El cumplimiento de Protección de acceso a redes (NAP) para redes privadas virtuales (VPN) se implementa usando un componente de servidor de cumplimiento de VPN y un componente de cliente de cumplimiento de VPN. Al usar este método de cumplimiento, los servidores VPN pueden aplicar directivas de mantenimiento cuando los equipos cliente intentan conectarse a la red a través de una conexión VPN. La aplicación de VPN proporciona acceso de red limitado seguro a todos los equipos que obtienen acceso a la red por medio de una conexión VPN.
Nota | |
El cumplimiento de VPN no es lo mismo que el Control de cuarentena de acceso a red, que es una característica de Windows Server 2003 e Internet Security and Acceleration (ISA) Server 2004. |
Requisitos
Para implementar NAP con VPN, realice los procedimientos siguientes:
-
Instale y configure el Servicio de enrutamiento y acceso remoto como un servidor VPN. Configure el Servidor de directivas de redes (NPS) como servidor RADIUS (Servicio de autenticación remota telefónica de usuario) principal en Enrutamiento y acceso remoto.
-
En NPS, configure los servidores VPN como clientes RADIUS. Configure también la directiva de solicitud de conexión, la directiva de red y la directiva de mantenimiento de NAP. Puede configurar estas directivas por separado en la consola de NPS o puede usar el asistente para Nuevas directivas de Protección de acceso a redes.
-
Habilite el acceso remoto NAP y los clientes de cumplimiento EAP en equipos cliente no compatibles con NAP.
-
Habilite el servicio NAP en equipos cliente compatibles con NAP.
-
Configure el Validador de mantenimiento de seguridad de Windows (WSHV) o instale y configure otros agentes de mantenimiento del sistema (SHA) y Validadores de mantenimiento del sistema (SHV), según corresponda a la implementación de NAP.
-
Si usa el Protocolo de autenticación extensible protegido con Seguridad de la capa de transporte (PEAP-TLS) o EAP-TLS con tarjetas inteligentes o certificados, implemente una infraestructura de clave pública (PKI) con Servicios de certificados de Active Directory® (AD CS).
-
Si usa el Protocolo de autenticación extensible protegido con el Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (PEAP-MS-CHAP v2), emita certificados de servidor con AD CS u obténgalos de una entidad de certificación (CA) raíz de confianza.
Consideraciones adicionales
Si implementa el método de cumplimiento NAP en VPN y ha configurado el cumplimiento NAP con la opción Permitir acceso completo a la red por tiempo limitado, los clientes VPN que se conectan a la red una vez transcurrida la fecha de expiración se desconectan automáticamente, independientemente de si cumplen o no con la directiva de mantenimiento.
Una vez transcurrida la fecha y hora de expiración, los clientes VPN que intentan conectarse a la red se colocan en una red restringida, si no cumplen con la directiva de mantenimiento, mientras que a los clientes que cumplen la directiva se les permite el acceso total a la red.