Partager via

Planification du déploiement de l’accès sans fil

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Avant de déployer l’accès sans fil, vous devez planifier les éléments suivants :

  • Installation de points d’accès sans fil (AP) sur votre réseau

  • Configuration de client d'accès sans fil

Les sections suivantes fournissent des détails sur ces étapes de planification.

Planification des installations d’AP sans fil

Lorsque vous concevez votre solution d’accès réseau sans fil, vous devez effectuer les opérations suivantes :

  1. Déterminez les normes que vos points d’accès sans fil doivent prendre en charge
  2. Déterminer les zones de couverture où vous souhaitez fournir un service sans fil
  3. Déterminer où vous souhaitez localiser les points d’accès sans fil

En outre, vous devez planifier un schéma d’adresses IP pour les clients sans fil et d’AP sans fil. Pour plus d’informations, consultez la section Planifier la configuration des AP sans fil dans NPS ci-dessous.

Vérifier la prise en charge des points d’accès sans fil pour les normes

Pour des raisons de cohérence et de facilité de déploiement et de gestion des AP, il est recommandé de déployer des points d’accès sans fil de la même marque et du même modèle.

Les points d’accès sans fil que vous déployez doivent prendre en charge les éléments suivants :

  • IEEE 802.1X

  • Authentification RADIUS

  • Authentification et chiffrement sans fil. Répertorié dans l’ordre de la plupart des à moins préférés :

    1. WPA2-Enterprise avec AES

    2. WPA2-Enterprise avec TKIP

    3. WPA2-Enterprise avec AES

    4. WPA2-Enterprise avec TKIP

Remarque

Pour déployer WPA2, vous devez utiliser des cartes réseau sans fil et des points d’accès sans fil qui prennent également en charge WPA2. Sinon, utilisez WPA-Enterprise.

En outre, pour renforcer la sécurité du réseau, les points d’accès sans fil doivent prendre en charge les options de sécurité suivantes :

  • Filtrage DHCP. Le point d’accès sans fil doit filtrer sur les ports IP pour empêcher la transmission de messages de diffusion DHCP dans les cas où le client sans fil est configuré en tant que serveur DHCP. Le point d’accès sans fil doit empêcher le client d’envoyer des paquets IP du port UDP 68 au réseau.

  • Filtrage DNS. Le point d’accès sans fil doit filtrer sur les ports IP pour empêcher un client de fonctionner en tant que serveur DNS. L’AP sans fil doit empêcher le client d’envoyer des paquets IP à partir du port TCP ou UDP 53 au réseau.

  • Isolation du client Si votre point d’accès sans fil fournit des fonctionnalités d’isolation du client, vous devez activer la fonctionnalité pour empêcher d’éventuelles attaques d’usurpation d’identité du protocole de résolution d’adresses (ARP).

Identifier les zones de couverture pour les utilisateurs sans fil

Utilisez des dessins architecturaux de chaque étage pour chaque bâtiment pour identifier les zones où vous souhaitez fournir une couverture sans fil. Par exemple, identifiez les bureaux, les salles de conférence, les halls d’entrée, les cafétérias ou les cours appropriés.

Sur les dessins, indiquez tous les appareils qui interfèrent avec les signaux sans fil, tels que l’équipement médical, les caméras vidéo sans fil, les téléphones sans fil qui fonctionnent dans la gamme 2,4 à 2,5 GHz Industrial, Scientific and Medical (ISM) et les appareils compatibles Bluetooth.

Sur le dessin, marquer les aspects du bâtiment susceptibles d’interférer avec les signaux sans fil; les objets métalliques utilisés dans la construction d’un bâtiment peuvent affecter le signal sans fil. Par exemple, les objets courants suivants peuvent interférer avec la propagation du signal : ascenseurs, conduits de chauffage et de climatisation, et poutres de support en béton.

Pour plus d’informations sur les sources susceptibles d’entraîner une atténuation de la fréquence radio AP sans fil, consultez le fabricant de votre AP. La plupart des points d’accès fournissent des logiciels de test que vous pouvez utiliser pour vérifier la force du signal, le taux d’erreur et le débit de données.

