Client réseau sans fil dans Microsoft Windows - Configuration et authentification
Sur cette page
.gif){kind=icon}
Client réseau sans fil dans Microsoft Windows - Configuration et authentification
Client réseau sans fil dans Microsoft Windows - Configuration et authentification
Animateur : Brian_B (Microsoft)
Bienvenue dans la discussion Windows TechNet du jour. Le sujet du jour est le client réseau sans fil de Microsoft Windows (configuration et authentification).
Animateur : Brian_B (Microsoft)
Nous avons le plaisir d'accueillir des experts, que je laisse se présenter.
Hôte : FlorinT (Microsoft)
Bonjour, je suis Florin, développeur du Service configuration automatique sans fil (WZC, Wireless Zero Configuration), la partie configuration. En bref, mon code est responsable du choix du réseau approprié auquel se connecter et de la connexion du média.
**Hôte : FlorinT (Microsoft)
**Je suis Drew Baron, responsable de programme du groupe réseau Windows. Je m'occupe plus particulièrement de la sécurité des systèmes sans fil et des technologies suivantes : 802.1x, WPA, 802.11i, EAP-TLS, PEAP, etc.
**Hôte : Mihai (Microsoft)
**Bonjour, je suis Mihai. Je travaille depuis 6 ans dans le groupe réseau Windows de Microsoft. Je m'occupe de la prise en charge des pilotes réseau sans fil dans Windows 2000. Je fais partie de l'équipe qui a créé les services de configuration et d'authentification sans fil dans Windows XP et Windows Server 2003.
**Hôte : Brandy (Microsoft)
**Je suis Brandy Griffin, testeur des systèmes sans fil ; je travaille avec Mihai.
**Hôte : Anton (Microsoft)
**Je suis Anton Krantz. Je suis responsable de programme dans le groupe réseau sans fil de Windows. Je gère le service de configuration sans fil de Windows XP.
**Hôte : Sean (Microsoft)
**Bonjour, je suis Sean. Je suis responsable de programme dans l'équipe d'expérience réseau de Windows, et je m'occupe entre autres de l'expérience utilisateur pour les réseaux sans fil.
**Hôte : Taroon (Microsoft)
**Bonjour, je suis Taroon. Je suis développeur dans l'équipe des réseaux sans fil Windows. Je travaille sur le protocole IEEE 802.1x en charge de l'authentification sur les réseaux sans fil.
Animateur : Brian_B (Microsoft)
...et votre hôte, Brian Boston. Je suis responsable de programme de communauté.
Début de la discussion
Animateur : Brian_B (Microsoft)
Commençons la discussion.
Animateur : Brian_B (Microsoft)
Q : Mihai, pouvez-vous nous expliquer la portée de votre équipe ? Je suppose que la technologie sans fil englobe un large éventail de technologies réseau. Quel est le domaine principal sur lequel votre équipe travaille ?**
R :** Mon équipe travaille essentiellement sur les réseaux locaux sans fil (IEEE 802.11), plus exactement sur la configuration et l'authentification sans fil (IEEE 802.1X) dans Windows.
Hôte : FlorinT (Microsoft)
Q : À part modifier l'ID, désactiver le mode diffusion et utiliser des mots de passe sécurisés, que puis-je faire pour sécuriser l'accès réseau dans un réseau local WiFi mixte ?**
R :** Pour un scénario d'entreprise, 802.1x est la solution. Pour une utilisation domestique, la solution est le cryptage WEP avec la clé la plus longue possible. Si vous disposez d'un point d'accès compatible WPA, utilisez le mode d'authentification WPA-PSK.
Hôte : Sean (Microsoft)
Q : pour aller plus loin... Nous sommes régulièrement confrontés au problème suivant : l'icône de la barre d'état indique l'absence de WiFi, alors qu'une connexion WiFi est active. S'agit-il d'un problème de configuration ou d'une fonctionnalité connue ?**
R :** Pouvez-vous expliquer ce que vous entendez par « l'icône indique l'absence de WiFi » ? Quel type d'icône s'affiche ? (précisons qu'il ne s'agit pas d'une fonctionnalité).
