Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit is een begeleidende handleiding bij de Windows Server® 2016 Core Network Guide. De Core Network Guide bevat instructies voor het plannen en implementeren van de onderdelen die nodig zijn voor een volledig functionerend netwerk en een nieuw Active Directory-domein® in een nieuw forest.
In deze handleiding wordt uitgelegd hoe u kunt voortbouwen op een kernnetwerk door instructies te geven over het implementeren van 802.1X-geverifieerde IEEE 802.11 draadloze toegang van het Institute of Electrical and Electronics Engineers (IEEE) met behulp van Protected Extensible Authentication Protocol - Microsoft Challenge Handshake Authentication Protocol versie 2 (PEAP-MS-CHAP v2).
Omdat PEAP-MS-CHAP v2 vereist dat gebruikers referenties op basis van wachtwoorden opgeven in plaats van een certificaat tijdens het verificatieproces, is het doorgaans eenvoudiger en goedkoper om te implementeren dan EAP-TLS of PEAP-TLS.
Opmerking
In deze handleiding wordt IEEE 802.1X Authenticated Wireless Access with PEAP-MS-CHAP v2 afgekort tot 'draadloze toegang' en 'WiFi-toegang'.
Over deze handleiding
Deze handleiding, in combinatie met de vereiste handleidingen die hieronder worden beschreven, bevat instructies voor het implementeren van de volgende WiFi-toegangsinfrastructuur.
Een of meer 802.1X-compatibele 802.11 draadloze access points (AP's).
Gebruikers en computers van Active Directory Domain Services (AD DS).
Groepsbeleidsbeheer.
Een of meer NPS-servers (Network Policy Server).
Servercertificaten voor computers met NPS.
Draadloze clientcomputers met Windows® 10, Windows 8.1 of Windows 8.
Afhankelijkheden voor deze handleiding
Als u geverifieerde draadloze netwerken met deze handleiding wilt implementeren, moet u een netwerk- en domeinomgeving hebben waarin alle vereiste technologieën zijn geïmplementeerd. U moet ook servercertificaten hebben geïmplementeerd voor uw verifiërende NPS'en.
In de volgende secties vindt u koppelingen naar documentatie die u laat zien hoe u deze technologieën kunt implementeren.
Afhankelijkheden van netwerken en domeinomgevingen
Deze handleiding is bedoeld voor netwerk- en systeembeheerders die de instructies in de Windows Server 2016 Core Network Guide hebben gevolgd voor het implementeren van een kernnetwerk, of voor degenen die eerder de kerntechnologieën hebben geïmplementeerd die deel uitmaken van het kernnetwerk, waaronder AD DS, Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, NPS en Windows Internet Name Service (WINS).
De Windows Server 2016 Core-netwerkhandleiding is beschikbaar in de technische bibliotheek van Windows Server 2016.
Afhankelijkheden van servercertificaten
Er zijn twee beschikbare opties voor het inschrijven van verificatieservers met servercertificaten voor gebruik met 802.1X-verificatie: implementeer uw eigen openbare-sleutelinfrastructuur met behulp van Active Directory Certificate Services (AD CS) of gebruik servercertificaten die zijn ingeschreven door een openbare certificeringsinstantie (CA).
AD CS (Active Directory Certificate Services)
Netwerk- en systeembeheerders die geverifieerde draadloze netwerken implementeren, moeten de instructies volgen in de Windows Server 2016 Core Network Companion Guide, Servercertificaten implementeren voor 802.1X bekabelde en draadloze implementaties. In deze handleiding wordt uitgelegd hoe u AD CS implementeert en gebruikt om servercertificaten automatisch in te schrijven op computers met NPS.
Deze handleiding is beschikbaar op de volgende locatie.
- In de Windows Server 2016 Core Network Companion Guide Servercertificaten implementeren voor bekabelde en draadloze 802.1X-implementaties in HTML-indeling in de technische bibliotheek.
Openbare CA
U kunt servercertificaten aanschaffen bij een openbare certificeringsinstantie, zoals VeriSign, die al door clientcomputers wordt vertrouwd.
Een clientcomputer vertrouwt een CA wanneer het CA-certificaat is geïnstalleerd in het certificaatarchief van vertrouwde basiscertificeringsinstanties. Op computers met Windows zijn standaard meerdere openbare CA-certificaten geïnstalleerd in het certificaatarchief van de vertrouwde basiscertificeringsinstanties.
Het wordt aanbevolen om de ontwerp- en implementatiehandleidingen te bekijken voor elk van de technologieën die in dit implementatiescenario worden gebruikt. Deze handleidingen kunnen u helpen bepalen of dit implementatiescenario de services en configuratie biedt die u nodig hebt voor het netwerk van uw organisatie.
Behoeften
Hieronder volgen de vereisten voor het implementeren van een draadloze toegangsinfrastructuur met behulp van het scenario dat in deze handleiding wordt beschreven:
Voordat u dit scenario implementeert, moet u eerst 802.1X-compatibele draadloze toegangspunten aanschaffen om draadloze dekking te bieden op de gewenste locaties op uw site. Het planningsgedeelte van deze handleiding helpt bij het bepalen van de functies die uw AP's moeten ondersteunen.
Active Directory Domain Services (AD DS) wordt geïnstalleerd, net als de andere vereiste netwerktechnologieën, volgens de instructies in de Windows Server 2016 Core Network Guide.
AD CS wordt geïmplementeerd en servercertificaten worden ingeschreven bij NPS'en. Deze certificaten zijn vereist wanneer u de op PEAP-MS-CHAP v2-certificaat gebaseerde verificatiemethode implementeert die in deze handleiding wordt gebruikt.
Een lid van uw organisatie is bekend met de IEEE 802.11-standaarden die worden ondersteund door uw draadloze AP's en de draadloze netwerkadapters die zijn geïnstalleerd in de clientcomputers en apparaten in uw netwerk. Iemand in uw organisatie is bijvoorbeeld bekend met radiofrequentietypen, 802.11 draadloze authenticatie (WPA2 of WPA) en cijfers (AES of TKIP).
Wat deze handleiding niet biedt
Hieronder volgen enkele items die deze gids niet biedt:
Uitgebreide richtlijnen voor het selecteren van draadloze access points die geschikt zijn voor 802.1X
Omdat er veel verschillen bestaan tussen merken en modellen van draadloze AP's met 802.1X-ondersteuning, biedt deze handleiding geen gedetailleerde informatie over:
Bepalen welk merk of model draadloze AP het beste bij uw behoeften past.
De fysieke inzet van draadloze AP's op uw netwerk.
Geavanceerde draadloze AP-configuratie, zoals voor draadloze virtuele Local Area Networks (VLAN's).
Instructies voor het configureren van leverancierspecifieke kenmerken van draadloze AP's in NPS.
Bovendien verschillen de terminologie en namen voor instellingen tussen merken en modellen van draadloze AP's en komen ze mogelijk niet overeen met de algemene instellingsnamen die in deze handleiding worden gebruikt. Voor meer informatie over de configuratie van draadloze AP's moet u de productdocumentatie raadplegen die door de fabrikant van uw draadloze AP's is verstrekt.
Instructies voor het implementeren van NPS-certificaten
Er zijn twee alternatieven voor het implementeren van NPS-certificaten. Deze gids biedt geen uitgebreide richtlijnen om u te helpen bepalen welk alternatief het beste aan uw behoeften voldoet. Over het algemeen zijn de keuzes waar u echter voor staat:
Certificaten kopen van een openbare certificeringsinstantie, zoals VeriSign, die al wordt vertrouwd door Windows-clients. Deze optie wordt doorgaans aanbevolen voor kleinere netwerken.
Het implementeren van een Public Key Infrastructure (PKI) op uw netwerk met behulp van AD CS. Dit wordt aanbevolen voor de meeste netwerken en de instructies voor het implementeren van servercertificaten met AD CS zijn beschikbaar in de eerder genoemde implementatiehandleiding.
NPS-netwerkbeleid en andere NPS-instellingen
Met uitzondering van de configuratie-instellingen die zijn gemaakt wanneer u de wizard 802.1X configureren uitvoert, zoals beschreven in deze handleiding, bevat deze handleiding geen gedetailleerde informatie voor het handmatig configureren van NPS-voorwaarden, beperkingen of andere NPS-instellingen.
DHCP
Deze implementatiehandleiding bevat geen informatie over het ontwerpen of implementeren van DHCP-subnetten voor draadloze LAN's.
Overzichten van technologie
Hieronder volgen technologische overzichten voor het implementeren van draadloze toegang:
IEEE 802.1X
De IEEE 802.1X-standaard definieert de poortgebaseerde netwerktoegangscontrole die wordt gebruikt om geverifieerde netwerktoegang tot Ethernet-netwerken te bieden. Deze poortgebaseerde netwerktoegangscontrole maakt gebruik van de fysieke kenmerken van de geschakelde LAN-infrastructuur om apparaten te verifiëren die op een LAN-poort zijn aangesloten. De toegang tot de poort kan worden geweigerd als het authenticatieproces mislukt. Hoewel deze standaard is ontworpen voor bekabelde Ethernet-netwerken, is deze aangepast voor gebruik op 802.11 draadloze LAN's.
802.1X-compatibele draadloze access points (AP's)
In dit scenario is de implementatie vereist van een of meer draadloze AP's die geschikt zijn voor 802.1X en die compatibel zijn met het RADIUS-protocol (Remote Authentication Dial-In User Service).
802.1X- en RADIUS-compatibele AP's worden RADIUS-clients genoemd wanneer ze worden geïmplementeerd in een RADIUS-infrastructuur met een RADIUS-server, zoals een NPS.
Draadloze clients
Deze handleiding bevat uitgebreide configuratiedetails om 802.1X-geverifieerde toegang te bieden aan gebruikers die lid zijn van het domein en verbinding maken met het netwerk met draadloze clientcomputers met Windows 10, Windows 8.1 en Windows 8. Computers moeten aan het domein worden toegevoegd om geverifieerde toegang tot stand te brengen.
Opmerking
U kunt ook computers met Windows Server 2016, Windows Server 2012 R2 en Windows Server 2012 gebruiken als draadloze clients.
Ondersteuning voor IEEE 802.11-standaarden
Ondersteunde Windows- en Windows Server-besturingssystemen bieden ingebouwde ondersteuning voor draadloze 802.11-netwerken. In deze besturingssystemen wordt een geïnstalleerde 802.11 draadloze netwerkadapter weergegeven als een draadloze netwerkverbinding in het Netwerkcentrum.
Hoewel er ingebouwde ondersteuning is voor draadloze 802.11-netwerken, zijn de draadloze componenten van Windows afhankelijk van het volgende:
De mogelijkheden van de draadloze netwerkadapter. De geïnstalleerde draadloze netwerkadapter moet de vereiste draadloze LAN- of draadloze beveiligingsstandaarden ondersteunen. Als de draadloze netwerkadapter bijvoorbeeld geen ondersteuning biedt voor Wi-Fi Protected Access (WPA), kunt u geen WPA-beveiligingsopties inschakelen of configureren.
De mogelijkheden van het stuurprogramma voor de draadloze netwerkadapter. Als u de opties voor draadloze netwerken wilt configureren, moet het stuurprogramma voor de draadloze netwerkadapter de rapportage van alle mogelijkheden aan Windows ondersteunen. Controleer of het stuurprogramma voor uw draadloze netwerkadapter is geschreven voor de mogelijkheden van uw besturingssysteem. Controleer ook of het stuurprogramma de meest recente versie is door Microsoft Update of de website van de leverancier van de draadloze netwerkadapter te raadplegen.
De volgende tabel toont de overdrachtssnelheden en frequenties voor algemene IEEE 802.11 draadloze standaarden.
Normen | Frequenties | Bit transmissiesnelheden | Gebruik |
---|---|---|---|
802.11 | S-Band industriële, wetenschappelijke en medische (ISM) frequentiebereik (2,4 tot 2,5 GHz) | 2 megabit per seconde (Mbps) | Verouderd. Niet vaak gebruikt. |
802.11b | S-Band ISM | 11 Mbps | Veelgebruikte. |
802.11a | C-band ISM (5,725 tot 5,875 GHz) | 54 Mbps | Niet vaak gebruikt vanwege de kosten en het beperkte bereik. |
802.11g | S-Band ISM | 54 Mbps | Gebruikte. 802.11g-apparaten zijn compatibel met 802.11b-apparaten. |
802.11n \2.4 en 5.0 GHz | C-band en S-band ISM | 250 Mbps | Apparaten op basis van de pre-ratificatie IEEE 802.11n-standaard kwamen in augustus 2007 op de markt. Veel 802.11n-apparaten zijn compatibel met 802.11a-, b- en g-apparaten. |
802.11ac | 5 GHz | 6,93 Gbps | 802.11ac, goedgekeurd door de IEEE in 2014, is schaalbaarder en sneller dan 802.11n en wordt ingezet waar AP's en draadloze clients dit beide ondersteunen. |
Beveiligingsmethoden voor draadloze netwerken
Beveiligingsmethoden voor draadloze netwerken zijn een informele groepering van draadloze verificatie (ook wel draadloze beveiliging genoemd) en draadloze beveiligingsversleuteling. Draadloze verificatie en versleuteling worden paarsgewijs gebruikt om te voorkomen dat onbevoegde gebruikers toegang krijgen tot het draadloze netwerk en om draadloze transmissies te beschermen.
