Always on VPN Microsoft - nonoloki2/Devops GitHub Wiki

Parte 1 - Criar os certificados e grupos e configurar politica de grupo

Grupos à serem criados e suas respectivas finalidades:

AOVPN Users – Este grupo conterá contas de usuário do Active Directory e será usado para controlar quais usuários têm permissão para se conectar por meio de um túnel de usuário VPN Always On.

AOVPN Computers – Este grupo conterá contas de computador do Active Directory e será usado para controlar quais computadores receberão o certificado de computador.

AOVPN NPS Servers - Este grupo conterá os objetos de computador do Active Directory dos servidores NPS. Este grupo não é obrigatório, no entanto, torna mais fácil a implantação do certificado e o processo de gerenciamento.

  • Criando o certificado para o VPN Server RRAS (Lembrando que esse servidor estará fora do domínio por questões de segurança)
  1. Abra o console da CA e vá em certificates templates botão direito clique em manage (para gerenciar os modelos)
  2. Selecione o modelo RAS and IAS Server botão direito clique em duplicar modelo
  3. Na aba compatibilidade: 3a) Configure Certification Authority to Windows Server 2012 R2 3b) Configure Certificate recipient to Windows 8.1 / Windows Server 2012 R2
  4. Na aba General em Display Name digite AOVPN RAS Authentication
  5. Na aba Security Remove o grupo RAS and IAS Servers
  6. Na aba Extensions Selecione Application Policies clique em edit (botão logo mais abaixo à direita)
  7. Clique em Add outro botão logo abaixo mais à esquerda dessa vez e selecione IP security IKE intermediate e clique ok
  8. Na aba Subject Name marque Supply in the request
  9. Clique em ok
  10. Clique em ok para salvar as propriedades da janela

Certificado do servidor NPS

  1. Abra o console da CA e vá em certificates templates botão direito clique em manage (para gerenciar os modelos)
  2. Selecione o modelo RAS and IAS Server botão direito clique em duplicar modelo
  3. Na aba compatibilidade: 3a) Configure Certification Authority to Windows Server 2012 R2 3b) Configure Certificate recipient to Windows 8.1 / Windows Server 2012 R2
  4. Na aba General em Display Name digite AOVPN NPS Authentication
  5. Na aba Security adicione o grupo AOVPN NPS Servers e selecione as caixas Read, Enroll, and Autoenroll
  6. Remova o grupo RAS and IAS Servers
  7. clique em em ok para salvar as propriedades
  • Ao concluir a criação dos grupos e novos modelos de certificados não esquecer de distribuir os novos modelos iremos criar a solicitação de certificado do VPN Server (RRAS) que nesse exemplo ficará fora do domínio por questões de segurança

Configurar o registro automático de certificado Política de Grupo

Isso permite que os usuários de VPN solicitem e recuperem certificados de usuário que autenticam conexões VPN automaticamente. Da mesma forma, essa política permite que os servidores NPS solicitem certificados de autenticação de servidor automaticamente.