Windows Server/Core
-
- Atribuir IPs às interfaces do Windows Core
- Adicionar o Windows Core ao domínio
- Adicionar ao Server Manager
- Promover a Controlador de Domínio
- Instalar e configurar o servidor DHCP no Windows Core
- Configurar o roteamento no Windows Core;
- Configurar o Print Server no Windows Core;
- Instalar Web Services
- Configurar acesso remoto ao Firewall
- Configurar FTP
- Criar websites
- Criar certificados
- Restringir o login apenas a users do Sul e Admins
intnet - 172.29.170.0/23 intnetcore - 10.59.170.64/28 phr.rotoliP.local - 172.29.171.254 pedro.rotoliP.local - 172.29.171.253 255.255.254.0 (intnet), 10.59.170.78 255.255.255.240 powercfg.exe /SETACVALUEINDEX SCHEME_CURRENT SUB_VIDEO VIDEOCONLOCK 14400 powercfg.exe /SETACTIVE SCHEME_CURRENT netsh advfirewall firewall set rule group="Windows Defender Firewall remote management" new enable=yes New-Item -ItemType SymbolicLink -Path C:\inetpub\ftproot\LocalUser -Target "\\phr\homefolders$" cmd /c mklink /d C:\inetpub\ftproot\rotoliP \\phr\homefolders$
Atribuir IPs às interfaces do Windows Core
Vamos começar por alterar os nomes das interfaces para facilitar a sua identificação, primeiro é preciso identificar qual é qual, usando o comando ipconfig podemos ver os nomes das interfaces e os IPs atrubuídos no momento, como uma das interfaces está ligada à rede do Windows Server, recebeu IP automaticamente por DHCP, assim conseguimos identificar qual das interfaces está ligada à rede IntNet e qual está na rede IntNetCore, os seguintes comandos irão alterar os nomes das interfaces:
netsh interface set interface name="Ethernet0" newname="IntNet" netsh interface set interface name="Ethernet1" newname="IntNetCore"
Depois de alterarmos os nomes das interfaces, vamos alterar os endereços de IP e dar IPs estáticos para as duas interfaces, para isso iremos usar o sconfig.
Execute o sconfig e abra a opção 8 Network Settings, selecione o adaptador que deseja alterar o IP indicando o Index, tneha atenção que como ambos adaptadores usam o mesmo controlador, a descrição é a mesma, por isso use o endereço de IP atual como guia, nesse caso iremos começar pelo adaptador de Index 2, que é o que está na rede IntNet, selecione a opção 1 Set Network Adapter Address, selecione Static, preencha as informações de acordo com a rede em que ele se encontra, nesse caso, como é um servidor e está na mesma rede do Windows Server, irá usar o penúltimo IP da rede, 172.29.171.253, e o gateway é o IP do Windows Server nessa rede, depois configure o DNS primário com o IP do Windows Server, depois disso volte para o menu principal e dessa vez configure a outra interface, a que está na rede IntNetCore.
Faça a configuração da mesma maneira, colocando valores apropriados para a rede em questão, nesse caso essa interface ficará com o último IP dessa rede, que será o 10.59.170.78 e a máscara de rede é 255.255.255.240, como ele servirá como gateway nessa rede, não coloque nenhum IP como gateway, e no DNS primário coloque o IP do Windows Core nessa rede, já que ele irá servir como servidor de DNS primário nessa rede.
Adicionar o Windows Core ao domínio
Agora iremos alterar o hostname do Windows Core e o adicionar ao domínio, mas primeiro iremos habilitar a gestão remota e habilitar o ping para facilitar testes de conectividade, para isso, do menu principal selecione a opção 4 Configure Remote Management, depois selecione a opção 3 Configure Server Response to Ping e confirme no pop-up que irá aparecer, depois selecione a opção 1 Enable Remote Management, depois disso volte para o menu principal e selecione a opção 1 Domain/Workgroup, depois selecione Domain, indique o nome do domínio que deseja fazer parte, depois indique uma conta de administrador do domínio, em uma nova janela será pedida a senha dessa conta, depois de colocar a senha correta um pop-up irá aparecer perguntando se deseja alterar o nome do computador antes de reiniciar a máquina, clique em Yes e coloque o nome que deseja dar ao Windows Core, será pedido novamente para fornecer as credenciais de uma conta de administrador, depois disso será pedido para reiniciar a máquina, clique em Yes.
