Direct Access

DirectAccess

La información existe en casi toda su organización, en servidores, equipos portátiles, equipos de escritorio, dispositivos extraíbles y en los correos electrónicos. Los usuarios deben ser capaces de acceder a esta información desde cualquier lugar, compartirlo en su caso, y lograr la máxima productividad con los activos que poseen. Para complicar aún más las cosas, la adopción de cloud computing significa que debe ser capaz de asegurar las aplicaciones empresariales que ya no viven en su centro de datos. Para hacer frente a estas necesidades de información yretos, las organizaciones tienen que hacer cambios fundamentales en la forma en que se acercan a la identidad y la seguridad. Windows Server 2012 le ayuda a adaptarse a estos cambios a través de mejoras significativas en Active Directory, la introducción del control de acceso dinámico y emocionantes nuevas capacidades y opciones de implementación para Direct Access. Con las nuevas capacidades de Windows Server 2012, usted será capaz de gestionar y proteger mejor acceso a los datos, simplificar el despliegue y la gestión de su infraestructura de identidad, y proporcionar un acceso más seguro a los datos desde cualquier lugar.Windows Server 2008 Express: Acceso y Administración de Energía

El trabajo con Direct Access Administrar el consumo de energía a través de la función de administración de energía

Guión Direct Access es una tecnología que permite a los usuarios que están fuera de la red corporativa para tener acceso a la red corporativa sin necesidad de establecer conexiones VPN. El equipo cliente establece automáticamente una conexión segura, conexión permanente a la red corporativa, permitiendo que el cliente se comporte como si fuera de la red corporativa, independientemente de su ubicación. Direct Access también permite a los administradores administrar los equipos cliente que están fuera de la red corporativa de la misma manera se las arreglan los equipos de la red corporativa. Esta demostración muestra cómo algunas de las características de consumo de energía nuevas de Windows Server 2008 R2 y Windows 7 puede ayudar a reducir el costo operativo general de TI mediante la reducción de la potencia necesaria para ejecutar los servidores y equipos de sobremesa. La demo analiza las características tales como Windows Server 2008 R2 y Windows 7 Administración de energía mediante la directiva de grupo y análisis de poder. Algunas de estas políticas se aplican a Windows Vista. Equipos que se utilizan en esta práctica: DEN-CLI-01 DEN-DC-01 DEN-DA-01 Home Router Aumento de la productividad de los usuarios remotos utilizando DirectAccess

GuiónDirectAccess es una tecnología que permite a los usuarios que están fuera de la red corporativa para tener acceso a la red corporativa sin necesidad de establecer conexiones VPN. El equipo cliente establece automáticamente una conexión segura, conexión permanente a la red corporativa, permitiendo que el cliente se comporte como si fuera de la

red corporativa, independientemente de su ubicación. DirectAccess también permite a los administradores administrar los equipos cliente que están fuera de la red corporativa de la misma manera se las arreglan los equipos de la red corporativa.

Tarea 1: Uso de Direct Access

Complete esta tarea en: DEN-CLI-01

Nota: En esta demostración yo te voy a mostrar una de las nuevas tecnologías diseñadas para simplificar la vida de un usuario remoto, y de un administrador que tiene que gestionar un usuario remoto. Direct Access es una nueva tecnología que permite ordenador de un usuario remoto para ser conectado a la red de la empresa en todo momento, sin necesidad de especiales conexiones VPN.He aquí un escenario básico que la mayoría de la gente ha enfrentado. Hay que trabajar en un documento cuando no están en la red de la empresa, sólo para descubrir que necesitan tener acceso a los recursos corporativos.En este ejemplo, nuestro usuario, Bob, está trabajando en un proyecto de servidor de reducción de potencia. Él está en la oficina y se abre un correo electrónico con un enlace a un informe de consumo de energía.Una. Abrir c: \ DemoFilesCD \ Email.RTF utilizando WordPad.

Nota: Es importante utilizar WordPad para asegurar que las funciones de enlace integrados.b. Haga clic en el enlace del correo electrónico y, a continuación, haga clic en Sí.

Nota: La carpeta compartida se abre. Esto se debe a que está conectado a la red corporativa directamente.c. Cierre la carpeta compartida Corp.

Nota: Bob decide entonces ir a casa y trabajar en el informe. Para ello tenemos que cambiar su dirección IP, y lo puso en una red diferente.d. Haga clic en Inicio, y escriba ncpa.cpl para abrir la ventana de conexiones de red

e. Haga clic derecho en Conexión de área local y haga clic en Habilitar

f. Espere unos minutos para permitir la conexión a ser plenamente activo, y luego ir a Inicio y escriba cmd y presione ENTRAR.

g. En la ventana comando ipconfig tipo y observe la dirección IPv4 para la conexión de área local que acaba de activar. Recuerde que la dirección IP es exacta.

h. En la ventana Conexiones de red, haga clic derecho sobre DemoCorpNet y haga clic en Desactivar

i. Haga clic derecho sobre Den-CLI-01 y haga clic en Desconectar del servidor

j. En la ventana RemoteDesktop conexiones, haga clic en Escritorios remotos

k. Haga clic en Agregar servidor y escriba la dirección IPv4 (debe estar cerca de 172.16.__.__) y haga clic en Aceptar.

l. Haga doble clic en la dirección IP para conectarse.

Nota: Ahora Bob abre el correo electrónico y haga clic en el vínculo con el informe, pero no puede acceder a él. Única opción real de Bob ahora es establecer una conexión VPN, en el supuesto que puede.

m. Abrir c: \ DemoFilesCD Email.RTF.

n. Haga clic en el enlace del correo electrónico y, a continuación, haga clic en Sí.

Nota: La carpeta compartida no se abren. Esto se debe a que está conectado a la red doméstica.Puede tomar unos minutos para que la conexión falle.Bob llama a su servicio de asistencia y explica la situación. Bob empresa ha implementado DirectAccess y el administrador decide que Bob es un candidato perfecto, así se mueve la cuenta de equipo para el ordenador portátil de Bob a la unidad organizativa que contiene el grupo de objetos de directiva de configuración de DirectAccess.o. Cambiar a DEN-DC-01

p. En el menú Inicio, seleccione Herramientas administrativas / Usuarios y equipos.

q. Expanda Objetos administrados para revelar Pilot DA.

r. Desplácese hasta el contenedor Equipos.

s. Arrastre DEN-CLI-01 desde ordenadores a Pilot DA.

Nota: Si coloca la computadora en esta OU asegura el equipo recibirá la política de configuración de DA.t. Haga clic en Sí.

u. Abra un símbolo del sistema y ejecute gpupdate / force

Nota: Ahora todos Bob tiene que hacer es refrescar la directiva del equipo la próxima vez que esté en la oficina. Vamos a hacerlo ahora.v Haga clic en Inicio, y escriba ncpa.cpl para abrir la ventana de conexiones de red

w. Haga clic derecho sobre DemoCorpNet y haga clic en Habilitar

x. Haga clic derecho en Conexión de área local y haga clic en Desactivar

y. Haga clic derecho sobre 172.16.__.___ y haga clic en Desconectar del servidor

z. En la ventana Remote Desktop conexiones, haga doble clic en DEN-CLI-01 y haga clic en Conectar.

Nota: Puede tardar unos minutos para que esto funcione, le doy 5 minutos si no se puede conectar al principio.DA lleva unos pocos minutos para negociar asociaciones de seguridad. Por lo general, usted tendrá que esperar aproximadamente 30 segundos después de ejecutar la secuencia de comandos para las conexiones de la Agenda para que se establezcan.Usted se estará preguntando qué se está haciendo. Direct Access utiliza una combinación de IPv6 y IPSec para establecer un nivel de equipo, conexión segura de ordenador portátil de Bob para el servidor de Direct Access corporativa. Todo lo que se requiere es la conectividad IP. Direct Access soporta IPv6 Teredo, nativas y tecnologías 6over4. Se puede ver que las asociaciones de seguridad se establece automáticamente, y al hacer ping a un servidor interno, IPv6 utiliza.

aa. Haga clic en Inicio, escriba CMD y, a continuación, presione ENTRAR.

bb. Escriba ping DEN-DC-01

Nota: Usted recibirá cuatro respuestas desde el adaptador ISATAP IPv6 para Woodgrovebank.com.Bob está de vuelta a casa, como se puede ver. Ahora, cuando Bob se abre el documento y hace clic en el enlace, DirectAccess se asegura de que su equipo se comporta como si fuera físicamente en la red corporativa y simplemente se abre la carpeta compartida, sin necesidad de acceso a una VPN o cualquier acción por parte de Bob.cc. Abrir c: \ DemoFilesCD \ Email.RTF.

dd. Haga clic en el enlace del correo electrónico y, a continuación, haga clic en Sí.

