Configurar las directivas de red

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Puede usar este tema para configurar directivas de red en el NPS.

Add a Network Policy

El Servidor de directivas de redes (NPS) usa las directivas de red y las propiedades de marcado de las cuentas de usuario para determinar si una solicitud de conexión tiene autorización para conectarse a la red.

Puede usar este procedimiento para configurar una directiva de red nueva en la consola NPS o en la consola de acceso remoto.

Proceso de autorización

Cuando NPS autoriza una solicitud de conexión, compara la solicitud con cada una de las directivas de red de la lista ordenada de directivas, comenzando por la primera y, posteriormente, desplazándose en sentido descendente por el resto de las directivas. Si NPS encuentra una directiva cuyas condiciones coinciden con la solicitud de conexión, usa la directiva coincidente y las propiedades de acceso telefónico de la cuenta de usuario para realizar la autorización. Si las propiedades de acceso telefónico de la cuenta de usuario se configuran para conceder acceso o controlar el acceso a través de la directiva de red y la solicitud de conexión se autoriza, NPS aplica los valores configurados en la directiva de red para la conexión.

Si NPS no encuentra una directiva de red que coincida con la solicitud de conexión, la solicitud se rechazará a menos que las propiedades de acceso telefónico de la cuenta de usuario se hayan configurado para conceder acceso.

Si las propiedades de acceso telefónico de la cuenta de usuario se configuran para denegar el acceso, NPS rechazará la solicitud de conexión.

Configuración importante

Cuando use el asistente para nueva directiva de red para crear una directiva de red, el valor que especifique en Método de conexión de red se usa para configurar automáticamente la condición de Tipo de directiva:

  • Si deja el valor predeterminado Sin especificar, el NPS evalúa la directiva de red que cree para todos los tipos de conexión de red que usen cualquier tipo de servidor de acceso a la red (NAS).
  • Si especifica un método de conexión a red, NPS sólo evalúa la directiva de red si la solicitud de conexión se origina en el tipo de servidor de acceso a red que haya especificado.

En la página Permiso de acceso, debe seleccionar Acceso concedido si quiere que la directiva permita a los usuarios conectarse a su red. Si quiere que la directiva impida a los usuarios conectarse a su red, seleccione Acceso denegado.

Si quiere que las propiedades de marcado de la cuenta de usuario en Active Directory® Domain Services (AD DS) determinen el permiso de acceso, puede seleccionar la casilla Acceso determinado por las propiedades de marcado del usuario.

La pertenencia a Administradores de dominio, o equivalente, es lo mínimo necesario para completar este procedimiento.

Cómo añadir una directiva de red

  1. Abra la consola NPS y haga doble clic en Directivas.

  2. En el árbol de consola, haga clic derecho en Directivas de red y haga clic en Nueva. Se abre el asistente para nueva directiva de red.

  3. Use este asistente para crear una directiva.

Creación de directivas de red de acceso telefónico o VPN con el asistente

Puede usar este procedimiento para crear las directivas de solicitud de conexión y las directivas de red necesarias para implementar servidores de acceso telefónico o servidores de red privada virtual (VPN) como clientes del Servicio de autenticación remota telefónica de usuario (RADIUS) en el servidor RADIUS de NPS.

Nota

Los equipos cliente como los portátiles y otros equipos con sistemas operativos cliente no son clientes RADIUS. Los clientes RADIUS son servidores de acceso a la red, tales como puntos de acceso inalámbrico, conmutadores de autenticación 802.1X o servidores de red privada virtual, porque estos dispositivos usan el protocolo RADIUS para comunicarse con los servidores RADIUS como los NPS.

Este procedimiento explica cómo iniciar el asistente para nuevas conexiones de acceso telefónico o de red privada virtual en el NPS.

Una vez que ejecute el asistente, se crean las siguientes directivas:

  • Una directiva de solicitud de conexión
  • Una directiva de red

Puede ejecutar el asistente para nuevas conexiones de acceso telefónico o de red privada virtual cada vez que necesite crear nuevas directivas para servidores de acceso telefónico y servidores VPN.

