[MEU 50º LIVRO]: BANCOS DE DADOS E ACESS - CURSO COMPLETO - DO BÁSICO AO VBA - 1602 páginas

Páginas: 1602 | Autor: Júlio Battisti | 40% de Desconto e 70h de Vídeo Aulas de Bônus

Você está em: PrincipalArtigosWindows 2003 Server › Capítulo 19 : 03
Quer receber novidades e e-books gratuitos?
›››
« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »
WINDOWS 2003 SERVER - CURSO COMPLETO
Autor: Júlio Battisti


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


Lição 170 - Capítulo 19 - Segurança e serviços de rede: Habilitação e configuração do acesso remoto

 

Pré-Requisitos: Conceitos teóricos sobre acesso remoto no Windows Server 2003.
Metodologia: Executar as ações práticas de implementação e administração do acesso remoto.
Técnica: Exemplos práticos, passo-a-passo.

Neste tópico você aprenderá a executar uma série de configurações no serviço de acesso remoto do Windows Server 2003. É importante salientar, novamente, que além das configurações no RRAS, você também deve providenciar o hardware necessário. No servidor, é preciso instalar uma quantidade de modems e de linhas telefônicas, suficiente para atender ao número de usuários projetado. Os clientes também devem estar equipados com o software de conexão necessário e com uma placa de fax-modem ou outro tipo de conexão. Se os seus clientes utilizam o Windows 2000, Windows XP Professional ou o Windows Server 2003, o software cliente, tanto para conexões Dial-up quanto para conexões do tipo VPN, já está disponível no próprio Windows.

Habilitando o servidor de acesso remoto – RRAS.

O serviço RRAS é instalado, por padrão, quando o Windows Server 2003 é instalado. Porém este serviço não é automaticamente habilitado para aceitar chamadas remotas. Por isso, o primeiro passo é habilitar o RRAS para que ele aceite chamadas remotas (supondo que o hardware necessário já esteja devidamente instalado e reconhecido pelo Windows Server 2003). Após a habilitação do serviço remoto, para aceitar chamadas, o administrador pode fazer uma série de configurações, tais como: definir os protocolos de autenticação que serão aceitos, criar e aplicar políticas de segurança e assim por diante.

Exemplo: Para configurar e habilitar o servidor RRAS, siga os passos indicados a seguir:

1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
2. Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto). Observe que uma flechinha vermelha é exibida ao lado do nome do servidor RRAS. Esta flechinha indica que o servidor não está habilitado. Quando o servidor está habilitado, é exibida uma flechinha verde.
3. O console de configuração do RRAS será aberto, conforme indicado na Figura 19.9:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura 19.9 O console Routing and Remote Access.

4. Clique no servidor a ser configurado (SRV-WIN2003 no exemplo da Figura 19.9) para seleciona-lo. Em seguida execute o comando: Action -> Configure and Enable Routing and Remote Access (Configurar e habilitar o roteamento e o acesso remoto).
5. Será aberto o assistente para habilitação do serviço de roteamento e acesso remoto. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
6. Nesta etapa você tem diversas opções de configuração. Você pode configurar o servidor para aceitar chamadas remotas do tipo Dial-up e VPN (Remote access (dial-up or VPN); você pode configura-lo para atuar com a função de NAT - Netowork Address Translation, que será explicada no próximo capítulo, como um servidor de conexões VPN e NAT, como um host de conexão segura entre duas redes (Secure connection between two private networks)  ou definir configurações personalizadas. Selecione a opção Dial-up e VPN (Remote access (dial-up or VPN), conforme indicado na Figura 19.10:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.10 Configurando o servidor para aceitar conexões remotas.

NOTA: Caso esta seja a primeira vez que você esteja utilizando o assistente de conexões de rede, neste servidor, pode ser aberta a janela pedindo informações sobre a sua localidade. Digite o código do país (que para o Brasil é 55) e clique em OK para fechar a janela de configurações do país.

7. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8. Será exibida uma janela para que você defina que tipos de conexões serão aceitas pelo servidor. Marque as opções Dial-up e VPN, conforme indicado na Figura 19.11. Se você informar que serão aceitas conexões do tipo VPN, por padrão, serão criadas 5 portas do tipo PPTP e 5 portas do tipo L2TP. Se você for usar este servidor para aceitar conexões VPN através da Internet, o servidor deve estar configurado com um endereço IP válido para a Internet, o qual é obtido a partir do seu ISP – Internet Service Provider.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.11 Aceitando conexões VPN e Dial-up.

9. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
10. Nesta etapa você deve informar como serão fornecidas as configurações de endereço IP para os clientes que fizerem a conexão remotamente. Por padrão vem marcada a opção Automatically (Automaticamente), a qual instrui o RRAS a utilizar o servidor DHCP para obter as configurações de endereço IP para os clientes. Esta é a opção mais indicada quando os clientes remotos devem fazer a conexão e ter acesso a recursos da rede nos demais servidores da rede.Para que isso seja possível, os clientes devem obter configurações de TCP/IP válidas para a rede onde está o servidor RRAS. Além disso, o servidor RRAS deve ter uma placa de rede configurada com as configurações de TCP/IP da rede local.
11. Aceite a opção padrão, que é obter as configurações a partir do servidor DHCP e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12. Nesta etapa você define se a autenticação dos usuários será feita pelo próprio servidor RRAS ou se será enviada para autenticação por um servidor RADIUS (Remote Authentication Dial-in User Service). Um único servidor RADIUS pode ser utilizado para fornecer autenticação para vários servidores de acesso remoto. O servidor RADIUS também pode ser utilizado como um ponto para aplicação centralizada de políticas de segurança de acesso remoto. Ou seja, o administrador configura as políticas de segurança de acesso remoto no servidor RADIUS e estas são aplicadas a todos os servidores RRAS que utilizam os servidor RADIUS como servidor de autenticação. Este procedimento é bem mais prático do que configurar as políticas de segurança em cada servidor RRAS individualmente. No nosso exemplo, como não temos um servidor RADIUS configurado, vamos utilizar o próprio RRAS para fazer a autenticação dos usuários. Marque a opção No, use Routing and Remote Access to authenticate connection requests (Não, utilize o serviço de Roteamento e Accesso Remoto para autenticar as requisições de conexão), conforme indicado na Figura 19.12:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.12 Definindo como será feita a autenticação dos usuários.

13. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
16. Você estará na etapa final do assistente. Para alterar alguma opção clique em Back (Voltar). Clique em Finish (Concluir), para encerrar o assistente a habilitar o RRAS para que passe a aceitar conexões remotas. Será exibida uma mensagem informando sobre as configurações do DHCP Relay Agent. Clique em OK para fecha-la. Mais adiante falarei sobre a utilização e a configuração do DHCP Relay Agent. Pronto, o servidor RRAS está configurado e pronto para receber conexões remotas.

Muito bem, o servidor de acesso remoto foi habilitado. Agora é hora de você aprender a configura-lo, monitora-lo, criar políticas de segurança e assim por diante.

Configurações do servidor de acesso remoto.

As configurações do RRAS são feitas usando o console Routing and Remote Access (Roteamento e acesso remoto), o qual é acessado a partir do menu Start -> Administrative Tools (Iniciar -> Ferramentas administrativas). Neste item você aprenderá a configurar as propriedades do servidor. A medida que eu for apresentando as opções de configuração disponíveis, novas conceitos irão surgindo. Sempre que necessário, apresentarei explicações detalhadas sobre conceitos que não foram vistos na parte teórica, do início do capítulo.

NOTA: Para que você possa fazer as configurações do servidor RRAS, este já deve ter sido habilitado. Para detalhes sobre como habilitar o servidor RRAS, consulte o exemplo do item anterior.

Exemplo: Para abrir o console Routing and Remote Access (Roteamento e acesso remoto) e configurar as opções do servidor RRAS, siga os passos indicados a seguir:

1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
2. Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3. O console de configuração do RRAS será aberto, conforme indicado na Figura 19.13:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura 19.13 O console Routing and Remote Access.

4. Para que você possa configurar as propriedades do servidor, clique com o botão direito do mouse no nome do servidor (SRV-WIN2003 no exemplo da Figura 1913) e, no menu de opções que é exibido clique em Properties (Propriedades).
5. Será exibida a janela de propriedades do servidor RRAS, com a guia General selecionada por padrão. Esta guia tem as opções indicadas na Figura 19.14:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.14 Habilitando as duas funções: Roteamento e Acesso Remoto.

6. Nesta guia você define as funções que serão habilitadas no servidor RRAS. Você pode habilitar o servidor somente como um Servidor de Acesso Remoto (Remote access server), você também pode configurar o servidor para exercer apenas as funções de Roteamento (Router) ou para exercer ambas as funções.
7. Selecione as opções desejadas e clique na guia Security. Serão exibidas as opções indicadas na Figura 19.15:
Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.15 Configurações de segurança para o serviço de acesso remoto.

Esta guia tem uma série de opções importantes e merece um looooongo parênteses para tratar, em detalhes, destas  opções.

A primeira opção é escolher quem fará a autenticação dos usuários que estão se conectando remotamente. Por padrão é selecionada a opção Windows Authentication (Autenticação do Windows). Neste caso, serão utilizadas as contas do Active Directory (se o servidor RRAS pertencer a um domínio) ou as contas locais do servidor RRAS (se o servidor não pertencer a um domínio). Por exemplo, o usuário utilizando o seu Notebook equipado com um cartão de Fax-Modem, fará uma discagem para o servidor RRAS. As configurações de discagem são idênticas a configurar uma discagem para um provedor de Internet, ou seja, o usuário criará uma nova conexão Dial-up, na qual ele informa o número de telefone para a conexão, o seu nome de usuário e senha. No caso da autenticação do Windows, o usuário deve utilizar o seu nome de usuário e senha da rede, ou seja, a sua conta cadastrada no Active Directory (ou uma conta criada em um servidor RRAS que não pertence ao domínio, especificamente para acesso remoto). Neste caso poderão ocorrer duas situações distintas. O servidor RRAS faz parte de um domínio da empresa. Nesta situação os usuários utilizarão suas contas do domínio, cadastradas no Active Directory. Outra situação é quando o servidor onde está o RRAS é configurado como um Stand alone server, e são criadas contas localmente neste servidor. Neste caso, cada usuário que precisar fazer a conexão com o servidor RRAS, deverá ser cadastrado neste servidor. Ao fazer a conexão, o usuário deve utilizar o nome de logon e senha que foram cadastrados no servidor RRAS configurado como um Stand-alone server. Esta segunda situação não é recomendada, uma vez que trará a necessidade de se manter um cadastro adicional de usuários, para os usuários com necessidade de acesso remoto. Além disso, este cadastro seria independente em cada servidor RRAS, ou seja, se um determinado usuário precisasse acesso a vários servidores RRAS, teria que ser criada uma conta para este usuário em cada servidor RRAS configurado como Stand-alone server. E se ele mudasse a senha em um dos servidores? A senha não seria alterada nos demais. Aí o usuário tentaria fazer a conexão com um servidor diferente do que aquele onde ele trocou a senha e receberia uma mensagem de acesso negado. Ou seja, usando a opção de instalar o RRAS em servidores do tipo Stand-alone server, isto é, que não pertencem ao domínio, você estará introduzindo uma complexidade administrativa que realmente não é necessária.

A outra opção é configurar o servidor RRAS para faze a autenticação através de um servidor RADIUS (Remote Authentication Dial-In User Service). Com este tipo de autenticação, o servidor RRAS recebe as credenciais enviadas pelo usuário (nome de logon, senha e demais informações) e passa essas informações para um servidor RADIUS, o qual fará a autenticação do usuário e retornará o resultado da autenticação para o servidor RRAS.