Nota: La carpeta compartida se abre.Si falla la conexión, espere un momento y vuelva a intentarlo. Si falla una segunda vez, reinicie el equipo.Una de las características más potentes de DirectAccess es que como lo expresa equipos remotos de la red corporativa, sus tecnologías de gestión tradicionales simplemente funciona. Aquí está un ejemplo de un GPO de nivel de equipo que se aplica al equipo, tal y como si se tratara de un equipo local en la LAN. Además, puede utilizar Administración de equipos para administrar los equipos que se encuentran fuera del firewall conectado a través de DirectAccess.ee. En la máquina virtual de DEN-DC-01, haga clic en el menú Inicio, seleccione Herramientas administrativas / Administración de directivas de grupo.

ff. Expandir objetos administrados.

gg. Vaya a los objetos de directiva de grupo.

hh. Arrastre el ordenador personal la política de la administración a la OU DA piloto para

vincular la política.

ii. Haga clic en Aceptar.

jj. Bajo Pilot DA, haga clic en Administración de Home PC y, a continuación, haga clic forzadas.

kk. En la máquina virtual de DEN-CLI-01, haga clic en Inicio, escriba cmd y, a continuación, presione ENTRAR.

ll. Escriba gpupdate / force / target: computer y presione ENTRAR.

Nota: Directiva de grupo se actualizará.Un nuevo acceso directo aparecerá en el escritorio del equipo cliente.mm. En la máquina virtual de DEN-DC-01, haga clic en el menú Inicio, haga clic en Herramientas administrativas / Administración de equipos.

nn. En Administración de equipos, haga clic en el menú Acción, haga clic en Conectar con otro equipo.

oo. Tipo de DEN-CLI-01 y después haga clic en Aceptar.

Nota: Administración de equipos se conectan a la computadora cliente, a pesar de que el equipo está fuera del firewall.En esta demostración se muestra cómo se puede utilizar DirectAccess para simplificar la experiencia de los usuarios remotos, darles más flexibilidad para acceder a los recursos corporativos, y retener a directores sobre los ordenadores que utilizan.¡Nuevo! Haz clic en las palabras anteriores para editar y ver traducciones alternativas. Descartar

Reducción del coste operacional mediante la administración de energía en Windows Server 2008 R2

GuiónEsta demostración muestra cómo algunas de las características de consumo de energía nuevas de Windows Server 2008 R2 y Windows 7 puede ayudar a reducir el costo operativo general de TI mediante la reducción de la potencia necesaria para ejecutar los servidores y equipos de sobremesa. La demo analiza las características tales como Windows Server 2008 R2 y Windows 7 Administración de energía mediante la directiva de grupo y análisis de poder. Algunas de estas políticas se aplican a Windows Vista.

Tarea 1: Ahorro de energía con Windows Server 2008 R2

Complete esta tarea en: DEN-DC-01

Nota: En esta demostración yo te mostraré cómo Windows Server 2008 R2 puede ahorrar dinero al ahorrar energía. Hay varias características nuevas que se incluyen en Windows Server 2008 R2 que están específicamente diseñados para reducir la huella eléctrica tanto del centro de datos y equipos de escritorio. Esta demo se destaca algunas de estas características. Todos sabemos que la directiva de grupo es la forma más fácil de gestionar todos los ordenadores de sobremesa. Windows Server 2008 R2 amplía la política de grupo para incluir la administración de energía. Con las versiones anteriores de Windows, es muy difícil establecer una política a nivel mundial el consumo de energía para todos los equipos de la red y aún más difícil hacerla cumplir. Windows Server 2008 R2 aprovecha las herramientas de administración de energía en Windows Vista y Windows 7 para que pueda establecer una política de energía de escritorio y hacer que se cumpla para todos los escritorios en su empresa. Echemos un vistazo a cómo hacer esto.una. En el menú Inicio, seleccione Herramientas administrativas / Administración de directivas de grupo.

b. En Administración de directivas de grupo, expanda woodgrovebank.com / Managed Objects / Escritorios verdes y haga clic en Directiva de alimentación de escritorio.

Nota: Esta es una GPO que ha creado anteriormente. Se utiliza para administrar la configuración de GPO de energía.c. Haga clic en Acción / Editar.

d. Expanda Configuración del equipo / Directivas / Plantillas administrativas / Sistema / Administración de energía.

e. Haga doble clic en Seleccionar un plan de energía activo.

Nota: Señale que el plan de energía activo está establecido en ahorro de energía. Ahorro de energía reducirá en gran medida el consumo de energía total de un equipo de trabajo mediante la aplicación de los ajustes más bajos de energía frente a los ajustes más altos de rendimiento y hacer cumplir el sueño y los tiempos de espera de pantalla.f. Haga clic en el plan de energía activo de la lista desplegable.

Nota: Usted puede rápidamente seleccionar cualquiera de los planes predeterminados de poder.g. Pulse OK y la ventana Seleccionar un plan de energía activo se cerrará.

Nota: Ahora echemos un vistazo a cómo esta configuración de directiva de grupo sencillo se aplica en los clientes.

Tarea 2: Selección de un plan de energía


una. Haga clic en Inicio / Panel de control.

b. En el Panel de control, Hardware y sonido.

c. Haga clic en Seleccionar un plan de energía.

Nota: El plan de energía actual está equilibrada.

Tarea 3: Uso de la directiva de grupo


una. En el menú Inicio, seleccione Herramientas administrativas / Usuarios y equipos.

b. Expandir objetos administrados.

c. Haga clic Pilot DA.

d. Arrastre el objeto de equipo DEN-CLI-01 a los objetos gestionados OU / Desktops Verde.

Nota: Al mover la cuenta de equipo se asegura de la política de poder es manejado por la directiva de grupo.e. Haga clic en Sí.

Tarea 4: Personalización de su Plan de energía


una. Haga clic en Inicio, escriba CMD y, a continuación, presione ENTRAR.

b. Escriba gpupdate / force y, a continuación, presione ENTRAR.

c. Interruptor para controlar las opciones del panel de energía.

Nota: La directiva de energía actual es ahora administrado, y se puso a Ahorro de energía. No sólo se puede establecer el plan de energía, también se puede personalizar para que no interfiera con el trabajo de un usuario. Dependiendo del trabajo que el usuario está realizando, haciendo cosas como obligar al equipo a dormir cada 10 minutos podría ser contraproducente. Para los usuarios de un centro de llamadas, que a menudo pueden pasar hasta 10 minutos hablando con los clientes y no interactuar con su ordenador, este tipo de ajuste puede tener un impacto negativo. Se pueden personalizar los detalles de un plan de energía, tales como cuánto tiempo se debe esperar antes de poner una computadora en un estado de sueño, la misma facilidad que se establece el plan de energía.

Tarea 5: gestión de potencia adicional en el escritorio


una. En el Editor de administración de directivas de grupo, haga doble clic en Configuración del sueño.

b. Haga doble clic en Especifique el tiempo de espera del sueño System (Plugged In).

c. Haga clic en Habilitada y, a continuación, en el tiempo de espera de Sleep System (segundos), escriba 1200 y haga clic en Aceptar.

Nota: 1200 segundo es igual a 20 minutos.Esos fueron sólo dos de las formas que puede utilizar Windows Server 2008 R2 para reducir el coste total de propiedad y la huella de carbono más estrechamente la gestión de energía en los equipos de escritorio.¿Qué pasa con el centro de datos? Windows Server 2008 R2 incluye una nueva tecnología llamada "el aparcamiento central". Esta tecnología permite que un sistema con múltiples procesadores para poner algunos de los procesadores en un estado de bajo consumo cuando la demanda de aplicación lo permita. Mediante la transferencia de las solicitudes de una sola CPU en momentos de baja actividad, consumo de energía otro procesadores se pueden reducir considerablemente.Como se puede ver, es muy fácil de configurar las opciones de administración de energía. Windows 7 y Windows Server 2008 R2 llevarlo aún más lejos y le dará un análisis detallado de su consumo de energía actual, así como las capacidades de su sistema cuando se trata de la administración de energía. Estos ajustes pueden ayudar a determinar tanto lo que usted puede hacer para ahorrar energía y si esos valores de energía son realmente efectivas. Esto se hace con una herramienta de línea de comandos denominada powercfg.d. En el menú Inicio, haga clic en Símbolo del sistema.

e. En el símbolo del sistema escriba powercfg-Energy

Nota: El análisis por defecto tomará un minuto. Usted puede continuar mientras este se ejecuta.f. En el directorio c: \ DemoFilesCD, haga doble clic energía report.html.

Nota: Este es un informe de muestra que se tomó en una computadora portátil.g. Desplácese por el informe de alimentación.

