Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här är en kompletterande guide till Windows Server® 2016 Core Network Guide. Kärnnätverksguiden innehåller instruktioner för planering och driftsättning av de komponenter som krävs för ett fullt fungerande nätverk och en ny Active Directory-domän® i en ny skog.
Den här guiden förklarar hur du bygger vidare på ett kärnnätverk genom att ge instruktioner om hur du distribuerar IEEE 802.1X-autentiserad IEEE 802.11 trådlös åtkomst med PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol – Microsoft Challenge Handshake Authentication Protocol version 2).
Eftersom PEAP–MS-CHAP v2 kräver att användarna anger lösenordsbaserade autentiseringsuppgifter i stället för ett certifikat under autentiseringsprocessen är det vanligtvis enklare och billigare att distribuera än EAP-TLS eller PEAP-TLS.
Anmärkning
I den här guiden förkortas IEEE 802.1X Authenticated Wireless Access with PEAP-MS-CHAP v2 till "wireless access" och "WiFi access".
Om den här guiden
Den här guiden, i kombination med de nödvändiga guiderna som beskrivs nedan, innehåller instruktioner om hur du distribuerar följande infrastruktur för WiFi-åtkomst.
En eller flera 802.1X-kompatibla 802.11 trådlösa åtkomstpunkter (AP).
Användare och datorer med Active Directory Domain Services (AD DS).
Grupprinciphantering.
En eller flera NPS-servrar (Network Policy Server).
Servercertifikat för datorer som kör NPS.
Trådlösa klientdatorer som kör Windows® 10, Windows 8.1 eller Windows 8.
Beroenden för den här guiden
För att kunna distribuera autentiserat trådlöst med den här guiden måste du ha en nätverks- och domänmiljö med alla nödvändiga tekniker distribuerade. Du måste också ha servercertifikat distribuerade till dina autentiserande NPS:er.
Följande avsnitt innehåller länkar till dokumentation som visar hur du distribuerar dessa tekniker.
Beroenden för nätverks- och domänmiljöer
Den här guiden är utformad för nätverks- och systemadministratörer som har följt instruktionerna i Windows Server 2016 Core Network Guide för att distribuera ett kärnnätverk, eller för dem som tidigare har distribuerat de kärntekniker som ingår i kärnnätverket, inklusive AD DS, Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, NPS och WINS (Windows Internet Name Service).
Guiden för Windows Server 2016 Core Network finns i det tekniska biblioteket för Windows Server 2016.
Beroenden för servercertifikat
Det finns två tillgängliga alternativ för att registrera autentiseringsservrar med servercertifikat för användning med 802.1X-autentisering – distribuera din egen infrastruktur för offentliga nycklar med hjälp av Active Directory Certificate Services (AD CS) eller använd servercertifikat som har registrerats av en offentlig certifikatutfärdare (CA).
AD CS
Nätverks- och systemadministratörer som distribuerar autentiserat trådlöst nätverk måste följa instruktionerna i Windows Server 2016 Core Network Companion Guide, Deploy Server Certificates for 802.1X Wired and Wireless Deployments. I den här guiden beskrivs hur du distribuerar och använder AD CS för att automatiskt registrera servercertifikat på datorer som kör NPS.
Den här guiden finns på följande plats.
- I den medföljande guiden för Windows Server 2016 Core Network distribuerar du servercertifikat för kabelanslutna och trådlösa 802.1X-distributioner i HTML-format i det tekniska biblioteket.
Offentlig certifikatutfärdare
Du kan köpa servercertifikat från en offentlig certifikatutfärdare, till exempel VeriSign, som klientdatorerna redan litar på.
En klientdator litar på en certifikatutfärdare när certifikatutfärdarcertifikatet installeras i certifikatarkivet Betrodda rotcertifikatutfärdare. Som standard har datorer som kör Windows flera offentliga CA-certifikat installerade i certifikatarkivet för betrodda rotcertifikatutfärdare.
Vi rekommenderar att du läser design- och distributionsguiderna för var och en av de tekniker som används i det här distributionsscenariot. De här guiderna kan hjälpa dig att avgöra om det här distributionsscenariot tillhandahåller de tjänster och den konfiguration som du behöver för organisationens nätverk.
Kravspecifikation
Följande är kraven för att distribuera en infrastruktur för trådlös åtkomst med hjälp av scenariot som beskrivs i den här guiden:
Innan du distribuerar det här scenariot måste du först köpa 802.1X-kompatibla trådlösa åtkomstpunkter för att tillhandahålla trådlös täckning på önskade platser på din anläggning. Planeringsavsnittet i den här guiden hjälper dig att bestämma vilka funktioner dina AP:er måste stödja.
Active Directory Domain Services (AD DS) installeras, liksom andra nätverkstekniker som krävs, enligt anvisningarna i Windows Server 2016 Core Network Guide.
AD CS distribueras och servercertifikat registreras i NPS:er. Dessa certifikat krävs när du distribuerar den certifikatbaserade autentiseringsmetoden PEAP-MS-CHAP v2 som används i den här handboken.
En medlem i din organisation är bekant med IEEE 802.11-standarderna som stöds av dina trådlösa åtkomstpunkter och de trådlösa nätverkskort som är installerade på klientdatorerna och enheterna i nätverket. Någon i din organisation är till exempel bekant med radiofrekvenstyper, trådlös 802.11-autentisering (WPA2 eller WPA) och chiffer (AES eller TKIP).
Vad den här guiden inte ger
Följande är några saker som den här guiden inte tillhandahåller:
Omfattande vägledning för att välja 802.1X-kompatibla trådlösa åtkomstpunkter
Eftersom det finns många skillnader mellan märken och modeller av 802.1X-kompatibla trådlösa åtkomstpunkter, ger den här guiden inte detaljerad information om:
Avgöra vilket märke eller modell av trådlös AP som passar bäst för dina behov.
Den fysiska distributionen av trådlösa åtkomstpunkter i nätverket.
Avancerad konfiguration av trådlösa åtkomstpunkter, t.ex. för trådlösa virtuella lokala nätverk (VLAN).
Instruktioner om hur du konfigurerar leverantörsspecifika attribut för trådlös åtkomstpunkt i NPS.
Dessutom varierar terminologin och namnen på inställningarna mellan olika märken och modeller av trådlösa åtkomstpunkter och kanske inte stämmer överens med de generiska inställningsnamnen som används i den här guiden. För konfigurationsinformation för trådlösa åtkomstpunkter måste du granska produktdokumentationen som tillhandahålls av tillverkaren av dina trådlösa åtkomstpunkter.
Instruktioner för ibruktagande av NPS-certifikat
Det finns två alternativ för att distribuera NPS-certifikat. Den här guiden ger inte omfattande vägledning som hjälper dig att avgöra vilket alternativ som bäst uppfyller dina behov. I allmänhet är dock de val du står inför:
Köpa certifikat från en offentlig certifikatutfärdare, till exempel VeriSign, som redan är betrodda av Windows-baserade klienter. Det här alternativet rekommenderas vanligtvis för mindre nätverk.
Distribuera en PKI (Public Key Infrastructure) i nätverket med hjälp av AD CS. Detta rekommenderas för de flesta nätverk, och instruktionerna för hur du distribuerar servercertifikat med AD CS finns i den tidigare nämnda distributionsguiden.
NPS-nätverksprinciper och andra NPS-inställningar
Förutom de konfigurationsinställningar som görs när du kör Konfigurera 802.1X-guiden , som beskrivs i den här handboken, ger den här guiden ingen detaljerad information om hur du manuellt konfigurerar NPS-villkor, begränsningar eller andra NPS-inställningar.
DHCP
Den här distributionsguiden innehåller ingen information om hur du utformar eller distribuerar DHCP-undernät för trådlösa nätverk.
