如何为 802.1X 经过身份验证的有线网络和无线网络配置基于 AMT 的计算机
应用到: System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP2
在基于 AMT 的计算机(已设置)连接到经过身份验证的有线网络或无线网络的情况下,如果要对这些计算机进行带外管理,则必须将 Configuration Manager 配置为支持这些环境。使用以下步骤可配置 802.1X 经过身份验证的有线连接和 802.1X 无线连接的设置。
备注
本主题中的信息仅适用于 Configuration Manager 2007 SP2。
您为客户端身份验证指定的设置及其他与安全有关的设置必须与 RADIUS 服务器的配置相匹配。有关 RADIUS 服务器上受支持配置的信息,请参阅带外管理的先决条件。此外,当基于 AMT 的计算机主机配置为使用无线网络时(在操作系统中进行本机配置或使用其他解决方案进行配置),请确保您在带外管理无线配置文件中为“网络名称 (SSID)”、“安全类型”和“加密方法”指定的设置与您的主机无线配置相匹配。
如果要将客户端证书用于 802.1X 身份验证,则此步骤包括从企业证书颁发机构 (CA) 中选择自定义的证书模板。如果您尚未配置此证书模板,请参阅下列主题以了解详细信息:
基于 AMT 的计算机必须先由 Configuration Manager 进行设置,然后才能在 802.1X 经过身份验证的有线连接和 802.1X 无线连接上支持带外管理。除需要配置 AMT 设置以外,还需要执行下列配置步骤。如果基于 AMT 的计算机已由 Configuration Manager 进行了设置,并且您希望增加对 802.1X 经过身份验证的有线连接和 802.1X 无线连接的支持,则必须更新 AMT 设置,以使此配置生效。有关如何更新 AMT 设置的信息,请参阅如何使用带外管理更新已设置的计算机中的 AMT 设置。
对基于 AMT 的计算机进行更新以支持在 802.1X 经过身份验证的有线连接和 802.1X 无线连接上进行带外管理时,该计算机必须正在使用以下网络连接之一:
计算机连接到的以太网端口不需要 802.1X 身份验证。
计算机通过操作系统连接到 802.1X 经过身份验证的网络。
备注
如果在无线网络上使用带外管理,则必须确保 DNS 具有基于 AMT 的计算机的主机记录,其中包含无线 IP 地址。AMT 无法在 DNS 中注册主机记录,因此您必须确保主机计算机上的 DHCP 或操作系统会更新 DNS,以便基于 AMT 的计算机的无线 IP 地址可被解析为其完全限定的域名。或者,您也可以根据需要在 DNS 中手动创建这些记录。
将基于 AMT 的计算机配置为使用经过身份验证的有线连接和无线连接
在 Configuration Manager 控制台中,导航到 System Center Configuration Manager/站点数据库/站点管理/<站点代码> – <站点名称>/站点设置/组件配置”。
右键单击“带外管理”,单击“属性”,然后单击“802.1X 和无线”选项卡。
备注
如果无需将 802.1X 身份验证配置为用于有线网络,请转到步骤 9。
要将 802.1X 身份验证配置为用于有线网络,请选择“启用有线网络访问的 802.1X 身份验证”,然后单击“设置”。
在“802.1X 有线网络访问控制”对话框中,单击“选择”以选择“受信任的根证书”。
在“用于 RADIUS 身份验证的受信任的根证书”对话框中,使用以下方法之一指定受信任的根证书,然后单击“确定”:
要通过从林中选择企业证书颁发机构来指定受信任的根证书,请确保选中“来自证书颁发机构 (CA)”,然后从下拉列表中选择证书颁发机构。
要通过选择 DER 编码的二进制 X.509 (.cer) 或 Base-64 编码的 X.509 (.cer) 文件(其中含有导出的受信任的根证书)来指定受信任的根证书,请依次单击“来自文件”和“浏览”,选择 .cer 文件,然后单击“打开”。
使用下拉框选择要使用的客户端身份验证方法。
如果您选择了 EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 客户端身份验证方法,并且希望使用客户端证书来进行身份验证,则请单击“使用客户端证书”。
如果选择了“使用客户端证书”,请单击“选择”,指定要用于客户端证书的“颁发 CA”和“RADIUS 客户端证书模板”,然后单击“确定”。
备注
如果无需配置无线设置,请转到步骤 23。
要创建并配置无线配置文件,请单击“新建”图标
.gif "“新建”图标")
。在“无线配置文件”对话框中,键入“配置文件名称”的显示名称。