Nota: En esta demostración se mostraron tres maneras diferentes en que el consumo de energía se reduce en Windows Server 2008 R2. Mediante el análisis del uso de la energía en los equipos de su empresa, así como el control estricto de las políticas de energía para computadoras de escritorio y permitir estacionamiento en grandes procesador multi-CPU de servidores, puede reducir los costos operativos, el consumo de energía, y darse cuenta de un menor TCO de su infraestructura de TI .

Para obtener más información acerca de Windows Server 2008 R2 con Service Pack 1 - Descargar versión de prueba gratis, por favor vaya a la siguiente ubicaciónCopia CodeCopy CodeCopy Código

http://www.microsoft.com/click/services/Redirect2.ashx?CR_CC=200070849

Certificación: Windows Server 2008 R2, Virtualización de ServidoresCopia CodeCopy CodeCopy Código


DirectAccess con Protección de acceso a redes (NAP)15 de 18 puntuado este útil - Valorar este tema

Publicado: 25 de marzo 2010

Actualizado: 01 de octubre 2010

Se aplica a: Windows Server 2008 R2

La característica DirectAccess en Windows 7 y Windows Server 2008 R2 permite a los equipos cliente de DirectAccess para conectarse directamente a la intranet basadas en los recursos sin la complejidad de establecer una red privada virtual (VPN). El usuario tiene la experiencia misma conectividad tanto dentro como fuera de la oficina. DirectAccess está diseñado como una perfecta, siempre en solución de acceso remoto que elimina la complejidad de usuario, proporciona una gestión sencilla y eficaz y herramientas de configuración, y no compromete los aspectos de conectividad remota segura.

El Network Access Protection (NAP) de Windows Server 2008 R2 y Windows 7 hace cumplir los requisitos de salud mediante el seguimiento y la evaluación del estado de los equipos cliente cuando intentan conectarse o comunicarse en una red. Los equipos cliente que no cumplan con los requisitos del sistema de salud puede estar provisto de acceso a la red restringida hasta que se actualice su configuración y puesta en conformidad.

DirectAccess se puede utilizar con NAP para verificar que los equipos cliente de DirectAccess satisfacer sus necesidades del sistema de salud antes de permitir el acceso a toda la intranet. Este servidor Windows 2008 R2 solución es la combinación de DirectAccess con NAP para proporcionar transparencia, acceso a la intranet para clientes de DirectAccess que cumplan con los requisitos del sistema de salud.

Consulte los temas siguientes para obtener información adicional sobre esta solución.DirectAccess con NAP general Solution2 de 6 puntuado este útil - Valore este tema




DirectAccess proporciona acceso autenticado y protegido a los recursos de la intranet a través de Internet. Al igual que el acceso remoto típico de red privada virtual (VPN), los componentes de DirectAccess no garantizan que el cliente de DirectAccess cumple con los


requisitos del sistema de salud antes de obtener acceso a la intranet. Los requerimientos típicos del sistema de salud puede incluir la verificación de que el anti-malware está en marcha o el firewall de host habilitado.

Los siguientes son los beneficios del uso de DirectAccess con Protección de acceso a redes (NAP):

Sistema sigan cumpliendo estos requisitos para la itinerancia computadoras

Como los equipos cliente de DirectAccess siempre se conectan a los recursos de infraestructura de intranet cuando tienen una conexión a Internet, el sistema de salud está marcada de forma permanente y siempre se sigan cumpliendo. Sistema de control brezo son realizadas por el equipo antes de inicio de sesión del usuario. Esto está en contraste con el uso PAN con VPN, en el que el cumplimiento del sistema de salud se verifica sólo cuando el equipo itinerante inicie una conexión de acceso remoto VPN a la intranet.

Exigir el cumplimiento del sistema de salud antes de acceder a toda la intranet

Cuando el usuario inicia sesión en el equipo cliente de DirectAccess intenta acceder a toda la intranet. NAP proporciona los componentes y la infraestructura para asegurar que los requisitos del sistema de salud se cumplan antes de permitir el acceso a toda la intranet.

Los clientes de DirectAccess usan por defecto un certificado de equipo para autenticación del mismo nivel de protocolo de Internet de seguridad (IPsec). Con DirectAccess y NAP, el certificado utilizado para la autenticación para acceder a toda la intranet es un certificado sanitario. Un certificado de salud valida la identidad del equipo cliente de DirectAccess y certifica que el cliente de DirectAccess cumple con los requisitos del sistema de salud.

Es posible utilizar DirectAccess con NAP en los modos siguientes, dependiendo de si un certificado sanitario requerido para la autenticación cuando se intenta acceder a toda la intranet:

Informes modo

El servidor de DirectAccess no exige certificados de salud. Los clientes de DirectAccess puede utilizar un certificado de salud o su certificado de equipo. La ventaja de este modo es que los clientes de DirectAccess más corregirá automáticamente su sistema de salud en forma permanente. Mediante el análisis de la información de reportes generados por el servidor de directivas de mantenimiento NAP, un servidor que ejecuta el servidor de directivas de redes (NPS), se puede trabajar para corregir el sistema de salud no cumplen las normas de los equipos cliente de DirectAccess sin bloquear su acceso a la intranet. En el modo de presentación de informes, no cumplen los equipos cliente de DirectAccess tienen acceso a toda la intranet.

Modo de cumplimiento completo

El servidor de DirectAccess exige certificados de salud. Los clientes de DirectAccess sin

un certificado de salud no será capaz de acceder a la intranet de todo y no puede utilizar su certificado de equipo para la autenticación. La ventaja de este modo es que los clientes de DirectAccess no cumplan con los requisitos del sistema de salud, lo que puede suponer una amenaza potencial a la intranet, no se les permite el acceso a toda la intranet. Sin embargo, los clientes de DirectAccess que no se pueden corregir automáticamente su sistema de salud podrían necesitar asistencia helpdesk.

La solución DirectAccess con NAP usa el modo de plena vigencia.

Para obtener más información acerca de la arquitectura de la solución DirectAccess con NAP, vea DirectAccess con NAP general de Arquitectura.

Para obtener información acerca de cómo implementar la solución DirectAccess con NAP, consulte la Hoja de Ruta de DirectAccess con NAP de implementación.

DirectAccess con NAP general Arquitectura2 de cada 3 ha calificado este útil - Valore este tema




El DirectAccess con Protección de acceso a redes (NAP) solución utiliza los componentes de infraestructura siguientes:

Active Directory (AD DS)

Proporciona pertenencia al dominio para los clientes de DirectAccess y los servidores, la autenticación de credenciales de usuario y de equipo, y distribuye la configuración de directiva de grupo para los clientes de DirectAccess.

Infraestructura de clave pública (PKI)

Distribuye certificados digitales para los clientes de DirectAccess, los servidores de DirectAccess y los servidores Web. Para DirectAccess con NAP, una autoridad de certificación (CA) certificados de equipo problemas y una separada CA basada en Windows, conocidos como NAP CA, certificados de problemas de salud.

DirectAccess servidor

Un equipo que ejecuta Windows Server 2008 R2 recibe conexiones de DirectAccess.

Red servidor de localización

Un equipo que normalmente se ejecuta Windows Server 2008 o posterior e Internet

Information Services (IIS) hospeda un sitio web seguro para que los clientes de DirectAccess puede determinar si están conectados a la intranet.

NAP política del servidor

Un equipo que ejecuta Windows Server 2008 o posterior y el Servidor de directivas de redes (NPS) que realiza la validación del sistema de salud y registro.

Autoridad de registro de mantenimiento (HRA)

Un equipo que ejecuta Windows Server 2008 o posterior e IIS que obtiene los certificados digitales de una CA de NAP para clientes compatibles con DirectAccess.

servidores de remediación

Los equipos que proporcionan las actualizaciones o recursos que no cumplen con los clientes de DirectAccess deben cumplir los requisitos del sistema de salud. Ejemplos incluyen Windows Software Update Services (WSUS) servidores y anti-malware servidores de distribución de la firma.

La siguiente figura muestra los componentes de la solución Direct Access con NAP.

noteNoteEsta solución sólo se describe la solución DirectAccess con NAP mediante HRA que están disponibles en la intranet. Esta solución no describe el DirectAccess con NAP solución mediante HRA que están en la red perimetral y directamente disponible para los clientes de DirectAccess en Internet. Más información acerca del uso de HRA en la red perimetral se añadirá a este tema cuando esté disponible.