Tekniköversikter
Följande är tekniköversikter för distribution av trådlös åtkomst:
IEEE 802.1X
IEEE 802.1X-standarden definierar den portbaserade nätverksåtkomstkontroll som används för att tillhandahålla autentiserad nätverksåtkomst till Ethernet-nätverk. Denna portbaserade nätverksåtkomstkontroll använder de fysiska egenskaperna hos den växlade LAN-infrastrukturen för att autentisera enheter som är anslutna till en LAN-port. Åtkomst till porten kan nekas om autentiseringsprocessen misslyckas. Även om denna standard utformades för trådbundna Ethernet-nätverk har den anpassats för användning på trådlösa 802.11-nätverk.
802.1X-kompatibla trådlösa åtkomstpunkter (AP)
Det här scenariot kräver distribution av en eller flera 802.1X-kompatibla trådlösa åtkomstpunkter som är kompatibla med RADIUS-protokollet (Remote Authentication Dial-In User Service).
802.1X- och RADIUS-kompatibla åtkomstpunkter kallas för RADIUS-klienter när de distribueras i en RADIUS-infrastruktur med en RADIUS-server, t.ex. en NPS.
Trådlösa klienter
Den här guiden innehåller omfattande konfigurationsinformation för att tillhandahålla 802.1X-autentiserad åtkomst för domänmedlemsanvändare som ansluter till nätverket med trådlösa klientdatorer som kör Windows 10, Windows 8.1 och Windows 8. Datorer måste vara anslutna till domänen för att autentiserad åtkomst ska kunna upprättas.
Anmärkning
Du kan också använda datorer som kör Windows Server 2016, Windows Server 2012 R2 och Windows Server 2012 som trådlösa klienter.
Stöd för IEEE 802.11-standarder
Operativsystemen Windows och Windows Server som stöds har inbyggt stöd för trådlösa 802.11-nätverk. I dessa operativsystem visas ett installerat 802.11 trådlöst nätverkskort som en trådlös nätverksanslutning i Nätverks- och delningscenter.
Även om det finns inbyggt stöd för trådlösa 802.11-nätverk är de trådlösa komponenterna i Windows beroende av följande:
Funktionerna hos det trådlösa nätverkskortet. Det installerade trådlösa nätverkskortet måste ha stöd för det trådlösa LAN eller de trådlösa säkerhetsstandarder som du behöver. Om det trådlösa nätverkskortet till exempel inte har stöd för WPA (Wi-Fi Protected Access) kan du inte aktivera eller konfigurera WPA-säkerhetsalternativ.
Funktionerna i drivrutinen för det trådlösa nätverkskortet. För att du ska kunna konfigurera alternativ för trådlösa nätverk måste drivrutinen för det trådlösa nätverkskortet ha stöd för rapportering av alla dess funktioner till Windows. Kontrollera att drivrutinen för det trådlösa nätverkskortet är skriven för operativsystemets funktioner. Kontrollera också att drivrutinen är den senaste versionen genom att kontrollera Microsoft Update eller webbplatsen för leverantören av det trådlösa nätverkskortet.
Följande tabell visar överföringshastigheter och frekvenser för vanliga trådlösa IEEE 802.11-standarder.
| Standarder | Frekvenser | Överföringshastigheter för bitar | Användning |
|---|---|---|---|
| 802.11 | S-bandet ISM-frekvensområde (industriellt, vetenskapligt och medicinskt) (2,4 till 2,5 GHz) | 2 megabit per sekund (Mbit/s) | Föråldrad. Används inte ofta. |
| 802.11b (802.11b) | S-Band ISM | 11 Mbit/s | Vanligt förekommande. |
| 802.11a | C-band ISM (5,725 till 5,875 GHz) | 54 Mbit/s | Används inte ofta på grund av kostnad och begränsad räckvidd. |
| 802.11g | S-Band ISM | 54 Mbit/s | Används i stor utsträckning. 802.11g-enheter är kompatibla med 802.11b-enheter. |
| 802.11n \2,4 och 5,0 GHz | C-Band och S-Band ISM | 250 Mbit/s | Enheter baserade på IEEE 802.11n-standarden före ratificering blev tillgängliga i augusti 2007. Många 802.11n-enheter är kompatibla med 802.11a-, b- och g-enheter. |
| 802.11ac | 5 GHz | 6,93 Gbit/s | 802.11ac, som godkändes av IEEE 2014, är mer skalbar och snabbare än 802.11n och används där både åtkomstpunkter och trådlösa klienter stöder det. |
Säkerhetsmetoder för trådlösa nätverk
Säkerhetsmetoder för trådlösa nätverk är en informell gruppering av trådlös autentisering (ibland kallad trådlös säkerhet) och trådlös säkerhetskryptering. Trådlös autentisering och kryptering används i par för att förhindra obehöriga användare från att komma åt det trådlösa nätverket och för att skydda trådlösa överföringar.
När du konfigurerar trådlösa säkerhetsinställningar i Principer för trådlösa nätverk i Grupprincip finns det flera kombinationer att välja mellan. Det är dock bara autentiseringsstandarderna WPA2-Enterprise, WPA-Enterprise och Open med 802.1X som stöds för trådlösa 802.1X-distributioner.
Anmärkning
När du konfigurerar principer för trådlösa nätverk måste du välja WPA2-Enterprise, WPA-Enterprise eller Öppna med 802.1X för att få åtkomst till de EAP-inställningar som krävs för 802.1X-autentiserade trådlösa distributioner.
Trådlös autentisering
Den här guiden rekommenderar att du använder följande standarder för trådlös autentisering för 802.1X-autentiserade trådlösa distributioner.
Wi-Fi Skyddad åtkomst – Företag (WPA-Enterprise) WPA är en tillfällig standard som utvecklats av WiFi Alliance för att följa det trådlösa säkerhetsprotokollet 802.11. WPA-protokollet utvecklades som svar på ett antal allvarliga brister som upptäcktes i det föregående WEP-protokollet (Wired Equivalent Privacy).
WPA-Enterprise ger förbättrad säkerhet jämfört med WEP genom att:
Kräva autentisering som använder 802.1X EAP-ramverket som en del av infrastrukturen som säkerställer centraliserad ömsesidig autentisering och dynamisk nyckelhantering
Förbättra ICV:n (Integrity Check Value) med en MIC (Message Integrity Check) för att skydda sidhuvudet och nyttolasten.
Implementera en ramräknare för att avskräcka från reprisattacker
Wi-Fi Skyddad åtkomst 2 – Företag (WPA2-Enterprise) Liksom WPA-Enterprise-standarden använder WPA2-Enterprise 802.1X- och EAP-ramverket. WPA2-Enterprise ger starkare dataskydd för flera användare och stora hanterade nätverk. WPA2-Enterprise är ett robust protokoll som är utformat för att förhindra obehörig nätverksåtkomst genom att verifiera nätverksanvändare via en autentiseringsserver.
Trådlös säkerhetskryptering
Trådlös säkerhetskryptering används för att skydda de trådlösa överföringar som skickas mellan den trådlösa klienten och den trådlösa åtkomstpunkten. Trådlös säkerhetskryptering används tillsammans med den valda autentiseringsmetoden för nätverkssäkerhet. Som standard har datorer som kör Windows 10, Windows 8.1 och Windows 8 stöd för två krypteringsstandarder:
TKIP (Temporal Key Integrity Protocol ) är ett äldre krypteringsprotokoll som ursprungligen utformades för att ge säkrare trådlös kryptering än vad som tillhandahölls av det i sig svaga WEP-protokollet (Wired Equivalent Privacy). TKIP utformades av IEEE 802.11i-arbetsgruppen och Wi-Fi Alliance för att ersätta WEP utan att äldre maskinvara behöver bytas ut. TKIP är en uppsättning algoritmer som kapslar in WEP-nyttolasten och gör det möjligt för användare av äldre WiFi-utrustning att uppgradera till TKIP utan att byta ut maskinvara. Precis som WEP använder TKIP RC4-strömkrypteringsalgoritmen som grund. Det nya protokollet krypterar dock varje datapaket med en unik krypteringsnyckel, och nycklarna är mycket starkare än de från WEP. Även om TKIP är användbart för att uppgradera säkerheten på äldre enheter som utformats för att endast använda WEP, löser det inte alla säkerhetsproblem som trådlösa LAN står inför, och i de flesta fall är det inte tillräckligt robust för att skydda känsliga dataöverföringar från myndigheter eller företag.
AES (Advanced Encryption Standard ) är det föredragna krypteringsprotokollet för kryptering av kommersiella och statliga data. AES erbjuder en högre nivå av säkerhet vid trådlös överföring än både TKIP och WEP. Till skillnad från TKIP och WEP kräver AES trådlös maskinvara som stöder AES-standarden. AES är en krypteringsstandard med symmetrisk nyckel som använder tre blockchiffer, AES-128, AES-192 och AES-256.
I Windows Server 2016 är följande AES-baserade trådlösa krypteringsmetoder tillgängliga för konfiguration i egenskaperna för trådlösa profiler när du väljer en autentiseringsmetod för WPA2-Enterprise, vilket rekommenderas.
- AES-CCMP. CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) implementerar 802.11i-standarden och är utformad för högre säkerhetskryptering än den som tillhandahålls av WEP, och använder 128-bitars AES-krypteringsnycklar.
- AES-GCMP. GCMP (Galois Counter Mode Protocol) stöds av 802.11ac, är effektivare än AES-CCMP och ger bättre prestanda för trådlösa klienter. GCMP använder 256-bitars AES-krypteringsnycklar.
Viktigt!
WEP (Wired Equivalency Privacy) var den ursprungliga trådlösa säkerhetsstandarden som användes för att kryptera nätverkstrafik. Du bör inte distribuera WEP i nätverket eftersom det finns välkända sårbarheter i denna föråldrade form av säkerhet.
Active Directory-domäntjänster (AD DS)
AD DS tillhandahåller en distribuerad databas som lagrar och hanterar information om nätverksresurser och programspecifika data från katalogaktiverade program. Administratörer kan använda AD DS för att organisera element i ett nätverk, till exempel användare, datorer och andra enheter, i en hierarkisk inneslutningsstruktur. Den hierarkiska inneslutningsstrukturen omfattar Active Directory-skogen, domäner i skogen och organisationsenheter (OU) i varje domän. En server som kör AD DS kallas för en domänkontrollant.
AD DS innehåller de användarkonton, datorkonton och kontoegenskaper som krävs av IEEE 802.1X och PEAP-MS-CHAP v2 för att autentisera användarautentiseringsuppgifter och för att utvärdera auktorisering för trådlösa anslutningar.
Active Directory-användare och -datorer
Active Directory - användare och datorer är en komponent i AD DS som innehåller konton som representerar fysiska enheter, till exempel en dator, en person eller en säkerhetsgrupp. En säkerhetsgrupp är en samling användar- eller datorkonton som administratörer kan hantera som en enda enhet. Användar- och datorkonton som tillhör en viss grupp kallas gruppmedlemmar.
Grupprinciphantering
Grupprinciphantering möjliggör katalogbaserad ändrings- och konfigurationshantering av användar- och datorinställningar, inklusive säkerhet och användarinformation. Du använder grupprincip för att definiera konfigurationer för grupper av användare och datorer. Med Grupprincip kan du ange inställningar för registerposter, säkerhet, programvaruinstallation, skript, omdirigering av mappar, fjärrinstallationstjänster och underhåll av Internet Explorer. De grupprincipinställningar som du skapar finns i ett grupprincipobjekt (GPO). Genom att koppla ett grupprincipobjekt till valda Active Directory-systembehållare – platser, domäner och organisationsenheter – kan du tillämpa grupprincipobjektets inställningar på användare och datorer i dessa Active Directory-behållare. Om du vill hantera grupprincipobjekt i ett företag kan du använda redigeraren för grupprinciphantering i Microsoft Management Console (MMC).
Den här guiden innehåller detaljerade instruktioner om hur du anger inställningar i tillägget Principer för trådlösa nätverk (IEEE 802.11) i Grupprinciphantering. Principerna för trådlösa nätverk (IEEE 802.11) konfigurerar trådlösa klientdatorer som är domänmedlemmar med nödvändiga anslutningsmöjligheter och trådlösa inställningar för 802.1X-autentiserad trådlös åtkomst.
Server-certifikat
Det här distributionsscenariot kräver servercertifikat för varje NPS som utför 802.1X-autentisering.
Ett servercertifikat är ett digitalt dokument som ofta används för autentisering och för att säkra information i öppna nätverk. Ett certifikat binder på ett säkert sätt en offentlig nyckel till den entitet som innehåller motsvarande privata nyckel. Certifikat signeras digitalt av den utfärdande certifikatutfärdaren och de kan utfärdas för en användare, en dator eller en tjänst.
En certifikatutfärdare (CA) är en enhet som ansvarar för att upprätta och garantera äktheten hos offentliga nycklar som tillhör ämnen (vanligtvis användare eller datorer) eller andra certifikatutfärdare. En certifikatutfärdares aktiviteter kan omfatta att binda offentliga nycklar till unika namn via signerade certifikat, hantera certifikatserienummer och återkalla certifikat.
Active Directory Certificate Services (AD CS) är en serverroll som utfärdar certifikat som en nätverkscertifikatutfärdare. En AD CS-certifikatinfrastruktur, även känd som en PKI (Public Key Infrastructure), tillhandahåller anpassningsbara tjänster för att utfärda och hantera certifikat för företaget.
EAP, PEAP och PEAP-MS-CHAP v2
EAP (Extensible Authentication Protocol) utökar PPP (Point-to-Point Protocol) genom att tillåta ytterligare autentiseringsmetoder som använder autentiseringsuppgifter och informationsutbyte av godtycklig längd. Med EAP-autentisering måste både nätverksåtkomstklienten och autentiseraren (t.ex. NPS) ha stöd för samma EAP-typ för att autentiseringen ska lyckas. Windows Server 2016 innehåller en EAP-infrastruktur, stöder två EAP-typer och möjligheten att skicka EAP-meddelanden till NPS:er. Genom att använda EAP kan du stödja ytterligare autentiseringsscheman, så kallade EAP-typer. De EAP-typer som stöds av Windows Server 2016 är:
Transportskiktsäkerhet (TLS)
Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2)
Viktigt!
Starka EAP-typer (t.ex. de som baseras på certifikat) ger bättre skydd mot brute force-attacker, ordboksattacker och attacker där lösenord gissas än lösenordsbaserade autentiseringsprotokoll (t.ex. CHAP eller MS-CHAP version 1).
Protected EAP (PEAP) använder TLS för att skapa en krypterad kanal mellan en autentiserande PEAP-klient, t.ex. en trådlös dator, och en PEAP-autentiserare, t.ex. en NPS-server eller andra RADIUS-servrar. PEAP anger ingen autentiseringsmetod, men det ger ytterligare säkerhet för andra EAP-autentiseringsprotokoll (t.ex. EAP-MS-CHAP v2) som kan fungera via den TLS-krypterade kanal som tillhandahålls av PEAP. PEAP används som en autentiseringsmetod för åtkomstklienter som ansluter till organisationens nätverk via följande typer av nätverksåtkomstservrar (NAS):
802.1X-kompatibla trådlösa åtkomstpunkter
802.1X-kompatibla autentiserande switchar
Datorer som kör Windows Server 2016 och RAS-tjänsten (Remote Access Service) som är konfigurerade som VPN-servrar (Virtual Private Network), DirectAccess-servrar eller båda
Datorer som kör Windows Server 2016 och Fjärrskrivbordstjänster
PEAP-MS-CHAP v2 är enklare att distribuera än EAP-TLS eftersom användarautentisering utförs med hjälp av lösenordsbaserade autentiseringsuppgifter (användarnamn och lösenord) istället för certifikat eller smartkort. Endast NPS- eller andra RADIUS-servrar krävs för att ha ett certifikat. NPS-certifikatet används av NPS:en under autentiseringsprocessen för att bevisa sin identitet för PEAP-klienter.
Den här guiden innehåller instruktioner för hur du konfigurerar dina trådlösa klienter och dina NPS:er för att använda PEAP-MS-CHAP v2 för 802.1X-autentiserad åtkomst.
Nätverkspolicyserver
Med NPS (Network Policy Server) kan du konfigurera och hantera nätverksprinciper centralt med hjälp av RADIUS-servern (Remote Authentication Dial-In User Service) och RADIUS-proxyn. NPS krävs när du distribuerar trådlös 802.1X-åtkomst.
När du konfigurerar dina trådlösa 802.1X-åtkomstpunkter som RADIUS-klienter i NPS, bearbetar NPS de anslutningsbegäranden som skickas av åtkomstpunkterna. Under bearbetningen av anslutningsbegäran utför NPS autentisering och auktorisering. Autentiseringen avgör om klienten har presenterat giltiga autentiseringsuppgifter. Om NPS autentiserar den begärande klienten avgör NPS om klienten har behörighet att upprätta den begärda anslutningen och antingen tillåter eller nekar anslutningen. Detta förklaras mer detaljerat enligt följande:
Autentisering
En lyckad ömsesidig PEAP-MS-CHAP v2-autentisering består av två huvuddelar:
Klienten autentiserar NPS:en. Under den här fasen av ömsesidig autentisering skickar NPS-servern servercertifikatet till klientdatorn så att klienten kan verifiera NPS:ens identitet med certifikatet. För att NPS:en ska kunna autentiseras måste klientdatorn ha förtroende för certifikatutfärdaren som utfärdade NPS-certifikatet. Klienten litar på certifikatutfärdaren när certifikatutfärdarens certifikat finns i certifikatarkivet Betrodda rotcertifikatutfärdare på klientdatorn.
Om du distribuerar en egen privat certifikatutfärdare installeras certifikatutfärdarcertifikatet automatiskt i certifikatarkivet för betrodda rotcertifikatutfärdare för den aktuella användaren och för den lokala datorn när grupprincipen uppdateras på domänmedlemmens klientdator. Om du bestämmer dig för att distribuera servercertifikat från en offentlig certifikatutfärdare kontrollerar du att det offentliga certifikatutfärdarcertifikatet redan finns i certifikatarkivet för betrodda rotcertifikatutfärdare.
NPS autentiserar användaren. När klienten har autentiserat NPS:en skickar klienten användarens lösenordsbaserade autentiseringsuppgifter till NPS:en, som verifierar användarens autentiseringsuppgifter mot databasen för användarkonton i AD DS (Active Directory Domain Services).
Om autentiseringsuppgifterna är giltiga och autentiseringen lyckas påbörjar NPS auktoriseringsfasen för bearbetningen av anslutningsbegäran. Om autentiseringsuppgifterna inte är giltiga och autentiseringen misslyckas skickar NPS ett meddelande om att åtkomst avvisas och anslutningsbegäran nekas.
Auktorisering
Servern som kör NPS utför auktorisering på följande sätt:
NPS söker efter begränsningar i fjärranslutningsegenskaperna för användare eller datorkonto i AD DS. Varje användar- och datorkonto i Active Directory - användare och datorer innehåller flera egenskaper, inklusive de som finns på fliken Fjärranslutning . På den här fliken, i Behörighet för nätverksåtkomst, om värdet är Tillåt åtkomst, har användaren eller datorn behörighet att ansluta till nätverket. Om värdet är Neka åtkomst har användaren eller datorn inte behörighet att ansluta till nätverket. Om värdet är Kontrollera åtkomst via NPS-nätverksprincip utvärderar NPS de konfigurerade nätverksprinciperna för att avgöra om användaren eller datorn har behörighet att ansluta till nätverket.
NPS bearbetar sedan sina nätverksprinciper för att hitta en princip som matchar anslutningsbegäran. Om en matchande princip hittas beviljar eller nekar NPS antingen anslutningen baserat på principens konfiguration.
Om både autentisering och auktorisering lyckas, och om den matchande nätverksprincipen beviljar åtkomst, ger NPS åtkomst till nätverket, och användaren och datorn kan ansluta till nätverksresurser som de har behörighet för.
