部署基于密码的 802.1X 身份验证无线访问
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
本指南是 Windows Server® 2016 核心网络指南的配套指南。 核心网络指南针对在新林中规划和部署完全正常运行的网络和新 Active Directory® 域所需的组件提供了说明。
本指南通过提供有关如何使用受保护的可扩展身份验证协议(Microsoft 质询握手身份验证协议版本 2 (PEAP-MS-CHAP v2))部署电气和电子工程师协会 (IEEE) 802.1 X 身份验证 IEEE 802.11 无线访问的说明,来说明如何在核心网络上进行构建。
由于 PEAP-MS-CHAP v2 要求用户在身份验证过程中提供基于密码的凭据,而不是证书,因此它通常比 EAP-TLS 或 PEAP-TLS 更容易部署并且部署成本更低。
注意
在本指南中,使用 PEAP-MS-CHAP v2 部署的 IEEE 802.1X 身份验证无线访问缩写为“无线访问”和“Wi-Fi 访问”。
关于本指南
本指南与下述先决条件指南提供了有关如何部署以下 Wi-Fi 访问基础结构的说明。
一个或多个支持 802.1X 的 802.11 无线访问点 (AP)。
Active Directory 域服务 (AD DS) 用户和计算机。
组策略管理。
一个或多个网络策略服务器 (NPS) 服务器。
用于运行 NPS 的计算机的服务器证书。
运行 Windows® 10、Windows 8.1 或 Windows 8 的无线客户端计算机。
本指南关联内容
若要根据本指南成功部署经过身份验证的无线访问,必须在网络与域环境中部署所有所需的技术。 还必须将服务器证书部署到身份验证 NPS。
以下部分提供的链接指向如何部署这些技术的说明文档。
网络与域环境关联内容
本指南适用于已按照《Windows Server 2016 核心网络指南》中的说明部署了核心网络的网络和系统管理员,或之前已部署核心网络涉及的核心技术(包括 AD DS、域名系统 (DNS)、动态主机配置协议 (DHCP)、TCP/IP、NPS 和 Windows Internet 名称服务 (WINS))的网络和系统管理员。
Windows Server 2016 技术库中提供了 Windows Server 2016 核心网络指南。
服务器证书关联内容
可以采用两种方式使用服务器证书来注册身份验证服务器以用于 802.1X 身份验证:使用 Active Directory 证书服务 (AD CS) 来部署自己的公钥基础结构,或使用由公共证书颁发机构 (CA) 注册的服务器证书。
AD CS
网络和系统管理员在部署经过身份验证的无线访问时,必须按照《Windows Server 2016 核心网络配套指南》的为 802.1X 有线和无线部署部署服务器证书中的说明进行操作。 该指南介绍如何部署和使用 AD CS 以将服务器证书自动注册到运行 NPS 的计算机。
该指南在以下位置提供。
- 技术库中提供 HTML 格式的《Windows Server 2016 核心网络配套指南》的为 802.1X 有线和无线部署部署服务器证书。
公共 CA
可以从客户端计算机已信任的公共 CA(如 VeriSign)购买服务器证书。
在受信任的根证书颁发机构证书存储中安装 CA 证书后,客户端计算机将信任 CA。 默认情况下,在运行 Windows 的计算机中,其受信任的根证书颁发机构证书存储中会安装多个公共 CA 证书。
建议查看此部署方案中所用的每项技术的设计和部署指南。 这些指南可帮助你确定此部署方案是否为组织网络提供了所需的服务和配置。
要求
下面是使用本指南所述方案部署无线访问基础结构的要求:
在部署此方案之前,必须首先购买支持 802.1X 的无线访问点,以在站点所需位置提供无线覆盖。 本指南的规划部分有助于确定 AP 必须支持的功能。
根据《Windows Server 2016 核心网络指南》中的说明安装 Active Directory 域服务 (AD DS) 以及其他所需的网络技术。
部署 AD CS,并将服务器证书注册到 NPS。 部署本指南中使用的基于 PEAP-MS-CHAP v2 证书的身份验证方法时,需要用到这些证书。
对于在网络中的客户端计算机和设备上安装的无线 AP 和无线网络适配器,组织成员需熟悉它们支持的 IEEE 802.11 标准。 例如,组织成员需熟悉射频类型、802.11 无线身份验证(WPA2 或 WPA)以及密码(AES 或 TKIP)。
本指南未提供的内容
本指南不涵盖以下内容:
有关如何选择支持 802.1X 的无线访问点的全面指导
由于支持 802.1X 的无线 AP 的品牌和型号之间存在许多差异,因此本指南不提供有关以下内容的详细信息:
确定哪种品牌或型号的无线 AP 最符合需求。
无线 AP 在网络中的物理部署。
高级无线 AP 配置,例如无线虚拟局域网 (VLAN) 配置。
有关如何在 NPS 中配置特定于无线 AP 供应商的属性的说明。
此外,设置的术语和名称因无线 AP 品牌和型号而异,可能与本指南中使用的通用设置名称不相符。 为获取无线 AP 配置详细信息,必须查看无线 AP 制造商提供的产品文档。
有关部署 NPS 证书的说明
NPS 证书有两种部署方式。 本指南不提供全面指导来帮助你确定哪种方式最符合需求, 但是,一般情况下,你面临的选择是:
从基于 Windows 的客户端所信任的公共 CA(例如 VeriSign)购买证书。 对于较小规模的网络,通常建议选择此方式。
使用 AD CS 在网络上部署公钥基础结构 (PKI)。 对于大多数网络,建议选择此方式。有关如何使用 AD CS 部署服务器证书的说明,可在前述部署指南中找到。
NPS 网络策略与其他 NPS 设置
除了在运行“配置 802.1X”向导时进行的配置设置(如本指南中所述)以外,本指南不提供手动配置 NPS 条件、约束或其他 NPS 设置的详细信息。
DHCP
本部署指南不提供有关为无线 LAN 设计或部署 DHCP 子网的信息。
技术概述
以下是部署无线访问的技术概述:
IEEE 802.1X
IEEE 802.1X 标准定义了基于端口的网络访问控制,该访问控制用于向以太网提供经过身份验证的网络访问。 此基于端口的网络访问控制利用了交换式 LAN 基础结构的特性来对连接到 LAN 端口的设备进行身份验证。 如果身份验证过程失败,对端口的访问可能会被拒绝。 虽然此标准是为有线以太网设计的,但是已经对其进行了调整,使其适用于 802.11 无线 LAN。
支持 802.1X 的无线访问点 (AP)
此方案要求部署一个或多个支持 802.1X 且与远程身份验证拨入用户服务 (RADIUS) 协议兼容的无线 AP。
在 RADIUS 基础架构中将符合 802.1X 和 RADIUS 要求的 AP 与 RADIUS 服务器(例如 NPS)一起部署时,这些 AP 被称为 RADIUS 客户端。
无线客户端
本指南提供全面的配置详细信息,方便使用无线客户端计算机(运行 Windows 10、Windows 8.1 和 Windows 8)连接到网络的域成员用户进行 802.1X 身份验证访问。 计算机必须加入域才能成功建立经过身份验证的访问。
注意
还可以使用运行 Windows Server 2016、Windows Server 2012 R2 和 Windows Server 2012 作为无线客户端的计算机。
支持 IEEE 802.11 标准
支持的 Windows 和 Windows Server 操作系统为 802.11 无线网络提供内置支持。 在这些操作系统中,已安装的 802.11 无线网络适配器在“网络和共享中心”显示为无线网络连接。
尽管为 802.11 无线网络提供内置支持,但 Windows 的无线组件依赖于以下各项:
无线网络适配器的功能。 安装的无线网络适配器必须支持所需的无线 LAN 或无线安全标准。 例如,如果无线网络适配器不支持 Wi-Fi 安全访问 (WPA),则无法启用或配置 WPA 安全选项。