在?网络名称 (SSID)中键入无线网络的名称。
从“安全类型”下拉框中指定安全类型。
从“加密方法”下拉框中指定加密方法。
单击“选择”为 RADIUS 服务器指定受信任的根证书。
在“用于 RADIUS 身份验证的受信任的根证书”对话框中,使用以下方法之一指定受信任的根证书,然后单击“确定”:
要通过从林中选择企业证书颁发机构来指定受信任的根证书,请确保选中?来自证书颁发机构 (CA)
要通过选择 DER 编码的二进制 X.509 (.cer) 或 Base-64 编码的 X.509 (.cer) 文件(其中含有导出的受信任的根证书)来指定受信任的根证书,请依次单击“来自文件”和“浏览”,选择 .cer 文件,然后单击“打开”。
使用下拉框选择要使用的客户端身份验证方法。
如果您选择了 EAP-TTLS/MSCHAPv2 或 PEAPv0/EAP-MSCHAPv2 客户端身份验证方法,并且希望使用客户端证书来进行身份验证,则请单击“使用客户端证书”。
如果选择了“使用客户端证书”,请单击“选择”,指定要用于客户端证书的“颁发 CA”和“RADIUS 客户端证书模板”,然后单击“确定”。
要创建更多无线配置文件,请重复步骤 10 到步骤 18。
要更改无线配置文件的顺序,请选择一个无线配置文件,然后单击“下移项目”图标
.gif "“下移”图标")
或“上移项目”图标 .gif "“上移”图标")
。基于 AMT 的计算机将依次尝试每个无线配置文件,直至成功建立连接,且这些计算机在连接持续期间会继续使用此配置文件。如需更改无线配置文件的设置,请选中无线配置文件,然后单击“属性”图标
.gif "“属性”图标")
。如需删除无线配置文件,请选中无线配置文件,然后单击“删除”图标
.gif "“删除”图标")
。单击“是”确认。适用于 802.1X 经过身份验证的有线连接和无线连接,对于只进行了带内设置的基于 AMT 的计算机,请针对“RADIUS 身份验证的安全组” 配置下列各项之一,然后单击“确定”:
要向安全组(在 RADIUS 服务器上将使用该安全组授予网络访问权限)手动添加基于 AMT 的计算机,请保留默认的“不将基于 AMT 的计算机自动添加到安全组(安全性较高)”在使用此设置的情况下,对于带外设置的计算机,必须向 RADIUS 服务器使用的任何安全组手动添加基于 AMT 的计算机。
要向指定安全组(在 RADIUS 服务器上将使用该安全组授予网络访问权限)自动添加带内设置的基于 AMT 的计算机,请依次单击“将基于 AMT 的计算机自动添加到安全组(安全性较低)”和“浏览”,在“选择组”对话框中指定安全组,然后单击“确定”。将不会自动添加带外设置的基于 AMT 的计算机。
备注
要自动添加基于 AMT 的计算机,站点服务器计算机帐户需要具有对指定组的读写权限。
验证基于 AMT 的计算机是否配置为使用经过身份验证的有线连接和无线连接
在带外服务点上,找到并打开文件 <Configuration Manager 安装路径>\Logs\Amtopmgr.log。
搜索以下文本字符串之一,其中 <wireless_profile> 是无线配置文件的指定名称:
要确认已成功配置经过身份验证的有线设置,请依次搜索 Begin to set Wired 8021x Profile... 和 Set Wired 8021x Profile Success...。
要确认已成功配置无线配置文件设置,请依次搜索 Set wireless profile:<wireless_profile> 和 Successfully add wireless profile <wireless_profile>。
要识别配置无线配置文件时因指定的配置元素失败而发生的故障(例如,指定了客户端证书但无法颁发),请依次搜索 Set wireless profile:<wireless_profile>、故障原因(例如 No client Certificate)和 The wireless profile:<wireless_profile> is invaid.Skip adding...。
要识别更新无线配置文件时因基于 AMT 的计算机目前处于无线连接而发生的故障,请搜索 The wireless connection is active, skip setting wifi profiles。
如果未成功应用设置,请关闭日志文件并采取纠正措施。
另请参阅
引用
带外管理属性:“802.1X 和无线”选项卡
“无线配置文件”对话框
概念
关于带外管理的证书
确定是否应该配置对 802.1X 和无线网络的支持
带外管理的先决条件
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。