Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di distribuire l'accesso wireless, è necessario pianificare i seguenti elementi:
Installazione di punti di accesso wireless sulla rete
Configurazione e accesso client wireless
Le sezioni seguenti forniscono informazioni dettagliate su questi passaggi di pianificazione.
Pianificazione delle installazioni di punti di accesso wireless
Quando si progetta la soluzione di accesso di rete wireless, è necessario eseguire le operazioni seguenti:
- Determinare quali standard devono supportare l'accesso senza fili
- Determinare le aree di copertura in cui si desidera fornire servizi senza fili
- Determinare dove si desidera individuare i punti di accesso wireless
Inoltre, è necessario pianificare uno schema di indirizzi IP per i client wireless e i punti di accesso wireless. Consultare la sezione pianificare la configurazione di punti di accesso wireless in NPS di seguito per informazioni correlate.
Verificare il supporto dei punti di accesso wireless per gli standard
Ai fini della coerenza e della facilità di distribuzione e gestione dei punti di accesso wireless, è consigliabile distribuire indirizzi IP wireless dello stesso marchio e modello.
I punti di accesso wireless distribuiti devono supportare quanto segue:
IEEE 802.1X
Autenticazione RADIUS
Autenticazione wireless e crittografia. Elencato in ordine dal più adatto al meno adatto:
WPA2-Enterprise con AES
WPA2-Enterprise con TKIP
WPA-Enterprise con AES
WPA-Enterprise con TKIP
Nota
Per distribuire WPA2, è necessario utilizzare schede di rete wireless e punti di accesso wireless che supportano WPA2. In caso contrario, usare WPA-Enterprise.
Inoltre, per fornire protezione avanzata per la rete, punti di accesso wireless deve supportare le opzioni di sicurezza seguenti:
Filtri DHCP. Il punto di accesso wireless deve filtrare porte IP per impedire la trasmissione di messaggi trasmessi DHCP nei casi in cui il client wireless è configurato come server DHCP. Il punto di accesso wireless deve impedire al client di inviare pacchetti IP dalla porta UDP 68 alla rete.
Il filtro dei DNS. Il punto di accesso wireless deve filtrare in base alle porte IP per impedire che un client funzioni come server DNS. Il punto di accesso wireless deve impedire al client di inviare pacchetti IP dalla porta TCP o UDP 53 alla rete.
Isolamento dei client Se il punto di accesso wireless fornisce ai client le funzionalità di isolamento, è necessario abilitare la funzionalità per impedire possibili sfruttamenti di spoofing Address Resolution Protocol (ARP).
Identificare le aree di copertura per gli utenti wireless
Utilizzare disegni architettonici di ogni piano per ogni edificio per identificare le aree in cui si desidera fornire copertura wireless. Ad esempio, identificare gli uffici appropriati, sale conferenze, ingressi, caffetterie o cortili.
Nei disegni, indicare tutti i dispositivi che interferiscono con i segnali wireless, ad esempio apparecchiature mediche, videocamere senza fili, telefoni che operano in 2.4 tramite 2.5 GHz industriale, ISM e dispositivi abilitati per il Bluetooth.
Sul disegno, contrassegnare gli aspetti dell'edificio che potrebbero interferire con segnali wireless; oggetti in metallo utilizzati nella costruzione di un edificio possono influire sul segnale wireless. Ad esempio, i seguenti oggetti comuni possono interferire con la propagazione di segnale: ascensori, condotte per riscaldamento e aria condizionata e gire di supporto in cemento.
Per informazioni su fonti che potrebbero causare l'attenuazione della frequenza radio del punto di accesso wireless, consultare il produttore del punto di accesso. La maggior parte dei punti di accesso fornisce software di test che è possibile usare per verificare la forza del segnale, la frequenza degli errori e la velocità effettiva dei dati.
Stabilire dove installare i punti di accesso wireless
Nei disegni architettonici, collocare i punti di accesso wireless abbastanza vicini da fornire una copertura wireless ampia, ma abbastanza distanti in modo che non interferiscano tra loro.
La distanza tra punti di accesso necessaria dipende dal tipo di punto di accesso e antenna PA, gli aspetti dell'edificio che bloccano wireless segnali e altre fonti di interferenze. È possibile contrassegnare posizioni AP senza fili in modo che ogni punto di accesso wireless non più di 300 piedi da qualsiasi punto di accesso wireless adiacente. Consultare la documentazione del produttore del punto di accesso wireless per le specifiche e le linee guida per il posizionamento.
