NPS is not just a replacement for IAS, it does what IAS did and much more.

While many of us may be just looking to do the same thing that IAS did in Windows 2003, when you install NPS, you will find that you have opened up yourself to a lot of new functionality. Here is what NPS does that is the SAME as what IAS offered:

Routing of LAN and WAN traffic. Allow access to local resources through VPN or dial-up connections. Creating and enforcing network access through VPN or dial-up connections.

For example, NPS can provide these functions:

VPN Services Dial-up Services 802.11 protected access Routing & Remote Access (RRAS) Offer Authentication through Windows Active Directory Control network access with policies

What NPS does that is new are all the functions related to Network Access Protection (NAP). For example System Health Validators, Remediation Server Groups, Health Polices, and more. For a detailed step-by-step example of how to use NPS to perform Network Access Protection (NAP), please see Brian Poseys series An Introduction to Network Access Protection - Part 1 to Part 7

How do I install NPS?

NPS is a Windows 2008 Server Component. That means that you install it by Adding a Component, like this:

Figure 1: Adding the NPS Component Next, choose the Network Policy and Access Services, like this:

Figure 2: Choosing the NPS Role You will be given a screen full of overview information on NPS, like this:

Figure 3: Overview screen on NPS Now, choose the services for this role that you want to install. Note that if you choose either the Health Registration Authority or the Host Credential Authorization protocol, you will be prompted to install more roles for your server (like IIS web server). Both of these services are related to either Microsofts NAP or Ciscos NAC. To go into this list a little further, the Network Policy Service is actually the RADIUS server that you are used to seeing with IAS. The RRAS services are the second piece that has traditionally been included with IAS. With these being broken out, you can selectively install what you choose.

Figure 4: Selecting the NPS installation options After you make your choices and click Next, you will see this final confirmation screen where you can click Install.

Figure 5: NPS Installation Confirmation Screen At the conclusion of the install, look for a screen like this:

Figure 6: NPS Installation Completed Now, lets move on to how you manage your new Network Policy Server

How do I manage NPS?

If you are looking to perform the traditional IAS functions, the easiest way to manage your new network policy server (NPS) services is to use the Windows 2008 Server Manager. Inside Server Manager, you will see Roles and inside roles, you will find Network Policy and Access Services, like this:

Figure 7: NPS Services in Server Manager As you can see, there are 3 services associated with NPS, the network policy server (named IAS), the remote access connection manager (RasMan), and the routing and remote access service (named RemoteAccess). For those who use IAS, the names of these services will seem familiar. To configure and manage the separate Network Policy Server (NPS) service, there is a new Windows 2008 Server administrative tool, called Network Policy Server.

Figure 8: Starting the NPS Management Tool Once loaded, here is what it looks like:

Figure 9: The NPS Management Tool As you can see, the RADIUS Clients and Servers section is familiar, as is the Polices section. What looks new is that the old IAS Remote Access Logging has been renamed Accounting and the Network Access Protection folder is new. Still, it isnt just that pieces of the interface and name of IAS are new, what is truly different is the Network Access Protection functionality that NPS provides.

Network Policy Server Architecture

There are a number of parts to the Network Policy Server architecture. Below is a graphic originally published at Microsoft TechNet in an article titled Network Policy Server Infrastructure.

Figure 10: NPS Architecture (Source: Microsoft) As you can see from the graphic, the NPS server that we installed in this article is just one of the many pieces of the total NPS Infrastructure. Not all of these pieces are required. The pieces of this infrastructure that are required are based on the function that you are trying to perform. For example, in my introduction, I talked about how I would like to use NPS to authenticate Cisco networking devices using RADIUS. To do that, all I would need is this NPS RADIUS Server and the Network Policy Server (NPS). The Cisco router (or other network device) would be the NPS RADIUS Client. The NPS RADIUS Server is what accepts the request for user credential authentication from the network device. The NPS RADIUS Server usually checks with the Network Policy Server to see if it is accepting authentication requests from the RADIUS Client and, if the policy is met, the credentials are sent, usually to the Windows Active Directory (AD) to be validated. If they are validated, the authentication accepted request is sent back to the NPS RADIUS Client (the network device, such as a Cisco router, in my example).

Server 2008 (parte 2).

Introduccin
Si implementa conectividad Wi-Fi de la red de negocios, debe utilizar el modo de empresa de seguridad de Wi-Fi Protected Access (WPA o WPA2) preferiblemente WPA2 con cifrado AES. Este modo de Enterprise utiliza autenticacin 802.1X, que permite las claves de cifrado nica para cada sesin de usuario. El modo Personal utiliza claves de precompartida (PSKs), que son cifrados estticas y no son suficientemente seguros para empresas u organizaciones. El modo empresarial de WPA/WPA2 proporciona un par de ventajas importantes:

Los usuarios finales pueden iniciar una sesin con nombres de usuario y contraseas, que pueden ser su cuenta de dominio si utiliza Active Directory. Puede cambiar las credenciales de inicio de sesin y revocar el acceso por usuario. Si utiliza el modo Personal, todos seran iniciar sesin con la misma clave de cifrado esttica. As, si se roba un porttil tendra que cambiar la clave de cifrado de todos los clientes pero no con el modo de empresa. Este modo proporciona la mejor seguridad de clave de cifrado. PSKs de modo Personal son susceptibles a adivinar con ataques de fuerza bruta diccionario. Los usuarios finales reciben bien las claves de cifrado nica en cada perodo de sesiones. Los empleados, por ejemplo, no pueden oler del otro trfico inalmbrico como con el modo Personal. Este modo mejor soporte VLAN. Usted puede ofrecer slo una nica red inalmbrica (SSID) para todos los usuarios, incluidos empleados, departamentos y huspedes. Puede asignar a usuarios a diferentes VLAN en el servidor RADIUS y coloque en la VLAN asignada cuando se conectan inalmbricamente.

El nico problema con el modo de empresa es la sobrecarga de la configuracin del servidor de autenticacin Dial en usuario servicio remota (RADIUS) necesarios y configurar los equipos cliente. Requiere ms tiempo (y ms dinero) Si an no tienes un servidor de Windows para configurar el servidor RADIUS y configurar los puntos de acceso inalmbrico (APs). Adems de Windows no lo hace fcil de conectar a estos tipos de redes, puede que necesite contratar ms personal de mesa de ayuda. Como podra haber adivinado ya, Windows Server incluye la funcionalidad de servidor RADIUS para realizar la autenticacin 802.1X. De esta manera no tienes que comprar un servidor RADIUS independiente, o aprender un cdigo abierto uno como FreeRADIUS. Funcionalidad RADIUS del servidor de Windows se ha discutido anteriormente en este sitio para Windows Server 2000 y 2003. Sin embargo, ahora te llevaremos a travs del uso de Windows Server 2008.

Comenzando con Windows Vista y Windows Server 2008, Microsoft ha introducido una nueva caracterstica denominada servidor de directivas de redes (NPS). Su implementacin de proteccin de acceso a Microsoft'sNetwork (NAP), lo que le permite aplicar salud polticas de clientes en las siguientes funciones o ajustes:

Seguridad de Protocolo Internet (IPsec)-protegido de comunicaciones Conexiones autenticada de 802.1X Conexiones VPN Configuracin de protocolo de configuracin de Host (DHCP) dinmica Conexiones de terminales Services Gateway (TS Gateway)

NPS tambin reemplaza e incluye el servicio de autenticacin de Internet (IAS) en versiones anteriores de Windows Server. Si ests interesado en las caractersticas NPS generales de Windows Server 2008, consulte un artculo anterior en este sitio.

Consideraciones y requisitos antes de la implementacin

En este tutorial, estamos estableciendo slo la funcionalidad de radio de NPS. Vamos a estar utilizando el Protocolo de autenticacin Extensible (EAP) EAP protegido (PEAP) en particular. Este sabor de autenticacin 802.1X requiere un certificado de seguridad en el servidor, pero no en los clientes. Inicio de sesin de los usuarios finales con nombres de usuario y contraseas de cuentas definidas en Active Directory en el servidor de Windows. Tenga en cuenta, desear cada inalmbrica controlador o punto de acceso (AP) configurado con una direccin IP esttica. Ms tarde crear una entrada en el servidor de Windows para cada AP con su direccin IP y el secreto compartido. Asegrese de que has realizado la configuracin inicial de Windows Server 2008. Configurar la zona horaria, conectarse a la red con una direccin IP esttica, el nombre del servidor de Windows, activar actualizaciones automticas e instalar las actualizaciones disponibles. Tambin necesita tener una configuracin de dominio de Active Directory. Asegrese de que est activada la funcin de servicios de dominio de Active Directory y que se ha configurado con la utilidad dcpromo.exe .

Instalar la funcin de servicios de Certificate Server

Para utilizar el protocolo PEAP, debe instalar la funcin de servicios de Certificate Server. Le permite crear una autoridad de certificacin (CA) para generar y firmar el certificado exigido en el servidor. Esto es por lo que los clientes pueden validar el servidor antes de enviar sus credenciales de inicio de sesin. En la ventana de Tareas de configuracin inicial , desplcese hacia abajo y, a continuacin, haga clic en Agregar funciones. Si ha cerrado u oculta esa ventana, haga clic en Inicio > Administrador de servidor, seleccione Roles y haga clic en Agregar funciones.

Seleccione Servicios de certificados de Active Directory (ver figura 1) y haga clic en siguiente.

Figura 1: Seleccione esta opcin para instalar el rol de servicios de certificados de Active Directory Haga clic en siguiente en la pantalla de informacin. A continuacin, seleccione las funciones deAutoridad de certificacin y el Certificado de inscripcin en Web autoridad .En el smbolo del sistema (ver figura 2), haga clic en Agregar servicios de funcin requerida. Haga clic en siguiente para continuar.

Figura 2: Contine aadiendo papel requiere servicios Seleccione tipo (ver figura 3) de la empresa y haga clic en siguiente.

Figura 3: Elija el tipo de empresa Para el tipo de entidad emisora de certificados, seleccione CA raz (ver figura 4) y haga clic en siguiente.

Figura 4: Seleccione la entidad emisora raz La opcin Set Up clave privada, seleccione crear una nueva clave privada (ver figura 5) y haga clic en siguiente.

Figura 5: Seleccione esta opcin para crear una nueva clave privada. Acepte los valores predeterminados para la criptografa de CA (ver figura 6) y haga clic en siguiente.

Figura 6: Seguir aceptando los valores predeterminados Si lo desea, puede cambiar la configuracin de entidad emisora de certificados (consulte la figura 7 para ver un ejemplo) y haga clic en siguiente. Por razones de seguridad, no debe utilizar el FQDN como nombre comn. Para ayudar a identificar este certificado de otros, usted debe terminar con CA.

Figura 7: Elija un nombre de CA. Para el perodo de validez, puede extender a ms de 5 aos (a 20 aos, como en la figura 8), por lo que no tendrs que renovar o regenerar el certificado ms tarde. Haga clic en siguiente para continuar.

Figure8: Aumentar el perodo de validez Haga clic en siguiente para aceptar las ubicaciones de base de datos de certificado por defecto (ver figura 9).

Figura 9: Continuar aceptando las ubicaciones predeterminadas Revisar la introduccin a IIS y haga clic en siguiente. Si lo desea, modificar los roles para instalarse y haga clic en siguiente. Revise la configuracin y haga clic en instalar.

Solicitar los certificados

Ahora que tienes la CA funcionando, puede obtener el certificado exigido por PEAP para servidor de autenticacin. En primer lugar, debe crear un Microsoft Management Console (MMC): haga clic en Inicio, escriba MMCy pulse entrar. En la ventana MMC, haga clic en archivo>Agregar o quitar complemento. Seleccione certificados (ver figura 10) y haga clic en Agregar.

Figura 10: Agregar el complemento Certificados Seleccione cuenta de equipoy haga clic en siguiente. Seleccione equipo Local, haga clic en Finalizary luego Aceptar. Sugerencia: Puede que desee guardar esta MMC en su escritorio para facilitar el acceso ms tarde: haga clic en archivo>Guardar. Expanda certificados (cuenta de equipo Local), expanda Personal, haga clic en certificados y seleccione Todas las tareas>Solicitar nuevo certificado (ver figura 11).

Figura 11: Solicitar un nuevo certificado En la ventana de informacin, haga clic en siguiente para continuar. Seleccione el Controlador de dominioy haga clic en inscribirse. Despus de lo sucedido, haga clic en Finalizar.

Resumen
anunci o

<a href="http://banman.isoftmarketing.com/a.aspx?ZoneID=77&Task=Click&Mode=HTML&SiteID=7 &PageID=21367" target="_blank"> <img src="http://banman.isoftmarketing.com/a.aspx?ZoneID=77&Task=Get&Mode=HTML&SiteID=7&P ageID=21367" width="336" height="280" border="0" alt=""></a>

En este artculo, hemos descubierto cmo la modalidad de empresa de acceso protegido Wi-Fi junto con la autenticacin 802.1x proporciona seguridad inalmbrica superior. Despus de realizar la configuracin inicial de Windows Server 2008 y configuracin de Active Directory, se instalaron los servicios de Certificate Server para crear una autoridad de certificacin (CA). Luego generamos el certificado.

Mantngase atento en la prxima entrega, vamos a seguir instalando la funcin directiva de red y servicios de acceso, configurar los controladores inalmbricos o APs, y configurar los equipos cliente. A continuacin, finalmente, podremos conectar!