Bij het configureren van draadloze beveiligingsinstellingen in het beleid voor draadloze netwerken van Groepsbeleid, kunt u kiezen uit meerdere combinaties. Alleen de verificatiestandaarden WPA2-Enterprise, WPA-Enterprise en Open met 802.1X worden echter ondersteund voor 802.1X geverifieerde draadloze implementaties.
Opmerking
Tijdens het configureren van beleid voor draadloze netwerken moet u WPA2-Enterprise, WPA-Enterprise of Open with 802.1X selecteren om toegang te krijgen tot de EAP-instellingen die vereist zijn voor 802.1X geverifieerde draadloze implementaties.
Draadloze authenticatie
In deze handleiding wordt het gebruik van de volgende draadloze verificatiestandaarden aanbevolen voor 802.1X-geverifieerde draadloze implementaties.
Wi-Fi Beschermde toegang – Enterprise (WPA-Enterprise) WPA is een interim-standaard die is ontwikkeld door de WiFi Alliance om te voldoen aan het draadloze beveiligingsprotocol 802.11. Het WPA-protocol is ontwikkeld als reactie op een aantal ernstige tekortkomingen die werden ontdekt in het voorgaande Wired Equivalent Privacy (WEP)-protocol.
WPA-Enterprise biedt verbeterde beveiliging ten opzichte van WEP door:
Verificatie vereisen die gebruikmaakt van het 802.1X EAP-framework als onderdeel van de infrastructuur die zorgt voor gecentraliseerde wederzijdse verificatie en dynamisch sleutelbeheer
Verbetering van de Integrity Check Value (ICV) met een Message Integrity Check (MIC), om de header en payload te beschermen
Implementatie van een frameteller om herhalingsaanvallen te ontmoedigen
Wi-Fi Beveiligde toegang 2 – Enterprise (WPA2-Enterprise) Net als de WPA-Enterprise standaard maakt WPA2-Enterprise gebruik van het 802.1X- en EAP-framework. WPA2-Enterprise biedt een sterkere gegevensbescherming voor meerdere gebruikers en grote beheerde netwerken. WPA2-Enterprise is een robuust protocol dat is ontworpen om ongeoorloofde netwerktoegang te voorkomen door netwerkgebruikers te verifiëren via een verificatieserver.
Versleuteling van draadloze beveiliging
Draadloze beveiligingsversleuteling wordt gebruikt om de draadloze transmissies te beschermen die worden verzonden tussen de draadloze client en het draadloze toegangspunt. Draadloze beveiligingsversleuteling wordt gebruikt in combinatie met de geselecteerde verificatiemethode voor netwerkbeveiliging. Computers met Windows 10, Windows 8.1 en Windows 8 ondersteunen standaard twee versleutelingsstandaarden:
Temporal Key Integrity Protocol (TKIP) is een ouder versleutelingsprotocol dat oorspronkelijk is ontworpen om veiligere draadloze versleuteling te bieden dan het inherent zwakke WEP-protocol (Wired Equivalent Privacy). TKIP is ontworpen door de IEEE 802.11i-taakgroep en de Wi-Fi Alliance om WEP te vervangen zonder dat verouderde hardware hoeft te worden vervangen. TKIP is een reeks algoritmen die de WEP-payload inkapselt en gebruikers van oudere wifi-apparatuur in staat stelt om te upgraden naar TKIP zonder hardware te vervangen. Net als WEP gebruikt TKIP het RC4-stroomversleutelingsalgoritme als basis. Het nieuwe protocol versleutelt echter elk datapakket met een unieke coderingssleutel en de sleutels zijn veel sterker dan die van WEP. Hoewel TKIP nuttig is voor het upgraden van de beveiliging op oudere apparaten die zijn ontworpen om alleen WEP te gebruiken, lost het niet alle beveiligingsproblemen op waarmee draadloze LAN's te maken hebben, en is het in de meeste gevallen niet robuust genoeg om gevoelige gegevensoverdracht door de overheid of bedrijven te beschermen.
Advanced Encryption Standard (AES) is het geprefereerde versleutelingsprotocol voor de versleuteling van commerciële en overheidsgegevens. AES biedt een hoger beveiligingsniveau voor draadloze transmissie dan TKIP of WEP. In tegenstelling tot TKIP en WEP vereist AES draadloze hardware die de AES-standaard ondersteunt. AES is een versleutelingsstandaard met symmetrische sleutels die gebruikmaakt van drie blokcijfers, AES-128, AES-192 en AES-256.
In Windows Server 2016 zijn de volgende op AES gebaseerde draadloze versleutelingsmethoden beschikbaar voor configuratie in draadloze profieleigenschappen wanneer u een verificatiemethode van WPA2-Enterprise selecteert, die wordt aanbevolen.
- AES-CCMP. Counter Mode Cipher Block Chaining Message Authentication Code Protocol (CCMP) implementeert de 802.11i-standaard en is ontworpen voor hogere beveiligingsversleuteling dan die van WEP, en maakt gebruik van 128-bits AES-coderingssleutels.
- AES-GCMP. Galois Counter Mode Protocol (GCMP) wordt ondersteund door 802.11ac, is efficiënter dan AES-CCMP en biedt betere prestaties voor draadloze clients. GCMP maakt gebruik van 256-bits AES-coderingssleutels.
Belangrijk
Wired Equivalency Privacy (WEP) was de oorspronkelijke draadloze beveiligingsstandaard die werd gebruikt om netwerkverkeer te versleutelen. U moet WEP niet op uw netwerk implementeren omdat er bekende kwetsbaarheden zijn in deze verouderde vorm van beveiliging.
Active Directory Domain Services (AD DS)
AD DS biedt een gedistribueerde database voor het opslaan en beheren van informatie over netwerkbronnen en toepassingsspecifieke gegevens van toepassingen met directory's. Beheerders kunnen AD DS gebruiken om elementen van een netwerk, zoals gebruikers, computers en andere apparaten, te ordenen in een hiërarchische insluitingsstructuur. De hiërarchische insluitingsstructuur omvat het Active Directory-forest, domeinen in het forest en organisatie-eenheden (OU's) in elk domein. Een server waarop AD DS wordt uitgevoerd, wordt een domeincontroller genoemd.
AD DS bevat de gebruikersaccounts, computeraccounts en accounteigenschappen die vereist zijn door IEEE 802.1X en PEAP-MS-CHAP v2 om gebruikersreferenties te verifiëren en om autorisatie voor draadloze verbindingen te evalueren.
Active Directory-gebruikers en -computers
Active Directory Users and Computers is een onderdeel van AD DS dat accounts bevat die fysieke entiteiten vertegenwoordigen, zoals een computer, een persoon of een beveiligingsgroep. Een beveiligingsgroep is een verzameling gebruikers- of computeraccounts die beheerders als één eenheid kunnen beheren. Gebruikers- en computeraccounts die tot een bepaalde groep behoren, worden groepsleden genoemd.
Groepsbeleidsbeheer
Groepsbeleidsbeheer maakt wijzigings- en configuratiebeheer op basis van mappen mogelijk van gebruikers- en computerinstellingen, inclusief beveiliging en gebruikersgegevens. U gebruikt Groepsbeleid om configuraties te definiëren voor groepen gebruikers en computers. Met Groepsbeleid kunt u instellingen opgeven voor registervermeldingen, beveiliging, software-installatie, scripts, mapomleiding, externe installatieservices en onderhoud van Internet Explorer. De groepsbeleidsinstellingen die u maakt, bevinden zich in een groepsbeleidsobject (GPO). Door een groepsbeleidsobject te koppelen aan geselecteerde Active Directory-systeemcontainers (sites, domeinen en organisatie-eenheden), kunt u de instellingen van het groepsbeleidsobject toepassen op de gebruikers en computers in die Active Directory-containers. Als u groepsbeleidsobjecten in een onderneming wilt beheren, kunt u de Microsoft Management Console (MMC) van de Editor voor groepsbeleidsbeheer gebruiken.
Deze handleiding bevat gedetailleerde instructies voor het opgeven van instellingen in de uitbreiding Draadloos netwerk (IEEE 802.11) Beleid van Groepsbeleidsbeheer. Het beleid voor draadloze netwerken (IEEE 802.11) configureert draadloze clientcomputers die lid zijn van het domein met de benodigde connectiviteit en draadloze instellingen voor 802.1X-geverifieerde draadloze toegang.
Server certificaten
Voor dit implementatiescenario zijn servercertificaten vereist voor elke NPS die 802.1X-verificatie uitvoert.
Een servercertificaat is een digitaal document dat vaak wordt gebruikt voor authenticatie en om informatie op open netwerken te beveiligen. Met een certificaat wordt een openbare sleutel op een veilige manier gekoppeld aan de entiteit die de bijbehorende persoonlijke sleutel bezit. Certificaten worden digitaal ondertekend door de uitgevende certificeringsinstantie en kunnen worden uitgegeven voor een gebruiker, een computer of een service.
Een certificeringsinstantie (CA) is een entiteit die verantwoordelijk is voor het vaststellen van en instaan voor de authenticiteit van openbare sleutels van certificaathouders (meestal gebruikers of computers) of andere CA's. Activiteiten van een certificeringsinstantie kunnen bestaan uit het binden van openbare sleutels aan voorname namen door middel van ondertekende certificaten, het beheren van serienummers van certificaten en het intrekken van certificaten.
Active Directory Certificate Services (AD CS) is een serverfunctie die certificaten uitgeeft als een netwerk-CA. Een AD CS-certificaatinfrastructuur, ook wel openbare-sleutelinfrastructuur (PKI) genoemd, biedt aanpasbare services voor het uitgeven en beheren van certificaten voor de onderneming.
EAP, PEAP en PEAP-MS-CHAP v2
Extensible Authentication Protocol (EAP) breidt het Point-to-Point Protocol (PPP) uit door aanvullende authenticatiemethoden toe te staan die gebruikmaken van gegevens- en informatie-uitwisselingen van willekeurige lengtes. Met EAP-verificatie moeten zowel de netwerktoegangsclient als de authenticator (zoals de NPS) hetzelfde EAP-type ondersteunen om succesvolle verificatie te laten plaatsvinden. Windows Server 2016 bevat een EAP-infrastructuur, ondersteunt twee EAP-typen en de mogelijkheid om EAP-berichten door te geven aan NPS'en. Door EAP te gebruiken, kunt u ondersteuning bieden voor aanvullende verificatieschema's, ook wel EAP-typen genoemd. De EAP-typen die worden ondersteund door Windows Server 2016 zijn:
Transportlaagbeveiliging (TLS)
Microsoft Challenge Handshake Authentication Protocol versie 2 (MS-CHAP v2)
Belangrijk
Sterke EAP-typen (zoals typen die zijn gebaseerd op certificaten) bieden een betere beveiliging tegen brute-force-aanvallen, woordenboekaanvallen en aanvallen op het raden van wachtwoorden dan verificatieprotocollen op basis van wachtwoorden (zoals CHAP of MS-CHAP versie 1).
Beveiligde EAP (PEAP) maakt gebruik van TLS om een versleuteld kanaal te maken tussen een verifiërende PEAP-client, zoals een draadloze computer, en een PEAP-authenticator, zoals een NPS- of andere RADIUS-server. PEAP specificeert geen verificatiemethode, maar biedt extra beveiliging voor andere EAP-verificatieprotocollen (zoals EAP-MS-CHAP v2) die kunnen werken via het TLS-gecodeerde kanaal dat door PEAP wordt geleverd. PEAP wordt gebruikt als verificatiemethode voor toegangsclients die verbinding maken met het netwerk van uw organisatie via de volgende typen netwerktoegangsservers (NAS'en):
Draadloze access points met 802.1X-ondersteuning
802.1X-compatibele verificatieswitches
Computers met Windows Server 2016 en de Remote Access Service (RAS) die zijn geconfigureerd als VPN-servers (Virtual Private Network), DirectAccess-servers of beide
Computers met Windows Server 2016 en Remote Desktop Services
PEAP-MS-CHAP v2 is eenvoudiger te implementeren dan EAP-TLS omdat gebruikersverificatie wordt uitgevoerd met behulp van referenties op basis van wachtwoorden (gebruikersnaam en wachtwoord) in plaats van certificaten of smartcards. Alleen NPS- of andere RADIUS-servers hoeven over een certificaat te beschikken. Het NPS-certificaat wordt door de NPS tijdens het authenticatieproces gebruikt om de identiteit aan PEAP-clients te bewijzen.
