientes incluida en el sistema operativo cliente Windows Vista® y en el sistema operativo Windows Server® 2008. Con NAP, los administradores de sistemas pueden establecer y aplicar de forma automática directivas de mantenimiento que pueden incluir requisitos de software, requisitos de actualizaciones de seguridad, configuraciones de equipo obligatorias y otros valores de configuración. Se puede conceder un acceso de red restringido a aquellos equipos cliente que no cumplan la directiva de mantenimiento hasta que se actualice su configuración y cumplan la directiva. Según el modo de implementación de NAP elegido, es posible actualizar de forma automática aquellos clientes que no cumplan la directiva de modo que los usuarios puedan recuperar con rapidez el acceso de red total sin necesidad de actualizar ni de volver a configurar sus equipos de forma manual.

  • Acceso inalámbrico y con cables seguro. Cuando se implementan puntos de acceso inalámbricos 802.1X, el acceso inalámbrico seguro proporciona a los usuarios de redes inalámbricas un método seguro de autenticación basado en contraseñas que resulta fácil de implementar. Cuando se implementan conmutadores de autenticación 802.1X, el acceso con cables permite mantener la red segura ya que se garantiza que los usuarios de la intranet se autentiquen antes de que se puedan conectar a la red u obtengan una dirección IP con DHCP.

  • Soluciones de acceso remoto. Con las soluciones de acceso remoto, puede proporcionar a los usuarios una red privada virtual (VPN) y acceso telefónico tradicional a la red de la organización. También puede conectar las sucursales con la red por medio de las soluciones VPN, implementar enrutadores de software completos en la red y compartir conexiones de Internet por toda la intranet.

  • Administración centralizada de directivas de red con proxy y servidores RADIUS. En lugar de configurar la directiva de acceso a la red en cada servidor de acceso a la red, como los puntos de acceso inalámbricos, los conmutadores de autenticación 802.1X, los servidores VPN y los servidores de acceso telefónico, puede crear directivas en una sola ubicación que especifique todos los aspectos de las solicitudes de conexión de red, como quiénes pueden conectarse, cuándo se pueden conectar y el nivel de seguridad que deben usar para conectarse a la red.

Servicios de rol para los Servicios de acceso y directivas de redes

Cuando se instalan los Servicios de acceso y directivas de redes, están disponibles los siguientes servicios de rol:

  • Servidor de directivas de redes (NPS). NPS es la implementación de Microsoft de un proxy y un servidor RADIUS. Puede usar NPS para administrar de forma centralizada el acceso a la red mediante varios servidores de acceso a la red, como puntos de acceso inalámbricos, servidores VPN, servidores de acceso telefónico y conmutadores de autenticación 802.1X. Además, puede usar NPS para implementar la autenticación de contraseña segura con el protocolo de autenticación extensible protegido (PEAP)-MS-CHAP v2 para conexiones inalámbricas. NPS también contiene componentes clave para implementar NAP en la red.

    Las siguientes tecnologías se pueden implementar después de la instalación del servicio de rol NPS:

    • Servidor de directivas de mantenimiento de NAP. Cuando se configura NPS como un servidor de directivas de mantenimiento de NAP, NPS evalúa los informes de mantenimiento (SoH) enviados por equipos cliente compatibles con NAP que quieren comunicarse en la red. Puede configurar directivas de NAP en NPS que permitan a los equipos cliente actualizar su configuración para que puedan cumplir la directiva de red de la organización.

    • IEEE 802.11 inalámbrico. Con el complemento MMC NPS, puede configurar las directivas de solicitud de conexión basadas en 802.1X para el acceso a la red de equipos cliente inalámbricos IEEE 802.11. También puede configurar los puntos de acceso inalámbricos como clientes RADIUS (Servicio de autenticación remota telefónica de usuario) en NPS, y usar NPS como un servidor RADIUS para procesar solicitudes de conexión, así como para realizar la autenticación, la autorización y la administración de cuentas para conexiones inalámbricas 802.11. Puede integrar totalmente el acceso inalámbrico IEEE 802.11 con NAP cuando se implemente una infraestructura de autenticación inalámbrica 802.1X, de modo que se compruebe el estado de mantenimiento de los clientes inalámbricos con la directiva de mantenimiento antes de que los clientes puedan conectarse a la red.

