Mês: maio 2014

Relay (Roteamento) Google Apps para Office 365 com novo domínio

Neste post vou ensinar a usar o Google Apps como RELAY para Office365 ou outro servidor de e-mail utilizando um novo domínio, isso ajuda e muito em migrações do Google para o Office365.

Utilizei este procedimento para migrar do Google Apps o domínio mz-ir.com para attitude-global.com e mzgroup.com no Office365.

Para maiores informações consulte
https://support.google.com/a/answer/173534?hl=pt-BR

Vamos lá, utilizaremos o seguinte:

Domínio no Google Apps: charlessantana.com.br
Domínio no Office365: charlessantana.com

Você deve ser administrador do Google Apps para fazer estas configurações:

Acesso ao admin do Google Apps

Vamos ao cenário:

Migração do Google Apps para Office365 com domínio diferentes.
Depois de migrar a caixa postal do usuário para o Office365 (Não vamos abordar como fazer a migração, poderá utilizar a ferramenta MigrationWiz ou por IMAP), no Google Apps o usuário utilizava o domínio charlessantana.com.br e no Office365 o domínio charlessantana.com, mas você não terminou de migrar todas as caixas postais para o Office365 e por este motivo não adicionou o domínio charlessantana.com.br no Office365, mas seus novos usuário já estão utilizando o domínio charlessantana.com e os usuário migrados também, e você precisa garantir que todos os e-mail enviados para o domínio antigo que neste caso é charlessantana.com.br sejam entregues no novo domínio charlessantana.com para os usuários antigos do Google Apps.

Exemplo o usuário charles.santana@charlessantana.com.br quando este usuário receber um e-mail (O MX ainda está apontando para o Google Apps) o Google tem que redirecionar para o Office365.

Vamos as configurações

No painel do Google Apps acesse:

Google Apps

image

Gmail

image

Configurações avançadas

image

Roteamento de e-mail e clique em “adicionar outro destino”

image

Adicione o domínio do Office365 neste exemplo charlessantana.com, feito isso o Google Apps irá direcionar os e-mail para o MX do domínio informando, neste exemplo o MX do domínio charlessantana.com está sendo apontando para o Office365.

 

image

Habilite: “Alterar envelope SMTP”

Deixe habilitado a opção “Somente contas desconhecidas da caixa de correio”

Clique em “Salvar alterações”

image

Pronto, agora todos os e-mails enviados para o domínio charlessantana.com.br quando não houver um caixa postal criada serão direcionados para o Office365.

As configurações do sistema do Google pode levar até 1 hora para serem feitas.

Vamos ao teste, vamos enviar um e-mail de charles.santana@live.com para charles.santana@charlessantana.com.br este e-mail tem que ser roteado para o Office365 e ser entregue na caixa posta charles.santana@charlessantana.com

Vamos ver se os servidores do Google fizeram o ROTEAMENTO

Como podemos ver na imagem abaixo o e-mail enviado de charles.santana@live.com para charles.santana@charlessantana.com.br foi roteado corretamente para charles.santana@charlessantana.com que está no Office365.