Depois que o Windows Core reiniciar poderá fazer login utilizando alguma conta do Active Directory, como a de administrador, apenas tenha atenção nesse caso que, como existe uma conta local com o mesmo nome, se usar apenas administrator como username para fazer login ele irá assumir a conta local, para fazer login com a conta do domínio, use esse formato para fazer login com a conta de administrador: rotolip\administrator.
Se formos até o Windows Server e abrirmos a janela do Active DIrectory Users and Computers poderemos encontrar o Windows Core na pasta Computers.
Adicionar ao Server Manager
Após adicionar o Windows Core ao domínio é preciso o adicionar ao Server Manager para permitir a gestão remota.
Para isso é só clicar em Manage, depois and Add Servers, na janela que irá abrir, no campo Name (CN) coloque o hostname do Windows Core, pedro nesse caso, depois clique em Find Now, ele irá aparecer na lista logo abaixo, o selecione e clique no botão com uma seta apontando para a direita, depois disso clique em OK.
Pronto, o Windows Core já foi adicionado ao Server Manager e já pode ser gerido remotamente, dessa maneira praticamente tudo o que será necessário realizar pode ser feito através da interface gráfica.
Promover a Controlador de Domínio
Agora é preciso o promover a controlador de domínio, para isso é preciso instalar o Active Directory, para isso clique em Manage, depois em Add Roles and Features, na janela que irá abrir clique em Next.
Agora é preciso selecionar o servidor em que iremos instalar o Active Directory, para isso selecione o Windows Core na lista e clique em Next.
Agora selecione a opção Active Directory Domain Services, e ja janela que irá abrir clique em Add Features, depois clique em Next.
Clique em Next nas próximas duas janelas, e por fim selecione a opção de reiniciar o servidor de destino automaticamente se necessário, depois clique em Install.
Depois de terminado o processo de instalação, clique em Close, depois disso agora iremos promover o Windows Core a controlador de domínio.
Clique no ícone da bandeira com o ponto de exclamação com o fundo amarelo e depois em Promote this server to a domain controller.
Nessa janela, a única coisa que precisaremos fazer é fornecer as credenciais a serem usadas no processo de promoção, para isso clique em Change… e coloque as credenciais de uma conta de administrador, depois clique em Next.
Selecione a opção Read only domain controller (RODC) e configure a senha para o DSRM, depois clique em Next e Next novamente, na janela de opções adicionais, em Replicate from selecione o Windows Server, depois clique em Next novamente, se quiser selecionar localizações diferentes para as pastas do Active Directory, pode fazer agora, depois disso clique em Next, e caso queira guardar as configurações feitas para um script do PowerShell para automatizar futuras instalações, pode fazer agora clicando em View script, clique em Next, agora é só clicar em Install e esperar o processo de instalação terminar.
Com o processo de instalação terminado clique em Close, e agora, se for a Active Directory Users and Computers, na pasta Domain Controllers, irá ver que o Windows Core está aparecendo na lista como Read-only, GC.
Instalar e configurar o servidor DHCP no Windows Core
O processo de instalação é praticamente o mesmo que foi feito no Windows Server, as única diferenças sendo o servidor a ser selecionado para a instalação do serviço e não haver necessidade de instalar o DHCP Server Tools, já que a administração será feita remotamente.
Depois de instalado iremos fazer a configuração do servidor DHCP, para isso abra o painel de configuração, clicando em Tools e depois em DHCP no Server Manager.
