DirectAccess

La informacin existe en casi toda su organizacin, en servidores, equipos porttiles, equipos de escritorio, dispositivos extrables y en los correos electrnicos. Los usuarios deben ser capaces de acceder a esta informacin desde cualquier lugar, compartirlo en su caso, y lograr la mxima productividad con los activos que poseen. Para complicar an ms las cosas, la adopcin de cloud computing significa que debe ser capaz de asegurar las aplicaciones empresariales que ya no viven en su centro de datos. Para hacer frente a estas necesidades de informacin y retos, las organizaciones tienen que hacer cambios fundamentales en la forma en que se acercan a la identidad y la seguridad. Windows Server 2012 le ayuda a adaptarse a estos cambios a travs de mejoras significativas en Active Directory, la introduccin del control de acceso dinmico y emocionantes nuevas capacidades y opciones de implementacin para Direct Access. Con las nuevas capacidades de Windows Server 2012, usted ser capaz de gestionar y proteger mejor acceso a los datos, simplificar el despliegue y la gestin de su infraestructura de identidad, y proporcionar un acceso ms seguro a los datos desde cualquier lugar. Windows Server 2008 Express: Acceso y Administracin de Energa El trabajo con Direct Access Administrar el consumo de energa a travs de la funcin de administracin de energa Guin Direct Access es una tecnologa que permite a los usuarios que estn fuera de la red corporativa para tener acceso a la red corporativa sin necesidad de establecer conexiones VPN. El equipo cliente establece automticamente una conexin segura, conexin permanente a la red corporativa, permitiendo que el cliente se comporte como si fuera de la red corporativa, independientemente de su ubicacin. Direct Access tambin permite a los administradores administrar los equipos cliente que estn fuera de la red corporativa de la misma manera se las arreglan los equipos de la red corporativa. Esta demostracin muestra cmo algunas de las caractersticas de consumo de energa nuevas de Windows Server 2008 R2 y Windows 7 puede ayudar a reducir el costo operativo general de TI mediante la reduccin de la potencia necesaria para ejecutar los servidores y equipos de sobremesa. La demo analiza las caractersticas tales como Windows Server 2008 R2 y Windows 7 Administracin de energa mediante la directiva de grupo y anlisis de poder. Algunas de estas polticas se aplican a Windows Vista. Equipos que se utilizan en esta prctica: DEN-CLI-01 DEN-DC-01 DEN-DA-01 Home Router

Aumento de la productividad de los usuarios remotos utilizando DirectAccess Guin DirectAccess es una tecnologa que permite a los usuarios que estn fuera de la red corporativa para tener acceso a la red corporativa sin necesidad de establecer conexiones VPN. El equipo cliente establece automticamente una conexin segura, conexin permanente a la red corporativa, permitiendo que el cliente se comporte como si fuera de la

red corporativa, independientemente de su ubicacin. DirectAccess tambin permite a los administradores administrar los equipos cliente que estn fuera de la red corporativa de la misma manera se las arreglan los equipos de la red corporativa.

Tarea 1: Uso de Direct Access Complete esta tarea en: DEN-CLI-01 Nota: En esta demostracin yo te voy a mostrar una de las nuevas tecnologas diseadas para simplificar la vida de un usuario remoto, y de un administrador que tiene que gestionar un usuario remoto. Direct Access es una nueva tecnologa que permite ordenador de un usuario remoto para ser conectado a la red de la empresa en todo momento, sin necesidad de especiales conexiones VPN. He aqu un escenario bsico que la mayora de la gente ha enfrentado. Hay que trabajar en un documento cuando no estn en la red de la empresa, slo para descubrir que necesitan tener acceso a los recursos corporativos. En este ejemplo, nuestro usuario, Bob, est trabajando en un proyecto de servidor de reduccin de potencia. l est en la oficina y se abre un correo electrnico con un enlace a un informe de consumo de energa. Una. Abrir c: \ DemoFilesCD \ Email.RTF utilizando WordPad. Nota: Es importante utilizar WordPad para asegurar que las funciones de enlace integrados. b. Haga clic en el enlace del correo electrnico y, a continuacin, haga clic en S. Nota: La carpeta compartida se abre. Esto se debe a que est conectado a la red corporativa directamente. c. Cierre la carpeta compartida Corp. Nota: Bob decide entonces ir a casa y trabajar en el informe. Para ello tenemos que cambiar su direccin IP, y lo puso en una red diferente. d. Haga clic en Inicio, y escriba ncpa.cpl para abrir la ventana de conexiones de red e. Haga clic derecho en Conexin de rea local y haga clic en Habilitar f. Espere unos minutos para permitir la conexin a ser plenamente activo, y luego ir a Inicio y escriba cmd y presione ENTRAR. g. En la ventana comando ipconfig tipo y observe la direccin IPv4 para la conexin de rea local que acaba de activar. Recuerde que la direccin IP es exacta. h. En la ventana Conexiones de red, haga clic derecho sobre DemoCorpNet y haga clic en Desactivar i. Haga clic derecho sobre Den-CLI-01 y haga clic en Desconectar del servidor

j. En la ventana RemoteDesktop conexiones, haga clic en Escritorios remotos k. Haga clic en Agregar servidor y escriba la direccin IPv4 (debe estar cerca de 172.16.__.__) y haga clic en Aceptar. l. Haga doble clic en la direccin IP para conectarse. Nota: Ahora Bob abre el correo electrnico y haga clic en el vnculo con el informe, pero no puede acceder a l. nica opcin real de Bob ahora es establecer una conexin VPN, en el supuesto que puede. m. Abrir c: \ DemoFilesCD Email.RTF. n. Haga clic en el enlace del correo electrnico y, a continuacin, haga clic en S. Nota: La carpeta compartida no se abren. Esto se debe a que est conectado a la red domstica. Puede tomar unos minutos para que la conexin falle. Bob llama a su servicio de asistencia y explica la situacin. Bob empresa ha implementado DirectAccess y el administrador decide que Bob es un candidato perfecto, as se mueve la cuenta de equipo para el ordenador porttil de Bob a la unidad organizativa que contiene el grupo de objetos de directiva de configuracin de DirectAccess. o. Cambiar a DEN-DC-01 p. En el men Inicio, seleccione Herramientas administrativas / Usuarios y equipos. q. Expanda Objetos administrados para revelar Pilot DA. r. Desplcese hasta el contenedor Equipos. s. Arrastre DEN-CLI-01 desde ordenadores a Pilot DA. Nota: Si coloca la computadora en esta OU asegura el equipo recibir la poltica de configuracin de DA. t. Haga clic en S. u. Abra un smbolo del sistema y ejecute gpupdate / force Nota: Ahora todos Bob tiene que hacer es refrescar la directiva del equipo la prxima vez que est en la oficina. Vamos a hacerlo ahora. v Haga clic en Inicio, y escriba ncpa.cpl para abrir la ventana de conexiones de red w. Haga clic derecho sobre DemoCorpNet y haga clic en Habilitar x. Haga clic derecho en Conexin de rea local y haga clic en Desactivar y. Haga clic derecho sobre 172.16.__.___ y haga clic en Desconectar del servidor

z. En la ventana Remote Desktop conexiones, haga doble clic en DEN-CLI-01 y haga clic en Conectar. Nota: Puede tardar unos minutos para que esto funcione, le doy 5 minutos si no se puede conectar al principio. DA lleva unos pocos minutos para negociar asociaciones de seguridad. Por lo general, usted tendr que esperar aproximadamente 30 segundos despus de ejecutar la secuencia de comandos para las conexiones de la Agenda para que se establezcan. Usted se estar preguntando qu se est haciendo. Direct Access utiliza una combinacin de IPv6 y IPSec para establecer un nivel de equipo, conexin segura de ordenador porttil de Bob para el servidor de Direct Access corporativa. Todo lo que se requiere es la conectividad IP. Direct Access soporta IPv6 Teredo, nativas y tecnologas 6over4. Se puede ver que las asociaciones de seguridad se establece automticamente, y al hacer ping a un servidor interno, IPv6 utiliza. aa. Haga clic en Inicio, escriba CMD y, a continuacin, presione ENTRAR. bb. Escriba ping DEN-DC-01 Nota: Usted recibir cuatro respuestas desde el adaptador ISATAP IPv6 para Woodgrovebank.com. Bob est de vuelta a casa, como se puede ver. Ahora, cuando Bob se abre el documento y hace clic en el enlace, DirectAccess se asegura de que su equipo se comporta como si fuera fsicamente en la red corporativa y simplemente se abre la carpeta compartida, sin necesidad de acceso a una VPN o cualquier accin por parte de Bob. cc. Abrir c: \ DemoFilesCD \ Email.RTF. dd. Haga clic en el enlace del correo electrnico y, a continuacin, haga clic en S. Nota: La carpeta compartida se abre. Si falla la conexin, espere un momento y vuelva a intentarlo. Si falla una segunda vez, reinicie el equipo. Una de las caractersticas ms potentes de DirectAccess es que como lo expresa equipos remotos de la red corporativa, sus tecnologas de gestin tradicionales simplemente funciona. Aqu est un ejemplo de un GPO de nivel de equipo que se aplica al equipo, tal y como si se tratara de un equipo local en la LAN. Adems, puede utilizar Administracin de equipos para administrar los equipos que se encuentran fuera del firewall conectado a travs de DirectAccess. ee. En la mquina virtual de DEN-DC-01, haga clic en el men Inicio, seleccione Herramientas administrativas / Administracin de directivas de grupo. ff. Expandir objetos administrados. gg. Vaya a los objetos de directiva de grupo. hh. Arrastre el ordenador personal la poltica de la administracin a la OU DA piloto para