Ejecutar el asistente para nuevas conexiones de acceso telefónico o de red privada virtual no es el único paso necesario para implementar servidores de acceso telefónico o de VPN como clientes RADIUS en el NPS. Ambos métodos de acceso a la red precisan la implementación de componentes adicionales de hardware y software.

La pertenencia a Administradores de dominio, o equivalente, es lo mínimo necesario para completar este procedimiento.

Para crear directivas para acceso telefónico o VPN con un asistente

  1. Abra la consola de NPS. Si no se encuentra seleccionado, haga clic en NPS (Local). Si quiere crear directivas en un NPS remoto, seleccione el servidor.

  2. En Introducción y Configuración estándar, seleccione Servidor RADIUS para conexiones de acceso telefónico o de VPN. El texto y los vínculos del texto cambian para reflejar la selección.

  3. Haga clic en Configurar VPN o acceso telefónico con un asistente. Se abre el asistente para nueva conexión de acceso telefónico o de red privada virtual.

  4. Siga las instrucciones del asistente para completar la creación de las nuevas directivas.

Creación de directivas de red para 802.1X cableadas o inalámbricas con un asistente

Puede usar este procedimiento para crear la directiva de solicitud de conexión y la directiva de red necesarias para implementar conmutadores de autenticación 802.1X o puntos de acceso inalámbricos 802.1X como clientes del Servicio de autenticación remota telefónica de usuario (RADIUS) en el servidor RADIUS del NPS.

Este procedimiento explica cómo iniciar el asistente para nuevas conexiones cableadas e inalámbricas seguras IEEE 802.1X en el NPS.

Una vez que ejecute el asistente, se crean las siguientes directivas:

  • Una directiva de solicitud de conexión
  • Una directiva de red

Puede ejecutar el asistente para Nuevas conexiones cableadas e inalámbricas seguras IEEE 802.1X todas las veces que necesite para crear nuevas directivas para acceso 802.1X.

Ejecutar el asistente para nuevas conexiones cableadas e inalámbricas seguras IEEE 802.1X no es el único paso necesario para implementar conmutadores de autenticación 802.1X y puntos de acceso inalámbrico como clientes RADIUS en el NPS. Ambos métodos de acceso a la red precisan la implementación de componentes adicionales de hardware y software.

La pertenencia a Administradores de dominio, o equivalente, es lo mínimo necesario para completar este procedimiento.

Para crear directivas para conexiones cableadas o inalámbricas 802.1X con un asistente

  1. En el NPS, en el Administrador del servidor, haga clic en Herramientas y después en Servidor de directivas de redes. Se abrirá la consola del NPS.

  2. Si no se encuentra seleccionado, haga clic en NPS (Local). Si quiere crear directivas en un NPS remoto, seleccione el servidor.

  3. En Introducción y Configuración estándar, seleccioneServidor RADIUS para conexiones cableadas o inalámbricas 802.1X. El texto y los vínculos del texto cambian para reflejar la selección.

  4. Haga clic en Configurar 802.1X con un asistente. Se abre el asistente para Nuevas conexiones cableadas e inalámbricas seguras IEEE 802.1X.

  5. Siga las instrucciones del asistente para completar la creación de las nuevas directivas.

Configuración del NPS para ignorar las propiedades de marcado de la cuenta de usuario

Use este procedimiento para configurar una directiva de red NPS para ignorar las propiedades de marcado de las cuentas de usuario en Active Directory durante el proceso de autorización. Las cuentas de usuario de Usuarios y Equipos de Active Directory tienen propiedades de marcado que el NPS evalúa durante el proceso de autorización, a menos que la propiedad de Permiso de acceso a redes esté configurada como Controlar el acceso mediante la directiva de red NPS.

Existen dos circunstancias donde quizás quiera configurar el NPS para que ignore las propiedades de marcado de las cuentas de usuario en Active Directory:

  • Cuando quiere simplificar la autorización NPS mediante una directiva de red pero no todas sus cuentas de usuario tienen la propiedad Permiso de acceso a redes configurada en Controlar el acceso mediante la directiva de red NPS. Por ejemplo, algunas cuentas de usuario pueden tener la propiedad Permiso de acceso a redes de la cuenta de usuario configurada comoDenegar acceso o Permitir acceso.