Para obtener más información sobre los beneficios de la solución DirectAccess con NAP, vea

DirectAccess con NAP general de soluciones.Infraestructuras para la solución DirectAccess con NAP

La solución DirectAccess con NAP incluye infraestructuras para NAP y DirectAccess.NAP infraestructura

El conjunto de servidores para apoyar el sistema de salud NAP validación y aplicación consiste en AD DS, una PKI con un PAN CA, el servidor NAP política, HRA una, y los servidores de remediación. Con esta infraestructura, habilitados para los clientes de DirectAccess con NAP puede obtener lo siguiente:

Configuración del cliente NAP a través de la configuración de directiva de grupo (AD DS)

La validación de la conformidad del sistema de salud (HRA, mantenimiento NAP servidor de políticas)

Los certificados sanitarios que acrediten el cumplimiento del sistema de salud (HRA, PKI con NAP CA)

Actualizaciones requeridas para cumplir con los requisitos de mantenimiento del sistema (servidores de actualizaciones)

DirectAccess infraestructura

El conjunto de servidores para soportar conexiones de DirectAccess está formado por el servidor de DirectAccess, AD DS, una PKI con una CA emisora, y el servidor de ubicación de red. Con esta infraestructura, los clientes de DirectAccess puede hacer lo siguiente:

Obtener configuración de DirectAccess a través de la configuración de directiva de grupo (AD DS)

Obtener certificados digitales para la autenticación de las conexiones de DirectAccess (PKI con una CA emisora)

Determinar cuando están conectados a la intranet (red servidor lugar)

Obtenga acceso transparente a la intranet cuando en Internet (servidor de DirectAccess)

La combinación de la infraestructura de DirectAccess y NAP

En el DirectAccess con NAP solución, los clientes de DirectAccess obtener tanto DirectAccess y los ajustes de configuración del cliente NAP a través de objetos de directiva de grupo (GPO) y AD DS.

En la intranet, los clientes de DirectAccess usan el servidor de ubicación de red para determinar su ubicación y desactivar el uso de DirectAccess.

En el Internet o la intranet, los clientes de DirectAccess datos un sistema de salud comprueba en el arranque y en forma permanente por el acceso a los servidores HRA y remediación, según sea

necesario. Si el cliente de DirectAccess está conforme, la HRA obtiene un certificado sanitario para el cliente de DirectAccess de la CA de NAP. En Internet, antes de inicio de sesión de usuario, el cliente de DirectAccess DirectAccess usa tanto el PAN y las infraestructuras para llevar a cabo la validación del sistema de salud para recibir un certificado de salud.

Cuando el usuario inicia una sesión, el cliente de DirectAccess presenta su certificado de salud con el servidor de DirectAccess para la autenticación. Para el modo de plena aplicación, el servidor de DirectAccess realiza una de las siguientes acciones:

Permite el acceso a la intranet cuando el equipo cliente de DirectAccess cumple

Deniega el acceso a la intranet cuando el equipo cliente de DirectAccess está en incumplimiento

Puntos de integración para la solución DirectAccess con NAP

Las infraestructuras de DirectAccess y NAP pueden existir por separado el uno del otro, en el que el cliente de DirectAccess sólo valida la salud del sistema cuando está en la intranet. Para combinar las dos infraestructuras y beneficiarse de su integración, debe hacer lo siguiente:

Agregue las direcciones IPv6 de los servidores HRA y remediación a la lista de servidores de infraestructura o de gestión en el cliente de DirectAccess. De forma predeterminada, el cliente de DirectAccess en Internet no será capaz de llegar a los servidores HRA y remediación en la intranet hasta que el usuario inicie sesión.

Modificar la configuración de la regla de túnel de intranet de seguridad de conexión para el servidor de DirectAccess para solicitar certificados de salud. De forma predeterminada, el servidor de DirectAccess sólo requiere un certificado digital adecuada para la autenticación de clientes de DirectAccess. Este paso exige el cumplimiento del sistema de salud para acceder a la intranet.

Cómo DirectAccess con NAP obras

El siguiente proceso describe cómo funciona DirectAccess con NAP para un cliente de DirectAccess:

Cuando el cliente de DirectAccess inicia, inicie sesión en el dominio de AD DS con su cuenta de equipo y envía su información actual estado de salud a la HRA.

El HRA envía la información del cliente de DirectAccess de salud del estado para el servidor de directivas de mantenimiento NAP.

El servidor de políticas de salud NAP evalúa la información sobre el estado de salud del cliente de DirectAccess, determina si es compatible, y envía los resultados a la HRA. Si el cliente de DirectAccess no cumple, los resultados incluyen las instrucciones de salud de remediación.

El HRA envía el cliente de DirectAccess los resultados de la evaluación de la salud.

Si el estado de salud es conforme, la HRA obtiene un certificado de salud de la PKI y la envía al cliente de DirectAccess. El cliente de DirectAccess puede crear ahora el túnel de intranet con el

servidor de DirectAccess.

Si el estado de salud no es compatible, el HRA no emite un certificado sanitario. El cliente de DirectAccess no puede crear el túnel de intranet con el servidor de DirectAccess. Sin embargo, el cliente de DirectAccess puede tener acceso a servidores de actualizaciones para corregir su estado de salud.

El cliente de DirectAccess envía solicitudes de actualización de los servidores de actualizaciones apropiadas. Sin embargo, en algunos casos, el usuario podría tener que realizar pasos manuales para llegar a cumplir.

Los servidores de remediación disposición del cliente de DirectAccess con las actualizaciones necesarias para el cumplimiento de los requisitos del sistema de salud. El cliente de DirectAccess actualiza su información sobre el estado de salud.

El cliente de DirectAccess envía su información actualizada del estado de salud a la HRA.

El HRA envía la información de salud del estado actualizado al servidor de directivas de mantenimiento NAP. Suponiendo que todas las actualizaciones se hicieron, la política de mantenimiento de NAP servidor determina que el cliente de DirectAccess cumple y envía el resultado a la HRA.

La HRA obtiene un certificado de salud de la CA de NAP.

El HRA envía el certificado de salud para el cliente de DirectAccess. El cliente de DirectAccess puede ahora utilizar el certificado sanitario para la autenticación para acceder a la intranet a través del servidor de DirectAccess.

Para obtener información acerca de cómo implementar la solución DirectAccess con NAP, consulte la Hoja de Ruta de DirectAccess con NAP de implementación.

Implementación avanzada para DirectAccess con NAPEste tema aún no ha sido valorado - Valorar este tema




Despliegue avanzado para el DirectAccess con Protección de acceso a redes (NAP) solución consiste en la automatización de las tareas operativas y el uso de secuencias del sistema de información para la inteligencia operativa y de negocios.Automatizar tareas operativas

Debido a que el cliente de Direct Access recibe NAP y la configuración de cliente de Direct Access a través del NAP y Direct Access cliente objetos de directiva de grupo (GPO) a través de su pertenencia a un grupo de seguridad de cliente de Direct Access, puede simplificar las tareas en

curso de funcionamiento de la concesión y revocación de Direct Access para las cuentas de equipo mediante la automatización de la gestión de la calidad de miembro de cliente de Direct Access grupo de seguridad con scripts o programas personalizados.Utilizando secuencias del sistema de información para la inteligencia operativa y de negocios

Las corrientes del sistema de información de inteligencia operativa y de negocios para la solución DirectAccess con NAP son los siguientes:

NPS datos contables almacenados como archivos de registro o no ha entrado directamente a un servidor NPS registro de SQL

Fuentes de energía nuclear y la Autoridad de registro de mantenimiento (HRA) eventos en el registro de eventos de Windows

Mediante el análisis de estos flujos de información, usted puede determinar:

La frecuencia de los controles sanitarios de los clientes de DirectAccess

¿Cuántos de ellos son cumplidores y no cumplidores con los requisitos del sistema de salud

Los tipos de problemas que requieren remediación salud

También puede utilizar la supervisión del rendimiento del servidor de DirectAccess, las autoridades de certificación (CA), servidores de ubicación de red, servidores HRA, remediación y servidores NAP políticas para determinar cuándo se debe añadir o reducir la capacidad.

Prueba de laboratorio Guías para DirectAccess con NAPEste tema aún no ha sido valorado - Valorar este tema


Actualizado: 01 de junio 2010


Las guías de los siguientes exámenes de laboratorio están disponibles para demostrar la DirectAccess con Protección de acceso a redes (NAP) solución en un laboratorio de pruebas y utilizar el laboratorio resultante de aprender sobre las herramientas de solución de problemas y técnicas.

Prueba de Guía de Laboratorio: Demostrar DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613)

Crear un laboratorio de pruebas de trabajo para demostrar la funcionalidad de DirectAccess. Este laboratorio de pruebas actúa como una base para todos los otros laboratorios de pruebas en esta solución.

Guía de Laboratorio de prueba: Resolución de problemas de DirectAccess

(http://go.microsoft.com/fwlink/?LinkId=181160)

Utilice el laboratorio de pruebas de DirectAccess DirectAccess para aprender sobre las herramientas de solución de problemas y para practicar la resolución de problemas de DirectAccess.

