Como criar um servidor VPN no Windows Server 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

ssl-vpn

 

Hoje vou detalhar o procedimento para configuração de um servidor que terá a função de VPN Server, além da configuração do Client para conectar ao mesmo.

De modo geral, a necessidade em ter as informações da empresa em qualquer lugar que esteja, já era forte e está se tornando mais ainda com esse aumento significativo em vendas de notebooks / tablets / smartphones.

Para esse cenário, vamos considerar que temos um ambiente de domínio com Windows 2008 R2 instalado nos respectivos servidores e um dos diretores da companhia em uma viagem tem a necessidade de acessar os seus arquivos em seus compartilhamentos dentro da rede, esse diretor provê de um notebook com Windows 7 e Internet.

Antes de começar, é recomendável que o servidor tenha 2 interfaces de rede (uma para comunicação com internet e outra para rede local), é possível que seja feito através de uma única interface, porém não é o objetivo desse artigo.

1- Vamos abrir o Server Manager, botão direito em “Roles” e clicar em “Add Roles“. Vamos selecionar a opção “Network Policy and Access Services” e clicar em Next.

2- Será apresentado um overview sobre a função a ser instalada, clique em Next.

3- Em “Select Role Services” selecione as opções “Network Policy Server” e “Routing and Remote Access Services” repare que na segunda a ser clicado a opções filhos serão marcadas também, clique em Next.

4- Clique em “Install” para iniciar o processo de instalação.

5- Verifique os resultados em clique em “Close“.

6- Com a role já instalada, através do próprio Server Manager expanda: “Roles” e depois “Network Policy and Access Services”, clique com o botão direito em “Routing and Remote Access” e clique em “Configure and Enable Routing and Remote Access“.

7- O assistente será iniciado, clique em Next.

8- Em “Configuration” podemos escolher o que configurar, para esse ambiente vamos marcar a opção “Virtual Private Network (VPN) access and NAT” e depois em Next.

9- Como não iremos dispor de um modem e linha direta, não vamos marcar a opção “Dial Up”, marque somente “VPN” e clique em Next.

10- Agora devemos selecionar a interface que se conecta a internet, depois clicar em Next.

11- Em “IP Address Assignment” vamos definir se os IPs para os clients provenientes de conexão VPN irão receber o endereçamento através de um servidor DHCP (que deve estar instalado em algum servidor do domínio), ou através de um range a ser definido. Como nós temos um servidor já instalado no domínio, nada mais correto que usar o mesmo para a atribuição, por isso marcamos a opção “Automatically” e depois em Next.

12- Na tela seguinte é perguntado se quer definir e configurar o servidor RADIUS, a princípio não, pois ele já faz uma pré configuração, marque a primeira opção e depois em Next.

13- Veja o resumo das configurações definidas anteriormente e depois clique em “Finish“.

14- Será apresentado um warning, informando que foi criado uma política padrão de conexões no NPS, mensagem normal, clique em “OK” para finalizar essa parte.

15- Agora vamos criar uma nova política, contendo as regras necessárias para o acesso via VPN. Ainda no Server Manager navegue até “NPS” em seguida “Policies” e depois clique com o botão direito em “Network Policies“. Agora clique em “New” para a nova política.

16- O assistente será iniciado, vamos selecionar um nome para ele “REMOTE ACCESS” em Type of network access server marque a opção “Remote Access Server (VPN-Dial up)“. Clique em Next.

17- Em “Specify Conditions” podemos selecionar alguns parâmetros como por exemplo: Somente usuários de um determinado grupo / determinado sistema operacional /determinada localização / etc … Somente para exemplificar tenho um grupo criado no Active Directory chamado “REMOTE ACCESS”, dentro desse grupo tenho todos os usuários que terão permissão para o acesso remoto. (Inclusive o gerente conforme exemplificado no início do artigo). Selecione “User Groups” e clique em Add.

18- Será aberta uma caixa para que seja digitado o nome, selecionei o mesmo e confirmo em “OK“.

19- Será apresentada todas as condições configuradas, nesse caso usei somente a de “User Groups” clico em Next para o próximo passo.

20- Devemos definir qual é a permissão de acesso para essa regra, como queremos permitir o acesso clicamos em “Access granted” e depois em “Next“.

21- Precisamos configurar os métodos de autenticação, em EAP Types clique em Add e escolha “EAP-MSCHAP v2” e confirme, em Less secure authentication methods marque também a opção MS-CHAP-v2. É possível marcar os outros métodos porém comprometerá na segurança.