  • Cuando otras propiedades de marcado de las cuentas de usuario no son aplicables al tipo de conexión configurado en la directiva de red. Por ejemplo, cuando las propiedades distintas a la configuración Permiso de acceso a redes son aplicables solo para conexiones de marcado o conexiones VPN, pero la directiva de red que esté creando sea para conexiones inalámbricas o de autenticación de conmutadores.

Puede usar este procedimiento para que el NPS ignore las propiedades de marcado de la cuenta de usuario. Si una solicitud de conexión coincide con la directiva de red en la que está seleccionada esta casilla, el NPS no usa las propiedades de marcado de la cuenta de usuario para determinar si el usuario o el equipo tiene autorización para acceder a la red. Solo se usa la configuración en la directiva de red para determinar la autorización.

Es necesaria una suscripción a Administradores, o equivalente, para completar este procedimiento.

  1. En el NPS, en el Administrador del servidor, haga clic en Herramientas y después en Servidor de directivas de redes. Se abrirá la consola del NPS.

  2. Haga doble clic en Directivas, haga clic en Directivas de red y luego haga doble clic en la directiva que quiere configurar en el panel de detalles.

  3. En el cuadro de diálogo Propiedades, en la pestaña Introducción, en Permiso de acceso, seleccione la casilla Ignorar las propiedades de marcado de la cuenta de usuario y haga clic en Aceptar.

Cómo configurar el NPS para ignorar las propiedades de marcado de la cuenta de usuario

Configuración de NPS para VLAN

Al usar servidores de acceso a la red con reconocimiento de VLAN y NPS en Windows Server 2016, puede darle acceso a grupos de usuarios solo a los recursos de red correspondientes con sus permisos de seguridad. Por ejemplo, puede darle acceso inalámbrico a Internet a los visitantes sin permitirles acceder a la red de la organización.

Además, las VLAN le permite agrupar lógicamente recursos de red que existen en ubicaciones físicas distintas o en subredes físicas distintas. Por ejemplo, los miembros del departamento de ventas y sus recursos de red, como los equipos cliente, servidores e impresoras, pueden ubicarse en distintos edificios en la organización, pero puede situar todos estos recursos en una VLAN que use el mismo intervalo de dirección IP. Entonces, la VLAN funciona como una subred única desde la perspectiva del usuario final.

También puede usar las VLAN cuando quiera segregar una red entre distintos grupos de usuarios. Tras determinar cómo quiere definir los grupos, puede crear grupos de seguridad en el complemento Usuarios y Equipos de Active Directory. Luego, añada los miembros a los grupos.

Configuración de una directiva de red para VLAN

Puede usar este procedimiento para configurar una directiva de red que asigne usuarios a una VLAN. Cuando use hardware de red con reconocimiento de VLAN, como enrutadores, conmutadores y controles de acceso, puede configurar la directiva de red para instruir a los servidores de acceso para situar a los miembros de grupos concretos de Active Directory en una VLAN concreta. Esta capacidad de agrupar recursos de red lógicamente con VLAN proporciona flexibilidad al diseñar e implementar soluciones de red.

Cuando configure los ajustes de una directiva de red NPS para usar con VLAN, debe configurar los atributos Tunnel-Medium-Type, Tunnel-Pvt-Group-ID, Tunnel-Type, y Tunnel-Tag.

Este procedimiento se proporciona como orientación. La configuración de red puede necesitar configuraciones distintas a las siguientes.

Es necesaria la pertenencia a Administradores, o equivalente, para completar este procedimiento.

Cómo configurar una directiva de red para VLAN

  1. En el NPS, en el Administrador del servidor, haga clic en Herramientas y después en Servidor de directivas de redes. Se abrirá la consola del NPS.

  2. Haga doble clic en Directivas, haga clic en Directivas de red y luego haga doble clic en la directiva que quiere configurar en el panel de detalles.

  3. En el cuadro de diálogo Propiedades, haga clic en la pestaña Configuración.

  4. En Propiedades de directiva, en Configuración, en Atributos RADIUS, asegúrese que Estándar está seleccionado.

  5. En el panel de detalles, en Atributos, el atributo Service-Type viene con el valor predeterminado Entramado. De manera predeterminada, el atributo Framed-Protocol se configura con un valor de PPP para las directivas con métodos de acceso de VPN y acceso telefónico. Para especificar atributos de conexión adicionales necesarios para las VLAN, haga clic en Añadir. Se abrirá el cuadro de diálogo Añadir atributo RADIUS estándar.