Installare temporaneamente punti di accesso wireless nelle posizioni specificate nei disegni architettonici. Quindi, utilizza un computer portatile dotato di una scheda di rete wireless 802.11 e il software di sondaggio del sito che in genere viene fornito con schede di rete wireless, determinare la qualità del segnale all'interno di ogni area di copertura.
Nelle aree di copertura in cui la potenza del segnale è bassa, posizionare il punto di accesso per migliorare la potenza del segnale per l'area di copertura, installare ulteriori punti di accesso wireless per fornire una copertura necessaria, spostare o rimuovere le origini di interferenze del segnale.
Aggiornare i disegni architettonici per indicare la posizione finale di tutti i punti di accesso wireless. La presenza di una mappa accurata per il posizionamento dei punti di accesso wireless sarà utile in un secondo momento durante le operazioni di risoluzione dei problemi o quando si vuole aggiornare o sostituire un punto di accesso.
Pianificare la configurazione di punti di accesso e il Client RADIUS dei criteri di RETE wireless
È possibile utilizzare criteri di RETE per configurare i punti di accesso wireless singolarmente o in gruppi.
Se si distribuisce una rete wireless di grandi dimensioni che include numerosi punti di accesso, è molto più semplice configurare i punti di accesso in gruppi. Per aggiungere i punti di accesso come gruppi di client RADIUS in Criteri di RETE, è necessario configurare i punti di accesso con queste proprietà.
Punti di accesso wireless configurati con indirizzi IP dallo stesso intervallo di indirizzi IP.
Tutti i punti di accesso wireless sono configurati con lo stesso segreto condiviso.
Pianificare l'uso di PEAP Fast Reconnect
In un'infrastruttura 802.1X, i punti di accesso wireless vengono configurati come client RADIUS ai server RADIUS. Quando si distribuisce la riconnessione rapida PEAP, non è necessario autenticare un client wireless che esegua il roaming tra due o più punti di accesso con ogni nuova associazione.
La riconnessione rapida PEAP riduce il tempo di risposta per l'autenticazione tra client e autenticatore perché la richiesta di autenticazione viene inoltrata dal nuovo punto di accesso al server dei criteri di rete che ha originariamente eseguito l'autenticazione e l'autorizzazione per la richiesta di connessione client.
Poiché sia il client PEAP che i criteri di rete usano entrambe le proprietà di connessione TLS (Transport Layer Security) memorizzate nella cache (la raccolta di cui è denominato l'handle TLS), il server dei criteri di rete può determinare rapidamente che il client è autorizzato per una riconnessione.
Importante
Per il corretto funzionamento della riconnessione rapida, i punti di accesso devono essere configurati come client RADIUS dello stesso server dei criteri di rete.
Se il server dei criteri di rete originale non è più disponibile o se il client passa a un punto di accesso configurato come client RADIUS in un server RADIUS diverso, bisogna effettuare l'autenticazione completa tra il client e il nuovo autenticatore.
Configurazione del punto di accesso wireless
L'elenco seguente riepiloga gli elementi comunemente configurati su punti di accesso 802.1X wireless:
Nota
I nomi degli elementi possono variare in base al marchio e al modello e potrebbero essere diversi da quelli nell'elenco seguente. Consultare la documentazione sulla configurazione dei punti di accesso wireless per dettagli specifici.
SSID (identificatore del set di servizi di rete). Si tratta del nome della rete wireless (ad esempio, ExampleWlan) e del nome annunciato ai client wireless. Per ridurre la confusione, l’SSID che si sceglie di annunciare non deve corrispondere all’SSID trasmesso da qualsiasi rete wireless che si trovi all'interno dell'intervallo di ricezione della rete wireless.
Nei casi in cui più punti di accesso wireless vengono distribuiti come parte della stessa rete wireless, configurare ogni punto di accesso wireless con lo stesso SSID. Nei casi in cui più punti di accesso wireless vengono distribuiti come parte della stessa rete wireless, configurare ogni punto di accesso wireless con lo stesso SSID.
Nei casi in cui è necessario distribuire reti wireless diverse per soddisfare esigenze aziendali specifiche, il punto di accesso wireless in una rete deve trasmettere un SSID diverso rispetto all’SSID delle altre reti. Ad esempio, se è necessaria una rete wireless separata per i dipendenti e Guest, è possibile configurare punti di accesso wireless per la rete aziendale con l'identificatore SSID impostato per la trasmissione di ExampleWLAN. Per la rete guest, è quindi possibile impostare l’SSID di ogni punto di accesso wireless per trasmettere GuestWLAN. In questo modo i dipendenti e gli utenti guest possono connettersi alla rete desiderata senza confusione inutile.