image

Veja o cabeçalho

==================================================================

Received: from GRUPR80MB265.lamprd80.prod.outlook.com (25.160.1.25) by
CP1PR80MB261.lamprd80.prod.outlook.com (10.242.254.139) with Microsoft SMTP
Server (TLS) id 15.0.944.11 via Mailbox Transport; Sat, 31 May 2014 18:24:24
+0000
Received: from BLUPR80CA001.lamprd80.prod.outlook.com (10.255.252.11) by
GRUPR80MB265.lamprd80.prod.outlook.com (25.160.1.25) with Microsoft SMTP
Server (TLS) id 15.0.949.11; Sat, 31 May 2014 18:24:20 +0000
Received: from BN1BFFO11FD038.protection.gbl (2a01:111:f400:7c10::1:115) by
BLUPR80CA001.outlook.office365.com (2a01:111:e400:82b::11) with Microsoft
SMTP Server (TLS) id 15.0.954.9 via Frontend Transport; Sat, 31 May 2014
18:24:18 +0000
Received: from mail-pa0-f48.google.com (209.85.220.48) by
BN1BFFO11FD038.mail.protection.outlook.com (10.58.144.101) with Microsoft
SMTP Server (TLS) id 15.0.949.9 via Frontend Transport; Sat, 31 May 2014
18:24:18 +0000
Received: by mail-pa0-f48.google.com with SMTP id rd3so2811439pab.35
for <charles.santana@charlessantana.com>; Sat, 31 May 2014 11:24:17 -0700 (PDT)
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20130820;
h=x-original-authentication-results:x-gm-message-state:message-id
:from:to:subject:date:mime-version:content-type:thread-index
:content-language:delivered-to;
bh=IcrxS598hmUvhyc+uOB7vg+NHIcbYogdLurbTkCygUg=;
b=m3q5FgJN2p3eWFIzAikxwg5aUDrjfVfweOXEoInyDqd8lo27J0E7JGDI8DFuXXUGjS
Op9G+Epa0Q8BHlhXifqDdETI6sNfg9vvIp/SYTB08Vs9QRkHtUHw1ijU+VXFo4bbFr8l
80kRlsJoAEvY8YNZ4fBMwIxaubv+XOOYkjZGCf1AZDlBIhXEVTFzK95zPnGIr2rueZDV
j6aQuvcj2W02W0jXNaJ79YDB2rCgjOtshU8+5j7PypYjCq+Q4Vl2DDKUUtQD9+ZKgKKJ
oinKreCVpjIu6J754vBPCO/vW26VPhgEHvM5NOpeMOeBS1mAZRpEaaVR+1nZSHviyYR5
S2hw==
X-Original-Authentication-Results: mx.google.com;       spf=pass (google.com: domain of charles.santana@live.com designates 65.55.116.77 as permitted sender) smtp.mail=charles.santana@live.com

=================================================================

Agora vejamos um e-mail envido da organização charlessantana.com.br que está no Google Apps.

Enviado de admin@charlessantana.com.br para charles.santana@charlessantana.com.br

Veja a imagem, foi entregue com sucesso nos servidores do Office365

image

Veja o cabeçalho

==================================================================

Received: from GRUPR80MB265.lamprd80.prod.outlook.com (25.160.1.25) by
CP1PR80MB261.lamprd80.prod.outlook.com (10.242.254.139) with Microsoft SMTP
Server (TLS) id 15.0.944.11 via Mailbox Transport; Sat, 31 May 2014 18:25:21
+0000
Received: from GRXPR80CA008.lamprd80.prod.outlook.com (10.242.29.146) by
GRUPR80MB265.lamprd80.prod.outlook.com (25.160.1.25) with Microsoft SMTP
Server (TLS) id 15.0.949.11; Sat, 31 May 2014 18:25:19 +0000
Received: from BN1BFFO11FD021.protection.gbl (2a01:111:f400:7c10::1:121) by
GRXPR80CA008.outlook.office365.com (2801:80:1d0:2003::18) with Microsoft SMTP
Server (TLS) id 15.0.944.11 via Frontend Transport; Sat, 31 May 2014 18:25:18
+0000
Received: from mail-we0-f170.google.com (74.125.82.170) by
BN1BFFO11FD021.mail.protection.outlook.com (10.58.144.84) with Microsoft SMTP
Server (TLS) id 15.0.949.9 via Frontend Transport; Sat, 31 May 2014 18:25:17
+0000
Received: by mail-we0-f170.google.com with SMTP id u57so3442470wes.29
for <charles.santana@charlessantana.com>; Sat, 31 May 2014 11:25:16 -0700 (PDT)
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20130820;
h=x-original-authentication-results:x-gm-message-state:mime-version
:date:message-id:subject:from:to:content-type:delivered-to;
bh=JbhbByU4wjZ43xFQR5hThKAt/6jjXysWu3ED31zyBLs=;
b=lgorF30g+N73+HW8j79o2xp6bPQiNOslQYABOLYdRjlObIIOzj47u8Vp2OHa5LANVd
H/bJoqZNlUbV7H5keAtwS/YkHQe6MRRJsvjTp30k4zePvXRGL+rDX0QdbL1k5Ezd0i1o
w9XMSA00U0oBi/YE0ia4wq3jQTq31ESBjE6UKPnRGRBJasL3XX5e3P260K3HWJCLbGZp
uGyH3+e4Pk/aDUccOY3esRCCTDKUNST0EbPbbSNBL3/fxNUNZFFvvqeuot7RGG9VwUbL
mtMvkbGJU2yTpcDp4P/DjG2DbI4XgWTZV+w18AR2rYbAUlvXUlmx5XqGb1ZJkusd/+lz
Hw6w==
X-Original-Authentication-Results: mx.google.com;       spf=neutral (google.com: admin@charlessantana.com.br does not designate permitted sender hosts) smtp.mail=admin@charlessantana.com.br

==================================================================

Seja Feliz!!!!

