Partilhar via

Tutorial: Implantar a infraestrutura VPN Always On

O Always On VPN é uma solução de acesso remoto no Windows Server que fornece conectividade contínua e segura para usuários remotos a redes corporativas. Suporta métodos avançados de autenticação e integra-se com a infraestrutura existente, oferecendo uma alternativa moderna às soluções VPN tradicionais. Este tutorial começa a série para implantar a VPN Always On em um ambiente de exemplo.

Neste tutorial, irá aprender a desenvolver uma infraestrutura de exemplo para conexões VPN Sempre Ativas para computadores Windows ligados a domínios remotos. Para criar uma infraestrutura de exemplo, você:

  • Crie um controlador de domínio do Ative Directory.
  • Configure a Política de Grupo para registro automático de certificados.
  • Crie um servidor NPS (Servidor de Políticas de Rede).
  • Crie um servidor VPN.
  • Crie um usuário e um grupo VPN.
  • Configure o servidor VPN como um cliente RADIUS.
  • Configure o servidor NPS como um servidor RADIUS.

Para saber mais sobre o Always On VPN, incluindo integrações suportadas, recursos de segurança e conectividade, consulte Visão geral do Always On VPN.

Pré-requisitos

Para concluir as etapas neste tutorial, você precisa atender aos seguintes pré-requisitos:

  • Três servidores (físicos ou virtuais) executando uma versão suportada do Windows Server. Esses servidores são o controlador de domínio, o servidor NPS e o servidor VPN.

  • O servidor que você usa para o servidor NPS precisa de dois adaptadores de rede física instalados: um para se conectar à Internet e outro para se conectar à rede onde o controlador de domínio está localizado.

  • Uma conta de usuário em todas as máquinas que seja membro do grupo de segurança Administradores local ou equivalente.

Importante

Não há suporte para o uso do Acesso Remoto no Microsoft Azure. Para obter mais informações, consulte suporte de software de servidor Microsoft para máquinas virtuais do Microsoft Azure.

Criar o controlador de domínio

  1. No servidor que pretende que seja o controlador de domínio, instale os Serviços de Domínio Ative Directory (AD DS). Para obter informações detalhadas sobre como instalar o AD DS, consulte Instalar os Serviços de Domínio Ative Directory.

  2. Promova o Windows Server para controlador de domínio. Para este tutorial, você cria uma nova floresta e o domínio para essa nova floresta. Para obter informações detalhadas sobre como instalar o controlador de domínio, consulte Instalação do AD DS.

  3. Instale e configure a Autoridade de Certificação (CA) no controlador de domínio. Para obter informações detalhadas sobre como instalar a autoridade de certificação, consulte Instalar a autoridade de certificação.

Configurar a Política de Grupo para registro automático de certificados

Nesta seção, você cria uma Diretiva de Grupo no controlador de domínio para que os membros do domínio solicitem automaticamente certificados de usuário e computador. Essa configuração permite que os usuários de VPN solicitem e recuperem certificados de usuário que autenticam automaticamente as conexões VPN. Essa política também permite que o servidor NPS solicite certificados de autenticação do servidor automaticamente.

  1. No controlador de domínio, abra a consola de Gestão de Políticas de Grupo.

  2. No painel esquerdo, clique com o botão direito do rato no seu domínio (por exemplo, corp.contoso.com). Selecione Criar um GPO neste domínio e vincule-o aqui.

  3. Na caixa de diálogo Novo GPO , em Nome, insira Diretiva de Registro Automático. Selecione OK.

  4. No painel esquerdo, clique com o botão direito do mouse em Política de Registro Automático. Selecione Editar para abrir o Editor de Gerenciamento de Diretiva de Grupo.

  5. No Editor de Gerenciamento de Diretiva de Grupo, conclua as seguintes etapas para configurar o registro automático de certificado de computador:

    1. Navegue até Configuração do Computador>Políticas>Definições do Windows>Definições de Segurança>Políticas de Chave Pública.

