Configurando o Servidor Windows para Serviços de Diretório

Este artigo explica como configurar as configurações e permissões em um servidor Windows para permitir que os Pops na Cato Cloud se integrem com o Controlador de Domínio do Active Directory.

Nota

Notas:

  • As capturas de tela e procedimentos neste artigo são baseados no Windows Server 2016. Os detalhes podem ser diferentes para outras versões.

  • Se precisar de mais informações sobre o endereço IP da Cato para o serviço LDAP, consulte Resolvendo Problemas com a Sincronização de LDAP (é necessário estar logado na Base de Conhecimento Cato para ver este artigo).

Criando um Novo Usuário de Domínio para Serviços de Diretório

Crie um usuário de domínio dedicado para a integração entre sua conta Cato e o domínio AD.

Estes são os requisitos de senha do AD para este usuário:

  • Senha nunca expira

  • Desativar a configuração que força o usuário a alterar a senha no login inicial

Para criar um usuário para Serviços de Diretório:

  1. Crie um novo usuário de domínio (este usuário é utilizado apenas para os Serviços de Diretório Cato).

  2. Na aba Membros, certifique-se de que o usuário é membro do grupo Usuários de Domínio.

  3. Adicione o usuário aos seguintes grupos:

    • Usuários COM distribuídos

    • Leitores de Log de Eventos

      Pré-requisitos_para_ativar_consciência_do_Usuário_01.png

  4. Clique em OK para criar o usuário.

Configurando as Configurações de DCOM

Configure estas configurações de Distributed COM (DCOM) no servidor Windows para permitir que os Pops na Cato Cloud se comuniquem remotamente com o domínio. Estas são as configurações de DCOM que você precisa configurar:

  • Serviços Windows

  • Propriedades e protocolos DCOM

  • Permissões de segurança COM

Configurando os Serviços Windows

Inicie os serviços Windows do Servidor, Registro Remoto e Adaptador de Desempenho WMI e configure-os para iniciar automaticamente com o servidor Windows.

Nota

Nota: O serviço Adaptador de Desempenho WMI é chamado de WMI em outras versões do servidor Windows.

Para habilitar os serviços Windows:

  1. No menu Executar, digite services.msc e clique em OK.

  2. Na janela Serviços, verifique se os serviços Servidor, Registro Remoto, Adaptador de Desempenho WMI estão iniciados e configurados para início automático.

    1. Para alterar uma propriedade do serviço, clique com o botão direito no nome do serviço e em seguida clique em Propriedades.

    2. Para Tipo de Início, selecione Automático.

    3. Se o status do serviço não estiver iniciado, clique em Iniciar.

  3. Clique em OK e feche a janela Serviços.

Configurando as Propriedades e Protocolos de Comunicação DCOM

As propriedades DCOM definem a Autenticação e o Nível de Impersonação para o servidor. Configure o Nível de Autenticação do servidor para Connect, o que significa que a chave de sessão é usada apenas para o handshake de autenticação.

Defina o Nível de Impersonação para Identify, para permitir que os Pops acessem apenas os dados de usuário que são relevantes para os Serviços de Diretório Cato.

A Sequência de Protocolo DCOM para o servidor define como o servidor se comunica pela rede. Os Serviços de Diretório usam o protocolo TCP/IP orientado a conexão.

Para configurar DCOM para Serviços de Diretório:

  1. No menu Executar digite dcomcnfg e clique em OK. A janela Serviços de Componentes será aberta.

  2. Em Serviços de Componentes > Computadores > Meu Computador, clique com o botão direito em Meu Computador e selecione Propriedades. A janela Propriedades do Meu Computador será aberta.

    Windows_DCOM.png

  3. Configure as propriedades de comunicação DCOM para o servidor Windows:

    1. Na janela Propriedades do Meu Computador, selecione a aba Propriedades Padrão.

    2. Selecione Ativar DCOM distribuído neste computador.

    3. Em Nível de Autenticação Padrão, selecione Connect.

    4. De Nível de Personificação Padrão, selecione Identificar.

  4. Certifique-se de que os Protocolos DCOM incluam TCP/IP orientado a conexão.

    Windows_DCOM_Protocols.png

    1. Clique na aba Protocolos Padrão. Se o Protocolos DCOM incluir TCP/IP orientado a conexão, continue com o passo 6 abaixo.