Déterminer où installer les points d’accès sans fil

Sur les dessins architecturaux, localisez vos points d’accès sans fil suffisamment proches les uns des autres pour fournir une couverture sans fil suffisante, mais suffisamment éloignés pour qu’ils n’interfèrent pas entre eux.

La distance nécessaire entre les points d’accès dépend du type d’antenne AP et AP, des aspects du bâtiment qui bloquent les signaux sans fil et d’autres sources d’interférence. Vous pouvez marquer les emplacements d’AP sans fil afin que chaque point d’accès sans fil ne soit pas situé à plus de 300 pieds d’un point d’accès sans fil adjacent. Consultez la documentation du fabricant de l’AP sans fil pour connaître les spécifications d’AP et les instructions relatives à l’emplacement.

Installez temporairement des points d’accès sans fil aux emplacements spécifiés sur vos dessins architecturaux. Ensuite, à l’aide d’un ordinateur portable équipé d’un adaptateur sans fil 802.11 et du logiciel d’enquête de site qui est généralement fourni avec des adaptateurs sans fil, déterminez la puissance du signal dans chaque zone de couverture.

Dans les zones de couverture où la puissance du signal est faible, positionnez le point d’accès pour améliorer la puissance du signal pour la zone de couverture, installez des points d’accès sans fil supplémentaires pour fournir la couverture nécessaire, déplacez ou supprimez les sources d’interférence de signal.

Mettez à jour vos dessins architecturaux pour indiquer l’emplacement final de toutes les points d’accès sans fil. Disposer d’une carte de placement d’AP précise vous aidera ultérieurement lors des opérations de résolution des problèmes ou lorsque vous souhaitez mettre à niveau ou remplacer des points d’accès.

Planifier la configuration de l’AP sans fil et du client RADIUS NPS

Vous pouvez utiliser NPS pour configurer des points d’accès sans fil individuellement ou en groupes.

Si vous déployez un réseau sans fil volumineux qui comprend de nombreuses points d’accès, il est beaucoup plus facile de configurer des points d’accès dans des groupes. Pour ajouter les points d’accès en tant que groupes de clients RADIUS dans NPS, vous devez configurer les points d’accès avec ces propriétés.

  • Les points d’accès sans fil sont configurés avec des adresses IP de la même plage d’adresses IP.

  • Les points d’accès sans fil sont tous configurés avec le même secret partagé.

Planifier l’utilisation de la reconnexion rapide PEAP

Dans une infrastructure 802.1X, les points d’accès sans fil sont configurés en tant que clients RADIUS pour les serveurs RADIUS. Lorsque la connexion rapide PEAP est déployée, un client sans fil qui se déplace entre deux points d’accès ou plus n’est pas obligatoirement authentifié à chaque nouvelle association.

La reconnexion rapide PEAP réduit le temps de réponse pour l’authentification entre le client et l’authentificateur, car la demande d’authentification est transférée à partir du nouveau point d’accès au NPS qui a initialement effectué l’authentification et l’autorisation pour la demande de connexion client.

Étant donné que le client PEAP et NPS utilisent tous deux des propriétés de connexion TLS (Transport Layer Security) précédemment mises en cache (dont la collection est nommée handle TLS), le NPS peut rapidement déterminer que le client est autorisé à se reconnecter.

Important

Pour que la connexion rapide fonctionne correctement, les points d’accès doivent être configurés en tant que clients RADIUS du même NPS.

Si le serveur NPS d’origine devient indisponible ou si le client se déplace vers un point d’accès configuré en tant que client RADIUS vers un autre serveur RADIUS, l’authentification complète doit se produire entre le client et le nouvel authentificateur.

Configuration de l’AP sans fil

La liste suivante récapitule les éléments couramment configurés sur les points d’accès sans fil compatibles 802.1X :

Remarque

Les noms d’éléments peuvent varier selon la marque et le modèle et peuvent être différents de ceux de la liste suivante. Pour plus d’informations sur la configuration, consultez la documentation de votre AP sans fil.

