无线访问部署

按照以下步骤部署无线接入点:

部署和配置无线 AP

按照以下步骤部署和配置无线 AP:

注意

对于打开“用户帐户控制”对话框以请求你允许继续操作的情况,本指南中的过程不做说明。 如果在执行本指南中的过程时出现了此对话框,并且该对话框是因响应你的操作而出现的,则请单击“继续”

指定无线 AP 通道频率

在单个地理位置部署多个无线 AP 时,必须配置具有重叠信号的无线 AP,以使用独特的通道频率来减少无线 AP 之间的干扰。

可以使用以下指导来帮助选择不会与你的无线网络所在地理位置的其他无线网络冲突的通道频率。

  • 如果其他组织在你的组织附近或同一建筑物内设有办公室,请确定这些组织是否拥有任何无线网络。 找出他们的无线 AP 的位置和分配的通道频率,因为你需要为自己的 AP 分配不同的通道频率,并确定 AP 的最佳安装位置。

  • 识别你自己的组织中相邻楼层的重叠无线信号。 在确定组织内外的重叠覆盖区域后,为无线 AP 分配通道频率,确保为覆盖范围重叠的任何两个无线 AP 分配不同的通道频率。

配置无线 AP

使用以下信息以及无线 AP 制造商提供的产品文档配置无线 AP。

此过程将枚举通常在无线 AP 上配置的项。 项名称根据品牌和型号而异,可能与以下列表中的名称不同。 有关具体的详细信息,请参阅无线 AP 文档。

配置无线 AP

  • SSID。 指定无线网络的名称(例如 ExampleWLAN)。 这是向无线客户端播发的名称。

  • 加密。 指定 WPA2-Enterprise(首选)或 WPA-Enterprise,以及 AES(首选)或 TKIP 加密密码,具体取决于无线客户端计算机网络适配器支持的版本。

  • 无线 AP IP 地址(静态)。 在每个 AP 上配置唯一的静态 IP 地址,该地址在子网 DHCP 范围的排除范围内。 使用从 DHCP 分配范围内排除的地址可防止 DHCP 服务器将相同的 IP 地址分配到计算机或其他设备。

  • 子网掩码。 将此项配置为与无线 AP 连接到的 LAN 的子网掩码设置相匹配。

  • DNS 名称。 可以使用 DNS 名称对某些无线 AP 进行配置。 网络上的 DNS 服务可将 DNS 名称解析为 IP 地址。 在支持此功能的每个无线 AP 上,输入唯一的名称用于 DNS 解析。

  • DHCP 服务。 如果无线 AP 具有内置的 DHCP 服务,请禁用该服务。

  • RADIUS 共享机密。 除非你打算按组将 AP 配置为 NPS 中的 RADIUS 客户端,否则请为每个无线 AP 使用唯一的 RADIUS 共享机密。 如果你打算在 NPS 中按组配置 AP,组中每个成员的共享机密必须相同。 此外,使用的每个共享机密应该是至少包含 22 个字符的随机序列,其中混合了大小写字母、数字和标点符号。 为确保随机性,可以使用随机字符生成器(例如 NPS 配置 802.1X 向导中的随机字符生成器)来创建共享机密

提示

记下每个无线 AP 的共享机密并将其存储在安全位置(例如办公室保险箱)。 在 NPS 中配置 RADIUS 客户端时,必须知道每个无线 AP 的共享机密。

  • RADIUS 服务器 IP 地址。 键入运行 NPS 的服务器的 IP 地址。

  • UDP 端口。 默认情况下,NPS 将 UDP 端口 1812 和 1645 用于身份验证消息,将 UDP 端口 1813 和 1646 用于记帐消息。 建议在 AP 上使用这些 UDP 端口,但如果你有合理的理由使用其他端口,请确保在使用新端口号配置 AP 的同时,将所有 NPS 重新配置为使用与 AP 相同的端口号。 如果未为 AP 和 NPS 配置相同的 UDP 端口,NPS 将无法接收或处理来自 AP 的连接请求,并且网络上的所有无线连接尝试都将失败。

  • VSA。 某些无线 AP 需要供应商特定的属性 (VSA) 才能提供完整的无线 AP 功能。 在 NPS 网络策略中添加 VSA。

  • DHCP 筛选。 按照无线 AP 制造商的文档说明配置无线 AP,以阻止无线客户端通过 UDP 端口 68 向网络发送 IP 数据包。

  • DNS 筛选。 按照无线 AP 制造商的文档说明配置无线 AP,以阻止无线客户端通过 TCP 或 UDP 端口 53 向网络发送 IP 数据包。

为无线用户创建安全组

按照以下步骤创建一个或多个无线用户安全组,然后将用户添加到相应的无线用户安全组:

创建无线用户安全组

可以使用此过程在“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元中创建无线安全组。

域管理员成员身份或同等身份是执行此过程的最低要求。

创建无线用户安全组

  1. 依次单击“开始”“管理工具”“Active Directory 用户和计算机”。 此时会打开“Active Directory 用户和计算机”管理单元。 单击域的节点(如果尚未选定)。 例如,如果域为 example.com,请单击“example.com”

  2. 在详细信息窗格中,右键单击要在其中添加新组的文件夹(例如,右键单击“用户”),指向“新建”,然后单击“组”

  3. 在“新建对象 - 组”的“组名”中,键入新组的名称。 例如,键入“无线组”

  4. 在“组范围”中,选择以下选项之一

    • 本地域

    • 全球

    • 通用

  5. 在“组类型”中,选择“安全性”。

  6. 单击“确定”。

如果需要为无线用户创建多个安全组,请重复这些步骤以创建更多无线用户组。 稍后可以在 NPS 中创建单独的网络策略,以便对每个组应用不同的条件和约束,为他们提供不同的访问权限和连接规则。

将用户添加到无线用户安全组

可以使用此过程在“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC) 管理单元中将用户、计算机或组添加到无线安全组。

“Domain Admins”中的成员身份或同等身份是执行此过程的最低要求。

将用户添加到无线安全组

  1. 依次单击“开始”“管理工具”“Active Directory 用户和计算机”。 将打开“Active Directory 用户和计算机”MMC。 单击域的节点(如果尚未选定)。 例如,如果域为 example.com,请单击“example.com”

  2. 在详细信息窗格中,双击包含你的无线安全组的文件夹。

  3. 在详细信息窗格中,右键单击该无线安全组,然后单击“属性”。 此时会打开该安全组的“属性”对话框

  4. 在“成员”选项卡上单击“添加”,然后完成以下过程之一以添加计算机或者添加用户或组

添加用户或组
  1. 在“输入要选择的对象名称”中,键入要添加的用户或组的名称,然后单击“确定”

  2. 若要将组成员身份分配到其他用户或组,请重复此过程的步骤 1。

添加计算机
  1. 单击 “对象类型”。 此时会打开“对象类型”对话框

  2. 在“对象类型”中选择“计算机”,然后单击“确定”

  3. 在“输入要选择的对象名称”中,键入要添加的计算机的名称,然后单击“确定”

  4. 若要将组成员身份分配到其他计算机,请重复此过程的步骤 1-3。

配置无线网络 (IEEE 802.11) 策略

按照以下步骤配置无线网络 (IEEE 802.11) 策略组策略扩展:

打开或者添加并打开组策略对象

默认情况下,当安装了 Active Directory 域服务 (AD DS) 服务器角色并将服务器配置为域控制器时,组策略管理功能会安装在运行 Windows Server 2016 的计算机上。 以下过程说明如何在域控制器上打开组策略管理控制台 (GPMC)。 然后,该过程说明如何打开现有的域级组策略对象 (GPO) 进行编辑,或创建新的域 GPO,并将其打开进行编辑。

域管理员成员身份或同等身份是执行此过程的最低要求。

打开或者添加并打开组策略对象

  1. 在域控制器上,依次单击“开始”、“Windows 管理工具”、“组策略管理”。 此时会打开组策略管理控制台。

  2. 在左窗格中,双击你的林。 例如,双击“林: example.com”

  3. 在左窗格中双击“域”,然后双击要管理其组策略对象的域。 例如,双击“example.com”。

  4. 执行下列操作之一:

    • 若要打开现有的域级 GPO 进行编辑,请双击包含你要管理的组策略对象的域,右键单击你要管理的域策略(例如“默认域策略”),然后单击“编辑”。 此时会打开“组策略管理编辑器”

    • 若要创建新的组策略对象并将其打开进行编辑,请右键单击要为其创建新组策略对象的域,然后单击“在这个域中创建 GPO 并在此处链接”

      在“新建 GPO”中的“名称”内,键入新组策略对象的名称,然后单击“确定”。

      右键单击新的组策略对象,然后单击“编辑”。 此时会打开“组策略管理编辑器”

在下一部分,你将使用组策略管理编辑器来创建无线策略。

激活默认无线网络 (IEEE 802.11) 策略

此过程说明如何使用组策略管理编辑器 (GPME) 激活默认无线网络 (IEEE 802.11) 策略。

注意

激活无线网络 (IEEE 802.11) 策略的“Windows Vista 及更高版本”或“Windows XP”版本后,当你右键单击“无线网络(IEEE 802.11)策略”时,版本选项会自动从选项列表中删除。 之所以出现这种情况,是因为在选择一个策略版本后,当你选择“无线网络(IEEE 802.11)策略”节点时,该策略会添加到 GPME 的详细信息窗格中。 除非删除无线策略,否则会保持此状态,此时,无线策略版本会返回到 GPME 的“无线网络(IEEE 802.11)策略”的右键单击菜单中。 此外,仅当选择“无线网络(IEEE 802.11)策略”节点时,无线策略才会在 GPME 详细信息窗格中列出

