Authentifizierter 802.1X-Drahtloszugriff: Übersicht

Betrifft: Windows Server 2012

Dieses Dokument enthält einführende Informationen zum authentifizierten IEEE (Institute of Electrical and Electronics Engineers) 802.1X-Zugriff für IEEE 802.11-Drahtloszugriff. Außerdem werden Verknüpfungen sowie Ressourcen mit Informationen zu Technologien bereitgestellt, die mit authentifiziertem 802.1X-Drahtloszugriff verwandt sind oder auf andere Weise für Drahtloszugriff relevant sind.

Meinten Sie…

• 802.1X Authenticated Wired Access 

•  Netsh Commands for Wireless Local Area Network (WLAN) in der technischen Bibliothek zu Windows Server 2008 R2 und Windows Server 2008 auf TechNet.

• 802.1X Authenticated Wireless Access in der technischen Bibliothek zu Windows Server 2008 R2 und Windows Server 2008 auf TechNet.

Featurebeschreibung

IEEE 802.1X-Authentifizierung stellt eine zusätzliche Sicherheitsschranke für Ihr Intranet dar, mit der Sie verhindern können, dass Gastcomputer, nicht autorisierte oder nicht verwaltete Computer, die sich nicht erfolgreich authentifizieren können, eine Verbindung zu Ihrem Intranet herstellen.

Aus demselben Grund, aus dem Administratoren IEEE 802.1X-Authentifizierung für IEEE 802.3-Kabelnetzwerk bereitstellen – höhere Sicherheit –, sollten Netzwerkadministratoren zum Schutz ihrer Funknetzwerkverbindungen den IEEE 802.1X-Standard implementieren. Jeder authentifizierte verkabelte Client muss Anmeldeinformationen senden, die überprüft werden, bevor er Frames über das verkabelte Ethernet-Intranet senden kann. Entsprechend muss ein IEEE 802.1X-Funkclient eine Authentifizierung durchführen, bevor Datenverkehr über den Funkzugriffspunkt und über das Netzwerk gesendet werden kann.

Wichtige Terminologie und Technologieübersichten

Im Folgenden finden Sie Übersichten, die Ihnen beim Verständnis der verschiedenen Technologien helfen, die für die Bereitstellung des authentifizierten 802.1X-Drahtloszugriffs erforderlich sind.

IEEE 802.1X

Der IEEE 802.1X-Standard definiert die portbasierte Netzwerkzugriffssteuerung, die für die Bereitstellung des authentifizierten WLAN-Zugriffs auf Unternehmensnetzwerke verwendet wird. Diese portbasierte Netzwerkzugriffssteuerung verwendet die physischen Merkmale der 802.1X-fähigen Drahtloszugriffspunkt-Infrastruktur, um Geräte zu authentifizieren, die mit einem LAN-Anschluss verbunden sind. Der Zugriff auf den Port kann verweigert werden, wenn der Authentifizierungsvorgang fehlschlägt. Dieser Standard wurde ursprünglich für verkabelte Ethernet-Netzwerke entwickelt und für 802.11-WLAN-Netzwerke übernommen.

IEEE 802.1X-fähige Ethernet-Switches

Für die Bereitstellung des 802.1X-Drahtloszugriffs müssen Sie mindestens einen 802.1X-fähigen Drahtloszugriffspunkt auf Ihrem Netzwerk konfigurieren. Die Drahtloszugriffspunkte müssen mit dem RADIUS-Protokoll (Remote Authentication Dial-In User Service) kompatibel sein.

Wenn 802.1X- und RADIUS-kompatible Drahtloszugriffspunkte in der RADIUS-Infrastruktur mit einem RADIUS-Server wie z. B. einem NPS-Server bereitgestellt werden, werden sie als RADIUS-Clients bezeichnet.

IEEE 802.11 drahtlos

IEEE 802.11 ist eine Sammlung von Standards, die Layer-1 (physische Schicht) und Layer-2 (Sicherungsschicht Media Access Control (MAC)) des WLAN-Zugriffs definieren.

Netzwerkrichtlinienserver

Mit dem Netzwerkrichtlinienserver (NPS) können Sie Netzwerkrichtlinien mithilfe der folgenden drei Komponenten zentral konfigurieren und verwalten: RADIUS-Server, RADIUS-Proxy und dem Richtlinienserver für den Netzwerkzugriffsschutz (NAP). NPS ist für die Bereitstellung von 802.1X-Drahtloszugriff erforderlich.

Serverzertifikate

Für die Bereitstellung von WLAN-Zugriff sind Serverzertifikate für alle NPS-Server erforderlich, die eine 802.1X-Authentifizierung durchführen.

Ein Serverzertifikat ist ein digitales Dokument, das häufig für die Authentifizierung und für die Sicherung von Informationen in offenen Netzwerken verwendet wird. Ein Zertifikat verbindet einen öffentlichen Schlüssel sicher mit der Entität, die den entsprechenden privaten Schlüssel besitzt. Zertifikate enthalten eine digitale Signatur der ausstellenden Zertifizierungsstelle (Certification Authority, CA) und können auf einen Benutzer, einen Computer oder einen Dienst ausgestellt werden.

Eine Zertifizierungsstelle ist eine Entität, die für die Herstellung und Authentizität öffentlicher Schlüssel verantwortlich sind, die zu einem bestimmten Subjekt (normalerweise Benutzern oder Computern) oder anderen Zertifizierungsstellen gehören. Die Aktivitäten einer Zertifizierungsstelle umfassen das Binden öffentlicher Schlüssel an Distinguished Names über signierte Zertifikate, das Verwalten von Seriennummern von Zertifikaten und das Sperren von Zertifikaten.

Active Directory-Zertifikatdienste (AD CS) ist eine Windows Server 2012-Serverrolle, die Zertifikate als Netzwerk-Zertifizierungsstelle ausstellt. Eine AD CS-Zertifikatinfrastruktur, auch Public Key-Infrastruktur (PKI), stellt Unternehmen anpassbare Dienste zum Ausstellen und Verwalten von Zertifikaten zur Verfügung.

EAP

EAP (Extensible Authentication-Protokoll) erweitert PPP (Point-to-Point-Protokoll) um zusätzliche Authentifizierungsmethoden, bei denen Anmeldeinformationen und Informationen mit zufälliger Länge ausgetauscht werden. Bei der EAP-Authentifizierung müssen der Netzwerkzugriffsclient und der Authentifikator (beispielsweise der Server mit NPS) den gleichen EAP-Typ unterstützen, damit eine erfolgreiche Authentifizierung erfolgen kann.

Neue und geänderte Funktionalität

Der WLAN-Zugriff unter Windows Server 2012 unterscheidet sich nur minimal von der Lösung für verkabelten Zugriff unter Windows Server 2008 R2. Die Änderungen sind im Folgenden zusammengefasst:

Siehe auch

Im folgenden sind weitere Ressourcen zu authentifiziertem 802.1X-Drahtloszugriff aufgeführt.