Microsoft.com Brasil Home | Mapa do Site
 
Procurar no Microsoft.com por:
  Home | TechNet USA | MS Brasil | Desenvolvedores | Fale Conosco | Meu TechNet





  Pesquisa rápida 
 


 
 
 



 


Transcrição de bate-papo: Implantando VPNs Site-a-Site com o Windows Server 2003

07 de janeiro de 2004

Observe que, partes desta transcrição foram editadas para obter mais clareza.

Introdução

Moderador: Anne (Microsoft)
Obrigada por participarem deste bate-papo sobre "Implantando VPNs Site-a-Site usando o Windows Server 2003". Estamos orgulhosos em dar as boas-vindas a nossos especialistas hoje. Gostaria que eles mesmos se apresentassem.

Anfitrião: Susan (Microsoft)
Olá, sou Susan. Sou escritora técnica do Grupo de conteúdo do Windows Server.

Anfitrião: Pawan (Microsoft)
Olá, meu nome é Pawan. Faço parte da equipe de teste do Serviço de roteamento e acesso remoto.

Anfitrião: Sandeep (Microsoft)
Olá, meu nome é Sandeep. Faço parte da equipe de teste do Serviço de roteamento e acesso remoto.

Anfitrião: Kumaravel (Microsoft)
Olá, sou Kumaravel. Estou trabalhando como desenvolvedor na equipe do RRAS.

Anfitrião: Priya (Microsoft)
Olá, sou Priya. Faço parte da equipe de teste do Serviço de roteamento e acesso remoto.

Anfitrião: Srivatsk (Microsoft)
Olá, sou Srivatsk. Sou desenvolvedor na Equipe de serviço de roteamento e acesso remoto.

Início do bate-papo

Anfitrião: Pawan (Microsoft)
P: Podemos criar pptp e l2tp dod?

R: Sim.

Anfitrião: Pawan (Microsoft)
P: E ISDN?

R: A Microsoft fornece suporte a várias mídias conhecidas, como mídia analógica, ISDN, ATM, Ethernet etc…

Anfitrião: Priya (Microsoft)
P: Antes de mais nada... Olá e obrigado por participarem desta sessão! Minha pergunta é: tenho uma VPN Site-to-Site (site a site), e o RRAS está exigindo um endereço IP dinâmico. Tenho um endereço IP estático e gostaria de usá-lo para poder manter os registros do DNS corretos. Posso criar uma reserva de endereço IP estático para esse servidor e, ao mesmo tempo, permitir que outros clientes VPN conectem-se via DHCP? O problema é que o servidor está em uma sub-rede diferente. Atualmente, estou recebendo uma mensagem de erro informando que o endereço IP foi rejeitado.

R: Sim, você pode atribuir um endereço IP estático ao roteador VPN.
R: Os clientes VPN podem ter endereços IP atribuídos a partir de DHCP.

Anfitrião: Pawan (Microsoft)
P: O que é mais seguro: PPTP ou L2TP?

R: L2TP/IPSec é mais seguro que PPTP, pois se baseia no IPSec que é muito mais seguro. Para conexões PPTP, você deve usar o MPPE em conjunto com autenticação MS-CHAP, MS-CHAP v2 ou EAP-TLS. Para conexões L2TP/IPSec, o IPSec fornece criptografia. Contudo, PPTP fornece um bom nível de segurança que é adequado à maioria das empresas e não há sobrecarga na implantação de servidores certificados.

Anfitrião: Sandeep (Microsoft)
P: Atualmente, estou recebendo uma mensagem de erro informando que o endereço IP foi rejeitado. O roteador VPN tem um IP estático. O que devo fazer é atribuir um Servidor B que esteja em conexão com o Servidor A por meio de um endereço IP estático RRAS/VPN, permitindo ainda que outros clientes conectem-se usando DHCP. Em resumo, devo fazer uma reserva para o servidor em RRAS.

R: A reserva de IP estático é possível. No perfil do usuário DOD, no servidor DHCP, vá para Propriedades de Discagem (Dial-In Properties) e atribua um endereço IP estático.

Anfitrião: Srivatsk (Microsoft)
P: O servidor em outro site tem uma conexão DSL e não pode obter um endereço IP do DHCP local para uma interface RAS 'interna'. Ele normalmente obtém um IP 169.x.x.x. Não pude solucionar esse problema nesse tempo. São necessárias algumas configurações especiais com DSL?

R: Pode haver um problema de alcance no seu servidor DHCP. Verifique o visualizador de eventos para obter uma mensagem de evento no Servidor VPN. Além disso, se não existir um conjunto de endereços do servidor DHCP, serão fornecidos, automaticamente, os endereços particulares.

Anfitrião: Sandeep (Microsoft)
P: Aproveitando a boa resposta de Sandee, preciso criar um usuário especial, isto é, VPNDial, atribuir a esse usuário os direitos necessários (Administrador da empresa) e estabelecer a conexão usando esse usuário depois de atribuir o endereço IP estático no DOD?

R: Não precisa ser um administrador da empresa. Qualquer usuário, com permissões de discagem, pode atribuir um endereço IP estático. Além disso, o usuário também pode sugerir um endereço IP nas propriedades TCP/IP da interface DoD. Essa é apenas uma sugestão, e o servidor pode não cumpri-la.

Anfitrião: Sandeep (Microsoft)
P: Concordo, mas esse não é o usuário que está sendo autenticado pelo servidor na verificação das permissões de acesso?