域管理员成员身份或同等身份是执行此过程的最低要求。

激活默认无线网络 (IEEE 802.11) 策略

  1. 按照前面的过程“打开或者添加并打开组策略对象”打开 GPME

  2. 在 GPME 的左侧窗格中,依次双击“计算机配置”、“策略”、“Windows 设置”、“安全设置”

802.1X 无线组策略

  1. 在“安全设置”中,右键单击“无线网络(IEEE 802.11)策略”,然后单击“为 Windows Vista 及更高版本创建新的无线策略”

802.1X 无线策略

  1. 此时会打开“新无线网络策略属性”对话框。 在“策略名称”中,键入策略的新名称或保留默认名称。 单击“确定”保存策略。 默认策略将会激活并列在 GPME 的详细信息窗格中,其中显示了你提供的新名称或默认名称“新无线网络策略”

新无线网络策略属性

  1. 在详细信息窗格中,双击“新无线网络策略”将其打开

在下一部分,你可以执行策略配置、策略处理优先顺序和网络权限设置。

配置新无线网络策略

可以使用本部分所述的过程来配置无线网络 (IEEE 802.11) 策略。 使用此策略可以配置安全性和身份验证设置,管理无线配置文件,并指定未配置为首选网络的无线网络的权限。

配置 PEAP-MS-CHAP v2 的无线连接配置文件

此过程提供了配置 PEAP-MS-CHAP v2 无线配置文件所需的步骤。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

配置 PEAP-MS-CHAP v2 的无线连接配置文件
  1. 在 GPME 中,在刚刚创建的策略的无线网络属性对话框的“常规”选项卡和“说明”中,键入策略的简短说明

  2. 若要指定使用 WLAN AutoConfig 配置无线网络适配器设置,请确保选择“为客户端使用 Windows WLAN AutoConfig 服务”

  3. 在“以下列配置文件的顺序连接到可用网络”中单击“添加”,然后选择“基础结构”。 此时会打开“新配置文件属性”对话框

  4. 在“新配置文件属性”对话框中的“连接”选项卡上的“配置文件名称”字段中,键入配置文件的新名称。 例如,键入“适用于 Windows 10 的 Example.com WLAN 配置文件”

  5. 在“网络名称(SSID)”中,键入与无线 AP 上配置的 SSID 对应的 SSID,然后单击“添加”

    如果你的部署使用多个 SSID,并且每个无线 AP 都使用相同的无线安全设置,则重复此步骤来为你希望应用此配置文件的每个无线 AP 添加 SSID。

    如果你的部署使用多个 SSID,并且每个 SSID 的安全设置不匹配,请为使用相同安全设置的每组 SSID 配置单独的配置文件。 例如,如果你有为使用 WPA2-企业和 AES 而配置的一组无线 AP,以及使用 WPA-企业和 TKIP 的另一组无线 AP,则为每组无线 AP 配置一个配置文件。

  6. 如果显示了默认文本“NEWSSID”,请选择它,然后单击“删除”

  7. 如果你已部署了为取消广播信号而配置的无线访问点,则选择“即使网络未进行广播也连接”。

    注意

    启用此选项会造成安全风险,因为无线客户端将探测并尝试连接到任何无线网络。 默认情况下未启用此设置。

  8. 单击“安全”选项卡、单击“高级”,然后配置以下内容:

    1. 若要配置高级 802.1X 设置,请在“IEEE 802.1X”中选择“强制高级 802.1X 设置”

      在强制实施高级 802.1X 设置时,“最大 Eapol 启动消息数”、“保持时间”、“启动时间”和“验证时间”的默认值能够满足典型无线部署的需求。 因此,除非你有具体的原因更改默认值,否则无需更改。

    2. 若要启用单一登录,请选择“为此网络启用单一登录”。

    3. “单一登录”中的其余默认值能够满足典型的无线部署。

    4. 在“快速漫游” 中,如果配置无线 AP 用来执行预身份验证,则选择“此网络使用预身份验证”

  9. 若要指定无线通信符合 FIPS 140-2 标准,请选择“在 FIPS 140-2 认证模式下执行加密”

  10. 单击“确定”返回“安全”选项卡。在“选择此网络的安全方法”的“身份验证”中,如果“WPA2-企业”受无线 AP 和无线客户端网络适配器的支持,请选择它。 否则,请选择“WPA-企业”。

  11. 在“加密”中,如果“AES-CCMP”受无线 AP 和无线客户端网络适配器的支持,请选择它。 如果使用支持 802.11ac 的接入点和无线网络适配器,请选择“AES-GCMP”。 否则,请选择“TKIP”。

    注意

    “身份验证”和“加密”的设置都必须与在无线 AP 上配置的设置匹配。 “身份验证模式”、“最大身份验证失败次数”和“缓存用户信息以便随后连接到此网络”的默认设置能够满足典型无线部署的需求