22- Em “Configure Constraints” podemos definir alguns parâmetros como: Desconectar após determinado tempo / desconectar após determinado tempo de inatividade / Restrição de data / hora. Para o cenário não criaremos nenhum parâmetro.

23- Agora em “Configure Settings” temos algumas outras opções disponíveis para configuração, a princípio vamos apenas na opção “Encryption” e desmarcar as opções “Basic / No encryption” para termos um pouco mais de segurança em nossa conexão.

24- Temos agora um review das configurações feitas anteriormente, caso esteja correto, só clicar em Finish.

25- Já temos a regra apresentada e habilitada em nosso NPS. Com as configurações acima o servidor já está preparado para fornecer conexão através da VPN.

OBSERVAÇÃO: Deve se certificar se a porta tcp 1723 (PPTP) está aberta pois é necessária para a conexão, no servidor configurado estará tudo OK pois a configuração é feita automaticamente, verifique firewall de rede / roteadores.

26- Vamos agora simular a conexão entre o Client e o Server, a princípio nesse Client não foi feita nenhuma configuração, o mesmo dispõe apenas de internet. Vou tentar acessar o meu servidor \\fs01.suportederede.local

27- O mesmo não será localizado.

28- O primeiro passo é criar a conexão VPN, para isso devemos abrir o “Network and Sharing Center“.

29- Com ele aberto clique em “Set up a new connection or network“.

30- Marque a opção “Connect to workplace (Dial up or VPN connection)“.

31- Marque a opção “Use my Internet connection (VPN)” pois você usará a internet para se conectar ao servidor a distância.

32- Em “Internet Address” coloque o nome do caminho (caso seja divulgado na internet) ou simplesmente o endereço de IP do servidor. Em “Destination name” coloque um nome comum para identificação.

33- Agora precisamos definir as credenciais do usuário.

34- Após clicar em connect temos o status de conectado.

35- Se expandirmos as nossas conexões, verificamos que a “Conexão VPN” definida está conectada normalmente, clicando com o botão direito sobre a conexão e indo em “Properties” na aba “Details” temos os detalhes da conexão.

36- Vamos agora tentar acessar o nosso servidor, assim como tentamos anteriormente \\fs01.suportederede.local E olhem lá conseguimos o acesso aos compartilhamentos.

Espero que tenham gostado, passei aqui uma forma geral de implantar um servidor VPN, porém há possibilidades de melhorar a segurança, como por exemplo uso de smart cards. Há como melhorar o modo de criação das conexões, usando o CMAK por exemplo, entre outras.

Porém isso ficará para um outro dia

 

Anúncios

Instalando e configurando o Active Directory Certificate Services no Windows 2008 R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

 

image_png

 

Nesse artigo vou mostrar o simples procedimento para instalação e configuração do Active Directory Certificate Services, conhecido como ADCS na família de servidores 2008.

O ADCS em resumo serve para criação e gerenciamento de certificados digitais dentro de sua infraestrutura, alguns artigos que publicarei posteriormente (Ex.: Exchange / RMS / etc …) exigem certificados digitais, para isso é bom planejarmos a nossa infraestrutura.

Alguns pontos importantes sobre a Autoridade Certificadora, popularmente conhecida como CA.

  • Não é recomendado que o computador que será uma Autoridade  Certificadora seja Domain Controller.
  • CA de domínio só terá validade nos equipamentos pertencentes ao domínio.
  • A máquina CA não poderá ser renomeada após a instalação.

Não irei detalhar muito pois pela internet e no próprio site da Microsoft temos uma quantidade muito boa de artigos detalhando tecnicamente os detalhes do ADCS.

Nesse cenário instalarei o ADCS em um servidor com Windows 2008 R2, exemplificarei 2 modos de enrollment (registro/aplicação do certificado). Um modo manual e outro através de GPO.

INSTALAÇÃO DO ADCS 1- Abra o Server Manager, botão direito em “Roles” e depois em “Add Roles“.

2- O assistente será iniciado, selecione a opção “Active Directory Certificate Services” e avance.

3- Uma pequena introdução sobre a role será apresentada, avance em seguida.

4- Para o cenário, marque apenas a opção “Certification Authority” e avance.

5- Em Specify Setup Type, temos 2 opções, a Enterprise que requer uma máquina e infraestrutura de domínio, ou a opção Standalone que é o oposto da acima, não exigindo uma infra de domínio. Selecione a opção “Enterprise” e avance.

6- Como é a nossa primeira CA a ser criada, devemos usar a opção “Root CA“, podemos posteriormente criar outras CA que serão subordinadas ao root, porém ainda não é o objetivo do artigo.