Prueba de Guía de Laboratorio: Demostrar DirectAccess con NAP (http://go.microsoft.com/fwlink/?LinkId=186697)

Utilice el laboratorio de pruebas de DirectAccess para configurar una infraestructura de NAP y exigir el cumplimiento del sistema de salud para acceder a la intranet.

Guía de Laboratorio de prueba: Resolución de problemas de DirectAccess con NAP (http://go.microsoft.com/fwlink/?LinkId=193603)

Utilice el DirectAccess con NAP laboratorio de prueba para aprender sobre las herramientas de solución de problemas del PAN y de practicar la solución de problemas del PAN para DirectAccess.

Direct Access con NAP Orientación Solución de problemas4 de 4 puntuado este útil - Valore este tema

Publicado: 05 de abril 2010

Actualizado: 01 de junio 2010


En la mayoría de los casos, la forma más eficaz para solucionar un problema con un cliente de Direct Access en la solución Direct Access con NAP es intentar aislar el problema a uno de los siguientes:

Un problema con la validación del sistema de salud y la adquisición de un certificado de salud (la infraestructura NAP)

Consulte Solución de problemas del PAN en el acceso a la red Guía de protección de resolución de problemas.

Solución de problemas del PAN2 de 2 puntuado este útil - Valore este tema

Actualizado: 29 de marzo 2012

Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Los temas de esta sección están destinados a la protección del grupo de acceso de red (NAP) los problemas en categorías basadas en síntomas. Cada tema se ofrece una descripción detallada del problema y sus síntomas asociados. En su caso, los eventos del sistema operativo que se producen debido al problema están documentados. Las posibles

causas de raíz en la lista, y los procedimientos se proporcionan para solucionar el problema. Técnicas de solución de problemas que puede utilizar para ayudar a encontrar soluciones a problemas que no pueden ser documentadas, y para ayudar a identificar la causa raíz se describen en la siguiente sección.Solución de problemas del PAN

El primer paso en el aislamiento de la causa de un problema relacionado con NAP es reunir información sobre el problema. Comience por la obtención de la información que se describe en la sección Para verificar antes de NAP solución de problemas. Comience el proceso de solución de problemas con esta información básica antes de usar herramientas de solución de problemas más avanzados y técnicas.Inicio del proceso de solución de problemas

Además de la recopilación de información básica, hágase las siguientes preguntas cuando se inicia el proceso de solución de problemas:

¿Cuál es el alcance del problema? Si se encuentra aislado a un solo ordenador o grupo de ordenadores, lo que es único acerca de estos equipos?

Ha trabajado anteriormente PAN en estos equipos? Si es así, ¿qué podría haber cambiado?

¿Cuál es el impacto del problema? Si es grave, se puede hacer algo para mitigar el problema hasta que encuentre una solución permanente?

¿Existen riesgos asociados a la solución de problemas o solucionar el problema? Si el problema se produce en un entorno de producción, es posible que deba programar un tiempo cuando usted puede investigar y reparar el problema.

Cómo solucionar los problemas del PAN

Nunca ponga en marcha para solucionar un problema en el medio. En su lugar, encontrar el primer evento en un proceso y comenzar allí. Alternativamente, usted puede encontrar el último evento y su forma de trabajo hacia atrás. También es útil para los procesos de grupo en categorías y determinar si esa categoría de procesos está funcionando correctamente.

Tenga en cuenta las siguientes categorías de procesos para solucionar problemas de un problema NAP:

Acceso de los clientes solicitud de envío.

Punto de cumplimiento NAP reenviar al servidor de directivas de redes (NPS).

NPS análisis y respuesta a la solicitud de acceso de cliente.

Solicitud de acceso a la red por el punto de cumplimiento NAP.

Cliente de remediación.

Para PAN, los resultados del proceso de primera categoría en la presentación de un informe de mantenimiento (SoH) desde el equipo cliente NAP. El SoH es enviado con una solicitud de acceso a la red que esencialmente dice: "Aquí está mi identidad y estado de salud. Por favor, aprobará el acceso a la red. ", El equipo cliente espera una respuesta.

La solicitud de acceso a la red se envía a un punto de aplicación de NAP que reenvía la solicitud al NPS para el análisis. NPS analiza la solicitud de acceso mediante el uso de la lista de directivas de solicitud de conexión y de red. Para cada tipo de política, NPS comienza en la parte superior de la orden de procesamiento y se mueve hacia abajo un política en un momento, en un intento para que coincida con la petición de acceso de cliente. Si se encuentra una coincidencia, el proceso se detiene, incluso si una coincidencia más específica se puede encontrar más baja en el orden de procesamiento. Esta es una consideración importante. Al configurar el orden de las directivas de solicitud de conexión y las políticas de red, asegúrese de que las políticas más generales se encuentran por debajo de las políticas más específicas en el orden de procesamiento.noteNoteNPS puede omitir el procesamiento de algunas políticas si la solicitud de acceso contiene un atributo de origen. Para obtener más información, vea Consideraciones generales sobre el diseño de políticas en la Guía de Acceso a la Red de Diseño Protección.

Sea o no encuentra una coincidencia para la solicitud de acceso de cliente, NPS envía los resultados de vuelta al punto de cumplimiento NAP, que informa al equipo cliente de los resultados y luego concede o deniega el acceso de red basado en los resultados.Acceso de los clientes solicitud de envío

Los siguientes componentes del cliente afecta a la presentación de solicitud de acceso:

El servicio Agente NAP.

El servicio Agente NAP actúa como un puente entre los agentes del sistema de salud (SHA) y un cliente de cumplimiento. Si el servicio Agente NAP no está funcionando, entonces el cliente de cumplimiento no proporcionará información sobre la salud del cliente cuando el equipo hace una solicitud de acceso a la red. Esto típicamente resulta en el equipo cliente que se evalúa por NPS como no compatible con NAP. Este problema puede producirse si el servicio Agente NAP no se ha iniciado aún cuando la computadora está autenticado, como puede ocurrir después de un ordenador se ha reiniciado. También puede ocurrir si el servicio Agente NAP ha sido deshabilitado o no tiene permiso para comenzar.

Shas.

SHA monitorear e informar sobre el estado de salud del cliente. En otras palabras, mantener control sobre la configuración del equipo cliente y presentará un nuevo informe de mantenimiento cuando los cambios de configuración o cuando el informe de mantenimiento anterior ha expirado. SHA puede funcionar con los servicios en el equipo para controlar la configuración. Por ejemplo, el agente de seguridad de Windows (WSHA)

que se incluye con Windows 7, Windows Vista ® y Windows XP con Service Pack 3 (SP3) utiliza el servicio Centro de seguridad para controlar la salud del cliente. A SHA debe estar registrado con el Agente NAP para comunicar con éxito, y debe ser inicializado para proporcionar un informe de mantenimiento. A SHA intentará proporcionar un informe de mantenimiento si el correspondiente sistema de salud validador (SHV) está habilitado en una política de salud en NPS. Si un SHA no es capaz de proporcionar un informe de mantenimiento para el servicio Agente NAP, el equipo cliente se considerará no conforme si que SHA es requerido por la política de red. Esto puede ocurrir con el WSHA, por ejemplo, si el servicio del Centro de seguridad no se ha iniciado. También puede ocurrir si un SHA no está registrado correctamente o iniciado.

Aplicación de los clientes.

Aplicación de los clientes son responsables de comunicarse con los componentes de servidor NAP. Ellos reciben una lista de SoH desde el Agente NAP y envíe esta lista como un solo encapsulado SoH al punto de cumplimiento NAP. El cliente de cumplimiento NAP también pueden ser responsables de la aplicación de las condiciones de acceso a la red. Por ejemplo, el cliente de cumplimiento IPsec (IPsec Depender del Partido) es responsable de eliminar certificados sanitarios del almacén de certificados del cliente cuando el cliente se convierte en incumplimiento con los requisitos de salud o cuando expira el certificado sanitario. Al habilitar un cliente de cumplimiento, sino que también debe ser inicializado antes de que funcione.

note Note Cuando se utiliza el cliente netsh nap comando show estado en equipos que ejecutan Windows Vista sin ningún Service Pack instalado, el estado de un cliente de cumplimiento podría ser visualizada en forma incorrecta como no inicializado. Revise los eventos del cliente de NAP para determinar si el cliente de cumplimiento se inicializa. Si un cliente de cumplimiento NAP no está habilitado e inicializado, el equipo cliente NAP no proporcionará su estado de salud como parte de la solicitud de acceso a la red. Esto puede resultar en el equipo cliente siendo evaluado por NPS como-no-NAP capaz. Este problema puede ocurrir si ha habilitado una aplicación cliente en la configuración del cliente NAP locales y otros ajustes de configuración del cliente NAP en la directiva de grupo. En este caso, los ajustes locales serán ignorados.