Suggerimento
Alcune API wireless hanno la possibilità di trasmettere più SSID per supportare distribuzioni multi-rete. I punti di accesso wireless in grado di trasmettere più SSID possono ridurre i costi di distribuzione e manutenzione operativa.
Wireless l'autenticazione e crittografia.
L'autenticazione wireless è l'autenticazione di sicurezza usata quando il client wireless viene associato a un punto di accesso wireless.
La crittografia wireless è la crittografia di sicurezza usata con l'autenticazione wireless per proteggere le comunicazioni inviate tra il punto di accesso wireless e il client wireless.
Indirizzo IP (statico) del punto di accesso wireless. In ogni punto di accesso wireless, configurare un indirizzo IP statico. Se la subnet viene gestita da un server DHCP, assicurarsi che tutti gli indirizzi IP PA rientrano in un intervallo di esclusione DHCP in modo che il server DHCP non tenta di eseguire lo stesso indirizzo IP a un altro computer o dispositivo. Gli intervalli di esclusione sono documentati nella procedura "Per creare e attivare un nuovo ambito DHCP" nella Guida alla rete principale. Se si prevede di configurare i punti di accesso come client RADIUS dal gruppo di criteri di RETE, ogni punto di accesso del gruppo deve avere un indirizzo IP dallo stesso intervallo di indirizzi IP.
Nome DNS. Alcuni punti di accesso wireless possono essere configurati con un nome DNS. Configurare ogni punto di accesso wireless con un nome univoco. Ad esempio, se si dispone di un punto di accesso wireless distribuito in un edificio con più piani, è possibile denominare i primi tre punti di accesso wireless distribuiti nel terzo piano AP3-01, AP3-02 e AP3-03.
Maschera di subnet AP wireless. Configurazione della maschera per designare la parte di IP indirizzo è l'ID di rete e la parte dell'indirizzo IP è l'host.
Servizio DHCP AP. Se il punto di accesso wireless è integrato nel servizio DHCP, va disabilitato.
Segreto condiviso RADIUS. Utilizzare un RAGGIO univoco segreto condiviso per ogni punto di accesso wireless a meno che non si prevede di configurare client RADIUS NPS in gruppi, in quali casi è necessario configurare tutti i punti di accesso nel gruppo con lo stesso segreto condiviso. I segreti condivisi devono essere una sequenza casuale di almeno 22 caratteri, con lettere maiuscole e minuscole, numeri e segni di punteggiatura. Per garantire la casualità, è possibile usare un programma di generazione di caratteri casuale per creare i segreti condivisi. È consigliabile registrare il segreto condiviso per ogni punto di accesso wireless e archiviarlo in una posizione sicura, ad esempio un ufficio sicuro. Quando si configurano i client RADIUS nella console Server dei criteri di rete si creerà una versione virtuale di ogni punto di accesso. Il segreto condiviso configurato in ogni punto di accesso virtuale in Server dei criteri di rete deve corrispondere al segreto condiviso nel punto di accesso fisico effettivo.
Indirizzo IP del server RADIUS. Digitare l'indirizzo IP del server dei criteri di rete che si vuole usare per autenticare e autorizzare le richieste di connessione a questo punto di accesso.
Porte UDP. Per impostazione predefinita, Server dei criteri di rete usa le porte UDP 1812 e 1645 per i messaggi di autenticazione RADIUS e le porte UDP 1813 e 1646 per i messaggi di accounting RADIUS. È consigliabile non modificare le impostazioni predefinite delle porte UDP RADIUS.
Gli attributi VSA. Alcuni punti di accesso wireless richiedono attributi specifici del fornitore (VSA) per fornire funzionalità del punto di accesso wireless complete.
Filtri DHCP. Configurare indirizzi IP wireless per impedire ai client wireless di inviare pacchetti IP dalla porta UDP 68 alla rete. Consultare la documentazione relativa al punto di accesso wireless per configurare il filtro DHCP.
Il filtro dei DNS. Configurare indirizzi IP wireless per impedire ai client wireless di inviare pacchetti IP dalla porta TCP o UDP 53 alla rete. Consultare la documentazione relativa al punto di accesso wireless per configurare il filtro DNS.