  • Identificateur du jeu de services (SSID). Il s’agit du nom du réseau sans fil (par exemple, ExampleWlan) et du nom qui est publié pour les clients sans fil. Pour réduire la confusion, le SSID que vous choisissez de publier ne doit pas correspondre au SSID diffusé par les réseaux sans fil qui se trouvent dans la plage de réception de votre réseau sans fil.

    Dans les cas où plusieurs adresses APS sans fil sont déployées dans le cadre du même réseau sans fil, configurez chaque AP sans fil avec le même SSID. Dans les cas où plusieurs adresses APS sans fil sont déployées dans le cadre du même réseau sans fil, configurez chaque AP sans fil avec le même SSID.

    Dans les cas où vous avez besoin de déployer différents réseaux sans fil pour répondre à des besoins métier spécifiques, les API sans fil sur un réseau doivent diffuser un SSID différent de celui de vos autres réseaux. Par exemple, si vous avez besoin d’un réseau sans fil distinct pour vos employés et invités, vous pouvez configurer vos points d’accès sans fil pour le réseau d’entreprise avec le SSID défini pour diffuser ExampleWLAN. Pour votre réseau invité, vous pouvez ensuite définir le SSID de chaque point d’accès sans fil pour diffuser GuestWLAN. De cette façon, vos employés et invités peuvent se connecter au réseau prévu sans confusion inutile.

    Conseil

    Certains points d’accès sans fil ont la possibilité de diffuser plusieurs SSID pour prendre en charge les déploiements multi-réseau. Les POINTS d’accès sans fil qui peuvent diffuser plusieurs SSID peuvent réduire les coûts de déploiement et de maintenance opérationnelle.

  • Authentification et chiffrement sans fil.

    L’authentification sans fil est l’authentification de sécurité utilisée lorsque le client sans fil est associé à un point d’accès sans fil.

    Le chiffrement sans fil est le chiffrement de sécurité utilisé avec l’authentification sans fil pour protéger les communications envoyées entre le point d’accès sans fil et le client sans fil.

  • Adresse IP de l’AP sans fil (statique). Sur chaque point d’accès sans fil, configurez une adresse IP statique unique. Si le sous-réseau est pris en charge par un serveur DHCP, assurez-vous que toutes les adresses IP AP se trouvent dans une plage d’exclusion DHCP afin que le serveur DHCP n’essaie pas d’émettre la même adresse IP sur un autre ordinateur ou appareil. Les plages d’exclusion sont documentées dans la procédure « Pour créer et activer une nouvelle étendue DHCP » dans le Guide du réseau principal. Si vous envisagez de configurer des points d’accès en tant que clients RADIUS par groupe dans NPS, chaque point d’accès du groupe doit avoir une adresse IP de la même plage d’adresses IP.

  • Nom DNS. Certaines adresses IP sans fil peuvent être configurées avec un nom DNS. Configurez chaque point d’accès sans fil avec un nom unique. Par exemple, si vous avez déployé des points d’accès sans fil dans un bâtiment à plusieurs étages, vous pouvez nommer les trois premières points d’accès sans fil déployés au troisième étage AP3-01, AP3-02 et AP3-03.

  • Masque de sous-réseau AP sans fil. Configurez le masque pour désigner la partie de l’adresse IP qui correspond à l’ID réseau et la partie de l’adresse IP qui correspond à l’hôte.

  • Service DHCP AP. Si votre point d’accès sans fil dispose d’un service DHCP intégré, désactivez-le.

  • Secret partagé RADIUS. Utilisez un secret partagé RADIUS unique pour chaque AP sans fil, sauf si vous envisagez de configurer des clients RADIUS NPS dans des groupes. Dans ce cas, vous devez configurer tous les points d’accès du groupe avec le même secret partagé. Les secrets partagés doivent être une séquence aléatoire d’au moins 22 caractères, avec des lettres majuscules et minuscules, des chiffres et des signes de ponctuation. Pour garantir l’aléatoire, vous pouvez utiliser un programme de génération de caractères aléatoires pour créer vos secrets partagés. Il est recommandé d’enregistrer le secret partagé pour chaque point d’accès sans fil et de le stocker dans un emplacement sécurisé, tel qu’un coffre-fort du bureau. Quand vous configurez des clients RADIUS dans la console NPS, vous créez une version virtuelle de chaque AP. Le secret partagé que vous configurez sur chaque AP virtuel dans NPS doit correspondre au secret partagé sur l’AP physique réelle.