NAP punto de aplicación de reenvío a NPS

Los siguientes factores afectan el reenvío de punto de cumplimiento NAP NAP de las solicitudes de acceso de cliente:

Desvío de configuración.

Si el punto de cumplimiento NAP también sirve como un servidor de directivas de mantenimiento NAP, entonces no hay ninguna configuración de reenvío. El punto de aplicación de NAP siempre tendrá una configuración de reenvío de si se trata de un dispositivo de red compatible con 802.1X acceso, tal como un conmutador o punto de acceso inalámbrico. En este caso, el reenvío está configurado en la autenticación, autorización y contabilidad (AAA) ajustes en el dispositivo. Si está utilizando NAP con la

aplicación de VPN, el punto de aplicación puede ser un servidor que ejecuta el Servicio de enrutamiento y acceso remoto (RRAS). NPS puede ser instalado en este servidor, pero no es necesario. Si está utilizando NAP con IPsec ejecución o ejecución DHCP, NPS siempre se instalará en el punto de cumplimiento NAP. Si NPS en este dispositivo no está configurado para reenviar las peticiones de autenticación a un grupo de servidores remotos RADIUS, la autenticación se puede realizar en el punto de aplicación de NAP. Esto puede causar un problema si usted no tiene directivas NAP configurado en este servidor NPS porque se espera que transmita la solicitud de autenticación. Este problema por lo general resulta en la negación de las solicitudes de acceso de cliente de NAP.

NAP ajuste.

Cuando se utiliza la aplicación de NAP con IPsec, aplicación de VPN, DHCP o la ejecución y el punto de aplicación no está en el mismo servidor que el servidor de directivas de mantenimiento NAP, debe configurar los ajustes de cliente RADIUS. Además de la configuración estándar, como la dirección IP y el secreto compartido, un cliente de RADIUS se utiliza con NAP deben configurarse como NAP. Si ha utilizado el Asistente para configuración de NAP se utiliza para configurar el cliente RADIUS, esta configuración puede ser pasado por alto, ya que no se muestra en la interfaz. Para configurar esta opción, usted debe ver las propiedades de cliente RADIUS en la consola NPS. El uso de un cliente RADIUS que no está configurado como NAP produce resultados diferentes para cada uno de los métodos de cumplimiento NAP. Por ejemplo, los servidores HRA que se han configurado para ser compatible con NAP no va a solicitar un certificado de salud de una CA NAP.

Autenticación del cliente.

Si el punto de aplicación de NAP es un servidor HRA, entonces la autenticación de cliente también puede ser una consideración. Para el PAN con 802.1X y VPN métodos de aplicación, se produce la autenticación de NPS. La autenticación del cliente no se utiliza para el PAN con el método de la imposición DHCP. HRA utiliza Internet Information Services (IIS) para autenticar equipos cliente NAP a través de un sitio Web que aloja un servidor de Internet Application Programming Interface (ISAPI) para procesar HTTP / HTTPS. Si se utiliza HTTPS, entonces HRA se debe configurar con una capa válida de sockets seguros (SSL). Problemas de autenticación puede ocurrir si el cliente no utiliza la correcta configuración del grupo de servidores de confianza. Por ejemplo, si los registros SRV de DNS están configurados para descubrimiento automático HRA, estos registros debe utilizar el nombre de dominio completo (FQDN) del servidor HRA o autenticación SSL fallará.

NPS análisis y respuesta a la solicitud de acceso de cliente

Los siguientes factores afectan el análisis de fuentes de energía nuclear y la respuesta a las peticiones de acceso de cliente de NAP:

Clientes y servidores RADIUS.

Si los clientes RADIUS o grupos de servidores RADIUS remotos están configurados, esto puede afectar la capacidad de las fuentes de energía nuclear para responder a las

peticiones de acceso de cliente de NAP. Por ejemplo, si un cliente RADIUS se desactiva o utiliza un secreto compartido erróneo, entonces los equipos cliente NAP que el acceso petición de que el cliente RADIUS se le negará acceso a la red.

Conexión directiva de solicitud y la configuración política de la red.

Este es quizás el factor más importante para determinar si los equipos cliente de NAP se concede acceso a la red, y qué tipo de acceso se concede. El registro de eventos NPS proporciona información detallada sobre el cual se corresponde con la política de solicitud de conexión y que la política de la red cuando un equipo cliente NAP solicita acceso a la red. Solución de problemas de las solicitudes de acceso de cliente requiere un análisis cuidadoso de las condiciones políticas y configuraciones. Por ejemplo, si no cumplen con los equipos cliente NAP se les niega el acceso a la red en lugar de ser concedido acceso a la red restringido, puede ser debido a que la política de la red no cumplen las normas se configura con un valor de denegar el acceso en lugar de Access Grant. Puede parecer contrario a la intuición que los ordenadores no compatibles se concede acceso a la red, pero el acceso debe concederse de manera que puedan remediar su salud y ser obediente.

Política de salud y la configuración de SHV.

SHV definir los requisitos de configuración para los equipos que intentan conectarse a la red. Las políticas de salud definen qué SHV son evaluados, y cómo se utilizan en la validación de la configuración de los equipos que intentan conectarse a la red. Con base en los resultados de las comprobaciones de SHV, las políticas sanitarias clasificar el estado de salud del cliente. Las políticas de salud y SHV puede afectar PAN peticiones de acceso de cliente de la misma manera que las políticas de solicitud de conexión de red y políticas afectan el acceso. Por ejemplo, si configura una política de salud no compatible con el cliente reportado como infectado por uno o más antivirus SHV SHV cheque y el SHA antivirus no proporciona información del estado infectado como parte de la SoH, el acceso a la red de los equipos cliente infectado no ser restringido.

Remediación grupo de servidores y la configuración de URL solución de problemas.

El servidor de actualizaciones de configuración de grupo se utiliza para el PAN con la aplicación de VPN y el PAN con métodos de cumplimiento DHCP. Una configuración de URL de solución de problemas se utiliza con todos los métodos de aplicación, y se puede personalizar con el tipo de incumplimiento denunciado por un equipo cliente. Cuando se utiliza con la aplicación de NAP VPN, debe configurar al menos un grupo de servidores de remediación o filtro IP para restringir el acceso a la red para los equipos cliente no compatibles.

Contabilidad configuración.

La configuración de NPS contabilidad puede afectar a las solicitudes de acceso de cliente si NPS no puede comunicarse con el servidor de contabilidad. Al configurar una ubicación de contabilidad en otro servidor, NPS dejará de procesar todas las solicitudes de acceso si no es capaz de comunicarse con el servidor de contabilidad. Por esta razón, es típicamente más seguro para configurar los registros de contabilidad en el equipo local.

Requisito Salud servidor de configuración.

Si usted está usando un SHV que obtiene de salud desde un servidor requisito de salud, como la SHV para System Center Configuration Manager, y luego la aprobación de las solicitudes de acceso de cliente de NAP dependerá de la configuración de este servidor. Por ejemplo, se utiliza el System Center Configuration Manager SHV y la salud del sistema validador punto no está en funcionamiento, el acceso a la red de computadoras del cliente de NAP no compatibles no será restringida.

Solicitud de acceso a la red por el punto de cumplimiento NAP

La solicitud de acceso a la red por los puntos de aplicación de NAP se ve afectada por los siguientes factores:

Aplicación de punto de configuración.

El punto de aplicación de NAP debe estar configurado para proporcionar acceso de red completo y restringido, y denegar el acceso a la red, si es necesario. Los requisitos son diferentes, dependiendo del tipo de punto de aplicación y el método de restricción de la red de acceso. Por ejemplo, si NPS indica a un dispositivo de acceso a la red para aplicar una lista de control de acceso (ACL) para equipos que no cumplen, esta ACL debe estar presente en el dispositivo de acceso de red o de acceso a la red no será restringida.

Otros servicios.

Si el punto de cumplimiento NAP depende de otros servicios para proporcionar acceso a la red, estos servicios también pueden afectar cliente NAP acceso a la red. Por ejemplo, si HRA es el punto de cumplimiento NAP, debe ser capaz de ponerse en contacto con una CA NAP para solicitar certificados de salud y problema PAN.

Cliente de remediación

Remediación del cliente depende de lo siguiente:

Remediación de acceso al servidor.

Para que un servidor de actualizaciones para proporcionar actualizaciones a los equipos cliente NAP no compatibles, el servidor debe estar accesible en la red restringida. Por ejemplo, si un servidor de actualizaciones se encuentra en una subred diferente de la subred de los equipos cliente de NAP, debe configurar la opción Router 003 en la clase NAP defecto con la dirección IP de un dispositivo de puerta de enlace que pueden conmutar cliente NAP peticiones DHCP a el servidor de actualizaciones. Si esta opción no está presente o es incorrecto, no cumplen con los equipos cliente NAP será incapaz de remediar su salud.