Nesse momento, o painel de configuração ainda mostra apenas o Windows Server, para que possamos configurar o servidor DHCP do Windows Core é preciso o adicionar, para isso clique com o botão direito em DHCP, depois em Add Server…, depois disso selecione a opção This authorized DHCP server e selecione o Windows Core, clique em OK.
Agora que já temos como configurar o servidor DHCP do Windows Core, iremos o configurar como failover, para assumir essa função caso, por algum motivo, o servidor DHCP do Windows Server deixe de funcionar, ou até mesmo funcionar com load balacing, dividindo a carga entre os servidores.
Para fazer essa configuração, clique com o botão direito em IPv4 no Windows Server e depois em Configure Failover…, o wizard de configuração será iniciado, na primeira tela podemos escolher qual o escopo a ser configurado com failover, nesse caso temos apenas um, por isso não há a necessidade de fazer nenhuma alteração aqui, deixe a opção Select all selecionada e clique em Next.
Agora devemos selecionar qual será o outro servidor que irá dividir a carga de trabalho, para isso clique em Add Server, depois selecione a opção This authorized DHCP server e selecione o Windows Core na lista e clique em OK, depois disso clique em Next.
Agora iremos especificar as definições desse relacionamento de failover entre os dois servidores, seu nome, como irá funcionar, etc…, no nosso caso não será necessário fazer alterações no funcionamento, temos apenas que definir uma senha que será usada na autenticação das comunicações entre os dois servidores, e caso queira um nome mais memorável para esse relacionamento de failover, também pode o definir, depois de colocar as informações necessárias, clique em Next, depois clique em Finish para completar a configuração.
Como podemos ver aqui, as configurações do Windows Server foram replicadas no Windows Core, se desligarmos o servidor DHCP do Windows Server, os clientes irão receber IPs através do Windows Core.
Agora que já temos o failover configurado é preciso configurar a pool que o Windows Core irá utilizar para atribuir IPs para os computadores que estão na sua outra rede, o processo é exatamente igual ao da criação da pool do Windows Server, repita os mesmos passos, mas dessa vez atribuindo os IPs relevantes a essa rede, e configurando os endereços dos servidores de DNS apropriados, nesse caso o primário ficará como sendo o IP do Windows Core na rede IntNetCore, e o secundário o IP do Windows Server na rede IntNet.
E como podemos ver, o Windows Core já está atribuindo IPs para os clientes conectados na rede IntNetCore.
Configurar o roteamento no Windows Core
Agora é preciso configurar o roteamento no Windows Core para que os clientes possam acessar os recursos no Windows Server e a internet. Clique em Manager, Add Roles and Features, depois, na janela que irá abrir, clique em Next duas vezes, selecione o Windows Core e clique em Next novamente, selecione Remote Access e clique em Next três vezes, até chegar em Select role services, aqui selecione a opção Routing, e na janela que irá abrir, clique em Add Features, depois em Next novamente e na tela seguinte, nessa tela atual é possível selecionar outras opções para serem instaladas, nesse momento não será necessário nenhuma delas, clique em Next e finalmente em Install, o processo de instalação será iniciado, se quiser pode clicar em Close que o processo irá continuar normalmente.
Depois de a instalação ter sido concluída, uma notificação irá aparecer no Server Manager, abra ela e clique em Open the Getting Started Wizard e depois o feche, para remover essa notificação.
Agora será necessário configurar o roteamento no Windows Core, para isso clique em Tools, depois em Routing and Remote Access.
Agora será necessário adicionar o Windows Core a essa interface para podermos fazer a gestão, para isso clique em com o botão direito sobre Routing and Remote Access e depois em Add Server…, na janela que irá aparecer selecione a opção The following computer e coloque o nome que deu ao Windows Core, depois clique em OK.
Depois que o Windows Core estiver aparecendo na lista, do lado esquerdo, clique com o botão direito sobre ele e depois em Configure and Enable Routing and Remote Access, clique Next no Wizard que será iniciado, e na próxima tela selecione Network address translation (NAT) e clique em Next, depois é preciso selecionar a interface de rede que o Windows Core usa para acessar a internet, que será a que está ligada ao Windows Server, nesse caso é a que se chama IntNet, depois de a selecionar clique em Next e finalmente em Finish.
A configuração já está feita, agora os clientes conectados na outra rede do Windows Core, IntNetCore, já tem acesso à internet.
Configurar o Print Server no Windows Core
Para configurar um servidor de impressão no Windows Core é preciso primeiro instalar o serviço de impressão.
Clique em Manage, depois em Add Roles and Features para iniciar o Wizard de instalação, clique em Next duas vezes, depois selecione o Windows Core e clique em Next, Selecione Print and Document Services e clique em Next três vezes, certifique-se de que a opção Print Server está selecionada e clique em Next, se quiser selecione a opção para reiniciar automaticamente o servidor de destino e clique Install, Se quiser pode clicar em Close para fechar a janela do Wizard, ou então pode esperar até a instalação terminar.
Agora iremos fazer a configuração do serviço de impressão, para isso clique em Tools e depois em Print Management.
Agora iremos adicionar o Windows Core na lista de Print Servers, para isso clique com o botão direito em Print Servers e depois em Add/Remove Servers.
No campo Add servers: coloque o nome do Windows Core, depois clique em Add to List, quando ele estiver aparecendo na lista Print servers clique em OK.
Agora iremos instalar uma impressora no Windows Core, esse processo pode ser ligeiramente diferente, de acordo com a impressora a ser instalada, mas no geral é muito similar.
Expanda o Windows Core e clique com o botão direito em Printers e depois em Add Printer…
A opção a selecionar aqui vai depender da impressora que estiver instalando e como ela estiver ligada ao Windows Core, nesse caso iremos criar uma nova porta, para isso selecione a opção Create a new port and add a new printer e certifique-se de que a opção Local Port esteja selecionada, clique em Next.
Dê um nome a porta a ser criada e clique em OK.
Aqui você tem a opção de selecionar um driver já presente ou instalar um novo driver, nesse caso iremos instalar um novo driver, clique Next.
Aqui você pode selecionar um driver que esteja presente na máquina que está usando para fazer a gestão remota do Windows Core, caso esse driver seja compatível com a impressora a ser instalada, ou selecionar um driver diferente clicando em Have Disk…, como o driver a ser usado está presente no Windows Server, será esse que será usado nesse caso, selecione o fabricante e o driver correto e clique em Next.
Agora é preciso definir o nome da impressora e o nome da sua partilha na rede, e outras informações que sejam relevantes, caso deseje, depois de colocar esses dados clique em Next.
Depois de confirmar que está tudo correto clique em Next novamente.
O processo de instalação será iniciado, depois de completo clique em Finish.
Agora já temos uma impressora disponível para os clientes na rede IntNetCore.
Instalar Web Services
Agora será preciso instalar alguns serviços diferentes, como web server, ftp, entre outros, para isso, faça como foi feito anteriormente, Manage, Add Roles and Features, Next, Next, selecione o Windows Core e Next novamente.
Agora será necessário selecionar os serviços a serem instalados, selecione Active Directory Certificate Services, expanda Web Server (IIS) e selecione FTP Server, depois expanda Management Tools e selecione Management Server (clique em Add Features na janela que irá abrir), depois expanda Web Server -> Security e selecione Windows Authentication e URL Authorization, clique em Next e depois Next novamente, finalmente clique em Install para instalar esses serviços no Windows Core.
Agora precisamos instalar algumas coisas no Windows Server, Add Roles and Features novamente, mas dessa vez selecionando o Windows Server na lista, e quando chegar em Server Roles, selecione Active Directory Certificate Services e clique em Add Features na janela que irá abrir, depois clique em Next três vezes, certifiquese de que Certification Authority e Certificate Authority Web Enrollment estejam celecionados, clique em Next e Install.
Com a instalação completa no Windows Server, agora precisamos configurar o serviço recém instalado, para isso clique no ícone da bandeira com o triângulo amarelo, e clique em Configure Active Directory Certificate Services…, clique em Next e selecione Certification Authority, depois Next quatro vezes, até chegar em Cryptography for CA, aqui você pode especificar o algoritmo utilizado na criação da chave do certificado, assim como o comprimento dessa chave em bits, depois que confirmar que está tudo de acordo clique em Next novamente, aqui é possível especificar algumas informações sobre a autoridade de certificação que será criada nesse servidor, pode deixar como está ou alterar caso seja necessário, depois clique em Next, aqui é possível escolher o período de validade do certificado, por definição esse período é de 5 anos, mas pode ser alterado, clique em Next duas vezes, depois clique em Configure, quando o processo terminar, clique em Close.
Já temos o serviço de criação de certificados configurado, agora podemos abrir o Internet Information Services (IIS) Manager e ver o nosso novo certificado e criar outros certificados para outras finalidades. Para ver o certificado que acabou de ser criado clique duas vezes em Server Certificates.
Aqui podemos ver o certificado recém criado.
Agora iremos adicionar o Windows Core ao IIS Manager, mas para isso é preciso primeiro fazer algumas configurações, nomeadamente configurar o serviço de gestão remota para iniciar automaticamente e alterar uma entrada no registro do Windows para permitir a gestão remota, começando pela configuração do serviço, em Server Manager, vá em All Servers, o Windows Core estará na lista dos servidores, do lado direito, clique com o botão direito sobre ele e depois em Computer Management, após alguns instantes uma mensagem de erro irá aparecer, a ignore e clique em OK, depois disso a janela do Computer Management irá abrir, do lado esquerdo, expanda Services and Applications e clique em Services, essa é a lista dos serviços disponíveis no Windows Core.
Agora é preciso configurar o serviço Web Management Service para ser iniciado automaticamente, para isso o encontre na lista, clique com o botão direito sobre ele e depois em Properties, em Startup type selecione Automatic, se quiser pode clicar em Start para o iniciar agora, ou pode o iniciar depois, clicando no símbolo de play verde na parte de cima da janela, depois clique em OK para fechar a janela.
O serviço de gestão remota do IIS já está ativo, mas ainda não temos como nos conectar a ele, agora é preciso ativar a gestão remota, alterando uma entrada no registro do Windows Core, para isso abra o Registry Editor no Windows Server, pode ser através do Server Manager ou diretamente pelo menu iniciar.
Com o Registry Editor aberto, clique em File, Connect Network Registry, uma janela para selecionar o computador irá aparecer, coloque o nome do Windows Core e clique em Check Names, se o Windows Core for encontrado com sucesso, o nome dele deve aparecer em letras maiúsculas e sublinhado, clique em OK.
Agora já temos acesso ao registro do Windows Core, navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WebManagement\Server e altere o valor de EnableRemoteManagement de 0 para 1, depois será necessário reiniciar o Windows Core, no Server Manager, em All Servers, clique com o botão direito sobre o Windows Core e clique em Restart Server, clique em OK na notificação que irá aparecer, após o Windows Core reiniciar teremos acesso ao IIS dele através do IIS Manager no Windows Server.
Agora que temos a gestão remota do IIS configurada podemos o adicionar ao IIS Manager, abra-o, pelo menu iniciar ou pelo Server Manager, tanto faz, depois clique em File, Connect do a Server, na janela que irá abrir, coloque o nome do Windows Core e clique em Next, depois coloque as credenciais de uma conta de administrador e clique em Next, se for a primeira vez que estiver se conectando a esse servidor, uma um alerta sobre o certificado do servidor remoto irá aparecer, clique em Connect, Se quiser dar um nome diferente para essa conexão pode o fazer aqui, clique em Finish.
E com isso já temos acesso remoto ao IIS no Windows Core.
Configurar acesso remoto ao Firewall
Para isso precisamos primeiro adicionar uma regra ao Firewall para permitir a gestão remota, abra o PowerShell no Windows Core, isso é possível de ser feito de várias maneiras, diretamente na máquina, por acesso remoto, ou pelo Server Manager, a terceira opção é mais prática, para isso é só ir em All Servers, clicar com o botão direito sobre o Windows Core e depois em Windows PowerShell.
Execute o seguinte comando na janela do PowerShell:
netsh advfirewall firewall set rule group="Windows Defender Firewall remote management" new enable=yes
Com isso a gestão remota do Firewall está ativa.
Com isso já temos acesso remoto ao Firewall.
Agora é preciso acessar a interface gráfica dele, para isso é preciso abrir o Microsoft Management Console, ou MMC, para isso aperte Ctrl+R no teclado para abrir a janela do Run, escreva mmc e aperte Enter, na janela do MMC clique em File, Add/Remove Snap-in, na lista do lado esquerdo selecione Windows Defender e clique em Add, na janela que irá abrir, selecione Another computer e coloque o nome do Windows Core e clique em Finish, depois clique em OK.
Com isso já temos acesso à interface gráfica do Firewall.
Configurar FTP
Agora iremos configurar o FTP, para que os users tenham acesso às suas home folders, para isso é preciso primeiro abrir as portas necessárias no Firewall, para isso, em Inbound Rules, clique em New Rule, no painel do lado direito, no Wizard selecione Predefined, e da lista selecione FTP Server e clique em Next, selecione todas as regras pré-definidas, e clique em Next, certifique-se de que a opção Allow the connection está selecionada e clique em Finish.
Com isso já temos a regra que irá permitir a conexão ao servidor FTP.
Agora iremos configurar o próprio servidor FTP, para isso, no IIS Manager, clique com o botão direito sobre o Windows Core e depois em Add FTP Site, agora dê um nome para esse site e em Physical path coloque C:\inetpub\ftproot e clique em Next, certifique-se de que a opção Require SSL está selecionada, e em SSL Certificate selecione o certificado que foi criado anteriormente, depois clique em Next, em Authentication selecione Basic, e em Authorization selecione All users em Allow access to, em Permissions selecione Read e Write, clique em Finish.
Já temos as configurações básicas feitas, agora é preciso realizar alguns passos fora do IIS Manager para que seja possível configurar o acesso isolado às home folders, para que os users tenham acesso apenas às duas pastas e de mais ninguém, para isso abra o PowerShell do Windows Core e use o seguinte comando:
cmd /c mklink /d C:\inetpub\ftproot\rotoliP \\phr\homefolders$
Altere as partes em negrito de acordo com a sua configuração.
Para que o isolamento dos users funcione, é preciso que as home folders estejam dentro de uma pasta com o nome do domínio, e que essa pasta esteja dentro do Physical path que foi definido anteriormente, o que esse comando faz é criar dentro da pasta configurada em Physical path um atalho, que irá apontar para o caminho de rede das home folders dos users, com o nome do domínio.
Agora de volta ao IIS Manager, selecione o site ftp que acabamos de criar e abra FTP Authentication, clique com o botão direito em Basic Authentication e depois em Edit, em Default domain coloque o domínio em que o servidor se encontra e clique em OK, depois volte para a página anterior e abra FTP User Isolation e selecione User name physical directory (enable global virtual directories), clique em Apply.
E com isso já podemos acessar as home folders por FTP.
Criar websites
Agora iremos criar alguns websites no Windows Core, vamos começar por criar as entradas no servidor DNS para esses sites.
Abra o DNS Manager clique com o botão direito em Forward Lookup Zones no Windows Server (essas entradas serão replicadas automaticamente no Windows Core) e depois em New Zone, clique Next três vezes no Wizard, até chegar em Zone Name, coloque o nome que deseja que o domínio tenha, nesse caso será covid.local, clique em Next mais duas vezes e depois em Finish, repita esses mesmos passos para as outras zonas, tlsssl.local e gruporh.local.
Depois disso iremos criar um novo registro A, identificado como host aqui, mas que irá servir como subdomínio, para isso selecione uma das zonas criadas anteriormente e clique com o botão direito em cima dela, no painel da esquerda, ou dentro da lista de entradas, do lado direito, e selecione New Host (A or AAAA), em Name coloque www, no campo de baixo, Fully qualified domain name (FQDN), você pode ver como ficará o endereço completo dessa entrada, e em IP address coloque o endereço da interface do Windows Core que está na rede IntNetCore, depois clique em Add Host, repita os mesmos passos para os outros domínios.
Agora iremos adicionar os websites no IIS Manager, depois que estiverem todos criados, iremos criar os certificados.
Antes de criar os websites é necessário criar as pastas onde os aquivos dos websites ficarão armazenados, nesse caso eles ficarão dentro da pasta C:\inetpub, com cada domínio tendo a sua própria pasta, e dentro dela pastas específicas para diferentes subdomínios, irá ficar algo similar a C:\inetpub\covid.local\www, com o nome diferente para cada website, depois de ter as pastas criadas podemos partir para a criação dos websites no IIS Manager, para isso clique com o botão direito em Sites e depois em Add Website, na janela que irá abrir preencha as informações de acordo com o site a ser criado, o primeiro site terá o Site name como www.covid.local e o Physical path será o diretório equivalente que foi acabado de ser criado, Type fica como http e em Port coloque 25252 e Host name coloque www.covid.local, quando terminar clique em OK.
Faça o mesmo para os outros sites, mudando apenas as informações relevantes, como selecionar https em vez de http, e nos sites que usem SSL, selecione um certificado qualquer por enquanto, iremos criar os certificados adequados mais tarde.
Já adicionamos os websites, entretanto eles ainda não estão acessíveis, é preciso primeiro abrir as portas necessárias no Firewall.
Abra o Firewall da mesma maneira que foi feita anteriormente, e em Inbound Rules clique em New Rule, dessa vez selecione Port e clique em Next, o protocolo pode ficar como TCP, selecione Specific local ports e coloque a porta a ser aberta, também é possível colocar todas de uma vez para que fiquem em apenas uma regra, ou então crie regras individuais para cada porta, fica ao gosto do freguês, depois disso clique em Next, selecione Allow the connection e clique em Next, selecione as três opções, Domain, Private e Public e clique em Next, dê um nome para a regra, e se quiser, uma descrição, e clique em Finish, após três todas as portas necessárias para os sites abertas já poderá os acessar, entretanto como ainda não existe nenhum conteúdo para ser mostrado, iremos apenas receber um erro 403.
Criar certificados
Para criar os certificados, dessa vez selecione o Windows Server no IIS Manager e abra Server Certificates, selecione o certificado CA, clique com o botão direito em cima dele e depois em Create Domain Certificate, em Common name coloque o endereço completo do site (sem http e coisas do gênero, coloque por exemplo: www.tlsssl.local) e preencha o resto das informações e clique em Next, em Online Certification Authority clique em Select, selecione o Windows Server como autoridade certificadora e clique em OK, em Friendly name coloque um nome descritivo para facilitar a identificação do certificado e clique em Finish.
Depois, na lista dos certificados que foram emitidos, selecione o que foi acabado de criar e clique com o botão direito sobre ele, depois clique em Export, em Export to selecione um local de fácil acesso através do Windows Core, como uma pasta partilhada apenas para os certificados, e que tenha sido mapeada no Windows Core, também coloque uma senha e depois clique em OK.
Repita os passos para todos os certificados necessários.