Existe muita confusão entre o RADIUS e o IAS (Internet Authentication Service). Alguns acham que o RADIUS é a versão mais antiga e o IAS é uma implementação mais nova, com novos recursos e assim por diante. Nada disso. O RADIUS é o padrão de autenticação, é o protocolo de autenticação com base em padrões definidos pelo IETF. O IAS é a implementação do RADIUS feita pela Microsoft, estando disponível no Windows 2000 Server e também no Windows Server 2003.

O IAS executa autenticação, autorização, auditoria e estatísticas centralizadas de usuários que se conectam ao servidor de acesso remoto usando, tanto usando uma conexão do tipo VPN, quanto usando uma conexão do tipo Dial-up. O objetivo com o uso do IAS é ter um servidor centralizado, no qual é feita a autenticação para os vários servidores de acesso remoto da rede. Com isso as credenciais são verificadas de maneira única, existe uma única base de usuários a ser mantida, as estatísticas e logs de acesso ficam centralizadas e, a principal vantagem (na minha opinião), é possível criar as políticas de segurança de uma maneira centralizada. Cria-se as políticas no IAS e estas são aplicadas a todos os servidores RRAS que utilizam o IAS para autenticação.

Você pode estar se perguntando: “Mas se o objetivo é ter uma base única, que possa ser gerenciada de maneira centralizada, então porque não usar a autenticação do Windows e o Active Directory como sendo esta base centralizada? Para justificar o porquê da existência do IAS, vou descrever uma situação prática onde o uso do IAS é recomendado. Vamos supor que você tenha vários servidores de acesso remoto, com os quais devam se conectar desde parceiros de negócios, tais como fornecedores e empresas de logística, até prestadores de serviços e profissionais liberais que fazem serviços para a empresa. Nesta situação você cadastra as contas dos parceiros de negócios e dos prestadores de serviço no Active Directory e cria os grupos que forem necessários (observa qu continua sendo utilizada uma base única – o Active Directory), porém utiliza o servidor RADIUS para definir as regras de acesso e autenticação. Em seguida você pode configurar os servidores RRAS da empresa, para utilizar o servidor RADIUS para autenticação. O servidor RADIUS também poderá ser utilizado para aplicação de políticas de segurança do acesso remoto de uma maneira centralizada. Ou seja, as políticas são definidas no servidor RADIUS e aplicadas em todos os servidores RRAS que utilizam o servidor RADIUS. Po

O IAS implementa o protocolo Remote Authentication Dial-In User Service (RADIUS, serviço de usuário de discagem de autenticação remota) padrão do IETF (Internet Engineering Task Force, equipe de engenharia da Internet), que permite o uso de uma rede homogênea ou heterogênea de equipamentos fazendo conexões do tipo dial-up ou VPN.

Os recursos do IAS incluem:

• Autenticação de usuários centralizada. A autenticação dos usuários é um importante assunto de segurança. O IAS fornece suporte a vários protocolos de autenticação e permite que você associe métodos de autenticação arbitrários para atender às suas necessidades de autenticação.

• Autorização de usuários centralizada. Para que o usuário possa ter acesso à rede, o IAS é capaz de autenticar usuários em domínios do Microsoft Windows NT 4.0 e no Active Directory do Windows 2000 ou Windows Server 2003. O IAS oferece suporte aos novos recursos no Active Directory, como User Principal Names (UPNs, nomes principais de usuários) e Universal Groups (grupos universais). As Diretivas de acesso remoto proporcionam flexibilidade no controle de quem tem permissão para se conectar à sua rede. Embora seja simples gerenciar a permissão de acesso remoto de cada conta de usuário, esse enfoque pode se tornar incômodo com o crescimento da sua organização. As Diretivas de acesso remoto proporcionam uma maneira mais poderosa e flexível de gerenciar a permissão de acesso remoto. Vamos comentar com bastante calma este detalhe. Ao invés de utilizar o RADIUS, é possível configurar as opções de acesso remoto nas propriedades das contas de cada usuário do Active Directory (conforme mostrarei mais adiante). Porém esta abordagem, definitivamente é contra-producente. Com o uso do RADIUS, ao invés de configurar as permissões nas propriedades de cada conta, você cria políticas de acesso baseada no RADIUS, atribuindo permissões de acesso (ou negando) para grupos de usuários do Active Directory. Sempre é aconselhável que você defina as permissões para grupos e não para cada usuário diretamente. Por exemplo, se você precisa dar permissão de acesso remoto apenas aos vendedores e gerentes, crie um grupo chamado AcessoRemoto e inclua, como membro deste grupo, todos os usuários que trabalham com vendas, mais os gerentes. Ou melhor ainda, se você já tiver criado um grupo com todos os vendedores e mais um grupo com todos os gerentes, inclua o grupo Vendedores e o grupo Gerentes, como membros do grupo AcessoRemoto. Bem mais simples e gerenciável do que configurar as permissões usuário por usuário. No assistente você só poderá configurar permissões para um ou mais usuários. Usando as políticas de acesso remoto, você poderá definir permissões para grupos. Com o uso das políticas de acesso remoto no servidor RADIUS, o administrador define permissões de uma maneira centralizada e pode ter estas permissões aplicadas aos vários servidores RRAS da empresa. As políticas de acesso remoto são um conjunto de condições que permitem maior flexibilidade aos administradores de redes na concessão de acesso remoto.

As diretivas permitem que você controle o acesso remoto com base em:

- Usuários membros de um grupo de segurança do Active Directory. Você pode utilizar grupos de segurança do Active Directory para permitir ou negar o acesso de usuários.
- A hora ou o dia da semana.
- O tipo de mídia através do qual o usuário está se conectando, por exemplo, ISDN (Integrated Services Digital Network, rede digital de serviços integrados), modem ou encapsulamento VPN.
- O número de telefone que o usuário chama. (Autorização DNIS). Com esta política você pode limitar a quais servidores um usuário pode se conectar.
- O número de telefone do qual o usuário chama. Esta é uma importante configuração de segurança. Por exemplo, se você tem usuários que trabalham em casa. Você pode configurar uma política para somente aceitar chamadas deste usuário, do número de telefone da casa do usuário. Com isso se alguém descobrir a senha deste usuário e tentar fazer uma conexão usando um outro telefone, o acesso será negado.
- O cliente RADIUS do qual a solicitação chegou.

• Administração centralizada de todos os seus servidores de acesso remoto: O suporte para o padrão RADIUS permite que o IAS controle parâmetros de conexão de todo servidor de acesso remoto que implemente o padrão e não somente servidores de aceso remoto baseados no Windows Server 2003.

As Diretivas de acesso remoto proporcionam mais flexibilidade aos administradores de redes no gerenciamento de parâmetros de conexão variáveis ao fornecer a capacidade de criar perfis condicionais. Você pode usar perfis para configurar os parâmetros de conexão de rede do usuário.

As condições sob as quais os parâmetros de conexão (um perfil) podem ser alterados, incluem:

- A hora ou o dia da semana.
- O tipo de mídia através do qual o usuário está se conectando (por exemplo, ISDN, modem ou encapsulamento VPN).
- O fornecedor do servidor de acesso remoto, ao qual o usuário está se conectando.
- Usuários membros de um grupo de segurança do Active Directory.

Ao usar perfis, você pode controlar parâmetros de conexão. Por exemplo, você pode:

- Permitir ou negar o uso de determinados métodos de autenticação.
- Controlar o tempo no qual a conexão pode permanecer ociosa.
- Controlar o tempo máximo de uma única sessão.
- Controlar o número de vínculos em uma sessão de vários vínculos.
- Controlar configurações de criptografia.
- Adicionar filtros de pacote para controlar o que o usuário pode acessar quando está conectado à rede. Por exemplo, você pode usar filtros para controlar a quais (ou de quais) endereços IP, hosts e portas o usuário tem permissão para enviar (ou receber) pacotes.
• Auditoria e estatísticas de uso centralizadas. O suporte ao padrão RADIUS permite que o IAS colecione em um ponto único os registros de utilização (estatística) enviados pelos diversos servidores RRAS da rede. O IAS registra informações de auditoria (por exemplo, sucesso na autenticação, recusas e bloqueio automático de conta) e informações de uso (por exemplo, registros de logon e de logoff) em arquivos de log. O IAS fornece suporte a um formato de arquivo de log que pode ser diretamente importado para um banco de dados. Os dados podem ser analisados usando qualquer aplicativo de análise de dados.

• Interface gráfica de administração: O IAS fornece uma interface gráfica do usuário (snap-in do MMC) que permite que você configure servidores locais ou remotos.

• Monitoramento remoto. Você pode monitorar o IAS por meio de ferramentas do Windows Server 2003, tais como o Visualizar eventos ou o Monitor do sistema.

• Adaptabilidade. Você pode usar o IAS em várias configurações de rede de tamanhos variados, de servidores autônomos de redes pequenas a grandes redes corporativas e de ISPs.

• Importação/Exportação da configuração para gerenciar vários servidores IAS. A configuração do IAS pode ser importada/exportada por meio do comando netshell.

NOTA: O IAS é um serviço de rede, o qual é instalado a partir da opção Add/Remove Programs (Adicionar ou remover programas) do Painel de control. Na janela que é aberta clique em Add/Remove Windows Components (Adicionar ou remover componentes do Windows). Na janela que é aberta marque a categoria Networking Services (Serviços de rede) e clique no botão Details... (Detalhes). Na janela que é aberta marque a opção Internet Authentication Service, conforme indicado na Figura 19.16:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.16 Instalando o IAS.

Clique em OK. Você estará de volta a janela de componentes do Windows. Clique em Next (Avançar). Será iniciada a instalação do IAS. Ao terminar a instalação, o Windows exibe uma tela com uma mensagem de aviso.Clique em Finish (Concluir), para fechar esta mensagem. Pronto, o IAS está instalado. Para administrar o IAS você utiliza o console Internet Authentication Service: Start -> Administrative Tools -> Internet Authentication Service (Iniciar -> Ferramentas administrativas -> Serviço de autenticação da Internet).

Fechando o nosso looooongo parênteses, vamos voltar as configurações das propriedades do servidor RRAS.

8. Para utilizar um servidor RADIUS para autenticação, selecione a opção RADIUS Authentication, na lista Authentication provider. Ao selecionar esta opção, o botão Configure... será habilitado. Clique no botão Configure...
9. Será aberta a janela RADIUS Authentication. Nesta janela você pode acrescentar um ou mais servidores RADIUS (servidores com o IAS instalado, se for um servidor com o Windows Server 2003 ou qualquer outro servidor com suporte ao protocolo RADIUS e compatível com o RRAS). Quando um usuário tenta fazer a conexão com o RRAS, os servidores RADIUS serão pesquisados na ordem em que foram informados nesta janela. Para acrescentar um novo servidor RADIUS dê um clique em Add... (Adicionar...). Será aberta a janela Add RADIUS Server, na qual você deve informar o nome do servidor RADIUS, uma palavra secreta que será utilizada para comunicação com o servidor RADIUS (caso esta palavra tenha sido configurada no servidor RADIUS. Para informar uma nova palavra, basta clicar em Change... (Alterar...), digitar a palavra duas vezes e clicar em OK), um tempo de time-out, um valor que é uma medida da velocidade com que o servidor RADIUS responde (Initial score), a porta de comunicação e a opção Always use message authenticator (esta opção define se um código autenticador de mensagens, baseado na palavra secreta, é enviada com cada mensagem do RADIUS. Esta opção representa um adicional de segurança importante. Mensagens do protocolo Extensible Authentication Protocol (EAP) são sempre enviadas com um autenticador de mensagem. Antes de habilitar esta opção você deve certificar-se de que o servidor RADIUS (caso seja um servidor RADIUS não Microsoft, pois o IAS suporta esta funcionalidade) suporta a troca de mensagens com código autenticador. Esta opção deve ser selecionada sempre se o servidor RADIUS for um servidor Microsoft rodando o IAS e o cliente RADIUS esta configurado para usar mensagens com código autenticador). Na Figura 19.7, apresento um exemplo onde está sendo adicionado o servidor RADIUS SRV-WIN2003:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.17 Informações sobre o servidor RADIUS.