7- Selecione a opção “Create a new private key” para que seja criada uma nova chave e avance.

8- Em Configure Cryptography for CA definimos os algorítimos e tamanho de nossa chave privada, somente alterar o campo “Key character lenght” para 4096, as outras opções podemos deixar nos padrões e avançar.

9- Defina um nome comum (de fácil identificação) para a sua CA e digite no campo “Common name for this CA”.

10- Selecione a validade do certificado da CA. Podemos deixar o default de 5 anos.

11- Será apresentado os locais onde a base de dados e logs do ADCS será armazenado, caso não tenham problemas pode manter o default.

12- Verifique as seleções de instalação e clique em “Install“.

13- Após a instalação será apresentado os resultados, verifique caso haja algum erro, no contrário clique em “Close“.

CONFIGURANDO OS TEMPLATES DE CERTIFICADOS Vamos agora definir os certificados a serem distribuídos posteriormente.

14- Após o término da instalação vá em Start Menu / Administrative Tools / Certification Authority, navegue até a opção “Certificate Templates” e depois botão direito do mouse e clique em “Manage“.

15- A console dos templates será aberta, procure a opção “User”, clique com o botão direito e depois em “Duplicate Template“.

16- Caso tenha servidores de versão anterior ao Windows 2008, selecione a primeira opção. Como no nosso cenário só temos equipamentos com Windows Server 2008, vamos marcar a 2ª opção e confirmar.

17- As propriedades do template será aberta, digite um nome para o mesmo, selecione a validade e período de renovação caso queira (pode deixar os padrões). E marque a opção “Publish certificate in Active Directory”. Clique em “Apply” e navegue para a aba “Subject Name”.

18- Agora, verifique se as opções “E-mail name” e “UPN” estão marcadas. Em especial a opção de e-mail pois é necessário para o exchange. Verifique nas propriedades da conta de usuário dentro do active directory se o mesmo está com o e-mail está definido, caso não esteja você poderá ter problemas com o certificado, devido a essa opção “E-mail”. Clique em “Apply” e navegue para a aba “Security”.

19- Todos os usuários dentro de meu ambiente fazem parte de um grupo global chamado “SUPORTE DE REDE” (para o cenário você pode usar também o “Authenticated Users” ou um outro grupo restrito para aplicação do certificado). Dê as permissões de Read / Enroll / Autoenroll. Confirme clicando em OK.

20- Após fechar o Console de templates, clique novamente com o botão direito em Certificate Templates, depois em New e em seguida em “Certificate Template to Issue“.

21- Selecione o modelo criado anteriormente e depois em OK.

FAZENDO O ENROLL DO CERTIFICADO MANUALMENTE Vamos fazer a aplicação de certificado manualmente através da console de certificados.

22- Abra a console (Start Menu / mmc.exe), clique em File e depois em “Add/Remove Snap-in”.

23- Selecione a opção Certificates e clique em Add. Confirme em OK.

24- A console de certificados locais será apresentado, naveque até a opção Personal e verifique que não há certificados, clique com o botão direito e vá em “Request New Certificate“.

25- O assistente será iniciado, clique em Next.

26- As regras de certificados publicadas são apresentadas, selecione e clique em Next.

27- As políticas compatíveis ao padrão do usuário serão publicadas, inclusive a que criamos. Selecione as mesmas e depois em Enroll.

28- Verifique que os certificados foram aplicados ao usuário do domínio.

CRIANDO UMA GPO PARA O AUTO-ENROLLMENT Vamos agora definir uma GPO para a auto aplicação dos certificados aos usuários.

29- Abra o GPMC e crie uma nova GPO (Nesse cenário vamos chamar de “Certificados”).

30- Agora vamos editar essa GPO, clique com o botão direito sobre a mesma e depois em “Edit”.

31- Com o editor aberto, navegue até: User Configuration / Security Settings / Public Key Policies. Clique em “Certificate Enrollment Policy” e Habilite a configuração.

32- Agora em “Auto-Enrollment” habilite também a configuração e marque as 3 opções.

33- Abra o prompt e force a atualização das políticas pelo GPUPDATE /FORCE, será necessário fazer o logoff após o comando.

34- Repita os procedimento 22 e 23 para abrir o Snap-In dos certificados, e verifique se o certificado do usuário logado estará lá. Com isso tivemos êxito em nosso processo de auto-enrollment.

35- Outra forma de ver os certificados aplicados é através do servidor (Start Menu / Administrative Templates / Certification Authority / Issued Certificates.

