Tutorial: implantar VPN Always On – configurar a infraestrutura para VPN Always On

Neste tutorial, você aprenderá a implantar conexões VPN Always On em computadores cliente Windows adicionados ao domínio remoto. Você criará uma infraestrutura de exemplo que mostra como implementar um processo de conexão VPN Always On. O processo é composto pelas seguintes etapas:

  1. O cliente VPN do Windows usa um servidor DNS público para executar uma consulta de resolução de nomes no endereço IP do gateway de VPN.

  2. O cliente VPN usa o endereço IP retornado pelo DNS para enviar uma solicitação de conexão ao gateway de VPN.

  3. O servidor de VPN também é configurado como um cliente RADIUS (Remote Authentication Dial-In User Service) ; o cliente RADIUS VPN envia a solicitação de conexão ao servidor de NPS para processamento de solicitação de conexão.

  4. O servidor de NPS processa a solicitação de conexão, incluindo a execução de autorização e autenticação, e determina se permite ou nega a solicitação de conexão.

  5. O servidor de NPS encaminha uma resposta Aprovar-Acesso ou Negar- Acesso para o servidor de VPN.

  6. A conexão é iniciada ou encerrada com base na resposta que o servidor de VPN recebeu do servidor de NPS.

Pré-requisitos

A fim de concluir as etapas neste tutorial:

  • Você precisará ter acesso a quatro computadores físicos ou VMs (máquinas virtuais).

  • Verifique se sua conta de usuário em todos os computadores é membro de Administradores ou equivalente.

Importante

Não há suporte para o uso do acesso remoto no Microsoft Azure, incluindo a VPN e o DirectAccess de acesso remoto. Para obter mais informações, confira Suporte ao software de servidor da Microsoft para máquinas virtuais do Microsoft Azure.

Criar o grupo controlador de domínio

  1. Instalar o Windows Server no computador que executará o controlador de domínio.

  2. Instalar os Active Directory Domain Services (AD DS). Para obter informações detalhadas sobre como instalar o AD DS, consulte Instalar Active Directory Domain Services.

  3. Promover o Windows Server para o controlador de domínio. Nesse tutorial, você criará uma nova floresta e o domínio para essa nova floresta. Para obter informações detalhadas sobre como instalar o controlador de domínio, consulte Instalação do AD DS.

  4. Instalar e configurar a CA (Autoridade de Certificação) no controlador de domínio. Para obter informações detalhadas sobre como instalar a CA, consulte Instalar a autoridade de certificação.

Criar um Política de Grupo do Active Directory

Nesta seção, você criará um Política de Grupo no controlador de domínio para que os membros do domínio solicitem certificados de usuário e computador automaticamente. Essa configuração permite aos usuários de VPN solicitar e recuperar certificados de usuário que autenticam as conexões VPN automaticamente. Essa política também permite que o servidor de NPS solicite certificados de autenticação de servidor automaticamente.

  1. No controlador de domínio, abra o Gerenciamento de Política de Grupo.

  2. No painel esquerdo, clique com o botão direito do mouse em seu domínio (por exemplo, corp.contoso.com). Selecione Criar um GPO neste domínio e fornecer um link para ele aqui.

  3. Na caixa de diálogo Novo GPO, em Nome, insira Política de registro automático. Selecione OK.

  4. No painel esquerdo, clique com o botão direito do mouse em Política de registro automático. Selecione Editar para abrir o Editor de Gerenciamento de Política de Grupo.

  5. No Editor de Gerenciamento de Política de Grupo, conclua as seguintes etapas para configurar o registro automático do certificado do computador:

    1. No painel esquerdo, acesse Políticas de configuração> do Computador>Configurações do Windows>Configurações de Segurança>Políticas de chave pública.

    2. No painel de detalhes, clique com o botão direito do mouse em Cliente dos Serviços de Certificado - Registro automático. Selecione Propriedades.

    3. Na caixa de diálogo Cliente dos Serviços de Certificado – Propriedades de registro automático, em Modelo de configuração, selecione Habilitado.

    4. Selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que usam modelos de certificados.

    5. Selecione OK.

  6. No Editor de Gerenciamento de Política de Grupo, conclua as seguintes etapas para configurar o registro automático do certificado do usuário:

    1. No painel esquerdo, acesse Políticas de configuração> de Usuário>Configurações do Windows>Configurações de Segurança>Políticas de chave pública.

    2. No painel de detalhes, clique com o botão direito do mouse em Cliente dos Serviços de Certificado – Registro automático e selecione Propriedades.

    3. Na caixa de diálogo Cliente dos Serviços de Certificado – Propriedades de registro automático, em Modelo de configuração, selecione Habilitado.

    4. Selecione Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados e Atualizar certificados que usam modelos de certificados.

    5. Selecione OK.

    6. Feche o Editor de Gerenciamento de Política de Grupo.

  7. Feche o Gerenciamento de Política de Grupo.

Criar o servidor de NPS

  1. Instalar o Windows Server no computador que executará o servidor de NPS.

  2. No servidor de NPS, instale a função NPS (Serviços de Acesso) e política de rede. Para obter informações detalhadas sobre como instalar o NSP, consulte Instalar o Servidor de política de rede.

  3. Registrar o servidor do NPS no Active Directory. Para obter informações sobre como registrar o servidor de NPS no Active Directory, consulte Registrar um NPS em um domínio do Active Directory.

  4. Verifique se os firewalls permitem o tráfego necessário para que as comunicações VPN e RADIUS funcionem corretamente. Para obter mais informações, confira Configurar firewalls para o tráfego do RADIUS.

  5. Criar o grupo de servidores NPS:

    1. No controlador de domínio, abra Usuários e Computadores do Active Directory.

    2. Em seu domínio, clique com o botão direito do mouse em Computadores. Selecione Novo e, em seguida, selecione Grupo.

    3. Em Nome do grupo, insira Servidores NPS e selecione OK.

    4. Clique com o botão direito do mouse em Servidores NPS e selecione Propriedades.

    5. Na guia Membros da caixa de diálogo Propriedades dos servidores NPS, selecione Adicionar.

    6. Selecione Tipos de objeto, marque a caixa de seleção Computadores e selecione OK.

    7. Em Inserir os nomes de objeto a serem selecionados, insira o nome do computador do servidor de NPS. Selecione OK.

    8. Feche Usuários e Computadores do Active Directory.

Criar o servidor de VPN

  1. Instalar o Windows Server no computador que executará o servidor de VPN. Verifique se o computador tem dois adaptadores de rede física instalados: um para se conectar à Internet e outro para se conectar à rede na qual o controlador de domínio está localizado.

  2. Identifique qual adaptador de rede se conecta à Internet e qual adaptador de rede se conecta ao domínio. Configure o adaptador de rede voltado para a Internet com um endereço IP público, enquanto o adaptador voltado para a intranet pode usar um endereço IP da rede local.

  3. No adaptador de rede que se conecta ao domínio, defina o endereço IP preferencial do DNS como o endereço IP do controlador de domínio.

  4. Adicionar o servidor de VPN ao domínio. Para obter informações sobre como adicionar um servidor em um domínio, consulte Como adicionar um servidor em um domínio.

  5. Abra suas regras de firewall para permitir que as portas UDP 500 e 4500 sejam de entrada para o endereço IP externo aplicado à interface pública no servidor de VPN.

  6. No adaptador de rede que se conecta ao domínio, habilite as seguintes portas: UDP1812, UDP1813, UDP1645 e UDP1646.

  7. Criar o grupo de servidores VPN:

    1. No controlador de domínio, abra Usuários e Computadores do Active Directory.

    2. Em seu domínio, clique com o botão direito do mouse em Computadores. Selecione Novo e, em seguida, selecione Grupo.

    3. Em Nome do grupo, insira Servidores VPN e selecione OK.

    4. Clique com o botão direito do mouse em Servidores VPN e selecione Propriedades.

    5. Na guia Membros da caixa de diálogo Propriedades dos servidores VPN, selecione Adicionar.

    6. Selecione Tipos de objeto, marque a caixa de seleção Computadores e selecione OK.

    7. Em Inserir os nomes de objeto a serem selecionados, insira o nome do computador do servidor de VPN. Selecione OK.

    8. Feche Usuários e Computadores do Active Directory.

  8. Siga as etapas em Instalar o acesso remoto como um servidor de VPN para instalar o servidor de VPN.

  9. Abra a ferramenta Roteamento e acesso remoto no Gerenciador do Servidor.

  10. Clique com o botão direito do mouse no servidor de VPN e selecione Propriedades.

  11. Em Propriedades, selecione a guia Segurança e:

    1. Selecione Provedor de autenticação e selecione Autenticação RADIUS.

    2. Selecione Configurar para abrir a caixa de diálogo Autenticação RADIUS.

    3. Selecione Adicionar para abrir a caixa de diálogo Adicionar servidor RADIUS.

      1. Em Nome do servidor, insira o FQDN (Nome de domínio totalmente qualificado) do servidor de NPS. Neste tutorial, o servidor de NPS é o servidor do controlador de domínio. Por exemplo, se o nome NetBIOS do seu NPS e do servidor do controlador de domínio for dc1 e o nome de domínio for corp.contoso.com, insira dc1.corp.contoso.com.

      2. Em Segredo compartilhado, selecione Alterar para abrir a caixa de diálogo Alterar Segredo.

      3. Em Novo segredo, insira uma cadeia de caracteres de texto.

      4. Em Confirmar novo segredo, insira a mesma cadeia de caracteres de texto e selecione OK.

      5. Salve esse segredo. Você precisará dele ao adicionar esse servidor de VPN como um cliente RADIUS mais tarde neste tutorial.

    4. Selecione OK para fechar a caixa de diálogo Adicionar servidor RADIUS.

    5. Selecione OK para fechar a caixa de diálogo Autenticação Radius.

  12. Na caixa de diálogo Propriedades do servidor de VPN, selecione Métodos de Autenticação....

  13. Selecione Permitir autenticação de certificado do computador para IKEv2.

  14. Selecione OK.

  15. Para Provedor de contabilização, selecione Contabilização do Windows.

  16. Selecione OK para fechar a caixa de diálogo Propriedades.

  17. Uma caixa de diálogo solicitará que você reinicie o servidor. Selecione Sim na barra superior.

Criar cliente VPN do Windows

  1. Instale o Windows 10 ou posterior no computador que será seu cliente VPN.

  2. Adicione o cliente VPN em seu domínio. Para obter informações sobre como adicionar um computador em um domínio, consulte Como adicionar um computador em um domínio.

Criar usuário e grupo VPN

  1. Crie um usuário VPN executando as seguintes etapas:

    1. No controlador de domínio, abra Usuários e Computadores do Active Directory.

    2. Em seu domínio, clique com o botão direito do mouse em Usuários. Selecione Novo. Para Nome de logon do usuário, insira qualquer nome de logon. Selecione Avançar.

    3. Escolha uma senha para o usuário.

    4. Desmarque Usuário deve alterar a senha no próximo logon. Selecione A senha nunca expira.

    5. Selecione Concluir. Mantenha aberto Usuários e Computadores do Active Directory.

  2. Crie um grupo de usuários VPN executando as seguintes etapas:

    1. Em seu domínio, clique com o botão direito do mouse em Usuários. Selecione Novo e, em seguida, selecione Grupo.

    2. Em Nome do grupo, insira Usuários VPN e selecione OK.

    3. Clique com o botão direito do mouse em Usuários VPN e selecione Propriedades.

    4. Na guia Membros da caixa de diálogo Propriedades dos usuários VPN, selecione Adicionar.

    5. Na caixa de diálogo Selecionar Usuários, adicione o usuário VPN que você criou e selecione OK.

Configurar o servidor de VPN como um cliente RADIUS

  1. No servidor de NPS, abra as regras de firewall para permitir as portas UDP 1812, 1813, 1645 e 1646 de entrada.

  2. No console do NPS, clique duas vezes em Clientes e servidores RADIUS.

  3. Clique com o botão direito do mouse em Clientes RADIUS e selecione Novo para abrir a caixa de diálogo de Novo cliente RADIUS.

  4. Verifique se a caixa de seleção Habilitar este cliente RADIUS está selecionada.

  5. Em Nome amigável, insira um nome de exibição para o servidor de VPN.

  6. Em Endereço (IP ou DNS), insira o endereço IP ou FQDN do servidor de VPN.

    Se você inserir o FQDN, selecione Verificar se deseja verificar se o nome está correto e mapeia para um endereço IP válido.

  7. Em Segredo compartilhado:

    1. Verifique se Manual está selecionado.

    2. Insira o segredo que você criou na seção Criar o servidor de VPN.

    3. Para Confirmar segredo compartilhado, insira novamente o segredo compartilhado.

  8. Selecione OK. O servidor de VPN deve ser exibido na lista de clientes RADIUS configurados no servidor de NPS.

Configurar o servidor de NPS como um servidor RADIUS

Observação

Neste tutorial, o servidor de NPS está instalado no controlador de domínio com a função de CA, por isso, não precisamos registrar um certificado de servidor de NPS separado. No entanto, em um ambiente em que o servidor de NPS está instalado em um servidor separado, um certificado de servidor de NPS deve ser registrado antes que você possa pré-formatar essas etapas.

  1. No console do NPS, selecione NPS(Local).

  2. Em Configuração padrão, verifique se o servidor RADIUS para Conexões VPN ou Discagem está selecionado.

  3. Selecione Configurar VPN ou Discagem para abrir o assistente Configurar VPN ou Discagem.

  4. Selecione Conexões VPN (rede virtual privada) e selecione Avançar.

  5. Em Especificar servidor de VPN ou de Discagem, em clientes RADIUS, selecione o nome do servidor de VPN.

  6. Selecione Avançar.

  7. Em Configurar Métodos de Autenticação, conclua as seguintes etapas:

    1. Desmarque Autenticação criptografada da Microsoft versão 2 (MS-CHAPv2).

    2. Selecione Protocolo EAP (Extensible Authentication Protocol).

    3. Em Tipo, selecione Microsoft: EAP protegido (PEAP). Em seguida, selecione Configurar para abrir a caixa de diálogo Editar Propriedades do EAP protegido.

    4. Selecione Remover para remover o tipo EAP de Senha Protegida (EAP-MSCHAP v2).

    5. Selecione Adicionar. A caixa de diálogo Adicionar EAP é exibida.

    6. Selecione Cartão Inteligente ou outro certificado e, em seguida, selecione OK.

    7. Selecione OK para fechar Editar Propriedades de EAP Protegido.

  8. Selecione Avançar.

  9. Em Especificar Grupos de Usuários, conclua as seguintes etapas:

    1. Selecione Adicionar. A caixa de diálogo Selecionar Usuários, Computadores, Contas de Serviço ou Grupos é aberta.

    2. Insira Usuários de VPN e selecione OK.

    3. Selecione Avançar.

  10. Em Especificar Filtros IP, selecione Avançar.

  11. Em Especificar configurações de criptografia, selecione Avançar. Não faça nenhuma alteração.

  12. Em Especificar um nome de realm, selecione Avançar.

  13. Escolha Concluir para fechar o assistente.

Próximas etapas

Você acabou de criar sua infraestrutura de exemplo e agora está pronto para configurar sua Autoridade de Certificação.