Pianificazione della configurazione e dell'accesso dei client wireless
Quando si pianifica la distribuzione dell'accesso wireless autenticato 802.1X, è necessario considerare diversi fattori specifici del client:
Pianificazione di supporto per gli standard più.
Determinare se tutti i computer wireless utilizzando la stessa versione di Windows o se sono una combinazione di computer che eseguono sistemi operativi diversi. Se sono diversi, assicurarsi di comprendere le differenze nella standard supportati dai sistemi operativi.
Stabilire se tutte le schede di rete wireless in tutti i computer client wireless supportano gli stessi standard wireless o se è necessario supportare standard diversi. Ad esempio, stabilire se alcuni driver hardware della scheda di rete supportano WPA2-Enterprise e AES, mentre altri supportano solo WPA-Enterprise e TKIP.
Pianificazione della modalità di autenticazione client. Le modalità di autenticazione definiscono il modo in cui i client Windows elaborano le credenziali di dominio. È possibile selezionare tra le tre modalità di autenticazione di rete seguenti nei criteri di rete wireless.
Riautenticazione utente. Questa modalità consente di specificare che l'autenticazione viene sempre eseguita utilizzando le credenziali di sicurezza in base allo stato corrente del computer. Quando nessun utente è connesso al computer, l'autenticazione viene eseguita usando le credenziali del computer. Quando un utente ha effettuato l’accesso al computer, l'autenticazione viene sempre eseguita con le credenziali utente.
Solo computer. Computer solo modalità specifica che l'autenticazione viene sempre eseguita utilizzando solo le credenziali del computer.
Autenticazione utente. Modalità di autenticazione utente specifica che l'autenticazione viene eseguita solo quando l'utente è connesso al computer. Quando non sono presenti utenti che hanno effettuato l’accesso al computer, i tentativi di autenticazione non vengono eseguiti.
Pianificazione restrizioni wireless. Stabilire se si desidera fornire a tutti gli utenti wireless lo stesso livello di accesso alla rete wireless o se si desidera limitare l'accesso per alcuni utenti wireless. È possibile applicare restrizioni in Server dei criteri di rete a gruppi specifici di utenti wireless. Ad esempio, è possibile definire specifiche giorni e ore che alcuni gruppi sono autorizzati l'accesso alla rete wireless.
Pianificazione di metodi per l'aggiunta di nuovi computer wireless. Per i computer con supporto wireless aggiunti al dominio prima di distribuire la rete wireless, se il computer è connesso a un segmento della rete cablata non protetta da 802.1X, le impostazioni di configurazione wireless vengono applicate automaticamente dopo la configurazione dei Criteri di rete wireless (IEEE 802.11) sul controller di dominio e dopo l'aggiornamento di Criteri di gruppo sul client wireless.
Per i computer che non sono già aggiunti al dominio, tuttavia, è necessario pianificare un metodo per applicare le impostazioni necessarie per l'accesso autenticato 802.1X. Ad esempio, determinare se si desidera aggiungere il computer al dominio utilizzando uno dei metodi seguenti.
Connettere il computer a un segmento di rete cablata che non è protetta da 802.1 X, quindi aggiungere il computer al dominio.
Fornire agli utenti wireless con le impostazioni necessarie per aggiungere il proprio profilo bootstrap wireless, che consente di aggiungere il computer al dominio e i passaggi.
Assegnare IL personale IT per aggiungere i computer client wireless al dominio.
Pianificazione del supporto per più standard
L'estensione Criteri di rete wireless (IEEE 802.11) in Criteri di gruppo offre un'ampia gamma di opzioni di configurazione per supportare un'ampia gamma di opzioni di distribuzione.
È possibile distribuire indirizzi IP wireless configurati con gli standard che si desidera supportare e quindi configurare più profili wireless in Criteri di rete wireless (IEEE 802.11), con ogni profilo che specifica un set di standard necessari.
Ad esempio, se la rete include computer wireless che supportano WPA2-Enterprise e AES, altri computer che supportano WPA-Enterprise e AES e altri computer che supportano solo WPA-Enterprise e TKIP, è necessario determinare se si desidera:
- Configurare un unico profilo per supportare tutti i computer wireless utilizzando il metodo di crittografia più debole che tutti i computer supportano - in questo caso, WPA-Enterprise e TKIP.