Migrando Controlador de domínio 2003 para 2012 R2

Neste post vamos fazer a migração de um controlador de domínio Windows Server 2003 SP2 para Windows Server 2012 R2

Neste artigo nosso servidor SRV-DC01 possui as seguintes funções IP 10.174.1.3

Domain Controller
DHCP Server
DNS Server

Vamos migrar todas as funções para o novo servidor SRV-DC02

A primeira tarefa é elevar o nível do domínio para 2003
Para maiores informações consulte http://support.microsoft.com/kb/322692/pt-br

Abra o Active Directory and. Computers

Botão direito em seu domínio, escolha “Raise Domain Functional Level…”

image

Certifique-se que não possui servidores Windows Server 2000, pois depois de alterar não tem como voltar

image

Altere para Windows Server 2003

image

E clique em “Raise”

image

Clique em OK

image

Nível elevado, agora dependendo se sua topologia temos que esperar o prazo de replicação, mas neste exemplo só temos um controlador de domínio

Veja que temos uma maquina em nosso domínio

image

Onde temos o DHCP/DNS

image

Agora vamos aumentar o nível da flores para 2003

Em “Active Directory Domain and Trusts

Botão direito em Active Directory Domains and Trusts “Raise Domain Functional Level…”

image

Aumente para 2003

image

OK

Agora vamos vamos adicionar o Windows Server 2012 R2 em nosso domínio

Servidor incluído com sucesso

image

image

image

Agora no Windows Server 2003

Insira o DVD do Windows Server 2008/2008 R2 (Isso mesmo não errei, pois no DVD do 2012 não existe adprep.exe32)

Abra a prompt de comando
Abra o DVD na pasta support/adprep
digite os seguintes comandos:

adprep32.exe /forestprep (enter)

Será exibida está mensagem

D:\support\adprep>adprep32.exe /forestprep

ADPREP WARNING:

Before running adprep, all Windows 2000 Active Directory Domain Controllers in t
he forest should be upgraded to Windows 2000 Service Pack 4 (SP4) or later.

[User Action]
If ALL your existing Windows 2000 Active Directory Domain Controllers meet this
requirement, type C and then press ENTER to continue. Otherwise, type any other
key and press ENTER to quit.

Digite “C” e enter

Após alguma tempo será exibida está mensagem

Adprep successfully updated the forest-wide information.

Vamos para o próximo comando

adprerp32.exe /domainprep (enter)
D:\support\adprep>adprep32.exe /domainprep
Running domainprep …

Adprep successfully updated the domain-wide information.

The new cross domain planning functionality for Group Policy, RSOP Planning
Mode, requires file system and Active Directory Domain Services permissions
to be updated for existing Group Policy Objects (GPOs). You can enable this
functionality at any time by running “adprep.exe /domainprep /gpprep” on the
Active Directory Domain Controller that holds the infrastructure operations
master role.
This operation will cause all GPOs located in the policies folder of the
SYSVOL to be replicated once between the AD DCs in this domain.
Microsoft recommends reading KB Q324392, particularly if you have a large
number of Group policy Objects.

Próximo comando

adprep32.exe /rodcprep (enter)

D:\support\adprep>adprep32.exe /rodcprep
Adprep connected to the domain FSMO: SRV-DC01.glbx.local.

==============================================================================
Adprep found partition DC=DomainDnsZones,DC=glbx,DC=local, and is about to updat
e the permissions.

Adprep connected to a replica DC SRV-DC01.glbx.local that holds partition DC=Dom
ainDnsZones,DC=glbx,DC=local.

The operation on partition DC=DomainDnsZones,DC=glbx,DC=local was successful.
==============================================================================

==============================================================================
Adprep found partition DC=ForestDnsZones,DC=glbx,DC=local, and is about to updat
e the permissions.

Adprep connected to a replica DC SRV-DC01.glbx.local that holds partition DC=For
estDnsZones,DC=glbx,DC=local.

The operation on partition DC=ForestDnsZones,DC=glbx,DC=local was successful.
==============================================================================

==============================================================================
Adprep found partition DC=glbx,DC=local, and is about to update the permissions.

Adprep connected to the Infrastructure FSMO: SRV-DC01.glbx.local.

The operation on partition DC=glbx,DC=local was successful.
==============================================================================

Adprep completed without errors. All partitions are updated. See the ADPrep.log
in directory C:\WINDOWS\debug\adprep\logs\20140529153047 for more information.

Próximo comando

adprep32.exe /domainprep /gpprep (enter)

D:\support\adprep>adprep32.exe /domainprep /gpprep
Running domainprep …

Domain-wide information has already been updated.
[Status/Consequence]
Adprep did not attempt to rerun this operation.

Adprep successfully updated the Group Policy Object (GPO) information.

Agora vamos adicionar o Windows Server 2012 R2 como controlador de domínio secundario

Add Role, escolha a função ADDS

image

Instalando a função

image

Função instalada, clique em “Close”

image

Agora no lado superior direito, verá um ponto em amarelo, clique nele

image

Depois clique em “Promote this server to domain controller”

Veja que nosso server já trouxe as informações preenchidas para ser um controlador de domínio secundário

image

Clique em “Next”

Será exibida uma mensagem, informando que o controlador de domínio não está executando Windows Server 2008 por este motivo este novo server não poderá ser um controlador de domínio somente leitura, neste exemplo não vem ao caso

image

Insira a senha

image

E clique em “Next”

image

Não se preocupe com esta mensagem, para maiores informações

http://blogs.technet.com/b/activedirectoryua/archive/2011/07/07/a-delegation-for-this-dns-server-cannot-be-created-because-the-authoritative-parent-zone-cannot-be-found-or-it-does-not-run-windows-dns-server.aspx

Clique em “Next”

image

Não é o nosso caso, está opção é para vários controladores que domínios espalhados por varias filiais onde existem links lentos de comunicação, para maiores informações consulte:

http://technet.microsoft.com/en-us/library/cc770654(v=ws.10).aspx

Clique em “Next”

image

Vamos deixar no padrão, clique em “Next”

image

Clique em “Next”

image

Um resumo do que será feito, interessante que podemos fazer por powershell

#
# Windows PowerShell script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$false `
-CriticalReplicationOnly:$false `
-DatabasePath “C:\Windows\NTDS” `
-DomainName “glbx.local” `
-InstallDns:$true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion:$false `
-SiteName “Default-First-Site-Name” `
-SysvolPath “C:\Windows\SYSVOL” `
-Force:$true

Clique em “Next”

Verificação do pré-requisitos

image

Agora vamos a configuração

image

Clique em install

Após a instalação o servidor é reiniciado

Já conseguimos ver em nosso SRV-DC01 W2k3 que temos um segundo controlador de domínio

image

E no 2k12 vemos também

image

Agora vamos migrar todas as funções

Na prompt do 2k3

Vamos executar os comandos:

ntdsutil

ntdsutil: roles

fsmo maintenance: connections

server connections: connect to server srv-dc02

server connections: q

fsmo maintenance: transfer schema master (YES)

image

fsmo maintenance: transfer schema master
Server “srv-dc02” knows about 5 roles
Schema – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
Domain – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
PDC – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
RID – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
Infrastructure – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-N
ame,CN=Sites,CN=Configuration,DC=glbx,DC=local

fsmo maintenance: transfer PDC (YES)

image

fsmo maintenance: transfer PDC
Server “srv-dc02” knows about 5 roles
Schema – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
Domain – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
PDC – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
RID – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
Infrastructure – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-N
ame,CN=Sites,CN=Configuration,DC=glbx,DC=local

fsmo maintenance: transfer domain naming master (YES)

image

fsmo maintenance: transfer domain naming master
Server “srv-dc02” knows about 5 roles
Schema – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
Domain – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
PDC – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
RID – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
Infrastructure – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-N
ame,CN=Sites,CN=Configuration,DC=glbx,DC=local

fsmo maintenance: transfer RID master (YES)

image

fsmo maintenance: transfer RID master
Server “srv-dc02” knows about 5 roles
Schema – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
Domain – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
PDC – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
RID – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
Infrastructure – CN=NTDS Settings,CN=SRV-DC01,CN=Servers,CN=Default-First-Site-N
ame,CN=Sites,CN=Configuration,DC=glbx,DC=local

fsmo maintenance: transfer infrastructure master (YES)

image

fsmo maintenance: transfer infrastructure master
Server “srv-dc02” knows about 5 roles
Schema – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
Domain – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=S
ites,CN=Configuration,DC=glbx,DC=local
PDC – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
RID – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=glbx,DC=local
Infrastructure – CN=NTDS Settings,CN=SRV-DC02,CN=Servers,CN=Default-First-Site-N
ame,CN=Sites,CN=Configuration,DC=glbx,DC=local

OK

Já podemos ver em Operations Master do 2k3

image

image

image

Reinicie o Windows Server 2003 SRV-DC01 e reinicie o Windows Server 2012 R2 SRV-DC02

Agora para ver se tudo está ok, vamos executar um DCPROMO no SRV-DC01 para remover a função de controlador de domínio do Windows Server 2003 SRV-DC01, após feito isso reinicie o servidor.