    • IEEE 802.3 con cables. Con el complemento MMC NPS, puede configurar las directivas de solicitud de conexión basadas en 802.1X para el acceso a la red Ethernet de equipos cliente con cable IEEE 802.3. También puede configurar conmutadores compatibles con 802.1X como clientes RADIUS en NPS, y usar NPS como un servidor RADIUS para procesar solicitudes de conexión, así como para realizar la autenticación, la autorización y la administración de cuentas para conexiones Ethernet 802.3. Puede integrar totalmente el acceso de equipos cliente con cable IEEE 802.3 con NAP cuando se implemente una infraestructura de autenticación con cable 802.1X.

    • Servidor RADIUS. NPS realiza la autenticación, la autorización y la administración de cuentas de la conexión centralizada para los conmutadores de autenticación inalámbricos y conexiones de acceso remoto telefónico y VPN. Cuando se usa NPS como un servidor RADIUS, se configuran los servidores de acceso a la red, como los puntos de acceso inalámbricos y los servidores VPN, como clientes RADIUS en NPS. También se configuran las directivas de red que usa NPS para autorizar las solicitudes de conexión. Además puede configurar la administración de cuentas de RADIUS para que NPS registre la información de las cuentas en archivos de registro del disco duro local o en una base de datos de Microsoft® SQL Server™.

    • Proxy RADIUS. Cuando se usa NPS como un proxy RADIUS, puede configurar las directivas de solicitud de conexión que indican al servidor NPS qué solicitudes de conexión debe reenviar a otros servidores RADIUS y a qué servidores RADIUS desea reenviar las solicitudes de conexión. También puede configurar NPS para que reenvíe datos de cuentas que deben registrar uno o más equipos en un grupo de servidores RADIUS remotos.

  • Enrutamiento y acceso remoto. Con Enrutamiento y acceso remoto puede implementar servicios de acceso remoto VPN y telefónico y servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT (traducción de direcciones de red).

    Las siguientes tecnologías se pueden implementar durante la instalación del servicio de rol Enrutamiento y acceso remoto:

    • Servicio de acceso remoto. Con Enrutamiento y acceso remoto puede implementar conexiones VPN de protocolo de túnel punto a punto (PPTP), protocolo de túnel de sockets seguros (SSTP) o protocolo de túnel de capa dos (L2TP) con protocolo de seguridad de Internet (IPsec) para proporcionar a los usuarios finales un acceso remoto a la red de la organización. También puede crear una conexión VPN de sitio a sitio entre dos servidores en ubicaciones distintas. En cada servidor se ha configurado Enrutamiento y acceso remoto para que envíe datos privados de modo seguro. La conexión entre los dos servidores puede ser persistente (siempre activa) o a petición (marcado a petición).

      El acceso remoto también proporciona acceso remoto telefónico compatible con los usuarios de equipos móviles o con los usuarios domésticos que se conectan con acceso telefónico con las intranets de la organización. El equipo de acceso telefónico instalado en el servidor que ejecuta Enrutamiento y acceso remoto responde a las solicitudes de conexión entrante de los clientes de acceso telefónico a redes. El servidor de acceso remoto responde a la llamada, autentica y autoriza al usuario que realiza la llamada y transfiere datos entre el cliente de acceso telefónico a redes y la intranet de la organización.

    • Enrutamiento. Enrutamiento proporciona un enrutador de software completo y una plataforma abierta para el enrutamiento y las conexiones de red. Ofrece servicios de enrutamiento a las empresas en entornos de red de área local (LAN) y red de área extensa (WAN).

      Cuando se implementa NAT, el servidor con Enrutamiento y acceso remoto se configura de manera que comparta una conexión a Internet con equipos de la red privada y traduzca el tráfico entre su dirección pública y la red privada. Cuando se usa NAT, los equipos de la red privada adquieren más medidas de protección porque el enrutador con NAT configurado no reenvía el tráfico desde Internet a la red privada a menos que un cliente de red privada lo haya solicitado o que se permita el tráfico explícitamente.