Hôte : Anton (Microsoft)
Q : Je dispose de deux points d'accès masqués dans l'entreprise. Je configure le protocole WiFi XP afin de les définir tous les deux comme des points d'accès préférés. Le premier de la liste s'affiche comme actif, tandis que le deuxième s'affiche toujours comme inactif (x rouge) dans l'écran des propriétés de connexion du réseau sans fil. Est-ce normal ?**
R :** Existe-t-il des points d'accès non masqués dans votre entreprise (c'est-à-dire des points d'accès qui diffusent leur SSID) ? Si votre liste préférée contient des points d'accès non masqués, le service sans fil les préfère par rapport aux points d'accès non diffusés (c'est-à-dire masqués).
Hôte : Mihai (Microsoft)
Q : Existe-t-il un problème connu concernant le nouveau chipset Centrino WiFi et les routeurs et points d'accès WiFi 80211b ?**
R :** Nous avons soumis le problème à Intel, mais nous utilisons cependant le chipset Centrino dans nos tests avec les pilotes les plus récents et la gestion de l'alimentation fonctionne.
Hôte : Mihai (Microsoft)
Q : La gestion de l'alimentation de ces périphériques les rend-elle inutiles ?**
R :** Nous avons constaté des problèmes avec des pilotes antérieurs, une mise à jour avec les pilotes Intel les plus récents peut donc s'avérer judicieuse.
Animateur : Brian_B (Microsoft)
Pour ceux qui rejoignent la discussion, le sujet du jour est le client réseau sans fil dans Microsoft Windows (configuration et authentification).
Hôte : FlorinT (Microsoft)
Q : Est-ce que d'autres participants utilisent le sans fil dans des salles de réunion à l'extérieur du réseau ou de la zone DMZ de l'entreprise ?
Hôte : FlorinT (Microsoft)
R : Oui, la fourniture d'un service de type invité aux visiteurs est une demande fréquente. Le mode de déploiement dépend de chaque fournisseur de point d'accès et des logiciels correspondants. En général, les points d'accès annoncent un deuxième SSID directement connecté en dehors du réseau interne (c'est-à-dire directement à Internet).
Hôte : Mihai (Microsoft)
Q : Est-ce que quelqu'un ne faisant pas partie de Microsoft utilise les nouveaux Centrino avec la gestion de l'alimentation activée et des routeurs grand public tels que linksys et dlink ? (Suite)**
R :** Oui, Intel développe les pilotes réseau sans fil Windows XP pour Centrino et la gestion de l'alimentation est l'une des fonctionnalités qui doit faire partie des tests.
Hôte : FlorinT (Microsoft)
Q : Comment puis-je déboguer l'interaction entre mon pilote réseau et WZCS ?**
R :** Contactez PSS et demandez une version vérifiée de WZCSVC.DLL. Ils peuvent également vous fournir des instructions pour l'activation de la journalisation de débogage et vous pouvez inspecter les journaux afin de voir les appels OID effectués par WZC dans le pilote.
Hôte : Sean (Microsoft)
Q : (Suite concernant la question sur l'icône dans la barre d'état : icône réseau double, mais avec un gros X rouge !)**
R :** Clarification : lorsque vous dites que vous disposez d'une connexion WiFi active, voulez-vous dire que vous êtes effectivement connecté à ce point d'accès, ou que vous disposez d'un point d'accès opérationnel (mais que vous n'êtes pas connecté) ? Dans le premier cas, nous ne connaissons pas ce problème (bien qu'un problème de ce type ait été résolu dans le Service Pack 1 de Windows XP) : Dans le deuxième cas, il s'agit du comportement attendu, qui implique une mauvaise configuration du client (commencez par supprimer le réseau de la liste préférée).
**Hôte : Brandy (Microsoft)
**Pour information, il existe un outil utile pour configurer et installer un réseau domestique sans fil, à savoir le guide des réseaux domestiques publié récemment, à la page Home and Small Office Networking with Windows XP .gif)
.
**Hôte : Brandy (Microsoft)
**Ce guide est un assistant interactif conçu pour guider le particulier qui cherche de l'aide pour la conception d'un réseau domestique. En guidant l'utilisateur dans une série de questions sur ses besoins particuliers, le guide identifie les composants spécifiques à acheter en fonction des besoins de l'utilisateur. L'utilisateur peut imprimer une liste de types d'équipement dont l'acquisition est recommandée.