  • Adresse IP du serveur RADIUS. Tapez l’adresse IP du serveur NPS que vous souhaitez utiliser pour authentifier et autoriser les demandes de connexion à ce point d’accès.

  • Port(s) UDP. Par défaut, NPS utilise les ports UDP 1812 et 1645 pour les messages d’authentification RADIUS et les ports UDP 1813 et 1646 pour les messages de comptabilité RADIUS. Il est recommandé de ne pas modifier les paramètres de ports UDP RADIUS par défaut.

  • VSAs. Certaines adresses IP sans fil nécessitent des attributs spécifiques au fournisseur (VSA) pour fournir des fonctionnalités d’AP sans fil complètes.

  • Filtrage DHCP. Configurez des points d’accès sans fil pour empêcher les clients sans fil d’envoyer des paquets IP du port UDP 68 au réseau. Consultez la documentation de votre POINT d’accès sans fil pour configurer le filtrage DHCP.

  • Filtrage DNS. Configurez les points d’accès sans fil pour empêcher les clients sans fil d’envoyer des paquets IP à partir du port TCP ou UDP 53 au réseau. Consultez la documentation de votre point d’accès sans fil pour configurer le filtrage DNS.

Planification de la configuration et de l’accès des clients sans fil

Lorsque vous planifiez le déploiement de l’accès sans fil authentifié 802.1X, vous devez prendre en compte plusieurs facteurs spécifiques au client :

  • Planification de la prise en charge de plusieurs normes.

    Déterminez si vos ordinateurs sans fil utilisent tous la même version de Windows ou s’ils sont un mélange d’ordinateurs exécutant des systèmes d’exploitation différents. Si elles sont différentes, veillez à comprendre les différences de normes prises en charge par les systèmes d’exploitation.

    Déterminez si toutes les cartes réseau sans fil de tous les ordinateurs clients sans fil prennent en charge les mêmes normes sans fil, ou si vous devez prendre en charge différentes normes. Par exemple, déterminez si certains pilotes matériels de carte réseau prennent en charge WPA2-Enterprise et AES, tandis que d’autres prennent uniquement en charge WPA-Enterprise et TKIP.

  • Planification du mode d’authentification du client. Les modes d’authentification définissent la façon dont les clients Windows traitent les informations d’identification de domaine. Vous pouvez choisir parmi les trois modes d’authentification réseau suivants dans les stratégies de réseau sans fil.

    1. Nouvelle authentification de l'utilisateur Ce mode spécifie que l’authentification est toujours effectuée à l’aide d’informations d’identification de sécurité basées sur l’état actuel de l’ordinateur. Lorsqu’aucun utilisateur n’est connecté à l’ordinateur, l’authentification est effectuée en utilisant les informations d’identification de l’ordinateur. Si un utilisateur est connecté sur l'ordinateur, l'authentification est toujours effectuée avec les informations d'identification de l'utilisateur.

    2. Ordinateur uniquement Le mode Ordinateur uniquement spécifie que l’authentification est toujours effectuée en utilisant uniquement les informations d’identification de l’ordinateur.

    3. Authentification utilisateur. Le mode d’authentification utilisateur spécifie que l’authentification est effectuée uniquement lorsque l’utilisateur est connecté à l’ordinateur. Lorsqu’aucun utilisateur n’est connecté à l’ordinateur, les tentatives d’authentification ne sont pas effectuées.

