802.1X Authenticated Wireless Triển khai Hướng dẫn
Kết nối không dây cung cấp cho người dùng một mức độ cao của tính di động và cung cấp một tùy chọn kết nối mạng khi mạng có dây truyền thống là không thực tế. Windows Server ® hệ điều hành 2008 cung cấp dịch vụ mạng cần thiết để triển khai một cơ sở hạ tầng mạng cục bộ (WLAN) không dây an toàn và quản lý trong các mạng lưới khác nhau, từ doanh nghiệp nhỏ cho môi trường doanh nghiệp. Hướng dẫn này cung cấp hướng dẫn toàn diện để triển khai một 802.1X xác nhận giải pháp truy cập không dây.
Các mạng không dây có thể cung cấp các lợi ích sau:
Một chi phí hiệu quả triển khai mạng thay thế. Cài đặt một mạng không dây có thể được dễ dàng hơn, tốn ít thời gian hơn, và thường là ít tốn kém để cài đặt một mạng có dây vì nó giúp loại bỏ sự cần thiết phải chạy cáp Ethernet thông qua các bức tường và trần nhà.
Một phương tiện để mở rộng truy cập tài nguyên khách hàng của bạn với sự nhanh nhẹn. So với mạng có dây, nó là tương đối dễ dàng để mở rộng hoặc giảm kích thước của một mạng không dây bằng cách thêm hoặc loại bỏ các AP không dây. Ngược lại, để mở rộng dịch vụ trong một mạng có dây thông thường cần phải cài đặt thiết bị chuyển mạch mạng bổ sung hoặc các trung tâm cũng như lắp đặt cáp.
Việc loại bỏ các định kỳ cước viễn thông. Để kết nối các mạng trong hai tòa nhà cách nhau một trở ngại vật lý, pháp lý, hoặc tài chính, bạn có thể sử dụng một liên kết được cung cấp bởi một nhà cung cấp viễn thông (đối với một chi phí lắp đặt cố định và chi phí định kỳ liên tục), hoặc bạn có thể tạo một điểm-to- điểm kết nối không dây bằng cách sử dụng công nghệ WLAN (đối với một chi phí lắp đặt cố định nhưng không có chi phí định kỳ).
Sự sẵn có của các nguồn tài nguyên mạng mà không có những hạn chế liên quan đến kết nối các máy tính của khách hàng trực tiếp với mạng có dây. Một số loại của các tòa nhà, như các tòa nhà lịch sử, có thể được điều chỉnh bằng cách xây dựng mã số mà ngăn cấm việc sử dụng các hệ thống dây điện, làm cho dây mạng là một thay thế quan trọng. Ngoài ra, một mạng WLAN cho phép bạn mở rộng mạng lưới của mình vào khu vực mà có thể không được dễ dàng trong các mạng có dây; ví dụ bao gồm sân và nhà ăn.
Sau khi bạn triển khai một 802.1X xác nhận giải pháp truy cập không dây, bạn sẽ có thể cung cấp cho người sử dụng tên miền với truy cập không dây đến các tài nguyên trên mạng LAN có dây.
802.1X Authenticated Wireless Triển khai Hướng dẫn
Áp dụng cho: Windows Server 2008, Windows Vista
Kết nối không dây cung cấp cho người dùng một mức độ cao của tính di động và cung cấp một tùy chọn kết nối mạng khi mạng có dây truyền thống là không thực tế. Windows Server ® hệ điều hành 2008 cung cấp dịch vụ mạng cần thiết để triển khai một cơ sở hạ tầng mạng cục bộ (WLAN) không dây an toàn và quản lý trong các mạng lưới khác nhau, từ doanh nghiệp nhỏ cho môi trường doanh nghiệp. Hướng dẫn này cung cấp hướng dẫn toàn diện để triển khai một 802.1X xác nhận giải pháp truy cập không dây.
Các mạng không dây có thể cung cấp các lợi ích sau:
Một chi phí hiệu quả triển khai mạng thay thế. Cài đặt một mạng không dây có thể được dễ dàng hơn, tốn ít thời gian hơn, và thường là ít tốn kém để cài đặt một mạng có dây vì nó giúp loại bỏ sự cần thiết phải chạy cáp Ethernet thông qua các bức tường và trần nhà.
Một phương tiện để mở rộng truy cập tài nguyên khách hàng của bạn với sự nhanh nhẹn. So với mạng có dây, nó là tương đối dễ dàng để mở rộng hoặc giảm kích thước của một mạng không dây bằng cách thêm hoặc loại bỏ các AP không dây. Ngược lại, để mở rộng dịch vụ trong một mạng có dây thông thường cần phải cài đặt thiết bị chuyển mạch mạng bổ sung hoặc các trung tâm cũng như lắp đặt cáp.
Việc loại bỏ các định kỳ cước viễn thông. Để kết nối các mạng trong hai tòa nhà cách nhau một trở ngại vật lý, pháp lý, hoặc tài chính, bạn có thể sử dụng một liên kết được cung cấp bởi một nhà cung cấp viễn thông (đối với một chi phí lắp đặt cố định và chi phí định kỳ liên tục), hoặc bạn có thể tạo một điểm-to- điểm kết nối không dây bằng cách sử dụng công nghệ WLAN (đối với một chi phí lắp đặt cố định nhưng không có chi phí định kỳ).
Sự sẵn có của các nguồn tài nguyên mạng mà không có những hạn chế liên quan đến kết nối các máy tính của khách hàng trực tiếp với mạng có dây. Một số loại của các tòa nhà, như các tòa nhà lịch sử, có thể được điều chỉnh bằng cách xây dựng mã số mà ngăn cấm việc sử dụng các hệ thống dây điện, làm cho dây mạng là một thay thế quan trọng. Ngoài ra, một mạng WLAN cho phép bạn mở rộng mạng lưới của mình vào khu vực mà có thể không được dễ dàng trong các mạng có dây; ví dụ bao gồm sân và nhà ăn.
Sau khi bạn triển khai một 802.1X xác nhận giải pháp truy cập không dây, bạn sẽ có thể cung cấp cho người sử dụng tên miền với truy cập không dây đến các tài nguyên trên mạng LAN có dây.
Về hướng dẫn này
Hướng dẫn này được nhắm cho các nhà quản lý CNTT, quản trị hệ thống, kỹ sư hệ thống và các chuyên gia CNTT.
Hướng dẫn này cung cấp hướng dẫn về việc làm thế nào để triển khai một cơ sở hạ tầng truy cập không dây bằng cách sử dụng Extensible Authentication Protocol (EAP) chứng thực và các thành phần sau:
Một hoặc nhiều tính năng 802.1X 802,11 điểm truy cập không dây (AP)
Active Directory Users và Computers
Group Policy Management
Một hoặc nhiều (NPS) các máy chủ Network Policy Server
máy tính không dây khách hàng chạy Windows Vista® hoặc Windows XP với Service Pack 2
Những hướng dẫn này không cung cấp
Sau đây là một số mặt hàng hướng dẫn này không cung cấp:
hướng dẫn toàn diện cho việc cài đặt sau đây yêu cầu các thành phần dịch vụ mạng
Hướng dẫn này không cung cấp hướng dẫn để cài đặt các dịch vụ mạng cơ bản 802.1X xác thực triển khai truy cập không dây phụ thuộc vào.
Dịch vụ miền Active Directory (AD DS)
Dynamic Host Configuration Protocol (DHCP) Máy chủ
Network Policy Server (NPS)
Ngoài ra, hướng dẫn này không cung cấp hướng dẫn toàn diện để cấu hình AD DS hoặc DHCP. Để biết thông tin về cách cài đặt và cấu hình AD DS, Domain Name System (DNS), và DHCP, ngoài các thông tin về làm thế nào để cài đặt NPS, hãy xem phần "Windows Server 2008 Foundation Mạng Hướng dẫn," có sẵn trong định dạng HTML trong Windows Server Thư viện kỹ thuật 2008: http://go.microsoft.com/fwlink/?LinkId=106252, và để tải về ở định dạng Word tại Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=105231
Windows Server 2008 Foundation Mạng Hướng dẫn cung cấp hướng dẫn cho việc lập kế hoạch và triển khai các thành phần cần thiết cho một mạng lưới đầy đủ chức năng và một miền Active Directory mới trong một khu rừng mới.
hướng dẫn toàn diện cho việc lựa chọn các điểm truy cập không dây có tính năng 802.1X
Bởi vì nhiều khác biệt tồn tại giữa các thương hiệu và mô hình của các AP không dây có tính năng 802.1X, hướng dẫn này không cung cấp thông tin chi tiết về những điều sau đây:
Xác định được thương hiệu hoặc mô hình của AP không dây là phù hợp nhất với nhu cầu của bạn.
Việc triển khai vật lý của các AP không dây trên mạng của bạn.
Chi tiết cấu hình AP không dây, chẳng hạn như đối với mạng không dây ảo cục bộ (VLAN).
Hướng dẫn về việc làm thế nào để cấu hình AP không dây thuộc tính nhà cung cấp cụ thể trong NPS.
Ngoài ra, thuật ngữ và tên cho các thiết lập khác nhau giữa các nhãn hiệu AP không dây và các mô hình, và có thể không phù hợp với tên thiết lập chung tham chiếu trong hướng dẫn này. Đối với chi tiết cấu hình không dây AP, bạn phải xem xét các tài liệu sản phẩm được cung cấp bởi các nhà sản xuất của các AP không dây của bạn.
Hướng dẫn làm thế nào để triển khai chứng chỉ máy chủ NPS
Có hai lựa chọn thay thế cho việc triển khai chứng chỉ máy chủ NPS. Nếu giải pháp triển khai của bạn sử dụng PEAP-MS-CHAP v2 để xác thực mật khẩu an toàn, bạn có thể mua chứng chỉ từ một cơ quan cấp giấy chứng nhận công cộng (CA), chẳng hạn như VeriSign, hoặc triển khai một CA tin trên mạng của bạn bằng cách sử dụng AD CS. Nếu giải pháp không dây của bạn sử dụng một trong hai EAP-TLS hoặc PEAP-TLS, bạn phải triển khai một CA tin trên mạng của bạn bằng cách sử dụng Active Directory Certificate Services (AD CS).
Để triển khai có sử dụng PEAP-MS-CHAP v2, hướng dẫn này không cung cấp hướng dẫn toàn diện để giúp bạn xác định sự thay thế tốt nhất sẽ đáp ứng nhu cầu của bạn. Tuy nhiên, nói chung là những sự lựa chọn bạn phải đối mặt như sau:
giấy chứng nhận thu mua từ một CA công cộng, chẳng hạn như VeriSign, mà đã được sự tín nhiệm của khách hàng dựa trên Windows. Tùy chọn này thường được khuyến khích cho các mạng nhỏ hơn.
Ưu điểm:
Cài đặt chứng chỉ mua không đòi hỏi nhiều kiến thức chuyên ngành như triển khai một CA tin trên mạng của bạn, và có thể được dễ dàng hơn để triển khai trong các mạng mà chỉ có một vài máy chủ NPS.
Sử dụng chứng chỉ mua có thể ngăn chặn các lỗ hổng bảo mật cụ thể mà có thể tồn tại nếu các biện pháp phòng ngừa cần thiết không được thực hiện khi bạn triển khai một CA tin trên mạng.
nhược điểm:
Giải pháp này không quy mô cũng như triển khai một CA tin trên mạng của bạn. Bởi vì bạn phải mua một giấy chứng nhận cho mỗi máy chủ NPS, chi phí triển khai của bạn tăng lên theo mỗi máy chủ NPS mà bạn triển khai.
chứng chỉ mua có chi phí định kỳ, bởi vì bạn cần phải gia hạn giấy chứng nhận trước ngày hết hạn của họ.
Triển khai một CA tin trên mạng của bạn bằng cách sử dụng AD CS.
Ưu điểm:
AD CS có trong Windows Server 2008.
Giải pháp này quy mô rất tốt. Sau khi bạn đã triển khai một CA tin trên mạng của bạn, AD CS tự động phát hành giấy chứng nhận cho tất cả các máy chủ NPS trong miền của bạn mà không tăng thêm về chi phí, thậm chí nếu sau đó bạn thêm các máy chủ NPS vào mạng của bạn.
AD CS tự động phát hành chứng chỉ máy chủ đến các máy chủ NPS mới mà bạn thêm vào mạng lưới của bạn.
Nếu sau đó bạn quyết định thay đổi cơ sở hạ tầng xác thực của bạn từ xác thực mật khẩu an toàn sử dụng PEAP cho rằng một yêu cầu chứng nhận của khách hàng và sử dụng hoặc EAP-TLS hoặc PEAP-TLS, bạn có thể làm như vậy bằng cách sử dụng AD CS-dựa CA. tin
nhược điểm:
Triển khai một CA tin trên mạng của bạn đòi hỏi phải có kiến thức chuyên môn hơn giấy chứng nhận mua, và có thể khó khăn hơn để triển khai.
Bạn có thể hiển mạng của bạn để các lỗ hổng bảo mật cụ thể nếu các biện pháp phòng ngừa cần thiết không được thực hiện khi bạn triển khai một CA tin trên mạng của bạn.
Để biết thông tin về việc triển khai chứng chỉ máy chủ NPS, xem Companion Guide Mạng Foundation: Giấy chứng nhận khai Server, có sẵn trong định dạng HTML trong Windows Server Thư viện kỹ thuật 2008: http://go.microsoft.com/fwlink/?LinkId=108258, và cho tải về trong định dạng Word tại Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=108259.
Hướng dẫn làm thế nào để triển khai chứng chỉ client cho người dùng và máy tính
Để biết thông tin về làm thế nào để triển khai chứng chỉ máy tính và người dùng, xem mạng Foundation Companion Hướng dẫn: Triển khai máy tính và Giấy chứng nhận tài, có sẵn trong định dạng HTML trong Windows Server 2008 Thư viện kỹ thuật: http://go.microsoft.com/fwlink/?LinkId= 113.884, và để tải về ở định dạng Word tại Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=115742.
chính sách mạng NPS và các thiết lập khác NPS
Ngoại trừ các thiết lập cấu hình được thực hiện khi bạn chạy trình hướng dẫn cấu hình 802.1X, như tài liệu trong hướng dẫn này, hướng dẫn này không cung cấp thông tin chi tiết cấu hình thủ điều kiện NPS, ràng buộc, hoặc cài đặt NPS khác.
Để biết thêm thông tin về NPS, xem Tài nguyên bổ sung cho triển khai một mạng LAN không dây trong hướng dẫn này.
DHCP
hướng dẫn triển khai này không cung cấp thông tin về thiết kế hoặc triển khai các DHCP subnet cho mạng LAN không dây.
Để biết thêm thông tin về DHCP, xem Tài nguyên bổ sung cho triển khai một Lanin dây dẫn này.
Thuật ngữ sử dụng trong hướng dẫn này
Sau đây là tổng quan công nghệ cho việc triển khai truy cập không dây:
IEEE 802.1X
Các tiêu chuẩn IEEE 802.1X xác định kiểm soát truy cập mạng dựa trên cổng được sử dụng để cung cấp truy cập mạng xác thực để các mạng Ethernet. Kiểm soát truy cập mạng dựa trên cổng này sử dụng các đặc tính vật lý của các cơ sở hạ tầng mạng LAN chuyển mạch để xác thực các thiết bị gắn vào một cổng LAN. Truy cập vào các cổng có thể bị từ chối nếu quá trình thẩm định thất bại. Mặc dù tiêu chuẩn này được thiết kế cho các mạng Ethernet có dây, nó đã được thích nghi để sử dụng trên mạng LAN không dây 802.11.
Năng 802.1X các điểm truy cập không dây (AP)
Kịch bản này đòi hỏi việc triển khai một hoặc nhiều các AP không dây có tính năng 802.1X tương thích với cả Remote Authentication Dial-In Dịch vụ tài (RADIUS) giao thức.
802.1X và RADIUS AP-tuân thủ, khi chúng được triển khai tại một cơ sở hạ tầng RADIUS với một máy chủ RADIUS như một máy chủ NPS, được gọi là các máy khách RADIUS.
khách hàng không dây
Hướng dẫn này cung cấp thông tin chi tiết cấu hình toàn diện để cung cấp 802.1X xác thực truy cập cho người dùng miền thành viên người kết nối với mạng bằng cách sử dụng các máy tính khách hàng không dây chạy Windows Vista hoặc Windows XP với Service Pack 2 hoặc mới hơn. Máy tính phải được gia nhập vào miền để thiết lập thành công truy cập được chứng thực.
Nếu bạn đang sử dụng máy tính chạy Windows Server 2008 là máy tính của khách hàng, bạn có thể thiết lập 802.1X cung cấp an ninh và khả năng kết nối trên các máy tính bằng cách sử dụng các phần mở rộng của Group Policy cùng của Windows Vista Mạng không dây (IEEE 802.1) Các chính sách như đối với các máy tính chạy Windows Vista. Nếu bạn đang sử dụng máy tính chạy Windows Server 2003 là máy tính của khách hàng, bạn có thể thiết lập 802.1X cung cấp an ninh và khả năng kết nối trên các máy tính bằng cách sử dụng các phần mở rộng của Group Policy cùng của Windows XP Wireless Network (IEEE 802.1) Các chính sách như đối với các máy tính chạy Windows XP.
