Exportar (0) Imprimir
Expandir Tudo

Discagem terceirizada e um proxy na rede de perímetro

Discagem terceirizada e um proxy na rede de perímetro

Este tópico descreve de que forma o IAS pode ser usado como um proxy RADIUS para encaminhar mensagens entre os proxies RADIUS de um provedor de serviços de discagem terceirizado e os servidores RADIUS da intranet de uma organização. O provedor de serviços terceirizado oferece pontos de presença (POPs) em todo o mundo que podem ser chamados pelos funcionários da organização. Depois que a chamada é completada, o computador do funcionário é conectado à intranet da organização.

Este tópico descreve uma configuração para uma organização que usa:

  • Dois servidores IAS.
    Dois servidores IAS (um primário e outro secundário) são usados para proporcionar tolerância a falhas para autenticação, autorização e estatísticas RADIUS. Se apenas um servidor RADIUS estiver configurado e se tornar indisponível, os usuários com acesso por discagem e VPN não conseguirão se conectar. O uso de dois servidores IAS e a configuração dos proxies IAS primário e secundário na rede de perímetro para os servidores IAS primário e secundário permitem aos proxies IAS detectar quando o servidor RADIUS primário não está disponível e automaticamente alternar para o servidor IAS secundário.
  • Domínios do Active Directory.
    Os domínios do Active Directory contêm as contas de usuários, senhas e propriedades de discagem de que cada servidor IAS precisa para autenticar credenciais de usuário e avaliar restrições de autorização e de conexão. Para otimizar os tempos de resposta de autenticação e autorização do IAS e minimizar o tráfego de rede, o IAS é instalado em controladores de domínio.
  • Diretivas de acesso remoto personalizadas. As diretivas de acesso remoto são configuradas para especificar, com base nos membros do grupo, os tipos diferentes de restrições de conexão para usuários.
  • Dois proxies IAS na rede de perímetro.
    Para simplificar a configuração do firewall de intranet, os proxies IAS são usados na rede de perímetro no lugar dos servidores IAS. Quando os servidores IAS são usados na rede de perímetro, você deve configurar cada computador servidor IAS com dois adaptadores de rede (um conectado à rede de perímetro e outro à intranet) ou configurar o firewall de intranet para possibilitar o tráfego do Active Directory entre os servidores IAS da rede de perímetro e todos os controladores de domínio da intranet. Com a substituição dos computadores servidores IAS por proxies IAS, os computadores proxies IAS não exigem dois adaptadores de rede. Além disso, o firewall de intranet só precisa ser configurado para possibilitar o tráfego RADIUS entre os proxies IAS da rede de perímetro e os servidores IAS da intranet.
    Dois proxies IAS são usados na rede de perímetro para proporcionar tolerância a falhas para solicitações RADIUS que são enviadas dos proxies do provedor de serviços.
  • Gerenciador de conexões.
    Para automatizar a discagem ao provedor de serviços, o Gerenciador de conexões é usado para criar um perfil com todos os números de telefone dos POPs do provedor de serviços. Os usuários com acesso remoto selecionam a localidade de onde estão discando e o número de telefone (POP) apropriado do provedor de serviços no catálogo telefônico do perfil de serviço do Gerenciador de conexões. O usuário com acesso remoto conecta-se ao servidor de acesso por discagem do provedor de serviços através do protocolo de autenticação de senha de handshake de desafio (CHAP). A parte relativa ao nome de território do nome de usuário é usada pelos proxies do provedor de serviços para encaminhar as solicitações de autenticação a um proxy IAS da rede de perímetro da organização.

Este tópico também descreve uma configuração para um provedor de serviços que usa:

  • Dois proxies IAS na rede do provedor de serviços.
    O provedor de serviços usa proxies RADIUS na rede para encaminhar mensagens de solicitação RADIUS entre os servidores de discagem do provedor de serviços e os servidores ou proxies RADIUS de vários clientes na Internet. Dois proxies IAS são usados para fornecer tolerância a falhas para autenticação RADIUS.
  • Servidores de acesso dial-up.
    Os servidores dial-up consistem em computadores que executam:
    • Windows Server 2003, Standard Edition
    • Windows Server 2003, Enterprise Edition
    • Windows Server 2003, Datacenter Edition
    • O Windows 2000 e o serviço de roteamento e acesso remoto
    • Dispositivos de servidor de acesso à rede (NAS) de outros fabricantes

A ilustração a seguir mostra a configuração de discagem terceirizada usando proxies IAS na intranet da organização.