  • Planification des restrictions sans fil. Déterminez si vous souhaitez fournir à tous vos utilisateurs sans fil le même niveau d’accès à votre réseau sans fil, ou si vous souhaitez restreindre l’accès à certains de vos utilisateurs sans fil. Vous pouvez appliquer des restrictions dans NPS à des groupes spécifiques d’utilisateurs sans fil. Par exemple, vous pouvez définir des jours et des heures spécifiques pendant lesquels certains groupes sont autorisés à accéder au réseau sans fil.

  • Méthodes de planification pour l’ajout de nouveaux ordinateurs sans fil. Pour les ordinateurs sans fil qui sont joints à votre domaine avant de déployer votre réseau sans fil, si l’ordinateur est connecté à un segment du réseau câblé qui n’est pas protégé par la norme 802.1X, les paramètres de configuration sans fil sont automatiquement appliqués après avoir configuré les stratégies de réseau sans fil (IEEE 802.11) sur le contrôleur de domaine et après que stratégie de groupe a été actualisé sur le client sans fil.

    Toutefois, pour les ordinateurs qui ne sont pas déjà joints à votre domaine, vous devez planifier une méthode pour appliquer les paramètres requis pour l’accès authentifié 802.1X. Par exemple, déterminez si vous souhaitez joindre l’ordinateur au domaine à l’aide de l’une des méthodes suivantes.

    1. Connectez l’ordinateur à un segment du réseau câblé qui n’est pas protégé par 802.1X, puis joignez l’ordinateur au domaine.

    2. Fournissez à vos utilisateurs sans fil les étapes et les paramètres dont ils ont besoin pour ajouter leur propre profil de démarrage sans fil, ce qui leur permet de joindre l’ordinateur au domaine.

    3. Affecter le personnel informatique pour joindre des clients sans fil au domaine.

Planification de la prise en charge de plusieurs normes

L’extension de stratégies de réseau sans fil (IEEE 802.11) dans stratégie de groupe fournit un large éventail d’options de configuration pour prendre en charge diverses options de déploiement.

Vous pouvez déployer des points d’accès sans fil configurés avec les normes que vous souhaitez prendre en charge, puis configurer plusieurs profils sans fil dans les stratégies de réseau sans fil (IEEE 802.11), chaque profil spécifiant un ensemble de normes dont vous avez besoin.

Par exemple, si votre réseau dispose d’ordinateurs sans fil qui prennent en charge WPA2-Enterprise et AES, d’autres ordinateurs qui prennent en charge WPA-Enterprise et AES, et d’autres ordinateurs qui prennent en charge uniquement WPA-Enterprise et TKIP, vous devez déterminer si vous souhaitez :

  • Configurez un profil unique pour prendre en charge tous les ordinateurs sans fil à l’aide de la méthode de chiffrement la plus faible prise en charge par tous vos ordinateurs , dans ce cas, WPA-Enterprise et TKIP.
  • Configurez deux profils pour fournir la meilleure sécurité possible prise en charge par chaque ordinateur sans fil. Dans ce cas, vous devez configurer un profil qui spécifie le chiffrement le plus fort (WPA2-Enterprise et AES) et un profil qui utilise le chiffrement WPA-Enterprise et TKIP le plus faible. Dans cet exemple, il est essentiel de placer le profil qui utilise WPA2-Enterprise et AES le plus élevé dans l’ordre de préférence. Les ordinateurs qui ne sont pas en mesure d’utiliser WPA2-Enterprise et AES passent automatiquement au profil suivant dans l’ordre de préférence et traitent le profil qui spécifie WPA-Enterprise et TKIP.

Important

Vous devez placer le profil avec les normes les plus sécurisées plus haut dans la liste triée des profils, car les ordinateurs connectés utilisent le premier profil qu’ils sont capables d’utiliser.

Planification de l’accès restreint au réseau sans fil

Dans de nombreux cas, vous souhaiterez peut-être fournir aux utilisateurs sans fil différents niveaux d’accès au réseau sans fil. Par exemple, vous pouvez autoriser certains utilisateurs à accéder sans restriction, à n’importe quelle heure de la journée, tous les jours de la semaine. Pour les autres utilisateurs, vous souhaiterez peut-être autoriser l’accès uniquement pendant les heures de base, du lundi au vendredi, et refuser l’accès le samedi et le dimanche.

Ce guide fournit des instructions pour créer un environnement d’accès qui place tous vos utilisateurs sans fil dans un groupe avec un accès commun aux ressources sans fil. Vous créez un groupe de sécurité d’utilisateurs sans fil dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis vous faites de chaque utilisateur auquel vous souhaitez accorder l’accès sans fil un membre de ce groupe.

Lorsque vous configurez des stratégies réseau NPS, vous spécifiez le groupe de sécurité des utilisateurs sans fil comme objet que NPS traite lors de la détermination de l’autorisation.

Toutefois, si votre déploiement nécessite la prise en charge de différents niveaux d’accès, vous devez uniquement effectuer les opérations suivantes :

  1. Créez plusieurs groupes de sécurité Utilisateurs sans fil pour créer des groupes de sécurité sans fil supplémentaires dans Utilisateurs et ordinateurs Active Directory. Par exemple, vous pouvez créer un groupe qui contient des utilisateurs disposant d’un accès complet, un groupe pour ceux qui n’ont accès qu’aux heures normales de travail et d’autres groupes qui répondent à d’autres critères qui correspondent à vos besoins.

  2. Ajoutez des utilisateurs aux groupes de sécurité appropriés que vous avez créés.

  3. Configurez des stratégies réseau NPS supplémentaires pour chaque groupe de sécurité sans fil supplémentaire et configurez les stratégies pour appliquer les conditions et les contraintes dont vous avez besoin pour chaque groupe.

Méthodes de planification pour l’ajout de nouveaux ordinateurs sans fil

La méthode recommandée pour joindre de nouveaux ordinateurs sans fil au domaine, puis se connecter au domaine consiste à utiliser une connexion câblée à un segment du réseau local qui a accès aux contrôleurs de domaine et qui n’est pas protégé par un commutateur Ethernet d’authentification 802.1X.

Dans certains cas, toutefois, il peut ne pas être pratique d’utiliser une connexion câblée pour joindre des ordinateurs au domaine ou, pour un utilisateur, d’utiliser une connexion câblée pour sa première tentative d’ouverture de session à l’aide d’ordinateurs déjà joints au domaine.

Pour joindre un ordinateur au domaine à l’aide d’une connexion sans fil ou pour que les utilisateurs se connectent au domaine la première fois à l’aide d’un ordinateur joint à un domaine et d’une connexion sans fil, les clients sans fil doivent d’abord établir une connexion au réseau sans fil sur un segment qui a accès aux contrôleurs de domaine réseau à l’aide de l’une des méthodes suivantes.

  1. Un membre du personnel informatique joint un ordinateur sans fil au domaine, puis configure un profil sans fil d’amorçage de l’authentification unique. Avec cette méthode, un administrateur informatique connecte l’ordinateur sans fil au réseau Ethernet câblé, puis joint l’ordinateur au domaine. Ensuite, l’administrateur distribue l’ordinateur à l’utilisateur. Lorsque l’utilisateur démarre l’ordinateur, les informations d’identification de domaine qu’il spécifie manuellement pour le processus d’ouverture de session de l’utilisateur sont utilisées pour établir une connexion au réseau sans fil et se connecter au domaine.

  2. L’utilisateur configure manuellement l’ordinateur sans fil avec le profil sans fil bootstrap, puis rejoint le domaine. Avec cette méthode, les utilisateurs configurent manuellement leurs ordinateurs sans fil avec un profil sans fil de démarrage en fonction des instructions d’un administrateur informatique. Le profil sans fil de démarrage permet aux utilisateurs d’établir une connexion sans fil, puis de joindre l’ordinateur au domaine. Après avoir joint l’ordinateur au domaine et redémarré l’ordinateur, l’utilisateur peut se connecter au domaine à l’aide d’une connexion sans fil et des informations d’identification de son compte de domaine.

Pour déployer l’accès sans fil, consultez Déploiement de l’accès sans fil.