      Cuando se implementan VPN y NAT, el servidor con Enrutamiento y acceso remoto se configura de manera que proporcione NAT para la red privada y acepte conexiones VPN. Los equipos de Internet no podrán determinar las direcciones IP de los equipos de la red privada. No obstante, los clientes VPN podrán conectarse a equipos de la red privada como si estuvieran conectados físicamente a la misma red.

  • Autoridad de registro de mantenimiento (HRA). HRA es un componente NAP que emite certificados de mantenimiento a clientes que superan la comprobación de la directiva de mantenimiento realizada por NPS con el informe de mantenimiento del cliente. HRA sólo se usa con el método de aplicación de IPsec de NAP.

  • Protocolo de autorización de credenciales de host (HCAP). HCAP permite integrar la solución NAP de Microsoft con Cisco Network Access Control Server. Al implementar HCAP con NPS y NAP, NPS puede realizar la evaluación de mantenimiento del cliente y la autorización de los clientes de acceso de Cisco 802.1X.

Administración del rol de servidor de Servicios de acceso y directivas de redes

Las siguientes herramientas sirven para administrar el rol de servidor de Servicios de acceso y directivas de redes:

  • Complemento MMC NPS. Use el complemento MMC NPS para configurar un servidor RADIUS, un proxy RADIUS o la tecnología NAP.

  • Comandos Netsh para NPS. Los comandos Netsh para NPS constan de un conjunto de comandos totalmente equivalente a todos los parámetros de configuración disponibles mediante el complemento MMC NPS. Los comandos Netsh se pueden ejecutar manualmente en el símbolo de sistema Netsh o en scripts del administrador.

  • Complemento MMC HRA. El complemento MMC HRA se usa para designar la entidad de certificación (CA) que usa HRA para obtener certificados de mantenimiento y para definir el servidor NPS al que HRA envía los informes de mantenimiento para comprobarlos con la directiva de mantenimiento.

  • Comandos Netsh para HRA. Los comandos Netsh para HRA constan de un conjunto de comandos totalmente equivalente a todos los parámetros de configuración disponibles mediante el complemento MMC HRA. Los comandos Netsh se pueden ejecutar manualmente en el símbolo de sistema Netsh o en scripts creados por el administrador.

  • Complemento MMC Configuración del cliente de NAP. Puede usar el complemento Configuración del cliente de NAP para configurar los parámetros de seguridad y de interfaz de usuario en equipos cliente compatibles con la arquitectura NAP.

  • Comandos Netsh para configurar los parámetros de cliente de NAP. Los comandos Netsh para la configuración del cliente de NAP constan de un conjunto de comandos totalmente equivalente a todos los parámetros de configuración disponibles mediante el complemento Configuración del cliente de NAP. Los comandos Netsh se pueden ejecutar manualmente en el símbolo de sistema Netsh o en scripts creados por el administrador.

  • Complemento MMC Enrutamiento y acceso remoto. Use este complemento MMC para configurar un servidor VPN, un servidor de acceso telefónico a redes, un enrutador, NAT, VPN y NAT, o una conexión VPN de sitio a sitio.

  • Comandos Netsh para acceso remoto. Los comandos Netsh para acceso remoto constan de un conjunto de comandos totalmente equivalente a todos los parámetros de configuración de acceso remoto disponibles mediante el complemento MMC Enrutamiento y acceso remoto. Los comandos Netsh se pueden ejecutar manualmente en el símbolo de sistema Netsh o en scripts del administrador.

  • Comandos Netsh para enrutamiento. Los comandos Netsh para enrutamiento constan de un conjunto de comandos totalmente equivalente a todos los parámetros de configuración de enrutamiento disponibles mediante el complemento MMC Enrutamiento y acceso remoto. Los comandos Netsh se pueden ejecutar manualmente en el símbolo de sistema Netsh o en scripts del administrador.

