Tutorial: Implantar a infraestrutura VPN Always On

A VPN Always On é uma solução de acesso remoto no Windows Server que fornece conectividade perfeita e segura para usuários remotos para redes corporativas. Ele dá suporte a métodos avançados de autenticação e integra-se à infraestrutura existente, oferecendo uma alternativa moderna às soluções vpn tradicionais. Este tutorial inicia a série para implantar a VPN Always On em um ambiente de exemplo.

Neste tutorial, você aprenderá a implantar uma infraestrutura de amostra para as conexões Always On VPN para os computadores clientes Windows unidos por domínio remoto. Para criar uma infraestrutura de exemplo, você:

• Crie um controlador de domínio do Active Directory.
• Configure a Política de Grupo para o registro automático de certificados.
• Crie um servidor NPS (Servidor de Política de Rede).
• Crie um servidor VPN.
• Crie um usuário e um grupo de VPN.
• Configure o servidor VPN como um cliente RADIUS.
• Configure o servidor NPS como um servidor RADIUS.

Para saber mais sobre a VPN Always On, incluindo integrações com suporte, recursos de segurança e conectividade, consulte a Visão geral da VPN Always On.

Pré-requisitos

Para concluir as etapas neste tutorial, você precisa atender aos seguintes pré-requisitos:

• Três servidores (físicos ou virtuais) executando uma versão com suporte do Windows Server. Esses servidores são o controlador de domínio, o servidor NPS e o servidor VPN.

• O servidor que você usa para o servidor NPS precisa de dois adaptadores de rede físicos instalados: um para se conectar à Internet e outro para se conectar à rede em que o controlador de domínio está localizado.

• Uma conta de usuário em todos os computadores que seja membro do grupo de segurança administradores local ou equivalente.

Importante

Não há suporte para o uso do Acesso Remoto no Microsoft Azure. Para obter mais informações, confira Suporte ao software de servidor da Microsoft para máquinas virtuais do Microsoft Azure.

Criar o grupo controlador de domínio

1. No servidor que você deseja ser o controlador de domínio, instale o Active Directory Domain Services (AD DS). Para obter informações detalhadas sobre como instalar o AD DS, consulte Instalar Active Directory Domain Services.

2. Promover o Windows Server para o controlador de domínio. Para este tutorial, você criará uma nova floresta e o domínio para essa nova floresta. Para obter informações detalhadas sobre como instalar o controlador de domínio, consulte Instalação do AD DS.

3. Instalar e configurar a CA (Autoridade de Certificação) no controlador de domínio. Para obter informações detalhadas sobre como instalar a AC, consulte Instalar a Autoridade de Certificação.

Configurar a Política de Grupo para registro automático de certificados

Nesta seção, você criará uma Política de Grupo no controlador de domínio para que os membros do domínio solicitem automaticamente certificados de usuário e computador. Essa configuração permite que os usuários de VPN solicitem e recuperem certificados de usuário que autenticam automaticamente conexões VPN. Essa política também permite que o servidor de NPS solicite certificados de autenticação de servidor automaticamente.

1. No controlador de domínio, abra o console de Gerenciamento de Política de Grupo.

2. No painel esquerdo, clique com o botão direito do mouse em seu domínio (por exemplo, corp.contoso.com). Selecione Criar um GPO neste domínio e fornecer um link para ele aqui.

3. Na caixa de diálogo Novo GPO, para Nome, insira Política de Autoinscrição. Selecione OK.

4. No painel esquerdo, clique com o botão direito do mouse em Política de registro automático. Selecione Editar para abrir o Editor de Gerenciamento de Política de Grupo.

5. No Editor de Gerenciamento de Política de Grupo, conclua as seguintes etapas para configurar o registro automático de certificado do computador:

   1. Navegue até Configuração do Computador>Políticas>Configurações do Windows>Configurações de Segurança>Políticas de Chave Pública.

   2. No painel de detalhes, clique com o botão direito do mouse em Cliente dos Serviços de Certificado - Registro automático. Selecione Propriedades.

   3. Na caixa de diálogo Cliente dos Serviços de Certificado – Propriedades de registro automático, em Modelo de configuração, selecione Habilitado.

   4. Selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que usam modelos de certificados.

   5. Selecione OK.

6. No Editor de Gerenciamento de Política de Grupo, conclua as seguintes etapas para configurar o registro automático de certificado do usuário:

   1. Navegue até Configuração do Usuário>Políticas>Configurações do Windows>Configurações de Segurança>Políticas de Chave Pública.

   2. No painel de detalhes, clique com o botão direito do mouse em Cliente dos Serviços de Certificado – Registro automático e selecione Propriedades.

   3. Na caixa de diálogo Cliente dos Serviços de Certificado – Propriedades de registro automático, em Modelo de configuração, selecione Habilitado.

   4. Selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que usam modelos de certificados.

   5. Selecione OK.

   6. Feche o Editor de Gerenciamento da Política de Grupo.

7. Aplique a Política de Grupo a usuários e computadores no domínio.

8. Feche o console Gerenciamento de Política de Grupo.

Criar o servidor de NPS

1. No servidor que você deseja ser o servidor NPS, instale a função NPS (Política de Rede e Serviços de Acesso). Para obter informações detalhadas sobre como instalar o NPS, consulte Instalar o Servidor de Política de Rede.

2. Registrar o servidor do NPS no Active Directory. Para obter informações sobre como registrar o servidor de NPS no Active Directory, consulte Registrar um NPS em um domínio do Active Directory.

3. Verifique se os firewalls permitem o tráfego necessário para que as comunicações VPN e RADIUS funcionem corretamente. Para obter mais informações, confira Configurar firewalls para o tráfego do RADIUS.

4. Criar o grupo de servidores NPS:

   1. No controlador de domínio, abra Usuários e Computadores do Active Directory.

   2. Em seu domínio, clique com o botão direito do mouse em Computadores. Selecione Novo e, em seguida, selecione Grupo.

   3. Em Nome do grupo, insira Servidores NPS e selecione OK.

   4. Clique com o botão direito do mouse em Servidores NPS e selecione Propriedades.

   5. Na guia Membros da caixa de diálogo Propriedades dos servidores NPS, selecione Adicionar.

   6. Selecione Tipos de Objeto, marque a caixa de seleção Computadores e, em seguida, selecione OK.

   7. Insira os nomes de objeto a serem selecionados, insira o nome do host do servidor NPS. Selecione OK.

   8. Feche Usuários e Computadores do Active Directory.

Criar o servidor de VPN

1. Para o servidor que executa o servidor VPN, verifique se o computador tem dois adaptadores de rede físicos instalados: um para se conectar à Internet e outro para se conectar à rede em que o controlador de domínio está localizado.

2. Identifique qual adaptador de rede se conecta à Internet e qual adaptador de rede se conecta ao domínio. Configure o adaptador de rede voltado para a Internet com um endereço IP público, enquanto o adaptador voltado para a intranet pode usar um endereço IP da rede local.

3. No adaptador de rede que se conecta ao domínio, defina o endereço IP preferencial do DNS como o endereço IP do controlador de domínio.

4. Adicionar o servidor de VPN ao domínio. Para obter informações sobre como adicionar um servidor em um domínio, consulte Como adicionar um servidor em um domínio.

5. Abra suas regras de firewall para permitir que as portas UDP 500 e 4500 sejam de entrada para o endereço IP externo aplicado à interface pública no servidor de VPN. Para o adaptador de rede que se conecta ao domínio, permita as seguintes portas UDP: 1812, 1813, 1645 e 1646.

6. Criar o grupo de servidores VPN:

   1. No controlador de domínio, abra Usuários e Computadores do Active Directory.

   2. Em seu domínio, clique com o botão direito do mouse em Computadores. Selecione Novo e, em seguida, selecione Grupo.

   3. Em Nome do grupo, insira Servidores VPN e selecione OK.

   4. Clique com o botão direito do mouse em Servidores VPN e selecione Propriedades.

   5. Na guia Membros da caixa de diálogo Propriedades dos servidores VPN, selecione Adicionar.

   6. Selecione Tipos de Objeto, marque a caixa de seleção Computadores e, em seguida, selecione OK.

   7. Insira os nomes de objeto a serem selecionados, insira o nome do host do servidor VPN. Selecione OK.

   8. Feche Usuários e Computadores do Active Directory.

7. Siga as etapas em Instalar o acesso remoto como um servidor de VPN para instalar o servidor de VPN.

8. Abra o Roteamento e o Acesso Remoto do Gerenciador do Servidor.

9. Clique com o botão direito do mouse no nome do servidor VPN e selecione Propriedades.

10. Em Propriedades, selecione a guia Segurança e:

    1. Selecione Provedor de autenticação e selecione Autenticação RADIUS.

    2. Selecione Configurar para abrir a caixa de diálogo Autenticação RADIUS.

    3. Selecione Adicionar para abrir a caixa de diálogo Adicionar servidor RADIUS.

       1. No nome do servidor, insira o FQDN (Nome de Domínio Totalmente Qualificado) do servidor NPS, que também é um servidor RADIUS. Por exemplo, se o nome NetBIOS do seu NPS e do servidor do controlador de domínio for nps1 e seu nome de domínio for corp.contoso.com, insira nps1.corp.contoso.com.

       2. Em Segredo compartilhado, selecione Alterar para abrir a caixa de diálogo Alterar Segredo.

       3. Em Novo segredo, insira uma cadeia de caracteres de texto.

       4. Em Confirmar novo segredo, insira a mesma cadeia de caracteres de texto e selecione OK.

       5. Salve esse segredo. Você precisará dele quando adicionar esse servidor VPN como um cliente RADIUS mais adiante neste tutorial.

    4. Selecione OK para fechar a caixa de diálogo Adicionar Servidor RADIUS .

    5. Selecione OK para fechar a caixa de diálogo Autenticação RADIUS .

11. Na caixa de diálogo Propriedades do servidor de VPN, selecione Métodos de Autenticação....

12. Selecione Permitir autenticação de certificado do computador para IKEv2.

13. Selecione OK.

14. Para Provedor de contabilização, selecione Contabilização do Windows.

15. Selecione OK para fechar a caixa de diálogo Propriedades.

16. Uma caixa de diálogo solicita que você reinicie o servidor. Selecione Sim na barra superior.

Criar usuário e grupo vpn

1. Crie um usuário VPN seguindo as seguintes etapas:

   1. No controlador de domínio, abra o console de Usuários e Computadores do Active Directory .
   2. Em seu domínio, clique com o botão direito do mouse em Usuários. Selecione Novo. Para o nome de logon do usuário, insira qualquer nome. Selecione Avançar.
   3. Escolha uma senha para o usuário.
   4. Desmarque Usuário deve alterar a senha no próximo logon. Selecione A senha nunca expira.
   5. Selecione Concluir. Mantenha aberto Usuários e Computadores do Active Directory.

2. Crie um grupo de usuários VPN seguindo as seguintes etapas:

   1. Em seu domínio, clique com o botão direito do mouse em Usuários. Selecione Novo e, em seguida, selecione Grupo.
   2. Em Nome do grupo, insira Usuários VPN e selecione OK.
   3. Clique com o botão direito do mouse em Usuários VPN e selecione Propriedades.
   4. Na guia Membros da caixa de diálogo Propriedades dos usuários VPN, selecione Adicionar.
   5. Na caixa de diálogo Selecionar Usuários, adicione o usuário VPN que você criou e selecione OK.

Configurar o servidor de VPN como um cliente RADIUS

1. No servidor NPS, abra as regras de firewall para permitir as portas UDP 1812, 1813, 1645 e 1646, incluindo o Firewall do Windows.

2. Abra o console do Servidor de Política de Rede .

3. No console do NPS, clique duas vezes em Clientes e servidores RADIUS.

4. Clique com o botão direito do mouse em Clientes RADIUS e selecione Novo para abrir a caixa de diálogo Novo Cliente RADIUS .

5. Verifique se a caixa de seleção Habilitar este cliente RADIUS está selecionada.

6. Em Nome amigável, insira um nome de exibição para o servidor de VPN.

7. Em Endereço (IP ou DNS), insira o endereço IP ou o FQDN do servidor VPN.

   Se você inserir o FQDN, selecione Verificar se deseja verificar se o nome está correto e mapeia para um endereço IP válido.

8. Em Segredo compartilhado:

   1. Verifique se Manual está selecionado.
   2. Insira o segredo que você criou na seção Criar o servidor de VPN.
   3. Para confirmar o segredo compartilhado, reinsira o segredo compartilhado.

9. Selecione OK. O servidor de VPN deve ser exibido na lista de clientes RADIUS configurados no servidor de NPS.

Configurar o servidor de NPS como um servidor RADIUS

1. Registre um certificado de servidor para o servidor NPS, com um certificado que atenda aos requisitos em Configurar modelos de certificado para requisitos PEAP e EAP. Para verificar se os servidores NPS (Servidor de Política de Rede) estão registrados com um certificado de servidor da AC (autoridade de certificação), veja Verificar o Registro de Certificado de um Servidor.

2. No console do NPS, selecione NPS (Local).

3. Na Configuração Padrão, verifique se o servidor RADIUS para Conexões Dial-Up ou VPN está selecionado.

4. Selecione Configurar VPN ou Discagem para abrir o assistente Configurar VPN ou Discagem.

5. Selecione Conexões de VPN (Rede Virtual Privada) e selecione Avançar.

6. Em Especificar o Servidor de Discagem ou VPN, em Clientes RADIUS, selecione o nome do servidor VPN.

7. Selecione Avançar.

8. Em Configurar Métodos de Autenticação, conclua as seguintes etapas:

   1. Desmarque a Autenticação Criptografada da Microsoft versão 2 (MS-CHAPv2).

   2. Selecione Protocolo EAP (Extensible Authentication Protocol).

   3. Em Tipo, selecione Microsoft: EAP protegido (PEAP). Em seguida, selecione Configurar para abrir a caixa de diálogo Editar Propriedades EAP Protegidas .

   4. Selecione Remover para remover o tipo EAP de Senha Protegida (EAP-MSCHAP v2).

   5. Selecione Adicionar. A caixa de diálogo Adicionar EAP é exibida.

   6. Selecione Cartão Inteligente ou outro certificado e, em seguida, selecione OK.

   7. Selecione OK para fechar Editar Propriedades de EAP Protegido.

9. Selecione Avançar.

10. Em Especificar Grupos de Usuários, conclua as seguintes etapas:

    1. Selecione Adicionar. A caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos é aberta.

    2. Insira Usuários de VPN e selecione OK.

    3. Selecione Avançar.

11. Em Especificar Filtros IP, selecione Avançar.

12. Em Especificar configurações de criptografia, selecione Avançar. Não faça nenhuma alteração.

13. Em Especificar um nome de realm, selecione Avançar.

14. Escolha Concluir para fechar o assistente.

Próxima etapa

Agora que você criou sua infraestrutura de exemplo, está pronto para começar a configurar sua Autoridade de Certificação.

Tutorial: Configurar modelos da Autoridade de Certificação para VPN Always On