  12. 在“选择网络身份验证方法”中,选择“受保护的 EAP (PEAP)”,然后单击“属性”。 此时会打开“受保护的 EAP 属性”对话框

  13. 在“受保护的 EAP 属性”中,确认已选择“通过验证证书来验证服务器的标识”

  14. 在“受信任的根证书颁发机构”中,选择向 NPS 颁发服务器证书的受信任根证书颁发机构 (CA)

    注意

    此设置将客户端信任的根 CA 限制为所选的 CA。 如果未选择受信任的根 CA,则客户端将信任其受信任根证书颁发机构证书存储中列出的所有根 CA。

  15. 在“选择身份验证方法”列表中,选择“安全密码 (EAP-MS-CHAP v2)”。

  16. 单击 “配置” 。 在“EAP MSCHAPv2 属性”对话框中,确认已选择“自动使用我的 Windows 登录名和密码(以及域,如果有)”,然后单击“确定”

  17. 若要启用 PEAP 快速重新连接,请确保选择了“启用快速重新连接”

  18. 若要在尝试连接时要求服务器加密绑定 TLV,请选择“如果服务器未提供加密绑定的 TLV,则断开连接”

  19. 若要指定在身份验证的第一阶段将用户标识掩码,请选择“启用标识隐私”,然后在文本框中键入匿名标识名称,或将文本框留空

    [!NOTES]

    • 必须使用 NPS“连接请求策略”创建 802.1X 无线网络的 NPS 策略。 如果 NPS 策略是使用 NPS“网络策略”创建的,则标识隐私将不起作用
    • EAP 标识隐私由特定的 EAP 方法提供,这些方法会发送空标识或匿名标识(不同于实际标识)来响应 EAP 标识请求。 PEAP 在身份验证期间将发送标识两次。 在第一阶段,标识以纯文本形式发送,此标识用于路由目的,而不用于客户端身份验证。 在身份验证的第二阶段,将在第一阶段建立的安全隧道中发送用于身份验证的真实标识。 如果选中了“启用标识隐私”复选框,则用户名将替换为文本框中指定的条目。 例如,假设选中了“启用标识隐私”,并在文本框中指定了标识隐私别名 anonymous。 对于真实标识别名为 jdoe@example.com 的用户,在身份验证第一阶段发送的标识将更改为 anonymous@example.com。 第一阶段标识的领域部分不会修改,因为它用于路由目的。
  20. 单击“确定”关闭“受保护的 EAP 属性”对话框

  21. 单击“确定”关闭“安全”选项卡

  22. 如果你要创建更多配置文件,请单击“添加”,然后重复上述步骤,并做出不同的选择,以便为每个配置文件要应用到的无线客户端和网络自定义该配置文件。 添加完配置文件后,单击“确定”关闭“无线网络策略属性”对话框

在下一部分,可以将策略配置文件排序以获得最高安全性。

设置无线连接配置文件的优先顺序

如果你在无线网络策略中创建了多个无线配置文件,并且要为配置文件排序以获得最高有效性和安全性,你可以使用此过程。

为确保无线客户端以其支持的最高安全级别进行连接,请将最严格的策略置于列表顶部。

例如,如果你有两个配置文件,一个用于支持 WPA2 的客户端,另一个用于支持 WPA 的客户端,请将 WPA2 配置文件置于列表中靠前的位置。 这可以确保支持 WPA2 的客户端将使用该方法进行连接,而不是使用安全性较低的 WPA。

此过程说明如何指定用于将域成员无线客户端连接到无线网络的无线连接配置文件的顺序。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

设置无线连接配置文件的优先顺序
  1. 在 GPME 中,在刚刚配置的策略的无线网络属性对话框中,单击“常规”选项卡

  2. 在“常规”选项卡上,在“以下列配置文件的顺序连接到可用网络”中,选择要在列表中移动的配置文件,然后单击“向上箭头”按钮或“向下箭头”按钮将配置文件移动到列表中的所需位置

  3. 针对要在列表中移动的每个配置文件重复步骤 2。

  4. 单击“确定”保存所有更改

在下一部分,可为无线策略定义网络权限。

定义网络权限

可以在“网络权限”选项卡上为无线网络 (IEEE 802.11) 策略应用到的域成员配置设置

只能对未在“无线网络策略属性”页中的“常规”选项卡上配置的无线网络应用以下设置

  • 允许或拒绝连接到按网络类型和服务集标识符 (SSID) 指定的特定无线网络

  • 允许或拒绝连接到临时网络

  • 允许或拒绝连接到基础结构网络

  • 允许或拒绝用户查看拒绝他们访问的网络类型(临时或基础结构)

  • 允许或拒绝用户创建应用于所有用户的配置文件

  • 用户只能使用组策略配置文件连接到允许的网络

若要完成这些过程,必须至少具有域管理员的成员资格或同等权限。

允许或拒绝连接到特定的无线网络
  1. 在 GPME 的无线网络属性对话框中,单击“网络权限”选项卡

  2. 在“网络权限”选项卡上单击“添加”。 此时会打开“新建权限条目”对话框

  3. 在“新建权限条目”对话框的“网络名称(SSID)”字段中,键入要为其定义权限的网络的网络 SSID

  4. 在“网络类型”中,选择“基础结构”或“临时”

    注意

    如果你不确定广播网络是基础结构网络还是临时网络,可以配置两个网络权限条目,为每种网络类型各配置一个。

  5. 在“权限”中,选择“允许”或“拒绝”

  6. 单击“确定”返回“网络权限”选项卡

指定其他网络权限(可选)
  1. 在“网络权限”选项卡上,配置以下任何或所有权限

    • 若要拒绝域成员访问临时网络,请选择“防止连接到临时网络”

    • 若要拒绝域成员访问基础结构网络,请选择“防止连接到基础结构网络”

    • 若要允许域成员查看拒绝他们访问的网络类型(临时或基础结构),请选择“允许用户查看拒绝的网络”

    • 若要允许用户创建应用于所有用户的配置文件,请选择“允许每个人创建所有用户配置文件”

    • 若要指定用户只能使用组策略配置文件连接到允许的网络,请选择“仅对允许的网络使用组策略配置文件”

配置 NPS

按照以下步骤配置 NPS 以便对无线访问执行 802.1X 身份验证:

在 Active Directory 域服务中注册 NPS

可以使用此过程在 NPS 所属域的 Active Directory 域服务 (AD DS) 中注册运行网络策略服务器 (NPS) 的服务器。 若要在授权过程中授予 NPS 读取用户帐户拨入属性的权限,必须在 AD DS 中注册每个 NPS。 注册 NPS 会将服务器添加到 AD DS 中的“RAS 和 IAS 服务器”安全组

注意

可以在域控制器或专用服务器上安装 NPS。 如果尚未安装 NPS,请运行以下 Windows PowerShell 命令安装 NPS:

Install-WindowsFeature NPAS -IncludeManagementTools

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

在其默认域中注册 NPS

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 此时会打开 NPS 管理单元。

  2. 右键单击“NPS (本地)”,然后单击“在 Active Directory 中注册服务器”。 打开“网络策略服务器”对话框。

  3. “网络策略服务器”中,单击“确定”,然后再次单击“确定”

将无线 AP 配置为 NPS RADIUS 客户端

可以使用此过程通过 NPS 管理单元将 AP(也称为网络访问服务器 (NAS))配置为远程身份验证拨入用户服务 (RADIUS) 客户端

重要

客户端计算机(例如,无线便携式计算机和其他运行客户端操作系统的计算机)并非 RADIUS 客户端。 RADIUS 客户端是网络访问服务器,例如无线接入点、支持 802.1X 的交换机、虚拟专用网 (VPN) 服务器和拨号服务器等,因为此类客户端使用 RADIUS 协议来与 RADIUS 服务器(例如 NPS)通信。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

在 NPS 中将网络访问服务器添加为 RADIUS 客户端

  1. 在 NPS 上的“服务器管理器”中,单击“工具”,然后单击“网络策略服务器”。 此时会打开 NPS 管理单元。

  2. 在 NPS 管理单元中,双击“RADIUS 客户端和服务器”。 右键单击“RADIUS 客户端”,然后单击“新建”

  3. 在“新建 RADIUS 客户端”中,验证已选中“启用此 RADIUS 客户端”复选框。

  4. 在“新建 RADIUS 客户端”的“易记名称”中,键入无线接入点的显示名称

    例如,如果要添加名为 AP-01 的无线接入点 (AP),请键入 AP-01

  5. 在“地址(IP 或 DNS)”中,键入 NAS 的 IP 地址或完全限定域名 (FQDN)

    如果输入了 FQDN,若要验证名称是否正确并映射到有效的 IP 地址,请单击“验证”,然后在“验证地址”的“地址”字段中单击“解析”。 如果该 FQDN 名称可映射到有效 IP 地址,则该 NAS 的 IP 地址将自动显示在“IP 地址”中。 如果该 FQDN 不能解析为 IP 地址,你将收到一条消息,指出不知道此类主机。 如果出现这种情况,请验证 AP 名称是否正确,以及 AP 是否已开机并连接到网络。

    单击“确定”关闭“验证地址”

  6. 在“新建 RADIUS 客户端”的“共享机密”中,执行下列操作之一

    • 若要手动配置 RADIUS 共享机密,请选择“手动”,然后在“共享机密”中键入在 NAS 上输入的同一个强密码。 在“确认共享机密”中重新键入该共享机密。

    • 若要自动生成共享机密,请选中“生成”复选框,然后单击“生成”按钮。 保存生成的共享机密,然后使用该值配置 NAS,使之可与 NPS 通信。

      重要

      在 NPS 中为虚拟 AP 输入的 RADIUS 共享机密,必须与在实际无线 AP 上配置的 RADIUS 共享机密完全匹配。 如果使用 NPS 选项生成 RADIUS 共享机密,则必须使用 NPS 生成的 RADIUS 共享机密来配置匹配的实际无线 AP。

  7. 在“新建 RADIUS 客户端”的“高级”选项卡上的“供应商名称”中,指定 NAS 制造商名称。 如果不确定 NAS 制造商名称,请选择“RADIUS 标准”。

  8. 在“其他选项”中,如果使用除 EAP 和 PEAP 以外的任何身份验证方法,并且 NAS 支持使用消息验证器属性,请选择“Access-Request 消息必须包含 Message-Authenticator 属性”

  9. 单击“确定” 。 NAS 显示在 NPS 上配置的 RADIUS 客户端列表中。

使用向导为 802.1X 无线网络创建 NPS 策略

可以使用此过程创建所需的连接请求策略和网络策略,以便将支持 802.1X 的无线接入点作为远程身份验证拨入用户服务 (RADIUS) 客户端部署到运行网络策略服务器 (NPS) 的 RADIUS 服务器。 运行向导后,将创建下列策略:

  • 一个连接请求策略

  • 一个网络策略

注意

每次需要为 802.1X 验证的访问创建新策略时,都可以运行新建 IEEE 802.1X 安全有线和无线连接向导。

若要完成该过程,必须至少具有 Domain Admins 的成员资格或同等权限。

使用向导为 802.1X 验证的无线网络创建策略

  1. 打开 NPS 管理单元。 如果尚未选择,请单击“NPS (本地)”。 如果你运行的是 NPS MMC 管理单元,并想要在远程 NPS 上创建策略,请选择该服务器。

  2. 转到“开始”,在“标准配置”中选择“用于 802.1X 无线或有线连接的 RADIUS 服务器”。 文本和文本下面的链接会发生更改以反映你的选择。

  3. 单击“配置 802.1X”。 此时会打开“配置 802.1X”向导。

  4. 在“选择 802.1X 连接类型”向导页上的“802.1X 连接类型”中选择“安全无线连接”,然后在“名称”中键入策略名称,或者保留默认名称“安全无线连接”。 单击“下一步”。

  5. 在“指定 802.1X 交换机”向导页上的“RADIUS 客户端”中,会显示你在 NPS 管理单元中添加为 RADIUS 客户端的所有 802.1X 交换机和无线接入点。 执行以下任一操作:

    • 若要在“RADIUS 客户端”中添加更多网络访问服务器 (NAS),例如无线 AP,请单击“添加”,然后在“新建 RADIUS 客户端”中输入以下信息:“易记名称”、“地址(IP 或 DNS)”和“共享机密”

    • 若要修改任何 NAS 的设置,请在“RADIUS 客户端”中选择要修改其设置的 AP,然后单击“编辑”。 根据需要修改设置。

    • 若要从列表中删除某个 NAS,请在“RADIUS 客户端”中选择该 NAS,然后单击“删除”

      警告

      从“配置 802.1X”向导中删除某个 RADIUS 客户端会从 NPS 配置中删除该客户端。 在“配置 802.1X”向导中对 RADIUS 客户端执行的所有添加、修改和删除操作都会反映在 NPS 管理单元中“NPS” / “RADIUS 客户端和服务器”下的“RADIUS 客户端”节点中。 例如,如果使用该向导删除 802.1X 交换机,则该交换机也会从 NPS 管理单元中删除。

  6. 单击“下一步”。 在“配置身份验证方法”向导页上的“类型(基于访问方法和网络配置)”中,选择“Microsoft: 受保护的 EAP (PEAP)”,然后然后单击“配置”

    提示

    如果有错误消息指出找不到与身份验证方法配合使用的证书,并且你已将 Active Directory 证书服务配置为自动向网络上的 RAS 和 IAS 服务器颁发证书,请首先确保已遵循在 Active Directory 域服务中注册 NPS 的步骤,然后使用以下步骤更新组策略:依次单击“开始”、“Windows 系统”、“运行”,在“打开”中键入 gpupdate,然后按 ENTER。 如果该命令返回了指出用户和计算机组策略均已成功更新的结果,请再次选择“Microsoft: 受保护的 EAP (PEAP)”,然后单击“配置”

    如果在刷新组策略后仍有错误消息指出找不到与身份验证方法配合使用的证书,则原因是该证书不符合核心网络配套指南为 802.1X 有线和无线部署部署服务器证书中所述的最低服务器证书要求,因此未显示。 如果发生这种情况,必须停用 NPS 配置,吊销颁发给 NPS 的证书,然后使用服务器证书部署指南按照说明配置新证书。

  7. 在“编辑受保护的 EAP 属性”向导页上的“颁发的证书”中,确保选择了正确的 NPS 证书,然后执行以下操作

    注意

    验证“颁发者”中的值对于在“颁发的证书”中选择的证书是否正确。 例如,在域 contoso.com 中,运行 Active Directory 证书服务 (AD CS) 的 CA 颁发的证书的预期颁发者是 corp-DC1-CA

    • 若要允许用户使用无线计算机在接入点之间漫游,且无需在每次与新 AP 关联时重新进行身份验证,请选择“启用快速重新连接”

    • 若要指定连接的无线客户端在 RADIUS 服务器未提供加密绑定类型长度值 (TLV) 时结束网络身份验证过程,请选择“断开客户端连接而不加密绑定”

    • 若要修改 EAP 类型的策略设置,请在“EAP 类型”中单击“编辑”,在“EAP MSCHAPv2 属性”中根据需要修改设置,然后单击“确定”

  8. 单击“确定” 。 “编辑受保护的 EAP 属性”对话框随即关闭,你将返回“配置 802.1X”向导。 单击“下一步”。

  9. 在“指定用户组”中单击“添加”,然后键入在“Active Directory 用户和计算机”管理单元中为无线客户端配置的安全组的名称。 例如,如果你已将无线安全组命名为“无线组”,请键入“无线组”。 单击“下一步”。

  10. 单击“配置”以根据需要按照无线 AP 硬件供应商提供的文档的规定,为虚拟 LAN (VLAN) 配置 RADIUS 标准属性和供应商特定的属性。 单击“下一步”。

  11. 查看配置摘要详细信息,然后单击“完成”

现已创建 NPS 策略,你可以继续将无线计算机加入域。

将新无线计算机加入域

将新无线计算机加入域的最简单方法是在将计算机加入域之前,以物理方式将其连接到有线 LAN 的某个网段(不受 802.1X 交换机控制的网段)。 之所以说这是最简单的方法,是因为这样会自动并立即应用无线组策略设置,如果你部署了自己的 PKI,计算机会接收 CA 证书并将其放置在受信任的根证书颁发机构证书存储中,使无线客户端能够使用 CA 颁发的服务器证书信任 NPS。

同样,在将新无线计算机加入域后,用户登录到域的首选方法是使用有线网络连接执行登录。

其他域加入方法

如果无法使用有线以太网连接将计算机加入域,或者用户无法使用有线连接首次登录到域,则必须使用替代方法。

  • IT 工作人员计算机配置。 某位 IT 工作人员将无线计算机加入域并配置单一登录启动无线配置文件。 IT 管理员使用此方法将无线计算机连接到有线以太网,并将其加入域。 然后,管理员将该计算机分配给用户。 当用户在不使用有线连接的情况下启动该计算机时,将使用他们为用户登录手动指定的域凭据来与无线网络建立连接和登录到域。

有关详细信息,请参阅使用 IT 工作人员计算机配置方法加入域和登录部分

  • 用户的启动无线配置文件配置。 用户根据 IT 管理员的指示,使用启动无线配置文件手动配置无线计算机并加入域。 启动无线配置文件允许用户建立无线连接,然后加入域。 将计算机加入域并重启计算机后,用户可以使用无线连接及他们的域帐户凭据登录到域。

有关详细信息,请参阅使用用户的启动无线配置文件配置加入域和登录部分。

使用 IT 工作人员计算机配置方法加入域和登录

具有已加入域的无线客户端计算机的域成员用户可以使用临时无线配置文件连接到 802.1X 验证的无线网络,而无需首先连接到有线 LAN。 此临时无线配置文件称为启动无线配置文件

启动无线配置文件要求用户手动指定其域用户帐户凭据,且不验证运行网络策略服务器 (NPS) 的远程身份验证拨入用户服务 (RADIUS) 服务器的证书。

建立无线连接后,将在无线客户端计算机上应用组策略,并自动颁发新的无线配置文件。 新策略使用计算机和用户帐户凭据进行客户端身份验证。

此外,在使用新配置文件(而不是启动配置文件)进行 PEAP-MS-CHAP v2 相互身份验证的过程中,客户端将验证 RADIUS 服务器的凭据。

将计算机加入域后,使用此过程配置单一登录启动无线配置文件,然后将无线计算机分配给域成员用户。

配置单一登录启动无线配置文件

  1. 使用本指南中的为 PEAP-MS-CHAP v2 配置无线连接配置文件过程创建启动配置文件,并使用以下设置:

    • PEAP-MS-CHAP v2 身份验证

    • 验证是否已禁用 RADIUS 服务器证书

    • 已启用单一登录

  2. 在创建新启动配置文件的无线网络策略的属性中,在“常规”选项卡上选择该启动配置文件,然后单击“导出”将该配置文件导出到网络共享、USB 闪存驱动器或其他易于访问的位置。 该配置文件将作为 *.xml 文件保存到指定的位置。

  3. 将新无线计算机加入域(例如,通过不需要 IEEE 802.1X 身份验证的以太网连接),并使用 netsh wlan add profile 命令将启动无线配置文件添加到计算机