Hôte : Anton (Microsoft)
Q : Anton – Nous disposons d'un point d'accès non masqué, mais il n'est pas ajouté à ma liste préférée. ? Existe-t-il un moyen de savoir si les deux points d'accès masqués sont actifs ? Le seul moyen que je connaisse est de basculer manuellement le réseau préféré à l'aide du bouton de déplacement vers le haut.**
R :** Le SSID masqué doit se trouver dans la liste préférée pour permettre la connexion automatique. Dans la mesure où il ne diffuse pas son SSID, le service sans fil ne le détecte pas. Notez que la désactivation de la diffusion n'offre pas de sécurité supplémentaire et présente les problèmes que vous rencontrez.
Hôte : Mihai (Microsoft)
Q : Pouvez-vous détailler le processus par lequel le client XP passe lorsqu'il détermine à quel point d'accès de la liste préférée se connecter ? Existe-t-il des pondérations basées sur la puissance du signal, le caractère masqué ou non, non trouvé ?**
R :** Le service de configuration sans fil ne détermine pas le point d'accès particulier pour l'association, mais le réseau sans fil (SSID). L'algorithme permettant de déterminer le point d'accès réel dans le même SSID est implémenté dans le pilote et est généralement basé sur la qualité du signal (nombre de balises perdues, etc.).
Hôte : Mihai (Microsoft)
R : (Suite) : Êtes-vous intéressé par la logique permettant de choisir le réseau sans fil ou le point d'accès particulier ?
Hôte : Jim (Microsoft)
Q : Quelqu'un sait-il quelque chose sur « Quarantaine » ?**
R :** Un livre blanc est disponible à la page Network Access Quarantine Control in Windows Server 2003
Hôte : FlorinT (Microsoft)
Q : Steve : Existe-t-il des projets Microsoft de solutions logicielles de plus haut niveau pour la sécurisation du réseau WiFi ?**
R :** Oui, nous avons mis à jour les fonctionnalités de sécurité du client sans fil XP au début de cette année, avec la mise à jour de la sécurité WPA. Nous allons faire de même l'année prochaine, lors de la ratification de la norme 802.11i.
Hôte : FlorinT (Microsoft)
R : WPA offre un « niveau plus élevé » de cryptage et d'établissement des connexions. Le nouveau type de cryptage par défaut est appelé TKIP, tandis que le cryptage AES est facultatif. XP prend en charge TKIP et AES avec notre mise à jour XP. 802.11i offre de nouveau une augmentation du type de cryptage par défaut offert. AES devient le type par défaut avec 802.11i. Le cryptage AES nécessite généralement une mise à jour matérielle, mais de nombreux fabricants testent actuellement leurs périphériques afin qu'ils soient compatibles à l'avenir.
Animateur : Brian_B (Microsoft)
Il nous reste dix minutes, n'hésitez pas à envoyer d'autres questions.
Hôte : FlorinT (Microsoft)
Q : J'aimerais savoir comment XP détermine le point d'accès auquel il se connecte. Je suppose qu'il utilise un schéma de préférence basé sur les caractéristiques du point d'accès. Si la puissance/qualité du signal était la même sur le point d'accès préféré, alors**
R :** Pour choisir entre les réseaux préférés (SSID), WZC les classe en VPI (Visible Preferred Infrastructure), PI (Non-visible Preferred Infrastructure), VPA (Visible Preferred Ad hoc) et PA (Non-visible Preferred Ad hoc). Il les ordonne ensuite dans l'ordre VPI, PI, VPA, PA, chaque groupe étant lui-même classé selon vos préférences. WZC ne tient pas compte de la puissance du signal. Il prend simplement soin de configurer la carte réseau avec le mode d'infrastructure SSID, le mode d'authentification, ainsi que le mode et la clé de cryptage appropriés. Le pilote sous-jacent choisit ensuite le point d'accès approprié pour ce réseau, en fonction de la puissance et de la qualité du signal.
Hôte : Mihai (Microsoft)
Q : Nous avons un cas dans lequel XP suit toujours le point d'accès avec le signal le plus puissant.**
R :** Cela dépend du pilote, ou plus exactement de l'implémentation de l'algorithme.
