(0) exportieren Drucken
Alle erweitern

Verknüpfen eines Windows Vista-Drahtlosclients mit einer Domäne

Veröffentlicht: 24. Mai 2006
Auf dieser Seite

ZusammenfassungZusammenfassung
EinführungEinführung
Methoden für das Verknüpfen eines Drahtlosclients mit einer DomäneMethoden für das Verknüpfen eines Drahtlosclients mit einer Domäne
Anhang A: Konfigurieren eines Bootstrap-DrahtlosprofilsAnhang A: Konfigurieren eines Bootstrap-Drahtlosprofils
Anhang B: Verknüpfen eines Windows Vista-Clients mit einer DomäneAnhang B: Verknüpfen eines Windows Vista-Clients mit einer Domäne
Weitere InformationenWeitere Informationen

Zusammenfassung

Drahtlosclientcomputer mit Microsoft® Windows Vista™ können ein temporäres Drahtlosprofil verwenden, um Konnektivität zu einem sicheren Drahtlosnetzwerk herzustellen und mit der Active Directory-Domäne verknüpft zu werden. Bei diesem temporären Drahtlosprofil, einem so genannten Bootstrap-Drahtlosprofil, muss der Benutzer, der die Verbindung herstellt, seine Anmeldeinformationen für das Domänenbenutzerkonto manuell angeben, und das Zertifikat des RADIUS-Servers (Remote Authentication Dial-in User Service) wird nicht überprüft. Nach der Verknüpfung mit der Domäne verwendet der Drahtlosclient ein neues Drahtlosprofil, das die Anmeldeinformationen des Computer- und Benutzerkontos automatisch nutzt und die Anmeldeinformationen des RADIUS-Servers überprüft. In diesem Artikel werden drei Methoden für die Konfiguration eines Bootstrap-Drahtlosnetzwerkprofils beschrieben.

Einführung

Drahtlosclients benötigen entweder Domänenanmeldeinformationen (Name/Kennwort) oder ein Zertifikat, um die Authentifizierung für sicheren Drahtloszugriff durchzuführen. Um eine Verknüpfung zur Domäne herzustellen und Domänenanmeldeinformationen oder Zertifikate zu erhalten, benötigen Drahtlosclientcomputer eine Verbindung zum Drahtlosnetzwerk, das die Domänencontroller der Domäne enthält. Um auf ein sicheres Drahtlosnetzwerk zuzugreifen und einen Computer mit einer Domäne zu verknüpfen, muss der Drahtlosclientbenutzer seinen Domänenbenutzernamen und sein Kennwort manuell bereitstellen. Nachdem eine Verbindung zum Drahtlosnetzwerk hergestellt ist, kann der Drahtlosclientbenutzer den Computer mit der Domäne verknüpfen.

In 802.1X-authentifizierten Drahtlosnetzwerken müssen Drahtlosclients Sicherheitsanmeldeinformationen bereitstellen, die von einem RADIUS-Server authentifiziert werden. Zu diesen Anmeldeinformationen können ein Benutzername und ein Kennwort (für Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol Version 2 [MS-CHAP v2]) oder Zertifikate (für EAP-Transport Layer Security [TLS]) gehören. Sowohl für PEAP-MS-CHAP v2 als auch EAP-TLS überprüft der Drahtlosclient auch ein Computerzertifikat, das vom RADIUS-Server während des Authentifizierungsprozesses gesendet wird. Dies ist das Standardverhalten des Windows-Drahtlosclients. Dieses Verhalten kann deaktiviert werden, dies wird aber für Produktionsumgebungen nicht empfohlen.

Wenn der RADIUS-Server Computerzertifikate von einer Public Key-Infrastruktur (PKI) verwendet, wie z. B. VeriSign, Inc., und das Stammzertifizierungsstellen-Zertifikat für das Computerzertifikat des RADIUS-Servers bereits auf dem Drahtlosclient installiert ist, kann der Drahtlosclient das Computerzertifikat des RADIUS-Servers überprüfen, unabhängig davon, ob der htlosclient mit der Active Directory-Domäne verknüpft ist.

Wenn der RADIUS-Server Computerzertifikate von einer privaten PKI verwendet, die in Active Directory integriert ist (wie z. B. eines, das auf den Windows Server® 2003-Zertifikatdiensten basiert), verfügt ein Drahtlosclient, der noch nicht mit der Domäne verknüpft ist, nicht über das Zertifikat einer Stammzertifizierungsstelle des RADIUS-Server-Computerzertifikats, und der Authentifizierungsprozess wird standardmäßig fehlschlagen. Wenn der Drahtlosclient mit der Domäne verknüpft ist, wird das Stammzertifizierungsstellen-Zertifikat des RADIUS-Server-Computerzertifikats automatisch installiert.