    2. Clique em Adicionar. A janela Selecionar protocolo DCOM abre.

    3. De Sequência de Protocolos, selecione TCP/IP orientado a conexão.

    4. Clique em OK para fechar a janela Selecionar protocolo DCOM.

  5. Clique em OK.

  6. Uma mensagem notifica sobre a alteração das configurações gerais de Máquina DCOM. Clique em Sim para continuar.

Configurando as Permissões de Segurança COM

Na janela Serviços de Componentes (dcomcnfg), configure as Permissões de Acesso de Segurança COM e Permissões de Lançamento e Atividade para dar acesso padrão aos PoPs a:

  • Usuários COM Distribuídos

  • Leitores de Log de Eventos

Para configurar as permissões de segurança COM para os Serviços de Diretório:

  1. Se necessário, abra a janela de Propriedades do Meu Computador, de Serviços de Componentes > Computadores > Meu Computador, clique com o botão direito no Meu Computador e selecione Propriedades.

  2. Clique na aba Segurança COM.

    Windows_COM_Security.png

  3. Configure as permissões de acesso padrão para os usuários COM distribuídos e os leitores de log de eventos:

    1. Em Permissões de Acesso, clique em Editar Padrão.

    2. Em Nomes de grupo ou de usuário, adicione e configure Usuários COM Distribuídos com as seguintes permissões:

      • Acesso Local - Permitir

      • Acesso Remoto - Permitir

    3. Repita os dois passos anteriores para o grupo de Leitores de Log de Eventos.

    4. Clique em OK.

  4. Configure as permissões de lançamento para os usuários COM distribuídos e os leitores de log de eventos:

    1. Em Permissões de Lançamento e Ativação, clique em Editar Padrão.

    2. Em Nomes de grupo ou de usuário, adicione e configure Usuários COM Distribuídos com as seguintes permissões:

      • Lançamento Remoto - Permitir

      • Ativação Remota - Permitir

    3. Repita os dois passos anteriores para o grupo de Leitores de Log de Eventos.

    4. Clique em OK.

  5. Clique em OK e feche a janela Propriedades do Meu Computador e a janela Serviços de Componentes. As permissões de segurança COM estão configuradas.

Configurando o WMI do Windows Server

Esta seção discute como configurar as permissões WMI para permitir que a Consciência do Usuário da Cato envie consultas WMI dos PoPs para o servidor Windows.

Configurando WMI para Conectar com o Aplicativo de Gerenciamento Cato

Para conectar-se a um computador remoto usando WMI, certifique-se de que as configurações corretas de DCOM e configurações de segurança de namespace WMI estejam habilitadas para a conexão.

Para mais detalhes sobre como configurar as configurações WMI para permitir conexões do Aplicativo de Gerenciamento Cato, consulte a documentação da Microsoft.

Configurando o Acesso de Usuário WMI

O usuário ou grupo que você configurou para acesso DCOM deve também ter permissão WMI para acessar os logs de eventos do Windows que oferecem à Cato acesso aos eventos de login para os usuários AD. Configure WMI para permitir acesso remoto para Usuários COM Distribuídos e Leitores de Log de Eventos.

Para configurar as configurações de acesso de usuário WMI:

  1. No menu Executar, insira wmimgmt.msc e clique em OK. A janela Instrumentação de Gerenciamento do Windows abre.

  2. Clique com o botão direito em Controle WMI (Local) e selecione Propriedades. A janela Propriedades do Controle WMI (Local) é aberta.

  3. Selecione a aba Segurança. A árvore de menu Namespace é exibida.

  4. Expanda o ramo Root e clique em CIMV2.

    Windows_WMI_Security.png

  5. Clique em Segurança abaixo da árvore de menu. A janela Segurança para ROOT\CIMV2 é aberta.

  6. Configurar as permissões de lançamento para os usuários COM distribuídos e os leitores de logs de eventos

    1. Em Nomes de grupos ou usuários, adicione e configure Usuários COM Distribuídos com as seguintes permissões:

      • Ativar Conta - Permitir

      • Ativar Remoto - Permitir

    2. Repita o passo anterior para Leitores de Logs de Eventos.

  7. Configure as configurações avançadas para os usuários COM distribuídos:

    1. Selecione Usuários COM Distribuídos e clique em Avançado. A janela Configurações de Segurança Avançadas para CIMV2 é aberta.

    2. Na coluna Principal, selecione Usuários COM Distribuídos e clique em Editar. A janela Entrada de Permissão para CIMV2 é aberta.