[ ]’s  🙂

 

 

 

 

 

Criando Encaminhamento de Event Viewer no Windows 2008 / R2

Publicado em:

04/01/2013

Fonte / Referência: http://suportederede.wordpress.com

event-viewer-icon

 

Nesse artigo irei explicar o procedimento em uma funcionalidade muito interessante no Windows Server 2008 e R2, o Event Viewer Subscription, através dessa funcionalidade podemos centralizar em um único servidor os Logs de Eventos dos meus servidores / computadores do nosso ambiente, podendo assim ter um gerenciamento e monitoramento mais simples do que ter a necessidade de acessar um determinado servidor para analisar os logs.

Para esse cenário usarei 2 Domain Controllers do domínio “suportederede.local”, no qual DC02 será a máquina que disponibilizará os logs para serem acessados pelo DC01 que será a máquina “coletora” dos logs.

HABILITAR O WINDOWS REMOTE MANAGEMENT 1- No DC02 (Máquina que irá gerar os logs) abra o prompt de comando e digite winrm quickconfig em seguida pressione ENTER. Verifique que será aberta uma exceção no firewall e o serviço habilitado, confirme pressionando Y e depois em ENTER.

2- Você receberá uma mensagem de confirmação, após isso pode-se fechar o prompt.

ATRIBUIR PERMISSÃO AO SERVIDOR 3- Em seguida, ainda no DC02 precisaremos definir qual computador terá acesso aos logs, para isso abra o “Active Directory users and Computers” e localize o grupo “Event Log Readers“.

4- Após duplo clique em “Event Log Readers”, selecione a aba “Members“, clique em “Add“, e depois em “Object Types“, marque a opção “Computers” e confirme com “OK

5- Digite o nome do servidor que será o “coletor”, no nosso caso o DC01 e depois em “Check names“. Confirme no “OK“. ATENÇÃO: Caso o servidor não seja um Domain Controller abra o “Computer Management” e adicione o computador ao grupo “Administrators” seguindo o procedimento acima.

6- Nas propriedades do “Event Log Readers” o servidor “coletor” será apresentado, clique em “OK” e pode fechar o “Active Directory Users and Computers”.

CONFIGURANDO O SERVIDOR COLETOR E CRIANDO UM SUBSCRIPTION 7- No DC01 (servidor que irá coletar os logs), abra o prompt de comando e digite wecutil qc e pressione ENTER. Confirme pressionando Y e ENTER.

8- Em Ferramentas Administrativas abra o “Event Viewer”, navegue até a guia “Subscriptions“, clique com o botão direito e depois em “Create Subscription“.

9- Em “Subscription Properties” você deverá selecionar as particularidades dessa nova subscrição, digite um nome e uma descrição. Em “Destination Log”, mantenha selecionado “Forwarded Events“.

10- Clicando em “Select Computers”, podemos selecionar os computadores que disponibilizarão logs conforme passos configurados anteriormente.

11- Clique em “Add Domain Computers“, em seguida digite o nome do computador / servidor e depois em “Check Names“. Confirme pressionando “OK“.

12- Em seguida clique em “Test” para verificar a conectividade. Caso tenha problemas, verifique os procedimentos anteriores.

13- Voltando em “Subscription Properties” clique agora em “Select Events“. Em “Event level” podemos selecionar o nível do evento a ser acompanhado, a nível de teste manteremos TODOS os logs. Em “Event logs” podemos selecionar qual tipo de log a acompanhar, também vamos manter TODOS. Essa opção de filtro é bem interessante pois podemos filtrar o log pelo seu ID / palavras chave, atendendo de todas as formas as nossas possíveis necessidades.

14- Confirme a subscrição clicando em “OK“.

15- Clique com o botão direito sobre a subscrição e clique em “Runtime Status“. Você verá o status da mesma, sendo possível desabilitar ela.

TESTANDO A FUNCIONALIDADE 16- Vamos forçar o o DC02 a ter ações que movimentem os arquivos de log, um bom exemplo é parar / iniciar serviços, vamos exemplificar parando e iniciando o serviço “netlogon”. Abra o prompt e digite net stop netlogon e após um tempo net start netlogon.

17- Aguarde um pouco para que haja a coleta dos logs e verifique no Event Viewer do coletor (DC01) na opção “Forwarded Events”. veja que os dois logs (stop /start do netlogon) estão sendo apresentados, proveniente do computador DC02.suportederede.local).

Abraços a todos e espero que tenham gostado e que seja útil no ambiente de vocês