vincular la poltica. ii. Haga clic en Aceptar. jj. Bajo Pilot DA, haga clic en Administracin de Home PC y, a continuacin, haga clic forzadas. kk. En la mquina virtual de DEN-CLI-01, haga clic en Inicio, escriba cmd y, a continuacin, presione ENTRAR. ll. Escriba gpupdate / force / target: computer y presione ENTRAR. Nota: Directiva de grupo se actualizar. Un nuevo acceso directo aparecer en el escritorio del equipo cliente. mm. En la mquina virtual de DEN-DC-01, haga clic en el men Inicio, haga clic en Herramientas administrativas / Administracin de equipos. nn. En Administracin de equipos, haga clic en el men Accin, haga clic en Conectar con otro equipo. oo. Tipo de DEN-CLI-01 y despus haga clic en Aceptar. Nota: Administracin de equipos se conectan a la computadora cliente, a pesar de que el equipo est fuera del firewall. En esta demostracin se muestra cmo se puede utilizar DirectAccess para simplificar la experiencia de los usuarios remotos, darles ms flexibilidad para acceder a los recursos corporativos, y retener a directores sobre los ordenadores que utilizan. Nuevo! Haz clic en las palabras anteriores para editar y ver traducciones alternativas. Descartar
Reduccin del coste operacional mediante la administracin de energa en Windows Server 2008 R2 Guin Esta demostracin muestra cmo algunas de las caractersticas de consumo de energa nuevas de Windows Server 2008 R2 y Windows 7 puede ayudar a reducir el costo operativo general de TI mediante la reduccin de la potencia necesaria para ejecutar los servidores y equipos de sobremesa. La demo analiza las caractersticas tales como Windows Server 2008 R2 y Windows 7 Administracin de energa mediante la directiva de grupo y anlisis de poder. Algunas de estas polticas se aplican a Windows Vista.

Tarea 1: Ahorro de energa con Windows Server 2008 R2 Complete esta tarea en: DEN-DC-01

Nota: En esta demostracin yo te mostrar cmo Windows Server 2008 R2 puede ahorrar dinero al ahorrar energa. Hay varias caractersticas nuevas que se incluyen en Windows Server 2008 R2 que estn especficamente diseados para reducir la huella elctrica tanto del centro de datos y equipos de escritorio. Esta demo se destaca algunas de estas caractersticas. Todos sabemos que la directiva de grupo es la forma ms fcil de gestionar todos los ordenadores de sobremesa. Windows Server 2008 R2 ampla la poltica de grupo para incluir la administracin de energa. Con las versiones anteriores de Windows, es muy difcil establecer una poltica a nivel mundial el consumo de energa para todos los equipos de la red y an ms difcil hacerla cumplir. Windows Server 2008 R2 aprovecha las herramientas de administracin de energa en Windows Vista y Windows 7 para que pueda establecer una poltica de energa de escritorio y hacer que se cumpla para todos los escritorios en su empresa. Echemos un vistazo a cmo hacer esto. una. En el men Inicio, seleccione Herramientas administrativas / Administracin de directivas de grupo. b. En Administracin de directivas de grupo, expanda woodgrovebank.com / Managed Objects / Escritorios verdes y haga clic en Directiva de alimentacin de escritorio. Nota: Esta es una GPO que ha creado anteriormente. Se utiliza para administrar la configuracin de GPO de energa. c. Haga clic en Accin / Editar. d. Expanda Configuracin del equipo / Directivas / Plantillas administrativas / Sistema / Administracin de energa. e. Haga doble clic en Seleccionar un plan de energa activo. Nota: Seale que el plan de energa activo est establecido en ahorro de energa. Ahorro de energa reducir en gran medida el consumo de energa total de un equipo de trabajo mediante la aplicacin de los ajustes ms bajos de energa frente a los ajustes ms altos de rendimiento y hacer cumplir el sueo y los tiempos de espera de pantalla. f. Haga clic en el plan de energa activo de la lista desplegable. Nota: Usted puede rpidamente seleccionar cualquiera de los planes predeterminados de poder. g. Pulse OK y la ventana Seleccionar un plan de energa activo se cerrar. Nota: Ahora echemos un vistazo a cmo esta configuracin de directiva de grupo sencillo se aplica en los clientes.

Tarea 2: Seleccin de un plan de energa Complete esta tarea en: DEN-CLI-01

una. Haga clic en Inicio / Panel de control.

b. En el Panel de control, Hardware y sonido. c. Haga clic en Seleccionar un plan de energa. Nota: El plan de energa actual est equilibrada.

Tarea 3: Uso de la directiva de grupo Complete esta tarea en: DEN-DC-01 una. En el men Inicio, seleccione Herramientas administrativas / Usuarios y equipos. b. Expandir objetos administrados. c. Haga clic Pilot DA. d. Arrastre el objeto de equipo DEN-CLI-01 a los objetos gestionados OU / Desktops Verde. Nota: Al mover la cuenta de equipo se asegura de la poltica de poder es manejado por la directiva de grupo. e. Haga clic en S. Tarea 4: Personalizacin de su Plan de energa Complete esta tarea en: DEN-CLI-01 una. Haga clic en Inicio, escriba CMD y, a continuacin, presione ENTRAR. b. Escriba gpupdate / force y, a continuacin, presione ENTRAR. c. Interruptor para controlar las opciones del panel de energa. Nota: La directiva de energa actual es ahora administrado, y se puso a Ahorro de energa. No slo se puede establecer el plan de energa, tambin se puede personalizar para que no interfiera con el trabajo de un usuario. Dependiendo del trabajo que el usuario est realizando, haciendo cosas como obligar al equipo a dormir cada 10 minutos podra ser contraproducente. Para los usuarios de un centro de llamadas, que a menudo pueden pasar hasta 10 minutos hablando con los clientes y no interactuar con su ordenador, este tipo de ajuste puede tener un impacto negativo. Se pueden personalizar los detalles de un plan de energa, tales como cunto tiempo se debe esperar antes de poner una computadora en un estado de sueo, la misma facilidad que se establece el plan de energa.

Tarea 5: gestin de potencia adicional en el escritorio

Complete esta tarea en: DEN-DC-01 una. En el Editor de administracin de directivas de grupo, haga doble clic en Configuracin del sueo. b. Haga doble clic en Especifique el tiempo de espera del sueo System (Plugged In). c. Haga clic en Habilitada y, a continuacin, en el tiempo de espera de Sleep System (segundos), escriba 1200 y haga clic en Aceptar. Nota: 1200 segundo es igual a 20 minutos. Esos fueron slo dos de las formas que puede utilizar Windows Server 2008 R2 para reducir el coste total de propiedad y la huella de carbono ms estrechamente la gestin de energa en los equipos de escritorio. Qu pasa con el centro de datos? Windows Server 2008 R2 incluye una nueva tecnologa llamada "el aparcamiento central". Esta tecnologa permite que un sistema con mltiples procesadores para poner algunos de los procesadores en un estado de bajo consumo cuando la demanda de aplicacin lo permita. Mediante la transferencia de las solicitudes de una sola CPU en momentos de baja actividad, consumo de energa otro procesadores se pueden reducir considerablemente. Como se puede ver, es muy fcil de configurar las opciones de administracin de energa. Windows 7 y Windows Server 2008 R2 llevarlo an ms lejos y le dar un anlisis detallado de su consumo de energa actual, as como las capacidades de su sistema cuando se trata de la administracin de energa. Estos ajustes pueden ayudar a determinar tanto lo que usted puede hacer para ahorrar energa y si esos valores de energa son realmente efectivas. Esto se hace con una herramienta de lnea de comandos denominada powercfg. d. En el men Inicio, haga clic en Smbolo del sistema. e. En el smbolo del sistema escriba powercfg-Energy Nota: El anlisis por defecto tomar un minuto. Usted puede continuar mientras este se ejecuta. f. En el directorio c: \ DemoFilesCD, haga doble clic energa report.html. Nota: Este es un informe de muestra que se tom en una computadora porttil. g. Desplcese por el informe de alimentacin. Nota: En esta demostracin se mostraron tres maneras diferentes en que el consumo de energa se reduce en Windows Server 2008 R2. Mediante el anlisis del uso de la energa en los equipos de su empresa, as como el control estricto de las polticas de energa para computadoras de escritorio y permitir estacionamiento en grandes procesador multi-CPU de servidores, puede reducir los costos operativos, el consumo de energa, y darse cuenta de un menor TCO de su infraestructura de TI . Para obtener ms informacin acerca de Windows Server 2008 R2 con Service Pack 1 - Descargar versin de prueba gratis, por favor vaya a la siguiente ubicacin Copia CodeCopy CodeCopy Cdigo http://www.microsoft.com/click/services/Redirect2.ashx?CR_CC=200070849