Aplicación de punto de acceso.

Para que no cumplen con las computadoras cliente de NAP para recuperar el acceso completo a la red después de que hayan remediado su salud, deben tener acceso a un punto de cumplimiento NAP en la red restringida. Por ejemplo, si un servidor DHCP NAP se encuentra en una subred diferente de la subred de los equipos cliente de NAP, debe configurar la opción Router 003 en la clase NAP defecto con la dirección IP de un dispositivo de puerta de enlace que pueden conmutar cliente NAP peticiones DHCP hasta el punto de aplicación. Si esta opción no está presente, los equipos cliente NAP no será capaz de obtener una configuración IP nueva cuando se complete el proceso de reparación.

Problemas de Red de protección de acceso ululantes GuíaEste tema aún no ha sido valorado - Valorar este tema

Actualizado: 29 de marzo 2012

Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012

Esta guía proporciona información para la solución de Protección de acceso a redes (NAP) en Windows Server 2008 R2, Windows 7, Windows Server ® 2008, Windows Vista ® y los sistemas operativos Windows XP. Está diseñado para ayudar a identificar y resolver los problemas que puedan estar relacionados con el PAN.En esta guía

Esta guía está pensada para su uso por un administrador de red o sistema. La guía proporciona información orientada a tareas para ayudar a identificar y resolver los problemas rápidamente. Use esta guía para ayudarle en el desempeño de análisis de causa raíz de los incidentes y problemas con los componentes de una infraestructura de NAP. Antes de leer esta guía, usted debe tener una buena comprensión de la forma de trabajar del PAN y cómo se ha implementado en su organización. En los siguientes temas se incluyen en esta guía:

Un problema con acceso a la intranet o la detección de ubicación de red (la infraestructura de Direct Access)

Consulte Problemas con conexiones de Direct Access o problemas de fijación con Detección de ubicación de red en la Guía de solución de problemas de Direct Access.

Para un cliente de Direct Access en Internet, una forma fácil de separar un problema NAP de un problema Direct Access es para determinar si el cliente cumple. Puede realizar esta comprobación con lo siguiente:

Ejecute el cliente netsh nap comando show estado en un símbolo del sistema. Si el estado de la restricción en la sección de estado del cliente no está restringido, el cliente está conforme.

Utilice el complemento Certificados para comprobar si hay un certificado de salud en el Personal \ Certificados del equipo local almacén de certificados. Si existe un certificado de salud, el cliente está conforme.

Si está utilizando el modo de cumplimiento total, un cliente que no cumple no será capaz de acceder a la intranet.

Si el cliente no cumple, use Solución de problemas del PAN para determinar la causa raíz del problema NAP validación de salud.

Si el cliente no cumple porque no puede llegar a las HRA y servidores de actualizaciones de la intranet, vea cliente de Direct Access no puede establecer túneles al servidor de Direct Access. Por ejemplo, si el acceso a la red de Protección ventana de mensaje establezca este equipo no cumple con los estándares de seguridad definidos por el administrador de red, pero no contiene ninguna información sobre la condición de error, el cliente de Direct Access no puede llegar a la HRA de la intranet.

Si el cliente está conforme pero no pueden acceder a recursos de la intranet que no sean los HRA y servidores de actualizaciones, consulte el cliente de Direct Access no puede establecer túneles al servidor de Direct Access.

Para obtener más información acerca de las herramientas de solución de problemas PAN PAN y practicar problemas de validación de salud en un laboratorio de pruebas, consulte la Guía de Laboratorio de prueba: Resolución de problemas de Direct Access con NAP (http://go.microsoft.com/fwlink/?LinkId=193603).

Guía básica de aprendizaje de DirectAccessPersonas que lo han encontrado útil: 1 de 1 - Publicada: noviembre de 2009Actualizado: febrero de 2011Se aplica a: Windows Server 2008 R2DirectAccess en Windows Server 2008 R2 y Windows 7 permite a los usuarios remotos obtener acceso seguro a recursos compartidos, sitios web y aplicaciones empresariales sin necesidad de conectarse a una red privada virtual (VPN). DirectAccess establece una conectividad bidireccional con la red empresarial de un usuario cada vez que el equipo portátil habilitado para DirectAccess de un usuario se conecta a Internet, incluso antes de que el usuario inicie sesión. Los usuarios no tienen que preocuparse de conectarse a la red empresarial y los administradores de TI pueden administrar los equipos remotos fuera de la oficina, incluso cuando los equipos no están conectados a la VPN.Si no tiene experiencia en DirectAccess, este tema puede ayudarle a identificar lo que necesita aprender para comprender perfectamente cómo implementar y solucionar problemas de DirectAccess. Incluye temas sobre requisitos previos que abarcan diversos aspectos fundamentales de redes y la infraestructura de TI. Primero debe comprender las tecnologías que son requisitos previos, ya que DirectAccess se basa en ellas y da por supuesto que las comprende. Después, puede empezar a obtener información sobre DirectAccess a través de los recursos de las secciones de nivel 100 (introductorio), 200 (intermedio) y 300 (avanzado).Es aconsejable leer los temas en el orden indicado. Requisitos previos

http://go.microsoft.com/fwlink/?LinkId=193603

Nivel 100 Nivel 200 Nivel 300

Requisitos previosEsta sección contiene vínculos a diversos recursos que contienen la información de fondo que necesita para comprender totalmente cómo funciona DirectAccess.Paso 1: obtener información sobre la arquitectura de TCP/IP.

Vea el capítulo 2 sobre información general sobre la arquitectura del conjunto de protocolos TCP/IP de los aspectos fundamentales de TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153192) (puede estar en inglés).

El objetivo es comprender los conceptos básicos de la arquitectura de la pila de TCP/IP por niveles y los protocolos clave del conjunto TCP/IP incluidos el protocolo de Internet versión 4 (IPv4), el protocolo de Internet versión 6 (IPv6), el protocolo de mensajes de control de Internet (ICMP), ICMP para IPv6 (ICMPv6), el protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP).Paso 2: obtener información sobre las direcciones IPv6.

Vea el capítulo 3 sobre direccionamiento IP de los aspectos fundamentales de TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153193) (puede estar en inglés).

El objetivo es comprender la sintaxis y el tamaño de las direcciones IPv6, los diferentes tipos de direcciones y la forma de expresar intervalos de direcciones.Paso 3: obtener información sobre el reenvío y enrutamiento de IPv6.

Vea el capítulo 5 acerca de enrutamiento IP (http://go.microsoft.com/fwlink/?linkid=153197) y el capítulo 10 acerca de la entrega de un extremo a otro de TCP/IP (http://go.microsoft.com/fwlink/?linkid=153198) de los aspectos fundamentales sobre TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153198) (pueden estar en inglés).

El objetivo es entender cómo IPv6 emplea tablas de enrutamiento para enviar o reenviar paquetes y los detalles de los procesos de entrega de un extremo a otro de IPv6.Paso 4: obtener información sobre las tecnologías de transición IPv6.

Vea el capítulo 15 acerca de tecnologías de transición IPv6 de los aspectos fundamentales de TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153199) (puede estar en inglés).

El objetivo es entender cómo funcionan las tecnologías de transición IPv6 ISATAP (Intra-Site Automatic Tunnel Addressing Protocol), 6to4 y Teredo.

Paso 5: obtener información sobre el funcionamiento del protocolo de seguridad de Internet (IPsec) para ayudarle a proteger el tráfico de red.

Vea el capítulo 13 acerca del protocolo de seguridad de Internet y filtrado de paquetes de los aspectos fundamentales sobre TCP/IP de Windows (http://go.microsoft.com/fwlink/?linkid=153200) (puede estar en inglés).

El objetivo es comprender el rol de IPsec, las diferencias entre los modos de túnel y transporte, las diferencias entre el modo principal y el modo rápido, los tipos de negociaciones de seguridad de IPsec y los protocolos que se usan para implementar la protección de IPsec. Paso 6: obtener información sobre cómo crear una infraestructura de clave pública (PKI) con Servicios de certificados de Active Directory (AD CS).

DirectAccess necesita una PKI para emitir certificados digitales para los clientes y servidores de DirectAccess. Si aún no tiene una PKI, puede implementar una con AD CS. Vea la página sobre cómo diseñar una infraestructura de clave pública (http://go.microsoft.com/fwlink/?LinkId=169425) (puede estar en inglés).

El objetivo es entender cómo se implementa una PKI, configurar la inscripción automática de certificados, solicitar certificados personalizados y configurar los puntos de distribución de la lista de revocación de certificados (CRL).Paso 7: Aprenda a crear sitios web de protocolo de transferencia de hipertexto (HTTP) y sitios web HTTP seguros (HTTPS) con Internet Information Services (IIS).