In diesem Artikel werden Methoden zur Konfiguration von Windows Vista-basierten Drahtlosclients mit einem Drahtlosprofil für die Durchführung einer manuellen PEAP-MS-CHAP v2-Authentifizierung, jedoch nicht für die Überprüfung des RADIUS-Server-Computerzertifikats beschrieben. Nachdem eine Verbindung zum Drahtlosnetzwerk hergestellt wurde, wird der Drahtlosclientcomputer mit der Domäne verknüpft und empfängt das entsprechende Zertifikat einer Stammzertifizierungsstelle. Der Computerbenutzer (manuell) oder der IT-Administrator (über die Gruppenrichtlinien) kann das Drahtlosprofil neu konfigurieren, sodass die PEAP-MS-CHAP v2-Authentifizierung das Computerzertifikat des RADIUS-Servers überprüft und automatisch die Domänenanmeldeinformationen verwendet.

Methoden für das Verknüpfen eines Drahtlosclients mit einer Domäne

In diesem Abschnitt werden die folgenden Methoden für das Verknüpfen eines Drahtlosclients mit einer Domäne beschrieben:

  • IT-Mitarbeiter verknüpfen einen Drahtloscomputer mit einer Domäne und konfigurieren ein Bootstrap-Drahtlosprofil für einmaliges Anmelden

  • Benutzer konfigurieren ihren Drahtloscomputer mit einem Bootstrap-Drahtlosprofil mithilfe einer XML-Datei und stellen eine Verknüpfung mit der Domäne her

  • Benutzer konfigurieren ihren Drahtloscomputer mit einem Bootstrap-Drahtlosprofil manuell und stellen eine Verknüpfung mit der Domäne her

IT-Mitarbeiter verknüpfen einen Drahtloscomputer mit der Domäne und konfigurieren ein Bootstrap-Drahtlosprofil für einmaliges Anmelden

Bei dieser Methode verknüpft ein IT-Administrator den Drahtloscomputer mit der Domäne, bevor er für den Benutzer bereitgestellt wird. Wenn der Benutzer den Computer startet, werden die Anmeldeinformationen, die manuell für die Benutzeranmeldung angegeben werden, sowohl für das Herstellen einer Verbindung zum Drahtlosnetzwerk als auch zum Anmelden bei der Domäne verwendet.

Im Folgenden sind die Schritte für diese Methode aufgeführt:

  1. Ein IT-Administrator verknüpft den neuen Drahtloscomputer mit der Domäne (zum Beispiel über eine Ethernet-Verbindung, die keine IEEE 802.1X-Authentifizierung erfordert), und fügt dem Computer mit den folgenden Einstellungen ein Bootstrap-Drahtlosprofil hinzu:

    • PEAP-MS-CHAP v2-Authentifizierung

      • Überprüfen des RADIUS-Serverzertifikats deaktiviert

    • Einmaliges Anmelden aktiviert

    Das einmalige Anmelden ist ein neues Feature für Windows Vista-Drahtlosclients, das basierend auf der Netzwerksicherheitskonfiguration während des Benutzeranmeldeprozesses 802.1X-Authentifizierung durchführt. Für dieses Bootstrap-Drahtlosprofil legt der IT-Administrator die Durchführung der 802.1X-Authentifizierung durch einmaliges Anmelden kurz vor der Benutzeranmeldung fest.

  2. Der IT-Administrator stellt den neuen Drahtloscomputer für den Benutzer bereit.

  3. Wenn der Benutzer den Computer startet, fordert Windows Vista den Benutzer auf, seinen Domänenbenutzerkontonamen und sein Kennwort einzugeben. Da das einmalige Anmelden aktiviert ist, verwendet der Computer die Anmeldeinformationen des Domänenbenutzerkontos, um zunächst eine Verbindung zum Drahtlosnetzwerk herzustellen und sich dann bei der Domäne anzumelden.

Einmaliges Anmelden ist für dieses Bootstrap-Drahtlosprofil erforderlich, denn obwohl der Computer mit der Domäne verknüpft ist, hat sich der Benutzer nie beim Computer angemeldet. Wenn der Computer beim ersten Anmeldeversuch des Benutzers über keine Netzwerkverbindung verfügt, schlägt die Anmeldung fehl, da der Computer die Anmeldeinformationen des Benutzerkontos nicht mit einem Domänencontroller überprüfen kann. Aus diesem Grund muss erst die Netzwerkverbindung hergestellt werden. Einmaliges Anmelden verwendet dieselben Anmeldeinformationen des Benutzerkontos für das Herstellen einer Drahtlosverbindung und das Anmelden bei einer Domäne. Nachdem der Benutzer sich erfolgreich angemeldet hat, können nachfolgende Benutzeranmeldungen zwischengespeicherte Anmeldeinformationen verwenden.