Dịch vụ Doman Active Directory
Active Directory Doman Services (AD DS) cung cấp một cơ sở dữ liệu phân tán các cửa hàng và quản lý các thông tin về tài nguyên mạng và dữ liệu ứng dụng cụ thể từ các ứng dụng thư mục cho phép. Người quản trị có thể sử dụng AD DS để tổ chức các yếu tố của một mạng, chẳng hạn như người dùng, máy tính và các thiết bị khác, thành một cấu trúc chứa phân cấp. Cấu trúc ngăn chặn phân cấp bao gồm rừng Active Directory, các miền trong rừng, và các đơn vị tổ chức (OU) trong mỗi miền. Một máy chủ đang chạy AD DS được gọi là một bộ điều khiển miền.
AD DS chứa các tài khoản người dùng, tài khoản máy tính, và các tài sản tài khoản được yêu cầu của IEEE 802.1X và PEAP-MS-CHAP v2 để xác thực thông tin người dùng và đánh giá cấp phép cho các kết nối không dây.
Active Directory Users và Computers
Active Directory Users và Computers là một thành phần của AD DS có chứa các tài khoản đại diện cho thực thể vật lý, chẳng hạn như một máy tính, một người, hay một nhóm bảo mật. Một nhóm bảo mật là một bộ sưu tập của người dùng hoặc máy tính tài khoản người quản trị có thể quản lý như một đơn vị duy nhất. Người sử dụng và máy tính của tài khoản thuộc về một nhóm đặc biệt được gọi là các thành viên trong nhóm.
Group Policy Management
Group Policy Management là một Windows Server 2008 tính năng cho phép dựa trên thư mục thay đổi và cấu hình quản lý của người sử dụng và máy tính cài đặt, bao gồm cả an ninh và thông tin người dùng. Bạn sử dụng Group Policy để xác định cấu hình cho nhóm người dùng và máy tính. Với Group Policy, bạn có thể chỉ định các thiết lập cho các khóa registry, bảo mật, cài đặt phần mềm, các kịch bản, thư mục chuyển hướng, dịch vụ cài đặt từ xa, và bảo trì của Internet Explorer. Các thiết lập chính sách nhóm mà bạn tạo được chứa trong một đối tượng Group Policy (GPO). Bằng cách kết hợp một GPO với hệ thống Active Directory chọn container có các trang web, tên miền và các OU-bạn có thể áp dụng các thiết lập của GPO cho người sử dụng và máy tính trong các container Active Directory. Để quản lý các đối tượng Group Policy trên một doanh nghiệp, bạn có thể sử dụng Group Policy Management Editor Microsoft Management Console (MMC).
Hướng dẫn này cung cấp hướng dẫn chi tiết về làm thế nào để xác định các thiết lập trong mạng không dây (IEEE 802.11) Chính sách mở rộng Policy Management Group, do đó cấu hình các thiết lập cần thiết trên máy tính của khách hàng không dây cho 802.1X các truy cập không dây.
chứng chỉ máy chủ
kịch bản triển khai này đòi hỏi chứng chỉ máy chủ cho mỗi máy chủ NPS mà thực hiện xác thực 802.1X.
Một chứng chỉ máy chủ là một tài liệu kỹ thuật số thường được sử dụng để xác thực và giúp thông tin an toàn trên hệ thống mạng mở. Giấy chứng nhận an toàn gắn bó với một khóa công khai để các thực thể nắm giữ chìa khóa riêng tương ứng. Giấy chứng nhận được chữ ký số của CA phát hành, và họ có thể được cấp cho người dùng, máy tính, hoặc một dịch vụ.
Một cơ quan chứng nhận (CA) là một tổ chức chịu trách nhiệm cho việc thiết lập và vouching cho tính xác thực của các khóa công cộng thuộc về đối tượng (thường dùng hoặc máy tính) hoặc các CA khác. Các hoạt động của một cơ quan chứng nhận có thể bao gồm khóa công khai để ràng buộc các tên phân biệt thông qua giấy chứng nhận đã ký, số giấy chứng nhận quản lý và giấy chứng nhận thu hồi.
Dịch vụ chứng chỉ Active Directory (AD CS) là một máy chủ Windows Server 2008 vai trò mà các chứng chỉ như một CA. mạng Một AD cơ sở hạ tầng chứng nhận CS, cũng được gọi là một cơ sở hạ tầng khóa công khai (PKI), cung cấp các dịch vụ tùy biến cho việc phát hành và quản lý giấy chứng nhận cho các doanh nghiệp.
EAP, PEAP, và PEAP-MS-CHAP v2
Extensible Authentication Protocol (EAP) kéo dài Point-to-Point Protocol (PPP) bằng cách cho phép các phương pháp xác thực khác mà sử dụng trao đổi chứng chỉ và các thông tin có độ dài tùy ý. Với xác thực EAP, cả khách hàng truy cập mạng và xác thực (chẳng hạn như máy chủ NPS) phải hỗ trợ cùng loại EAP để xác thực thành công xảy ra. Windows Server 2008 bao gồm một cơ sở hạ tầng EAP, hỗ trợ hai loại EAP, và khả năng để vượt qua các thông điệp EAP đến các máy chủ NPS. Bằng cách sử dụng EAP, bạn có thể hỗ trợ các chương trình xác thực bổ sung, gọi là các loại EAP. Các loại EAP được hỗ trợ bởi Windows Server 2008 như sau:
Transport Layer Security (TLS)
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)
Protected EAP (PEAP) sử dụng TLS để tạo ra một kênh được mã hóa giữa một khách hàng PEAP xác nhận, chẳng hạn như một máy tính không dây, và một xác thực PEAP, chẳng hạn như một máy chủ NPS hoặc máy chủ RADIUS khác. PEAP không xác định một phương pháp xác thực, nhưng nó cung cấp thêm bảo mật cho các giao thức xác thực EAP khác (chẳng hạn như EAP-MS-CHAP v2) có thể hoạt động thông qua việc mã hoá TLS kênh cung cấp bởi PEAP. PEAP được sử dụng như một phương pháp xác thực cho khách hàng truy cập được kết nối với mạng của tổ chức của bạn thông qua các loại sau đây của các máy chủ truy cập mạng (NASS):
Năng 802.1X các điểm truy cập không dây.
Năng 802.1X chứng thực chuyển mạch.
Máy tính chạy Windows Server 2008 và dịch vụ Routing and Remote Access (RRAS) được cấu hình như mạng riêng ảo máy chủ (VPN).
Máy tính chạy Windows Server 2008 và Terminal Services Gateway.
PEAP-MS-CHAP v2 là dễ dàng hơn để triển khai hơn EAP-TLS vì xác thực người dùng được thực hiện bằng cách sử dụng thông tin dựa trên mật khẩu (tên người dùng và mật khẩu), thay vì giấy chứng nhận hoặc thẻ thông minh. Chỉ NPS hoặc máy chủ RADIUS khác được yêu cầu phải có giấy chứng nhận. Chứng chỉ máy chủ NPS được sử dụng bởi các máy chủ NPS trong quá trình xác thực để chứng minh danh tính của mình cho khách hàng PEAP.
Hướng dẫn này cung cấp hướng dẫn cấu hình máy khách không dây của bạn và máy chủ NPS của bạn (s) để sử dụng PEAP-MS-CHAP v2 cho 802.1X xác thực truy cập.
Network Policy Server
Network Policy Server (NPS) cho phép bạn tập trung cấu hình và quản lý chính sách mạng bằng cách sử dụng ba thành phần sau đây: Remote Xác thực Dial-In Dịch vụ tài (RADIUS), RADIUS proxy, và Network Access Protection (NAP) máy chủ chính sách. NPS là cần thiết để triển khai 802.1X truy cập không dây.
Khi bạn cấu hình các điểm truy cập không dây 802.1X của bạn như các máy khách RADIUS trong NPS, NPS xử lý các yêu cầu kết nối được gửi bởi các AP. Trong xử lý yêu cầu kết nối, NPS, xác thực và ủy quyền. Xác thực xác định xem khách hàng đã trình bày các thông tin hợp lệ. Nếu NPS xác thực thành công của khách hàng yêu cầu, sau đó NPS xác định xem khách hàng được ủy quyền để thực hiện kết nối yêu cầu, và hoặc cho phép hoặc từ chối kết nối. Điều này được giải thích chi tiết hơn trong phần sau.
Xác thực
Thành công lẫn nhau PEAP-MS-CHAP v2 xác thực có hai phần chính:
Client xác thực máy chủ NPS. Trong giai đoạn này xác thực lẫn nhau, các máy chủ NPS sẽ gửi chứng chỉ máy chủ của nó vào máy tính của khách hàng để khách hàng có thể xác minh danh tính các máy chủ NPS với giấy chứng nhận. Để xác thực thành công máy chủ NPS, máy tính khách hàng phải tin tưởng CA cấp chứng chỉ máy chủ NPS. Các quỹ tín thác khách hàng CA này khi chứng chỉ của CA có mặt trong Root Certification Authorities lưu trữ chứng chỉ Trusted trên máy khách.
Nếu bạn triển khai CA riêng của bạn, chứng chỉ CA được tự động cài đặt trong kho chứng chỉ Trusted Root Certification Authorities cho người dùng hiện tại và cho các máy tính địa phương khi Group Policy được làm mới trên máy tính của khách hàng thành viên miền. Nếu bạn quyết định để triển khai chứng chỉ máy chủ từ một CA công cộng, hãy chắc chắn rằng chứng chỉ CA công cộng là đã có trong Root Certification Authorities lưu trữ chứng chỉ Trusted.
Các máy chủ NPS xác thực người dùng. Sau khi khách hàng xác thực thành công máy chủ NPS, khách hàng gửi thông tin dựa trên mật khẩu của người dùng với máy chủ NPS, mà xác minh các thông tin của người sử dụng đối với các tài khoản người dùng cơ sở dữ liệu trong Active Directory Doman Services (AD DS).
Nếu các thông tin có giá trị, các máy chủ chạy NPS tiến sang giai đoạn cho phép xử lý các yêu cầu kết nối. Nếu không, NPS sẽ gửi một truy cập Reject và yêu cầu kết nối được chấm dứt.
cho phép
Các máy chủ chạy NPS thực hiện uỷ quyền như sau:
kiểm tra NPS cho những hạn chế trong sử dụng máy tính hoặc tài khoản quay số tài sản trong AD DS.
NPS sau đó xử lý chính sách mạng của nó để tìm một chính sách phù hợp với yêu cầu kết nối. Nếu một chính sách phù hợp được tìm thấy, NPS phép hoặc từ chối các kết nối dựa trên cấu hình của chính sách đó.
Nếu cả hai xác thực và ủy quyền là thành công, trợ cấp NPS truy cập vào mạng, và người sử dụng và máy tính có thể kết nối với các tài nguyên mạng mà họ có quyền.
Để triển khai truy cập không dây, bạn phải cấu hình các chính sách mạng NPS. Hướng dẫn này cung cấp hướng dẫn sử dụng các thủ thuật Configure 802.1X trong NPS để tạo ra các chính sách NPS cho 802.1X các truy cập không dây.
tổng quan về mạng không dây
công nghệ mạng không dây trong khoảng từ thoại và dữ liệu mạng lưới toàn cầu, trong đó cho phép người dùng thiết lập các kết nối không dây trên một khoảng cách dài, với công nghệ ánh sáng và tần số vô tuyến hồng ngoại được tối ưu hóa cho các kết nối không dây tầm ngắn. Thiết bị thường được sử dụng cho mạng không dây bao gồm máy tính xách tay, máy tính để bàn, máy tính cầm tay, trợ lý kỹ thuật số cá nhân (PDA), điện thoại di động, máy tính bút dựa trên, và máy nhắn tin. công nghệ không dây phục vụ cho nhiều mục đích thực tế. Ví dụ, người dùng di động có thể sử dụng điện thoại di động của họ để truy cập e-mail. Khách du lịch với máy tính xách tay có thể kết nối với Internet thông qua các trạm gốc được cài đặt tại các sân bay, nhà ga, và các địa điểm công cộng khác. Ở nhà, người sử dụng có thể kết nối các thiết bị trên máy tính để bàn của họ để đồng bộ hóa dữ liệu và chuyển các tập tin.
Xác định tiêu chuẩn
Để giảm chi phí, đảm bảo khả năng tương tác, và thúc đẩy sự phổ biến của công nghệ không dây, các tổ chức như IEEE (IEEE), Internet Engineering Task Force (IETF), Wireless Ethernet Compatibility Alliance (WECA) và Viễn thông Quốc tế Union (ITU) đang tham gia trong một số nỗ lực tiêu chuẩn chính. Ví dụ, các nhóm làm việc IEEE được xác định như thế nào thông tin được truyền từ một thiết bị khác (cho dù sóng đài phát thanh hoặc ánh sáng hồng ngoại được sử dụng, ví dụ), và làm thế nào và khi một phương tiện truyền dẫn nên được sử dụng cho truyền thông. Trong việc phát triển các tiêu chuẩn mạng không dây, các tổ chức như quản lý IEEE địa chỉ điện, băng thông, an ninh, và các vấn đề đó là duy nhất để kết nối mạng không dây.
loại mạng không dây
Như với mạng có dây, mạng không dây có thể được phân loại thành các loại khác nhau dựa trên các khoảng cách trên đó dữ liệu có thể được truyền đi.
mạng nội bộ không dây
mạng nội bộ không dây (WLAN) công nghệ cho phép người dùng thiết lập các kết nối không dây bên trong một khu vực địa phương (ví dụ, bên trong một tòa nhà của công ty hoặc trường, hoặc trong một không gian công cộng như sân bay). Mạng WLAN có thể được sử dụng trong các văn phòng tạm thời hoặc các không gian khác, nơi mà việc lắp đặt hệ thống cáp mở rộng sẽ được ngăn cấm, hoặc để bổ sung một mạng LAN hiện để người dùng có thể làm việc tại các vị trí khác nhau bên trong một tòa nhà tại những thời điểm khác nhau. Mạng WLAN có thể hoạt động theo hai cách. Trong mạng WLAN cơ sở hạ tầng, các trạm không dây (thiết bị với các adapter mạng vô tuyến hoặc modem bên ngoài) kết nối với các điểm truy cập không dây có chức năng như cầu nối giữa các trạm và các mạng xương sống hiện tại. Trong peer-to-peer (ad hoc) WLAN, một số người sử dụng bên trong một khu vực hạn chế, chẳng hạn như một phòng hội nghị, có thể hình thành một mạng tạm thời mà không sử dụng các điểm truy cập, nếu họ không yêu cầu quyền truy cập vào tài nguyên mạng.
Năm 1997, IEEE phê duyệt chuẩn 802.11 cho mạng WLAN, trong đó xác định một tốc độ truyền dữ liệu của 1-2 megabits mỗi giây (Mbps). Dưới 802.11b, dữ liệu được chuyển với tốc độ tối đa 11 Mbps trên một băng tần 2,4 gigahertz (GHz). tiêu chuẩn khác là 802.11a, quy định cụ thể truyền dữ liệu với tốc độ tối đa 54 Mbps trên một băng tần 5 GHz.
mạng diện rộng không dây (WWANs)
công nghệ WWAN cho phép người dùng thiết lập các kết nối không dây qua mạng công cộng hay tư nhân từ xa. Những kết nối này có thể được duy trì trên khu vực địa lý rộng lớn, chẳng hạn như các thành phố hoặc quốc gia, bằng cách sử dụng nhiều trang web ăng ten hoặc các hệ thống truyền hình vệ tinh được duy trì bởi các nhà cung cấp dịch vụ không dây. công nghệ WWAN hiện nay được gọi là hệ thống thế hệ thứ hai (2G). hệ thống 2G chính bao gồm Global System for Mobile Communications (GSM), Cellular gói tin dữ liệu kỹ thuật số (CDPD), và Code Division Multiple Access (CDMA). Các nỗ lực đang được tiến hành để chuyển đổi từ mạng 2G, một số trong đó có khả năng chuyển vùng hạn chế và không tương thích với nhau, để thế hệ thứ ba (3G) công nghệ mà sẽ theo một tiêu chuẩn toàn cầu và cung cấp khả năng trên toàn thế giới chuyển vùng. ITU đang tích cực thúc đẩy sự phát triển của một tiêu chuẩn toàn cầu cho 3G.
mạng lưới khu vực đô thị không dây (WMANs)
công nghệ WMAN cho phép người dùng thiết lập các kết nối không dây giữa nhiều địa điểm trong một khu vực đô thị (ví dụ, giữa nhiều tòa nhà văn phòng trong một thành phố hoặc trên một khuôn viên trường đại học), mà không cần chi phí cao của đặt đường dây cáp quang hoặc cáp Ethernet và cho thuê. Ngoài ra, WMANs có thể phục vụ như sao lưu cho các mạng có dây, các đường dây thuê bao chính cho mạng có dây nên trở thành không có. WMANs sử dụng một trong hai sóng phát thanh hay ánh sáng hồng ngoại để truyền dữ liệu. mạng truy nhập không dây băng thông rộng, cho phép người dùng truy cập Internet tốc độ cao với Internet, đang có nhu cầu ngày càng tăng. Mặc dù công nghệ khác nhau, chẳng hạn như các dịch vụ phân phối đa kênh đa điểm (MMDS) và các dịch vụ phân phối đa điểm địa phương (LMDS), đang được sử dụng, các chuẩn IEEE 802.16 nhóm làm việc cho các tiêu chuẩn truy cập không dây băng thông rộng vẫn đang phát triển kỹ thuật để chuẩn phát triển của các công nghệ này.
https://technet.microsoft.com/en-us/library/dd283093(v=ws.10).aspx
Các mạng không dây có thể cung cấp các lợi ích sau:
Một chi phí hiệu quả triển khai mạng thay thế. Cài đặt một mạng không dây có thể được dễ dàng hơn, tốn ít thời gian hơn, và thường là ít tốn kém để cài đặt một mạng có dây vì nó giúp loại bỏ sự cần thiết phải chạy cáp Ethernet thông qua các bức tường và trần nhà.
Một phương tiện để mở rộng truy cập tài nguyên khách hàng của bạn với sự nhanh nhẹn. So với mạng có dây, nó là tương đối dễ dàng để mở rộng hoặc giảm kích thước của một mạng không dây bằng cách thêm hoặc loại bỏ các AP không dây. Ngược lại, để mở rộng dịch vụ trong một mạng có dây thông thường cần phải cài đặt thiết bị chuyển mạch mạng bổ sung hoặc các trung tâm cũng như lắp đặt cáp.
Việc loại bỏ các định kỳ cước viễn thông. Để kết nối các mạng trong hai tòa nhà cách nhau một trở ngại vật lý, pháp lý, hoặc tài chính, bạn có thể sử dụng một liên kết được cung cấp bởi một nhà cung cấp viễn thông (đối với một chi phí lắp đặt cố định và chi phí định kỳ liên tục), hoặc bạn có thể tạo một điểm-to- điểm kết nối không dây bằng cách sử dụng công nghệ WLAN (đối với một chi phí lắp đặt cố định nhưng không có chi phí định kỳ).
Sự sẵn có của các nguồn tài nguyên mạng mà không có những hạn chế liên quan đến kết nối các máy tính của khách hàng trực tiếp với mạng có dây. Một số loại của các tòa nhà, như các tòa nhà lịch sử, có thể được điều chỉnh bằng cách xây dựng mã số mà ngăn cấm việc sử dụng các hệ thống dây điện, làm cho dây mạng là một thay thế quan trọng. Ngoài ra, một mạng WLAN cho phép bạn mở rộng mạng lưới của mình vào khu vực mà có thể không được dễ dàng trong các mạng có dây; ví dụ bao gồm sân và nhà ăn.
Sau khi bạn triển khai một 802.1X xác nhận giải pháp truy cập không dây, bạn sẽ có thể cung cấp cho người sử dụng tên miền với truy cập không dây đến các tài nguyên trên mạng LAN có dây.
802.1X Authenticated Wireless Triển khai Hướng dẫn
Áp dụng cho: Windows Server 2008, Windows Vista
Kết nối không dây cung cấp cho người dùng một mức độ cao của tính di động và cung cấp một tùy chọn kết nối mạng khi mạng có dây truyền thống là không thực tế. Windows Server ® hệ điều hành 2008 cung cấp dịch vụ mạng cần thiết để triển khai một cơ sở hạ tầng mạng cục bộ (WLAN) không dây an toàn và quản lý trong các mạng lưới khác nhau, từ doanh nghiệp nhỏ cho môi trường doanh nghiệp. Hướng dẫn này cung cấp hướng dẫn toàn diện để triển khai một 802.1X xác nhận giải pháp truy cập không dây.
Các mạng không dây có thể cung cấp các lợi ích sau:
Một chi phí hiệu quả triển khai mạng thay thế. Cài đặt một mạng không dây có thể được dễ dàng hơn, tốn ít thời gian hơn, và thường là ít tốn kém để cài đặt một mạng có dây vì nó giúp loại bỏ sự cần thiết phải chạy cáp Ethernet thông qua các bức tường và trần nhà.
Một phương tiện để mở rộng truy cập tài nguyên khách hàng của bạn với sự nhanh nhẹn. So với mạng có dây, nó là tương đối dễ dàng để mở rộng hoặc giảm kích thước của một mạng không dây bằng cách thêm hoặc loại bỏ các AP không dây. Ngược lại, để mở rộng dịch vụ trong một mạng có dây thông thường cần phải cài đặt thiết bị chuyển mạch mạng bổ sung hoặc các trung tâm cũng như lắp đặt cáp.
Việc loại bỏ các định kỳ cước viễn thông. Để kết nối các mạng trong hai tòa nhà cách nhau một trở ngại vật lý, pháp lý, hoặc tài chính, bạn có thể sử dụng một liên kết được cung cấp bởi một nhà cung cấp viễn thông (đối với một chi phí lắp đặt cố định và chi phí định kỳ liên tục), hoặc bạn có thể tạo một điểm-to- điểm kết nối không dây bằng cách sử dụng công nghệ WLAN (đối với một chi phí lắp đặt cố định nhưng không có chi phí định kỳ).
Sự sẵn có của các nguồn tài nguyên mạng mà không có những hạn chế liên quan đến kết nối các máy tính của khách hàng trực tiếp với mạng có dây. Một số loại của các tòa nhà, như các tòa nhà lịch sử, có thể được điều chỉnh bằng cách xây dựng mã số mà ngăn cấm việc sử dụng các hệ thống dây điện, làm cho dây mạng là một thay thế quan trọng. Ngoài ra, một mạng WLAN cho phép bạn mở rộng mạng lưới của mình vào khu vực mà có thể không được dễ dàng trong các mạng có dây; ví dụ bao gồm sân và nhà ăn.
Sau khi bạn triển khai một 802.1X xác nhận giải pháp truy cập không dây, bạn sẽ có thể cung cấp cho người sử dụng tên miền với truy cập không dây đến các tài nguyên trên mạng LAN có dây.
Về hướng dẫn này
Hướng dẫn này được nhắm cho các nhà quản lý CNTT, quản trị hệ thống, kỹ sư hệ thống và các chuyên gia CNTT.
Hướng dẫn này cung cấp hướng dẫn về việc làm thế nào để triển khai một cơ sở hạ tầng truy cập không dây bằng cách sử dụng Extensible Authentication Protocol (EAP) chứng thực và các thành phần sau:
Một hoặc nhiều tính năng 802.1X 802,11 điểm truy cập không dây (AP)
Active Directory Users và Computers
Group Policy Management
Một hoặc nhiều (NPS) các máy chủ Network Policy Server
máy tính không dây khách hàng chạy Windows Vista® hoặc Windows XP với Service Pack 2
Những hướng dẫn này không cung cấp
Sau đây là một số mặt hàng hướng dẫn này không cung cấp:
hướng dẫn toàn diện cho việc cài đặt sau đây yêu cầu các thành phần dịch vụ mạng
Hướng dẫn này không cung cấp hướng dẫn để cài đặt các dịch vụ mạng cơ bản 802.1X xác thực triển khai truy cập không dây phụ thuộc vào.
Dịch vụ miền Active Directory (AD DS)
Dynamic Host Configuration Protocol (DHCP) Máy chủ
Network Policy Server (NPS)
Ngoài ra, hướng dẫn này không cung cấp hướng dẫn toàn diện để cấu hình AD DS hoặc DHCP. Để biết thông tin về cách cài đặt và cấu hình AD DS, Domain Name System (DNS), và DHCP, ngoài các thông tin về làm thế nào để cài đặt NPS, hãy xem phần "Windows Server 2008 Foundation Mạng Hướng dẫn," có sẵn trong định dạng HTML trong Windows Server Thư viện kỹ thuật 2008: http://go.microsoft.com/fwlink/?LinkId=106252, và để tải về ở định dạng Word tại Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=105231
Windows Server 2008 Foundation Mạng Hướng dẫn cung cấp hướng dẫn cho việc lập kế hoạch và triển khai các thành phần cần thiết cho một mạng lưới đầy đủ chức năng và một miền Active Directory mới trong một khu rừng mới.
hướng dẫn toàn diện cho việc lựa chọn các điểm truy cập không dây có tính năng 802.1X
Bởi vì nhiều khác biệt tồn tại giữa các thương hiệu và mô hình của các AP không dây có tính năng 802.1X, hướng dẫn này không cung cấp thông tin chi tiết về những điều sau đây:
Xác định được thương hiệu hoặc mô hình của AP không dây là phù hợp nhất với nhu cầu của bạn.
Việc triển khai vật lý của các AP không dây trên mạng của bạn.
Chi tiết cấu hình AP không dây, chẳng hạn như đối với mạng không dây ảo cục bộ (VLAN).
Hướng dẫn về việc làm thế nào để cấu hình AP không dây thuộc tính nhà cung cấp cụ thể trong NPS.
Ngoài ra, thuật ngữ và tên cho các thiết lập khác nhau giữa các nhãn hiệu AP không dây và các mô hình, và có thể không phù hợp với tên thiết lập chung tham chiếu trong hướng dẫn này. Đối với chi tiết cấu hình không dây AP, bạn phải xem xét các tài liệu sản phẩm được cung cấp bởi các nhà sản xuất của các AP không dây của bạn.
Hướng dẫn làm thế nào để triển khai chứng chỉ máy chủ NPS
Có hai lựa chọn thay thế cho việc triển khai chứng chỉ máy chủ NPS. Nếu giải pháp triển khai của bạn sử dụng PEAP-MS-CHAP v2 để xác thực mật khẩu an toàn, bạn có thể mua chứng chỉ từ một cơ quan cấp giấy chứng nhận công cộng (CA), chẳng hạn như VeriSign, hoặc triển khai một CA tin trên mạng của bạn bằng cách sử dụng AD CS. Nếu giải pháp không dây của bạn sử dụng một trong hai EAP-TLS hoặc PEAP-TLS, bạn phải triển khai một CA tin trên mạng của bạn bằng cách sử dụng Active Directory Certificate Services (AD CS).
Để triển khai có sử dụng PEAP-MS-CHAP v2, hướng dẫn này không cung cấp hướng dẫn toàn diện để giúp bạn xác định sự thay thế tốt nhất sẽ đáp ứng nhu cầu của bạn. Tuy nhiên, nói chung là những sự lựa chọn bạn phải đối mặt như sau:
giấy chứng nhận thu mua từ một CA công cộng, chẳng hạn như VeriSign, mà đã được sự tín nhiệm của khách hàng dựa trên Windows. Tùy chọn này thường được khuyến khích cho các mạng nhỏ hơn.
Ưu điểm:
Cài đặt chứng chỉ mua không đòi hỏi nhiều kiến thức chuyên ngành như triển khai một CA tin trên mạng của bạn, và có thể được dễ dàng hơn để triển khai trong các mạng mà chỉ có một vài máy chủ NPS.
Sử dụng chứng chỉ mua có thể ngăn chặn các lỗ hổng bảo mật cụ thể mà có thể tồn tại nếu các biện pháp phòng ngừa cần thiết không được thực hiện khi bạn triển khai một CA tin trên mạng.
nhược điểm:
Giải pháp này không quy mô cũng như triển khai một CA tin trên mạng của bạn. Bởi vì bạn phải mua một giấy chứng nhận cho mỗi máy chủ NPS, chi phí triển khai của bạn tăng lên theo mỗi máy chủ NPS mà bạn triển khai.
chứng chỉ mua có chi phí định kỳ, bởi vì bạn cần phải gia hạn giấy chứng nhận trước ngày hết hạn của họ.
Triển khai một CA tin trên mạng của bạn bằng cách sử dụng AD CS.
Ưu điểm:
AD CS có trong Windows Server 2008.
Giải pháp này quy mô rất tốt. Sau khi bạn đã triển khai một CA tin trên mạng của bạn, AD CS tự động phát hành giấy chứng nhận cho tất cả các máy chủ NPS trong miền của bạn mà không tăng thêm về chi phí, thậm chí nếu sau đó bạn thêm các máy chủ NPS vào mạng của bạn.
AD CS tự động phát hành chứng chỉ máy chủ đến các máy chủ NPS mới mà bạn thêm vào mạng lưới của bạn.
Nếu sau đó bạn quyết định thay đổi cơ sở hạ tầng xác thực của bạn từ xác thực mật khẩu an toàn sử dụng PEAP cho rằng một yêu cầu chứng nhận của khách hàng và sử dụng hoặc EAP-TLS hoặc PEAP-TLS, bạn có thể làm như vậy bằng cách sử dụng AD CS-dựa CA. tin
nhược điểm:
Triển khai một CA tin trên mạng của bạn đòi hỏi phải có kiến thức chuyên môn hơn giấy chứng nhận mua, và có thể khó khăn hơn để triển khai.
Bạn có thể hiển mạng của bạn để các lỗ hổng bảo mật cụ thể nếu các biện pháp phòng ngừa cần thiết không được thực hiện khi bạn triển khai một CA tin trên mạng của bạn.
Để biết thông tin về việc triển khai chứng chỉ máy chủ NPS, xem Companion Guide Mạng Foundation: Giấy chứng nhận khai Server, có sẵn trong định dạng HTML trong Windows Server Thư viện kỹ thuật 2008: http://go.microsoft.com/fwlink/?LinkId=108258, và cho tải về trong định dạng Word tại Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=108259.
Hướng dẫn làm thế nào để triển khai chứng chỉ client cho người dùng và máy tính
Để biết thông tin về làm thế nào để triển khai chứng chỉ máy tính và người dùng, xem mạng Foundation Companion Hướng dẫn: Triển khai máy tính và Giấy chứng nhận tài, có sẵn trong định dạng HTML trong Windows Server 2008 Thư viện kỹ thuật: http://go.microsoft.com/fwlink/?LinkId= 113.884, và để tải về ở định dạng Word tại Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=115742.
chính sách mạng NPS và các thiết lập khác NPS
Ngoại trừ các thiết lập cấu hình được thực hiện khi bạn chạy trình hướng dẫn cấu hình 802.1X, như tài liệu trong hướng dẫn này, hướng dẫn này không cung cấp thông tin chi tiết cấu hình thủ điều kiện NPS, ràng buộc, hoặc cài đặt NPS khác.
Để biết thêm thông tin về NPS, xem Tài nguyên bổ sung cho triển khai một mạng LAN không dây trong hướng dẫn này.
DHCP
hướng dẫn triển khai này không cung cấp thông tin về thiết kế hoặc triển khai các DHCP subnet cho mạng LAN không dây.
Để biết thêm thông tin về DHCP, xem Tài nguyên bổ sung cho triển khai một Lanin dây dẫn này.
Thuật ngữ sử dụng trong hướng dẫn này
Sau đây là tổng quan công nghệ cho việc triển khai truy cập không dây:
IEEE 802.1X
Các tiêu chuẩn IEEE 802.1X xác định kiểm soát truy cập mạng dựa trên cổng được sử dụng để cung cấp truy cập mạng xác thực để các mạng Ethernet. Kiểm soát truy cập mạng dựa trên cổng này sử dụng các đặc tính vật lý của các cơ sở hạ tầng mạng LAN chuyển mạch để xác thực các thiết bị gắn vào một cổng LAN. Truy cập vào các cổng có thể bị từ chối nếu quá trình thẩm định thất bại. Mặc dù tiêu chuẩn này được thiết kế cho các mạng Ethernet có dây, nó đã được thích nghi để sử dụng trên mạng LAN không dây 802.11.
Năng 802.1X các điểm truy cập không dây (AP)
Kịch bản này đòi hỏi việc triển khai một hoặc nhiều các AP không dây có tính năng 802.1X tương thích với cả Remote Authentication Dial-In Dịch vụ tài (RADIUS) giao thức.
802.1X và RADIUS AP-tuân thủ, khi chúng được triển khai tại một cơ sở hạ tầng RADIUS với một máy chủ RADIUS như một máy chủ NPS, được gọi là các máy khách RADIUS.
khách hàng không dây
Hướng dẫn này cung cấp thông tin chi tiết cấu hình toàn diện để cung cấp 802.1X xác thực truy cập cho người dùng miền thành viên người kết nối với mạng bằng cách sử dụng các máy tính khách hàng không dây chạy Windows Vista hoặc Windows XP với Service Pack 2 hoặc mới hơn. Máy tính phải được gia nhập vào miền để thiết lập thành công truy cập được chứng thực.
Nếu bạn đang sử dụng máy tính chạy Windows Server 2008 là máy tính của khách hàng, bạn có thể thiết lập 802.1X cung cấp an ninh và khả năng kết nối trên các máy tính bằng cách sử dụng các phần mở rộng của Group Policy cùng của Windows Vista Mạng không dây (IEEE 802.1) Các chính sách như đối với các máy tính chạy Windows Vista. Nếu bạn đang sử dụng máy tính chạy Windows Server 2003 là máy tính của khách hàng, bạn có thể thiết lập 802.1X cung cấp an ninh và khả năng kết nối trên các máy tính bằng cách sử dụng các phần mở rộng của Group Policy cùng của Windows XP Wireless Network (IEEE 802.1) Các chính sách như đối với các máy tính chạy Windows XP.
Dịch vụ Doman Active Directory
Active Directory Doman Services (AD DS) cung cấp một cơ sở dữ liệu phân tán các cửa hàng và quản lý các thông tin về tài nguyên mạng và dữ liệu ứng dụng cụ thể từ các ứng dụng thư mục cho phép. Người quản trị có thể sử dụng AD DS để tổ chức các yếu tố của một mạng, chẳng hạn như người dùng, máy tính và các thiết bị khác, thành một cấu trúc chứa phân cấp. Cấu trúc ngăn chặn phân cấp bao gồm rừng Active Directory, các miền trong rừng, và các đơn vị tổ chức (OU) trong mỗi miền. Một máy chủ đang chạy AD DS được gọi là một bộ điều khiển miền.
AD DS chứa các tài khoản người dùng, tài khoản máy tính, và các tài sản tài khoản được yêu cầu của IEEE 802.1X và PEAP-MS-CHAP v2 để xác thực thông tin người dùng và đánh giá cấp phép cho các kết nối không dây.
Active Directory Users và Computers
Active Directory Users và Computers là một thành phần của AD DS có chứa các tài khoản đại diện cho thực thể vật lý, chẳng hạn như một máy tính, một người, hay một nhóm bảo mật. Một nhóm bảo mật là một bộ sưu tập của người dùng hoặc máy tính tài khoản người quản trị có thể quản lý như một đơn vị duy nhất. Người sử dụng và máy tính của tài khoản thuộc về một nhóm đặc biệt được gọi là các thành viên trong nhóm.
Group Policy Management
Group Policy Management là một Windows Server 2008 tính năng cho phép dựa trên thư mục thay đổi và cấu hình quản lý của người sử dụng và máy tính cài đặt, bao gồm cả an ninh và thông tin người dùng. Bạn sử dụng Group Policy để xác định cấu hình cho nhóm người dùng và máy tính. Với Group Policy, bạn có thể chỉ định các thiết lập cho các khóa registry, bảo mật, cài đặt phần mềm, các kịch bản, thư mục chuyển hướng, dịch vụ cài đặt từ xa, và bảo trì của Internet Explorer. Các thiết lập chính sách nhóm mà bạn tạo được chứa trong một đối tượng Group Policy (GPO). Bằng cách kết hợp một GPO với hệ thống Active Directory chọn container có các trang web, tên miền và các OU-bạn có thể áp dụng các thiết lập của GPO cho người sử dụng và máy tính trong các container Active Directory. Để quản lý các đối tượng Group Policy trên một doanh nghiệp, bạn có thể sử dụng Group Policy Management Editor Microsoft Management Console (MMC).
Hướng dẫn này cung cấp hướng dẫn chi tiết về làm thế nào để xác định các thiết lập trong mạng không dây (IEEE 802.11) Chính sách mở rộng Policy Management Group, do đó cấu hình các thiết lập cần thiết trên máy tính của khách hàng không dây cho 802.1X các truy cập không dây.
chứng chỉ máy chủ
kịch bản triển khai này đòi hỏi chứng chỉ máy chủ cho mỗi máy chủ NPS mà thực hiện xác thực 802.1X.
Một chứng chỉ máy chủ là một tài liệu kỹ thuật số thường được sử dụng để xác thực và giúp thông tin an toàn trên hệ thống mạng mở. Giấy chứng nhận an toàn gắn bó với một khóa công khai để các thực thể nắm giữ chìa khóa riêng tương ứng. Giấy chứng nhận được chữ ký số của CA phát hành, và họ có thể được cấp cho người dùng, máy tính, hoặc một dịch vụ.
Một cơ quan chứng nhận (CA) là một tổ chức chịu trách nhiệm cho việc thiết lập và vouching cho tính xác thực của các khóa công cộng thuộc về đối tượng (thường dùng hoặc máy tính) hoặc các CA khác. Các hoạt động của một cơ quan chứng nhận có thể bao gồm khóa công khai để ràng buộc các tên phân biệt thông qua giấy chứng nhận đã ký, số giấy chứng nhận quản lý và giấy chứng nhận thu hồi.
Dịch vụ chứng chỉ Active Directory (AD CS) là một máy chủ Windows Server 2008 vai trò mà các chứng chỉ như một CA. mạng Một AD cơ sở hạ tầng chứng nhận CS, cũng được gọi là một cơ sở hạ tầng khóa công khai (PKI), cung cấp các dịch vụ tùy biến cho việc phát hành và quản lý giấy chứng nhận cho các doanh nghiệp.
EAP, PEAP, và PEAP-MS-CHAP v2
Extensible Authentication Protocol (EAP) kéo dài Point-to-Point Protocol (PPP) bằng cách cho phép các phương pháp xác thực khác mà sử dụng trao đổi chứng chỉ và các thông tin có độ dài tùy ý. Với xác thực EAP, cả khách hàng truy cập mạng và xác thực (chẳng hạn như máy chủ NPS) phải hỗ trợ cùng loại EAP để xác thực thành công xảy ra. Windows Server 2008 bao gồm một cơ sở hạ tầng EAP, hỗ trợ hai loại EAP, và khả năng để vượt qua các thông điệp EAP đến các máy chủ NPS. Bằng cách sử dụng EAP, bạn có thể hỗ trợ các chương trình xác thực bổ sung, gọi là các loại EAP. Các loại EAP được hỗ trợ bởi Windows Server 2008 như sau:
Transport Layer Security (TLS)
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)
Protected EAP (PEAP) sử dụng TLS để tạo ra một kênh được mã hóa giữa một khách hàng PEAP xác nhận, chẳng hạn như một máy tính không dây, và một xác thực PEAP, chẳng hạn như một máy chủ NPS hoặc máy chủ RADIUS khác. PEAP không xác định một phương pháp xác thực, nhưng nó cung cấp thêm bảo mật cho các giao thức xác thực EAP khác (chẳng hạn như EAP-MS-CHAP v2) có thể hoạt động thông qua việc mã hoá TLS kênh cung cấp bởi PEAP. PEAP được sử dụng như một phương pháp xác thực cho khách hàng truy cập được kết nối với mạng của tổ chức của bạn thông qua các loại sau đây của các máy chủ truy cập mạng (NASS):
Năng 802.1X các điểm truy cập không dây.
Năng 802.1X chứng thực chuyển mạch.
Máy tính chạy Windows Server 2008 và dịch vụ Routing and Remote Access (RRAS) được cấu hình như mạng riêng ảo máy chủ (VPN).
Máy tính chạy Windows Server 2008 và Terminal Services Gateway.
PEAP-MS-CHAP v2 là dễ dàng hơn để triển khai hơn EAP-TLS vì xác thực người dùng được thực hiện bằng cách sử dụng thông tin dựa trên mật khẩu (tên người dùng và mật khẩu), thay vì giấy chứng nhận hoặc thẻ thông minh. Chỉ NPS hoặc máy chủ RADIUS khác được yêu cầu phải có giấy chứng nhận. Chứng chỉ máy chủ NPS được sử dụng bởi các máy chủ NPS trong quá trình xác thực để chứng minh danh tính của mình cho khách hàng PEAP.
Hướng dẫn này cung cấp hướng dẫn cấu hình máy khách không dây của bạn và máy chủ NPS của bạn (s) để sử dụng PEAP-MS-CHAP v2 cho 802.1X xác thực truy cập.
Network Policy Server
Network Policy Server (NPS) cho phép bạn tập trung cấu hình và quản lý chính sách mạng bằng cách sử dụng ba thành phần sau đây: Remote Xác thực Dial-In Dịch vụ tài (RADIUS), RADIUS proxy, và Network Access Protection (NAP) máy chủ chính sách. NPS là cần thiết để triển khai 802.1X truy cập không dây.
Khi bạn cấu hình các điểm truy cập không dây 802.1X của bạn như các máy khách RADIUS trong NPS, NPS xử lý các yêu cầu kết nối được gửi bởi các AP. Trong xử lý yêu cầu kết nối, NPS, xác thực và ủy quyền. Xác thực xác định xem khách hàng đã trình bày các thông tin hợp lệ. Nếu NPS xác thực thành công của khách hàng yêu cầu, sau đó NPS xác định xem khách hàng được ủy quyền để thực hiện kết nối yêu cầu, và hoặc cho phép hoặc từ chối kết nối. Điều này được giải thích chi tiết hơn trong phần sau.
Xác thực
Thành công lẫn nhau PEAP-MS-CHAP v2 xác thực có hai phần chính:
Client xác thực máy chủ NPS. Trong giai đoạn này xác thực lẫn nhau, các máy chủ NPS sẽ gửi chứng chỉ máy chủ của nó vào máy tính của khách hàng để khách hàng có thể xác minh danh tính các máy chủ NPS với giấy chứng nhận. Để xác thực thành công máy chủ NPS, máy tính khách hàng phải tin tưởng CA cấp chứng chỉ máy chủ NPS. Các quỹ tín thác khách hàng CA này khi chứng chỉ của CA có mặt trong Root Certification Authorities lưu trữ chứng chỉ Trusted trên máy khách.
Nếu bạn triển khai CA riêng của bạn, chứng chỉ CA được tự động cài đặt trong kho chứng chỉ Trusted Root Certification Authorities cho người dùng hiện tại và cho các máy tính địa phương khi Group Policy được làm mới trên máy tính của khách hàng thành viên miền. Nếu bạn quyết định để triển khai chứng chỉ máy chủ từ một CA công cộng, hãy chắc chắn rằng chứng chỉ CA công cộng là đã có trong Root Certification Authorities lưu trữ chứng chỉ Trusted.
Các máy chủ NPS xác thực người dùng. Sau khi khách hàng xác thực thành công máy chủ NPS, khách hàng gửi thông tin dựa trên mật khẩu của người dùng với máy chủ NPS, mà xác minh các thông tin của người sử dụng đối với các tài khoản người dùng cơ sở dữ liệu trong Active Directory Doman Services (AD DS).
Nếu các thông tin có giá trị, các máy chủ chạy NPS tiến sang giai đoạn cho phép xử lý các yêu cầu kết nối. Nếu không, NPS sẽ gửi một truy cập Reject và yêu cầu kết nối được chấm dứt.
cho phép
Các máy chủ chạy NPS thực hiện uỷ quyền như sau:
kiểm tra NPS cho những hạn chế trong sử dụng máy tính hoặc tài khoản quay số tài sản trong AD DS.
NPS sau đó xử lý chính sách mạng của nó để tìm một chính sách phù hợp với yêu cầu kết nối. Nếu một chính sách phù hợp được tìm thấy, NPS phép hoặc từ chối các kết nối dựa trên cấu hình của chính sách đó.
Nếu cả hai xác thực và ủy quyền là thành công, trợ cấp NPS truy cập vào mạng, và người sử dụng và máy tính có thể kết nối với các tài nguyên mạng mà họ có quyền.
Để triển khai truy cập không dây, bạn phải cấu hình các chính sách mạng NPS. Hướng dẫn này cung cấp hướng dẫn sử dụng các thủ thuật Configure 802.1X trong NPS để tạo ra các chính sách NPS cho 802.1X các truy cập không dây.
tổng quan về mạng không dây
công nghệ mạng không dây trong khoảng từ thoại và dữ liệu mạng lưới toàn cầu, trong đó cho phép người dùng thiết lập các kết nối không dây trên một khoảng cách dài, với công nghệ ánh sáng và tần số vô tuyến hồng ngoại được tối ưu hóa cho các kết nối không dây tầm ngắn. Thiết bị thường được sử dụng cho mạng không dây bao gồm máy tính xách tay, máy tính để bàn, máy tính cầm tay, trợ lý kỹ thuật số cá nhân (PDA), điện thoại di động, máy tính bút dựa trên, và máy nhắn tin. công nghệ không dây phục vụ cho nhiều mục đích thực tế. Ví dụ, người dùng di động có thể sử dụng điện thoại di động của họ để truy cập e-mail. Khách du lịch với máy tính xách tay có thể kết nối với Internet thông qua các trạm gốc được cài đặt tại các sân bay, nhà ga, và các địa điểm công cộng khác. Ở nhà, người sử dụng có thể kết nối các thiết bị trên máy tính để bàn của họ để đồng bộ hóa dữ liệu và chuyển các tập tin.
Xác định tiêu chuẩn
Để giảm chi phí, đảm bảo khả năng tương tác, và thúc đẩy sự phổ biến của công nghệ không dây, các tổ chức như IEEE (IEEE), Internet Engineering Task Force (IETF), Wireless Ethernet Compatibility Alliance (WECA) và Viễn thông Quốc tế Union (ITU) đang tham gia trong một số nỗ lực tiêu chuẩn chính. Ví dụ, các nhóm làm việc IEEE được xác định như thế nào thông tin được truyền từ một thiết bị khác (cho dù sóng đài phát thanh hoặc ánh sáng hồng ngoại được sử dụng, ví dụ), và làm thế nào và khi một phương tiện truyền dẫn nên được sử dụng cho truyền thông. Trong việc phát triển các tiêu chuẩn mạng không dây, các tổ chức như quản lý IEEE địa chỉ điện, băng thông, an ninh, và các vấn đề đó là duy nhất để kết nối mạng không dây.
loại mạng không dây
Như với mạng có dây, mạng không dây có thể được phân loại thành các loại khác nhau dựa trên các khoảng cách trên đó dữ liệu có thể được truyền đi.
mạng nội bộ không dây
mạng nội bộ không dây (WLAN) công nghệ cho phép người dùng thiết lập các kết nối không dây bên trong một khu vực địa phương (ví dụ, bên trong một tòa nhà của công ty hoặc trường, hoặc trong một không gian công cộng như sân bay). Mạng WLAN có thể được sử dụng trong các văn phòng tạm thời hoặc các không gian khác, nơi mà việc lắp đặt hệ thống cáp mở rộng sẽ được ngăn cấm, hoặc để bổ sung một mạng LAN hiện để người dùng có thể làm việc tại các vị trí khác nhau bên trong một tòa nhà tại những thời điểm khác nhau. Mạng WLAN có thể hoạt động theo hai cách. Trong mạng WLAN cơ sở hạ tầng, các trạm không dây (thiết bị với các adapter mạng vô tuyến hoặc modem bên ngoài) kết nối với các điểm truy cập không dây có chức năng như cầu nối giữa các trạm và các mạng xương sống hiện tại. Trong peer-to-peer (ad hoc) WLAN, một số người sử dụng bên trong một khu vực hạn chế, chẳng hạn như một phòng hội nghị, có thể hình thành một mạng tạm thời mà không sử dụng các điểm truy cập, nếu họ không yêu cầu quyền truy cập vào tài nguyên mạng.
Năm 1997, IEEE phê duyệt chuẩn 802.11 cho mạng WLAN, trong đó xác định một tốc độ truyền dữ liệu của 1-2 megabits mỗi giây (Mbps). Dưới 802.11b, dữ liệu được chuyển với tốc độ tối đa 11 Mbps trên một băng tần 2,4 gigahertz (GHz). tiêu chuẩn khác là 802.11a, quy định cụ thể truyền dữ liệu với tốc độ tối đa 54 Mbps trên một băng tần 5 GHz.
mạng diện rộng không dây (WWANs)
công nghệ WWAN cho phép người dùng thiết lập các kết nối không dây qua mạng công cộng hay tư nhân từ xa. Những kết nối này có thể được duy trì trên khu vực địa lý rộng lớn, chẳng hạn như các thành phố hoặc quốc gia, bằng cách sử dụng nhiều trang web ăng ten hoặc các hệ thống truyền hình vệ tinh được duy trì bởi các nhà cung cấp dịch vụ không dây. công nghệ WWAN hiện nay được gọi là hệ thống thế hệ thứ hai (2G). hệ thống 2G chính bao gồm Global System for Mobile Communications (GSM), Cellular gói tin dữ liệu kỹ thuật số (CDPD), và Code Division Multiple Access (CDMA). Các nỗ lực đang được tiến hành để chuyển đổi từ mạng 2G, một số trong đó có khả năng chuyển vùng hạn chế và không tương thích với nhau, để thế hệ thứ ba (3G) công nghệ mà sẽ theo một tiêu chuẩn toàn cầu và cung cấp khả năng trên toàn thế giới chuyển vùng. ITU đang tích cực thúc đẩy sự phát triển của một tiêu chuẩn toàn cầu cho 3G.
mạng lưới khu vực đô thị không dây (WMANs)
công nghệ WMAN cho phép người dùng thiết lập các kết nối không dây giữa nhiều địa điểm trong một khu vực đô thị (ví dụ, giữa nhiều tòa nhà văn phòng trong một thành phố hoặc trên một khuôn viên trường đại học), mà không cần chi phí cao của đặt đường dây cáp quang hoặc cáp Ethernet và cho thuê. Ngoài ra, WMANs có thể phục vụ như sao lưu cho các mạng có dây, các đường dây thuê bao chính cho mạng có dây nên trở thành không có. WMANs sử dụng một trong hai sóng phát thanh hay ánh sáng hồng ngoại để truyền dữ liệu. mạng truy nhập không dây băng thông rộng, cho phép người dùng truy cập Internet tốc độ cao với Internet, đang có nhu cầu ngày càng tăng. Mặc dù công nghệ khác nhau, chẳng hạn như các dịch vụ phân phối đa kênh đa điểm (MMDS) và các dịch vụ phân phối đa điểm địa phương (LMDS), đang được sử dụng, các chuẩn IEEE 802.16 nhóm làm việc cho các tiêu chuẩn truy cập không dây băng thông rộng vẫn đang phát triển kỹ thuật để chuẩn phát triển của các công nghệ này.
https://technet.microsoft.com/en-us/library/dd283093(v=ws.10).aspx
Comments
Post a Comment