  • Directivas de red inalámbrica (IEEE 802.11): Consola de administración de directivas de grupo (GPMC). La extensión Directivas de red inalámbrica (IEEE 802.11) automatiza la configuración de la red inalámbrica en equipos con controladores de adaptadores de red inalámbrica compatibles con el servicio de configuración automática LAN inalámbrica (servicio de configuración automática WLAN). Puede usar la extensión Directivas de red inalámbrica (IEEE 802.11) de la Consola de administración de directivas de grupo para especificar la configuración de los clientes inalámbricos de Windows XP y de Windows Vista. Las extensiones de directiva de grupo de Directivas de red inalámbrica (IEEE 802.11) incluyen opciones de red inalámbrica globales, la lista de redes preferidas, opciones de WPA (Acceso protegido Wi-Fi) y opciones de IEEE 802.1X.

    Cuando se configuran, las opciones se descargan en los clientes inalámbricos de Windows que son miembros del dominio. Los parámetros inalámbricos configurados por esta directiva forman parte de la Directiva de grupo de configuración de equipos. De manera predeterminada, las Directivas de red inalámbrica (IEEE 802.11) no están ni configuradas ni habilitadas.

  • Comandos Netsh para la red de área local inalámbrica (WLAN). Netsh de WLAN es una alternativa a las directivas de grupo para configurar la conectividad inalámbrica y los parámetros de seguridad de Windows Vista. Puede usar los comandos Netsh de WLAN para configurar el equipo local o para configurar varios equipos con un script de inicio de sesión. También puede usar los comandos Netsh de WLAN para ver los parámetros de directiva de grupo inalámbricos y administrar el proveedor de acceso a Internet inalámbricos (WISP) y las opciones de red inalámbrica del usuario.

    La interfaz Netsh de red inalámbrica tiene las siguientes ventajas:

    • Compatibilidad con el modo mixto: permite a los administradores configurar los clientes para que sean compatibles con varias opciones de seguridad. Por ejemplo, se puede configurar un cliente para que sea compatible con los estándares de autenticación WPA2 y WPA. De esta forma, el cliente puede usar WPA2 para conectarse a redes compatibles con WPA2 y usar WPA para conectarse a redes que sólo son compatibles con WPA.

    • Bloquear redes no deseadas: los administradores pueden bloquear y ocultar el acceso a redes inalámbricas no corporativas agregando redes y tipos de redes a la lista de redes denegadas. Del mismo modo, pueden permitir el acceso a redes inalámbricas corporativas.

  • Directivas de red con cable (IEEE 802.3): Consola de administración de directivas de grupo (GPMC). Puede usar las Directivas de red con cable (IEEE 802.3) para especificar y modificar los parámetros de configuración de los clientes de Windows Vista equipados con adaptadores de red y controladores compatibles con el Servicio de configuración automática de redes con cable. Las extensiones de directiva de grupo de Directivas de red inalámbrica (IEEE 802.11) incluyen opciones de red con cable globales y IEEE 802.1X. Estas opciones incluyen el conjunto completo de elementos de configuración con cable asociados con las fichas General y Seguridad.

    Cuando se configuran, las opciones se descargan en los clientes inalámbricos de Windows que son miembros del dominio. Los parámetros inalámbricos configurados por esta directiva forman parte de la Directiva de grupo de configuración de equipos. De manera predeterminada, las Directivas de red con cable (IEEE 802.3) no están ni configuradas ni habilitadas.

  • Comandos Netsh para la red de área local (LAN) con cable. La interfaz Netsh de LAN es una alternativa a las directivas de grupo en Windows Server 2008 para configurar la conectividad inalámbrica y los parámetros de seguridad de Windows Vista. Puede usar la línea de comandos de Netsh de LAN para configurar el equipo local, o usar los comandos en los scripts de inicio de sesión para configurar varios equipos. También puede usar los comandos Netsh de lan para ver las Directivas de red con cable (IEEE 802.3) y administrar los parámetros de red con cable de cliente 1x.

Recursos adicionales

Para obtener más información acerca de Servicios de acceso y directivas de redes, abra uno de los siguientes complementos MMC y presione F1 para mostrar la ayuda:

  • Complemento MMC NPS

  • Complemento MMC Enrutamiento y acceso remoto

  • Complemento MMC HRA