Deze handleiding bevat instructies voor het configureren van uw draadloze clients en uw NPS('s) voor het gebruik van PEAP-MS-CHAP v2 voor 802.1X-geverifieerde toegang.
Beleidsserver voor Netwerken
Met Network Policy Server (NPS) kunt u netwerkbeleid centraal configureren en beheren met behulp van de RADIUS-server (Remote Authentication Dial-In User Service) en de RADIUS-proxy. NPS is vereist wanneer u 802.1X draadloze toegang implementeert.
Wanneer u uw 802.1X draadloze access points configureert als RADIUS-clients in NPS, verwerkt NPS de verbindingsaanvragen die door de AP's worden verzonden. Tijdens de verwerking van verbindingsaanvragen voert NPS verificatie en autorisatie uit. Verificatie bepaalt of de client geldige referenties heeft gepresenteerd. Als NPS de aanvragende client verifieert, bepaalt NPS of de client is gemachtigd om de aangevraagde verbinding tot stand te brengen en wordt de verbinding toegestaan of geweigerd. Dit wordt als volgt nader toegelicht:
Authenticatie
Succesvolle wederzijdse PEAP-MS-CHAP v2-authenticatie bestaat uit twee hoofdonderdelen:
De client verifieert de NPS. Tijdens deze fase van wederzijdse verificatie verzendt de NPS het servercertificaat naar de clientcomputer, zodat de client de identiteit van de NPS kan verifiëren met het certificaat. Als de NPS alleen kan worden geverifieerd, moet de clientcomputer de certificeringsinstantie vertrouwen die het NPS-certificaat heeft uitgegeven. De client vertrouwt deze certificeringsinstantie wanneer het certificaat van de certificeringsinstantie aanwezig is in het certificaatarchief van vertrouwde basiscertificeringsinstanties op de clientcomputer.
Als u uw eigen privé-CA implementeert, wordt het CA-certificaat automatisch geïnstalleerd in het certificaatarchief van vertrouwde basiscertificeringsinstanties voor de huidige gebruiker en voor de lokale computer wanneer Groepsbeleid wordt vernieuwd op de clientcomputer die lid is van het domein. Als u besluit servercertificaten te implementeren vanaf een openbare CA, controleert u of het openbare CA-certificaat al in het certificaatarchief van vertrouwde basiscertificeringsinstanties staat.
De NPS verifieert de gebruiker. Nadat de client de NPS heeft geverifieerd, verzendt de client de referenties op basis van het wachtwoord van de gebruiker naar de NPS, die de referenties van de gebruiker controleert aan de hand van de database met gebruikersaccounts in Active Directory Domain Services (AD DS).
Als de referenties geldig zijn en de verificatie slaagt, begint de NPS met de autorisatiefase van de verwerking van de verbindingsaanvraag. Als de referenties niet geldig zijn en de verificatie mislukt, verzendt NPS een bericht Toegangsweigering en wordt de verbindingsaanvraag geweigerd.
Autorisatie
De server waarop NPS wordt uitgevoerd, voert autorisatie als volgt uit:
NPS controleert op beperkingen in de inbeleigenschappen van de gebruiker of computeraccount in AD DS. Elk gebruikers- en computeraccount in Active Directory Gebruikers en computers bevat meerdere eigenschappen, waaronder de eigenschappen die u kunt vinden op het tabblad Inbellen . Als op dit tabblad, in Netwerktoegangsmachtiging, de waarde Toegang toestaan is, is de gebruiker of computer gemachtigd om verbinding te maken met het netwerk. Als de waarde Toegang weigeren is, is de gebruiker of computer niet gemachtigd om verbinding te maken met het netwerk. Als de waarde Toegangsbeheer via NPS-netwerkbeleid is, evalueert NPS het geconfigureerde netwerkbeleid om te bepalen of de gebruiker of computer gemachtigd is om verbinding te maken met het netwerk.
NPS verwerkt vervolgens het netwerkbeleid om een beleid te vinden dat overeenkomt met het verbindingsverzoek. Als er een overeenkomend beleid wordt gevonden, wordt de verbinding door NPS toegestaan of geweigerd op basis van de configuratie van dat beleid.
Als zowel de verificatie als de autorisatie zijn geslaagd en als het overeenkomende netwerkbeleid toegang verleent, verleent NPS toegang tot het netwerk en kunnen de gebruiker en de computer verbinding maken met netwerkbronnen waarvoor ze machtigingen hebben.