无线网络适配器驱动程序的功能。 若要支持配置无线网络选项,无线网络适配器的驱动程序必须支持向 Windows 报告其所有功能。 验证无线网络适配器的驱动程序是否根据操作系统的功能进行编写。 此外,检查 Microsoft 更新或无线网络适配器供应商的网站,确保驱动程序是最新版本。
下表显示了常见 IEEE 802.11 无线标准的传输速率和频率。
| 标准 | 频率 | 位传输速率 | 使用情况 |
|---|---|---|---|
| 802.11 | S 波段工业、科学和医学 (ISM) 频率范围(2.4 到 2.5 GHz) | 每秒 2 兆位 (Mbps) | 已过时。 不常用。 |
| 802.11b | S 波段 ISM | 11 Mbps | 常用。 |
| 802.11a | C 波段 ISM(5.725 到 5.875 GHz) | 54 Mbps | 因费用高昂且范围有限而不常用。 |
| 802.11g | S 波段 ISM | 54 Mbps | 广泛使用。 802.11g 设备与 802.11b 设备兼容。 |
| 802.11n\2.4 和 5.0 GHz | C 波段和 S 波段 ISM | 250 Mbps | 基于预批准 IEEE 802.11n 标准的设备于 2007 年 8 月推出。 许多 802.11n 设备与 802.11a、802.11b 和 802.11g 设备兼容。 |
| 802.11ac | 5 GHz | 6.93 Gbps | IEEE 于 2014 年批准的 802.11ac 比 802.11n 更具扩展性且速度更快,其部署在 AP 和无线客户端均支持它的位置。 |
无线网络安全方法
无线网络安全方法是无线身份验证(有时称为无线安全)和无线安全加密的非正式组合。 将无线身份验证和加密配合使用,可防止未经授权的用户访问无线网络,以及保护无线传输。
在“组策略”的“无线网络策略”中配置无线安全设置时,有多种组合设置可供选择。 但是,802.1X 身份验证无线部署仅支持“WPA2-企业版”、“WPA-企业版”和“802.1X 开放式”身份验证标准。
注意
配置无线网络策略时,必须选择“WPA2-企业版”、“WPA-企业版”或“802.1X 开放式”,才能访问 802.1X 身份验证无线部署所需的 EAP 设置。
无线身份验证
本指南建议将以下无线身份验证标准用于 802.1X 身份验证无线部署。
Wi-Fi 安全访问 - 企业版(WPA-企业版)WPA 是 Wi-Fi 联盟为遵守 802.11 无线安全协议而开发的临时标准。 WPA 协议针对之前有线等效隐私 (WEP) 协议中发现的许多严重缺陷而开发。
WPA-企业版通过以下方式提供比 WEP 更高的安全性:
要求进行基础结构采用 802.1X EAP 框架的身份验证,确保实现集中相互身份验证和动态密钥管理
使用消息完整性检查 (MIC) 增强完整性检查值 (ICV),保护标头和有效负载
实现帧计数器以阻止重播攻击
Wi-Fi 安全访问 2 – 企业版(WPA2-企业版)与 WPA-企业版标准一样,WPA2-企业版也使用 802.1X 和 EAP 框架。 WPA2-企业版为多用户和大型托管网络提供更强大的数据保护。 WPA2-企业版是一种可靠的协议,旨在通过身份验证服务器验证网络用户来防止未经授权的网络访问。
无线安全加密
无线安全加密用于保护无线客户端和无线 AP 之间发送的无线传输。 无线安全加密可与所选网络安全身份验证方法结合使用。 默认情况下,运行 Windows 10、Windows 8.1 和 Windows 8 的计算机支持两种加密标准:
临时密钥完整性协议 (TKIP) 是一种较旧的加密协议,最初旨在提供比固有弱有线等效隐私 (WEP) 协议更安全的无线加密。 TKIP 由 IEEE 802.11i 任务组和 Wi-Fi 联盟设计,无需更换旧硬件即可替换 WEP。 TKIP 是一套封装 WEP 有效负载的算法,允许旧版 Wi-Fi 设备的用户在不更换硬件的情况下升级到 TKIP。 与 WEP 一样,TKIP 使用 RC4 流加密算法作为其基础。 但是,新协议使用唯一加密密钥加密每个数据包,并且密钥安全性比 WEP 的密钥强得多。 尽管 TKIP 适合提升设计为仅使用 WEP 的旧设备的安全性,但是它并不能解决与无线 LAN 有关的所有安全问题,而且在大多数情况下,它不足以保护敏感的政府或公司数据传输。
高级加密标准 (AES) 是用于加密商业和政府数据的首选加密协议。 AES 提供比 TKIP 或 WEP 更高的无线传输安全性级别。 与 TKIP 和 WEP 不同,AES 需要支持 AES 标准的无线硬件。 AES 是一种对称密钥加密标准,它使用三个块密码:AES-128、AES-192 和 AES-256。
在 Windows Server 2016 中,当选择建议的 WPA2-企业版身份验证方法时,可将以下基于 AES 的无线加密方法用于无线配置文件属性中的配置。
- AES-CCMP。 计数器模式密码块链消息完整码协议 (CCMP) 实现 802.11i 标准,旨在提供比 WEP 更高级别的安全性加密,使用 128 位 AES 加密密钥。
- AES-GCMP。 伽罗瓦计数器模式协议 (GCMP) 受 802.11ac 支持,比 AES-CCMP 更高效,且为无线客户端提供更优的性能。 GCMP 使用 256 位 AES 加密密钥。
重要
有线等效隐私 (WEP) 是用于加密网络流量的原始无线安全标准。 不应在网络上部署 WEP,因为这种过时的安全方法存在已知漏洞。
Active Directory 域服务 (AD DS)
AD DS 提供了一个分布式数据库,该数据库可以存储和管理有关网络资源的信息,以及启用了目录的应用程序中特定于应用程序的数据。 管理员可以使用 AD DS 将网络元素(如用户、计算机和其他设备)整理到层次内嵌结构。 内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。 运行 AD DS 的服务器称为域控制器。
AD DS 包含 IEEE 802.1X 和 PEAP-MS-CHAP v2 验证用户凭据和评估无线连接授权所需的用户帐户、计算机帐户和帐户属性。
Active Directory 用户和计算机
Active Directory 用户和计算机是 AD DS 的一个组件,其中包含代表物理实体(例如计算机、个人或安全组)的帐户。 安全组是用户或计算机帐户的集合,管理员可将其作为一个单元来管理。 属于特定组的用户和计算机帐户称为组成员。
组策略管理
使用组策略管理可以基于目录对用户和计算机设置(包括安全性和用户信息)的更改和配置进行管理。 可以使用组策略来定义用户和计算机组的配置。 使用组策略可以指定注册表项、安全性、软件安装、脚本、文件夹重定向、远程安装服务和 Internet Explorer 维护的设置。 创建的组策略设置包含在组策略对象 (GPO) 中。 将 GPO 与选定的 Active Directory 系统容器(站点、域和 OU)相关联后,可将 GPO 的设置应用于这些 Active Directory 容器中的用户和计算机。 若要管理整个企业中的组策略对象,可以使用组策略管理编辑器 Microsoft 管理控制台 (MMC)。
本指南详细说明了如何在组策略管理的无线网络 (IEEE 802.11) 策略扩展中指定设置。 无线网络 (IEEE 802.11) 策略为域成员无线客户端计算机配置必要的连接和无线设置,以便其进行 802.1X 身份验证无线访问。
服务器证书
此部署方案要求每台执行 802.1X 身份验证的 NPS 使用服务器证书。
服务器证书是一种数字文件,通常用于身份验证和保护开放网络中的信息。 证书将公钥与持有相应私钥的实体牢固地绑定在一起。 证书由发证 CA 通过数字方式签署,可以颁发给用户、计算机或服务。
证书颁发机构 (CA) 是负责对属于主体(通常是用户或计算机)或其他 CA 的公钥的真实性进行建立和复核。 证书颁发机构的活动可能包括通过签署的证书将公共密钥绑定至可分辨名称、管理证书序列号以及调用证书。
Active Directory 证书服务 (AD CS) 是一种服务器角色,作为网络 CA 颁发证书。 AD CS 证书基础结构也称为公钥基础结构 (PKI),为企业提供颁发和管理证书的自定义服务。