10. Clique em OK para adicionar o servidor RADIUS SRV-WIN2003. O servidor já será exibido na lista de servidores RADIUS, na janela RADIUS Authentication, conforme indicado na Figura 19.18:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.18 Servidor RADIUS recém adicionado.

11. Para adicionar mais servidores RADIUS, utilize novamente o botão Add... (Adicionar...) e siga os passos indicados anteriormente. Lembrando que quando houver mais de um servidor RADIUS, eles serão utilizados na ordem em que aparecem na listagem. Por exemplo, se houver três servidores RADIUS na listagem, o cliente tenta se autenticar com o primeiro, caso obtenha sucesso, os demais não serão contatados. O segundo da lista somente será contatado se o primeiro falhara na autenticação do cliente e assim por diante.
12. Clique em OK para fechar a janela RADIUS Authentication.
13. Você estará de volta à guia Security, da janela de propriedades do servidor RRAS que está sendo configurado. Para definir quais métodos de autenticação serão aceitos pelo servidor RRAS(veja a descrição completa sobre os métodos de autenticação, na parte teórica, no início deste capítulo) clique em Authentication Methods... (Métodos de autenticação...)

NOTA: É importante lembrar que, quando está sendo utilizado um ou mais servidor RADIUS, os métodos de autenticação serão definidos pelas políticas de acesso remoto, configuradas nos servidores RADIUS, já que neste caso o cliente é autenticado no servidor RADIUS e não pelo RRAS.

14. Será exibida a janela Authentication Methods (Métodos de autenticação). Nesta janela você pode assinalar quais os métodos de autenticação serão aceitos pelo servidor RRAS, pode configurar algumas opções do protocolo EAP e pode habilitar a conexão remota sem autenticação. Por padrão vem habilitados os métodos: EAP, MS-CHAP e MS-CHAP v2, conforme indicado na Figura 19.19:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.19 Configurando os métodos de autenticação.

15. Para exibir os métodos do protocolo EAP, habilitados no servidor RRAS, clique no botão Methods (Métodos do EAP). Será aberta a janela EAP Methods. Nesta janela são exibidos os métodos de autenticação EAP que estão habilitados no servidor RRAS e é exibida uma mensagem que estes métodos podem ser configurados (desabilitar um método ou habilitar novos métodos), usando as políticas de acesso remoto, conforme indicado na Figura 19.20:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.20 Métodos EAP habilitados no servidor RRAS.

Importante: Não esqueça, principalmente se você está se preparando para os exames do MCSE 2000 ou do MCSE 2003, que o protocolo EAP é necessário para a implementação de autenticação usando Smart-card.

16. Clique em OK para fechar a janela que exibe os métodos EAP habilitados no servidor. Você estará de volta à janela para configuração dos protocolos de autenticação. Nesta janela tem uma opção que merece alguns comentários adicionais: Allow remote system to connect without authentication (Permitir ao sistema remoto se conectar sem autenticação). A seguir apresento alguns comentários sobre a conexão sem autenticação.

O servidor RRAS no Windows 2000 Server e também no Windows Server 2003 oferece suporte a acesso não autenticado, o que significa que as credenciais do usuário (um nome de usuário e senha) não precisam ser informados pelo cliente que inicia a conexão. Existem algumas situações específicas onde o acesso não autenticado é útil ou até mesmo necessário

Quando o acesso não autenticado é ativado, os usuários de acesso remoto são conectados sem enviar as credenciais de usuário (logon e senha). Um cliente de acesso remoto não autenticado não negocia o uso de um protocolo de autenticação comum durante o processo de estabelecimento de conexão e não envia um nome de usuário ou senha.

Um acesso não autenticado com clientes de acesso remoto do Windows 2000, Windows XP ou Windows Server 2003, pode ocorrer quando os protocolos de autenticação configurados pelo cliente de acesso remoto não coincidem com aqueles configurados no servidor de acesso remoto. Nesse caso, o uso de um protocolo de autenticação comum não é negociado e o cliente de acesso remoto não envia um nome de usuário e senha.

Existem três diferentes tipos de acesso não autenticado que podem ser configurados no servidor RRAS do Windows Server 2003:

• Autorização DNIS:

A autorização Dialed Number Identification Service (DNIS, serviço de identificação de número discado) é a autorização de uma tentativa de conexão baseada no número chamado. O DNIS identifica o número que foi chamado para o recebedor da chamada e é fornecido pela maioria das companhias telefônicas padrão. Para identificar as conexões baseadas em DNIS e aplicar as configurações de conexão apropriadas, os seguintes passos devem ser executados:

- Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a opção Allow remote system to connect without authentication, da Figura 19.19.

- Criar uma política de acesso remoto no servidor de autenticação (servidor de acesso remoto ou servidor IAS) para autorização baseada em DNIS com a condição Called-Station-Id definida para o número do telefone.

NOTA: Você aprenderá a criar políticas de acesso remoto mais adiante, neste Capítulo.
- Ativar o acesso não autenticado na diretiva de acesso remoto para autorização baseada em DNIS.

Se seu serviço ou hardware de telefone não fornecer suporte ao DNIS, a passagem do número que foi chamado, você poderá definir manualmente o número de telefone da porta. O IAS não fornece suporte a solicitações de acesso DNIS a partir de um proxy. Esta é uma limitação que já existia no Windows 2000 Server e não foi solucionada no Windows Server 2003.

• Autenticação ANI/CLI

Uma autenticação Automatic Number Identification/Calling Line Identification (ANI/CLI, identificação automática de número/identificação de linha de chamada) é a autenticação de uma tentativa de conexão baseada no número de telefone do chamador, do cliente que está tentando a conexão. O serviço ANI/CLI retorna o número do chamador (cliente tentando fazer a conexão remota) para o recebedor da chamada  (servidor RRAS que está atendendo a chamada) e é fornecido pela maioria das companhias telefônicas.

A autenticação ANI/CLI é diferente da autorização de identificação do chamador. Na autorização da identificação do chamador, o chamador envia um nome de usuário e uma senha válidos. A identificação do chamador que é configurada para a propriedade de discagem na conta de usuário deve coincidir com a tentativa de conexão. Caso contrário, a tentativa de conexão será rejeitada. Na autenticação ANI/CLI, um nome de usuário e senha não são enviados.

Para identificar as conexões baseadas em ANI/CLI e aplicar as configurações de conexão apropriadas, devem ser executadas as seguintes configurações:

- Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a opção Allow remote system to connect without authentication, da Figura 19.19.
 
- Ativar o acesso não autenticado na política de acesso remoto apropriada para autenticação baseada em ANI/CLI.

NOTA: Você aprenderá a criar políticas de acesso remoto mais adiante, neste Capítulo.

- Criar uma conta de usuário para cada número que será chamado para o qual você deseja fornecer uma autenticação ANI/CLI. O nome da conta de usuário deve coincidir com o número a partir do qual o usuário está discando. Por exemplo, se um usuário está discando a partir do número 3333-0500, crie uma conta de usuário "33330500".

- Defina a seguinte chave da Registry para 31 no servidor de autenticação (servidor de acesso remoto ou o servidor IAS): HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ RemoteAccess\Policy\User Identity Attribute

Essa configuração de registro diz ao servidor de autenticação para usar o número de chamada (RADIUS atributo 31, Calling-Station-ID) como a identidade do usuário da chamada. A identidade do usuário é definida como o número da chamada somente quando não há nenhum nome sendo fornecido na tentativa de conexão.

Para usar sempre o número da chamada como a identidade do usuário, defina a seguinte chave da Registry com o valor 1 no servidor de autenticação:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Override User-Name

No entanto, se você definir Override User-Name como 1 e User Identity Attribute como 31, o servidor de autenticação só pode executar autenticações baseadas em ANI/CLI. A autenticação normal usando os protocolos de autenticação como MS-CHAP, CHAP e EAP serão desativados.

Importante: As alterações nas configurações da Registry não terão efeito até que o serviço de roteamento e acesso remoto ou o serviço de autenticação da Internet sejam reiniciados.

• Autenticação de convidado (Guest):

Com este tipo de autenticação, durante o processo de autenticação, o chamador não envia um nome de usuário ou senha. Por padrão, se um acesso não autenticado for ativado, a conta Gues (Convidado) será usada como a identidade do cliente.

Para ativar o acesso à conta Convidado, as seguintes etapas devem ser executadas:

- Ativar o acesso não autenticado no servidor de acesso remoto. Para isso basta marcar a opção Allow remote system to connect without authentication, da Figura 19.19.

- Ativar o acesso não autenticado na diretiva de acesso remoto apropriada. A política deve ser ativada no servidor responsável pela autenticação. Se você está usando a autenticação do Windows, a política deve ser criada no próprio servidor RRAS; se você está utilizando o IAS para autenticação, você deve criar a política no servidor IAS.

NOTA: Você aprenderá a criar políticas de acesso remoto mais adiante, neste Capítulo.

- Ativar a conta Guest (Convidado). Para obter detalhes sobre a conta Guest e a ativação de contas, consulte o Capítulo 9.

- Definir a permissão de acesso remoto na conta Convidado para Permitir acesso ou Controlar acesso através de uma política de acesso. Se você está usando a autenticação do Windows, a política deve ser criada no próprio servidor RRAS; se você está utilizando o IAS para autenticação, você deve criar a política no servidor IAS.

Dica: Se você não deseja ativar a conta Guest (Convidado), crie uma conta de usuário e defina a permissão de acesso remoto para Permitir acesso ou Controlar acesso através de diretiva de acesso remoto. Em seguida, defina a seguinte chave da registry no servidor de autenticação (servidor RRAS, se você utiliza autenticação do Windows ou servidor IAS se você utiliza autenticação RADIUS) com o nome da conta criada especialmente para o acesso remoto não autenticado:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Default User Identity

Importante: As alterações nas configurações do Registro não terão efeito até que o serviço de roteamento e acesso remoto ou o serviço de autenticação da Internet sejam reiniciados.

Muito bem, você viu que existem três diferentes métodos para acesso não autenticado. Além disso é fundamental salientar que, após habilitar o acesso não autenticado, você deve fazer configurações adicionais, para que estes métodos posam funcionar corretamente. Após habilitar a opção de acesso não autenticado, o administrador deverá fazer alterações nas políticas de segurança do acesso remoto e, em alguns casos, na registry do servidor de autenticação, conforme passos descritos anteriormente.

17. Defina as configurações de autenticação desejadas e clique em OK. Você estará de volta à guia Security (Segurança), da janela de propriedades do servidor RRAS que está sendo configurado.
18. Dê um clique na guia IP. Serão exibidas as opções indicadas na Figura 19.21:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.21 Opções da guia IP.

19. Nesta janela você tem uma série de configurações importantes, descritas a seguir:

• Enable IP Routing (Habilitar o roteamento IP): Esta opção é utilizada para habilitar/desabilitar o roteamento IP, que é o encaminhamento de pacotes IP de uma interface de rede do servidor para outras interfaces (por isso que o roteamento exige, pelo menos, duas interfaces de rede). O roteamento IP é necessário para habilitar a opção de roteamento sobre demanda. Outra situação que exige a habilitação do roteamento IP é quando os clientes que fazem a conexão remota, deverão ter acesso a todos os recursos da rede, isto é, acesso aos recursos nos demais servidores da rede, além do servidor RRAS. Para que os clientes remotos fiquem limitados a acessar somente os recursos do servidor RRAS, você deve desabilitar esta opção.

NOTA: No Capítulo 20 você aprenderá sobre o uso do servidor RRAS para roteamento IP.

• Allow IP-based remote access and demand-dial connections (Permitir conexões remotas baseadas em IP e conexões de discagem sob demanda): Esta opção é utilizada habilitar ou desabilitar o uso do protocolo Internet Protocol Control Protocol (IPCP), como protocolo de controle para o protocolo PPP. Um protocolo de controle é utilizado para a “negociação” entre o cliente e o servidor de acesso remoto. Nesta negociação é definido qual o protocolo que será utilizado para troca de informações entre o cliente e o servidor. Esta opção também habilita/desabilita as conexões sob demanda.

• IP address assignment (Atribuição de endereço IP): Quando o cliente faz uma conexão remota com o servidor RRAS, o cliente deve receber as configurações do protocolo TCP/IP a partir do servidor RRAS. É exatamente o que acontece quando você faz a conexão com o seu provedor de Internet. A partir do servidor de acesso remoto, do provedor de Internet, o comutador que você está utilizando para a conexão, recebe as configurações do protocolo TCP/IP a partir do servidor de acesso remoto. Com o RRAS, as configurações fornecidas para o cliente podem ser obtidas a partir do servidor DHCP da rede (veja o Capítulo 16 para informações detalhadas sobre o DHCP) ou estas informações podem ser configuradas, manualmente, nesta guia. A seguir apresento mais alguns detalhes sobre a integração do RRAS com o DHCP.

Dica: Se você está se preparando para os exames do MCSE 2003, entenda bem como funciona a integração do DHCP com o RRAS.

O uso integrado do RRAS com o DHCP, permite que os clientes recebam, dinamicamente, as configurações do protocolo TCP/IP, durante a conexão com o servidor RRAS. Quando o servidor RRAS e o servidor DHCP estão instalados no mesmo servidor, existem diferenças na maneira como o servidor DHCP fornece as configurações para os clientes de rede e como as configurações são fornecidas para os clientes que fazem o acesso remotamente.

 

As informações fornecidas aos clientes da rede local são baseadas totalmente em definições configuradas no console DHCP para o servidor DHCP (veja Capítulo 16). Quando um cliente da rede local é configurado a partir do servidor DHCP, ele recebe, diretamente do servidor DHCP, as seguintes configurações:

- Um endereço IP concedido fornecido a partir do pool de endereços disponíveis de um escopo ativo no servidor DHCP (de um servidor DHCP autorizado no Active Directory). O servidor DHCP gerencia e distribui diretamente o endereço para o cliente DHCP baseado em LAN.

- Parâmetros adicionais e outras informações de configuração fornecidas através de opções de DHCP atribuídas na concessão do endereço. Os valores e a lista de opções usados correspondem a tipos de opção configurados e atribuídos no servidor DHCP, tais como o número do Gateway padrão, o número IP de um ou mais servidores DNS, o número IP de um ou mais servidores WINS e assim por diante.

Quando o servidor RRAS utiliza a integração com o servidor DHCP, para fornecer configurações dinamicamente, para os clientes que fazem a conexão remotamente, o servidor RRAS, inicialmente, segue os seguintes passos:

- Quando o serviço RRAS é inicializado e a opção de obter as configurações a partir do DHCP está habilitada, o servidor RRAS instrui o cliente DHCP a obter 10 endereços IP a partir do servidor DHCP.
- O servidor DHCP utiliza o primeiro dos endereços IP obtidos a partir do servidor DHCP para a interface de rede de acesso remoto.
- Os nove endereços restantes são reservados para serem utilizados pelos clientes que fazem conexões com o servidor RRAS.

Quando um cliente encerra a sessão, o endereço IP utilizado pelo cliente é liberado e poderá ser utilizado por um dos próximos clientes que fizer a conexão com o servidor RRAS. Quando os 10 endereços IP, obtidos a partir do servidor DHCP, estiverem em uso, o servidor RRAS solicita mais 10 endereços para o servidor DHCP. Quando o serviço RRAS for parado, todos os endereços solicitados ao servidor DHCP serão liberados. O que o servidor RRAS faz é manter um cache de lease de endereços IP obtidos a partir do servidor DHCP. Quando os clientes fazem uma conexão remota e solicitam um endereço IP, o servidor RRAS fornece um dos endereços a partir do cache de lease de endereços IP, os quais foram obtidos, previamente, a partir do servidor DHCP.

Quando o endereço IP for fornecido ao cliente dial-up, o cliente não saberá que o endereço foi obtido através desse processo intermediário entre o servidor DHCP e o servidor de roteamento e acesso remoto. O servidor RRAS mantém essa concessão em nome do cliente. Desta forma, a única informação que o cliente recebe do servidor DHCP é a concessão de endereço IP.

Importante: Os servidores DHCP baseados no Windows 2000 Server ou no Windows Server 2003, fornecem uma classe de usuário predefinido, a classe de acesso remoto padrão, para atribuir opções específicas e fornecidas somente para clientes de roteamento e acesso remoto. Estas opções podem ser configuradas diretamente no servidor DHCP. Ou seja, quaisquer informações adicionais que devam ser fornecidas para os clientes de acesso remoto, devem ser configuradas nesta classe chamada: Routing and Remote Access Class.

Cada vez que o servidor RRAS obtém um grupo de 10 endereços IP, a partir do servidor DHCP, ele registra as seguintes informações:

- O endereço IP do servidor DHCP.
- O endereço IP utilizado pela interface de acesso remoto do servidor RRAS.
- A data e hora de obtenção do lease.
- A data e hora da expiração do lease.
- A duração do lease.
- Todas as outras opções retornadas pelo servidor DHCP (como por exemplo número IP do gateway padrão, informações sobre reservas e assim por diante) são descartadas.

Você também poderia definir uma faixa de endereços IP manualmente. Para isso marque a opção Static address pool e clique no botão Add.. (Adicionar). Será aberta a janela New Address Range (Nova Faixa de Endereços), na qual você pode informar uma faixa de endereços manualmente, conforme exemplo da Figura 19.22:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.22 Criando uma faixa estática de endereços para o servidor RRAS.

• Enable broadcast name resolution (Habilitar a resolução de nomes usando broadcast): Esta opção é utilizada para habilitar/desabilitar a resolução de nomes usando broadcast. Quando esta opção é habilitada, os clientes de acesso remoto poderão resolver nomes na rede local que está sendo acessada, sem ter que ter acesso ao servidor WINS ou ao servidor DNS da rede local.

20. Defina as configurações desejadas na guia IP e dê um clique na guia PPP. Serão exibidas as opções indicadas na Figura 19.23:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.23 Opções da guia PPP.

Nesta guia você configura uma série de opções em relação ao protocolo PPP. Algumas merecem considerações mais detalhadas, como por exemplo, o uso de multilink e do protocolo BAP, conforme descreverei logo em seguida.

• Multilink connection e Dynamic bandwidth control using BAP e BACP (Conexões multilink e Controle dinâmico de banda usando BAP e BACP).

Ao marcar a opção Multilink connection, a opção Dynamic bandwidth control using BAP e BACP também será habilitada, podendo ser marcada ou desmarcada. A seguir descrevo o funcionamento das conexões multilink e do controle dinâmico de banda no Windows Server 2003.

O servidor RRAS no Windows 2000  e do Windows Server 2003, oferecem suporte a conexões múltiplas e ao Bandwidth Allocation Protocol (BAP, protocolo de alocação de largura de banda). Com o recurso de conexões múltiplas o cliente pode utilizar duas ou mais linhas telefônicas simultaneamente. Por exemplo, o cliente pode usar duas linhas de 64 Kbps para fazer a conexão. Para o cliente é como se ele estivesse utilizando uma única linha de 128 Kbps. Você  também pode usar as conexões múltiplas para qualquer adaptador ISDN. As conexões múltiplas devem receber suporte nos dois lados da conexão, ou seja, este recurso deve estar habilitado no cliente e também no servidor RRAS.

Embora as conexões múltiplas permitam que vários links sejam agregados, ela não fornece um mecanismo para adaptação a condições variáveis de largura de banda pela adição de vínculos adicionais quando necessário ou pela finalização de vínculos extras quando desnecessários. Essa capacidade adicional é proporcionada pelo Bandwidth Allocation Protocol (BAP). O BAP usa uma conexão múltipla para gerenciar vínculos de forma dinâmica. Ou seja, se houver necessidade de mais banda e houver mais links disponíveis, o protocolo BAP é capaz de utilizar um ou mais links disponíveis para aumentar o valor total da banda disponível. Se a atividade estiver baixa, o BAP é capaz de desconectar um ou mais links que estejam sendo utilizados e reconecta-los novamente, se o tráfego de informações voltar a aumentar.

Por exemplo, imagine que o recurso de multilink esteja habilitado no cliente e no servidor RRAS e o BAP criou, inicialmente, uma conexão múltipla que, na verdade, está utilizando um único vínculo físico (ou seja, é múltipla apenas nas configurações mas ainda não está utilizando mais de um link). Quando a utilização do vínculo único atinge um determinado nível, previamente configurado, o cliente de acesso remoto usa uma mensagem de solicitação BAP para solicitar um vínculo adicional. A mensagem de solicitação BAP especifica o tipo de vínculo desejado, como telefone analógico, ISDN ou X.25. Em seguida, o servidor de acesso remoto envia uma mensagem de resposta BAP que contém o número do telefone de uma porta disponível no servidor de acesso remoto do mesmo tipo especificado pelo cliente de acesso remoto na solicitação BAP. O BAP também atua em uma situação inversa, ou seja, quando a conexão está estabelecido usando múltiplos links e o tráfego na rede está diminuindo. Neste caso o BAP, automaticamente, é capaz de liberar links, diminuindo a banda total disponível.

Dica: Se você está se preparando para os exames do MCSE 2003, não esqueça a condição para que uma conexão multilink possa ser estabelecida (este recurso deve estar habilitado no cliente e no servidor de acesso remoto) e a função do protocolo BAP (adicionar ou remover links dinamicamente, dependendo do volume de tráfego entre o cliente e o servidor).

B=  Link Control Protocol (LCP) extensions:

Os protocolos LCP estabelecem e configuram o empacotamento PPP. O empacotamento PPP define como os dados são encapsulados antes da transmissão através do link de WAN. O formato do pacote padrão PPP assegura que o software de acesso remoto de qualquer fabricante possa transmitir e reconhecer pacotes de dados de qualquer software de acesso remoto que siga os padrões PPP. Como o formato do pacote é padrão, ele é reconhecido por qualquer servidor ou cliente que esteja habilitado ao protocolo PPP.

Esta opção é utilizada para habilitar/desabilitar as extensões do protocolo LCP no servidor RRAS. Se esta opção for desmarcada, o protocolo LCP não conseguirá enviar informações tais como Time-Remaining (tempo restante), Identification packets (Identificação de pacotes) e requesting callback (requisição de callback), durante a negociação LCP. A negociação acontece na fase inicial da conexão, quando estão sendo definidos os parâmetros e as características da conexão PPP que será estabelecida.

• Software compression (Compactação de software):

Este opção é utilizada para habilitar/desabilitar o uso do Microsoft Point-to-Point Compression Protocol (MPPC), para a compactação dos dados trafegados através de uma conexão remota com o servidor RRAS ou através de uma conexão de discagem sob demanda. As características do protocolo MMPC estão definidos na RFC 2118.

21. Defina as configurações desejadas na guia PPP e dê um clique na guia Logging (Log). Serão exibidas as opções indicadas na Figura 19.24:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.24 Opções da guia Logging.

22. Nesta guia você define quais informações devem ser registradas no log do servidor RRAS. Por exemplo, a opção Log errors only (Registrar somente erros) é utilizada para fazer com que sejam gravados no log somente os eventos de erro. Esta é a opção que gera o menor número de entradas nos logs do servidor RRAS, com exceção da opção Do not log any events (Não registrar nenhum evento), a qual é utilizada para desabilitar o log. Existe também a opção para logar informações adicionais, as quais são utilizadas para a resolução de problemas com o serviço RRAS (Log additional Routing and Remote Access Information (used for debugging)). Esta opção somente deve ser habilitada quando o serviço RRAS estiver apresentando problemas. Com o uso desta opção é gerado um grande número de informações técnicas sobre o serviço RRAS, informações estas que podem ajudar os técnicos de suporte a descobrir o que está causando problemas no RRAS. O log do servidor RRAS é separado dos eventos registrados no log de eventos do sistema. Você pode usar as informações do log para controlar as tentativas de uso de acesso remoto e de autenticação, como por exemplo, tentar identificar usuários com um grande número de tentativas de conexão sem sucesso. O log de autenticação e estatísticas é especialmente útil para a solução de problemas relativos a diretivas de acesso remoto, como por exemplo em situações onde um determinado usuário deveria ter permissão de acesso para fazer a conexão, porém está recebendo uma mensagem de acesso negado. Para cada tentativa de autenticação, o nome da diretiva de acesso remoto que aceitou ou rejeitou a tentativa de conexão é registrado.

As informações de autenticação e estatísticas são armazenadas em um arquivo de log configurável armazenado na pasta %systemroot%\System32\LogFiles. Os arquivos de log são gravados no formato de log do IAS ou em um padrão que pode ser utilizado pelos bancos de dados relacionais mais conhecidos, tais como o Microsoft Access e o SQL Server. Se o servidor RRAS estiver utilizando um servidor RADIUS para autenticação, os logs serão gerados no servidor RADIUS. Com isso é possível concentrar os logs de vários servidores RRAS em um único servidor RADIUS, o qual está sendo utilizado pelos servidores RRAS, para autenticação dos usuários. Isso facilita a implementação de uma política de auditoria e análise dos logs de autenticação de maneira centralizada e, até mesmo, automatizada.

21. Defina as configurações desejadas e clique em OK, para fechar a janela de propriedades do servidor RRAS e aplicar as alterações efetuadas.

Muito bem, neste longo exemplo você percorreu todas as opções de configurações disponíveis para  servidor RRAS e aprendeu sobre diversos tópicos relacionados a estas configurações, tais como o uso de um servidor RADIUS para autenticação no RRAS. Você aprendeu que o IAS é a implementação do RADIUS no Windows Server 2003 (e também no Windows 2000 Server), aprendeu sobre conexões não autenticadas, sobre as configurações do protocolo PPP, tais como multilink e BAP, enfim, uma série de detalhes importantes sobre a configuração do servidor RRAS. Nos próximos itens você aprenderá sobre o conceito de DHCP Relay Agent e sobre a criação e configuração de políticas de acesso remoto no servidor RRAS.

O conceito de DHCP Relay Agent.

No Capítulo 16 você aprendeu como o cliente entra em contato com o servidor DHCP usando uma série de mensagens: DHCPDiscover, DHCPOffer, DHCPRequest e DHCPAck. Acontece que a maioria destas mensagens utiliza broadcast. Por isso, o cliente somente será capaz de obter as configurações do TCP/IP, de um servidor DHCP que esteja na mesma rede local do cliente, uma vez que os roteadores não passam tráfego de broadcast.
Porém, na prática, pode haver situações onde existem pequenos escritórios da empresa, com um número reduzido de equipamentos e que, por algum motivo, não existe servidor DHCP neste escritório. A questão é: seria possível que estes clientes, que não tem um servidor DHCP disponível na sua própria rede local, utilizassem um servidor DHCP localizado em outra rede local da empresa? A resposta é sim.

Para isso o administrador deve configurar um DHCP Relay Agent na rede onde não existe servidor DHCP. No exemplo deste item, o DHCP Relay Agent deve ser configurado na rede do pequeno escritório, onde não está disponível um servidor DHCP. O DHCP Relay Agent “ouve” os pacotes enviados pelo cliente DHCP, transforma estes pacotes em um formato que pode ser encaminhado pelo roteador e envia estes pacotes para o servidor DHCP (O DHCP Relay Agent é configurado com o número IP do servidor DHCP). O DHCP Relay Agent também é responsável por receber as respostas vindas do servidor DHCP e repassá-las para os clientes DHCP. Em resumo, o DHCP Relay Agent é um intermediário entre os clientes DHCP (em uma rede que não tem servidor DHCP) e o servidor DHCP de uma rede remota (sendo que o número IP deste servidor DHCP remoto, foi informado nas propriedades do DHCP Relay Agent). É isso.

O DHCP Relay Agent faz parte do servidor RRAS, ou seja, somente estará disponível quando o servidor RRAS estiver ativado. No exemplo prático a seguir, eu mostro os passos para configuração do DHCP Relay Agent.

Não esqueça em hipótese alguma: Se você está se preparando para os exames do MCSE 2000 ou para o MCSE 2003 conheça exatamente a função do DHCP Relay Agent. Lembre que ele é instalado na rede onde não existe servidor DHCP disponível.

Exemplo: Para configurar o DHCP Relay Agent, siga os passos indicados a seguir:

1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
2. Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3. O console de configuração do RRAS será aberto. Clique no sinal de + ao lado do nome do servidor RRAS, para exibir as diversas opções disponíveis.
4. Clique no sinal de + ao lado da opção IP Routing, para exibir as opções de roteamento disponíveis. Observe que uma das opções é DHCP Relay Agent.
5. Clique com o botão direito do mouse na opção DHCP Relay Agent e, no menu de opções que é exibido, clique em Properties (Propriedades).
6. Na janela de propriedades do DHCP Relay Agent, você pode informar o endereço IP de um ou mais servidores DHCP, para os quais serão enviadas as mensagens de requisição dos clientes DHCP. Informe o número IP do servidor DHCP a ser utilizado, conforme exemplo da Figura 19.25 e clique em OK.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.25 Configurando o DHCP Relay Agent.

7. A nova interface já aparece no lado direito do painel. Pronto, o DHCP Relay Agent está configurado.
8. Feche o console Routing and Remote Access (Roteamento e Acesso Remoto).

Configurando políticas de acesso remoto.

O administrador pode usar políticas de acesso remoto para controlar quais usuários podem fazer a conexão remotamente, quais tipos de mídia podem ser utilizados (tais como conexão discada, X25, ISDN e assim por diante), os horários permitidos para conexão e uma série de outras configurações que permitem ao administrador definir quem, quando e como as conexões com o servidor RRAS podem ser estabelecidas.

NOTA: Você encontrará na documentação oficial do Windows Server 2003 (pelo menos nas traduções), o termo diretiva de segurança ao invés de políticas de segurança. Eu prefiro o termo políticas de segurança, termo este que utilizarei neste livro.

Com as políticas de acesso remoto, o administrador pode conceder ou negar autorização de acordo com a hora do dia ou o dia da semana, com base no grupo ao qual o usuário do acesso remoto pertence, o tipo de conexão solicitada, como, por exemplo, conexão de rede dial-up ou Virtual Private Network (VPN) e assim por diante. O administrador pode definir configurações que limitem o tempo máximo de sessão, especificar os níveis de segurança da autenticação e criptografia, definir diretivas de Bandwidth Allocation Protocol (BAP), como por exemplo quando novos links devem ser adicionados ou retirados e assim por diante.

O uso das políticas de acesso remoto é uma maneira de controlar o acesso ao servidor RRAS, com base em uma série de parâmetros de configuração.

NOTA: No Windows NT versões 3.5x e 4.0, o controle de acesso ao servidor de acesso remoto, baseava-se na opção Conceder permissão de discagem ao usuário do Gerenciador de usuários ou do utilitário Administrador de acesso remoto. As opções de call-back também eram configuradas por cada usuário. No Windows 2000 Server e no Windows Server 2003, ainda existe a possibilidade de fazer determinadas configurações nas propriedades da conta de cada usuário. Porém esta não é a maneira mais produtiva para gerenciar e configurar as permissões de acesso ao RRAS. Ao invés de configurar as permissões individualmente para cada usuário, o administrador faz estas configurações usando as políticas de acesso remoto.

É possível definir as políticas em diferentes locais. Se você está utilizando a autenticação integrada do Windows, as políticas devem ser definidas no próprio servidor RRAS. Estas políticas serão aplicadas a todos os usuários que tentarem a conexão com o servidor RRAS. Este método tem o inconveniente de as políticas terem que ser definidas, individualmente, em cada servidor RRAS. Além disso, se você precisa fazer alterações nas políticas de acesso remoto, terá que fazer as alterações em todos os servidores RRAS, onde devam ser aplicadas as alterações.

Uma abordagem mais indicada é que os vários servidores RRAS do domínio utilizem um único servidor RADIUS (servidor com o IAS instalado e configurado) como servidor de autenticação. Assim, as políticas de acesso remoto são criadas e gerenciadas de maneira centralizada, no servidor RADIUS. Ou seja, o administrador cria uma ou mais políticas no servidor RADIUS e estas políticas são aplicadas a todos os servidores RRAS, que utilizam o servidor RADIUS para autenticação. Para alterar uma política de acesso remoto, basta altera-la no servidor RADIUS, automaticamente, todos os servidores RRAS passarão a utilizar a política de acesso remoto já modificada.

Importante: Com o uso de políticas de acesso remoto, uma conexão será autorizada se as configurações da tentativa de conexão coincidirem com pelo menos uma política (sujeita às condições das propriedades de discagem da conta de usuário e das propriedades de perfil da política de acesso remoto). Se as configurações da tentativa de conexão não coincidirem com pelo menos uma das políticas de acesso remoto, a tentativa de conexão será negada, independentemente das propriedades de discagem da conta de usuário. Por exemplo, se existem três políticas definidas para um ou mais grupos aos quais pertence um determinado usuário. Em pelo menos uma das políticas o usuário deverá ter permissão de acesso. O usuário só não terá acesso se em todas as políticas for negado o acesso. Observe que este comportamento é diferente do uso de negar permissões em permissões NTFS e permissões de compartilhamento. Nas permissões NTFS e de compartilhamento, se um usuário pertencer a dez grupos, sendo que para nove deles as permissões NTFS são de acesso e apenas a um dos grupos foi negado o acesso, prevalecerá a permissão de negar acesso e o usuário não terá acesso ao recurso. Já com as políticas de acesso remoto é, digamos assim, o contrário. Se pelo menos uma política der permissão de conexão (independente de uma dúzia de outras políticas negarem a permissão de conexão, o usuário terá permissão para fazer a conexão).

NOTA: Se houver conflito entre as configurações definidas em uma política de acesso remoto e as configurações definidas nas propriedades da conta do usuário, prevalecem as definições das propriedades da conta do usuário, a não ser que a opção para ignorar as propriedades da conta do usuário tenha sido habilitada.

As políticas de acesso remoto podem verificar uma série de configurações/itens, antes de permitir que a conexão seja estabelecida:

• Permissão para fazer o acesso remoto
• Grupos aos quais pertence o usuário
• Tipo de conexão (discada, ISDN, VPN, etc)
• Hora do dia
• Métodos de autenticação.
• Algumas condições avançadas podem ser definidas:
- Identidade do servidor de acesso
- Número do telefone do cliente ou endereço MAC da placa de rede do cliente.
- Se as propriedades da conta do usuário devem ser ignoradas.
- Se o acesso não autenticado está ou não habilitado

 

Uma vez que a conexão foi aceita e estabelecida, as configurações das políticas de acesso remoto podem definir restrições à conexão, tais como:

• Tempo máximo de inatividade. O tempo após o qual uma conexão é desconectada por falta de atividade. Por padrão, essa propriedade não está definida e o servidor de acesso remoto não desconecta uma conexão ociosa.

• Tempo máximo da sessão. O tempo máximo durante o qual uma conexão permanece conectada. A conexão é desconectada pelo servidor de acesso remoto após o tempo máximo de sessão. Por padrão, essa propriedade não está definida e o servidor de acesso remoto não possui um limite máximo de sessão.

• Criptografia. Define o nível de criptografia mínimo que será aceito como método de criptografia entre o cliente e o servidor de acesso remoto. Se o cliente não for capaz de estabelecer uma conexão com o nível de criptografia mínimo, a conexão será recusada. Podem ser definidos os seguintes níveis de criptografia:

- Sem criptografia: Quando selecionada, essa opção permite uma conexão sem criptografia. Para fazer com que a criptografia seja obrigatória, desmarque esta opção.
- Básica: Para conexões dial-up e VPN com base em PPTP, é usado o Microsoft Point-to-Point Encryption (MPPE) com uma chave de 40 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é usada a criptografia DES de 56 bits.

- Forte (Strong): Para conexões dial-up e VPN com base em PPTP, é usada a criptografia MPPE com uma chave de 56 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é usada a criptografia DES de 56 bits.

- Mais forte (Strongest): Para conexões dial-up e VPN com base em PPTP, é usada a criptografia MPPE com uma chave de 128 bits. Para as conexões VPN baseadas em L2TP através de IPSec, é usada a criptografia DES tripla (3DES).

• Filtros de pacotes IP: O administrador pode definir propriedades que definirão como o servidor RRAS fará a atribuição de endereços IP aos clientes. As seguintes opções estão disponíveis:

- O servidor deve fornecer um endereço IP.
- O cliente pode requisitar um endereço IP.
- A atribuição de endereço é determinada pelo servidor (valor padrão).
- Um endereço IP estático é atribuído: Se for atribuído um endereço estático, nas propriedades da conta do usuário irá sobrescrever as opções definidas nas políticas de acesso remoto.

O administrador também pode usar as configurações de IP, de uma política de acesso remoto, para aplicar filtros de pacote IP, que serão aplicados ao tráfego da conexão. Com esta opção, o administrador pode configurar qual o tráfego IP será permitido para a conexão remota. Podem ser configurados filtros para definir o tráfego que é permitido do servidor para o cliente (filtros de saída) e o tráfego que é permitido do cliente para o servidor (filtros de entrada). Podem ser criadas configurações baseadas em lista branca ou lista negra. Na lista negra, todo tráfego é permitido, com exceção do tráfego definido nos filtros. Na lista branca, todo o tráfego é proibido, com exceção do tráfego definido nos filtros.

NOTA: Estes filtros não serão aplicados para conexões do tipo discagem sob demanda.

• Restrições avançadas:
- Endereço IP para as conexões PPP
- Rotas estáticas

As restrições/permissões das políticas de acesso remoto, podem ser definidas com base nos seguintes critérios:

• Grupos aos quais pertence o usuário
• Tipo de conexão
• Hora do dia
• Métodos de autenticação
• Identidade do servidor
• Número do telefone do cliente ou endereço MAC da placa de rede do cliente.
• Se o acesso não autenticado está ou não habilitado

Por exemplo, podem ser definidas diferentes políticas, com diferentes tempos máximos de sessão para diferentes grupos ou para diferentes tipos de conexão. Ou restrições podem ser aplicadas para conexões não autenticadas.

As autorizações de acesso podem ser definidas de duas diferentes maneiras:

• Por usuário: Com esta forma de gerenciamento, as permissões de acesso remoto são configuradas diretamente nas propriedades da conta do usuário no Active Directory (ou nas propriedades da conta do computador, se for definida permissões por computador). Estas propriedades (descritas mais adiante), podem ser utilizadas para permitir ou para negar o acesso remoto. Também podem ser utilizadas para criar diferentes políticas de acesso remoto, baseadas em diferentes tipos de conexão. Por exemplo, pode ser criada uma política para conexões do tipo dial-up e outra para conexões Wireless. O gerenciamento Por usuário somente é recomendado quando você tiver um pequeno número de usuários (não mais do que 10), que fazem a conexão remota.

Se você estiver usando o gerenciamento de autorização por usuário, os seguintes passos serão executados, para determinar se a conexão será aceita ou se será rejeitada:

- Se a tentativa de conexão atender a todas as condições definidas nas políticas de acesso remoto, verifique as configurações definidas nas propriedades da conta do usuários:
- Se nas configurações das propriedades da conta do usuário, estiver permitida a conexão, aplique as configurações definidas na política de acesso remoto e as configurações definidas na conta do usuário.
- Se nas configurações das propriedades da conta do usuário, estiver negada a permissão para fazer a conexão, a conexão será rejeitada, independentemente das configurações das políticas de acesso remoto.

- Se a tentativa de conexão não atender a todas as condições definidas na política de acesso remoto, processe a próxima diretiva de acesso remoto, na ordem em que as diretivas foram colocadas na lista, pelo administrador.

NOTA: Pode acontecer de uma tentativa de conexão não coincidir com nenhuma das políticas de acesso remoto. Nesse caso, a tentativa de conexão será rejeitada, independentemente da configuração de permissão de acesso remoto da conta do usuário.

Importante: Conforme já salientado anteriormente, o gerenciamento por usuário não é recomendado na maioria das situações. Somente deve ser utilizado quando você tiver um número muito pequeno de usuários que se conectarão remotamente ao servidor RRAS. Eu diria que o limite para o gerenciamento por usuário seria de 10 usuários.
 
• Por grupo: No gerenciamento por grupo, o administrador configura as propriedades das contas dos usuários, marcando a opção que define que o gerenciamento do controle do acesso remoto será feito via políticas de acesso remoto. Com isso, todo o controle passa a ser feito pelas políticas definidas no servidor RRAS ou no servidor RADIUS, se este estiver sendo utilizado para autenticação. Com esta política, o administrador pode configurar diferentes políticas de segurança e associa-las a grupos de usuários. Por exemplo, você pode criar uma política de acesso remoto que limita os horários permitidos para conexão, para entre 8 da manhã e 6 horas da tarde e associar esta política com o grupo Estagiários. Você pode criar uma segunda política de acesso remoto, a qual permite a conexão 24 horas por dia e associa-la ao grupo Gerentes.

Se você estiver usando o gerenciamento de autorização por grupo, com base em políticas de acesso remoto, os seguintes passos serão executados, para determinar se a conexão será aceita ou se será rejeitada:

- Se a tentativa de conexão atender a todas as condições definidas nas políticas de acesso, verifique a permissão de acesso remoto da política de acesso remoto.
- Se a permissão de acesso remoto for garantida, aplique as configurações definidas na política de acesso remoto e as configurações da conta do usuário.
- Se a permissão de acesso remoto for negada, rejeite a conexão.
- Se a tentativa de conexão não atende todas as condições definidas na política de acesso remoto, processe a próxima política de acesso remoto.

If the connection attempt does not match all conditions of any remote access policy, reject the connection attempt.

NOTA: Pode acontecer de uma tentativa de conexão não coincidir com nenhuma das políticas de acesso remoto configuradas no servidor RRAS ou no servidor RADIUS (se este estiver sendo utilizado para autenticação). Nesse caso, a tentativa de conexão será rejeitada.

A seguir apresentarei dois exemplos práticos. No primeiro mostrarei as configurações relacionadas ao acesso remoto, que podem ser definidas nas propriedades da conta do usuário. No seguindo exemplo, mostrarei como criar uma política de acesso remoto no servidor RRAS.

Configurações de acesso remoto nas propriedades da conta do usuário.

Nas propriedades da conta de um usuário, estão disponíveis uma série de propriedades. No exemplo prático deste item descreverei as opções disponíveis. e mostrarei como configurar estas opções.

Exemplo: Para configurar as propriedades relacionadas com o acesso remoto, em uma conta de usuário, siga os passos indicados a seguir:

1. Faça o logon como administrador ou com uma conta de permissão de administrador.
2. Abra o console Active Directory Users and Computers: Start -> Administrative Tools -> Active Directory Users and Computers (Iniciar -> Ferramentas administrativas -> Usuários e Computadores do Active Directory).
3. Localize a conta de usuário a ser configurada e dê um clique duplo nela, para exibira a janela de propriedades da conta.
4. A janela de propriedades da conta é aberta, com a guia General (Geral) selecionada por padrão. As opções de acesso remoto são configuradas na guia Dial-in (Discagem). Clique na guia Dial-in. Nesta guia estão disponíveis as opções indicadas na Figura 19.26:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.26 Opções de acesso remoto na guia Dial-in.

A seguir descrevo as diversas opções desta guia.

• Remote Access Permission (Dial-in or VPN) (Permissão de acesso remoto (via discagem ou rede virtual privada)). Neste grupo estão opções para definir se o usuário terá ou não permissão para fazer a conexão com o servidor RRAS. Use essa propriedade para definir se o acesso remoto será explicitamente permitido (Allow access), negado (Deny access) ou determinado pelas políticas de acesso remoto Control access through Remote Access Policy (este é o valor selecionado por padrão no Windows Server 2003). Se o acesso for explicitamente permitido, as condições da diretiva de acesso remoto, as propriedades da conta de usuário ou do perfil poderão negar a tentativa de conexão. A opção Control access through Remote Access Policy somente estará disponível em contas de usuário em um domínio de modo nativo do Windows 2000 ou no modo Windows Server 2003, ou para contas locais em stand-alon servers, executando o Windows 2000 Server, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition. Ou de uma maneira mais fácil, a opção Control access through Remote Access Policy não estará disponível em contas de um domínio que ainda esteja no modo misto e também não estará disponível em um stand-alone server com o Windows Server 2003 Web Edition instalado.

• Verify Caller-ID (Verificar identificação do chamador): Ao marcar esta opção, o campo ao lado da opção será habilitado para que você digite o número do telefone que estará associado com o usuário. Chamadas feitas pelo usuário, somente serão aceitas se feitas a partir do telefone informado neste campo. Se essa propriedade estiver ativada, o servidor verificará o número de telefone do chamador. Se o número de telefone do chamador não coincidir com o número de telefone configurado, a tentativa de conexão será negada. O chamador, o sistema telefônico entre o chamador e o servidor de acesso remoto e o servidor de acesso remoto devem dar suporte à identificação de chamador. A identificação do chamador no servidor de acesso remoto consiste no equipamento de atendimento de chamadas e no driver apropriado do Windows 2000 que dão suporte à passagem de informações de identificação do chamador para o serviço de roteamento e acesso remoto. Se você configurar um número de telefone de identificação do chamador para um usuário e não der suporte à passagem de informações de identificação do chamador para o serviço de roteamento e acesso remoto, a tentativa de conexão será negada. Esta opção pode ser utilizada, por exemplo, para funcionários que trabalham a partir de casa. Como estes funcionários utilizarão sempre o mesmo telefone, você pode configurar a conta utilizada pelo funcionário, com o respectivo número de telefone. Se alguém descobrir a conta e senha deste usuário, não conseguirá fazer a conexão remota, a não ser que esteja utilizando o telefone da casa do usuário. É um nível de segurança a mais.
• Callback Options (Opções de retorno de chamada): Esta opção é utilizada para habilitar/desabilitar o recurso de Callback. Se este recurso estiver ativado, o servidor RRAS recebe a chamada e autentica o usuário normalmente. Uma vez autenticado o usuário, o servidor RRAS encerra a conexão e disca de volta (Call back), para o número configurado no recurso de Callback, restabelecendo a ligação. Para o usuário este recurso é transparente, uma vez que o resultado final é a conexão entre o cliente e o servidor. Este recurso pode ser utilizado, por exemplo, para vendedores que precisam fazer a conexão usando uma linha telefônica do cliente. Para que o cliente não tenha que pagar o custo da ligação, o recurso de call back pode ser utilizado. Neste caso, o custo da ligação é pago pela empresa, pois a chamada é feita pelo servidor, de volta para o cliente. Por padrão o recurso de Callback está desabilitado (No Callback). Você pode habilitar o recurso de callback de duas maneiras diferentes:
- Set by caller (Definido pelo chamador): Com esta opção, quando o usuário faz a chamada, ele já informa o número para o qual o servidor deve fazer a chamada de volta. É a opção indicada para o exemplo do vendedor. Neste caso, em cada cliente o número do telefone é diferente. Com esta opção, o usuário informa o número do telefone do respectivo cliente, para que o servidor faça a chamada de volta.

- Always Callback to (Sempre retornar chamada para): Com esta opção, a chamada de volta é feita sempre para o mesmo número. Esta opção é utilizada, por exemplo, para um funcionário que trabalha em caso. Neste caso o recurso de callback é utilizado para que o custo do telefone seja pago pela empresa. Neste caso, o número do telefone da casa do funcionário é informado nesta propriedade e a chamada de volta será feita sempre para este número.

• Assign a Static IP Address (Atribuir um endereço IP estático): Se essa propriedade estiver ativada, você poderá atribuir um endereço IP específico a um usuário quando uma conexão for efetuada.

• Apply Static Routes (Aplicar rotas estáticas): Ao marcar esta opção será aberta a janela Static Routes, indicada na Figura 19.27. Para adicionar uma nova rota estática basta clicar no botão Add Route... (Adicionar Rota...) e preencher as informações sobre a nova rota.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.27 Opções de acesso remoto na guia Dial-in.

Essa configuração destina-se às contas de usuário que os roteadores do Windows Server 2003 (computadores com o Windows Server 2003 executando funções de roteamento) usam para o roteamento de discagem por demanda. No Capítulo 20 você aprenderá mais sobre Roteamento no Windows Server 2003 e sobre discagem sob demanda.

No Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition ou Windows Server 2003 Datacenter Edition, o RADIUS pode ser configurado para ignorara as propriedades da guia Dial-in de uma conta de usuário ou de uma conta de computador. Esta configuração é feita nas propriedades de uma política de acesso remoto, conforme você aprenderá a configurar no próximo exemplo prático.

Com as políticas de acesso remoto do IAS, você pode definir que as propriedades da guia Dial-in sejam processadas para determinados cenários (como por exemplo conexões via linha discada) e desabilitadas para outros cenários (como por exemplo acesso via tecnologias de Wireless). Este é apenas mais um exemplo da flexibilidade que é obtida com o uso do IAS.

5. Defina as configurações desejadas e clique em OK para aplica-las.
6. Você estará de volta ao console Active Directory Users and Computers. Feche-o.

 

Criando uma política de acesso remoto.

Neste item mostrarei como criar uma nova política de acesso remoto. Você irá criar uma nova política e definir a quais grupos a política irá ser aplicada. A política será criada no servidor RRAS. Se você utiliza o IAS para fazer autenticação de acesso remoto na sua rede, é recomendado que as políticas de acesso remoto sejam criadas no servidor RADIUS, onde está o IAS instalado. Para criar políticas de acesso remoto no IAS, você utiliza o console Internet Authentication Service.

Exemplo: Para criar uma nova política de segurança no servidor de acesso remoto, siga os passos indicados a seguir:

1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
2. Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3. O console de configuração do RRAS será aberto. Clique no sinal de + ao lado do nome do servidor, para exibir as opções disponíveis.
4. Nas opções que são exibidas, clique com o botão direito do mouse na opção Remote Access Polices (Diretivas de acesso remoto – o termo diretivas é por conta da tradução, eu continuo preferindo o termo políticas) e, no menu de opções que é exibido  clique em New Remote Access Policy (Nova Política de Acesso Remoto).
5. Será aberto o assistente para criação de uma nova política de acesso remoto. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
6. Nesta etapa você deve optar por utilizar o assistente para criar uma política de acesso remoto com as opções mais comuns (Use the wizard to set up a typical policy for a common scenario) ou se deseja criar uma nova política personalizada, onde você define cada opção que fará parte da política (Set up a custom policy). Vamos optar pela primeira opção, ou seja, criar uma política de acesso remoto com as configurações típicas. No próximo exemplo você aprenderá a alterar as configurações de uma política depois de tê-la criado. Nesta etapa você também deve definir o nome para a política. Configure as opções conforme exemplo da Figura 19.28:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.28 Criando uma política com as configurações típicas.

7. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8. As políticas podem ser aplicadas com base no método de acesso, conforme descrito anteriormente. Nesta etapa do assistente você deve selecionar a qual método de acesso as políticas serão aplicadas. Estão disponíveis as opções VPN, Dial-up, Wireless e Ethernet. Para o nosso exemplo selecione a opção Dial-up. Ou seja, a política que está sendo criada, somente será aplicada à conexões feitas via linha telefônica, acesso discado.
9. Marque a opção Dial-up e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
10. Nesta etapa é que você seleciona se as permissões de acesso serão definidas em uma base Por usuário (User) ou Por grupo (Group), conforme descrito em detalhes anteriormente. No nosso exemplo vamos usar a opção Group (Por grupo). No nosso exemplo, a política que está sendo criada, deverá ser aplicada apenas aos membros de um grupo chamado Vendas Externas. Marque a opção Groups e clique em Add... (Adicionar...).
11. Será aberta a janela padrão para informar nomes de usuários e/ou grupos, a qual você aprendeu a utilizar no Capítulo 9. Digite o nome do grupo, conforme exemplo da Figura 19.29 e clique em OK.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.29 A política aplicar-se-á aos membros do grupo Vendas Externas.

12. Você estará de volta ao assistente para criação da política de acesso remoto, com o grupo Vendas Externas já adicionado, conforme indicado na Figura 19.30:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.30 Grupo Vendas Externas já adicionado.

13. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
14. Nesta etapa você deve selecionar quais os protocolos de autenticação que serão aceitos pela política de acesso remoto que está sendo criada. Por padrão vem marcado apenas o protocolo MS-CHAP v2. Se os clientes utilizam Smart-card para fazer a autenticação, você terá que habilitar o protocolo EAP. Ao marcar o protocolo EAP é habilitada uma lista para que você selecione o tipo de criptografia que será utilizada pelo protocolo EAP, conforme indicado na Figura 19.31. O protocolo MS-CHAP é menos seguro que o MS-CHAP v2, conforme mostrado em tabela comparativa, anteriormente, neste capítulo. Você somente deve habilitar o MS-CHAP se houver clientes mais antigos que não tem suporte ao MS-CHAP v2.
Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.31 Definindo os protocolos de autenticação que serão aceitos.

15. Defina as configurações de protocol de autenticação e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
16. Nesta etapa você define o nível de criptografia que será exigido pela política de acesso remoto. Estes níveis foram descritos anteriormente. Você pode selecionar um ou mais níveis, conforme exemplo da Figura 19.32. A conexão será feita no maior nível que possa ser usado pelo servidor de acesso remoto e também pelo cliente.

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.32 Definindo as opções de criptografia.

17. Defina as configurações de criptografia e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
18. Será exibida a etapa final do assistente. Você pode utilizar o botão Back (Voltar), para voltar ás etapas anteriores e fazer alterações. Clique em Finish (Concluir) para finalizar o assistente e criar a política de acesso remoto. A nova política será criada e já é exibida no console Routing and Remote Access, conforme indicado na Figura 19.33:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.33 A política Política para vendedores externos, recém criada.

NOTA: Para renomear uma política de acesso remoto, basta clicar com o botão direito do mouse na política e, no menu que é exibido,clique em Rename. O nome atual será selecionado. Digite o novo nome e clique no espaço em branco, fora do ícone da política. Pronto, ela foi renomeada. Para excluir uma política basta clicar com o botão direito do mouse na política a ser excluída e, no menu de opções que é exibido, clique em Delete (Excluir). Será exibida uma mensagem solicitando confirmação. Clique em Yes para confirmar a exclusão da política de acesso remoto.

Configurando uma política de acesso remoto – Remota Access Profile

Neste item mostrarei como configurar uma política de acesso remoto. As configurações de uma política de acesso remoto são conhecidas como: Remote Access Profile. Você irá configurar a política: Política para vendedores externos, criada no item anterior . Lembre-se que esta é uma política criada diretamente no servidor RRAS. Se você utiliza o IAS para fazer autenticação de acesso remoto na sua rede, é recomendado que as políticas de acesso remoto sejam criadas no servidor RADIUS, onde está o IAS instalado. Para criar e modificar políticas de acesso remoto no IAS, você utiliza o console Internet Authentication Service.

Exemplo: Para configurar a política “Política para vendedores externos”, criada no item anterior, siga os passos indicados a seguir:

1. Faça o logon com a conta de administrador ou com uma conta com permissão de administrador.
2. Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3. O console de configuração do RRAS será aberto. Clique no sinal de + ao lado do nome do servidor, para exibir as opções disponíveis.
4. Nas opções que são exibidas, clique na opção Remote Access Polices (Diretivas de acesso remoto, para seleciona-la.
5. As políticas existentes serão exibidas no painel do lado direito. Clique com o botão direito do mouse na política Política para vendedores externos e, no menu de opções que é exibido, clique em Properties (Propriedades).
6. Será aberta a janela de propriedades da política. Nesta janela você pode definir se, as tentativas de conexão que atenderem os critérios definidos na política serão permitidas (Grant remote access permission) ou serão negadas (Deny remote access permission). Por exemplo, esta política está associada ao grupo Vendedores Externos. Se você quiser negar a permissão de conexão para todos os vendedores externos (por exemplo, em um final de semana onde o sistema está em manutenção e você quer ter certeza que nenhuma conexão será efetuada), basta marcar a opção Deny remote access permission. Para o nosso exemplo vamos nos certificar de que a opção Grant remote access permission esteja selecionada, conforme indicado na Figura 19.34:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.34 A política será utilizada para garantir a permissão de conexão.

7. Para alterar as configurações da política de acesso remoto clique no botão Edit Profile... (Editar perfil...). Será exibida a janela onde você pode alterar uma série de configurações da política de acesso remoto. Por padrão é exibida a guia Dial-in constraints (Restrições de discagem), conforme indicado na Figura 19.35:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.35 Configurando restrições de discagem.

8. Nesta guia você pode definir um série de opções, conforme descrito a seguir:

• (Minutes server can remain idle befor it is disconnected (Idle-timeout) – Minutos que o servidor pode ficar ocioso antes que ele seja desconectado). Ao marcar esta opção, você pode definir um tempo máximo de inatividade da conexão. Se não houver atividade na conexão, por um período igual ao tempo definido neste campo, o servidor irá encerrar a conexão. Por padrão esta opção não é ativada. O administrador pode marcar esta opção e informar um tempo, em minutos, no campo ao lado desta opção.

• Minutes client can be connected (Session-timeout) – Tempo máximo de conexão do cliente: Este campo é utilizado para definir um tempo máximo para a conexão do usuário. Por exemplo, o administrador pode definir que nenhuma conexão pode ser mantida por mais do que 3 horas. Quando a conexão atinge o tempo máximo, ela será automaticamente desconectada pelo servidor. Isso não impede que o usuário faça uma nova conexão, logo em seguida.

• Allow access only on these days and at these times (Restringir a conexão as seguintes datas e horas): Esta opção é utilizada para definir as datas e horários em que a conexão pode ser feita. Ao marcar esta opção, o botão Edit (Editar) será habilitado. Ao clicar no botão Edit, será aberta a janela para definição dos dias e horários em que será permitida a conexão, conforme indicado na Figura 19.35. Esta é a janela que você aprendeu a utilizar no Capítulo 9, para restringir o horário de logon para os usuários e também no Capítulo 16, para definir o horário de replicação entre servidores WINS.
 
Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.36 Definindo as datas e horas com permissão de conexão.

• Allow access only to this number (Restringir a discagem ao número): Limita a conexão dos clients a uma porta específica do servidor de acesso remoto, sendo que a porta é identificada pelo número da linha telefônica associada à porta. O número é informado nesta opção.

• Allow access only through these media (Restringir a mídia de discagem): Esta opção é utilizada para definir quais tipos de conexão o cliente poderá utilizar. Por exemplo, você pode restringir que somente serão aceitas conexões do tipo VPN, ou Frame Relay e X.25. Para aplicar restrições quanto ao tipo de conexão, basta marcar esta opção e depois marcar os tipos de conexões que serão aceitos.

9. Defina as configurações desejadas e clique na guia IP. Serão exibidas as opções indicadas na Figura 19.37:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.37 Configurando as opções do protocolo IP.

Nesta guia estão disponíveis as opções descritas a seguir:

• Ip address assignment (Atribuição de endereço IP): Neste grupo você define como será feita a atribuição de endereço IP para os clientes, quando é feita a conexão. Por padrão é utilizada a opção Server settings determine IP address assignment (A atribuição de endereços IP é definida pelas configurações do servidor). Com esta opção, as configurações feitas nas propriedades do servidor RRAS (veja um dos exemplos anteriores) é que determinam como será feita a atribuição de endereços IP. Por padrão é utilizada a integração com o DHCP. Você pode informar um endereço IP fixo, o qual será atribuído para os clientes. Esta opção somente é útil se a política aplica-se a um cliente específico, o qual deve receber sempre o mesmo número IP, como no exemplo de um roteador que usa discagem sob demanda.

• Input Filters... (Filtros de entrada…) e Output Filters… (Filtros de saída): Com estes botões você pode definir filtros para o tráfego do servidor para o cliente (Output Filters...) ou para o tráfego do cliente para o servidor (Input Filters...). Por exemplo, para criar um filtro de saída, clique no botão Output Filters... (Filtros de Saída...). Será exibida a janela para criação do novo filtro. Clique no botão New... (Novo...). Será aberta a janela Add IP Filter (Adicionar filtro IP). Defina as características do filtro que será aplicado e clique em OK. Os filtros, conforme descrito anteriormente, podem ser criados com base em uma lista branca ou em uma lista negra. Com base na lista branca, todos os protocolos são proibidos, com exceção dos que estão na lista branca. Com base na lista negra, todos os protocolos são permitidos, com exceção dos que estão na lista negra. Para criar uma lista branca, você marca a opção Permit only the packets listed bellow (Permitir somente os pacotes listados a seguir) e para criar uma lista negra você marca a opção Do not permit packets listed bellow (Não permitir os pacotes listados a seguir). Estas opções estão disponíveis na janela que é aberta quando você clica no botão Input Filters..., para criar um filtro de entrada ou na janela Output Filters..., para criar um filtro de saída, conforme exemplo da Figura 19.38:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.38 Criando um filtro de saída.

10. Defina as configurações desejadas na guia IP e clique na guia Multilink (Conexões múltiplas). Serão exibidas as opções indicadas na Figura 19.39:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.39 Configurando as opções de Multilink.

Nesta guia estão disponíveis as opções descritas a seguir:

• Multilink settings (Configurações de conexões múltiplas): Neste grupo você pode definir se devem ser utilizadas as configurações multilink definidas nas propriedades do servidor RRAS, ou seja, a política de acesso remoto não interfere nas conexões multilink e são utilizadas as configurações definidas nas propriedades do servidor RRAS (Server settings determine Multilink usage – Usar configurações padrão do servidor). Esta é a opção padrão. Outra opção é não permitir multilink (Do not allow multilink connections – Desativar conexões múltiplas). Com esta opção, não será permitido o uso de conexões multilink, para os clientes para os quais a política for aplicada. A última opção deste grupo, permite o uso de multilink e também permite que você informe o número máximo de links que cada cliente poderá utilizar (Maximum number of ports allowed – Limitar o número máximo de portas usadas).

• Bandwidth Allocatin Protocol (BAP) settings (Configurações do protocolo de alocação de largura de banda (BAP)): Neste grupo você tem opções para configuração do protocolo BAP. É importante lembrar que o BAP é utilizado para adicionar ou retirar links, automaticamente, a medida que o tráfego entre o cliente e o servidor aumento ou diminui, respectivamente. Por padrão é definido que, se a utilização da capacidade da banda da conexão múltipla, chegar abaixo dos 50% por um período de dois minutos, um dos links deve ser desconectado. Você pode ajustar estes valores de acordo com as necessidades específicas de cada caso.

• Require BAP for dynamic Multilink request (Exigir BAP para solicitações de conexões múltiplas dinâmicas): Esta opção define que somente será permitida a alocação dinâmica de novas linhas, se o protocolo BAP também estiver habilitado no cliente.

Dica: Se você está estudando para o MCSE –2000 ou para o MCSE – 2003, não esqueça os seguintes fatos:

- Para que uma conexão possa usar multilink, este deve estar habilitado no cliente e no servidor.
- Para fazer o gerenciamento dinâmico de linhas, o protocolo BAP deve ser utilizado em conjunto com a funcionalidade de multilink.

11. Defina as configurações desejadas na guia Multilink e clique na guia Authentication (Autenticação). Serão exibidas as opções indicadas na Figura 19.40:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.40 Configurando as opções da guia Authentication.

Nesta guia estão disponíveis as opções para que você defina quais os protocolos de autenticação serão aceitos pela política de acesso remoto. São exatamente as mesmas opções exibidas na etapa do assistente de criação da política, onde você deve definir os protocolos de autenticação que serão aceitos. Mostrei como utilizar estas opções no exemplo anterior, quando foi criada a política de acesso remoto. Nesta guia está disponível também a opção Allo clients to connect without negotiating an authentication methohd (Permitir que clientes conectem-se sem negociar quaisquer métodos de autenticação). Esta opção é equivalente a permitir que sejam feitas conexões não autenticadas. Se esta opção for habilitada, serão usadas as configurações de conexão não autenticada, definidas nas propriedades do servidor de acesso remoto.

12. Defina as configurações desejadas na guia Authentication e clique na guia Encryption (Criptografia). Serão exibidas as opções indicadas na Figura 19.41:
Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.41 Configurando as opções de Criptografia.

13. Nesta guia você define quais métodos de criptografia serão aceitos pela política de acesso remoto. Se o cliente não for capaz de usar, pelo menos, um dos métodos definidos, a conexão não será estabelecida, a não ser que a opção No encryption (Sem criptografia) esteja marcada. Porém não é recomendado o uso desta opção. Defina as configurações desejadas na guia Encryption e clique na guia Advanced (Avançado). Serão exibidas as opções indicadas na Figura 19.42:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.42 Configurando opções Avançadas para a política de acesso remoto.

14. Nesta guia você faz um “ajuste fino” nas configurações da política de acesso remoto. Usando o botão Add... (Adicionar...), você pode adicionar inúmeras novas condições que devem ser atendidas, para que a conexão seja efetuada com sucesso. Vamos mostrar um exemplo prático de criação de uma nova condição.
15. Clique no botão Add... (Adicionar...).
16. Será exibida a janela Add Atribute (Adicionar atributo), com dezenas de opções disponíveis. Por exemplo, vamos definir que a política de segurança usará a função de Callback. Ou seja, quando um usuário tenta fazer a conexão e pertence a um dos grupos aos quais a police é aplicada, o servidor irá completar a conexão, depois irá encerra-la e fazer a ligação de volta (callback), para o número informado no atributo de call back, atributo este que você irá configurar neste exemplo.
17. Na lista de atributos disponíveis clique na opção Callback-Number para seleciona-la, conforme indicado na Figura 19.43:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.43 Selecionando o atributo Callback-Number.

18. Clique em Add (Adicionar). Será aberta a janela Attrbute Information (Informações do atributo), para que você informe o número do telefone para ser feita a chamada de volta (Callback). Informe o número do telefone, conforme exemplo da Figura 19.44:

Windows Server 2003 - Curso Completo - Júlio Battisti
Figura19.44 Configurando a opção Callback-Number.

19. Clique em OK. Você estará de volta à janela para adicionar atributos. Clique em Close (Fechar).
20. Você estará de volta à guia Advanced (Avançado). Observe que o novo atributo Callback-Number já é exibido na lista de atributos configurados. Clique em OK para fechar a janela de configurações do perfil da política de segurança.
21. Você estará de volta à janela de propriedades da política de segurança. Clique em OK para fecha-la.
22. Feche o console do RRAS.


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »

Best Sellers de Excel do Julio Battisti

Todos com Vídeo Aulas, E-books e Planilhas de Bônus!

Aprenda com Júlio Battisti:
Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos - Passo a Passo

 Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

 

Autor: Júlio Battisti | Páginas: 540 | Editora: Instituto Alpha

 

[Livro]: Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 952 | Editora: Instituto Alpha

 

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1124 | Editora: Instituto Alpha

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1338 | Editora: Instituto Alpha

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

Todos os livros com dezenas de horas de vídeo aulas de bônus, preço especial (alguns com 50% de desconto). Aproveite. São poucas unidades de cada livro e por tempo limitado.

Dúvidas?

Utilize a área de comentários a seguir.

Me ajude a divulgar este conteúdo gratuito!

Use a área de comentários a seguir, diga o que achou desta lição, o que está achando do curso.
Compartilhe no Facebook, no Google+, Twitter e Pinterest.

Indique para seus amigos. Quanto mais comentários forem feitos, mais lições serão publicadas.

Quer receber novidades e e-books gratuitos?
›››

Novidades e E-books grátis

Fique por dentro das novidades, lançamento de livros, cursos, e-books e vídeo-aulas, e receba ofertas de e-books e vídeo-aulas gratuitas para download.



Institucional

  • Quem somos
  • Garantia de Entrega
  • Formas de Pagamento
  • Contato
  • O Autor
  • Endereço

  • Júlio Battisti Livros e Cursos Ltda
  • CNPJ: 08.916.484/0001-25
  • Rua Vereador Ivo Cláudio Weigel, 537 Universitário
  • Santa Cruz do Sul/RS
  • CEP 96816-208
  • Todos os direitos reservados, Júlio Battisti 2001-2017 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI