Bereitstellung des kennwortbasierten authentifizierten 802.1X-Funkzugriffs
Dies ist ein Begleithandbuch zum Windows Server® 2016-Kernnetzwerkhandbuch. Das Kernnetzwerkhandbuch bietet Anweisungen zum Planen und Bereitstellen der Komponenten, die für eine einwandfreie Funktion des Netzwerks und eine neue Active Directory®-Domäne in einer neuen Gesamtstruktur erforderlich sind.
In diesem Handbuch wird der Aufbau eines Hauptnetzwerks erläutert. Es finden sich Anweisungen zum Bereitstellen von IEEE (Institute of Electrical and Electronics Engineers) 802.1 X-authentifiziertem IEEE 802.11-Drahtloszugriff mit PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol – Microsoft Challenge Handshake Authentication Protocol, Version 2).
Da Benutzer bei PEAP-MS-CHAP v2 während des Authentifizierungsprozesses kennwortbasierte Anmeldeinformationen anstelle eines Zertifikats angeben, ist die Bereitstellung in der Regel einfacher und kostengünstiger als bei EAP-TLS oder PEAP-TLS.
Hinweis
In diesem Handbuch wird der IEEE 802.1X-authentifizierte Funkzugriff mit PEAP-MS-CHAP v2 als „Funkzugriff“ oder „WLAN-Zugriff“ abgekürzt.
Über diesen Leitfaden
Zusammen mit den unten beschriebenen Handbüchern zu erforderlichen Komponenten bietet dieses Handbuch Anweisungen zum Bereitstellen der folgenden Infrastruktur für WLAN-Zugriff.
Mindestens ein 802.1X-fähiger 802.11-Funkzugriffspunkt
AD DS-Benutzer und -Computer (Active Directory Domain Services)
Gruppenrichtlinienverwaltung
Mindestens ein Netzwerkrichtlinienserver (Network Policy Server, NPS)
Serverzertifikate für Computer, auf denen NPS ausgeführt wird
Funkclientcomputer mit Windows® 10, Windows 8.1 oder Windows 8
Voraussetzungen für dieses Handbuch
Um mithilfe dieses Handbuchs erfolgreich authentifizierten Funkzugriff bereitzustellen, müssen Sie über eine Netzwerk- und Domänenumgebung mit allen erforderlichen Technologien verfügen. Außerdem müssen Serverzertifikate für Ihre authentifizierenden Netzwerkrichtlinienserver bereitgestellt werden.
Die folgenden Abschnitte enthalten Dokumentationslinks zur Bereitstellung dieser Technologien.
Voraussetzungen für die Netzwerk- und Domänenumgebung
Dieses Handbuch richtet sich an Netzwerk- und Systemadministrator*innen, die die Anleitungen im Windows Server 2016-Kernnetzwerkhandbuch zum Bereitstellen eines Kernnetzwerks befolgt haben, oder an diejenigen, die die im Kernnetzwerkhandbuch erwähnten Kerntechnologien bereits bereitgestellt haben, einschließlich AD DS, Domain Name Service (DNS), Dynamic Host Configuration-Protokoll (DHCP), TCP/IP, Netzwerkrichtlinienserver (NPS) und Windows Internet Name Services (WINS).
Das Kernnetzwerkhandbuch für Windows Server 2016 ist in der technischen Bibliothek für Windows Server 2016 verfügbar.
Voraussetzungen für Serverzertifikate
Für die Registrierung von Authentifizierungsservern mit Serverzertifikaten für die 802.1X-Authentifizierung stehen zwei Optionen zur Verfügung: die Bereitstellung einer eigenen Public Key-Infrastruktur über die Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS) oder die Verwendung von Serverzertifikaten, die von einer öffentlichen Zertifizierungsstelle registriert werden.
AD CS
Netzwerk- und Systemadministrator*innen, die authentifizierten Funkzugriff bereitstellen, müssen die Anweisungen im Windows Server 2016-Begleithandbuch zum Kernnetzwerk, Bereitstellen des kennwortbasierten authentifizierten 802.1X-Funkzugriffs, befolgen. In diesem Handbuch wird erläutert, wie Sie AD CS bereitstellen und verwenden, um Serverzertifikate automatisch auf Computern zu registrieren, die als Netzwerkrichtlinienserver (NPS) ausgeführt werden.
Dieses Handbuch finden Sie unter den folgenden Speicherorten.
- Windows Server 2016-Begleithandbuch zum Kernnetzwerk, Bereitstellen von Serverzertifikaten für drahtgebundene und drahtlose 802.1X-Bereitstellungen, im HTML-Format in der technischen Bibliothek
Öffentliche Zertifizierungsstelle
Sie können Serverzertifikate von einer öffentlichen Zertifizierungsstelle wie VeriSign erwerben, der Clientcomputer bereits vertrauen.
Ein Clientcomputer vertraut einer Zertifizierungsstelle, wenn das Zertifizierungsstellenzertifikat im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen installiert ist. Standardmäßig verfügen Computer unter Windows über mehrere öffentliche Zertifizierungsstellenzertifikate, die im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen installiert sind.
Sie sollten die Entwurfs- und Bereitstellungshandbücher für jede der Technologien einsehen, die in diesem Bereitstellungsszenario verwendet werden. Diese Handbücher können Ihnen helfen, zu bestimmen, ob dieses Bereitstellungsszenario die Dienste und Konfigurationen bietet, die Sie zur Organisation des Netzwerks benötigen.
Requirements (Anforderungen)
Im Folgenden sind die Anforderungen für die Bereitstellung einer Funkzugriffsinfrastruktur anhand des in diesem Handbuch beschriebenen Szenarios aufgeführt:
Vor der Bereitstellung dieses Szenarios müssen Sie zuerst 802.1X-fähige Funkzugriffspunkte erwerben, um die Funkabdeckung an den gewünschten Stellen Ihres Standorts zu gewährleisten. Der Planungsabschnitt dieses Handbuchs unterstützt Sie beim Festlegen der Features, die von Ihren Zugriffspunkten unterstützt werden müssen.
Active Directory Domain Services (AD DS) sind installiert, ebenso wie die anderen erforderlichen Netzwerktechnologien gemäß den Anweisungen im Windows Server 2016-Kernnetzwerkhandbuch.
AD CS werden bereitgestellt, und Serverzertifikate sind bei Netzwerkrichtlinienservern registriert. Diese Zertifikate sind für die Bereitstellung der zertifikatbasierten Authentifizierungsmethode PEAP-MS-CHAP v2 erforderlich, die in diesem Handbuch verwendet wird.
Ein Mitglied Ihrer Organisation ist mit den IEEE 802.11-Standards vertraut, die von Ihren Funkzugriffspunkten und den auf den Clientcomputern und Geräten in Ihrem Netzwerk installierten Funknetzwerkadaptern unterstützt werden. Beispielsweise sollte jemand in Ihrer Organisation mit Funkfrequenztypen, der 802.11-Funkauthentifizierung (WPA2 oder WPA) und Verschlüsselungsverfahren (AES oder TKIP) vertraut sein.
Nicht in diesem Handbuch enthaltene Informationen
Im Folgenden finden Sie einige Punkte, die in diesem Handbuch nicht bereitgestellt werden:
Umfassende Anleitung für die Auswahl 802.1X-fähiger Funkzugriffspunkte
Da zwischen Marken und Modellen mit 802.1X-fähigen Funkzugriffspunkten große Unterschiede bestehen, enthält dieses Handbuch keine detaillierten Informationen zu folgenden Aspekten:
Ermitteln der Marke oder des Modells von Funkzugriffspunkten, die Ihren Anforderungen am besten entsprechen
Physische Bereitstellung von Funkzugriffspunkten in Ihrem Netzwerk
Erweiterte Konfiguration von Funkzugriffspunkten, z. B. für Funk-VLANs (virtuelle lokale Netzwerke)
Anweisungen zum Konfigurieren anbieterspezifischer Attribute von Funkzugriffspunkten auf Netzwerkrichtlinienservern
Darüber hinaus variieren Terminologie und Namen für Einstellungen zwischen den Marken und Modellen von Funkzugriffspunkten und stimmen daher möglicherweise nicht mit den generischen Einstellungsnamen überein, die in diesem Handbuch verwendet werden. Informationen zur Konfiguration von Funkzugriffspunkten finden Sie in der Produktdokumentation, die vom Hersteller Ihrer Funkzugriffspunkte bereitgestellt wird.
Anweisungen zum Bereitstellen von Zertifikaten für Netzwerkrichtlinienserver (NPS)
Für die Bereitstellung von NPS-Zertifikaten gibt es zwei Alternativen. Dieses Handbuch enthält keine umfassenden Anleitungen, mit denen Sie ermitteln können, welche Alternative Ihren Anforderungen am besten entspricht. Im Allgemeinen stehen Ihnen jedoch folgende Optionen zur Verfügung:
Erwerben von Zertifikaten von einer öffentlichen Zertifizierungsstelle, z. B. VeriSign, die von Windows-basierten Clients bereits als vertrauenswürdig eingestuft wurde. Diese Option wird in der Regel für kleinere Netzwerke empfohlen.
Bereitstellen einer PKI (Public Key-Infrastruktur) in Ihrem Netzwerk mithilfe von AD CS. Dies wird für die meisten Netzwerke empfohlen, und die Anweisungen zum Bereitstellen von Serverzertifikaten mit AD CS finden Sie im zuvor erwähnten Bereitstellungshandbuch.
NPS-Netzwerkrichtlinien und andere NPS-Einstellungen
Mit Ausnahme der Konfigurationseinstellungen, die beim Ausführen des Assistenten zum Konfigurieren von 802.1X in diesem Handbuch vorgenommen werden, enthält dieses Handbuch keine detaillierten Informationen für die manuelle Konfiguration von NPS-Bedingungen, -Einschränkungen oder anderen NPS-Einstellungen.
DHCP
Dieses Bereitstellungshandbuch enthält keine Informationen zum Entwerfen oder Bereitstellen von DHCP-Subnetzen für Funk-LANs.
Technologieübersicht
Im Folgenden finden Sie Technologieübersichten für die Bereitstellung von Funkzugriff:
IEEE 802.1X
Der IEEE 802.1X-Standard definiert die portbasierte Netzwerkzugriffssteuerung, die für die Bereitstellung des authentifizierten Netzwerkzugriffs auf Ethernet-Netzwerke verwendet wird. Diese portbasierte Netzwerkzugriffssteuerung verwendet die physischen Merkmale der Switch-LAN-Infrastruktur, um Geräte zu authentifizieren, die mit einem LAN-Port verbunden sind. Der Zugriff auf den Port kann verweigert werden, wenn der Authentifizierungsvorgang fehlschlägt. Dieser Standard wurde ursprünglich für verkabelte Ethernet-Netzwerke entwickelt und dann für 802.11-Funk-LANs übernommen.
802.1X-fähige 802.11-Funkzugriffspunkte
Dieses Szenario erfordert die Bereitstellung mindestens eines 802.1X-fähigen Funkzugriffspunkts, der mit dem RADIUS-Protokoll (Remote Authentication Dial-In User Service) kompatibel ist.
Wenn 802.1X- und RADIUS-konforme Zugriffspunkte in einer RADIUS-Infrastruktur mit einem RADIUS-Server wie einem Netzwerkrichtlinienserver bereitgestellt werden, bezeichnet man sie als RADIUS-Clients.
Funkclients
Dieses Handbuch enthält umfassende Konfigurationsdetails zum Bereitstellen des 802.1X-authentifizierten Zugriffs für Domänenmitgliedsbenutzer*innen, die eine Verbindung mit dem Netzwerk über Funkclientcomputer unter Windows 10, Windows 8.1 und Windows 8 herstellen. Computer müssen der Domäne beigetreten sein, um den authentifizierten Zugriff erfolgreich einrichten zu können.
Hinweis
Sie können als Funkclients auch Computer verwenden, auf denen Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 ausgeführt wird.
Unterstützung für IEEE 802.11-Standards
Unterstützte Windows- und Windows Server-Betriebssysteme bieten integrierte Unterstützung für 802.11-Funknetzwerke. In diesen Betriebssystemen wird ein installierter 802.11-Funknetzwerkadapter als Funknetzwerkverbindung im Netzwerk- und Freigabecenter angezeigt.
Auch wenn integrierte Unterstützung für 802.11-Funknetzwerke bereitgestellt wird, sind die Funkkomponenten von Windows von Folgendem abhängig:
Von den Funktionen des Funknetzwerkadapters. Der installierte Funknetzwerkadapter muss die von Ihnen benötigten WLAN- oder Funksicherheitsstandards unterstützen. Wenn der Funknetzwerkadapter beispielsweise WPA (Wi-Fi Protected Access) nicht unterstützt, können Sie keine WPA-Sicherheitsoptionen aktivieren oder konfigurieren.
Von den Funktionen des Funknetzwerkadapter-Treibers. Damit Sie Funknetzwerkoptionen konfigurieren können, muss der Treiber für den Funknetzwerkadapter das Melden aller Funktionen an Windows unterstützen. Vergewissern Sie sich, dass der Treiber für Ihren Funknetzwerkadapter für die Funktionen Ihres Betriebssystems geschrieben wurde. Stellen Sie außerdem sicher, dass der Treiber der neuesten Version entspricht, indem Sie Microsoft Update oder die Website des Anbieters des Funknetzwerkadapters überprüfen.
Die folgende Tabelle zeigt die Übertragungsraten und -frequenzen für gängige IEEE 802.11-Funkstandards.
Standards | Frequenzen | Bitübertragungsraten | Verwendung |
---|---|---|---|
802.11 | ISM-Frequenzbereich (Industrial, Scientific, Medical) im S-Band (2,4 bis 2,5 GHz) | 2 Megabit pro Sekunde (MBit/s) | Veraltet. Nicht häufig verwendet. |
802.11b | ISM im S-Band | 11 MBit/s | Häufig verwendet. |
802.11a | ISM im C-Band (5,725 bis 5,875 GHz) | 54 MBit/s | Aufgrund der Kosten und des begrenzten Umfangs nicht häufig verwendet. |
802.11g | ISM im S-Band | 54 MBit/s | Weit verbreitet. 802.11g-Geräte sind mit 802.11b-Geräten kompatibel. |
802,11n \2,4 und 5,0 GHz | ISM im C-Band und S-Band | 250 MBit/s | Geräte, die auf dem Standard IEEE 802.11n vor der Ratifizierung basieren, wurden im August 2007 verfügbar. Viele 802.11n-Geräte sind mit 802.11a-, b- und g-Geräten kompatibel. |
802.11ac | 5 GHz | 6,93 GBit/s | 802.11ac wurde vom IEEE im Jahr 2014 genehmigt, ist skalierbarer und schneller als 802.11n und wird dort bereitgestellt, wo dies sowohl von Zugriffspunkten als auch von Funkclients unterstützt wird. |
Sicherheitsmethoden für Funknetzwerke
Sicherheitsmethoden für Funknetzwerke sind eine informelle Gruppierung der Funkauthentifizierung (manchmal auch als Funksicherheit bezeichnet) und der Funksicherheitsverschlüsselung. Funkauthentifizierung und -verschlüsselung werden kombiniert eingesetzt, um den Zugriff nicht autorisierter Benutzer*innen auf das Funknetzwerk zu verhindern und Funkübertragungen zu schützen.
Beim Konfigurieren von Funksicherheitseinstellungen in den Funknetzwerkrichtlinien der Gruppenrichtlinie stehen mehrere Kombinationen zur Auswahl. Allerdings werden nur die Authentifizierungsstandards WPA2-Enterprise, WPA-Enterprise und 802.1X Open für 802.1X-authentifizierte Funkbereitstellungen unterstützt.
Hinweis
Beim Konfigurieren von Funknetzwerkrichtlinien müssen Sie WPA2-Enterprise, WPA-Enterprise oder 802.1X Open auswählen, um Zugriff auf die EAP-Einstellungen zu erhalten, die für authentifizierte 802.1X-Funkbereitstellungen erforderlich sind.
Funkauthentifizierung
In diesem Handbuch wird die Verwendung der folgenden Funkauthentifizierungsstandards für authentifizierte 802.1X-Funkbereitstellungen empfohlen.
Wi-Fi Protected Access – Enterprise (WPA-Enterprise) WPA ist ein Zwischenstandard, der von der WiFi Alliance zur Konformität mit dem 802.11-Funksicherheitsprotokoll entwickelt wurde. Das WPA-Protokoll wurde als Reaktion auf eine Reihe schwerwiegender Fehler entwickelt, die im vorherigen WEP-Protokoll (Wired Equivalent Privacy) entdeckt wurden.
WPA-Enterprise bietet eine verbesserte Sicherheit gegenüber WEP durch:
Anfordern einer Authentifizierung, die das 802.1X-EAP-Framework als Teil der Infrastruktur verwendet, die eine zentralisierte gegenseitige Authentifizierung und dynamische Schlüsselverwaltung gewährleistet
Verbessern des Integritätsprüfungswerts (Integrity Check, ICV) durch eine Nachrichtenintegritätsprüfung (Message Integrity Check, MIC) zum Schutz von Header und Nutzdaten
Implementieren eines Framezählers zur Abwehr von Replay-Angriffen
Wi-Fi Protected Access 2 – Enterprise (WPA2-Enterprise) Genau wie der WPA-Enterprise-Standard verwendet WPA2-Enterprise das 802.1X- und EAP-Framework. WPA2-Enterprise bietet einen besseren Schutz von Daten für mehrere Benutzer*innen und umfangreiche verwaltete Netzwerke. WPA2-Enterprise ist ein robustes Protokoll, das nicht autorisierten Netzwerkzugriff verhindert, indem Netzwerkbenutzer*innen über einen Authentifizierungsserver überprüft werden.
Funksicherheitsverschlüsselung
Anhand der Funksicherheitsverschlüsselung werden die Funkübertragungen geschützt, die zwischen dem Funkclient und dem Funkzugriffspunkt stattfinden. Die Funksicherheitsverschlüsselung wird in Verbindung mit der ausgewählten Authentifizierungsmethode für Netzwerksicherheit verwendet. Standardmäßig werden auf Computern unter Windows 10, Windows 8.1 und Windows 8 zwei Verschlüsselungsstandards unterstützt:
Temporal Key Integrity Protocol (TKIP) ist ein älteres Verschlüsselungsprotokoll, das ursprünglich für eine sicherere Funkverschlüsselung als die durch das inhärent schwache WEP-Protokoll (Wired Equivalent Privacy) bereitgestellte konzipiert wurde. TKIP wurde von der IEEE 802.11i-Aufgabengruppe und der Wi-Fi Alliance entwickelt, um WEP ohne den Austausch veralteter Hardware zu ersetzen. TKIP ist eine Sammlung von Algorithmen, die die WEP-Nutzdaten kapselt und Benutzer*innen von älteren WLAN-Geräten ein Upgrade auf TKIP ohne den Austausch von Hardware ermöglicht. Wie WEP verwendet auch TKIP den RC4-Streamverschlüsselungsalgorithmus als Grundlage. Das neue Protokoll verschlüsselt jedoch jedes Datenpaket mit einem eindeutigen Verschlüsselungsschlüssel, und die Schlüssel sind viel stärker als die von WEP. TKIP dient zwar zum Aktualisieren der Sicherheit auf älteren Geräten, die nur für die Verwendung von WEP konzipiert wurden, behebt jedoch nicht alle Sicherheitsprobleme im Zusammenhang mit Funk-LANs, und in den meisten Fällen ist es nicht ausreichend robust, um vertrauliche Datenübertragungen von Behörden oder Unternehmen zu schützen.
Advanced Encryption Standard (AES) ist das bevorzugte Verschlüsselungsprotokoll für die Verschlüsselung kommerzieller und behördlicher Daten. AES bietet ein höheres Maß an Funkübertragungssicherheit als TKIP oder WEP. Im Gegensatz zu TKIP und WEP benötigt AES Funkhardware, die den AES-Standard unterstützt. AES ist ein Verschlüsselungsstandard mit symmetrischen Schlüsseln, der drei Blockverschlüsselungsverfahren verwendet: AES-128, AES-192 und AES-256.
Unter Windows Server 2016 stehen die folgenden AES-basierten Funkverschlüsselungsmethoden für die Konfiguration in Funkprofileigenschaften zur Verfügung, wenn Sie als Authentifizierungsmethode wie empfohlen WPA2-Enterprise auswählen.
- AES-CCMP. CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) implementiert den 802.11i-Standard, ist für eine höhere Sicherheitsverschlüsselung als von WEP bereitgestellt konzipiert und verwendet 128-Bit-AES-Verschlüsselungsschlüssel.
- AES-GCMP. Galois Counter Mode Protocol (GCMP) wird von 802.11ac unterstützt, ist effizienter als AES-CCMP und bietet eine bessere Leistung für Funkclients. GCMP verwendet 256-Bit-AES-Verschlüsselungsschlüssel.
Wichtig
Wired Equivalency Privacy (WEP) war der ursprüngliche Funksicherheitsstandard, der zum Verschlüsseln des Netzwerkdatenverkehrs verwendet wurde. Sie sollten WEP nicht in Ihrem Netzwerk bereitstellen, da in dieser veralteten Sicherheitsform bekannte Sicherheitsrisiken vorliegen.
Active Directory Domain Services (AD DS)
Mit AD DS wird eine verteilte Datenbank bereitgestellt, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus AD-fähigen Anwendungen gespeichert und verwaltet werden. Administratoren können AD DS verwenden, um die Elemente eines Netzwerks (z. B. Benutzer, Computer und andere Geräte) in einer hierarchischen Struktur aus Einschlussbeziehungen zu organisieren. Diese hierarchische Struktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten in den einzelnen Domänen. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.
AD DS enthält die Benutzerkonten, Computerkonten und Kontoeigenschaften, die von IEEE 802.1X und PEAP-MS-CHAP v2 zum Authentifizieren von Benutzeranmeldeinformationen und zum Auswerten der Autorisierung für Funkverbindungen erforderlich sind.
Active Directory-Benutzer und -Computer
Active Directory-Benutzer und -Computer ist eine Komponente von AD DS, die Konten enthält, die physische Entitäten darstellen, z. B. einen Computer, eine Person oder eine Sicherheitsgruppe. Eine Sicherheitsgruppe ist eine Sammlung von Benutzer- oder Computerkonten, die Administrator*innen als einzelne Einheit verwalten können. Benutzer- und Computerkonten, die einer bestimmten Gruppe angehören, werden als Gruppenmitglieder bezeichnet.
Gruppenrichtlinienverwaltung
Die Gruppenrichtlinienverwaltung ermöglicht verzeichnisbasierte Änderungs- und Konfigurationsverwaltung von Benutzer- und Computereinstellungen, einschließlich Sicherheit und Benutzerinformationen. Sie verwenden die Gruppenrichtlinie, um Konfigurationen für Benutzer- und Computergruppen zu definieren. Mit der Gruppenrichtlinie können Sie Einstellungen für Registrierungseinträge, Sicherheit, Softwareinstallation, Skripts, Ordnerumleitung, Remoteinstallationsdienste und Internet Explorer-Wartung festlegen. Die von Ihnen erstellten Einstellungen für die Gruppenrichtlinie sind in einem Gruppenrichtlinienobjekt (GPO) enthalten. Sie können ein Gruppenrichtlinienobjekt ausgewählten Active Directory-Systemcontainern (Websites, Domänen und Organisationseinheiten) zuordnen, um die Einstellungen des Gruppenrichtlinienobjekts auf die Benutzer*innen und Computer in diesen Active Directory-Containern anzuwenden. Um Gruppenrichtlinienobjekte in einem Unternehmen zu verwalten, können Sie den Gruppenrichtlinienverwaltungs-Editor der Microsoft Management Console (MMC) verwenden.
Dieses Handbuch enthält ausführliche Anweisungen zum Angeben von Einstellungen in der Erweiterung für Funknetzwerkrichtlinien (IEEE 802.11) in der Gruppenrichtlinienverwaltung. Anhand der Funknetzwerkrichtlinien (IEEE 802.11) werden in die Domäne eingebundene Funkclientcomputer mit den erforderlichen Konnektivitäts- und Funkeinstellungen für den authentifizierten 802.1X-Funkzugriff konfiguriert.
Serverzertifikate
Für dieses Bereitstellungsszenario sind Serverzertifikate für jeden Netzwerkrichtlinienserver erforderlich, der eine 802.1X-Authentifizierung durchführt.
Ein Serverzertifikat ist ein digitales Dokument, das häufig für die Authentifizierung und für die Absicherung von Informationen in offenen Netzwerken verwendet wird. Ein Zertifikat verbindet einen öffentlichen Schlüssel sicher mit der Entität, die den entsprechenden privaten Schlüssel besitzt. Zertifikate werden von der ausstellenden Zertifizierungsstelle (Certification Authority, CA) digital signiert und können für einzelne Benutzer*innen, Computer oder Dienste ausgestellt werden.
Eine Zertifizierungsstelle ist eine Entität, die für die Herstellung und Authentizität öffentlicher Schlüssel verantwortlich sind, die zu einem bestimmten Antragsteller (normalerweise Benutzer*innen oder Computern) oder anderen Zertifizierungsstellen gehören. Zu den Aktivitäten einer Zertifizierungsstelle gehören beispielsweise das Binden öffentlicher Schlüssel an Distinguished Names über signierte Zertifikate, das Verwalten von Seriennummern von Zertifikaten und das Sperren von Zertifikaten.
Active Directory-Zertifikatdienste (AD CS) sind eine Serverrolle, die Zertifikate als Netzwerkzertifizierungsstelle ausstellt. Eine AD CS-Zertifikatinfrastruktur, auch Public Key-Infrastruktur (PKI), stellt Unternehmen anpassbare Dienste zum Ausstellen und Verwalten von Zertifikaten zur Verfügung.
EAP, PEAP und PEAP-MS-CHAP v2
EAP (Extensible Authentication-Protokoll) erweitert PPP (Point-to-Point-Protokoll) um zusätzliche Authentifizierungsmethoden, bei denen Anmeldeinformationen und Informationen mit zufälliger Länge ausgetauscht werden. Bei der EAP-Authentifizierung müssen der Netzwerkzugriffsclient und der Authentifikator (beispielsweise der Netzwerkrichtlinienserver) denselben EAP-Typ unterstützen, damit eine erfolgreiche Authentifizierung erfolgen kann. Windows Server 2016 umfasst eine EAP-Infrastruktur, unterstützt zwei EAP-Typen und bietet die Möglichkeit, EAP-Nachrichten an Netzwerkrichtlinienserver zu übergeben. Mithilfe von EAP können Sie zusätzliche Authentifizierungsschemas unterstützen, die als EAP-Typen bezeichnet werden. Folgende EAP-Typen werden von Windows Server 2016 unterstützt:
Transport Layer Security (TLS)
Microsoft Challenge Handshake Authentication-Protokoll, Version 2 (MS-CHAP v2)
Wichtig
Starke EAP-Typen (z. B. solche, die auf Zertifikaten basieren) bieten eine bessere Sicherheit vor Brute-Force-Angriffen, Wörterbuchangriffen und dem Erraten von Kennwörtern als kennwortbasierte Authentifizierungsprotokolle (z. B. CHAP oder MS-CHAP, Version 1).
Protected EAP (PEAP) verwendet TLS, um einen verschlüsselten Kanal zwischen einem authentifizierenden PEAP-Client, z. B. einem Funkcomputer, und einem PEAP-Authentifikator wie einem Netzwerkrichtlinienserver oder anderen RADIUS-Servern zu erstellen. PEAP gibt keine Authentifizierungsmethode an, bietet jedoch zusätzliche Sicherheit für andere EAP-Authentifizierungsprotokolle (z. B. EAP-MS-CHAP v2), die über den von PEAP bereitgestellten TLS-verschlüsselten Kanal betrieben werden können. PEAP wird als Authentifizierungsmethode für Zugriffsclients verwendet, die über die folgenden Arten von Netzwerkzugriffsservern eine Verbindung mit dem Netzwerk Ihrer Organisation herstellen:
802.1X-fähige Funkzugriffspunkte
802.1X-fähige Authentifizierungsswitches
Computer, auf denen Windows Server 2016 und RAS ausgeführt werden und die als VPN-Server (Virtual Private Network), DirectAccess-Server oder beides konfiguriert sind
Computer, auf denen Windows Server 2016 und Remotedesktopdienste ausgeführt werden
PEAP-MS-CHAP v2 ist einfacher bereitzustellen als EAP-TLS, weil die Benutzerauthentifizierung mit kennwortbasierten Anmeldeinformationen (Benutzername und Kennwort) anstelle von Zertifikaten oder Smartcards durchgeführt wird. Nur Netzwerkrichtlinienserver oder andere RADIUS-Server müssen über ein Zertifikat verfügen. Das NPS-Zertifikat wird vom Netzwerkrichtlinienserver während des Authentifizierungsprozesses verwendet, um seine Identität gegenüber PEAP-Clients nachzuweisen.
Dieses Handbuch enthält Anweisungen zum Konfigurieren Ihrer Funkclients und Ihrer Netzwerkrichtlinienserver für die Verwendung von PEAP-MS-CHAP v2 für den 802.1X-authentifizierten Zugriff.
Netzwerkrichtlinienserver
Mit dem Netzwerkrichtlinienserver (Network Policy Server, NPS) können Sie Netzwerkrichtlinien mithilfe eines RADIUS-Servers (Remote Authentication Dial-In User Service) und eines RADIUS-Proxys zentral konfigurieren und verwalten. Ein Netzwerkrichtlinienserver ist für die Bereitstellung von 802.1X-Funkzugriff erforderlich.
Wenn Sie Ihre 802.1X-Funkzugriffspunkte als RADIUS-Clients auf dem Netzwerkrichtlinienserver konfigurieren, verarbeitet der Netzwerkrichtlinienserver die von den Zugriffspunkten gesendeten Verbindungsanforderungen. Während der Verarbeitung von Verbindungsanforderungen führt der Netzwerkrichtlinienserver die Authentifizierung und Autorisierung durch. Bei der Authentifizierung wird ermittelt, ob der Client gültige Anmeldeinformationen vorgelegt hat. Wenn der Netzwerkrichtlinienserver den anfordernden Client erfolgreich authentifiziert, ermittelt er im Anschluss daran, ob der Client zum Herstellen der angeforderten Verbindung autorisiert ist, und erlaubt oder verweigert die Verbindung. Dies wird nachfolgend ausführlicher erläutert:
Authentifizierung
Eine erfolgreiche gegenseitige PEAP-MS-CHAP v2-Authentifizierung umfasst zwei Hauptteile:
Der Client authentifiziert den Netzwerkrichtlinienserver. Während dieser Phase der gegenseitigen Authentifizierung sendet der Netzwerkrichtlinienserver sein Serverzertifikat an den Clientcomputer, damit der Client die Identität des Netzwerkrichtlinienservers anhand des Zertifikats überprüfen kann. Um den Netzwerkrichtlinienserver erfolgreich zu authentifizieren, muss der Clientcomputer der Zertifizierungsstelle vertrauen, die das NPS-Zertifikat ausgestellt hat. Der Client vertraut dieser Zertifizierungsstelle, wenn das Zertifikat der Zertifizierungsstelle im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf dem Clientcomputer vorhanden ist.
Wenn Sie Ihre eigene private Zertifizierungsstelle bereitstellen, wird das Zertifizierungsstellenzertifikat automatisch im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen für den/die aktuelle(n) Benutzer*in und für den lokalen Computer installiert, sobald die Gruppenrichtlinie auf dem in die Domäne eingebundenen Clientcomputer aktualisiert wird. Wenn Sie Serverzertifikate aus einer öffentlichen Zertifizierungsstelle bereitstellen möchten, stellen Sie sicher, dass sich das Zertifikat der öffentlichen Zertifizierungsstelle bereits im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen befindet.
Der Netzwerkrichtlinienserver authentifiziert die Benutzer*innen. Nachdem der Client den Netzwerkrichtlinienserver erfolgreich authentifiziert hat, sendet er die kennwortbasierten Anmeldeinformationen der Benutzer*innen an den Netzwerkrichtlinienserver. Dieser verifiziert diese Anmeldeinformationen anhand der Benutzerkontendatenbank in Active Directory Domain Services (AD DS).
Wenn die Anmeldeinformationen gültig sind und die Authentifizierung erfolgreich ist, beginnt der Netzwerkrichtlinienserver mit der Autorisierungsphase zur Verarbeitung der Verbindungsanforderung. Wenn die Anmeldeinformationen ungültig sind und die Authentifizierung fehlschlägt, sendet der Netzwerkrichtlinienserver eine Nachricht „Zugriff verweigert“, und die Verbindungsanforderung wird abgelehnt.
Autorisierung
Der Server, auf dem der Netzwerkrichtlinienserver ausgeführt wird, nimmt die Autorisierung folgendermaßen vor:
Der Netzwerkrichtlinienserver überprüft die Einwahleigenschaften des Benutzer- oder Computerkontos in AD DS auf Einschränkungen. Jedes Benutzer- und Computerkonto in Active Directory-Benutzer und -Computer enthält mehrere Eigenschaften, einschließlich derjenigen auf der Registerkarte Einwahl. Wenn auf dieser Registerkarte unter Netzwerkzugriffsberechtigung der Wert Zugriff zulassen angezeigt wird, ist der/die entsprechende Benutzer*in oder der Computer autorisiert, eine Verbindung mit dem Netzwerk herzustellen. Wenn der Wert Zugriff verweigern lautet, ist der/die Benutzer*in oder der Computer nicht autorisiert, eine Verbindung mit dem Netzwerk herzustellen. Wenn der Wert Zugriff über NPS-Netzwerkrichtlinien steuern lautet, wertet der Netzwerkrichtlinienserver die konfigurierten Netzwerkrichtlinien aus, um zu ermitteln, ob der/die Benutzer*in oder der Computer zum Herstellen einer Verbindung mit dem Netzwerk autorisiert ist.
Der Netzwerkrichtlinienserver verarbeitet dann seine Netzwerkrichtlinien, um eine Richtlinie zu finden, die der Verbindungsanforderung entspricht. Wenn eine passende Richtlinie gefunden wird, gewährt oder verweigert der Netzwerkrichtlinienserver die Verbindung basierend auf der Konfiguration dieser Richtlinie.
Wenn sowohl die Authentifizierung als auch die Autorisierung erfolgreich durchgeführt wurden und die entsprechende Netzwerkrichtlinie Zugriff gewährt, erteilt der Netzwerkrichtlinienserver Zugriff auf das Netzwerk, und der/die Benutzer*in und der Computer können eine Verbindung mit Netzwerkressourcen herstellen, für die sie über Berechtigungen verfügen.
Hinweis
Zum Bereitstellen des Funkzugriffs müssen Sie NPS-Richtlinien konfigurieren. Dieses Handbuch enthält Anweisungen für die Verwendung des Assistenten zum Konfigurieren von 802.1X in NPS, um NPS-Richtlinien für den authentifizierten 802.1X-Funkzugriff zu erstellen.
Bootstrapprofile
In 802.1X-authentifizierten Funknetzwerken müssen Funkclients Sicherheitsanmeldeinformationen bereitstellen, die von einem RADIUS-Server authentifiziert werden, damit eine Verbindung mit dem Netzwerk hergestellt werden kann. Für das Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication-Protokoll, Version 2 [MS-CHAP v2] bestehen die Sicherheitsanmeldeinformationen aus einem Benutzernamen und einem Kennwort. Für EAP-Transport Layer Security [TLS] oder PEAP-TLS bestehen die Sicherheitsanmeldeinformationen aus Zertifikaten, z. B. Clientbenutzer- und Computerzertifikate oder Smartcards.
Wenn Sie eine Verbindung mit einem Netzwerk herstellen, das für die PEAP-MS-CHAP v2-, PEAP-TLS- oder EAP-TLS-Authentifizierung konfiguriert ist, müssen Windows-Funkclients standardmäßig auch ein vom RADIUS-Server gesendetes Computerzertifikat überprüfen. Das Computerzertifikat, das vom RADIUS-Server für jede Authentifizierungssitzung gesendet wird, bezeichnet man im Allgemeinen als Serverzertifikat.
Wie oben erwähnt, können Sie das Serverzertifikat Ihrer RADIUS-Server auf zwei Arten ausstellen: über eine kommerzielle Zertifizierungsstelle (z. B. VeriSign, Inc.) oder über eine private Zertifizierungsstelle, die Sie in Ihrem Netzwerk bereitstellen. Wenn der RADIUS-Server ein Computerzertifikat sendet, das von einer kommerziellen Zertifizierungsstelle ausgestellt wurde, für die bereits ein Stammzertifikat im Clientzertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen installiert ist, kann der Funkclient das Computerzertifikat des RADIUS-Servers unabhängig davon überprüfen, ob der Funkclient in die Active Directory-Domäne eingebunden ist. In diesem Fall kann der Funkclient eine Verbindung mit dem Funknetzwerk herstellen, und dann können Sie den Computer in die Domäne einbinden.
Hinweis
Das Verhalten, bei dem eine Überprüfung des Serverzertifikats durch den Client erforderlich ist, kann deaktiviert werden. Das Deaktivieren der Serverzertifikatüberprüfung wird in Produktionsumgebungen jedoch nicht empfohlen.
Funkbootstrapprofile sind temporäre Profile, die so konfiguriert sind, dass Funkclientbenutzer*innen eine Verbindung mit dem 802.1X-authentifizierten Funknetzwerk herstellen können, bevor der Computer in die Domäne eingebunden wird und/oder bevor sich der/die Benutzer*in erfolgreich über einen bestimmten Funkcomputer zum ersten Mal bei der Domäne angemeldet hat. In diesem Abschnitt wird zusammengefasst, welches Problem beim Einbinden eines Funkcomputers in die Domäne oder bei der erstmaligen Verwendung eines in die Domäne eingebundenen Funkcomputers für die Anmeldung bei der Domäne auftritt.
Für Bereitstellungen, bei denen Benutzer*innen oder IT-Administrator*innen einen in die Domäne einzubindenden Computer nicht physisch mit dem kabelgebundenen Ethernet-Netzwerk verbinden können und bei denen auf dem Computer nicht das erforderliche ausstellende Stammzertifizierungsstellenzertifikat im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen installiert ist, können Sie Funkclients mit einem temporären Funkverbindungsprofil, einem sogenannten Bootstrapprofil konfigurieren, um eine Verbindung mit dem Funknetzwerk herzustellen.
Mit einem Bootstrapprofil ist es nicht erforderlich, das Computerzertifikat des RADIUS-Servers zu überprüfen. Durch diese temporäre Konfiguration kann der Computer in die Domäne eingebunden werden. Zu diesem Zeitpunkt werden die Richtlinien für Funknetzwerke (IEEE 802.11) angewendet, und das entsprechende Zertifikat der Stammzertifizierungsstelle wird automatisch auf dem Computer installiert.
Bei Anwendung der Gruppenrichtlinie wird mindestens ein Funkverbindungsprofil, das die Anforderung für die gegenseitige Authentifizierung erzwingt, auf den Computer angewendet. Das Bootstrapprofil ist nicht mehr erforderlich und wird entfernt. Nach dem Einbinden des Computers in die Domäne und einem Neustart des Computers kann sich der/die Benutzer*in über eine Funkverbindung bei der Domäne anmelden.
Eine Übersicht über den Bereitstellungsprozess für den Funkzugriff anhand dieser Technologien finden Sie unter Übersicht über die Bereitstellung des Funkzugriffs.