Agora acesse um maquina com seu usuário e senha do domínio

Pronto veja nosso novo controlador de domínio

image

Lembrando que ainda o SRV-DC01 é DNS e DHCP SERVER, removeremos e migraremos isso em outro post.

Seja Feliz!!!

Autenticação FSSO AGENT Fortinet

Vamos neste post como instalar e configurar FSSO AGENT do Fortinet.

Veja o desenho abaixo

image

Primeiro passo fazer download do FSSO AGENT pelo site da http://support.fortinet.com ou diretamente neste link http://migre.me/jr1kJ

Segundo passo a instalação em um servidor com Active Directory (AD)
Vamos a instalação

Duplo clique no instalador

image

Next

image

Aceite os termos e clique em NEXT

image

Local de instalação, next

image

Usuário e senha do administrador do domínio

image

Deixe a tela de opção do jeito que está

image

Clique em Install

image

A instalação

image

Instalado com sucesso, vamos a configuração, habilite “Lanch DC Agente Install Wizard” depois Finish

image

Collector Agent IP address: IP do Servidor

Collector Agent listening port: 8002

Next

image

Selecione o domínio a ser monitorado e clique em Next

image

Nesta tela vamos escolher as configurações padrões
Para maiores informações veja http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/FSAE.036.11.html

Clique em Next

image

Pronto, agente instalado clique em “Finish”

Vamos configurar o Agent

Acesse no menu iniciar, Fortinet, Fortinet Sing On Agent, Configure Fortinet Single On Agent

image

A primeira alteração a ser feita é a autenticação do agente com o fortinet, vamos configurar uma senha neste exemplo “123@mudar

image

Depois vamos ver as opções, “Select Domains To Monitor”

image

Habilite seu domínio, neste exemplo “GLBX\glbx.local” clique em OK

image

O Agente está fazendo as configurações

image

Agora clique em “Set Group Filters”

image

Clique em “Add…”

image

Clique em “Advanced”
image

Escolha os grupos a serem monitorados, neste exemplo ACCESS_FULL_INTERNET e ACCESS_RESTRICT_INTERNET, clique em Add

image

Marque a opção “Default filter” e clique em OK

image

Aqui você verá os grupos monitorados, clique em OK

image

Agente sendo configurado

Agora vamos salvar

image

Clique em “Salve&Close”

image

Agente sendo configurado e salvo

image

Um detalhe muito importante as portas 8000 e 8002 devem estar liberados no firewall do servidor para comunicação em o firewall e o servidor.

Pronto nosso agente está instalado e configurado, agora vamos configura-lo em nosso firewall.

No Firewall clique em User & Device, Authentication, Single Sign-On, Create New

 

image

Type: Fortinet Single-Sign-On Agent
Name: SRV-DC01
Primary Agent IP/name: IP de nosso servidor 10.174.1.3
Password: lembra que configuramos a senha no agent no servidor, neste exemplo “123@mudar
Neste exemplo vamos usar somente um Agent FSSO, mas é recomendável pelo menos dois, caso um falha teremos outro para autenticação, mas neste exemplo iremos utiliza somente um.

image

Clique em “Apply & Refresh”

image

Agora veja que nosso agente já trouxe as informações de nossos grupos com acesso a internet, neste exemplo “ACCESS_FULL_INTERNET e ACCESS_RESTRICT_INTERNET”

Clique em ok.

image

Pronto agente configurado no Firewall

Agora vamos criar os grupos de acesso no firewall

Clique em “User & Device” User Group, Creat New

image

Name: SRV-DC01-FULL-ACCESS
Type: Fortinet Single Sign-On (FSSO)
Available Members: Veja que trouxe nosso grupos, vamos selecionar “GLBX/ACCESS_FULL_INTERNET” e clicar na seta para adicionar em Members, clique ok

image

image

Grupo criado, agora vamos criar o grupo de acesso restrito, creat new

Name: SRV-DC01-RESTRICT-ACCESS
Type: Fortinet Single Sign-On (FSSO)
Available Members selecione o grupo GLBX/ACCESS_RESTRICT_INTERNET e clique na seta para adicionar em Members, clique ok

image

image

Pronto agora temos nossos dois grupos de acesso a internet FULL e RESTRICT criados em nosso firewall

Agora vamos criar a politica de acesso

Em POLICY, Policy,Creat New

Primeira Etapa

Policy Type: Firewall
Policy Subtype: User Identity
Incoming Interface: port1 (LAN)
Source Address: Objeto criado coma range de nossa rede interna
Outgoing Interface: port3 (WAN1)
Enable NAT: Habilite

image

Agora vamos a segunda etapa, em “Configure Authentication Rules” Creat New”

Destination Address: all
Group: SRV-DC01-FULL-ACCESS (Grupo que tem acesso FULL a internet)
User: Click to ad… não utilizamos usuários específicos
Schedule: always
Service: ALL
Action: ACCEPT
Log Allowed Traffic: Deixe habilitado
Generate Logs when Session Starts: Deixe habilitado

image

Clique em OK

Agora vamos criar o acesso para os usuário do grupo RESTRICT

Creat New

Destination: all
Group: ACCESS_RESTRICT_INTERNET
User: Click to add… não estamos utilizando usuário específicos
Schedule: always
Service: HTTP, por ser restrito, deixemos somente HTTP port 80
Action: ACCEPT
Log Allowed Traffic: Deixe habilitado
Generate Logs when Session Starts

EM UTM Security Profiles, vamos habilitar “Web Filter” onde temos alguns sites bloqueados

image

Clique ok

Agora vemos nossas regras de autenticação criadas

image

Clique ok

image

Regras criadas

Vamos ao teste utilizando o usuário “vpmonteiro” que está no grupo acesso restrito

Bloqueamos estes sites para o grupo restrito

image

Vamos acessar uma maquina no domínio com o usuário “vpmonteiro”

image

Veja que o usuário está conectado em nosso firewall

image

Ao abrir o navegador, conseguimos acesso a internet normalmente

image

Vamos ver se o usuário está logado mesmo, acessando o FSSO AGENT no AD e clicando em Show Logon Users

image

Veja que o usuário “vpmonteiro” está conectado

image

Vamos ver se ele consegue acessar aqueles sites que bloqueamos acima

image

Veja que o ao acessar um site restrito o acesso foi bloqueado

Vamos tentar via HTTPS

image

Veja que não é acessado.

Logs do Fortinet

image

Agora vamos ver com o usuário “csantana” que não possui restrições

 

image

Veja que o usuário está logado

image

image

image

Veja que conseguimos acessar qualquer site normalmente

image

Veja que ao tentar acessar uma maquina fora do domínio ela não consegue acessar nenhum site

image

image

Agora vou deixar a politica de acesso a internet habilitada por LDAP e com já configuramos tudo no POST anterior veja

image

E se tentarmos autenticar com o usuário restrito “vpmonteiro”

O acesso a sites restritos continua normalmente

image

E veja os dois usuário logados um por LDAP e outro por FSSO

image

Seja Feliz!!!

Autenticação LDAP Fortinet

Vamos ver neste POST como configurar autenticação com Fortinet utilizando LDAP.

Este tipo de autenticação é feita diretamente no navegador, eu recomendo usar este tipo de autenticação para rede de visitantes GUEST (Exemplo: Wireless), neste forma conseguimos garantir que somente pessoas autorizadas irão ter acesso a internet.

Vamos as configurações:

Devemos criar um nosso AD (Active Directory) um grupo GLOBAL de SEGURANÇA, neste exemplo temos dois grupos
ACCESS_FULL_INTERNET
ACCESS_RESTRITIC_INTERNET

image

Dentro de cada grupos respectivamente adicione os usuários, neste exemplo temos duas usuários “csantana” e “vpmonteiro”, “csantana” está no grupo “ACCESS_FULL_INTERNET” e “vpmonteiro” está no grupo “ACCESS_RESTRICT_INTERNET”

Com os grupos devidamente criados, e com os usuários adicionados, vamos as configurações no firewall fortinet

Acesse “User & Device” depois “Creat New”

image

Name: Nome amigável, neste exemplo o próprio nome do servidor, neste exemplo “SRV-DC01”
Server Name/IP: vamos utilizar o IP do servidor, neste exemplo 10.174.1.3
Common Name Identifier: sAMAccountName
Distinguished Name: vamos preencher mais a frente
Bind Type: Regular
User DN: domínio\user, neste exemplo “glbx\administrator”
Password: Senha do usuário
image

Vamos se tudo está ok, clique em “TEST”

SE tudo correu bem, receberá está mensagem:

image

Agora vamos ao preenchimento do campo “Distinguished Name”, clique no “explorer”

image

Você terá está tela

image

Vamos selecionar nossa OU BRAZIL

image

Clique OK

Agora temos preenchido o campo “Distinguished Name”

 

Pronto, nesta etapa temos nosso servidor LDAP configurado

image

Agora vamos criar os grupos dentro de nosso firewall Fortinet

Em “User & Device” “Creat New”

image

Name: Access_FULL_INTERNET
Type: Firewall
Remote authentication server, clique em “Add”
Veja na lista que aparecerá o servidor que configuramos em LDAP SERVER o “SRV-DC01”
Group Name: Vamos especificar o grupo que terá o acesso, para isso abra o “ADSIEDIT” em seu AD e navegue até o grupo “ACESS_FULL_INTERNET” que criamos no inicio.
Botão direito em cima do grupo/propriedades

Navegue até “distinguishedName”, copie o valor

imageimage

CN=ACCESS_FULL_INTERNET,OU=GROUPS,OU=SAO_PAULO,OU=BRAZIL,DC=glbx,DC=local

image

E cole em “Specify”, clique ok

Grupo criado

image

Agora vamos fazer a mesma coisa para o grupo “ACCESS_RESTRICT_INTERNET”

image

Pronto, agora temos dois grupos criado

image

Agora vamos criar as regras no firewall

No firewall clique em “POLICY” “Creat New”

Vamos a 1º etapa

Policy Type: Firewall
Policy Subtype: User identity
Incoming Interface: port1 (LAN)
Source Address neste exemplo utilizamos nossa rede internet, com objeto no firewall devidamente criado
Outgoing Interface: port3 (WAN1)
Enable NAT: Habilite

image

Agora vamos a segunda etapa

Em “configure Authentication Rules” “Creat New”

Destination Address: all (pois este grupos tem acesso FULL a internet
Group: vamos escolher o grupo “Access_FULL_INTERNET”
User: como o acesso não será por usuário, vamos deixa em “Click to add…”
Schedule” always
Service: all
Action: ACCEPT
Log Allower Traffic: Habilite
Generate Logs when Session Starts: Deixe habilitado
Clique em ok

image

Temos o acesso do grupo “ACCESS_FULL_INTERNET” criado

image

Agora vamos a terceira etapa

Vamos criar o acesso para o grupo “ACCESS_RESTRICT_INTERNET”
Creat New

Destination Address: Como este Grupo possui acesso restrito a internet, para este exemplo criei um grupo de objetos chamado “Portais” onde somente possui acesso aos seguintes sites “www.uol.com.br” “www.terra.com.br” “www.ig.com.br”
Group: ACCESS_RESTRICT_INTERNET
User: Click to add…
Schedule: always
Service: Como este grupo possui acesso restrito a internet liberaremos apenas os protocolos “HTTP” e “HTTPS”
Action: ACCEPT
Log Allowed traffic: Deixe habilitado
Generate Logs when Session Starts: Deixe habilitado
Traffic Shapping: Como é um grupo restrito vamos habilitar e escolher o perfil 100kbps
Clique ok

image
image

Agora temos os dois grupos com acesso

image

Vamos deixar habilitado a opção “Disclaimer”

image

Com está opção habilitada será exibida na tela do navegador image

Onde diz resumidamente que a internet é uma zona livre e que este provedor de internet não é responsável pelo conteúdo.

Pronto nossa politica está criada

image

Agora vamos ver se está funcionando.
Vamos abrir o navegador e ver o que acontece

Veja a mensagem na tela

image

Se clicarmos em “No, I decline”

Teremos está mensagem

image

Agora vamos aceitar e clicar em “Yes, I agree

image

Agora vemos a tela de autenticação

Vamos acessar com o usuário “csantana”

image

Será exibida um tela de redirecionamento

image

Agora vemos o site normalmente

image

E temos acesso a qualquer site

image

E olhando em  nosso firewall em User & Device, Monitor, Firewall vemos nosso usuário “csantana” conectado

image

image

Agora vamos testar com o usuário “vpmonteiro”

A tela de redirecionamento é exibida após a autenticação

image

Porém só temos acesso as seguintes sites “www.uol.com.br” “www.ig.com.br” “www.terra.com.br”

Ao tentar acessar www.folha.com.br

image

Nosso usuário “vpmonteiro” está autenticado

image

Vamos acessar um site permitido

image

Lembrando que neste site só é permitido o conteúdo dentro de “www.uol.com.br

 

Seja Feliz!!!

Limitando banda de internet Fortinet Traffic Shaper Bandwidth Fortinet

Vamos diminuir o limite de banda para acesso a internet

Neste exemplo vamos aplicar o limite de banda para todo o trafego de internet

No Fortinet vamos em “Firewall Objects”, “traffic shaper”, “Shared”

“Creat new”

Name: Limite de Banda 200kbps
Apply Shaper: Per Policy
Traffic Priority: Low
Maximum bandwidth: 200 (O Maximo que pode chegar)
Guaranteed Bandwidth: 100 (O Mínimo que possui)

image

OK

O limite foi criado

image

Mais ainda não está funcionando pois não vinculamos a nenhuma regra de acesso a internet, veja que testamos fazendo download do WordPress que conseguimos um velocidade de 981 KB/Sec

image

Vamos ver agora o mesmo download com a regra aplicada.

Vamos vincular o limite de banda a regra de acesso a internet

Em “Policy”, Policy, vamos editar a regra de acesso a internet

Em “UTM Security Profiles”, habilite:

Traffic Shaping
Shared traffic Shaper e escolhe o perfil que criamos “Limite de banda 200kbps”

 

image

OK

A regra de limite de banda está criada, vamos ver o resultado fazendo o mesmo download do WordPress.

image

image

Bloqueando arquivos executáveis para download e execução pelo navegador utilizando fortinet

Vamos bloquear o download de arquivos “.exe” pelo navegador

Acesso o Fortinet

Data Leak Prevention, File Filter

image

New File Filter Table

Name: Bloqueio .exe

OK

image

Agora em “Creat New”

image

Filter Type: Escolha “File Type”
File Type: Escolha “Executable (exe)

OK

image

APPLY

Filtro criado

image

Agora vamos em Sensor, em UTM Security Profiles, Sensor

 

image

Vamos criar um novo Perfil

image

Clique no sinal de “+”

Name: vamos dar um nome para o perfil, neste exemplo “Bloqueio .exe”

image

Agora em “Creat New”

Filter: Escolha “Files”
Filter Type included in “Bloqueio .exe” o que criamos em File Filter”
Examine the following Services: Vamos deixar somente “HTTP”
Action: Block
OK

image

APPLY

Teremos este:

image

O Perfil para bloquear arquivos .exe está criado, porém ainda não está funcionando pois não vinculamos ele a uma regra de acesso a internet em policy.

Ao acessar a URL “http://download.skype.com/bf94b0508d33d968c9200839f080e127/partner/59/SkypeSetupFull.exe

Conseguimos fazer o download do Skype normalmente

image

Agora vamos aplicar o filtro de bloqueio .exe na regra de acesso a internet

Vamos em “Policy” – Policy

EM “UTM Security Profiles” vamos habilitar “DLP Sensor” e escolher o perfil que criamos “Bloqueio .exe”

image

OK, pronto agora qualquer download ou execução de arquivos .exe pelo navegador será bloqueada.

image

Podemos em Monitor

image

Bloqueando acesso ao aplicativo Skype com Fortinet

Vamos bloquear o Skype utilizando o Fortinet em nossa organização.

Acesse o firewall, UTM Security Profiles

image

Vamos criar um novo profile, clique no sinal de + do lado esquerdo

image

New Application Control List

Name: Skype Blocked

OK

image

“Creat New”

image

Deixe somente marcado “Category” – “P2P” – “Popilarity” – “Technology” – “Browser-based” – “Peer-to-Peer” – “Risk” – “Excessiver-Bandwaidth”

Na caixa de pesquisa digite “Skype”

image

Seleciona “Skype”, em “Action” e clique em “Block”

image

Veja que foi criar a regra de bloqueio de aplicação

image

APPLY

Ainda não está funcionando pois não vinculamos o perfil a regra de acesso a internet, o Skype ainda está funcionando.

image

Agora vamos vincular o perfil de bloqueio do skype a regra de acesso a internet

Em “Policy”, Policy

image

Vamos na regra de acesso a internet

Em “UTM Security Profiles” habilite “Application Control” e escolha o perfil que criamos “Skype Blocked”

 

image

OK

A regra já está funcionando.

Agora o Skype não conecta

image

Vamos ver os LOGS do fortinet

Em “UTM Security Profiles”, Monitor, Application Monitor

image

O site do Skype conecta normalmente, pois não bloqueamos a URL nem a categoria.

image