1) O documento descreve como configurar o SSTP e NPS para VPN no Windows Server 2008, incluindo a criação de certificados, discadores, grupos de usuários e associação com o servidor RRAS.
2) É explicado como configurar o NPS para autenticação RADIUS com o servidor RRAS e aplicar diretivas aos clientes VPN.
3) Também inclui detalhes sobre como criar um DNS externo e importar certificados para os clientes VPN.
1. Windows Server 2008 Network Infrastructure, Configuring - Aula 9- 03/03/2012
Autor: Thiago Inácio de Matos
Contato: thiago.matos@outlook.com.br
VPN
SSTP
Utilizar a porta 443, é necessário ter SSL, no cliente externo é necessário fazer com que ele confie
na CA, o SSTP necessita apenas que o certificado da CA seja apenas de computador
Instalar o IIS no server do RRAS
No console do IIS (inetmgr) do servidor do RRAS
1. SERVERX
2. Certificados de Servidor
3. No lado direito > Criar Certificado de Domínio
2. Windows Server 2008 Network Infrastructure, Configuring - Aula 9- 03/03/2012
Autor: Thiago Inácio de Matos
Contato: thiago.matos@outlook.com.br
4. Em “Nome comum” colocar o nome FQDN do SERVERX os demais campos podem ser
preenchidos de forma aleatória
3. Windows Server 2008 Network Infrastructure, Configuring - Aula 9- 03/03/2012
Autor: Thiago Inácio de Matos
Contato: thiago.matos@outlook.com.br
5. Em especificar Autoridade de Certificação online > selecionar > selecione a CA > em nome
amigável é o FQDN do SERVERX
No console do RRAS (rrasmgt.msc)
1. SERVERX > propriedades > guia segurança > Associação de certificado SSL alterar o
certificado “Default” para o SSL que acabamos de criar
2. Interface pública – habilitar o servidor web seguro HTPS – para o endereço de loopback
O SSTP só funciona utilizando nomes para isso é necessário criar um DNS externo com as
configurações abaixo:
– Zona primária – domx.local
– Criar um registro A para o serverx.domx.local (server do RRAS)
4. Windows Server 2008 Network Infrastructure, Configuring - Aula 9- 03/03/2012
Autor: Thiago Inácio de Matos
Contato: thiago.matos@outlook.com.br
No cliente criar um discador usando o nome FQDN do servidor do RRAS/NAT
O SSTP é baseado em certificados revogados (CLR) o base e o delta no site da CA, fazer download
de um certificado de autoridade de certificação e efetuar o download dos certificados citados
anteriormente, após fazer isso importar para autoridade de certificação intermediária em certificados
de computador
NPS
Criar três usuários e um grupo chamado VPN
Instalar o NPS
Gerenciador de servidores > adicionar função > serviço de acesso e diretiva de rede > servidor de
diretiva de rede
Acessar a console do NPS (nps.msc)
É recomendável antes iniciar a configuração do NPS realizar um backup das configurações do NPS,
para efetuar esse backup basta clicar com o botão direito em NPS > exportar e salvar o XML de
configuração da função.
Registrar o NPS no AD e quanto é realizado esse procedimento é criado um grupo no AD chamado
5. Windows Server 2008 Network Infrastructure, Configuring - Aula 9- 03/03/2012
Autor: Thiago Inácio de Matos
Contato: thiago.matos@outlook.com.br
servidores RAS e IAS
Em NPS local
• Configuração Padrão
• Escolher “Servidor RADIUS para Conexões Dial-up ou VPN”
• Configurar VPN ou Dial-up (na parte inferior do quadro)
• Conexões VPN
• Nome para conexão
• Escolha qual será o seu cliente RADIUS que é o seu servidor do RRAS
• Nome amigável – é o nome FQDN do servidor do RRAS
• Endereço IP é o endereço do servidor RRAS
• Utilize o segredo manual
• Especificar grupos de usuários utilize o grupo criado no AD
• E a partir desse momento deixe tudo como esta
No servidor do RRAS
• Em SERVERX vá até a aba segurança
• Em provedor de Autenticação mude para Autenticação RADIUS e depois em configurar
• Adicionar em “Nome do servidor” coloque o nome FQDN do servidor do NPS
• E em segredo compartilhado coloque o segredo inserido no servidor NPS
• Repita os passos para o “Provedor de contabilização” para se ter os logs
• Em “Associação de Certificado SSL” altere o certificado “Default” para o certificado criado
no NPS
Lembrando que os usuários só farão a conexão VPN se estiverem no grupo VPN que foi criado no
AD
Clientes e Servidores RADIUS – Todos os equipamentos que tem interface web
Diretivas – Possui regras de autenticação, as principais regras são de antivírus, firewall e
atualizações e a partir do Windows 7 malwares
Proteção de acesso à rede – é o NAP
Contabilização – local onde ficam armazenados os logs
Gerenciamento de Modelos – ficam armazenados os modelos de diretivas