Certificacin: Windows Server 2008 R2, Virtualizacin de Servidores Copia CodeCopy CodeCopy Cdigo http://www.microsoft.com/click/services/Redirect2.ashx?CR_CC=200070816 DirectAccess con Proteccin de acceso a redes (NAP) 15 de 18 puntuado este til - Valorar este tema Publicado: 25 de marzo 2010 Actualizado: 01 de octubre 2010 Se aplica a: Windows Server 2008 R2 La caracterstica DirectAccess en Windows 7 y Windows Server 2008 R2 permite a los equipos cliente de DirectAccess para conectarse directamente a la intranet basadas en los recursos sin la complejidad de establecer una red privada virtual (VPN). El usuario tiene la experiencia misma conectividad tanto dentro como fuera de la oficina. DirectAccess est diseado como una perfecta, siempre en solucin de acceso remoto que elimina la complejidad de usuario, proporciona una gestin sencilla y eficaz y herramientas de configuracin, y no compromete los aspectos de conectividad remota segura. El Network Access Protection (NAP) de Windows Server 2008 R2 y Windows 7 hace cumplir los requisitos de salud mediante el seguimiento y la evaluacin del estado de los equipos cliente cuando intentan conectarse o comunicarse en una red. Los equipos cliente que no cumplan con los requisitos del sistema de salud puede estar provisto de acceso a la red restringida hasta que se actualice su configuracin y puesta en conformidad. DirectAccess se puede utilizar con NAP para verificar que los equipos cliente de DirectAccess satisfacer sus necesidades del sistema de salud antes de permitir el acceso a toda la intranet. Este servidor Windows 2008 R2 solucin es la combinacin de DirectAccess con NAP para proporcionar transparencia, acceso a la intranet para clientes de DirectAccess que cumplan con los requisitos del sistema de salud. Consulte los temas siguientes para obtener informacin adicional sobre esta solucin.

DirectAccess con NAP general Solution 2 de 6 puntuado este til - Valore este tema Publicado: 25 de marzo 2010 Actualizado: 01 de octubre 2010 Se aplica a: Windows Server 2008 R2 DirectAccess proporciona acceso autenticado y protegido a los recursos de la intranet a travs de Internet. Al igual que el acceso remoto tpico de red privada virtual (VPN), los componentes de DirectAccess no garantizan que el cliente de DirectAccess cumple con los

requisitos del sistema de salud antes de obtener acceso a la intranet. Los requerimientos tpicos del sistema de salud puede incluir la verificacin de que el anti-malware est en marcha o el firewall de host habilitado. Los siguientes son los beneficios del uso de DirectAccess con Proteccin de acceso a redes (NAP): Sistema sigan cumpliendo estos requisitos para la itinerancia computadoras Como los equipos cliente de DirectAccess siempre se conectan a los recursos de infraestructura de intranet cuando tienen una conexin a Internet, el sistema de salud est marcada de forma permanente y siempre se sigan cumpliendo. Sistema de control brezo son realizadas por el equipo antes de inicio de sesin del usuario. Esto est en contraste con el uso PAN con VPN, en el que el cumplimiento del sistema de salud se verifica slo cuando el equipo itinerante inicie una conexin de acceso remoto VPN a la intranet. Exigir el cumplimiento del sistema de salud antes de acceder a toda la intranet Cuando el usuario inicia sesin en el equipo cliente de DirectAccess intenta acceder a toda la intranet. NAP proporciona los componentes y la infraestructura para asegurar que los requisitos del sistema de salud se cumplan antes de permitir el acceso a toda la intranet. Los clientes de DirectAccess usan por defecto un certificado de equipo para autenticacin del mismo nivel de protocolo de Internet de seguridad (IPsec). Con DirectAccess y NAP, el certificado utilizado para la autenticacin para acceder a toda la intranet es un certificado sanitario. Un certificado de salud valida la identidad del equipo cliente de DirectAccess y certifica que el cliente de DirectAccess cumple con los requisitos del sistema de salud. Es posible utilizar DirectAccess con NAP en los modos siguientes, dependiendo de si un certificado sanitario requerido para la autenticacin cuando se intenta acceder a toda la intranet: Informes modo El servidor de DirectAccess no exige certificados de salud. Los clientes de DirectAccess puede utilizar un certificado de salud o su certificado de equipo. La ventaja de este modo es que los clientes de DirectAccess ms corregir automticamente su sistema de salud en forma permanente. Mediante el anlisis de la informacin de reportes generados por el servidor de directivas de mantenimiento NAP, un servidor que ejecuta el servidor de directivas de redes (NPS), se puede trabajar para corregir el sistema de salud no cumplen las normas de los equipos cliente de DirectAccess sin bloquear su acceso a la intranet. En el modo de presentacin de informes, no cumplen los equipos cliente de DirectAccess tienen acceso a toda la intranet. Modo de cumplimiento completo El servidor de DirectAccess exige certificados de salud. Los clientes de DirectAccess sin

un certificado de salud no ser capaz de acceder a la intranet de todo y no puede utilizar su certificado de equipo para la autenticacin. La ventaja de este modo es que los clientes de DirectAccess no cumplan con los requisitos del sistema de salud, lo que puede suponer una amenaza potencial a la intranet, no se les permite el acceso a toda la intranet. Sin embargo, los clientes de DirectAccess que no se pueden corregir automticamente su sistema de salud podran necesitar asistencia helpdesk. La solucin DirectAccess con NAP usa el modo de plena vigencia. Para obtener ms informacin acerca de la arquitectura de la solucin DirectAccess con NAP, vea DirectAccess con NAP general de Arquitectura. Para obtener informacin acerca de cmo implementar la solucin DirectAccess con NAP, consulte la Hoja de Ruta de DirectAccess con NAP de implementacin. DirectAccess con NAP general Arquitectura
2 de cada 3 ha calificado este til - Valore este tema Publicado: 25 de marzo 2010 Actualizado: 01 de octubre 2010 Se aplica a: Windows Server 2008 R2 El DirectAccess con Proteccin de acceso a redes (NAP) solucin utiliza los componentes de infraestructura siguientes: Active Directory (AD DS) Proporciona pertenencia al dominio para los clientes de DirectAccess y los servidores, la autenticacin de credenciales de usuario y de equipo, y distribuye la configuracin de directiva de grupo para los clientes de DirectAccess. Infraestructura de clave pblica (PKI) Distribuye certificados digitales para los clientes de DirectAccess, los servidores de DirectAccess y los servidores Web. Para DirectAccess con NAP, una autoridad de certificacin (CA) certificados de equipo problemas y una separada CA basada en Windows, conocidos como NAP CA, certificados de problemas de salud. DirectAccess servidor Un equipo que ejecuta Windows Server 2008 R2 recibe conexiones de DirectAccess. Red servidor de localizacin Un equipo que normalmente se ejecuta Windows Server 2008 o posterior e Internet

Information Services (IIS) hospeda un sitio web seguro para que los clientes de DirectAccess puede determinar si estn conectados a la intranet. NAP poltica del servidor Un equipo que ejecuta Windows Server 2008 o posterior y el Servidor de directivas de redes (NPS) que realiza la validacin del sistema de salud y registro. Autoridad de registro de mantenimiento (HRA) Un equipo que ejecuta Windows Server 2008 o posterior e IIS que obtiene los certificados digitales de una CA de NAP para clientes compatibles con DirectAccess. servidores de remediacin Los equipos que proporcionan las actualizaciones o recursos que no cumplen con los clientes de DirectAccess deben cumplir los requisitos del sistema de salud. Ejemplos incluyen Windows Software Update Services (WSUS) servidores y anti-malware servidores de distribucin de la firma. La siguiente figura muestra los componentes de la solucin Direct Access con NAP.

noteNote Esta solucin slo se describe la solucin DirectAccess con NAP mediante HRA que estn disponibles en la intranet. Esta solucin no describe el DirectAccess con NAP solucin mediante HRA que estn en la red perimetral y directamente disponible para los clientes de DirectAccess en Internet. Ms informacin acerca del uso de HRA en la red perimetral se aadir a este tema cuando est disponible. Para obtener ms informacin sobre los beneficios de la solucin DirectAccess con NAP, vea