DirectAccess requiere que los servidores web hospeden un sitio web de intranet basado en HTTPS y puntos de distribución de CRL en Internet y en la intranet. Si no dispone todavía de servidores web, puede implementar IIS. Vea el tema de la guía de implementación de IIS 7 (http://go.microsoft.com/fwlink/?LinkId=166752).

El objetivo es entender cómo se configuran los sitios web con IIS, incluidos los enlaces de certificado y los sitios basados en HTTPS.Paso 8 (opcional): Aprenda a usar el método de cumplimiento NAP (Protección de acceso a redes) para IPsec.

DirectAccess se puede configurar con el método de cumplimiento NAP para IPsec con el fin de permitir el acceso a la intranet solo cuando un cliente DirectAccess cumple con los requisitos de mantenimiento del sistema. Vea las notas del producto relativas al cumplimiento del protocolo de seguridad de Internet en la plataforma de Protección de acceso a redes (http://go.microsoft.com/fwlink/? LinkId=169427) (puede estar en inglés).

El objetivo es entender cómo funciona el método de cumplimiento NAP para IPsec con el fin de exigir la evaluación del mantenimiento del sistema para las comunicaciones protegidas por IPsec.

Nivel 100Los siguientes recursos contienen información introductoria acerca de DirectAccess.Paso 1: obtener información sobre las ventajas de DirectAccess.

Vea las páginas relativas a la descripción general de nivel ejecutivo de DirectAccess para Windows 7 y Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=137755) y la demostración de DirectAccess para Windows 7 Enterprise (http://go.microsoft.com/fwlink/?LinkId=169437) (pueden estar en inglés).

El objetivo es entender las ventajas comerciales de Direct Access.Paso 2: obtener información sobre los componentes de Direct Access.

Vea la página sobre información técnica de DirectAccess en Windows 7 y Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=137754) (puede estar en inglés).

En este documento se describen las tecnologías que se emplean para crear la solución Direct Access.

El objetivo es entender los modelos de acceso, las conexiones, la seguridad, la conectividad, los requisitos y la integración con NAP de Direct Access.Paso 3: ver una comparación de DirectAccess con otras soluciones VPN.

Vea la página sobre acceso remoto de nueva generación con DirectAccess y VPN (http://go.microsoft.com/fwlink/? LinkId=152702) (puede estar en inglés).

En este documento se describen las ventajas de DirectAccess con respecto a las VPN, escenarios donde las VPN siguen siendo necesarias, y cómo se puede usar DirectAccess y VPN conjuntamente.

El objetivo es entender la relación entre DirectAccess y las soluciones para VPN de acceso remoto.

Nivel 200Los siguientes recursos contienen información de nivel intermedio acerca de DirectAccess.Paso 1: obtener información sobre cómo crear un diseño efectivo para una implementación de DirectAccess.

Vea las páginas relativas a la guía de diseño de DirectAccess (http://go.microsoft.com/fwlink/?LinkID=161985) y a la guía de planeación y diseño de infraestructuras (IPD) para DirectAccess (http://go.microsoft.com/fwlink/?LinkID=163945) (pueden estar en inglés). Para DirectAccess en Microsoft Forefront Unified Access Gateway (UAG), vea la página sobre la guía de diseño de DirectAccess de Forefront UAG (http://go.microsoft.com/fwlink/? LinkId=179988) (puede estar en inglés).

En estos documentos se describen las consideraciones de diseño para que DirectAccess pueda cumplir los requisitos de conectividad y seguridad de la organización.

El objetivo es entender los distintos modelos de acceso, los elementos y requisitos de infraestructura, y cómo planear los diversos servidores necesarios para una implementación de DirectAccess.Paso 2: obtener información sobre cómo configurar un servidor de DirectAccess con el asistente para configuración de DirectAccess.

Vea el vídeo de difusión por web sobre la configuración de DirectAccess (http://go.microsoft.com/fwlink/?LinkId=169434) (puede estar en inglés).

Esta difusión por web demuestra cómo usar el Asistente para instalación de DirectAccess y cómo funcionan la conectividad del cliente DirectAccess y la administración remota.

El objetivo es entender los pasos del asistente para configuración de DirectAccess y la conectividad bidireccional resultante de los clientes de DirectAccess.Paso 3: demostrar DirectAccess en un laboratorio de prueba.

Vea la guía del laboratorio de pruebas para la demostración de DirectAccess en http://go.microsoft.com/fwlink/?Linkid=150613.

Este documento contiene procedimientos en los que se muestra cómo configurar DirectAccess en un entorno de laboratorio de prueba simplificado.

El objetivo es entender los diferentes elementos de una implementación de DirectAccess y su configuración, y experimentar el funcionamiento de DirectAccess en un laboratorio de pruebas para distintos tipos de conexiones a Internet.Paso 4: obtener información sobre cómo implementar su diseño para DirectAccess.

Vea la página de la guía de implementación de DirectAccess (http://go.microsoft.com/fwlink/?LinkId=166398) (puede estar en inglés). Para DirectAccess en Microsoft Forefront UAG, vea la página relativa a la guía de implementación de DirectAccess en Forefront UAG (http://go.microsoft.com/fwlink/? LinkId=179989) (puede estar en inglés).

En estos documentos se describe cómo implementar el diseño de DirectAccess con listas de comprobación y procedimientos detallados paso a paso.

El objetivo es comprender cómo satisfacer los requisitos de infraestructura y configurar el servidor de DirectAccess y otros servidores de infraestructura para implementar el diseño de DirectAccess.Paso 5: obtener información sobre la solución de problemas básica para DirectAccess.

Vea la página relativa a la guía de solución de problemas de DirectAccess (http://go.microsoft.com/fwlink/?LinkId=165904) (puede estar en inglés).

En este documento se describen las herramientas de solución de problemas de DirectAccess y las técnicas generales para diagnosticar y resolver problemas comunes de implementación y conectividad de DirectAccess.

El objetivo es entender las herramientas, la metodología general y los tipos de problemas que pueden producirse al configurar el servidor de DirectAccess y realizar las conexiones de DirectAccess.Paso 6: solución de problemas de DirectAccess en un laboratorio de pruebas.

Vea la guía del laboratorio de pruebas para la solución de problemas de DirectAccess en http://go.microsoft.com/fwlink/?LinkId=181160.

En este documento se hace una lista de las herramientas de solución de problemas de DirectAccess, se muestran los resultados de las herramientas en un laboratorio de pruebas de DirectAccess y se ofrece orientación para solucionar problemas comunes en el entorno controlado del laboratorio de pruebas de DirectAccess.

El objetivo es aprender a usar las herramientas y técnicas de solución de problemas de DirectAccess trabajando en un conjunto de escenarios de solución de problemas de DirectAccess.Paso 7 (opcional): aprender a implementar DirectAccess con NAP.

Vea la DirectAccess with Network Access Protection (NAP).

En este recurso se describe cómo implementar DirectAccess con NAP para exigir los requisitos de mantenimiento del sistema antes de permitir el acceso a la intranet a los clientes DirectAccess.

El objetivo es entender las ventajas comerciales, los requisitos de infraestructura, las fases de implementación y las técnicas de solución de problemas para una solución de DirectAccess con NAP.

Nivel 300Los siguientes recursos contienen información avanzada acerca de DirectAccess.Paso 1: obtener información detallada sobre los protocolos y paquetes IPsec, y sobre cómo los procesa Windows.

Vea el capítulo 18 sobre el protocolo de seguridad de Internet (IPsec) del libro de Microsoft Press acerca de protocolos y servicios TCP/IP de Windows Server 2008 (http://go.microsoft.com/fwlink/?linkid=153195) (puede estar en inglés).

En este capítulo se proporcionan detalles de los protocolos IPsec y se analiza la estructura de los paquetes IPsec.

El objetivo es comprender los diferentes tipos de encabezados y finalizadores de IPsec, los intercambios de mensajes y el procesamiento de paquetes protegidos por IPsec.Paso 2: obtener información detallada del protocolo IP-HTTPS.

Vea la página sobre la especificación del protocolo de túnel IP sobre HTTPS (IP-HTTPS) (http://go.microsoft.com/fwlink/? linkid=157309) (puede estar en inglés).

Esta especificación define el protocolo de Internet sobre protocolo seguro de transferencia de hipertexto (IP-HTTPS), que los clientes de DirectAccess emplean para intercambiar paquetes IPv6 con el servidor de DirectAccess cuando no pueden usar 6to4 o Teredo.

El objetivo es entender los diferentes tipos de mensajes IP-HTTPS, los intercambios de mensajes y los detalles de protocolos para el cliente IP-HTTPS (el cliente DirectAccess) y el servidor de IP-HTTPS (el servidor de DirectAccess).

Direct Access

Documents

Transcript of Direct Access