Opmerking
Als u draadloze toegang wilt implementeren, moet u NPS-beleid configureren. Deze handleiding bevat instructies voor het gebruik van de wizard 802.1X configureren in NPS om NPS-beleid te maken voor 802.1X geverifieerde draadloze toegang.
Bootstrap-profielen
In draadloze netwerken met 802.1X-verificatie moeten draadloze clients beveiligingsreferenties verstrekken die zijn geverifieerd door een RADIUS-server om verbinding te kunnen maken met het netwerk. Voor Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol versie 2 [MS-CHAP v2] zijn de beveiligingsreferenties een gebruikersnaam en wachtwoord. Voor EAP-Transport Layer Security (TLS) of PEAP-TLS zijn de beveiligingsreferenties certificaten, zoals clientgebruikers- en computercertificaten of smartcards.
Wanneer u verbinding maakt met een netwerk dat is geconfigureerd voor het uitvoeren van PEAP-MS-CHAP v2-, PEAP-TLS- of EAP-TLS-verificatie, moeten draadloze Windows-clients standaard ook een computercertificaat valideren dat wordt verzonden door de RADIUS-server. Het computercertificaat dat door de RADIUS-server voor elke verificatiesessie wordt verzonden, wordt gewoonlijk een servercertificaat genoemd.
Zoals eerder vermeld, kunt u uw RADIUS-servers op twee manieren een servercertificaat geven: via een commerciële CA (zoals VeriSign, Inc.) of via een privé-CA die u op uw netwerk implementeert. Als de RADIUS-server een computercertificaat verzendt dat is uitgegeven door een commerciële certificeringsinstantie waarop al een basiscertificaat is geïnstalleerd in het certificaatarchief van de vertrouwde basiscertificeringsinstanties van de client, kan de draadloze client het computercertificaat van de RADIUS-server valideren, ongeacht of de draadloze client lid is geworden van het Active Directory-domein. In dit geval kan de draadloze client verbinding maken met het draadloze netwerk en vervolgens kunt u de computer verbinden met het domein.
Opmerking
Het gedrag waarbij de client het servercertificaat moet valideren, kan worden uitgeschakeld, maar het uitschakelen van validatie van servercertificaten wordt niet aanbevolen in productieomgevingen.
Draadloze bootstrap-profielen zijn tijdelijke profielen die zo zijn geconfigureerd dat gebruikers van draadloze clients verbinding kunnen maken met het 802.1X-geverifieerde draadloze netwerk voordat de computer wordt toegevoegd aan het domein en/of voordat de gebruiker zich voor het eerst heeft aangemeld bij het domein met behulp van een bepaalde draadloze computer. In deze sectie wordt samengevat welk probleem zich voordoet wanneer wordt geprobeerd een draadloze computer toe te voegen aan het domein, of wanneer een gebruiker een draadloze computer die lid is van het domein voor de eerste keer gebruikt om zich aan te melden bij het domein.
Voor implementaties waarbij de gebruiker of IT-beheerder een computer niet fysiek kan verbinden met het bekabelde Ethernet-netwerk om de computer aan het domein toe te voegen en op de computer niet het benodigde uitgevende basis-CA-certificaat is geïnstalleerd in het certificaatarchief van vertrouwde basiscertificeringsinstanties , kunt u draadloze clients configureren met een tijdelijk profiel voor draadloze verbindingen, een bootstrap-profiel genoemd, om verbinding te maken met het draadloze netwerk.
Met een bootstrap-profiel is het niet meer nodig om het computercertificaat van de RADIUS-server te valideren. Met deze tijdelijke configuratie kan de draadloze gebruiker de computer verbinden met het domein, waarna het beleid voor draadloze netwerken (IEEE 802.11) wordt toegepast en het juiste basis-CA-certificaat automatisch op de computer wordt geïnstalleerd.
Wanneer Groepsbeleid wordt toegepast, worden een of meer profielen voor draadloze verbindingen die de vereiste voor wederzijdse verificatie afdwingen, toegepast op de computer. Het bootstrap-profiel is niet meer nodig en wordt verwijderd. Nadat de gebruiker de computer heeft toegevoegd aan het domein en de computer opnieuw heeft opgestart, kan de gebruiker een draadloze verbinding gebruiken om zich aan te melden bij het domein.
Zie Overzicht van de implementatie van draadloze toegang voor een overzicht van het implementatieproces voor draadloze toegang met behulp van deze technologieën.