Benutzer konfigurieren ihren Drahtloscomputer mit einem Bootstrap-Drahtlosprofil mithilfe einer XML-Datei und stellen eine Verknüpfung mit der Domäne her

Bei dieser Methode konfiguriert der Benutzer den Drahtloscomputer mit einem Bootstrap-Drahtlosprofil mithilfe einer XML-Datei und einem Skript, das von einem IT-Administrator konfiguriert wurde. Das von der XML-Datei konfigurierte Bootstrap-Drahtlosprofil ermöglicht dem Benutzer die Herstellung einer Drahtlosverbindung und das darauffolgende Verknüpfen mit der Domäne.

Im Folgenden sind die Schritte für diese Methode aufgeführt:

  1. Ein IT-Administrator konfiguriert einen anderen Windows Vista-basierten Drahtloscomputer mit einem Bootstrap-Drahtlosprofil, das PEAP-MS-CHAP v2-Authentifizierung mit deaktivierter Überprüfung des RADIUS-Server-Zertifikats verwendet.

  2. Der IT-Administrator extrahiert das Bootstrap-Drahtlosprofil in eine XML-Datei mit dem Befehl netsh wlan export profile (siehe „Anhang A: Konfigurieren eines Bootstrap-Drahtlosprofils“ in diesem Artikel) und erstellt eine auszuführende Skriptdatei, die das Profil automatisch dem Computer des Benutzers hinzufügt.

  3. Der IT-Administrator stellt den neuen Drahtloscomputer, die XML-Datei, die das Bootstrap-Drahtlosprofil enthält, und die Skriptdatei für den Benutzer mithilfe einer geeigneten Methode bereit. Die Skriptdatei enthält den Befehl netsh wlan add profile XML-Dateiname Verbindungsname.

    Die XML-Datei kann beispielsweise auf einem USB-Flashlaufwerk mit einem durch den Benutzer auszuführenden Skript zum Hinzufügen des Bootstrap-Drahtlosprofils gespeichert werden.

  4. Der Benutzer startet den Computer und führt eine Anmeldung mithilfe des lokalen Computerkontos durch.

  5. Der Benutzer führt die Skriptdatei aus, um das Bootstrap-Drahtlosprofil hinzuzufügen.

  6. Nachdem das Skript ausgeführt wurde, versucht Windows Vista, eine Verbindung zum Drahtlosnetzwerk herzustellen. Da die Einstellungen des Bootstrap-Drahtlosprofils vorgeben, dass der Benutzer Anmeldeinformationen eingeben muss, fordert Windows Vista den Benutzer zur Angabe von Kontonamen und Kennwort auf.

  7. Der Benutzer gibt seinen Domänenbenutzerkontonamen und sein Kennwort ein, und der Windows Vista-Clientcomputer stellt eine Verbindung zum Drahtlosnetzwerk her.

  8. Der Benutzer stellt eine Verknüpfung mit der Active Directory-Domäne her. Weitere Informationen finden Sie in „Anhang B: Verknüpfen eines Windows Vista-Clients mit einer Domäne“ in diesem Artikel.

Benutzer konfigurieren ihren Drahtloscomputer mit einem Bootstrap-Drahtlosprofil manuell und stellen eine Verknüpfung mit der Domäne her

Bei dieser Methode konfiguriert der Benutzer seinen Drahtloscomputer manuell mit einem Bootstrap-Drahtlosprofil, basierend auf den Anweisungen eines IT-Administrators. Das Bootstrap-Drahtlosprofil ermöglicht dem Benutzer das Herstellen einer Drahtlosverbindung und das darauffolgende Verknüpfen mit der Domäne.

Im Folgenden sind die Schritte für diese Methode aufgeführt:

  1. Der IT-Administrator gibt dem Benutzer die Anweisungen für die Konfiguration eines Bootstrap-Drahtlosprofils, das PEAP-MS-CHAP v2-Authentifizierung mit deaktivierter Überprüfung des RADIUS-Serverzertifikats verwendet.

  2. Der Benutzer startet den Computer und führt eine Anmeldung mithilfe des lokalen Computerkontos durch.

  3. Der Benutzer führt die Schritte in den Anweisungen für die Konfiguration des Bootstrap-Drahtlosprofils aus (siehe „Anhang A: Konfigurieren eines Bootstrap-Drahtlosprofils“ in diesem Artikel).

  4. Nachdem das Bootstrap-Drahtlosprofil konfiguriert wurde, versucht Windows Vista, eine Verbindung zum Drahtlosnetzwerk herzustellen. Da die Einstellungen des Bootstrap-Drahtlosprofils vorgeben, dass der Benutzer Anmeldeinformationen eingeben muss, fordert Windows Vista den Benutzer zur Angabe von Kontonamen und Kennwort auf.