Anmärkning
Om du vill distribuera trådlös åtkomst måste du konfigurera NPS-principer. Den här guiden innehåller instruktioner om hur du använder guiden Konfigurera 802.1X i NPS för att skapa NPS-policyer för 802.1X-autentiserad trådlös åtkomst.
Bootstrap-profiler
I 802.1X-autentiserade trådlösa nätverk måste trådlösa klienter tillhandahålla säkerhetsuppgifter som autentiseras av en RADIUS-server för att kunna ansluta till nätverket. För Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol version 2 [MS-CHAP v2] är säkerhetsautentiseringsuppgifterna ett användarnamn och lösenord. För EAP-Transport Layer Security (TLS) eller PEAP-TLS är säkerhetsautentiseringsuppgifterna certifikat, till exempel klientanvändar- och datorcertifikat eller smartkort.
När du ansluter till ett nätverk som är konfigurerat för att utföra PEAP-MS-CHAP v2-, PEAP-TLS- eller EAP-TLS-autentisering måste trådlösa Windows-klienter som standard också validera ett datorcertifikat som skickas av RADIUS-servern. Det datorcertifikat som skickas av RADIUS-servern för varje autentiseringssession kallas ofta för ett servercertifikat.
Som tidigare nämnts kan du utfärda servercertifikatet till RADIUS-servrarna på ett av två sätt: från en kommersiell certifikatutfärdare (t.ex. VeriSign, Inc.) eller från en privat certifikatutfärdare som du distribuerar i nätverket. Om RADIUS-servern skickar ett datorcertifikat som utfärdats av en kommersiell certifikatutfärdare som redan har ett rotcertifikat installerat i klientens certifikatarkiv för betrodda rotcertifikatutfärdare, kan den trådlösa klienten validera RADIUS-serverns datorcertifikat, oavsett om den trådlösa klienten har anslutit till Active Directory-domänen eller inte. I det här fallet kan den trådlösa klienten ansluta till det trådlösa nätverket och sedan kan du ansluta datorn till domänen.
Anmärkning
Beteendet som kräver att klienten verifierar servercertifikatet kan inaktiveras, men vi rekommenderar inte att du inaktiverar verifiering av servercertifikat i produktionsmiljöer.
Trådlösa startprofiler är tillfälliga profiler som är konfigurerade på ett sådant sätt att användare av trådlösa klienter kan ansluta till det 802.1X-autentiserade trådlösa nätverket innan datorn ansluts till domänen och/eller innan användaren har loggat in på domänen med hjälp av en viss trådlös dator för första gången. I det här avsnittet sammanfattas vilka problem som uppstår när en användare försöker ansluta en trådlös dator till domänen, eller när en användare använder en domänansluten trådlös dator för första gången för att logga in på domänen.
För distributioner där användaren eller IT-administratören inte fysiskt kan ansluta en dator till det kabelanslutna Ethernet-nätverket för att ansluta datorn till domänen, och datorn inte har det nödvändiga utfärdande rotcertifikatutfärdarcertifikatet installerat i certifikatarkivet Betrodda rotcertifikatutfärdare , kan du konfigurera trådlösa klienter med en tillfällig profil för trådlös anslutning. kallas för en bootstrap-profil för att ansluta till det trådlösa nätverket.
En bootstrap-profil tar bort kravet på att validera RADIUS-serverns datorcertifikat. Den här tillfälliga konfigurationen gör det möjligt för den trådlösa användaren att ansluta datorn till domänen, då principerna för trådlösa nätverk (IEEE 802.11) tillämpas och lämpligt rotcertifikatutfärdarcertifikat installeras automatiskt på datorn.
När grupprincip tillämpas tillämpas en eller flera profiler för trådlösa anslutningar som tillämpar kravet på ömsesidig autentisering på datorn. Bootstrap-profilen behövs inte längre och tas bort. När användaren har anslutit datorn till domänen och startat om datorn kan han eller hon använda en trådlös anslutning för att logga in på domänen.
En översikt över distributionsprocessen för trådlös åtkomst med hjälp av dessa tekniker finns i Översikt över distribution av trådlös åtkomst.