    2. No painel de detalhes, clique com o botão direito do mouse em Cliente de Serviços de Certificados – Registro Automático. Selecione Propriedades.

    3. Na caixa de diálogo Cliente de Serviços de Certificados – Propriedades de Registro Automático , para Modelo de Configuração, selecione Habilitado.

    4. Selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que usam modelos de certificado.

    5. Selecione OK.

  6. No Editor de Gerenciamento de Diretiva de Grupo, conclua as seguintes etapas para configurar o registro automático de certificado de usuário:

    1. Navegue até Configuração do Usuário>Políticas>Configurações do Windows>Configurações de Segurança>Políticas de Chave Pública.

    2. No painel de detalhes, clique com o botão direito do mouse em Cliente de Serviços de Certificados – Registro Automático e selecione Propriedades.

    3. Na caixa de diálogo Cliente de Serviços de Certificados – Propriedades de Registro Automático , em Modelo de Configuração, selecione Habilitado.

    4. Selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que usam modelos de certificado.

    5. Selecione OK.

    6. Feche o Editor de Gerenciamento de Diretiva de Grupo.

  7. Aplique a Diretiva de Grupo a usuários e computadores no domínio.

  8. Feche a consola de Gerenciamento de Diretiva de Grupo.

Criar o servidor NPS

  1. No servidor que você deseja que seja o servidor NPS, instale a função NPS (Serviços de Acesso e Diretiva de Rede). Para obter informações detalhadas sobre como instalar o NPS, consulte Instalar o Servidor de Políticas de Rede.

  2. Registre o servidor NPS no Ative Directory. Para obter informações sobre como registrar o servidor NPS no Ative Directory, consulte Registrar um NPS em um domínio do Ative Directory.

  3. Certifique-se de que os firewalls permitem que o tráfego necessário para as comunicações VPN e RADIUS funcione corretamente. Para obter mais informações, consulte Configurar firewalls para tráfego RADIUS.

  4. Crie o grupo Servidores NPS:

    1. No controlador de domínio, abra Usuários e Computadores do Ative Directory.

    2. No seu domínio, clique com o botão direito do rato em Computadores. Selecione Novo e, em seguida, selecione Grupo.

    3. Em Nome do grupo, insira Servidores NPS e selecione OK.

    4. Clique com o botão direito do mouse em Servidores NPS e selecione Propriedades.

    5. Na guia Membros da caixa de diálogo Propriedades dos Servidores NPS, selecione Adicionar.

    6. Selecione Tipos de Objeto, marque a caixa de seleção Computadores e selecione OK.

    7. Em Digite os nomes de objeto a serem selecionados, digite o nome do host do servidor NPS. Selecione OK.

    8. Feche Usuários e Computadores do Ative Directory.

Criar o servidor VPN

  1. Para o servidor que executa o servidor VPN, verifique se a máquina tem dois adaptadores de rede física instalados: um para se conectar à Internet e outro para se conectar à rede onde o controlador de domínio está localizado.

  2. Identifique qual adaptador de rede se conecta à Internet e qual adaptador de rede se conecta ao domínio. Configure o adaptador de rede voltado para a Internet com um endereço IP público, enquanto o adaptador voltado para a intranet pode usar um endereço IP da rede local.

  3. Para o adaptador de rede que se conecta ao domínio, defina o endereço IP preferencial DNS como o endereço IP do controlador de domínio.

  4. Junte o servidor VPN ao domínio. Para obter informações sobre como associar um servidor a um domínio, consulte Para associar um servidor a um domínio.

  5. Abra as regras de firewall para permitir a entrada das portas UDP 500 e 4500 para o endereço IP externo aplicado à interface pública no servidor VPN. Para o adaptador de rede que se conecta ao domínio, permita as seguintes portas UDP: 1812, 1813, 1645 e 1646.