DirectAccess con NAP general de soluciones. Infraestructuras para la solucin DirectAccess con NAP La solucin DirectAccess con NAP incluye infraestructuras para NAP y DirectAccess. NAP infraestructura El conjunto de servidores para apoyar el sistema de salud NAP validacin y aplicacin consiste en AD DS, una PKI con un PAN CA, el servidor NAP poltica, HRA una, y los servidores de remediacin. Con esta infraestructura, habilitados para los clientes de DirectAccess con NAP puede obtener lo siguiente: Configuracin del cliente NAP a travs de la configuracin de directiva de grupo (AD DS) La validacin de la conformidad del sistema de salud (HRA, mantenimiento NAP servidor de polticas) Los certificados sanitarios que acrediten el cumplimiento del sistema de salud (HRA, PKI con NAP CA) Actualizaciones requeridas para cumplir con los requisitos de mantenimiento del sistema (servidores de actualizaciones) DirectAccess infraestructura El conjunto de servidores para soportar conexiones de DirectAccess est formado por el servidor de DirectAccess, AD DS, una PKI con una CA emisora, y el servidor de ubicacin de red. Con esta infraestructura, los clientes de DirectAccess puede hacer lo siguiente: Obtener configuracin de DirectAccess a travs de la configuracin de directiva de grupo (AD DS) Obtener certificados digitales para la autenticacin de las conexiones de DirectAccess (PKI con una CA emisora) Determinar cuando estn conectados a la intranet (red servidor lugar) Obtenga acceso transparente a la intranet cuando en Internet (servidor de DirectAccess) La combinacin de la infraestructura de DirectAccess y NAP En el DirectAccess con NAP solucin, los clientes de DirectAccess obtener tanto DirectAccess y los ajustes de configuracin del cliente NAP a travs de objetos de directiva de grupo (GPO) y AD DS. En la intranet, los clientes de DirectAccess usan el servidor de ubicacin de red para determinar su ubicacin y desactivar el uso de DirectAccess. En el Internet o la intranet, los clientes de DirectAccess datos un sistema de salud comprueba en el arranque y en forma permanente por el acceso a los servidores HRA y remediacin, segn sea

necesario. Si el cliente de DirectAccess est conforme, la HRA obtiene un certificado sanitario para el cliente de DirectAccess de la CA de NAP. En Internet, antes de inicio de sesin de usuario, el cliente de DirectAccess DirectAccess usa tanto el PAN y las infraestructuras para llevar a cabo la validacin del sistema de salud para recibir un certificado de salud. Cuando el usuario inicia una sesin, el cliente de DirectAccess presenta su certificado de salud con el servidor de DirectAccess para la autenticacin. Para el modo de plena aplicacin, el servidor de DirectAccess realiza una de las siguientes acciones: Permite el acceso a la intranet cuando el equipo cliente de DirectAccess cumple Deniega el acceso a la intranet cuando el equipo cliente de DirectAccess est en incumplimiento Puntos de integracin para la solucin DirectAccess con NAP Las infraestructuras de DirectAccess y NAP pueden existir por separado el uno del otro, en el que el cliente de DirectAccess slo valida la salud del sistema cuando est en la intranet. Para combinar las dos infraestructuras y beneficiarse de su integracin, debe hacer lo siguiente: Agregue las direcciones IPv6 de los servidores HRA y remediacin a la lista de servidores de infraestructura o de gestin en el cliente de DirectAccess. De forma predeterminada, el cliente de DirectAccess en Internet no ser capaz de llegar a los servidores HRA y remediacin en la intranet hasta que el usuario inicie sesin. Modificar la configuracin de la regla de tnel de intranet de seguridad de conexin para el servidor de DirectAccess para solicitar certificados de salud. De forma predeterminada, el servidor de DirectAccess slo requiere un certificado digital adecuada para la autenticacin de clientes de DirectAccess. Este paso exige el cumplimiento del sistema de salud para acceder a la intranet. Cmo DirectAccess con NAP obras El siguiente proceso describe cmo funciona DirectAccess con NAP para un cliente de DirectAccess: Cuando el cliente de DirectAccess inicia, inicie sesin en el dominio de AD DS con su cuenta de equipo y enva su informacin actual estado de salud a la HRA. El HRA enva la informacin del cliente de DirectAccess de salud del estado para el servidor de directivas de mantenimiento NAP. El servidor de polticas de salud NAP evala la informacin sobre el estado de salud del cliente de DirectAccess, determina si es compatible, y enva los resultados a la HRA. Si el cliente de DirectAccess no cumple, los resultados incluyen las instrucciones de salud de remediacin. El HRA enva el cliente de DirectAccess los resultados de la evaluacin de la salud. Si el estado de salud es conforme, la HRA obtiene un certificado de salud de la PKI y la enva al cliente de DirectAccess. El cliente de DirectAccess puede crear ahora el tnel de intranet con el

servidor de DirectAccess. Si el estado de salud no es compatible, el HRA no emite un certificado sanitario. El cliente de DirectAccess no puede crear el tnel de intranet con el servidor de DirectAccess. Sin embargo, el cliente de DirectAccess puede tener acceso a servidores de actualizaciones para corregir su estado de salud. El cliente de DirectAccess enva solicitudes de actualizacin de los servidores de actualizaciones apropiadas. Sin embargo, en algunos casos, el usuario podra tener que realizar pasos manuales para llegar a cumplir. Los servidores de remediacin disposicin del cliente de DirectAccess con las actualizaciones necesarias para el cumplimiento de los requisitos del sistema de salud. El cliente de DirectAccess actualiza su informacin sobre el estado de salud. El cliente de DirectAccess enva su informacin actualizada del estado de salud a la HRA. El HRA enva la informacin de salud del estado actualizado al servidor de directivas de mantenimiento NAP. Suponiendo que todas las actualizaciones se hicieron, la poltica de mantenimiento de NAP servidor determina que el cliente de DirectAccess cumple y enva el resultado a la HRA. La HRA obtiene un certificado de salud de la CA de NAP. El HRA enva el certificado de salud para el cliente de DirectAccess. El cliente de DirectAccess puede ahora utilizar el certificado sanitario para la autenticacin para acceder a la intranet a travs del servidor de DirectAccess. Para obtener informacin acerca de cmo implementar la solucin DirectAccess con NAP, consulte la Hoja de Ruta de DirectAccess con NAP de implementacin. Implementacin avanzada para DirectAccess con NAP Este tema an no ha sido valorado - Valorar este tema Publicado: 25 de marzo 2010 Actualizado: 01 de octubre 2010 Se aplica a: Windows Server 2008 R2 Despliegue avanzado para el DirectAccess con Proteccin de acceso a redes (NAP) solucin consiste en la automatizacin de las tareas operativas y el uso de secuencias del sistema de informacin para la inteligencia operativa y de negocios. Automatizar tareas operativas Debido a que el cliente de Direct Access recibe NAP y la configuracin de cliente de Direct Access a travs del NAP y Direct Access cliente objetos de directiva de grupo (GPO) a travs de su pertenencia a un grupo de seguridad de cliente de Direct Access, puede simplificar las tareas en

curso de funcionamiento de la concesin y revocacin de Direct Access para las cuentas de equipo mediante la automatizacin de la gestin de la calidad de miembro de cliente de Direct Access grupo de seguridad con scripts o programas personalizados. Utilizando secuencias del sistema de informacin para la inteligencia operativa y de negocios Las corrientes del sistema de informacin de inteligencia operativa y de negocios para la solucin DirectAccess con NAP son los siguientes: NPS datos contables almacenados como archivos de registro o no ha entrado directamente a un servidor NPS registro de SQL Fuentes de energa nuclear y la Autoridad de registro de mantenimiento (HRA) eventos en el registro de eventos de Windows Mediante el anlisis de estos flujos de informacin, usted puede determinar: La frecuencia de los controles sanitarios de los clientes de DirectAccess Cuntos de ellos son cumplidores y no cumplidores con los requisitos del sistema de salud Los tipos de problemas que requieren remediacin salud Tambin puede utilizar la supervisin del rendimiento del servidor de DirectAccess, las autoridades de certificacin (CA), servidores de ubicacin de red, servidores HRA, remediacin y servidores NAP polticas para determinar cundo se debe aadir o reducir la capacidad.

Prueba de laboratorio Guas para DirectAccess con NAP

Este tema an no ha sido valorado - Valorar este tema Publicado: 25 de marzo 2010 Actualizado: 01 de junio 2010 Se aplica a: Windows Server 2008 R2 Las guas de los siguientes exmenes de laboratorio estn disponibles para demostrar la DirectAccess con Proteccin de acceso a redes (NAP) solucin en un laboratorio de pruebas y utilizar el laboratorio resultante de aprender sobre las herramientas de solucin de problemas y tcnicas. Prueba de Gua de Laboratorio: Demostrar DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613) Crear un laboratorio de pruebas de trabajo para demostrar la funcionalidad de DirectAccess. Este laboratorio de pruebas acta como una base para todos los otros laboratorios de pruebas en esta solucin. Gua de Laboratorio de prueba: Resolucin de problemas de DirectAccess

(http://go.microsoft.com/fwlink/?LinkId=181160) Utilice el laboratorio de pruebas de DirectAccess DirectAccess para aprender sobre las herramientas de solucin de problemas y para practicar la resolucin de problemas de DirectAccess. Prueba de Gua de Laboratorio: Demostrar DirectAccess con NAP (http://go.microsoft.com/fwlink/?LinkId=186697) Utilice el laboratorio de pruebas de DirectAccess para configurar una infraestructura de NAP y exigir el cumplimiento del sistema de salud para acceder a la intranet. Gua de Laboratorio de prueba: Resolucin de problemas de DirectAccess con NAP (http://go.microsoft.com/fwlink/?LinkId=193603) Utilice el DirectAccess con NAP laboratorio de prueba para aprender sobre las herramientas de solucin de problemas del PAN y de practicar la solucin de problemas del PAN para DirectAccess.