  5. Der Benutzer gibt seinen Domänenbenutzerkontonamen und sein Kennwort ein, und der Windows Vista-Clientcomputer stellt eine Verbindung zum Drahtlosnetzwerk her.

  6. Der Benutzer stellt eine Verknüpfung mit der Active Directory-Domäne her. Weitere Informationen finden Sie in „Anhang B: Verknüpfen eines Windows Vista-Clients mit einer Domäne“ in diesem Artikel.

Anhang A: Konfigurieren eines Bootstrap-Drahtlosprofils

Gehen Sie zum Konfigurieren eines Bootstrap-Drahtlosprofils folgendermaßen vor:

  1. Klicken Sie im Dialogfeld Verbindung mit Netzwerk herstellen auf I don't see what I want to connect to (Ich finde das gewünschte Netzwerk nicht). Sie können auf das Dialogfeld Verbindung mit Netzwerk herstellen von zahlreichen Standorten in Windows Vista zugreifen, einschließlich:

    • Über das Drahtlosverbindungssymbol im Infobereich des Desktops

    • Über den Link Verbindung mit Drahtlosnetzwerken herstellen / trennen unter Systemsteuerung/Netzwerkverbindungen

    • Im Kontextmenü eines Drahtlosnetzwerkadapters unter Systemsteuerung/Netzwerkverbindungen

  2. Klicken Sie auf der Seite Select a connection option (Verbindungsoption auswählen) auf Set up a network (Netzwerk einrichten).

  3. Konfigurieren Sie auf der Seite Geben Sie Informationen für das Drahtlosnetzwerk ein, das Sie hinzufügen möchten Folgendes:

    • Netzwerkname Geben Sie den Namen des Drahtlosnetzwerks ein.

    • Sicherheitstyp Wählen Sie die Methode, die für die Authentifizierung einer Verbindung zum Drahtlosnetzwerk (WEP (802.1x), WPA-Enterprise oder WPA2-Enterprise) verwendet wird.

    • Verschlüsselungstyp Wählen Sie die Methode aus, die für die Verschlüsselung von über das Drahtlosnetzwerk gesendeten Datenrahmen verwendet wird (WEP, TKIP oder AES).

  4. Klicken Sie auf Weiter.

  5. Klicken Sie auf Verbindungseinstellungen ändern.

  6. Klicken Sie auf die Registerkarte Sicherheit, und wählen Sie die Methode Geschütztes EAP (PEAP) unter Wählen Sie eine Methode für die Netzwerkauthentifizierung aus. Klicken Sie auf Einstellungen.

  7. Deaktivieren Sie im Dialogfeld Eigenschaften für geschütztes EAP das Kontrollkästchen Serverzertifikat überprüfen.

  8. Klicken Sie zweimal auf OK, und klicken Sie auf Schließen.

Um die Einstellungen aus diesem Bootstrap-Drahtlosprofil in eine XML-Datei zu exportieren, geben Sie den folgenden Befehl ein:

netsh wlan export profile XML-Dateiname Profilname Verbindungsname

  • XML-Dateiname ist der Name der XML-Datei, in der die Drahtlosprofileinstellungen gespeichert sind.

  • Profilname ist der Name des Drahtlosprofils, das exportiert wird.

  • Verbindungsname ist der Name des Drahtlosadapters, für den das Drahtlosprofil konfiguriert wurde.

  • Anhang B: Verknüpfen eines Windows Vista-Clients mit einer Domäne

    Nachdem eine Verbindung zum sicheren Drahtlosnetzwerk hergestellt wurde, verwenden Sie Systemsteuerung/System, um folgende Schritte auszuführen:

    1. Klicken Sie unter Einstellungen für Computernamen, Domäne und Arbeitsgruppe auf Einstellungen ändern.

    2. Klicken Sie im Dialogfeld Systemeigenschaften auf Ändern.

    3. Geben Sie im Dialogfeld Computernamen ändern den Computernamen in Computername ein. Klicken Sie auf Domäne, und geben Sie den Active Directory-Domänennamen ein.

    4. Klicken Sie auf OK.

    5. Wenn Sie dazu aufgefordert werden, geben Sie Ihren Domänennamen und Ihr Kennwort ein, um den Computer mit der Domäne zu verknüpfen.

    6. Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.

    Wenn der Computer neu gestartet wurde, authentifiziert er sich automatisch auf dem Drahtlosnetzwerk mithilfe der Anmeldeinformationen oder dem Zertifikat des Computerdomänenkontos.

    Weitere Informationen

    Weitere Informationen finden Sie auf den folgenden Seiten:

    Fanden Sie dies hilfreich?
    (1500 verbleibende Zeichen)
    Vielen Dank für Ihr Feedback.
    Anzeigen:
    © 2014 Microsoft