Configurando o ISA Server para aceitar chamadas VPN

Publicado em: 25 de fevereiro de 2002

P. O ISA Server está configurado e tudo está funcionando perfeitamente. Consigo controlar o acesso de saída com base em usuários e/ou grupos, bem como controlar a largura de banda reservada para vários aplicativos de Internet. Gostaria de configurar o ISA Server para aceitar conexões de rede virtual privada (VPN, Virtual Private Network) de entrada. Que informações devo levar em consideração antes de configurar o ISA Server como servidor VPN?

R. O ISA Server está totalmente integrado ao serviço de roteamento e acesso remoto do Microsoft Windows 2000. Antes de implementar uma solução de cliente/servidor VPN, considere os seguintes pontos:

  • De que maneira o protocolo IP (Internet Protocol) que estiver adicionando informações será atribuído aos clientes VPN?
  • Você deseja oferecer suporte a quais protocolos VPN?
  • O servidor será um servidor VPN ou ele também atuará como um gateway VPN?

O servidor VPN pode atribuir endereços por meio do protocolo DHCP (Dynamic Host Configuration Protocol), que é a configuração padrão, ou a partir de um grupo de endereços atribuídos por você no console de roteamento e acesso remoto. Caso escolha o DHCP, esteja ciente de que o cliente VPN nunca se comunicará diretamente com o servidor DHCP. Um servidor VPN que esteja executando o ISA Server atribuirá os endereços que obteve de um servidor DHCP; ele atribuirá os endereços de servidor de nomes com base na configuração da interface interna do servidor VPN que executa o ISA Server. Caso haja várias interfaces internas, esse servidor VPN escolherá uma delas. Você pode alterar o adaptador utilizado para endereços de servidor de nomes no console de roteamento e acesso remoto.

O servidor VPN do Windows 2000 que executa o ISA Server oferece suporte a conexões VPN por PPTP (Point to Point Tunneling Protocol) e L2TP (Layer 2 Tunneling Protocol) através de IPSec (Secure Internet Protocol). Se você quiser utilizar somente PPTP, o servidor VPN que estiver executando o ISA Server será praticamente Plug and Play, pois será necessária apenas uma configuração mínima após a execução do ISA Server VPN Client Wizard (Assistente de Cliente VPN do ISA Server). Caso o servidor VPN que esteja executando o ISA Server seja um servidor membro de um domínio do Microsoft Windows NT 4.0 ou Windows 2000, ele utilizará o banco de dados de contas de usuários do domínio. Se o computador for um servidor autônomo, você poderá utilizar contas de usuários locais, ou poderá tirar proveito do serviço de autenticação da Internet (IAS, Internet Authentication Service) do Windows 2000 e utilizar o protocolo RADIUS (Remote Authentication Dial-In User Service) para autenticação no servidor VPN que estiver executando o ISA Server.

Você obterá o mais alto nível de compatibilidade e segurança se utilizar L2TP através de IPSec para as suas conexões VPN. Entretanto, a escolha dessa opção exige a instalação de certificados de cliente no servidor VPN que está executando o ISA Server e nos clientes, para que o servidor e os clientes confirmem as respectivas identidades. Você pode utilizar um certificado de outro fornecedor ou tirar proveito dos serviços de certificado do Windows 2000. Se utilizar os serviços de certificado do Windows 2000, você poderá atribuir certificados por meio da interface da Web dos serviços de certificado, do MMC de certificados ou do registro automático.

Observação: para utilizarem o MMC de certificados ou o registro automático, todos os computadores participantes da transação devem pertencer ao mesmo domínio.

Os assistentes de VPN do ISA Server podem configurar o servidor VPN que esteja executando o ISA Server para que aceite chamadas de clientes VPN ou funcione como um gateway VPN. Se você configurar o servidor VPN que esteja executando o ISA Server para que aceite chamadas VPN de entrada, o cliente VPN poderá primeiro estabelecer uma conexão com a Internet e depois conectar-se ao servidor VPN. O servidor VPN que executa o ISA Server também tem assistentes que você poderá utilizar para configurar uma solução de gateway para gateway VPN. Você poderá usar a configuração de gateway para gateway VPN a fim de configurar duas redes locais (LANs) na Internet usando o link VPN como uma conexão dedicada virtual. O Set Up Local ISA VPN Server Wizard (Assistente para Configuração de ISA Server de VPN Local) e o Set Up Remote ISA VPN Server Wizard (Assistente para Configuração de ISA Server de VPN Remota) facilitam essa configuração.

Os assistentes de VPN podem ser acessados a partir do console de gerenciamento do ISA Server:

  1. Abra o console de gerenciamento do ISA Server. Expanda o nome da matriz ou do servidor.
  2. Clique com o botão direito do mouse no nó Network Configuration.
  3. Selecione um destes assistentes:
    • Set Up Local ISA VPN Server

    • Set Up Remote ISA VPN Server

    • Allow VPN Client Connections

Os assistentes irão ajudar você durante a configuração e iniciar o serviço de roteamento e acesso remoto, caso ainda não tenha sido iniciado. Examine a configuração do servidor VPN depois que executar os assistentes para garantir que as configurações correspondam aos requisitos do seu ambiente.