  6. Crie o grupo Servidores VPN:

    1. No controlador de domínio, abra Usuários e Computadores do Ative Directory.

    2. No seu domínio, clique com o botão direito do rato em Computadores. Selecione Novo e, em seguida, selecione Grupo.

    3. Em Nome do grupo, insira Servidores VPN e selecione OK.

    4. Clique com o botão direito do mouse em Servidores VPN e selecione Propriedades.

    5. Na guia Membros da caixa de diálogo Propriedades dos Servidores VPN, selecione Adicionar.

    6. Selecione Tipos de Objeto, marque a caixa de seleção Computadores e selecione OK.

    7. Em Digite os nomes de objeto a serem selecionados, digite o nome do host do servidor VPN. Selecione OK.

    8. Feche Usuários e Computadores do Ative Directory.

  7. Siga as etapas em Instalar acesso remoto como um servidor VPN para instalar o servidor VPN.

  8. Abra o Roteamento e Acesso Remoto no Gerenciador do Servidor.

  9. Clique com o botão direito do rato no nome do servidor VPN e, em seguida, selecione Propriedades.

  10. Em Propriedades, selecione a guia Segurança e, em seguida:

    1. Selecione Provedor de autenticação e selecione Autenticação RADIUS.

    2. Selecione Configurar para abrir a caixa de diálogo Autenticação RADIUS.

    3. Selecione Adicionar para abrir a caixa de diálogo Adicionar Servidor RADIUS.

      1. Em Nome do servidor, insira o FQDN (nome de domínio totalmente qualificado) do servidor NPS, que também é um servidor RADIUS. Por exemplo, se o nome NetBIOS do servidor NPS e do controlador de domínio for nps1 e o nome de domínio for corp.contoso.com, digite nps1.corp.contoso.com.

      2. Em Segredo compartilhado, selecione Alterar para abrir a caixa de diálogo Alterar Segredo.

      3. Em Novo segredo, insira uma cadeia de caracteres de texto.

      4. Em Confirmar novo segredo, insira a mesma cadeia de texto e selecione OK.

      5. Guarde este segredo. Você precisa dele quando adiciona este servidor VPN como um cliente RADIUS mais adiante neste tutorial.

    4. Selecione OK para fechar a caixa de diálogo Adicionar Servidor RADIUS .

    5. Selecione OK para fechar a caixa de diálogo Autenticação RADIUS .

  11. Na caixa de diálogo Propriedades do servidor VPN, selecione Métodos de autenticação....

  12. Selecione Permitir autenticação de certificado de máquina para IKEv2.

  13. Selecione OK.

  14. Para Provedor de contabilidade, selecione Contabilidade do Windows.

  15. Selecione OK para fechar a caixa de diálogo Propriedades.

  16. Uma caixa de diálogo solicita que você reinicie o servidor. Selecione Sim.

Criar usuário e grupo VPN

  1. Crie um usuário VPN seguindo as seguintes etapas:

    1. No controlador de domínio, abra o console Usuários e Computadores do Ative Directory .
    2. No seu domínio, clique com o botão direito do rato em Utilizadores. Selecione Novo. Em Nome de logon do usuário, digite qualquer nome. Selecione Seguinte.
    3. Escolha uma senha para o usuário.
    4. Desmarque O utilizador deve alterar a palavra-passe no próximo início de sessão. Selecione A palavra-passe nunca expira.
    5. Selecione Concluir. Mantenha Usuários e Computadores do Ative Directory abertos.

  2. Crie um grupo de usuários VPN seguindo as seguintes etapas:

    1. No seu domínio, clique com o botão direito do rato em Utilizadores. Selecione Novo e, em seguida, selecione Grupo.
    2. Em Nome do grupo, insira Usuários VPN e selecione OK.
    3. Clique com o botão direito do mouse em Usuários VPN e selecione Propriedades.
    4. Na guia Membros da caixa de diálogo Propriedades dos Usuários VPN, selecione Adicionar.
    5. Na caixa de diálogo Selecionar Usuários, adicione o usuário VPN que você criou e selecione OK.

Configurar o servidor VPN como um cliente RADIUS

  1. No servidor NPS, abra as regras de firewall para permitir a entrada das portas UDP 1812, 1813, 1645 e 1646, incluindo o Firewall do Windows.

  2. Abra o console do Servidor de Políticas de Rede .

  3. Na consola do NPS, clique duas vezes em Clientes e Servidores RADIUS.

  4. Clique com o botão direito do mouse em Clientes RADIUS e selecione Novo para abrir a caixa de diálogo Novo Cliente RADIUS .

  5. Verifique se a caixa de seleção Habilitar este cliente RADIUS está marcada.

  6. Em Nome amigável, insira um nome para exibição para o servidor VPN.

  7. Em Endereço (IP ou DNS), insira o endereço IP ou o FQDN do servidor VPN.

    Se você inserir o FQDN, selecione Verificar se deseja verificar se o nome está correto e mapeia para um endereço IP válido.

  8. Em segredo compartilhado:

    1. Certifique-se de que Manual está selecionado.
    2. Insira o segredo que você criou na seção Criar o servidor VPN.
    3. Em Confirmar segredo compartilhado, insira novamente o segredo compartilhado.

  9. Selecione OK. O servidor VPN deve aparecer na lista de clientes RADIUS configurados no servidor NPS.

Configurar o servidor NPS como um servidor RADIUS

  1. Registre um certificado de servidor para o servidor NPS, com um certificado que atenda aos requisitos em Configurar modelos de certificado para requisitos PEAP e EAP. Para verificar se os servidores NPS (Servidor de Diretivas de Rede) estão registrados com um certificado de servidor da autoridade de certificação (CA), consulte Verificar o registro de um certificado de servidor no servidor.

  2. No console do NPS, selecione NPS (Local).

  3. Em Configuração padrão, verifique se o servidor RADIUS para conexões dial-up ou VPN está selecionado.

  4. Selecione Configurar VPN ou Dial-Up para abrir o assistente Configurar VPN ou Dial-Up .

  5. Selecione Conexões de Rede Privada Virtual (VPN) e, em seguida, selecione Avançar.

  6. Em Especificar servidor dial-up ou VPN, em clientes RADIUS, selecione o nome do servidor VPN.

  7. Selecione Seguinte.

  8. Em Configurar Métodos de Autenticação, conclua as seguintes etapas:

    1. Limpar Autenticação Criptografada Microsoft versão 2 (MS-CHAPv2).

    2. Selecione Protocolo de autenticação extensível.

    3. Em Tipo, selecione Microsoft: EAP protegido (PEAP). Em seguida, selecione Configurar para abrir a caixa de diálogo Editar Propriedades EAP Protegidas .

    4. Selecione Remover para remover o tipo EAP de Senha Segura (EAP-MSCHAP v2).

    5. Selecione Adicionar. A caixa de diálogo Adicionar EAP é aberta.

    6. Selecione Cartão inteligente ou outro certificado e, em seguida, selecione OK.

    7. Selecione OK para fechar Editar Propriedades EAP Protegidas.

  9. Selecione Seguinte.

  10. Em Especificar grupos de usuários, conclua as seguintes etapas:

    1. Selecione Adicionar. A caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos é aberta.

    2. Introduza Utilizadores VPN e, em seguida, selecione OK.

    3. Selecione Seguinte.

  11. Em Especificar Filtros IP, selecione Avançar.

  12. Em Especificar Configurações de Criptografia, selecione Avançar. Não faça alterações.

  13. Em Especificar um Nome de Território, selecione Avançar.

  14. Selecione Concluir para fechar o assistente.

Próximo passo

Agora que você criou sua infraestrutura de exemplo, está pronto para começar a configurar sua Autoridade de Certificação.

Tutorial: Configurar modelos de Autoridade de Certificação para VPN Always On