Hôte : Mihai (Microsoft)
Q : Nombre des outils de connexion propres aux fabricants ne peuvent pas déterminer la puissance du signal en mode ad hoc, ce que permet WZCS. Est-ce que ce dernier devine simplement, ou est-ce précis ?**
R :** La puissance du signal est obtenue à partir du pilote de la carte réseau sans fil, et WZCS ne fait qu'interroger le pilote et transmettre les informations à l'utilisateur. L'inclusion de cette fonction dans les outils est probablement une question de choix de la part des fabricants.
Hôte : Sean (Microsoft)
Q : Pour un réseau SBS 2003, quelle est la méthode préférée de sécurité et d'authentification ? Des liens vers des livres blancs seraient appréciés.**
R :** Tous les livres blancs sur SBS se trouvent à l'adresse suivante : Technical Resources for Windows Small Business Server 2003
**Hôte : Taroon (Microsoft)
**Suite à la question de mlewand : consultez l'article suivant de la base de connaissances : Your Computer Connects to an Access Point That Broadcasts Its SSID Instead of an Access Point That Does Not Broadcast its SSID
Hôte : Taroon (Microsoft)
Q : Est-il possible de définir un point d'accès comme prioritaire, afin qu'il soit toujours préféré par rapport à n'importe quel autre point d'accès de ma liste de préférences ?**
R :** Qu'entendez-vous par point d'accès dans cette question ? Un réseau (SSID) ?
Hôte : FlorinT (Microsoft)
Q : Est-ce que « visible » signifie « SSID non masqué » et inversement ? Si tel est le cas, cela signifie-t-il qu'un point d'accès public sera prioritaire par rapport au réseau d'entreprise sécurisé dont le SID est masqué ?**
R :** Oui, « visible » signifie « SSID non masqué ». Oui, un réseau visible est prioritaire par rapport à un réseau non visible. Lorsque nous analysons et déterminons le réseau auquel se connecter, nous ne disposons d'aucune information concernant les réseaux masqués ; nous ne pouvons donc pas immédiatement les mettre en correspondance avec des entrées de la liste préférée.
Hôte : Mihai (Microsoft)
Q : Scénario : 2 points d'accès publics dans une avenue dans des magasins différents. Ils sont distants de 20 mètres et présentent le même SSID. Un utilisateur connecté au point d'accès 1 est automatiquement connecté au point d'accès 2 mlewand : Q : point d'accès 2 lorsque le signal est plus puissant ?**
R :** Dans ce cas, si les points d'accès 1 et 2 présentent le même SSID, le pilote se connecte initialement au point d'accès 2 (signal plus puissant) ; en revanche, si la qualité du signal se dégrade, le pilote peut décider de passer par le point d'accès 1. Cependant, si vous considérez les points d'accès 1 et 2 comme des réseaux différents, le réseau préféré est plombé, indépendamment de la puissance du signal. Supposez que le point d'accès 1 soit le préféré ; il sera utilisé. Le PC se connecte au point d'accès 2 (le suivant dans la liste préférée) uniquement lorsque l'utilisateur est hors de portée du point d'accès 1.
Animateur : Brian_B (Microsoft)
J'aimerais remercier Mihai, Brandy, Drew, Florin, Taroon, Jim, Sean et Anton, de l'équipe réseau sans fil de Windows, pour cette conversation TechNet.
Animateur : Brian_B (Microsoft)
...et les autres pour vos questions et commentaires. La transcription de notre discussion sera intégrée aux archives TechNet dans quelques jours.
Animateur : Brian_B (Microsoft)
Si vous souhaitez davantage d'informations sur ces technologies, consultez les sites suivants :
Animateur : Brian_B (Microsoft)
Centre technologique WiFi Windows 2003
Animateur : Brian_B (Microsoft)
Vue d'ensemble des composants et technologies de déploiement sans fil de Windows XP
Animateur : Brian_B (Microsoft)
Merci de votre intérêt et pour vos commentaires ! Nous allons nous quitter pour aujourd'hui.
Dernière mise à jour le mardi 24 février 2004
Pour en savoir plus