EAP、PEAP 和 PEAP-MS-CHAP v2
可扩展身份验证协议 (EAP) 通过启用额外的身份验证方法,对点对点协议 (PPP) 进行扩展。这些额外的身份验证方法使用任意长度的凭据和信息交换。 利用 EAP 身份验证,网络访问客户端和身份验证器(如 NPS)必须支持同一种 EAP 类型才能成功验证身份。 Windows Server 2016 包括 EAP 基础结构,支持两种 EAP 类型以及将 EAP 消息传递到 NPS 的功能。 通过使用 EAP,可以支持其他身份验证方案(称为 EAP 类型)。 Windows Server 2016 支持的 EAP 类型包括:
传输层安全 (TLS) (Transport Layer Security) (TLS)
Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)
重要
强 EAP 类型(如基于证书的类型)提供的针对暴力攻击或字典攻击以及密码猜测攻击的安全性比基于密码的身份验证协议(如 CHAP 或 MS-CHAP 版本 1)更好。
受保护的 EAP (PEAP) 使用 TLS 在身份验证 PEAP 客户端(如无线计算机)和 PEAP 身份验证器(如 NPS 或其他 RADIUS 服务器)之间创建加密通道。 PEAP 不指定身份验证方法,但可以为其他 EAP 身份验证协议(如 EAP-MS-CHAP v2)提供更高的安全性,可以通过 PEAP 提供的 TLS 加密通道进行操作。 PEAP 是“访问客户端”通过以下类型的网络访问服务器 (NAS) 连接到组织网络的一种身份验证方法:
支持 802.1X 的无线访问点
支持 802.1X 的身份验证交换机
运行 Windows Server 2016 和远程访问服务 (RAS) 且配置为虚拟专用网络 (VPN) 服务器和/或 DirectAccess 服务器的计算机
运行 Windows Server 2016 和远程桌面服务的计算机
PEAP-MS-CHAP v2 比 EAP-TLS 容易部署,因为它使用基于密码的凭据(用户名和密码)完成用户身份验证,而不是使用证书或智能卡。 仅 NPS 或其他 RADIUS 服务器要求具有证书。 在身份验证的过程中,NPS 使用 NPS 证书向 PEAP 客户端证明其身份。
本指南说明如何将无线客户端和 NPS 配置为使用 PEAP-MS-CHAP v2 进行 802.1X 身份验证访问。
网络策略服务器
网络策略服务器 (NPS) 允许使用远程身份验证拨入用户服务 (RADIUS) 服务器和 RADIUS 代理集中配置和管理网络策略。 部署 802.1X 无线访问时,需要使用 NPS。
在 NPS 中将 802.1X 无线访问点配置为 RADIUS 客户端时,NPS 会处理 AP 发送的连接请求。 在处理连接请求期间,NPS 会执行身份验证和授权。 身份验证将确定客户端是否提供了有效的凭据。 如果 NPS 成功对发送请求的客户端进行身份验证,NPS 将确定是否授权客户端建立所请求的连接,并允许或拒绝连接。 下面将更详细地说明此过程:
身份验证
成功的 PEAP-MS-CHAP v2 互相身份验证包含两个主要部分:
客户端对 NPS 进行身份验证。 在相互身份验证期间,NPS 将其服务器证书发送到客户端计算机,以便客户端可以使用该证书验证 NPS 的身份。 若要成功对 NPS 进行身份验证,客户端计算机必须信任颁发 NPS 证书的 CA。 当 CA 的证书位于客户端计算机上的“受信任的根证书颁发机构”证书存储中时,客户端信任此 CA。
如果部署自己的专用 CA,则域成员客户端计算机刷新组策略时,系统会自动在当前用户和本地计算机的受信任根证书颁发机构证书存储中安装 CA 证书。 如果决定从公共 CA 部署服务器证书,请确保公共 CA 证书已在受信任的根证书颁发机构证书存储中。
NPS 对用户进行身份验证。 客户端成功对 NPS 进行身份验证后,客户端会将用户基于密码的凭据发送到 NPS,NPS 根据 Active Directory 域服务 (AD DS) 中的用户帐户数据库验证用户的凭据。