Direct Access con NAP Orientacin Solucin de problemas

4 de 4 puntuado este til - Valore este tema Publicado: 05 de abril 2010 Actualizado: 01 de junio 2010 Se aplica a: Windows Server 2008 R2 En la mayora de los casos, la forma ms eficaz para solucionar un problema con un cliente de Direct Access en la solucin Direct Access con NAP es intentar aislar el problema a uno de los siguientes: Un problema con la validacin del sistema de salud y la adquisicin de un certificado de salud (la infraestructura NAP) Consulte Solucin de problemas del PAN en el acceso a la red Gua de proteccin de resolucin de problemas.

Solucin de problemas del PAN

2 de 2 puntuado este til - Valore este tema Actualizado: 29 de marzo 2012 Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 Los temas de esta seccin estn destinados a la proteccin del grupo de acceso de red (NAP) los problemas en categoras basadas en sntomas. Cada tema se ofrece una descripcin detallada del problema y sus sntomas asociados. En su caso, los eventos del sistema operativo que se producen debido al problema estn documentados. Las posibles

causas de raz en la lista, y los procedimientos se proporcionan para solucionar el problema. Tcnicas de solucin de problemas que puede utilizar para ayudar a encontrar soluciones a problemas que no pueden ser documentadas, y para ayudar a identificar la causa raz se describen en la siguiente seccin. Solucin de problemas del PAN El primer paso en el aislamiento de la causa de un problema relacionado con NAP es reunir informacin sobre el problema. Comience por la obtencin de la informacin que se describe en la seccin Para verificar antes de NAP solucin de problemas. Comience el proceso de solucin de problemas con esta informacin bsica antes de usar herramientas de solucin de problemas ms avanzados y tcnicas. Inicio del proceso de solucin de problemas Adems de la recopilacin de informacin bsica, hgase las siguientes preguntas cuando se inicia el proceso de solucin de problemas: Cul es el alcance del problema? Si se encuentra aislado a un solo ordenador o grupo de ordenadores, lo que es nico acerca de estos equipos? Ha trabajado anteriormente PAN en estos equipos? Si es as, qu podra haber cambiado? Cul es el impacto del problema? Si es grave, se puede hacer algo para mitigar el problema hasta que encuentre una solucin permanente? Existen riesgos asociados a la solucin de problemas o solucionar el problema? Si el problema se produce en un entorno de produccin, es posible que deba programar un tiempo cuando usted puede investigar y reparar el problema. Cmo solucionar los problemas del PAN Nunca ponga en marcha para solucionar un problema en el medio. En su lugar, encontrar el primer evento en un proceso y comenzar all. Alternativamente, usted puede encontrar el ltimo evento y su forma de trabajo hacia atrs. Tambin es til para los procesos de grupo en categoras y determinar si esa categora de procesos est funcionando correctamente. Tenga en cuenta las siguientes categoras de procesos para solucionar problemas de un problema NAP: Acceso de los clientes solicitud de envo. Punto de cumplimiento NAP reenviar al servidor de directivas de redes (NPS). NPS anlisis y respuesta a la solicitud de acceso de cliente. Solicitud de acceso a la red por el punto de cumplimiento NAP.

Cliente de remediacin. Para PAN, los resultados del proceso de primera categora en la presentacin de un informe de mantenimiento (SoH) desde el equipo cliente NAP. El SoH es enviado con una solicitud de acceso a la red que esencialmente dice: "Aqu est mi identidad y estado de salud. Por favor, aprobar el acceso a la red. ", El equipo cliente espera una respuesta. La solicitud de acceso a la red se enva a un punto de aplicacin de NAP que reenva la solicitud al NPS para el anlisis. NPS analiza la solicitud de acceso mediante el uso de la lista de directivas de solicitud de conexin y de red. Para cada tipo de poltica, NPS comienza en la parte superior de la orden de procesamiento y se mueve hacia abajo un poltica en un momento, en un intento para que coincida con la peticin de acceso de cliente. Si se encuentra una coincidencia, el proceso se detiene, incluso si una coincidencia ms especfica se puede encontrar ms baja en el orden de procesamiento. Esta es una consideracin importante. Al configurar el orden de las directivas de solicitud de conexin y las polticas de red, asegrese de que las polticas ms generales se encuentran por debajo de las polticas ms especficas en el orden de procesamiento. noteNote NPS puede omitir el procesamiento de algunas polticas si la solicitud de acceso contiene un atributo de origen. Para obtener ms informacin, vea Consideraciones generales sobre el diseo de polticas en la Gua de Acceso a la Red de Diseo Proteccin. Sea o no encuentra una coincidencia para la solicitud de acceso de cliente, NPS enva los resultados de vuelta al punto de cumplimiento NAP, que informa al equipo cliente de los resultados y luego concede o deniega el acceso de red basado en los resultados. Acceso de los clientes solicitud de envo Los siguientes componentes del cliente afecta a la presentacin de solicitud de acceso: El servicio Agente NAP. El servicio Agente NAP acta como un puente entre los agentes del sistema de salud (SHA) y un cliente de cumplimiento. Si el servicio Agente NAP no est funcionando, entonces el cliente de cumplimiento no proporcionar informacin sobre la salud del cliente cuando el equipo hace una solicitud de acceso a la red. Esto tpicamente resulta en el equipo cliente que se evala por NPS como no compatible con NAP. Este problema puede producirse si el servicio Agente NAP no se ha iniciado an cuando la computadora est autenticado, como puede ocurrir despus de un ordenador se ha reiniciado. Tambin puede ocurrir si el servicio Agente NAP ha sido deshabilitado o no tiene permiso para comenzar. Shas. SHA monitorear e informar sobre el estado de salud del cliente. En otras palabras, mantener control sobre la configuracin del equipo cliente y presentar un nuevo informe de mantenimiento cuando los cambios de configuracin o cuando el informe de mantenimiento anterior ha expirado. SHA puede funcionar con los servicios en el equipo para controlar la configuracin. Por ejemplo, el agente de seguridad de Windows (WSHA)

que se incluye con Windows 7, Windows Vista y Windows XP con Service Pack 3 (SP3) utiliza el servicio Centro de seguridad para controlar la salud del cliente. A SHA debe estar registrado con el Agente NAP para comunicar con xito, y debe ser inicializado para proporcionar un informe de mantenimiento. A SHA intentar proporcionar un informe de mantenimiento si el correspondiente sistema de salud validador (SHV) est habilitado en una poltica de salud en NPS. Si un SHA no es capaz de proporcionar un informe de mantenimiento para el servicio Agente NAP, el equipo cliente se considerar no conforme si que SHA es requerido por la poltica de red. Esto puede ocurrir con el WSHA, por ejemplo, si el servicio del Centro de seguridad no se ha iniciado. Tambin puede ocurrir si un SHA no est registrado correctamente o iniciado. Aplicacin de los clientes. Aplicacin de los clientes son responsables de comunicarse con los componentes de servidor NAP. Ellos reciben una lista de SoH desde el Agente NAP y enve esta lista como un solo encapsulado SoH al punto de cumplimiento NAP. El cliente de cumplimiento NAP tambin pueden ser responsables de la aplicacin de las condiciones de acceso a la red. Por ejemplo, el cliente de cumplimiento IPsec (IPsec Depender del Partido) es responsable de eliminar certificados sanitarios del almacn de certificados del cliente cuando el cliente se convierte en incumplimiento con los requisitos de salud o cuando expira el certificado sanitario. Al habilitar un cliente de cumplimiento, sino que tambin debe ser inicializado antes de que funcione. note Note Cuando se utiliza el cliente netsh nap comando show estado en equipos que ejecutan Windows Vista sin ningn Service Pack instalado, el estado de un cliente de cumplimiento podra ser visualizada en forma incorrecta como no inicializado. Revise los eventos del cliente de NAP para determinar si el cliente de cumplimiento se inicializa. Si un cliente de cumplimiento NAP no est habilitado e inicializado, el equipo cliente NAP no proporcionar su estado de salud como parte de la solicitud de acceso a la red. Esto puede resultar en el equipo cliente siendo evaluado por NPS como-no-NAP capaz. Este problema puede ocurrir si ha habilitado una aplicacin cliente en la configuracin del cliente NAP locales y otros ajustes de configuracin del cliente NAP en la directiva de grupo. En este caso, los ajustes locales sern ignorados. NAP punto de aplicacin de reenvo a NPS Los siguientes factores afectan el reenvo de punto de cumplimiento NAP NAP de las solicitudes de acceso de cliente: Desvo de configuracin. Si el punto de cumplimiento NAP tambin sirve como un servidor de directivas de mantenimiento NAP, entonces no hay ninguna configuracin de reenvo. El punto de aplicacin de NAP siempre tendr una configuracin de reenvo de si se trata de un dispositivo de red compatible con 802.1X acceso, tal como un conmutador o punto de acceso inalmbrico. En este caso, el reenvo est configurado en la autenticacin, autorizacin y contabilidad (AAA) ajustes en el dispositivo. Si est utilizando NAP con la