    3. No menu suspenso Aplica-se a, selecione Este namespace e subnamespaces.

      Windows_COMusers_Advanced.png

  8. Clique em OK. Feche a janela Configurações de Segurança Avançadas para CIMV2.

  9. Configure as configurações avançadas para os leitores de logs de eventos:

    1. Selecione Leitores de Logs de Eventos e clique em Avançado.

      Windows_EventLog_Advanced.png

      A janela Configurações de Segurança Avançadas para CIMV2 é aberta.

    2. Na coluna Principal, selecione Leitores de Logs de Eventos e clique em Editar. A janela Entrada de Permissão para CIMV2 é aberta.

    3. No menu suspenso Aplica-se a, selecione Este namespace e subnamespaces.

  10. Clique em OK para fechar a janela Configurações de Segurança Avançadas para CIMV2.

  11. Clique em OK para fechar as janelas Segurança para ROOT\CIMV2 e Propriedades do Controle WMI (Local).

    As configurações de acesso de usuário WMI estão configuradas.

Configurando o Registro do Controlador WMI

Edite o registro do Windows para dar permissões de leitura aos usuários COM distribuídos e aos leitores de logs de eventos.

Para configurar as permissões do registro para o controlador WMI:

  1. Execute Regedit.

  2. Navegue para

    HKEY_LOCAL_MACHINE\SYSTEM\

    CurrentControlSet\

    Serviços\Eventlog\Segurança

  3. Clique com o botão direito na pasta Segurança e selecione Permissões.

  4. Adicione e configure esses grupos com permissões de Ler:

    • Usuários COM Distribuídos

    • Leitores de Logs de Eventos

  5. Clique em OK.

Configurando um Controlador WMI com um Túnel IPsec

Uma vez que a conexão com o DC usa um IP de origem no intervalo do sistema Cato, se você estiver usando um túnel IPsec para conectar-se ao Cato Socket, deve configurar a Fase 2 para o intervalo do sistema Cato: 10.254.254.12.

Para contas que usam um intervalo de sistema personalizado em vez do padrão, use o intervalo personalizado para calcular o endereço IP fixo com base na sincronização de Consciência do Usuário. O endereço IP fixo é o 9º no intervalo personalizado. Por exemplo, se o intervalo customizado reservado é 10.10.10.0/16, então o endereço IP fixo é 10.10.10.9.

Para contas que usam um intervalo de IP menor, ainda usam o 9º no intervalo customizado. Por exemplo, se o intervalo customizado reservado é 10.200.200.64/28, então o endereço IP fixo é 10.200.200.73 (10.200.200.64 + x.x.x.9).

Configurando o Firewall do Windows para Permitir DCOM

Configurar o firewall do Windows ou de terceiros para permitir acesso ao endereço IP fixo para o intervalo do sistema (ou para um intervalo customizado). Para mais sobre intervalos de sistema e customizados, veja acima Configurando um Controlador WMI com um Túnel IPsec.

  • Se você estiver usando um firewall do Windows, deve adicionar uma exceção que permita comunicações DCOM

  • Se você estiver usando um firewall de terceiros entre o Windows Server e a Rede Cato, adicione a mesma exceção a ele

Para configurar o firewall do Windows para permitir comunicações DCOM:

  1. Abra o menu Executar.

  2. Digite wf.msc e clique em OK.

  3. Selecione Regras de Entrada.

  4. No menu Ação, selecione Nova Regra. O assistente Nova Regra de Entrada é aberto.

    Windows_FW_NovaRegra.png

  5. Selecione Personalizado e clique em Próximo. A janela Programa é aberta.

  6. Selecione Todos, e clique em Próximo. A janela Protocolo e Portas é aberta.

  7. Para Tipo de Protocolo, selecione TCP e clique em Próximo. A janela Escopo é aberta.

  8. Para Para quais endereços IP remotos esta regra se aplica, selecione a opção Esses endereços IP.

  9. Clique em Adicionar. Em Este endereço IP ou sub-rede, insira o endereço IP fixo para o intervalo do sistema: 10.254.254.12.

    • Se você estiver usando um intervalo customizado, veja insira o endereço IP fixo para o seu intervalo.

  10. Clique em OK e depois clique em Próximo. A janela Ação é aberta.

  11. Selecione Permitir a conexão e clique em Próximo. A janela Perfil é aberta.

  12. Selecione um ou mais perfis de rede aos quais a regra se aplica e clique em Próximo. A janela Nome é aberta.

  13. Insira o Nome para a regra de firewall, e depois clique em Concluir.

Esse artigo foi útil?

Usuários que acharam isso útil: 3 de 3

0 comentário