如果凭据有效,身份验证成功,NPS 将开始授权阶段,即处理连接请求。 如果凭据无效,身份验证失败,NPS 将发送“访问拒绝”消息,系统将拒绝连接请求。
Authorization
运行 NPS 的服务器执行授权的过程如下:
NPS 检查 AD DS 中用户或计算机帐户拨入属性中的限制。 Active Directory“用户和计算机”中的每个用户和计算机帐户都包含多个属性,包括在“拨入”选项卡上找到的属性。在此选项卡的“网络访问权限”中,如果值为“允许访问”,则用户或计算机可获授权以连接到网络。 如果值为“拒绝访问”,则用户或计算机无法获得授权以连接到网络。 如果值为“通过 NPS 网络策略控制访问”,则 NPS 将评估配置的网络策略,以确定用户或计算机是否可获授权以连接到网络。
然后,NPS 将处理其网络策略,以查找与连接请求匹配的策略。 如果找到匹配的策略,NPS 将根据该策略的配置授予或拒绝连接。
如果身份验证和授权均成功,并且匹配的网络策略授予访问权限,NPS 将授予对网络的访问权限,用户和计算机便可以连接到他们有权访问的网络资源。
注意
若要部署无线访问,必须配置 NPS 策略。 本指南说明如何使用 NPS 中的“配置 802.1X 向导”为 802.1X 身份验证无线访问创建 NPS 策略。
Bootstrap 配置文件
在 802.1X 身份验证无线网络中,无线客户端必须提供经过 RADIUS 服务器身份验证的安全凭据才能连接到网络。 对于受保护的 EAP [PEAP]-Microsoft 质询握手身份验证协议版本 2 [MS-CHAP v2],安全凭据是用户名和密码。 对于 EAP-传输层安全性 [TLS] 或 PEAP-TLS,安全凭据则是证书,例如客户端用户和计算机证书或智能卡。
默认情况下,连接到配置为执行 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 身份验证的网络时,Windows 无线客户端还必须验证 RADIUS 服务器发送的计算机证书。 RADIUS 服务器为每个身份验证会话发送的计算机证书通常称为服务器证书。
如前所述,可以通过以下两种方式之一颁发 RADIUS 服务器的服务器证书:从商业 CA(如 VeriSign, Inc.)或从网络上部署的专用 CA。 如果 RADIUS 服务器发送的计算机证书由商业 CA 颁发,且该 CA 的根证书已安装在客户端受信任的根证书颁发机构证书存储中,则无论无线客户端是否已加入 Active Directory 域,都可以验证 RADIUS 服务器的计算机证书。 在这种情况下,无线客户端可以连接到无线网络,然后可以将计算机加入该域。
注意
可以禁用要求客户端验证服务器证书的行为,但不建议在生产环境中禁用服务器证书验证。
无线 bootstrap 配置文件是一种临时配置文件,其配置方式是使无线客户端用户能够在计算机加入域之前和/或在用户首次使用给定无线计算机成功登录到域之前连接到 802.1X 身份验证无线网络。 本部分汇总了用户尝试将无线计算机加入域或首次使用已加入域的无线计算机登录到域时会遇到的问题。
如果在部署中,用户或 IT 管理员无法以物理方式将计算机连接到有线以太网网络以将计算机加入域,并且计算机的受信任的根证书颁发机构证书存储中未安装必要的颁发根 CA 证书,可以使用临时的无线连接配置文件(称为 bootstrap 配置文件)来配置无线客户端,以连接到无线网络。
使用 bootstrap 配置文件时无需验证 RADIUS 服务器的计算机证书。 此临时配置使无线用户能够将计算机加入域,此时系统将应用无线网络 (IEEE 802.11) 策略,并在计算机上自动安装相应的根 CA 证书。
如果应用组策略,系统将在计算机上应用一个或多个强制要求进行相互身份验证的无线连接配置文件,将不再需要 bootstrap 配置文件并将其删除。 将计算机加入域并重启计算机后,用户可以使用无线连接登录到域。
有关使用这些技术部署无线访问的概述,请参阅无线访问部署概述。