- Configurare due profili per garantire la migliore sicurezza possibile supportata da ogni computer wireless. In questa istanza si configura un profilo che specifica la crittografia più complessa (WPA2-Enterprise e AES) e un profilo che usa la crittografia WPA-Enterprise e TKIP più debole. In questo esempio, è essenziale inserire il profilo che usa WPA2-Enterprise e AES più alto nell'ordine delle preferenze. I computer che non sono in grado di usare WPA2-Enterprise e AES passeranno automaticamente al profilo successivo nell'ordine delle preferenze ed elaborano il profilo che specifica WPA-Enterprise e TKIP.
Importante
È necessario inserire il profilo con gli standard più sicuri superiore nell'elenco ordinato dei profili, poiché connessione dei computer utilizza il primo profilo che sono in grado di utilizzare.
Pianificazione dell'accesso limitato alla rete wireless
In molti casi, si potrebbe voler fornire agli utenti wireless diversi livelli di accesso alla rete wireless. Ad esempio, è possibile consentire ad alcuni utenti l'accesso senza restrizioni, ogni ora del giorno, ogni giorno della settimana. Per altri utenti, è possibile consentire l'accesso solo durante le ore centrali, dal lunedì al venerdì e negare l'accesso il sabato e la domenica.
Questa guida fornisce istruzioni per creare un ambiente di accesso che inserisce tutti gli utenti wireless in un gruppo con accesso comune alle risorse wireless. Creare un gruppo di sicurezza utenti wireless nello snap-in Utenti e computer di Active Directory e quindi rendere ogni utente per cui si vuole concedere l'accesso wireless a un membro di tale gruppo.
Quando si configurano i Criteri di rete, si specifica il gruppo di sicurezza degli utenti wireless come oggetto elaborato da Server dei criteri di rete durante la determinazione dell'autorizzazione.
Tuttavia, se la distribuzione richiede il supporto per diversi livelli di accesso, è sufficiente eseguire le operazioni seguenti:
Creare più di un gruppo di sicurezza utenti Wireless per la creazione di gruppi di sicurezza wireless aggiuntive in Active Directory Users and Computers. Ad esempio, è possibile creare un gruppo che contiene gli utenti che hanno accesso completo, un gruppo per gli utenti che dispongono di accesso durante il regolare orario di lavoro e altri gruppi che soddisfano gli altri criteri che corrispondono ai propri requisiti.
Aggiungere utenti a gruppi di protezione appropriati che è stato creato.
Configurare i criteri di rete dei criteri di RETE aggiuntivi per ogni gruppo di sicurezza wireless aggiuntive e configurare i criteri per applicare le condizioni e i vincoli necessari per ogni gruppo.
Pianificazione di metodi per l'aggiunta di nuovi computer wireless
Il metodo preferito per aggiungere nuovi computer wireless al dominio e quindi accedere al dominio consiste nell'usare una connessione cablata a un segmento della LAN che ha accesso ai controller di dominio e non è protetto da un commutatore Ethernet 802.1X.
In alcuni casi, tuttavia, potrebbe risultare poco pratico da utilizzare una connessione cablata per aggiungere computer al dominio o, per un utente di utilizzare una connessione cablata per il primo tentativo di accesso con computer che sono già connessi al dominio.
Per aggiungere un computer al dominio utilizzando una connessione wireless o per consentire agli utenti di accedere al dominio la prima volta utilizzando un computer aggiunto a un dominio e una connessione wireless, i client wireless devono prima stabilire una connessione alla rete wireless in un segmento che ha accesso ai controller di dominio di rete utilizzando uno dei metodi seguenti.
Un membro del personale IT aggiunge un computer wireless al dominio e quindi configura un profilo wireless di bootstrap Single Sign On. Con questo metodo, un amministratore IT si connette il computer wireless alla rete Ethernet cablata e quindi aggiunge il computer al dominio. L'amministratore distribuisce quindi il computer all'utente. Quando l'utente avvia il computer, le credenziali di dominio specificate manualmente per il processo di accesso utente vengono usate per stabilire una connessione alla rete wireless e accedere al dominio.
L'utente configura manualmente il computer wireless con profilo wireless bootstrap e quindi aggiunge il dominio. Con questo metodo, gli utenti configurare manualmente i computer wireless con un profilo wireless bootstrap sulla base delle istruzioni da un amministratore IT. Il profilo wireless bootstrap consente agli utenti di stabilire una connessione wireless e quindi aggiungere il computer al dominio. Dopo aver aggiunto il computer al dominio e aver riavviato il computer, l'utente può accedere al dominio usando una connessione wireless e le credenziali dell'account di dominio.
Per distribuire accesso senza fili, vedere distribuzione di accesso Wireless.