    注意

    有关详细信息,请参阅 http://technet.microsoft.com/library/dd744890.aspx 上的“针对无线局域网 (WLAN) 的 Netsh 命令”。

  4. 按照“使用运行 Windows 10 的计算机登录到域”过程将新无线计算机分配给用户。

当用户启动计算机时,Windows 会提示用户输入其域用户帐户名和密码。 由于启用了单一登录,计算机将首先使用域用户帐户凭据来与无线网络建立连接,然后再登录到域。

使用运行 Windows 10 的计算机登录到域

  1. 注销计算机,或重新启动计算机。

  2. 按键盘上的任意键或单击桌面。 此时会出现登录屏幕,其中显示了本地用户帐户名,并在名称下显示了密码输入字段。 不要使用本地用户帐户登录。

  3. 在屏幕左下角,单击“其他用户”。 “其他用户”登录屏幕显示了两个字段,一个字段用于输入用户名,另一个字段用于输入密码。 密码字段下方显示了文本“登录到:”,后接计算机加入到的域的名称。 例如,如果域名为 example.com,则显示的文本为“登录到: EXAMPLE”

  4. 在“用户名”中,键入你的域用户名

  5. 在“密码”中,键入域密码,然后单击箭头或按 ENTER 键。

注意

如果“其他用户”屏幕未显示文本“登录到:”和你的域名,则你应该以“域\用户”格式输入自己的用户名。 例如,若要使用名为 User-01 的帐户登录到域 example.com,请键入 example\User-01

使用用户的启动无线配置文件配置加入域和登录

使用此方法完成“常规步骤”部分的步骤,然后向域成员用户提供有关如何使用启动无线配置文件手动配置无线计算机的说明。 启动无线配置文件允许用户建立无线连接,然后加入域。 将计算机加入域并重启后,用户可以通过无线连接登录到域。

常规步骤

  1. 在“控制面板”中为用户配置本地计算机管理员帐户

    重要

    若要将计算机加入域,用户必须使用本地管理员帐户登录到该计算机。 或者,用户必须在将计算机加入域的过程中提供本地管理员帐户的凭据。 此外,用户必须在要将计算机加入到的域中拥有用户帐户。 在将计算机加入域的过程中,系统将提示用户提供域帐户凭据(用户名和密码)。

  2. 如以下过程“配置启动无线配置文件”中所述,为域用户提供有关配置启动无线配置文件的说明

  3. 此外,按照 Windows Server 2016 核心网络指南中所述的“将计算机加入域”和“登录到域”过程,以“域名\用户名”格式为用户提供本地计算机凭据(用户名和密码)和域凭据(域用户帐户名和密码)

配置启动无线配置文件

  1. 使用网络管理员或 IT 支持专员提供的凭据,以本地计算机的管理员帐户登录到计算机。

  2. 右键单击桌面上的网络图标,然后单击“打开网络和共享中心”网络和共享中心将会打开。 在“更改网络设置”中,单击“设置新的连接或网络”。 此时会打开“设置连接或网络”对话框

  3. 单击“手动连接到无线网络”,然后单击“下一步”

  4. 在“手动连接到无线网络”的“网络名称”中,键入 AP 的 SSID 名称

  5. 在“安全类型”中,选择管理员提供的设置

  6. 在“加密类型”和“安全密钥”中,选择或键入管理员提供的设置

  7. 选择“自动启动此连接”,然后单击“下一步”

  8. 在“已成功添加 <你的网络 SSID>”中,单击“更改连接设置”

  9. 单击“更改连接设置”。 此时会打开“<你的网络 SSID> 无线网络属性”对话框

  10. 单击“安全”选项卡,然后在“选择网络身份验证方法”中选择“受保护的 EAP (PEAP)”

  11. 单击“设置”。 此时会打开“受保护的 EAP (PEAP)属性”页

  12. 在“受保护的 EAP (PEAP)属性”页中,确保未选择“验证服务器证书”,单击“确定”两次,然后单击“关闭”

  13. 然后,Windows 会尝试连接到无线网络。 启动无线配置文件的设置指定必须提供域凭据。 当 Windows 提示你输入帐户名和密码时,请键入你的域帐户凭据,如下所示:域名\用户名、域密码

将计算机加入域
  1. 使用本地 Administrator 帐户登录到计算机。

  2. 在搜索文本框中键入 PowerShell。 在搜索结果中右键单击“Windows PowerShell”,然后单击“以管理员身份运行”。 Windows PowerShell 将打开并显示提升的提示。

  3. 在 Windows PowerShell 中键入以下命令,然后按 ENTER。 确保将变量 DomainName 替换为要加入到的域的名称。

    Add-Computer DomainName

  4. 出现提示时,请键入你的域用户名和密码,然后单击“确定”

  5. 重新启动计算机。

  6. 按照上一部分使用运行 Windows 10 的计算机登录到域中的说明操作。