  6. En Añadir atributo RADIUS estándar, en Atributos, desplácese hacia abajo y añada los siguientes atributos:

    • Tunnel-Medium-Type. Seleccione un valor acorde con las selecciones anteriores que hizo para la directiva. Por ejemplo, si la directiva de red que está configurando es una directiva inalámbrica, seleccione Valor: 802 (Incluye todos los medios 802 junto al formato canónico Ethernet).

    • Tunnel-Pvt-Group-ID. Escriba el entero que representa el número de VLAN al que se asignarán los miembros del grupo.

    • Tunnel-Type. Seleccione LAN virtuales (VLAN).

  7. En Añadir atributo RADIUS estándar, haga clic en Cerrar.

  8. Si el servidor de acceso a la red (NAS) necesita usar el atributo Tunnel-Tag, haga lo siguiente para añadir el atributo Tunnel-Tag a la directiva de red. Si este atributo no aparece en la documentación de tu NAS, no lo añada a la directiva. Si es necesario, añada los siguientes atributos:

    • En las Propiedades de la directiva, en Configuración, en Atributos RADIUS, haga clic en Específico del proveedor.

    • En el panel de detalles, haga clic en Añadir. Se abrirá el cuadro de diálogo Añadir atributo específico del proveedor.

    • En Atributos, desplácese hacia abajo, seleccione Tunnel-Tag y haga clic en Añadir. Se abrirá el cuadro de diálogo Información del atributo.

    • En Valor de atributo, escriba el valor que indique su documentación del hardware.

Configuración del tamaño de la carga EAP

En algunos casos, los enrutadores o los firewalls excluyen paquetes porque están configurados para descartar paquetes que necesitan fragmentación.

Al implementar el NPS con directivas de red que usan el Protocolo de Autenticación Extensible (EAP) con seguridad de la capa de transporte (TLS) o EAP-TLS, como método de autenticación, la unidad de transmisión máxima (MTU) predeterminada que el NPS usa para las cargas EAP es de 1500 bytes.

Este tamaño máximo para la carga EAP puede crear mensajes RADIUS que necesiten fragmentación por parte de un enrutador o un firewall entre el NPS y el cliente RADIUS. Si es el caso, un enrutador o un firewall colocados entre el cliente RADIUS y el NPS puede descartar algunos fragmentos. Esto conlleva un error de autenticación y la incapacidad del cliente de acceso de conectarse a la red.

Use el siguiente procedimiento para reducir el tamaño máximo que el NPS usa para las cargas EAP mediante el ajuste del atributo Framed-MTU a un valor menor que 1344 en una directiva de red.

Es necesaria la pertenencia a Administradores, o equivalente, para completar este procedimiento.

Cómo configurar el atributo Framed-MTU

  1. En el NPS, en el Administrador del servidor, haga clic en Herramientas y después en Servidor de directivas de redes. Se abrirá la consola del NPS.

  2. Haga doble clic en Directivas, haga clic en Directivas de red y luego haga doble clic en la directiva que quiere configurar en el panel de detalles.

  3. En el cuadro de diálogo Propiedades, haga clic en la pestaña Configuración.

  4. En Configuración, en Atributos RADIUS, haga clic en Estándar. En el panel de detalles, haga clic en Añadir. Se abrirá el cuadro de diálogo Añadir atributo RADIUS estándar.

  5. En Atributos, desplácese hacia abajo y haga clic en Framed-MTU, y después haga clic en Añadir. Se abrirá el cuadro de diálogo Información del atributo.

  6. En Valor de atributo, escriba un valor igual o menor que 1344. Haga clic en Aceptar, haga clic en Cerrar y después haga clic en Aceptar.

Para obtener más información sobre las directivas de red, consulte Directivas de red.

Para obtener ejemplos de sintaxis de coincidencia de patrones para especificar atributos de directiva de red, consulte Uso de expresiones regulares en un NPS.

Para obtener más información sobre NPS, consulte Servidor de directivas de redes (NPS).