Procesamiento de solicitudes de conexión

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Puede usar este artículo para obtener información sobre el procesamiento de solicitudes de conexión del Servidor de directivas de red en Windows Server 2016.

Nota:

Además de este artículo, está disponible la siguiente documentación sobre procesamiento de solicitud de conexión.

• Directivas de solicitudes de conexión
• Nombres de dominio kerberos
• Grupos de servidores RADIUS remotos

Puede usar el procesamiento de solicitudes de conexión para especificar dónde se realiza la autenticación de las solicitudes de conexión: en el equipo local o en un servidor RADIUS remoto que sea miembro de un grupo de servidores RADIUS remotos.

Si desea que el servidor local que ejecuta el Servidor de directivas de redes (NPS) realice la autenticación para las solicitudes de conexión, puede usar la directiva de solicitud de conexión predeterminada sin necesidad de hacer ninguna configuración adicional. Basándose en la directiva predeterminada, NPS autentica a los usuarios y equipos que tienen una cuenta en el dominio local y en dominios de confianza.

Si desea reenviar las solicitudes de conexión a un NPS remoto u otro servidor RADIUS, cree un grupo del servidores RADIUS remotos y, a continuación, configure una directiva de solicitud de conexión que reenvíe solicitudes a ese grupo de servidores RADIUS remotos. Con esta configuración, NPS puede reenviar solicitudes de autenticación a cualquier servidor RADIUS, y los usuarios con cuentas en dominios que no son de confianza pueden ser autenticados.

La ilustración siguiente muestra la ruta de un mensaje de solicitud de acceso desde un servidor de acceso a la red a un proxy RADIUS y, a continuación, a un servidor RADIUS de un grupo del servidor RADIUS remoto. En el proxy RADIUS, el servidor de acceso a la red se configura como un cliente RADIUS; y en cada servidor RADIUS, el proxy RADIUS se configura como un cliente RADIUS.

Nota:

Los servidores de acceso a la red que use con un NPS pueden ser dispositivos de puerta de enlace compatibles con el protocolo RADIUS, como puntos de acceso inalámbrico 802.1X y conmutadores de autenticación, servidores que ejecutan acceso remoto que se configuran como servidores de acceso telefónico o VPN u otros dispositivos compatibles con RADIUS.

Si desea que NPS procese algunas solicitudes de autenticación localmente y reenvíe otras solicitudes a un grupo del servidor RADIUS remoto, configure más de una directiva de solicitud de conexión.

Para configurar una directiva de solicitud de conexión que especifique el grupo de servidores de NPS o RADIUS que procesará las solicitudes de autenticación, consulte Directivas de solicitud de conexión.

Para especificar los servidores NPS u otros servidores RADIUS a los que reenviar solicitudes de autenticación, consulte Grupos de servidores RADIUS remotos.

NPS como un procesamiento de solicitudes de conexión de servidor RADIUS

Cuando un NPS se usa como un servidor RADIUS, los mensajes RADIUS proporcionan autenticación, autorización y contabilización de cuentas para las conexiones de acceso a la red del modo que se indica a continuación:

1. Los servidores de acceso, como los servidores de acceso telefónico a la red, los servidores VPN y los puntos de acceso inalámbrico reciben solicitudes de conexión de clientes de acceso.

2. El servidor de acceso, configurado para usar RADIUS como el protocolo de autenticación, autorización y contabilización de cuentas, crea un mensaje de solicitud de acceso y lo envía al NPS.

3. El NPS evalúa el mensaje de solicitud de acceso.

4. Si fuera necesario, el NPS envía un mensaje de desafío de acceso al servidor de acceso. El servidor de acceso procesa el desafío y envía una solicitud de acceso actualizada al NPS.

5. Las credenciales de usuario se comprueban y las propiedades de acceso telefónico de la cuenta de usuario se obtienen por medio de una conexión segura con un controlador de dominio.

6. El intento de conexión se autoriza con las propiedades de acceso telefónico de la cuenta de usuario y las directivas de red.

7. Si el intento de conexión se autentica y autoriza, el NPS envía un mensaje de aceptación de acceso al servidor de acceso. Si el intento de conexión no se autentica o no se autoriza, el NPS envía un mensaje de denegación de acceso al servidor de acceso.

8. El servidor de acceso completa el proceso de conexión con el cliente de acceso y envía un mensaje de solicitud de registro de actividad al NPS, donde se registra el mensaje.

9. El NPS envía una respuesta de cuenta al servidor de acceso.

Nota

Asimismo, el servidor de acceso envía mensajes de solicitud de registro de actividad cuando la conexión se establece, cuando la conexión del cliente de acceso se cierra y cuando el servidor de acceso se inicia y detiene.

NPS como procesamiento de solicitudes de conexión de proxy RADIUS

Cuando NPS se usa como proxy RADIUS entre un cliente RADIUS y un servidor RADIUS, los mensajes RADIUS para los intentos de conexión de acceso a la red se reenvían del siguiente modo:

1. Los servidores de acceso, tales como los servidores de acceso telefónico a la red, los servidores de red privada virtual (VPN) y los puntos de acceso inalámbrico, reciben las solicitudes de conexión de los clientes de acceso.

2. El servidor de acceso, configurado para usar RADIUS como protocolo de autenticación, autorización y cuentas, crea un mensaje de solicitud de acceso y lo envía al NPS que se está usando como proxy RADIUS NPS.

3. El proxy RADIUS NPS recibe el mensaje de solicitud de acceso y, basándose en las directivas de solicitud de conexión configuradas localmente, determina adónde reenviar el mensaje de solicitud de acceso.

4. El proxy RADIUS NPS reenvía el mensaje de solicitud de acceso al servidor RADIUS correspondiente.

5. El servidor RADIUS evalúa el mensaje de solicitud de acceso.

6. Si es necesario, el servidor RADIUS envía un mensaje de desafío de acceso al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso. El servidor de acceso procesa el desafío con el cliente de acceso y envía una solicitud de acceso actualizada al proxy RADIUS NPS, desde donde se reenvía al servidor RADIUS.

7. El servidor RADIUS autentica y autoriza el intento de conexión.

8. Si se autentica y autoriza el intento de conexión, el servidor RADIUS envía un mensaje de aceptación de acceso al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso. Si no se autentica o autoriza el intento de conexión, el servidor RADIUS envía un mensaje de rechazo de acceso al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso.

9. El servidor de acceso completa el proceso de conexión con el cliente de acceso y envía un mensaje de solicitud de registro de actividad al proxy RADIUS NPS. El proxy RADIUS NPS registra los datos de cuentas y reenvía el mensaje al servidor RADIUS.

10. El servidor RADIUS envía un mensaje de respuesta de cuenta al proxy RADIUS NPS, desde donde se reenvía al servidor de acceso.

Para más información sobre NPS, consulte Servidor de directivas de redes (NPS).