aplicacin de VPN, el punto de aplicacin puede ser un servidor que ejecuta el Servicio de enrutamiento y acceso remoto (RRAS). NPS puede ser instalado en este servidor, pero no es necesario. Si est utilizando NAP con IPsec ejecucin o ejecucin DHCP, NPS siempre se instalar en el punto de cumplimiento NAP. Si NPS en este dispositivo no est configurado para reenviar las peticiones de autenticacin a un grupo de servidores remotos RADIUS, la autenticacin se puede realizar en el punto de aplicacin de NAP. Esto puede causar un problema si usted no tiene directivas NAP configurado en este servidor NPS porque se espera que transmita la solicitud de autenticacin. Este problema por lo general resulta en la negacin de las solicitudes de acceso de cliente de NAP. NAP ajuste. Cuando se utiliza la aplicacin de NAP con IPsec, aplicacin de VPN, DHCP o la ejecucin y el punto de aplicacin no est en el mismo servidor que el servidor de directivas de mantenimiento NAP, debe configurar los ajustes de cliente RADIUS. Adems de la configuracin estndar, como la direccin IP y el secreto compartido, un cliente de RADIUS se utiliza con NAP deben configurarse como NAP. Si ha utilizado el Asistente para configuracin de NAP se utiliza para configurar el cliente RADIUS, esta configuracin puede ser pasado por alto, ya que no se muestra en la interfaz. Para configurar esta opcin, usted debe ver las propiedades de cliente RADIUS en la consola NPS. El uso de un cliente RADIUS que no est configurado como NAP produce resultados diferentes para cada uno de los mtodos de cumplimiento NAP. Por ejemplo, los servidores HRA que se han configurado para ser compatible con NAP no va a solicitar un certificado de salud de una CA NAP. Autenticacin del cliente. Si el punto de aplicacin de NAP es un servidor HRA, entonces la autenticacin de cliente tambin puede ser una consideracin. Para el PAN con 802.1X y VPN mtodos de aplicacin, se produce la autenticacin de NPS. La autenticacin del cliente no se utiliza para el PAN con el mtodo de la imposicin DHCP. HRA utiliza Internet Information Services (IIS) para autenticar equipos cliente NAP a travs de un sitio Web que aloja un servidor de Internet Application Programming Interface (ISAPI) para procesar HTTP / HTTPS. Si se utiliza HTTPS, entonces HRA se debe configurar con una capa vlida de sockets seguros (SSL). Problemas de autenticacin puede ocurrir si el cliente no utiliza la correcta configuracin del grupo de servidores de confianza. Por ejemplo, si los registros SRV de DNS estn configurados para descubrimiento automtico HRA, estos registros debe utilizar el nombre de dominio completo (FQDN) del servidor HRA o autenticacin SSL fallar. NPS anlisis y respuesta a la solicitud de acceso de cliente Los siguientes factores afectan el anlisis de fuentes de energa nuclear y la respuesta a las peticiones de acceso de cliente de NAP: Clientes y servidores RADIUS. Si los clientes RADIUS o grupos de servidores RADIUS remotos estn configurados, esto

puede afectar la capacidad de las fuentes de energa nuclear para responder a las peticiones de acceso de cliente de NAP. Por ejemplo, si un cliente RADIUS se desactiva o utiliza un secreto compartido errneo, entonces los equipos cliente NAP que el acceso peticin de que el cliente RADIUS se le negar acceso a la red. Conexin directiva de solicitud y la configuracin poltica de la red. Este es quizs el factor ms importante para determinar si los equipos cliente de NAP se concede acceso a la red, y qu tipo de acceso se concede. El registro de eventos NPS proporciona informacin detallada sobre el cual se corresponde con la poltica de solicitud de conexin y que la poltica de la red cuando un equipo cliente NAP solicita acceso a la red. Solucin de problemas de las solicitudes de acceso de cliente requiere un anlisis cuidadoso de las condiciones polticas y configuraciones. Por ejemplo, si no cumplen con los equipos cliente NAP se les niega el acceso a la red en lugar de ser concedido acceso a la red restringido, puede ser debido a que la poltica de la red no cumplen las normas se configura con un valor de denegar el acceso en lugar de Access Grant. Puede parecer contrario a la intuicin que los ordenadores no compatibles se concede acceso a la red, pero el acceso debe concederse de manera que puedan remediar su salud y ser obediente. Poltica de salud y la configuracin de SHV. SHV definir los requisitos de configuracin para los equipos que intentan conectarse a la red. Las polticas de salud definen qu SHV son evaluados, y cmo se utilizan en la validacin de la configuracin de los equipos que intentan conectarse a la red. Con base en los resultados de las comprobaciones de SHV, las polticas sanitarias clasificar el estado de salud del cliente. Las polticas de salud y SHV puede afectar PAN peticiones de acceso de cliente de la misma manera que las polticas de solicitud de conexin de red y polticas afectan el acceso. Por ejemplo, si configura una poltica de salud no compatible con el cliente reportado como infectado por uno o ms antivirus SHV SHV cheque y el SHA antivirus no proporciona informacin del estado infectado como parte de la SoH, el acceso a la red de los equipos cliente infectado no ser restringido. Remediacin grupo de servidores y la configuracin de URL solucin de problemas. El servidor de actualizaciones de configuracin de grupo se utiliza para el PAN con la aplicacin de VPN y el PAN con mtodos de cumplimiento DHCP. Una configuracin de URL de solucin de problemas se utiliza con todos los mtodos de aplicacin, y se puede personalizar con el tipo de incumplimiento denunciado por un equipo cliente. Cuando se utiliza con la aplicacin de NAP VPN, debe configurar al menos un grupo de servidores de remediacin o filtro IP para restringir el acceso a la red para los equipos cliente no compatibles. Contabilidad configuracin. La configuracin de NPS contabilidad puede afectar a las solicitudes de acceso de cliente si NPS no puede comunicarse con el servidor de contabilidad. Al configurar una ubicacin de contabilidad en otro servidor, NPS dejar de procesar todas las solicitudes de acceso si no es capaz de comunicarse con el servidor de contabilidad. Por esta razn, es tpicamente

ms seguro para configurar los registros de contabilidad en el equipo local. Requisito Salud servidor de configuracin. Si usted est usando un SHV que obtiene de salud desde un servidor requisito de salud, como la SHV para System Center Configuration Manager, y luego la aprobacin de las solicitudes de acceso de cliente de NAP depender de la configuracin de este servidor. Por ejemplo, se utiliza el System Center Configuration Manager SHV y la salud del sistema validador punto no est en funcionamiento, el acceso a la red de computadoras del cliente de NAP no compatibles no ser restringida. Solicitud de acceso a la red por el punto de cumplimiento NAP La solicitud de acceso a la red por los puntos de aplicacin de NAP se ve afectada por los siguientes factores: Aplicacin de punto de configuracin. El punto de aplicacin de NAP debe estar configurado para proporcionar acceso de red completo y restringido, y denegar el acceso a la red, si es necesario. Los requisitos son diferentes, dependiendo del tipo de punto de aplicacin y el mtodo de restriccin de la red de acceso. Por ejemplo, si NPS indica a un dispositivo de acceso a la red para aplicar una lista de control de acceso (ACL) para equipos que no cumplen, esta ACL debe estar presente en el dispositivo de acceso de red o de acceso a la red no ser restringida. Otros servicios. Si el punto de cumplimiento NAP depende de otros servicios para proporcionar acceso a la red, estos servicios tambin pueden afectar cliente NAP acceso a la red. Por ejemplo, si HRA es el punto de cumplimiento NAP, debe ser capaz de ponerse en contacto con una CA NAP para solicitar certificados de salud y problema PAN. Cliente de remediacin Remediacin del cliente depende de lo siguiente: Remediacin de acceso al servidor. Para que un servidor de actualizaciones para proporcionar actualizaciones a los equipos cliente NAP no compatibles, el servidor debe estar accesible en la red restringida. Por ejemplo, si un servidor de actualizaciones se encuentra en una subred diferente de la subred de los equipos cliente de NAP, debe configurar la opcin Router 003 en la clase NAP defecto con la direccin IP de un dispositivo de puerta de enlace que pueden conmutar cliente NAP peticiones DHCP a el servidor de actualizaciones. Si esta opcin no est presente o es incorrecto, no cumplen con los equipos cliente NAP ser incapaz de remediar su salud. Aplicacin de punto de acceso.

Para que no cumplen con las computadoras cliente de NAP para recuperar el acceso completo a la red despus de que hayan remediado su salud, deben tener acceso a un punto de cumplimiento NAP en la red restringida. Por ejemplo, si un servidor DHCP NAP se encuentra en una subred diferente de la subred de los equipos cliente de NAP, debe configurar la opcin Router 003 en la clase NAP defecto con la direccin IP de un dispositivo de puerta de enlace que pueden conmutar cliente NAP peticiones DHCP hasta el punto de aplicacin. Si esta opcin no est presente, los equipos cliente NAP no ser capaz de obtener una configuracin IP nueva cuando se complete el proceso de reparacin.

Problemas de Red de proteccin de acceso ululantes Gua Este tema an no ha sido valorado - Valorar este tema
Actualizado: 29 de marzo 2012 Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 Esta gua proporciona informacin para la solucin de Proteccin de acceso a redes (NAP) en Windows Server 2008 R2, Windows 7, Windows Server 2008, Windows Vista y los sistemas operativos Windows XP. Est diseado para ayudar a identificar y resolver los problemas que puedan estar relacionados con el PAN. En esta gua Esta gua est pensada para su uso por un administrador de red o sistema. La gua proporciona informacin orientada a tareas para ayudar a identificar y resolver los problemas rpidamente. Use esta gua para ayudarle en el desempeo de anlisis de causa raz de los incidentes y problemas con los componentes de una infraestructura de NAP. Antes de leer esta gua, usted debe tener una buena comprensin de la forma de trabajar del PAN y cmo se ha implementado en su organizacin. En los siguientes temas se incluyen en esta gua: Un problema con acceso a la intranet o la deteccin de ubicacin de red (la infraestructura de Direct Access) Consulte Problemas con conexiones de Direct Access o problemas de fijacin con Deteccin de ubicacin de red en la Gua de solucin de problemas de Direct Access. Para un cliente de Direct Access en Internet, una forma fcil de separar un problema NAP de un problema Direct Access es para determinar si el cliente cumple. Puede realizar esta comprobacin con lo siguiente: Ejecute el cliente netsh nap comando show estado en un smbolo del sistema. Si el estado de la restriccin en la seccin de estado del cliente no est restringido, el cliente est conforme. Utilice el complemento Certificados para comprobar si hay un certificado de salud en el Personal \ Certificados del equipo local almacn de certificados. Si existe un certificado de salud, el cliente est conforme.

Si est utilizando el modo de cumplimiento total, un cliente que no cumple no ser capaz de acceder a la intranet. Si el cliente no cumple, use Solucin de problemas del PAN para determinar la causa raz del problema NAP validacin de salud. Si el cliente no cumple porque no puede llegar a las HRA y servidores de actualizaciones de la intranet, vea cliente de Direct Access no puede establecer tneles al servidor de Direct Access. Por ejemplo, si el acceso a la red de Proteccin ventana de mensaje establezca este equipo no cumple con los estndares de seguridad definidos por el administrador de red, pero no contiene ninguna informacin sobre la condicin de error, el cliente de Direct Access no puede llegar a la HRA de la intranet. Si el cliente est conforme pero no pueden acceder a recursos de la intranet que no sean los HRA y servidores de actualizaciones, consulte el cliente de Direct Access no puede establecer tneles al servidor de Direct Access. Para obtener ms informacin acerca de las herramientas de solucin de problemas PAN PAN y practicar problemas de validacin de salud en un laboratorio de pruebas, consulte la Gua de Laboratorio de prueba: Resolucin de problemas de Direct Access con NAP (http://go.microsoft.com/fwlink/?LinkId=193603).

Gua bsica de aprendizaje de DirectAccess

Personas que lo han encontrado til: 1 de 1 Publicada: noviembre de 2009 Actualizado: febrero de 2011 Se aplica a: Windows Server 2008 R2 DirectAccess en Windows Server 2008 R2 y Windows 7 permite a los usuarios remotos obtener acceso seguro a recursos compartidos, sitios web y aplicaciones empresariales sin necesidad de conectarse a una red privada virtual (VPN). DirectAccess establece una conectividad bidireccional con la red empresarial de un usuario cada vez que el equipo porttil habilitado para DirectAccess de un usuario se conecta a Internet, incluso antes de que el usuario inicie sesin. Los usuarios no tienen que preocuparse de conectarse a la red empresarial y los administradores de TI pueden administrar los equipos remotos fuera de la oficina, incluso cuando los equipos no estn conectados a la VPN. Si no tiene experiencia en DirectAccess, este tema puede ayudarle a identificar lo que necesita aprender para comprender perfectamente cmo implementar y solucionar problemas de DirectAccess. Incluye temas sobre requisitos previos que abarcan diversos aspectos fundamentales de redes y la infraestructura de TI. Primero debe comprender las tecnologas que son requisitos previos, ya que DirectAccess se basa en ellas y da por supuesto que las comprende. Despus, puede empezar a obtener informacin sobre DirectAccess a travs de los recursos de las secciones de nivel 100 (introductorio), 200 (intermedio) y 300 (avanzado). Es aconsejable leer los temas en el orden indicado.

Requisitos previos Nivel 100 Nivel 200 Nivel 300

Requisitos previos
Esta seccin contiene vnculos a diversos recursos que contienen la informacin de fondo que necesita para comprender totalmente cmo funciona DirectAccess. Paso 1: obtener informacin sobre la arquitectura de TCP/IP. Vea el captulo 2 sobre informacin general sobre la arquitectura del conjunto de protocolos TCP/IP de los aspectos fundamentales de TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153192) (puede estar en ingls). El objetivo es comprender los conceptos bsicos de la arquitectura de la pila de TCP/IP por niveles y los protocolos clave del conjunto TCP/IP incluidos el protocolo de Internet versin 4 (IPv4), el protocolo de Internet versin 6 (IPv6), el protocolo de mensajes de control de Internet (ICMP), ICMP para IPv6 (ICMPv6), el protocolo de control de transmisin (TCP) y el protocolo de datagramas de usuario (UDP). Paso 2: obtener informacin sobre las direcciones IPv6. Vea el captulo 3 sobre direccionamiento IP de los aspectos fundamentales de TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153193) (puede estar en ingls). El objetivo es comprender la sintaxis y el tamao de las direcciones IPv6, los diferentes tipos de direcciones y la forma de expresar intervalos de direcciones. Paso 3: obtener informacin sobre el reenvo y enrutamiento de IPv6. Vea el captulo 5 acerca de enrutamiento IP (http://go.microsoft.com/fwlink/?linkid=153197) y el captulo 10 acerca de la entrega de un extremo a otro de TCP/IP (http://go.microsoft.com/fwlink/?linkid=153198) de los aspectos fundamentales sobre TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153198) (pueden estar en ingls). El objetivo es entender cmo IPv6 emplea tablas de enrutamiento para enviar o reenviar paquetes y los detalles de los procesos de entrega de un extremo a otro de IPv6. Paso 4: obtener informacin sobre las tecnologas de transicin IPv6. Vea el captulo 15 acerca de tecnologas de transicin IPv6 de los aspectos fundamentales de TCP/IP para Windows (http://go.microsoft.com/fwlink/?linkid=153199) (puede estar en ingls). El objetivo es entender cmo funcionan las tecnologas de transicin IPv6 ISATAP (IntraSite Automatic Tunnel Addressing Protocol), 6to4 y Teredo.

Paso 5: obtener informacin sobre el funcionamiento del protocolo de seguridad de Internet (IPsec) para ayudarle a proteger el trfico de red. Vea el captulo 13 acerca del protocolo de seguridad de Internet y filtrado de paquetes de los aspectos fundamentales sobre TCP/IP de Windows (http://go.microsoft.com/fwlink/?linkid=153200) (puede estar en ingls). El objetivo es comprender el rol de IPsec, las diferencias entre los modos de tnel y transporte, las diferencias entre el modo principal y el modo rpido, los tipos de negociaciones de seguridad de IPsec y los protocolos que se usan para implementar la proteccin de IPsec. Paso 6: obtener informacin sobre cmo crear una infraestructura de clave pblica (PKI) con Servicios de certificados de Active Directory (AD CS). DirectAccess necesita una PKI para emitir certificados digitales para los clientes y servidores de DirectAccess. Si an no tiene una PKI, puede implementar una con AD CS. Vea la pgina sobre cmo disear una infraestructura de clave pblica (http://go.microsoft.com/fwlink/?LinkId=169425) (puede estar en ingls). El objetivo es entender cmo se implementa una PKI, configurar la inscripcin automtica de certificados, solicitar certificados personalizados y configurar los puntos de distribucin de la lista de revocacin de certificados (CRL). Paso 7: Aprenda a crear sitios web de protocolo de transferencia de hipertexto (HTTP) y sitios web HTTP seguros (HTTPS) con Internet Information Services (IIS). DirectAccess requiere que los servidores web hospeden un sitio web de intranet basado en HTTPS y puntos de distribucin de CRL en Internet y en la intranet. Si no dispone todava de servidores web, puede implementar IIS. Vea el tema de la gua de implementacin de IIS 7 (http://go.microsoft.com/fwlink/?LinkId=166752). El objetivo es entender cmo se configuran los sitios web con IIS, incluidos los enlaces de certificado y los sitios basados en HTTPS. Paso 8 (opcional): Aprenda a usar el mtodo de cumplimiento NAP (Proteccin de acceso a redes) para IPsec. DirectAccess se puede configurar con el mtodo de cumplimiento NAP para IPsec con el fin de permitir el acceso a la intranet solo cuando un cliente DirectAccess cumple con los requisitos de mantenimiento del sistema. Vea las notas del producto relativas al cumplimiento del protocolo de seguridad de Internet en la plataforma de Proteccin de acceso a redes (http://go.microsoft.com/fwlink/? LinkId=169427) (puede estar en ingls). El objetivo es entender cmo funciona el mtodo de cumplimiento NAP para IPsec con el fin de exigir la evaluacin del mantenimiento del sistema para las comunicaciones protegidas por IPsec.

Nivel 100
Los siguientes recursos contienen informacin introductoria acerca de DirectAccess. Paso 1: obtener informacin sobre las ventajas de DirectAccess. Vea las pginas relativas a la descripcin general de nivel ejecutivo de DirectAccess para Windows 7 y Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=137755) y la demostracin de DirectAccess para Windows 7 Enterprise (http://go.microsoft.com/fwlink/?LinkId=169437) (pueden estar en ingls). El objetivo es entender las ventajas comerciales de Direct Access. Paso 2: obtener informacin sobre los componentes de Direct Access. Vea la pgina sobre informacin tcnica de DirectAccess en Windows 7 y Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkId=137754) (puede estar en ingls). En este documento se describen las tecnologas que se emplean para crear la solucin Direct Access. El objetivo es entender los modelos de acceso, las conexiones, la seguridad, la conectividad, los requisitos y la integracin con NAP de Direct Access. Paso 3: ver una comparacin de DirectAccess con otras soluciones VPN. Vea la pgina sobre acceso remoto de nueva generacin con DirectAccess y VPN (http://go.microsoft.com/fwlink/? LinkId=152702) (puede estar en ingls). En este documento se describen las ventajas de DirectAccess con respecto a las VPN, escenarios donde las VPN siguen siendo necesarias, y cmo se puede usar DirectAccess y VPN conjuntamente. El objetivo es entender la relacin entre DirectAccess y las soluciones para VPN de acceso remoto.

Nivel 200
Los siguientes recursos contienen informacin de nivel intermedio acerca de DirectAccess. Paso 1: obtener informacin sobre cmo crear un diseo efectivo para una implementacin de DirectAccess. Vea las pginas relativas a la gua de diseo de DirectAccess (http://go.microsoft.com/fwlink/?LinkID=161985) y a la gua de planeacin y diseo de infraestructuras (IPD) para DirectAccess (http://go.microsoft.com/fwlink/?LinkID=163945) (pueden estar en ingls). Para DirectAccess en Microsoft Forefront Unified Access Gateway (UAG), vea la pgina sobre la gua de diseo de DirectAccess de Forefront UAG (http://go.microsoft.com/fwlink/? LinkId=179988) (puede estar en ingls).

En estos documentos se describen las consideraciones de diseo para que DirectAccess pueda cumplir los requisitos de conectividad y seguridad de la organizacin. El objetivo es entender los distintos modelos de acceso, los elementos y requisitos de infraestructura, y cmo planear los diversos servidores necesarios para una implementacin de DirectAccess. Paso 2: obtener informacin sobre cmo configurar un servidor de DirectAccess con el asistente para configuracin de DirectAccess. Vea el vdeo de difusin por web sobre la configuracin de DirectAccess (http://go.microsoft.com/fwlink/?LinkId=169434) (puede estar en ingls). Esta difusin por web demuestra cmo usar el Asistente para instalacin de DirectAccess y cmo funcionan la conectividad del cliente DirectAccess y la administracin remota. El objetivo es entender los pasos del asistente para configuracin de DirectAccess y la conectividad bidireccional resultante de los clientes de DirectAccess. Paso 3: demostrar DirectAccess en un laboratorio de prueba. Vea la gua del laboratorio de pruebas para la demostracin de DirectAccess en http://go.microsoft.com/fwlink/?Linkid=150613. Este documento contiene procedimientos en los que se muestra cmo configurar DirectAccess en un entorno de laboratorio de prueba simplificado. El objetivo es entender los diferentes elementos de una implementacin de DirectAccess y su configuracin, y experimentar el funcionamiento de DirectAccess en un laboratorio de pruebas para distintos tipos de conexiones a Internet. Paso 4: obtener informacin sobre cmo implementar su diseo para DirectAccess. Vea la pgina de la gua de implementacin de DirectAccess (http://go.microsoft.com/fwlink/?LinkId=166398) (puede estar en ingls). Para DirectAccess en Microsoft Forefront UAG, vea la pgina relativa a la gua de implementacin de DirectAccess en Forefront UAG (http://go.microsoft.com/fwlink/? LinkId=179989) (puede estar en ingls). En estos documentos se describe cmo implementar el diseo de DirectAccess con listas de comprobacin y procedimientos detallados paso a paso. El objetivo es comprender cmo satisfacer los requisitos de infraestructura y configurar el servidor de DirectAccess y otros servidores de infraestructura para implementar el diseo de DirectAccess. Paso 5: obtener informacin sobre la solucin de problemas bsica para DirectAccess.

Vea la pgina relativa a la gua de solucin de problemas de DirectAccess (http://go.microsoft.com/fwlink/?LinkId=165904) (puede estar en ingls). En este documento se describen las herramientas de solucin de problemas de DirectAccess y las tcnicas generales para diagnosticar y resolver problemas comunes de implementacin y conectividad de DirectAccess. El objetivo es entender las herramientas, la metodologa general y los tipos de problemas que pueden producirse al configurar el servidor de DirectAccess y realizar las conexiones de DirectAccess. Paso 6: solucin de problemas de DirectAccess en un laboratorio de pruebas. Vea la gua del laboratorio de pruebas para la solucin de problemas de DirectAccess en http://go.microsoft.com/fwlink/?LinkId=181160. En este documento se hace una lista de las herramientas de solucin de problemas de DirectAccess, se muestran los resultados de las herramientas en un laboratorio de pruebas de DirectAccess y se ofrece orientacin para solucionar problemas comunes en el entorno controlado del laboratorio de pruebas de DirectAccess. El objetivo es aprender a usar las herramientas y tcnicas de solucin de problemas de DirectAccess trabajando en un conjunto de escenarios de solucin de problemas de DirectAccess. Paso 7 (opcional): aprender a implementar DirectAccess con NAP. Vea la DirectAccess with Network Access Protection (NAP). En este recurso se describe cmo implementar DirectAccess con NAP para exigir los requisitos de mantenimiento del sistema antes de permitir el acceso a la intranet a los clientes DirectAccess. El objetivo es entender las ventajas comerciales, los requisitos de infraestructura, las fases de implementacin y las tcnicas de solucin de problemas para una solucin de DirectAccess con NAP.

Nivel 300
Los siguientes recursos contienen informacin avanzada acerca de DirectAccess. Paso 1: obtener informacin detallada sobre los protocolos y paquetes IPsec, y sobre cmo los procesa Windows. Vea el captulo 18 sobre el protocolo de seguridad de Internet (IPsec) del libro de Microsoft Press acerca de protocolos y servicios TCP/IP de Windows Server 2008 (http://go.microsoft.com/fwlink/?linkid=153195) (puede estar en ingls).

En este captulo se proporcionan detalles de los protocolos IPsec y se analiza la estructura de los paquetes IPsec. El objetivo es comprender los diferentes tipos de encabezados y finalizadores de IPsec, los intercambios de mensajes y el procesamiento de paquetes protegidos por IPsec. Paso 2: obtener informacin detallada del protocolo IP-HTTPS. Vea la pgina sobre la especificacin del protocolo de tnel IP sobre HTTPS (IP-HTTPS) (http://go.microsoft.com/fwlink/? linkid=157309) (puede estar en ingls). Esta especificacin define el protocolo de Internet sobre protocolo seguro de transferencia de hipertexto (IP-HTTPS), que los clientes de DirectAccess emplean para intercambiar paquetes IPv6 con el servidor de DirectAccess cuando no pueden usar 6to4 o Teredo. El objetivo es entender los diferentes tipos de mensajes IP-HTTPS, los intercambios de mensajes y los detalles de protocolos para el cliente IP-HTTPS (el cliente DirectAccess) y el servidor de IP-HTTPS (el servidor de DirectAccess).