Depois que tiver terminado de criar e exportar os certificados, abra uma janela do PowerShell no Windows Core e navegue até a partilha de rede onde estão os certificados e use o seguinte comando para os importar no Windows Core:
certutil -importPFX www.gruporh.local.pfx
E quando for pedida a senha, coloque a senha que definou quando exportou o certificado, repita esses passos para todos os certificados que queira importar.
Depois de importar os certificados já pode os gerir remotamente através do Windows Server utilizando o Microsoft Management Console (MMC), como fizemos para acessar o Firewall, dessa vez, em vez de adicionar o Snap-in do Windows Defender Firewall, adicione o que se chama Certificates, depois selecione Computer account e clique em Next, selecione Another computer e coloque o nome do Windows Core, clique em Finish para terminar.
Se expandir a pasta Personal vai ver que dentro dela tem uma pasta chamada Certificates, lá vai encontrar os certificados que acabamos de adicionar, e mais alguns, como esses certificados que adicionamos serão utilizados nos websites, selecione-os e os arraste para a pasta Web Hosting, que é a última.
Agora esses certificados já estão disponíveis para serem utilizados nos websites do IIS no Windows Core.
Agora já podemos voltar para o IIS Manager e selecionar os certificados corretos.
Selecione o site que deseja alterar o certificado, clique com o botão direito e depois em Edit Bindings, selecione a entrada relevante, caso tenha mais do que uma, e clique em Edit, em SSL certificate selecione o certificado relevante e clique em OK, faça isso para todos os sites que precisem de certificado.
Agora os sites já tem certificados SSL, mas ainda não tem conteúdo, coloque alguma coisa lá para não ficarem muito vazios e vamos experimentar para ver como está.
O site www.covid.local não se conecta por https, por isso não tem um certificado, o site www.tlsssl.local usa um certificado, como podemos ver pelo cadeado na barra de endereço, a mesma coisa para o www.gruporh.local.
Entretanto, por algum motivo, os navegadores não estão aceitando automaticamente os certificados, já que não reconhecem a Certification Authority, apesar de o certificado da CA ter sido transferido automaticamente para todos os computadores do domínio.
Agora vamos tratar da autenticação para que apenas os users do RH tenham acesso à página www.gruporh.local.
No IIS Manager, selecione o site www.gruporh.local e abra Authorization Rules, clique com o botão direito na regra que está lá e clique em Edit, selecione a opção Specified roles or user groups e coloque os nomes dos grupos que poderão ter acesso à essa página, nesse caso serão os grupos RHGeral e Administrators, clique em OK.
Agora, se tentar acessar essa página será pedido para fornecer credenciais, e apenas os users desses dois grupos é que poderão acessar essa página.
Restringir o login apenas a users do Sul e Admins
Agora iremos restringir o acesso às máquinas que estão na rede IntNetCore apenas a admins e users do Sul.
Para isso é preciso primeiro identificar quais máquinas é que estão nessa rede, podemos fazer isso criando uma nova Organizational Unit (OU) que irá conter todos esses computadores, depois é só arrastar os computadores em questão para essa OU.
Depois disso é preciso criar uma GPO que irá limitar o login a apenas determinados grupos, nesse caso serão os grupos do Sul, mais os administradores, para isso é só criar uma nova GPO.
Depois de criada entre no modo de edição e navegue até Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies ->User Rights Assignment, lá dentro abra a política Allow log on locally, selecione Define these policy settings e depois clique em Add User or Group, depois clique em Browse, agora é preciso encontrar os grupos relevantes, nesse caso são os grupos Administrators, FormacaoSul, ITSul e RHSul, depois de encontrar os grupos corretos clique em OK e OK novamente, como podemos ver, os quatro grupos definidos com sucesso, depois clique em OK e feche o editor da GPO.
Agora é só aplicar essa GPO à OU que foi criada para os computadores em questão e para agilizar o processo, fazer login com uma conta de administrador nas máquinas em questão e forçar a atualização das GPOs, depois disso, se tentar fazer login com uma conta que não seja do Sul ou um administrador, não irão conseguir.