R: Sim. Você está correto, desde que o cliente de discagem não precise que operações especiais sejam executadas. Se houver necessidade de realizar ações como edição de conteúdos AD, etc (para a qual o usuário deve ser um usuário corporativo), você deverá ter as credenciais exigidas.

Anfitrião: Sandeep (Microsoft)
P: Então, resumindo, devo criar uma nova Conta de administrador de empresa, atribuir a ela um IP estático e usá-la para estabelecer uma conexão do Servidor B com Servidor A. Correto?

R: Sim. Para obter um endereço IP estático por meio de VPN, é preciso fazer a reserva. No seu caso específico, você precisa executar operações especiais depois de obter conectividade VPN, você poderá torná-lo administrador.

Anfitrião: Pawan (Microsoft)
P: Há VPN Site-to-Site no XP?

R: Não, a Microsoft oferece suporte a conexões VPN Site-to-Site baseadas em PPTP no Windows NT Server 4.0 com o RRAS (Routing and Remote Access Service, serviço de roteamento e acesso remoto), no Windows 2000 Server e no Windows Server 2003. A Microsoft oferece suporte a conexões VPN Site-to-Site do modo de túnel IPSec e com base em L2TP/IPSec no Windows 2000 Server e no Windows Server 2003.

Anfitrião: Srivatsk (Microsoft)
P: Quanto a conexão VPN Site-to-Site é melhor no Windows Server do que em outro sistema operacional ou hardware ou por que devo comprar o Windows?

R: O custo total de propriedade, quando comparado a outras soluções VPN, é menor. Normalmente, as empresas escolhem as soluções de departamento, em que o departamento de sistemas de informação interno é cobrado pela compra, instalação e manutenção de conjuntos de modems da organização e de uma infra-estrutura de rede privada; ou eles escolhem uma solução de VAN (value added network, rede de valor agregado), em que pagam a uma empresa terceirizada para comprar, instalar e manter os conjuntos de modem e a infra-estrutura de telecomunicação. Nenhuma dessas soluções fornece a escalabilidade necessária em termos de custo, administração flexível e exigência para conexão.

Anfitrião: Priya (Microsoft)
P: Você pode explicar (rapidamente) como posso usar certificados com l2tp?

R: Para L2TP / IPSec em DoD, precisamos de certificados de máquina nos roteadores que estão chamando e que estão respondendo. Os certificados nos roteadores devem ser de uma mesma CA raiz ou os roteadores devem confiar na CA raiz que os emitiu. Consulte www.microsoft.com/vpn ou http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx (sites em inglês)  - Deploying Site to site VPNs (Implantando VPNs Site-to-Site). Nesse link, você encontrará informações passo a passo sobre como configurar certificados nos dois roteadores.

Anfitrião: Kumaravel (Microsoft)
P: Se eu atribuir um endereço estático a uma pessoa e então discar com essa pessoa, o RRAS rejeitará você, pois ainda estará tentando fornecer um endereço dinâmico?

R: Sim, é verdade. Mas você pode eliminar esse comportamento, definido a chave do Registro "SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\IP\AllowClientIPAddressess" para um valor diferente de zero. Consulte o artigo do KB em http://support.microsoft.com/default.aspx?scid=kb;en-us;250881&sd=tech (site em inglês).

Anfitrião: Kumaravel (Microsoft)
P: Esse artigo do KB também se aplica ao 2003?

R: Sim.

Anfitrião: Sandeep (Microsoft)
P: Como posso fazer com que o Windows Server inicie uma conexão VPN na inicialização ou em um encerramento inesperado? Como posso deixar a conexão VPN funcionando quando nenhum usuário está conectado à máquina ou quando uma pessoa precisar conectar-se a um console diferente daquele em que o usuário está conectado atualmente?

R: Em um servidor Win2K3, você pode acessar as propriedades de conexão de DoD e tornar a conexão contínua. Defina o tempo limite de conexão inativa para não ser desconectado. Isso pode ajudar. Além disso, você pode ajustar o DoD com as definições de filtro e de hora do dia. Se for necessário que a conexão seja iniciada automaticamente, será possível fazê-lo com um pequeno script ou com Autodial.exe. Para garantir seu funcionamento, o script pode garantir que os dois sites tentem executar ping em intervalos regulares.

Moderador: Anne (Microsoft)
Obrigada por participarem conosco no bate-papo da comunidade Microsoft sobre VPNs Site-to-Site.

Se vocês tiverem mais perguntas sobre esse assunto, visitem as seguintes URLs: http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspxe http://www.microsoft.com/windowsserver2003/techinfo/overview/vpnfaq.mspx(sites em inglês)

Moderador: Anne (Microsoft)
Conto com a participação de vocês nos próximos bate-papos listados acima.

Anfitrião: Sandeep (Microsoft)
Até mais e boa sorte na implantação do RAS:-)

Para obter mais informações sobre este tópico, visite:

Grupos de notícias: Configuração do Windows Server (site em inglês)

Transcrições do Windows Server: Leia o arquivo (site em inglês)

Site: Visite o site Redes virtuais privadas para Windows Server 2003 (em inglês)

Perguntas freqüentes: Virtual Private Networking: Perguntas freqüentes (site em inglês)



Fale Conosco | Imprima esta página | Adicione aos Favoritos
©2004 Microsoft Corporation. Todos os direitos reservados. Nota Legal | Política de Privacidade
aa