Acesso à extranet de parceiro comercial

Observação

  • Este tópico descreve somente como configurar o IAS. A configuração de domínios do Active Directory ou do Gerenciador de conexões não é descrita. Para obter mais informações sobre como implantar esses componentes, consulte os tópicos da <b>Ajuda</b> apropriados.

Para configurar o IAS para esse exemplo, execute as seguintes etapas:

  • Configurar o Active Directory para contas de usuário e grupos.
  • Configurar o servidor IAS primário em um controlador de domínio.
  • Configurar o servidor IAS secundário em outro controlador de domínio.
  • Configurar estatísticas e autenticação RADIUS em servidores VPN.
  • Configurar o proxy IAS primário na rede de perímetro.
  • Configurar o proxy IAS secundário na rede de perímetro.
  • Configurar os firewalls de intranet e da Internet para suporte ao tráfego RADIUS.
  • Configurar o proxy IAS primário no provedor de serviços.
  • Configurar o proxy IAS secundário no provedor de serviços.
  • Configurar estatísticas e autenticação RADIUS nos servidores de acesso dial-up do provedor de serviços.

Configurando contas de usuário e grupos

Para configurar contas de usuário e grupos, faça o seguinte:

  1. Certifique-se de que todos os usuários que estão estabelecendo conexões de acesso remoto têm uma conta de usuário correspondente.
  2. Gerencie o acesso à rede por grupo definindo a permissão de acesso remoto em contas de usuário como Controlar acesso através de Diretiva de Acesso Remoto. Para obter mais informações, consulte Configurar a permissão de acesso remoto para um usuário.
  3. Organize os usuários com acesso remoto nos grupos universais e nos grupos aninhados apropriados para se beneficiar das diretivas de acesso remoto baseadas em grupos. Para obter mais informações, consulte Escopo de grupo.
  4. Como o provedor de serviços terceirizado requer o uso da autenticação CHAP para a conexão de discagem, você deve ativar o suporte para senhas criptografadas de forma reversível nos domínios apropriados. Para obter mais informações, consulte Habilitar senhas com criptografia reversível em um domínio.

Configurando o servidor IAS primário em um controlador de domínio

Para configurar o servidor IAS primário em um controlador de domínio, faça o seguinte:

  1. No controlador de domínio, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS (o controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro. Em seguida, configure o computador servidor IAS para que leia as propriedades das contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
    Se o servidor IAS estiver autenticando tentativas de conexão de contas de usuário de outros domínios e esses domínios não tiverem uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS é membro, consulte Autenticação entre florestas.
  4. Ative o log de arquivos para eventos de estatísticas e autenticação. Para obter mais informações, consulte Configurar propriedades do arquivo de log.
  5. Adicione os proxies IAS da rede de perímetro como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  6. Crie diretivas de acesso remoto que reflitam com precisão o uso de acesso remoto.
    Por exemplo, para configurar uma diretiva personalizada de acesso remoto a fim de permitir que os membros do grupo Prestadores de serviços se conectem das 8h00 às 17h00, de segunda-feira a sexta-feira, use o <b>Assistente para nova diretiva de acesso remoto</b> para criar uma nova diretiva personalizada de acesso remoto com as seguintes configurações:
    • Nome da diretiva: Conexões de prestadores de serviços
    • Condições: <b>Windows-Groups</b> corresponde a Prestadores de serviços
    • Permissão: Conceder permissão de acesso remoto
    • Configurações de perfil, guia Restrições de Discagem: Permitir acesso somente nos seguintes dias e horários é definido como 8:00 às 17:00, de segunda-feira a sexta-feira.
    Para configurar uma diretiva de acesso remoto que exija que os membros do grupo Executivos usem autenticação EAP-TLS e criptografia de 128 bits, use o <b>Assistente para nova diretiva de acesso remoto</b> para criar uma diretiva de acesso remoto comum com as seguintes configurações:
    • Nome da diretiva: Conexões de alta segurança para executivos
    • Método de acesso: Acesso dial-up
    • Usuário ou grupo: Selecione Grupo e especifique o grupo Executivos (exemplo).
    • Métodos de autenticação: Selecione EAP (Extensible Authentication Protocol) e, em Tipo, selecione Cartão inteligente ou outro certificado. Se você tiver vários certificados de computador, clique em Configurar, selecione o certificado de computador apropriado e, em seguida, desmarque todas as outras caixas de seleção.
    • Nível de criptografia de diretiva: Marque a caixa de seleção Criptografia máxima (MPPE de 128 bits) e desmarque todas as outras caixas de seleção.
    Para obter outros exemplos de diretivas de acesso remoto, consulte Exemplos de Diretivas de Acesso Remoto.
    Se você criou novas diretivas de acesso remoto, exclua as diretivas de acesso remoto padrão ou garanta que sejam as últimas diretivas a serem avaliadas. Para obter mais informações, consulte Excluir uma diretiva de acesso remoto e Alterar a ordem de avaliação das diretivas.

Configurando o servidor IAS secundário em outro controlador de domínio

Para configurar o servidor IAS secundário em outro controlador de domínio, faça o seguinte:

  1. No outro controlador de domínio, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Configure o computador servidor IAS secundário (o outro controlador de domínio) para que leia as propriedades das contas de usuário no domínio. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory.
  3. Se o servidor IAS secundário autenticar tentativas de conexão de contas de usuário de outros domínios, verifique se esses domínios têm uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS secundário é membro. Em seguida, configure o computador servidor IAS secundário para que leia as propriedades de contas de usuário de outros domínios. Para obter mais informações, consulte Permitir que o servidor IAS leia contas de usuário no Active Directory. Para obter mais informações sobre relações de confiança, consulte Direção da relação de confiança.
    Se o servidor IAS secundário autenticar tentativas de conexão de contas de usuário de outros domínios e esses domínios não tiverem uma relação de confiança bidirecional com o domínio do qual o computador servidor IAS secundário é membro, consulte Autenticação entre florestas.
  4. Copie a configuração do servidor IAS primário para o servidor IAS secundário. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando estatísticas e autenticação RADIUS nos servidores VPN

Para configurar cada servidor VPN para usar os servidores IAS primário e secundário para autenticação, autorização e estatísticas de conexões de acesso remoto, faça o seguinte:

  1. Se o servidor VPN for um computador executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou o Windows 2000 e o serviço de roteamento e acesso remoto, configure os servidores IAS primário e secundário da rede de perímetro como servidores RADIUS para estatística e autenticação RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS e Usar estatísticas RADIUS.
  2. Se o servidor VPN for um computador executando o Windows NT Server 4.0 e o serviço de roteamento e acesso remoto (RRAS), consulte a Ajuda online do Windows NT Server 4.0 para obter instruções sobre como configurar os servidores IAS primário e secundário como servidores RADIUS para autenticação RADIUS.
  3. Se o servidor VPN for um servidor de acesso à rede (NAS) de outro fabricante, consulte a documentação do NAS para saber como configurá-lo como um cliente RADIUS com dois servidores RADIUS (os servidores IAS primário e secundário).

Configurando o proxy IAS primário na rede de perímetro

Para configurar o proxy IAS primário na rede de perímetro, faça o seguinte:

  1. Em um computador executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition na rede de perímetro, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS. O computador no qual o IAS é instalado não precisa ser dedicado ao encaminhamento de mensagens RADIUS. Você pode instalar o IAS em um servidor Web, em um servidor de arquivos ou em um servidor DNS.
  2. Se necessário, configure portas UDP adicionais para mensagens RADIUS que são enviadas pelos proxies RADIUS do provedor de serviços. Para obter mais informações, consulte Configurar informações das portas no IAS. Por padrão, o IAS usa as portas UDP 1812 e 1645 para autenticação e as portas 1813 e 1646 para estatísticas.
  3. Adicione os proxies RADIUS do provedor de serviços como clientes RADIUS do servidor IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  4. Crie uma diretiva de solicitação de conexão que encaminhe as mensagens de solicitação RADIUS com base no nome de território da organização.
    Use o Assistente para Nova Diretiva de Solicitação de Conexão para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão a um grupo de servidores remotos RADIUS e na qual o nome de território corresponda ao nome de território das contas de usuários da organização. Desmarque a caixa de seleção que remove o nome do território para autenticação. No Assistente para Nova Diretiva de Solicitação de Conexão, use o Assistente para Novos Grupos de Servidores Remotos RADIUS para criar um grupo de servidores remotos RADIUS com membros que incluam os dois servidores IAS na intranet.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  5. Exclua a diretiva de solicitação de conexão padrão chamada Usar autenticação do Windows para todos os usuários. Para obter mais informações, consulte Excluir uma diretiva de solicitação de conexão.

Configurando o proxy IAS secundário na rede de perímetro

Para configurar o proxy IAS secundário em outro computador da rede de perímetro, faça o seguinte:

  1. Em um outro computador executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition na rede de perímetro, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Copie a configuração do proxy IAS primário para o proxy IAS secundário na rede de perímetro. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando os firewalls de intranet e da Internet para suporte ao tráfego RADIUS

Para configurar os firewalls de intranet e da Internet para suporte ao tráfego RADIUS, faça o seguinte:

  1. Configure o firewall de intranet para possibilitar o tráfego RADIUS entre os proxies IAS da rede de perímetro e os servidores IAS da intranet.
  2. Configure o firewall da Internet para possibilitar o tráfego RADIUS entre os proxies IAS da rede de perímetro e os proxies IAS da rede do provedor de serviços.
    Para obter mais informações, consulte IAS e firewalls.

Configurando o proxy IAS primário no provedor de serviços

Para configurar o proxy IAS primário no provedor de serviços, faça o seguinte:

  1. Em um computador executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition na rede do provedor de serviços, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS. O computador no qual o IAS é instalado não precisa ser dedicado ao encaminhamento de mensagens RADIUS. Você pode instalar o IAS em um servidor Web, em um servidor de arquivos ou em um servidor DNS.
  2. Se necessário, configure portas UDP adicionais para mensagens de autenticação e sobre estatísticas que são enviadas pelos servidores de acesso dial-up do provedor de serviços. Para obter mais informações, consulte Configurar informações das portas no IAS. Por padrão, o IAS usa as portas UDP 1812 e 1645 para autenticação e as portas 1813 e 1646 para estatísticas.
  3. Adicione os servidores de acesso dial-up do provedor de serviços como clientes RADIUS do proxy IAS. Para obter mais informações, consulte Adicionar clientes RADIUS. Verifique se você está configurando o nome ou endereço IP e os segredos compartilhados corretos. Para obter mais informações, consulte Segredos compartilhados.
  4. Crie uma diretiva de solicitação de conexão que encaminhe as mensagens de solicitação RADIUS com base no nome de território do cliente do provedor de serviços.
    Use o <b>Assistente para nova diretiva de solicitação de conexão</b> para criar uma diretiva de solicitação de conexão que encaminhe solicitações de conexão a um grupo de servidores remotos RADIUS e na qual o nome de território corresponda ao nome de território da organização do cliente. Desmarque a caixa de seleção que remove o nome do território para autenticação. No Assistente para Nova Diretiva de Solicitação de Conexão, use o Assistente para Novos Grupos de Servidores Remotos RADIUS para criar um grupo de servidores RADIUS com membros que incluam os dois proxies IAS na rede de perímetro do cliente.
    Para obter mais informações, consulte Adicionar uma diretiva de solicitação de conexão.
  5. Exclua a diretiva de solicitação de conexão padrão chamada Usar autenticação do Windows para todos os usuários. Para obter mais informações, consulte Excluir uma diretiva de solicitação de conexão.

Configurando o proxy IAS secundário no provedor de serviços

Para configurar o proxy IAS secundário em outro computador da rede de perímetro, faça o seguinte:

  1. Em outro computador executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition ou o Windows Server 2003, Datacenter Edition na rede do provedor de serviços, instale o IAS como um componente de rede opcional. Para obter mais informações, consulte Instalar o IAS.
  2. Copie a configuração do proxy IAS primário para o proxy IAS secundário na rede do provedor de serviços. Para obter mais informações, consulte Copiar a configuração do IAS para outro servidor.

Configurando estatísticas e autenticação RADIUS nos servidores dial-up do provedor de serviços

Para configurar cada servidor dial-up para usar os proxies IAS primário e secundário na rede do provedor de serviços para autenticação, autorização e estatísticas de conexões dial-up, faça o seguinte:

  1. Se o servidor dial-up ou VPN for um computador executando o Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition, Windows Server 2003, Datacenter Edition ou o Windows 2000 e o serviço de roteamento e acesso remoto, configure os proxies IAS primário e secundário da rede do provedor de serviços como servidores RADIUS para autenticação e estatística RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS e Usar estatísticas RADIUS.
  2. Se o servidor dial-up ou VPN for um computador executando o Windows NT Server 4.0 e o RRAS, consulte a Ajuda online do Windows NT Server 4.0 para obter informações sobre como configurar os proxies IAS primário e secundário na rede do provedor de serviços como servidores RADIUS para autenticação RADIUS.
  3. Se o servidor dial-up ou VPN for um NAS de outro fabricante, consulte a documentação do NAS para saber como configurá-lo como um cliente RADIUS com dois servidores RADIUS (os proxies IAS primário e secundário na rede do provedor de serviços).

Observação

  • Você pode configurar o IAS no Windows Server 2003, Standard Edition, com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS resolve vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003, Enterprise Edition, e no Windows Server 2003, Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Também pode configurar clientes RADIUS especificando um intervalo de endereços IP.
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft