Dieser Artikel wurde maschinell übersetzt. Wenn Sie die englische Version des Artikels anzeigen möchten, aktivieren Sie das Kontrollkästchen Englisch. Sie können den englischen Text auch in einem Popupfenster anzeigen, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Begleithandbuch zum Hauptnetzwerk: Bereitstellung kennwortbasierten 802.1 authentifizierten X drahtlosen Zugriff

 

Veröffentlicht: August 2016

Gilt für: Windows Server 2012

Dieses Handbuch ist als Begleithandbuch zum der Windows Server® 2012 zum Hauptnetzwerk. Das Handbuch bietet eine Anleitung zum Planen und Bereitstellen der erforderlichen Komponenten für eine voll funktionsfähige Netzwerk- und eine neue Active Directory®-Domäne in einer neuen Gesamtstruktur.

In diesem Handbuch wird der Aufbau eines Hauptnetzwerks erläutert. Es finden sich Anweisungen zum Bereitstellen von IEEE (Institute of Electrical and Electronics Engineers) 802.1 X-authentifiziertem IEEE 802.11-Drahtloszugriff mit PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol – Microsoft Challenge Handshake Authentication Protocol, Version 2).

Da PEAP-MS-CHAP v2 erfordert, dass der Benutzer Anmeldeinformationen anstelle eines Zertifikats während der Authentifizierung, ist es in der Regel einfacher und billiger, als EAP-TLS und PEAP-TLS bereitstellen.

System_CAPS_noteHinweis

In diesem Handbuch wird die IEEE 802.1 X Authenticated Wireless Access mit PEAP-MS-CHAP v2 "wireless Access" und "WLAN-Zugriff" abgekürzt.

Dieses Handbuch enthält Anweisungen zum Bereitstellen einer WLAN-Infrastruktur, die die folgenden Komponenten verwendet:

  • Eine oder mehrere 802.1 X geeigneten 802.11 drahtlose Zugriffspunkte (APs).

  • AD DS-Benutzer und-Computer.

  • Gruppenrichtlinienverwaltung

  • Eine oder mehrere Netzwerkrichtlinienserver (Network Policy Server, NPS)-Server.

  • Serverzertifikate für Computer, auf denen NPS ausgeführt wird

  • Drahtlose Clientcomputer unter Windows® 8, Windows® 7, Windows Vista® oder Windows XP mit Service Pack 2.

Dieses Handbuch ist für Netzwerk- und Systemadministratoren gedacht, denen:

1. Die Anweisungen auf der Windows Server 2012zum Hauptnetzwerk ein Hauptnetzwerk bereitstellen oder für diejenigen, die zuvor die Core-Technologien im Hauptnetzwerk bereitgestellt haben, einschließlich AD DS, Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), TCP/IP, NPS und Windows Internet Name Service (WINS).

Die zum Hauptnetzwerk steht an folgenden Speicherorten:

2. Entweder die Anweisungen in befolgt die Windows Server 2012Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten bereitstellen und Verwenden von Active Directory-Zertifikatdienste (AD CS), damit Serverzertifikate NPS oder Computern, die ein Serverzertifikat von einer öffentlichen Zertifizierungsstelle, z. B. VeriSign erworben haben, dass Clientcomputer bereits vertrauen. Ein Clientcomputer vertraut eine Zertifizierungsstelle, wenn dieses Zertifikat der Zertifizierungsstelle bereits in den Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen auf Windows-basierten Computern ist. Standardmäßig verfügen Windows-Computern mehrere öffentliche Zertifizierungsstellenzertifikate in ihren vertrauenswürdigen Stammzertifizierungsstellen-Zertifikat installiert.

Die Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten an folgenden Speicherorten verfügbar ist.

Sie sollten die Entwurfs- und Bereitstellungshandbücher für jede der Technologien einsehen, die in diesem Bereitstellungsszenario verwendet werden. Mit diesen Handbüchern können Ihnen ermitteln, ob dieses Bereitstellungsszenario die Dienste und Konfigurationen bietet, die Sie zur Organisation des Netzwerks benötigen.

Im folgenden sind die Anforderungen für die Bereitstellung einer Infrastruktur für drahtlosen Zugriff mit dem Szenario in diesem Handbuch dokumentiert:

  • Vor dem Bereitstellen dieses Szenario, müssen Sie zuerst erwerben und installieren 802.1 X-fähigen drahtlosen Zugriffspunkten, drahtlose Konnektivität am gewünschten Standort an Ihrem Standort zu gewährleisten.

  • Active Directory-Domänendienste (AD DS) installiert ist, da die anderen Netzwerk-Technologien sind entsprechend den Anweisungen in der Windows Server 2012 zum Hauptnetzwerk.

  • Serverzertifikate sind erforderlich, wenn Sie PEAP-MS-CHAP v2 zertifikatbasierten Authentifizierungsmethode bereitstellen.

  • Sie oder andere Personen in Ihrer Organisation ist vertraut, mit der IEEE 802.11-Standards, die durch Ihre drahtlosen Zugriffspunkte und die drahtlosen Netzwerkadapter installiert den Client-Computern in Ihrem Netzwerk unterstützt werden. z. B. Radiofrequenz Typen, 802.11 drahtlose Authentifizierung (WPA2 oder WPA) und Chiffren (AES oder TKIP).

Im folgenden sind einige Elemente, die diesem Handbuch nicht bietet:

Ein umfassender Leitfaden zum Auswählen von 802.1 X geeigneten drahtlose Zugriffspunkte

Da viele Unterschiede zwischen Marken und Modelle von 802.1 X geeigneten Drahtloszugriffspunkten vorhanden sind, bietet dieses Handbuch keine detaillierte Informationen über:

  • Bestimmen, welche Marke oder das Modell des drahtlosen Zugriffspunkt am besten geeignet ist für Ihre Bedürfnisse geeignet.

  • Die physische Bereitstellung von drahtlosen Zugriffspunkten in Ihrem Netzwerk.

  • Erweiterte Konfiguration von WAPS, z. B. für drahtlose VLAN.

  • Informationen zum Konfigurieren von drahtlosen AP herstellerspezifische Attribute in NPS.

Darüber hinaus Terminologie und Namen für die Einstellung drahtlosen AP-Marken und Modelle unterscheiden und entsprechen möglicherweise nicht den generischen Einstellungsnamen verwiesen wird, in diesem Handbuch. Drahtlose Zugriffspunkt ausführliche Informationen, zur Konfiguration müssen Sie der Produktdokumentation des Herstellers drahtlosen Zugriffspunkte überprüfen.

Eine Anleitung zum Bereitstellen von Zertifikaten für NPS-server

Es gibt zwei Alternativen zum Bereitstellen von Zertifikaten für NPS-Server. Dieses Handbuch bietet keine umfassenden Informationen können Sie bestimmen, welche Alternative Ihren Bedürfnissen am besten. Im Allgemeinen sind jedoch die Auswahlmöglichkeiten treffen:

  • Erwerben Zertifikate von einer öffentlichen Zertifizierungsstelle, z. B. VeriSign, die bereits über Windows-basierte Clients als vertrauenswürdig eingestuft werden. Diese Option wird in der Regel für kleinere Netzwerke empfohlen.

  • Bereitstellen einer Public Key Infrastruktur (PKI) im Netzwerk mithilfe von AD CS.

Die folgende Tabelle beschreibt einige der wichtigsten Aspekte bei der Entscheidung, ob Sie eine PKI bereitstellen, oder erwerben Sie ein Zertifikat von einer öffentlichen Zertifizierungsstelle.

Funktionen

Erworbenen öffentliche CA-Zertifikat

PKI

Gut skalierbar

Nein

Zertifikate müssen erworben und auf pro-Server installiert werden.

Ja.

Wenn die automatische Registrierung verwendet wird, werden Zertifikate automatisch von NPS-Server registrieren. Neue NPS-Server, die Sie später hinzufügen, werden automatisch auch Zertifikate registriert.

Wiederkehrende Kosten wurde mit der Zeit

Ja.

Öffentliche Zertifizierungsstellenzertifikate müssen erneuert werden.

Nein

Wenn Zertifikate ablaufen, stellt die Zertifizierungsstelle automatisch neue.

Eine umfassende Planung und Kenntnisse

Nein

In kleineren Netzwerken können Zertifikate erworben und einfacher als das Bereitstellen einer PKI auf pro-Server installiert.

Ja.

Bereitstellen einer PKI erfordert Kenntnisse von AD CS.

Erfordert zusätzliche hardware

Nein

Unter Umständen.

Um eine oder mehrere Zertifizierungsstellen bereitzustellen, müssen Sie zusätzliche Server oder virtuelle Computer verfügen.

Leicht erweiterbar

Nein

Ja.

Die PKI können zur Bereitstellung zusätzlicher Authentifizierungsmethoden und Zertifikate für andere Zwecke verwendet.

NPS-Netzwerkrichtlinien und andere NPS-Einstellungen

Mit Ausnahme der Konfigurationseinstellungen beim Ausführen der Konfigurieren 802.1 X -Assistenten wie in diesem Handbuch dokumentiert, dieses Handbuch bietet keine detaillierte Informationen zur manuellen Konfiguration von NPS-Bedingungen, Einschränkungen oder andere NPS-Einstellungen.

Weitere Informationen zu NPS finden Sie unter zusätzliche Ressourcen in diesem Handbuch.

DHCP

In diesem Bereitstellungshandbuch bietet keine Informationen zu entwerfen oder Bereitstellen von DHCP-Teilnetze für drahtlose LANs.

Weitere Informationen zu DHCP finden Sie unter der zusätzliche Ressourcen dieses Handbuchs.

Folgendes sind Technologieübersichten für die Bereitstellung von drahtlosen Zugriff:

Der IEEE 802.1X-Standard definiert die anschlussbasierte Zugriffskontrolle, die verwendet wird, um authentifizierten Netzwerkzugriff für Ethernet-Netzwerke. Diese portbasierte Netzwerkzugriffssteuerung verwendet die physikalischen Eigenschaften der LAN-Infrastruktur zum Authentifizieren von Geräten, die mit einem LAN-Anschluss verbunden. Der Zugriff auf den Port kann verweigert werden, wenn der Authentifizierungsvorgang fehlschlägt. Obwohl dieser Standard ursprünglich für verkabelte Ethernet-Netzwerke entwickelt wurde, war es für die Verwendung in drahtlosen 802.11-LANs angepasst.

Dieses Szenario erfordert die Bereitstellung von mindestens 802.1 X geeigneten drahtlose Zugriffspunkte, die mit dem Remote Authentication Dial-in User Service (RADIUS)-Protokoll kompatibel sind.

802.1X- und RADIUS-kompatible APs, bei der Bereitstellung in einer RADIUS-Infrastruktur mit einem RADIUS-Server, z. B. einem NPS-Server heißen RADIUS-Clients.

Dieses Handbuch bietet umfassende Konfigurationsdetails 802.1X-authentifizierten Zugriff für Benutzer Mitglied der Domäne angeben, die mit dem Netzwerk für drahtlose Clients unter Windows 8, Windows 7, Windows Vista oder Windows XP mit Service Pack 2 oder höher. Computer müssen der Domäne angehören, um erfolgreich authentifizierten Zugriff herzustellen.

Wireless-Computer mit Windows Server 2012 konfiguriert, indem die gleichen Konfigurationseinstellungen für Windows 8, Windows 7 und Windows Vista. Drahtlose Computer unter Windows Server 2003 werden von den gleichen Schutz und Konnektivitätseinstellungen für Windows XP-Computern konfiguriert.

System_CAPS_noteHinweis

Auf Ihrer Domäne-Drahtlosclientcomputer mit Windows 8, Windows 7, und Windows Vista, Benutzer sehen die Profile, die Sie, in Konfigurieren der Windows Vista Drahtlosnetzwerkrichtlinie öffnen Netzwerk- und Freigabecenter und dann auf Drahtlosnetzwerke verwalten

Die Windows Vista Drahtlosrichtlinien in Windows Server 2012 Gruppenrichtlinien bieten auch die Einstellungen, die Sie verwenden können, zum Verwalten bestimmter Features und Verbesserungen, die nur in drahtlosen Client-Computern gefunden werden Windows 7.

Windows 8, Windows Server 2012, Windows 7, Windows Vista Windows Server 2003 und Windows XP bieten integrierten Unterstützung für drahtlose 802.11-Netzwerke. Eine installierte 802.11 drahtlosen Netzwerkadapter wird als eine drahtlosnetzwerkverbindung im Netzwerkverbindungsordner. Zwar integrierter Unterstützung für 802.11-Drahtlosnetzwerke, hängen die drahtlosen Komponenten von Windows Folgendes:

  • Die Funktionen des drahtlosen Netzwerkadapters. Die installierten drahtlosen Netzwerkadapter muss die Drahtlos-LAN- oder wireless-Sicherheitsstandards, die Sie benötigen unterstützt. Wenn der Drahtlosnetzwerkadapter Wi-Fi Protected Access (WPA) nicht unterstützt, können nicht Sie z. B. aktivieren oder Konfigurieren von Sicherheitsoptionen für WPA.

  • Die Funktionen der Treiber des drahtlosen Netzwerkadapters. Um Optionen für drahtlose Netzwerke konfigurieren können, muss der Treiber für den drahtlosen Netzwerkadapter unterstützen die Berichterstattung aller seiner Funktionen zu Windows. Stellen Sie sicher, dass der Treiber für Ihren drahtlosen Netzwerkadapter, für die Funktionen des geschrieben wurde Windows Vista oder Windows XP und die aktuelle Version von Microsoft Update oder die Website des Herstellers Drahtlosnetzwerk-Adapter überprüft.

Die folgende Tabelle zeigt die Übertragungsrate und Frequenzen für gängige drahtlosen IEEE 802.11-Standards.

Standards

Frequenzen

Übertragung Bitraten

Verwendung

802.11

S-Band-Industrie, wissenschaftliche und medizinische (ISM) Frequenzbereich (2.4 auf 2,5 GHz)

2 Megabit pro Sekunde (Mbit/s)

Veraltet. Nicht häufig verwendet wird.

802. 11 b

S-Band-ISM

11 Mbit/s

Häufig verwendet.

802. 11a

C-Band-ISM (5,725 zu 5.875 GHz)

54 Mbit/s

Nicht häufig verwendet, die Kosten und begrenzten Bereich.

802.11g

S-Band-ISM

54 Mbit/s

Häufig verwendet. 802. 11 g-Geräte sind kompatibel mit 802. 11 b Geräte.

802. 11n (IEEE-Standards Entwicklung ausgeführt werden)

C-Band- und S-Band-ISM

250 MB/s

Geräte basierend auf vor Ratifizierung IEEE 802. 11n-standard wurde im August 2007 verfügbar. Viele 802. 11n Geräte sind kompatibel mit 802. 11a, b und g-Geräte.

Drahtlosen Netzwerk Sicherheitsmethoden ist eine informelle Gruppierung drahtlose Authentifizierung (auch bezeichnet als wireless-Sicherheit) und Verschlüsselung für drahtlose Sicherheit. Drahtlose Authentifizierung und Verschlüsselung werden paarweise um zu verhindern, dass nicht autorisierte Benutzer Zugriff auf das drahtlose Netzwerk, und schützen drahtlose Übertragungen verwendet werden. Beim Konfigurieren der Einstellungen für drahtlose Sicherheit in der drahtlosen Netzwerk Richtlinien der Gruppenrichtlinie werden mehrere Kombinationen aus. Allerdings nur die WPA2-Enterprise, WPA-Enterprise und offen mit 802.1 X Authentifizierungsstandards für 802.1 X authentifizierte drahtlose Bereitstellungen unterstützt werden. Sie wählen WPA2-Enterprise, WPA-Enterprise oder mit 802.1 X öffnen, um die EAP-Einstellungen in der Drahtlosnetzwerkrichtlinien zugreifen, die für 802.1X-authentifizierte drahtlose Bereitstellungen erforderlich sind.

Es wird empfohlen, dass die Verwendung von zwei drahtlosen Authentifizierungsstandards für 802.1 X drahtlosbereitstellungen authentifiziert:

Wi-Fi Protected Access – Enterprise (WPA-Enterprise) WPA ist eine vorläufige Standard die WiFi Alliance zur Einhaltung der drahtlosen Sicherheit in 802.11-Protokoll entwickelt. Die WPA-Protokoll wurde als Antwort auf eine Anzahl von schweren Fehler entwickelt, die im vorherigen Protokoll Wired Equivalent Privacy (WEP) ermittelt wurden.

WPA-Enterprise bietet eine verbesserte Sicherheit über WEP durch:

  1. Erfordern von Authentifizierung, die 802.1X-Authentifizierung X EAP-Framework als Teil der Infrastruktur verwendet, die zentralisierte gegenseitige Authentifizierung und Verwaltung von dynamischen Schlüssel gewährleistet

  2. Verbesserung der Integrität überprüfen Wert (ICV) mit einer Nachricht Integrität überprüfen (MIC), zum Schutz der Header und Nutzlast

  3. Implementieren einen Framezähler, um Replay-Angriffe zu verhindern.

Wi-Fi Protected Access 2 – Enterprise (WPA2-Enterprise) wie die WPA-Enterprise standard, WPA2-Enterprise verwendet 802.1 X und EAP-Framework. WPA2-Enterprise bietet stärkeren Datenschutz für mehrere Benutzer und große, verwaltete Netzwerke. WPA2-Enterprise ist eine stabile Protokoll, das entwickelt wurde, um nicht autorisierten Netzwerkzugriff zu verhindern, indem Netzwerkbenutzer über einen Authentifizierungsserver überprüft.

Drahtlose sicherheitsverschlüsselung wird verwendet, um die drahtlosen Kommunikation zu schützen, die zwischen dem drahtlosen Client und dem drahtlosen Zugriffspunkt gesendet werden. Drahtlose sicherheitsverschlüsselung wird in Verbindung mit der ausgewählten Netzwerkauthentifizierungsmethode für Sicherheit verwendet. Standardmäßig werden von Computern unter Windows 8, Windows 7 und Windows Vista zwei Verschlüsselungsstandards unterstützen:

  1. Temporal Key Integrity Protocol (TKIP) ist eine ältere Verschlüsselungsprotokoll, das ursprünglich bieten eine sicherere drahtlose Verschlüsselung als von Natur aus unsicher Wired Equivalent Privacy (WEP)-Protokoll bereitgestellt wurde. TKIP wurde entwickelt, durch die IEEE 802. 11i Gruppe sowie die Wi-Fi Alliance WEP ersetzen, ohne die Ersetzung von legacy-Hardware. TKIP ist eine Suite von Algorithmen, die die WEP-Nutzlast kapselt, und ermöglicht es Benutzern von WiFi-Legacygeräte auf TKIP aktualisieren, ohne den Austausch von Hardware. Wie bei WEP verwendet TKIP der RC4-Verschlüsselungsalgorithmus Stream als Grundlage. Das neue Protokoll verschlüsselt jedoch jedes mit einem eindeutigen Schlüssel und die Schlüssel sind viel sicherer als die von WEP. Obwohl TKIP eignet sich für die Aktualisierung von Sicherheit auf älteren Geräten, die entwickelt wurden, um nur WEP verwenden, behandelt alle Sicherheitsprobleme in drahtlosen LANs nicht, und in den meisten Fällen ist nicht so aussagekräftig vertrauliche gesetzlichen oder Unternehmensdaten-Übertragung zu schützen.

  2. Advanced Encryption Standard (AES) ist die bevorzugte Verschlüsselungsprotokoll für die Verschlüsselung von Daten von Unternehmen und Behörden. AES bietet eine höhere Sicherheit bei der drahtlosen Übertragung als TKIP oder WEP. Im Gegensatz zu TKIP und WEP erfordert AES drahtlose Hardware, die den AES-Standard unterstützt. AES ist eine symmetrische Verschlüsselung standard, die drei Blockverschlüsselungsalgorithmen, AES-128, AES 192 und AES-256 verwendet.

System_CAPS_importantWichtig

Wired Equivalent Privacy (WEP) war der ursprüngliche wireless-Sicherheitsstandard, der zum Verschlüsseln des Netzwerkverkehrs verwendet wurde. Sie sollten nicht WEP in Ihrem Netzwerk bereitstellen, bekannte Sicherheitsrisiken bei dieser veralteten Sicherheit vorhanden sind.

AES-Verschlüsselung erhöhen, indem Sie aktivieren die Federal Information Processing Standard (FIPS) 140-2-Standard. FIPS 140-2 ist ein US Government Computer Security Standard, mit der Zertifizierung von kryptografischer Modules und angeben, dass drahtlose Übertragungen der FIPS 140-2-Standard für die Kryptografie entsprechen. Die Option zum Aktivieren von FIPS 140-2 ist nur verfügbar, wenn WPA2-Enterprise mit AES oder WPA2-Personal mit AES ausgewählt werden. Wählen Sie WPA2-Enterprise mit AES FIPS 140-2 802.1 X authentifizierte drahtlose Bereitstellungen bereitstellen.

Die folgende Tabelle zeigt die Sicherheitsstandards (wie in der Drahtlosnetzwerkrichtlinien-Erweiterung der Gruppenrichtlinie aufgeführt) und ihre entsprechenden Authentifizierung und Verschlüsselung, die 802.1 X authentifizierte Bereitstellungen verwendet werden können.

Authentifizierungstyp für drahtlose Netzwerke:

Drahtlose Verschlüsselung:

Größe der Verschlüsselung-Bit-Schlüssel:

Kommentare:

WPA2-Enterprise

Advanced Encryption Standard (AES)

128

Höchste 802.1 X-basierten drahtlosen Netzwerkauthentifizierung mit sehr starke AES-Verschlüsselung.

WPA2-Enterprise

Temporal Key Integrity Protocol (TKIP)

128

Höchste 802.1 X-basierten drahtlosen Netzwerkauthentifizierung mit weniger TKIP-Verschlüsselung.

WPA-Enterprise

Advanced Encryption Standard (AES)

128

Mid-Stärke 802.1 X basierende Drahtlosnetzwerkauthentifizierung mit sehr starke AES-Verschlüsselung.

WPA-Enterprise

Temporal Key Integrity Protocol (TKIP)

128

Mid-Stärke 802.1 X basierende Drahtlosnetzwerkauthentifizierung mit weniger TKIP-Verschlüsselung.

IEEE 802.1X

Öffnen Sie den

Nicht zutreffend

Für produktionsumgebungen empfohlen nicht.

IEEE 802.11

WEP

40 oder 104

Verwendung in produktionsumgebungen wird dringend abgeraten, aufgrund der schwache Wi-Fi-Authentifizierung und Verschlüsselung.

AD DS bietet eine verteilte Datenbank, die gespeichert und verwaltet Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus AD-aktivierte Anwendung. Administratoren können AD DS zum Organisieren von Elementen eines Netzwerks, z. B. Benutzer, Computer und anderen Geräten, die in einer hierarchischen Containerstruktur verwenden. Hierarchische Struktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten (OUs) in jeder Domäne. Ein Server mit AD DS wird aufgerufen, ein Domänencontroller.

AD DS enthält die Benutzerkonten, Computerkonten und Eigenschaften, die zum Authentifizieren von Benutzeranmeldeinformationen und Autorisierung für drahtlose Verbindungen Auswerten von IEEE 802.1 X und PEAP-MS-CHAP v2 erforderlich sind.

Active Directory-Benutzer und-Computer ist eine Komponente von AD DS, die Konten enthält, die physische Entitäten, z. B. einen Computer, eine Person oder eine Sicherheitsgruppe darstellen. Ein Sicherheitsgruppe ist eine Sammlung von Benutzer- oder Computerkonten, die Administratoren als einzelne Einheit verwaltet werden können. Benutzer- und Computerkonten, die zu einer bestimmten Gruppe gehören, werden als bezeichnet Gruppenmitglieder.

Die Gruppenrichtlinien-Verwaltungskonsole ist ein Windows Server 2012 -Funktion, die verzeichnisbasierte und Verwaltung von Benutzer- und Einstellungen, einschließlich Informationen zu Sicherheit und Benutzer ermöglicht. Sie können Gruppenrichtlinien verwenden, um Konfigurationen für Gruppen von Benutzern und Computern zu definieren. Mit der Gruppenrichtlinie können Sie Einstellungen für Registrierungseinträge, Sicherheit, Softwareinstallation, Skripts, ordnerumleitung, Remoteinstallationsdienste und Internet Explorer-Wartung angeben. Die Gruppenrichtlinien-Einstellungen, die Sie erstellen, sind in ein Gruppenrichtlinienobjekt (GPO) enthalten. Durch Zuordnen eines Gruppenrichtlinienobjekts zu ausgewählten Active Directory-Systemcontainer – Sites, Domänen und Organisationseinheiten – Sie können die Einstellungen des Gruppenrichtlinienobjekts auf die Benutzer und Computer in diesen Active Directory-Containern anwenden. Um Gruppenrichtlinienobjekte unternehmensweit zu verwalten, können Sie die Group Policy Management Editor Microsoft Management Console (MMC).

Dieses Handbuch enthält Informationen zum Angeben von Einstellungen in der Erweiterung "Drahtlosnetzwerkrichtlinien (IEEE 802.11)" der Gruppenrichtlinien-Verwaltungskonsole. Der Drahtlosnetzwerkrichtlinien (IEEE 802.11) konfigurieren Sie drahtlose Clientcomputer Mitglied der Domäne mit Konnektivität und drahtlose Einstellungen für 802.1 X authentifiziertem.

Dieses Bereitstellungsszenario sind Serverzertifikate für alle NPS-Server, die 802.1X-Authentifizierung erforderlich.

Ein Zertifikat ist ein digitales Dokument, das häufig für die Authentifizierung und zum Sichern von Informationen in offenen Netzwerken verwendet wird. Ein Zertifikat verbindet einen öffentlichen Schlüssel sicher mit der Entität, die den entsprechenden privaten Schlüssel besitzt. Zertifikate werden von der ausstellenden Zertifizierungsstelle digital signiert, und sie können für einen Benutzer, einen Computer oder einen Dienst ausgestellt werden.

Eine Zertifizierungsstelle (CA) ist eine Entität, die für das Einrichten und bestätigen der Authentizität öffentlicher Schlüssel von Antragstellern (üblicherweise Benutzern oder Computern) oder anderen Zertifizierungsstellen verantwortlich ist. Aktivitäten einer Zertifizierungsstelle umfassen das Binden der öffentlichen Schlüssel an distinguished Names über signierte Zertifikate, Verwalten von Seriennummern von Zertifikaten und Sperren von Zertifikaten.

Active Directory-Zertifikatdienste (AD CS) ist eine Windows Server 2012-Serverrolle, die Zertifikate als Netzwerk-Zertifizierungsstelle ausstellt. Ein AD CS-Infrastruktur, auch bekannt als Zertifikat ein public Key-Infrastruktur (PKI), anpassbare Dienste zum Ausstellen und Verwalten von Zertifikaten für die Organisation bereit.

Extensible Authentication Protocol (EAP) erweitert Point-Protokoll (PPP), können Sie zusätzliche Authentifizierungsmethoden, die Anmeldeinformationen und Informationen mit zufälliger Länge ausgetauscht. Mit EAP-Authentifizierung müssen der Netzwerkzugriffsclient und der Authentifikator (z. B. der NPS-Server) den gleichen EAP-Typ für die erfolgreiche Authentifizierung erfolgen unterstützen.Windows Server 2012 enthält eine EAP-Infrastruktur, unterstützt zwei EAP-Typen und die Möglichkeit, EAP-Nachrichten an den NPS-Server zu übergeben. Unter Verwendung von EAP können Sie zusätzliche Authentifizierungsschemen, bekannt als unterstützen EAP-Typen. Die EAP-Typen, die von unterstützten Windows Server 2012 sind:

  • Transport Layer Security (TLS)

  • Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAP v2)

System_CAPS_security Sicherheit Hinweis

Sichere EAP-Typen (z. B. diejenigen, die auf Zertifikaten basieren) bieten einen besseren Schutz gegen Brute-Force-Angriffen, Wörterbuchangriffen und Angriffsversuche als kennwortbasierte Authentifizierungsprotokolle (wie CHAP oder MS-CHAP, Version 1).

Geschütztes EAP (PEAP) verwendet TLS, um einen verschlüsselten Kanal zwischen einem authentifizierenden PEAP-Client, z. B. einem drahtlosen Computer, und einem PEAP-Authentifizierer, z. B. einem NPS-Server oder andere RADIUS-Server zu erstellen. PEAP gibt keine Authentifizierungsmethode an, aber es bietet zusätzliche Sicherheit für andere EAP-Authentifizierungsprotokolle (z. B. EAP-MS-CHAP v2), die über die TLS verschlüsselten Kanal von PEAP bearbeitet werden können. PEAP wird als Authentifizierungsmethode für Zugriffsclients verwendet, die mit Ihrem Unternehmensnetzwerk über die folgenden Typen von Netzwerkzugriffsservern (NAS) verbinden:

  • 802.1X-fähige Drahtloszugriffspunkte

  • 802.1X-fähige Authentifizierungsswitches

  • Computer mit Windows Server 2012 und der Routing- und RAS-Dienst (RRAS), die als virtuelles privates Netzwerk (VPN)-Server konfiguriert sind

  • Computer mit Windows Server 2012 und Terminaldienste-Gatewayserver

PEAP-MS-CHAP v2 ist einfacher, als EAP-TLS bereitstellen, da die Benutzerauthentifizierung mit Kennwörtern basierende Anmeldeinformationen (Benutzername und Kennwort) anstelle von Zertifikaten oder Smartcards ausgeführt wird. Nur NPS oder andere RADIUS-Server müssen über ein Zertifikat verfügen. NPS-Serverzertifikats wird von der NPS-Server während der Authentifizierung verwendet, seine Identität gegenüber PEAP-Clients nach.

Dieses Handbuch enthält Anweisungen für die drahtlosen Clients und die NPS-Server mithilfe von PEAP-MS-CHAP v2 für 802.1 X authentifizierten Zugriff konfigurieren.

Netzwerkrichtlinienserver (Network Policy Server, NPS) befindet sich auf Windows Server 2012, und ermöglicht Ihnen, zentral konfigurieren und Verwalten von Netzwerkrichtlinien mithilfe der folgenden drei Komponenten: Remote Authentication Dial-in User Service (RADIUS)-Server, RADIUS-Proxy und Netzwerkrichtlinienserver (Network Access Protection, NAP). NPS ist ein optionaler Dienst Hauptnetzwerk, aber es ist erforderlich, drahtlosen Zugriff mit 802.1X-Authentifizierung bereitstellen.

Wenn Sie die 802. 1 X-drahtlose Zugriffspunkte als RADIUS-Clients in NPS konfigurieren, verarbeitet NPS verbindungsanforderungen von APs. Während der Verarbeitung der Verbindung-Anforderung führt NPS die Authentifizierung und Autorisierung. Die Authentifizierung bestimmt, ob der Client gültige Anmeldeinformationen verfügt. Wenn der NPS den anfordernden Client erfolgreich authentifiziert wurde, bestimmt NPS, ob der Client autorisiert, die angeforderte Verbindung herzustellen, und entweder zulässt oder verweigert die Verbindung. Dies wird wie folgt im Detail erläutert:

Authentifizierung

Erfolgreiche gegenseitige PEAP-MS-CHAP v2-Authentifizierung besteht aus zwei Hauptkomponenten:

  1. Der Client authentifiziert den NPS-Server. In dieser Phase der gegenseitigen Authentifizierung sendet der NPS-Server das Serverzertifikat auf dem Clientcomputer, sodass der Client den NPS-Server die Identität mit dem Zertifikat überprüfen kann. Um den NPS-Server erfolgreich zu authentifizieren, muss der Client-Computer der Zertifizierungsstelle vertrauen, die das NPS-Serverzertifikat ausgestellt hat. Der Client vertraut diese Zertifizierungsstelle, wenn das CA-Zertifikat im Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen auf dem Clientcomputer vorhanden ist.

    Wenn Sie eine eigene private Zertifizierungsstelle bereitstellen, wird das CA-Zertifikat automatisch im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen für den aktuellen Benutzer und für den lokalen Computer installiert, wenn die Gruppenrichtlinie auf dem Client Domänenmitgliedscomputer aktualisiert wird. Wenn Sie Serverzertifikate von einer öffentlichen Zertifizierungsstelle bereitstellen möchten, stellen Sie sicher, dass das öffentliche Zertifikat der Zertifizierungsstelle bereits in den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen ist.

  2. Der NPS-Server authentifiziert den Benutzer. Nachdem der Client den NPS-Server erfolgreich authentifiziert wurde, sendet der Client die kennwortbasierte Anmeldeinformationen an den Netzwerkrichtlinienserver, der Anmeldeinformationen des Benutzers anhand der Benutzerkontendatenbank in Active Directory-Domäne-Services (AD DS) überprüft.

Wenn die Anmeldeinformationen gültig sind, und Authentifizierung erfolgreich ist, beginnt der NPS-Server die Autorisierungsphase der Verarbeitung der Anfrage. Wenn die Anmeldeinformationen gültig sind, und Authentifizierung erfolgreich ist, beginnt der NPS-Server die Autorisierungsphase der Verarbeitung der Anfrage. Wenn die Anmeldeinformationen ungültig sind und schlägt die Authentifizierung fehl, NPS sendet eine Nachricht Zugriff ablehnen, und die verbindungsanforderung wird verweigert.

Autorisierung

Der Server mit NPS führt die Autorisierung wie folgt:

  1. NPS überprüft die Einschränkungen für den Benutzer oder Computer Konto Einwähleigenschaften in AD DS.

  2. NPS verarbeitet die Netzwerkrichtlinien, um eine Richtlinie zu suchen, die Verbindungsanfrage übereinstimmt. Wenn eine Abgleichsrichtlinie gefunden wird, NPS erteilt oder verweigert die Verbindung je nach Konfiguration der Richtlinie.

Wenn Authentifizierung und Autorisierung erfolgreich sind, und die entsprechenden Netzwerkrichtlinie Zugriff gewährt, Netzwerkrichtlinienserver gewährt Zugriff auf das Netzwerk, und Benutzer und Computer können auf Netzwerkressourcen für die sie Berechtigungen haben verbinden.

System_CAPS_noteHinweis

Um drahtlosen Zugriff bereitzustellen, müssen Sie die NPS-Richtlinien konfigurieren. Dieses Handbuch enthält Anweisungen zum Verwenden der Konfigurieren 802.1 X in NPS um NPS-Richtlinien für drahtlosen Zugriff 802.1X-authentifizierten zu erstellen.

802.1 802.1X-authentifizierten Drahtlosnetzwerken müssen Drahtlosclients Sicherheitsanmeldeinformationen, die von einem RADIUS-Server authentifiziert werden, um mit dem Netzwerk verbinden bereitstellen. Für Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol Version 2 [MS-CHAP v2], die Anmeldeinformationen sind Benutzername und Kennwort. Für EAP-Transport Layer Security [TLS] werden die Anmeldeinformationen, Zertifikate, z. B. Client-Benutzer und Computerzertifikate oder Smartcards.

Bei der Verbindung eines Netzwerks, die zum Durchführen von PEAP-MS-CHAP v2 oder EAP-TLS-Authentifizierung konfiguriert ist, wird standardmäßig überprüfen drahtlose Windows-Clients müssen auch ein Computerzertifikat, das vom RADIUS-Server gesendet wird. Das Zertifikat, das vom RADIUS-Server, für jede Sitzung gesendet wird wird häufig als ein Serverzertifikat bezeichnet.

Wie bereits erwähnt, RADIUS-Server ausgestellt werden können-Serverzertifikats in eine von zwei Arten: von einer kommerziellen Zertifizierungsstelle (z. B. VeriSign, Inc.,) oder von einer privaten Zertifizierungsstelle, die Sie in Ihrem Netzwerk bereitstellen. Wenn der RADIUS-Server ein Computerzertifikat gesendet werden, die von einer kommerziellen Zertifizierungsstelle ausgestellt wurde, die bereits ein Stammzertifikat im vertrauenswürdigen Stammzertifizierungsstellen-Zertifikatspeicher des Clients installiert, kann dann der drahtlose Client Überprüfen der RADIUS-Server-Computerzertifikats, unabhängig davon, ob der drahtlose Client die Active Directory-Domäne beigetreten ist. In diesem Fall kann der drahtlose Client eine Verbindung mit dem drahtlosen Netzwerk herstellen, und fügen Sie den Computer mit der Domäne.

System_CAPS_noteHinweis

Das Verhalten, dass der Client das Serverzertifikat muss deaktiviert werden, aber deaktiviert die Überprüfung des Serverzertifikats in produktionsumgebungen nicht empfohlen wird.

Bootstrap-Drahtlosprofil sind temporäre Profile, die in einer Weise drahtlosen Client Benutzer mit der 802. 1 802.1X-authentifizierten drahtloses Netzwerk hergestellt werden soll, bevor der Computer angehört, mit der Domäne bzw. bevor der Benutzer erfolgreich mit der Domäne angemeldet hat mit einem bestimmten drahtlosen Computer zum ersten Mal konfiguriert sind. In diesem Abschnitt werden zusammengefasst, welches Problem aufgetreten ist, bei dem Versuch, einen Drahtloscomputer mit der Domäne oder ein Benutzer einen drahtlose Computer einer Domäne zum ersten Mal verwenden, melden Sie sich an der Domäne beitreten.

Für Bereitstellungen, in dem der Benutzer oder IT-Administrator einen Computer physisch mit dem Ethernet-Netzwerk Beitritt zur Domäne verbinden kann nicht aus, und der Computer verfügt nicht über die erforderlichen ausstellende-CA-Zertifikat installiert Stamm seine Vertrauenswürdige Stammzertifizierungsstellen Zertifikatspeicher befinden, konfigurieren Sie drahtlose Clients unter Windows 8, Windows 7 und Windows Vista aufgerufen, mit einem Profil temporäre drahtlose Verbindung eine bootstrap-Profil, für die Verbindung mit dem drahtlosen Netzwerk. Ein bootstrap-Profil beseitigt die Notwendigkeit, das Computerzertifikat des RADIUS-Servers überprüfen. Diese temporäre Konfiguration ermöglicht dem drahtlosen Beitritt zur Domäne, zu diesem Zeitpunkt die Drahtlosnetzwerkrichtlinien (IEEE 802.11) angewendet werden und das entsprechende Zertifikat einer Stammzertifizierungsstelle klicken Sie dann auf dem Computer installiert ist. Wenn eine Gruppenrichtlinie angewendet wird, werden ein oder mehrere drahtlose Verbindung-Profile, die die Anforderung für die gegenseitige Authentifizierung erzwingen auf dem Computer angewendet. der bootstrap-Drahtlosprofil wird nicht mehr entfernt werden. Nach dem Hinzufügen des Computers zur Domäne und den Computer neu starten, kann der Benutzer eine drahtlose Verbindung verwenden, an der Domäne anmelden.

Die folgende Abbildung zeigt die Komponenten, die zur Bereitstellung von 802.1 X erforderlich sind 802.1X-Drahtloszugriff mit PEAP-MS-CHAP v2-Authentifizierung.

Windows Server WiFi Topology

Die folgenden Komponenten sind für die Bereitstellung des drahtlosen Zugriffs erforderlich:

Nachdem die erforderliche Infrastruktur Netzwerkdiensten drahtlose lokalen Netzwerk vorhanden sind, können Sie den Entwurfsprozess für den Speicherort der drahtlosen Zugriffspunkte beginnen. Der drahtlose AP Entwurf Bereitstellungsprozess umfasst die folgenden Schritte:

  • Identifizieren Sie die Bereiche der Abdeckung für Mobiltelefone. Beim Identifizieren der Bereiche der Abdeckung, müssen Sie herausfinden, ob Sie drahtlose Dienst außerhalb des Gebäudes bereitstellen möchten, und wenn dies der Fall ist, bestimmen Sie genau, wo diese externen Bereiche sind.

  • Bestimmen, wie viele drahtlose Zugriffspunkte eingesetzt, um ausreichende Sicherheit zu gewährleisten.

  • Bestimmen des Installationsorts für die drahtlosen Zugriffspunkte platziert.

  • Wählen Sie die Häufigkeiten Kanal für drahtlose Zugriffspunkte.

Benutzer und Computer

Verwenden Sie das Active Directory-Benutzer und Computer-Snap-in erstellen und Verwalten von Benutzerkonten und eine Gruppe für drahtlose Sicherheit für jedes Mitglied der Domäne erstellen, der Sie drahtlosen Zugriff gewähren möchten.

Richtlinien für Drahtlosnetzwerke (IEEE 802.11)

Sie können die Erweiterung "Drahtlosnetzwerkrichtlinien (IEEE 802.11)" der Gruppenrichtlinien-Verwaltungskonsole zum Konfigurieren von Richtlinien für Computer, die ausgeführt werden Windows 8, Windows® 7 und Windows Vista®, und Windows XP. Wie auch mit Gruppenrichtlinien-Verwaltungskonsole finden Sie in Windows Server 2012, es gibt zwei separate Drahtlosrichtlinie Knoten in der Windows Server 2012 Drahtlosnetzwerkrichtlinien (IEEE 802.11)-Erweiterung der Gruppenrichtlinie. Im Rahmen dieser Diskussion ist ein Richtlinie für Drahtlosnetzwerke-Knoten eine Auflistung von Gruppenrichtlinien, die auf Computern mit bestimmten Betriebssystemen angewendet werden können. Standardmäßig wireless-die beiden Knoten in der Windows Server 2012 Drahtlosnetzwerkrichtlinien (IEEE 802.11) lauten:

  • Neue XP-Drahtlosnetzwerkrichtlinie

  • Neue Richtlinie für Drahtlosnetzwerke

System_CAPS_tipTipp

Wenn Sie die neue XP-Drahtlosnetzwerkrichtlinie oder der neuen Drahtlosnetzwerkrichtlinie konfigurieren erhalten Sie die Möglichkeit, den Namen und die Beschreibung der Richtlinie ändern. Wenn Sie den Namen der beiden Richtlinien, die ändern ändern werden im Detailbereich des Gruppenrichtlinienverwaltungs-Editor und in der Titelleiste des Dialogfelds Richtlinie Drahtlosnetzwerk wiedergegeben. Unabhängig davon, wie Sie Ihre Richtlinien umbenennen, der neue XP-Drahtlosnetzwerkrichtlinie immer aufgeführt im Gruppenrichtlinienverwaltungs-Editor mit der Typ Anzeigen von XP. Der neuen Drahtlosnetzwerkrichtlinie werden immer mit aufgelistet werden die Typ mit Vista und späteren Versionen.

Die folgende Tabelle beschreibt die von den Betriebssystemen durch jede Richtlinie für Drahtlosnetzwerke konfiguriert werden können.

Richtlinie

Kann auf Computern unter Windows XP angewendet werden,

WindowsServer 2003

Kann auf Computern angewendet werden Windows Vista,

Windows Server 2008

Kann angewendet werden Windows 7

Windows Server 2008 R2,

Windows 8,

Windows Server 2012

Neue XP-Drahtlosnetzwerkrichtlinie

Ja

Ja

Diese Richtlinie konfigurieren nicht aber neue Drahtlosfunktionen in Windows Vista

Ja

Diese Richtlinie konfigurieren nicht aber neue Drahtlosfunktionen in Windows 7, Windows Server 2008 R2, Windows 8, und Windows Server 2012.

Neue Richtlinie für Drahtlosnetzwerke

Nein

Ja

Enthält Einstellungen für alle Drahtlosfunktionen in Windows Vista.

Ja

Enthält Einstellungen für alle Drahtlosfunktionen in Windows Vista, und die Einstellungen für drahtlose Features Windows 7, Windows Server 2008 R2, Windows 8, und Windows Server 2012. Computer mit Windows Vista ignoriert Windows 7-spezifischen Einstellungen.

System_CAPS_noteHinweis

Mobilfunkanbieter auf Computern aktivieren Windows Server 2008 R2 und Windows Server 2012, müssen Sie die WLAN-Dienst aktivieren. Weitere Informationen finden Sie unter Übersicht über den WLAN-Dienst.

Die Windows Vista Drahtlosnetzwerkrichtlinie können Sie konfigurieren, priorisieren und Verwalten mehrerer wireless Profile. Ein drahtloses Profil ist eine Sammlung von Konnektivitäts- und Sicherheitseinstellungen, die für die Verbindung mit einem bestimmten drahtlosen Netzwerk verwendet werden. Beim Gruppenrichtlinien auf Ihren drahtlosen Clients aktualisiert wird, die Profile erstellen Sie in der Windows Vista Drahtlosnetzwerkrichtlinie automatisch hinzugefügt, Ihre drahtlosen Client-Computern mit Windows 7 und Windows Vista für den die Drahtlosnetzwerkrichtlinie gilt.

Wenn Sie drahtlose Clients, die Sie mit mehr als einem drahtlosen Netzwerk herstellen möchten verfügen, können Sie ein drahtloses Profil konfigurieren, das die Konnektivität und Sicherheit Einstellungen für jedes Netzwerk enthält. Angenommen, Ihr Unternehmen verfügt über ein drahtloses Netzwerk für die wichtigsten Unternehmenszentrale mit Service Set Identifier (SSID) WlanCorp. Die Zweigstelle hat auch ein drahtloses Netzwerk, zu dem Sie auch eine Verbindung herstellen möchten. Die Zweigstelle hat die SSID als WlanBranch konfiguriert. In diesem Szenario können Sie ein Profil für jedes Netzwerk konfigurieren und Laptops, die die Unternehmenszentrale und Zweigstelle verwendet werden werden eine Verbindung zu Drahtlosnetzwerken herstellen, werden an beiden Speicherorten werden.

Alternativ wird davon ausgegangen Sie, dass Ihr Netzwerk eine Mischung von drahtlosen Computern verfügt, die unterschiedliche Sicherheitsstandards unterstützen. Vielleicht haben einige ältere Computer drahtlose Adapter, die nur WPA-Enterprise verwenden, während die stärkeren WPA2-Enterprise-Standard von neuere Geräten verwendet werden können. Sie können zwei verschiedene Profile erstellen, die dieselbe SSID und nahezu identischen Einstellungen für Konnektivität und Sicherheit verwenden. In einem Profil, Sie können jedoch Festlegen der Drahtlosauthentifizierung für WPA2-Enterprise mit AES und dem anderen Profil können Sie WPA-Enterprise mit TKIP angeben. Dies wird auch als Bereitstellung im gemischten Modus bezeichnet. Die Möglichkeit, im gemischten Modus Bereitstellungen mit einem gemeinsamen SSID zu konfigurieren, ist die Erweiterungen der Richtlinien für Drahtlosnetzwerke (IEEE 802.11) für Windows Vista.

Netzwerkrichtlinienserver (Network Policy Server, NPS) können Sie erstellen und Durchsetzen von Netzwerkzugriffsrichtlinien für Clientintegrität Verbindungsauthentifizierung und Autorisierung der Verbindung anzufordern. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte als RADIUS-Clients in NPS. Außerdem konfigurieren Sie die Netzwerkrichtlinien, die NPS verwendet, um auf Clients authentifizieren und Autorisieren von eigenen verbindungsanforderungen.

In diesem Leitfaden drahtlosen Client Computern verwendet werden, die mit drahtlosen IEEE 802.11-Netzwerkadaptern ausgestattet sind und ausgeführt werden i. d. r. Windows 8, Windows 7, Windows Vista oder Windows XP. Im Rahmen dieses Bereitstellungsszenario jedoch drahtlose Clientcomputer kann auch Computer mit Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2003.

Standardmäßig ist die Funktionalität für drahtlose 802.11 auf Computern mit deaktiviert Windows Server 2012 und Windows Server 2008 R2. 802.11 Drahtlos auf Computern unter Verwendung Windows Server 2012 und Windows Server 2008 R2 müssen Sie zuerst installieren und aktivieren Sie die WLAN-Dienst auf dem Server. Sie können das Feature für die WLAN-Dienst mithilfe des Assistenten zum Hinzufügen von Features im Server-Manager installieren.

Die Konfiguration und Bereitstellung von drahtlosen Zugriff erfolgt in Phasen:

Phase 1 – AP-Bereitstellung

Planen Sie, Bereitstellen Sie und konfigurieren Sie die Zugriffspunkte für Verbindungen mit drahtlosen Clients und für die Verwendung mit NPS. Je nach Ihrer Präferenz und Netzwerk-Abhängigkeiten Sie können entweder bereits Einstellungen für Ihre drahtlosen Zugriffspunkte vor der Installation in Ihrem Netzwerk konfigurieren, oder Sie können sie Remote konfigurieren, nach der Installation.

Schritt 2: Konfiguration von AD DS-Gruppe

Sie müssen einen oder mehrere drahtlose Benutzer Sicherheitsgruppen erstellen. Anschließend müssen Sie jeden Benutzer hinzufügen, für den drahtlosen Zugriff mit dem drahtlosen Netzwerk der entsprechenden drahtlosem Sicherheitsgruppe konfiguriert werden soll.

Phase 3: Konfiguration von Gruppenrichtlinien

Konfigurieren Sie die Richtlinien für Drahtlosnetzwerke (IEEE 802.11)-Erweiterung der Gruppenrichtlinie mithilfe der Group Policy Management Editor Microsoft Management Console (MMC).

Um Domänenmitgliedscomputern mithilfe der Einstellungen in den Richtlinien für Drahtlosnetzwerke zu konfigurieren, müssen Sie eine Gruppenrichtlinie anwenden. Wenn ein Computer zunächst mit der Domäne verknüpft ist wird automatisch der Gruppenrichtlinie angewendet. Wenn eine Gruppenrichtlinie geändert wird, werden die neuen Einstellungen automatisch angewendet:

  • durch die Gruppenrichtlinie in vordefinierten Intervallen

  • Wenn ein Domänenbenutzer abmeldet und dann am Netzwerk zurück

  • durch den Neustart des Clientcomputers und die Anmeldung an der Domäne

Sie können auch durch Ausführen von Aktualisieren der Gruppenrichtlinie erzwingen Gpupdate an der Befehlszeile.

Schritt 4 – NPS-Server-Konfiguration

Verwenden Sie einen Konfigurations-Assistenten auf dem Netzwerkrichtlinienserver drahtlose Zugriffspunkte als RADIUS-Clients hinzufügen und die Netzwerkrichtlinien, die NPS verwendet, bei der Verarbeitung von Verbindungsanfragen zu erstellen. Beim Verwenden des Assistenten, um die Netzwerkrichtlinien zu erstellen, geben Sie PEAP als EAP-Typ und die Benutzer-Sicherheitsgruppe, die in der zweiten Phase erstellt wurde.

Schritt 5: Bereitstellen von drahtlosen clients

Verwenden Sie Clientcomputer für die Verbindung mit dem Netzwerk.

Für Domänenmitgliedercomputer, die an das verdrahtete LAN anmelden können, werden die erforderlichen funkkonfigurationseinstellungen automatisch angewendet, wenn Gruppenrichtlinien aktualisiert werden. Wenn Sie die Einstellung in Drahtlosnetzwerkrichtlinien (IEEE 802.11) automatisch eine Verbindung herstellen, wenn der Computer innerhalb des Übertragungsbereichs des drahtlosen Netzwerks ist aktiviert haben, versucht Ihre drahtlose Computer Domäne automatisch für die Verbindung mit dem drahtlosen LAN. Um eine Verbindung mit dem drahtlosen Netzwerk herstellen zu können, müssen Benutzer nur ihre Namen und Kennwort Anmeldeinformationen des Domänenbenutzers Aufforderung durch Windows angeben.

Bevor Sie drahtlosen Zugriff bereitstellen, müssen Sie Folgendes planen:

  • Installation der drahtlosen Zugriffspunkte (APs) in Ihrem Netzwerk

  • Konfiguration des drahtlosen Clients und Zugriff

Wenn Sie Ihre drahtlose Lösung entwerfen, müssen Sie bestimmen, welche Standards die drahtlosen Zugriffspunkte unterstützen müssen, die Bereiche Mobilfunkanbieter und wo die drahtlosen Zugriffspunkte bereitgestellt werden soll. Darüber hinaus müssen Sie planen ein Schema der IP-Adresse für Ihren drahtlosen Zugriffspunkts und drahtlosen Clients. Finden Sie im Abschnitt sollten Sie die Konfiguration von drahtlosen Zugriffspunkt auf dem Netzwerkrichtlinienserver unter Weitere Informationen.

Für die Zwecke der Konsistenz und einfache Bereitstellung und Verwaltung von AP empfiehlt es sich, dass Sie drahtlose Zugriffspunkte derselben Marke und Modell bereitstellen.

Die drahtlose Zugriffspunkte, die Sie bereitstellen, müssen die folgenden Funktionen:

  • IEEE 802.1X

  • RADIUS-Authentifizierung

  • Drahtlose Authentifizierung und Verschlüsselung. Aufgeführt in der Reihenfolge der größten bis am wenigsten bevorzugt:

    1. WPA2-Enterprise mit AES

    2. WPA2-Enterprise mit TKIP

    3. WPA-Enterprise mit AES

    4. WPA-Enterprise mit TKIP

System_CAPS_noteHinweis

Verwenden Sie zum Bereitstellen von WPA2 Drahtlosnetzwerkadaptern und Drahtloszugriffspunkten, die auch WPA2 unterstützen. Verwenden Sie andernfalls die WPA-Enterprise.

Darüber hinaus müssen die drahtlosen Zugriffspunkte um verstärkte Sicherheit für das Netzwerk bereitzustellen, die folgenden Optionen unterstützen:

  • DHCP-Filterung. Der drahtlose Zugriffspunkt muss filtern, IP-Ports, um die Übertragung von DHCP-Broadcastmeldungen in diesen Fällen zu vermeiden, in dem der Client einen DHCP-Server ist. Der Drahtloszugriffspunkt blockiert, den Client IP-Pakete von UDP-Port 68 an das Netzwerk zu senden.

  • DNS-Filterung. Der drahtlose Zugriffspunkt muss auf IP-Ports, um zu verhindern, dass einen Client als DNS-Server durchführen filtern. Der drahtlose Zugriffspunkt muss den Client blockieren, dass IP-Pakete von TCP- oder UDP-port 53 an das Netzwerk senden.

  • Clientisolation Wenn Ihrem drahtlosen Zugriffspunkt Client Isolation Funktionen bereitstellt, aktiviert sein, mögliche Protokoll ARP (Address Resolution) spoofing, Angriffe zu verhindern.

Verwenden Sie Baupläne der einzelnen Stockwerke für jedes Gebäude, um die Bereiche zu identifizieren, wo Sie Funkverbindung bereitstellen möchten. Identifizieren Sie z. B. die entsprechende Büros, Konferenzen Räume, Lobbys, Cafeterias oder Courtyards. Geben Sie auf die Zeichnungen an alle Geräte, die sich störend Signale des drahtlosen Netzwerks, z. B. medizinische Geräte, drahtlose Videokameras, kabellose Telefone, die in der 2.4 bis 2,5 GHz Industrie, wissenschaftliche und medizinische (ISM) Bereich verwendet werden und die Bluetooth-Geräten. Markieren Sie in der Zeichnung Aspekte des Gebäudes, die drahtlose Signale beeinträchtigen könnten. -Metal-Objekte, die zur Erstellung eines Gebäudes verwendet, können das Funksignal auswirken. Beispielsweise können die folgenden allgemeinen Objekte Verbreitung des Signals beeinträchtigen: Aufzüge, Heizung und Klimaanlagen Kanäle und konkrete Unterstützung Girders.

Finden Sie in der AP-Hersteller Informationen zu Quellen, die drahtlosen AP Radiofrequenz Dämpfung verursachen können. Die meisten APs stellen testen Software, mit denen Sie überprüfen für Signalstärke Fehlerrate und zum Datendurchsatz.

Suchen Sie auf der Baupläne genug zusammen schließen Ihre drahtlosen Zugriffspunkte, um ausreichend Funkverbindung jedoch weit auseinander zu gewährleisten, dass sie einander nicht beeinträchtigen. Die erforderliche Entfernung APs hängt vom Typ des Zugriffspunkts und AP-Antenne Aspekte des Gebäudes, die blockieren wireless-Signale als auch von anderen Quellen der Störung. Markieren Sie in der Regel drahtlose APs-Standorte auf, sodass jeder drahtlose Zugriffspunkt nicht mehr als 300 Feet über alle benachbarten drahtlosen Zugriffspunkt ist. Finden Sie unter der drahtlose AP Dokumentation des Herstellers für AP-Spezifikationen und Richtlinien für die Platzierung.

Installieren Sie drahtlose Zugriffspunkte vorübergehend an den Speicherorten auf Ihrem Baupläne angegeben. Klicken Sie dann mit einem Laptop, ausgestattet mit einer 802.11-Drahtlosadapter und Site Survey Software, die häufig angegeben wird mit drahtlosen Adaptern bestimmen die Signalstärke innerhalb jedes Reichweite. Abdeckung Bereiche, in denen Signalstärke niedrig ist, positionieren Sie den Zugriffspunkt Signalstärke für den abgedeckten Bereich verbessern, installieren zusätzliche drahtlose Zugriffspunkte bieten die erforderliche Abdeckung, verschieben oder Entfernen von Datenquellen Signal Störungen.

Aktualisieren Sie Ihre Baupläne, um die endgültige Position alle Drahtloszugriffspunkte anzugeben. Eine genaue AP Platzierung Zuordnung müssen hilft später während der Problembehandlung Vorgänge oder aktualisieren oder Ersetzen Sie APs werden soll.

NPS kann die drahtlosen Zugriffspunkte einzeln oder in Gruppen zu konfigurieren. Wenn Folgendes zutrifft, können Sie die drahtlosen Zugriffspunkte, die Sie bereitstellen, in Gruppen konfigurieren:

  1. Wenn die Ausführung von NPS-Server auf Computern mit Windows Server 2012 Enterprise oder Windows Server 2012 Datacenter

  2. Wenn Sie drahtlose Zugriffspunkte innerhalb des gleichen IP-Adresse bereitgestellt haben

  3. Gemeinsamer geheimer Schlüssel für und die drahtlosen Zugriffspunkten mit dem gleichen konfiguriert sind

Konfigurieren die drahtlosen Zugriffspunkte in Gruppen von NPS der Vorteil ist, dass es auf den Verwaltungsaufwand reduziert erheblich. die ist sehr nützlich, wenn Sie eine große Anzahl von drahtlosen Zugriffspunkten bereitgestellt haben. Wenn Sie die NPS-Server auf Computern mit entweder nicht bereitgestellt haben Windows Server 2012 Enterprise oder Windows Server 2012 Datacenter, und Sie müssen jeden drahtlosen Zugriffspunkt einzeln konfigurieren auf dem Netzwerkrichtlinienserver.

In einem 802. 1 X-Infrastruktur sind drahtlose Zugriffspunkte als RADIUS-Clients, RADIUS-Server konfiguriert. Wenn Schnelle PEAP-Wiederherstellung bereitgestellt wird, ein drahtloser Client, der zwischen zwei oder mehreren Zugriffspunkten wechselt ist nicht erforderlich, bei jeder neuen Zuordnung authentifiziert werden. Schnelle PEAP-Wiederherstellung die Antwortzeit für die Authentifizierung zwischen Client und Authentifikator reduziert, da die Authentifizierung wird vom neuen Zugriffspunkt an den Netzwerkrichtlinienserver weitergeleitet wird, die ursprünglich Authentifizierung und Autorisierung für die Clientanforderung für die Verbindung ausgeführt. Da sowohl der PEAP-Client als auch der NPS-Server sowohl zuvor zwischengespeicherte Transport Layer Security (TLS)-Verbindungseigenschaften verwenden (diese Sammlung wird die TLS-Handle bezeichnet), kann der Netzwerkrichtlinienserver, dass der Client für eine erneute Verbindung autorisiert ist.

System_CAPS_importantWichtig

Für die schnelle Verbindung funktioniert, müssen die Zugriffspunkte als RADIUS-Clients des gleichen NPS konfiguriert werden

Falls der ursprüngliche Netzwerkrichtlinienserver nicht verfügbar ist oder wenn der Client zu einem Zugriffspunkt wechselt, der als RADIUS-Client an einen anderen RADIUS-Server konfiguriert ist, muss eine vollständige Authentifizierung zwischen dem Client und dem neuen Authentifikator erfolgen.

Die folgende Liste fasst Elemente häufig konfiguriert auf 802.1 X geeigneten drahtlose Zugriffspunkte:

System_CAPS_noteHinweis

Die Elementnamen nach Marke und Modell variieren können und möglicherweise von den in der folgenden Liste. Finden Sie in der Dokumentation Ihres drahtlosen AP-Konfiguration-spezifische Details.

  • Dienst festgelegt Identifier (SSID). Dies ist der Name des Drahtlosnetzwerks (z. B. ExampleWlan) und den Namen, der für drahtlose Clients angekündigt wird. Um Verwechslungen zu vermeiden, sollte die SSID, das Sie ankündigen möchten nicht die SSID übereinstimmen, die von allen drahtlosen Netzwerken übertragen wird, die im Empfangsbereich des drahtlosen Netzwerks befinden.

    Konfigurieren Sie in Fällen, in denen mehrere drahtlose Zugriffspunkte als Teil der gleichen drahtlosen Netzwerk bereitgestellt werden jeden drahtlosen Zugriffspunkt mit derselben SSID. Konfigurieren Sie in Fällen, in denen mehrere drahtlose Zugriffspunkte als Teil der gleichen drahtlosen Netzwerk bereitgestellt werden jeden drahtlosen Zugriffspunkt mit derselben SSID.

    In Fällen, in denen Sie Drahtlosnetzwerke für bestimmte geschäftsanforderungen bereitstellen möchten, sollten Ihre drahtlosen APS in einem Netzwerk eine andere SSID als die SSID Ihre anderen Netzwerke übertragen. Beispielsweise sollten Sie ein separates drahtloses Netzwerk für Ihre Mitarbeiter und Gäste Sie konnte konfigurieren Ihre drahtlosen Zugriffspunkte für das Business-Netzwerk die SSID festgelegt, dass übertragen ExampleWLAN. Für Ihr Netzwerk Gast anschließend jeder drahtlose Zugriffspunkt SSID übertragen legen GuestWLAN. Auf diese Weise können Ihre Mitarbeiter und Gäste mit dem gewünschten Netzwerk ohne unnötige Verwirrung zu verbinden.

    System_CAPS_tipTipp

    Einige drahtlose Zugriffspunkt haben die Möglichkeit zum Übertragen von mehrere SSIDS um Multi-Bereitstellungen zu berücksichtigen. Drahtlosen Zugriffspunkt, der mehrere SSIDS übertragen kann, können Bereitstellung und Betrieb Wartungskosten reduzieren.

  • Drahtlose Authentifizierung und Verschlüsselung.

    Drahtlose Authentifizierung wird die Authentifizierung für die Sicherheit, die verwendet wird, wenn der drahtlose Client einen drahtlosen Zugriffspunkt zuordnet.

    Drahtlose Verschlüsselung ist der Security-Verschlüsselung, die mit der drahtlosen Authentifizierung verwendet wird, um die Kommunikation zu schützen, die zwischen dem Drahtloszugriffspunkt und dem drahtlosen Client gesendet werden.

  • Wireless-Zugriffspunkt IP-Adresse (statisch). Eine eindeutige statische IP-Adresse, das innerhalb der DHCP-Ausschlussbereich gemäß den drahtlosen Zugriffspunkt und Konfigurieren der Windows Server 2012 zum Hauptnetzwerk Verfahren "Erstellen eines neuen DHCP-Bereichs."

  • DNS-Name. Einige drahtlose Zugriffspunkte können mit einem DNS-Namen konfiguriert werden. Konfigurieren Sie jeden drahtlosen Zugriffspunkt mit einem eindeutigen Namen. Wenn Sie eine bereitgestellte Drahtloszugriffspunkten in einem Gebäude mit mehreren Story haben, können Sie z. B. die ersten drei WAPs nennen, die auf die dritte Floor AP3-01, AP3-02 und AP3-03 bereitgestellt werden.

  • Drahtlose AP-Subnetzmaske. Um zu bestimmen, welcher Teil der IP-Adresse, die die Netzwerk-ID und welcher Teil der IP-Adresse des Hosts zu konfigurieren.

  • AP-DHCP-Dienst. Wenn Sie Ihren drahtlose Zugriffspunkt integrierte DHCP-Dienst verfügt, deaktivieren.

  • Geheime RADIUS. Verwenden Sie einen eindeutigen RADIUS gemeinsamen geheimen Schlüssel für jeden drahtlosen Zugriffspunkt. Jede gemeinsamer geheimer Schlüssel sollte eine zufällige Sequenz mindestens 22 Zeichen lang von Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen. Um Zufälligkeit sicherzustellen, können Sie einen zufälligen Zeichen Generation Programm der gemeinsame geheime Schlüssel zu erstellen. Es wird empfohlen, dass Sie den gemeinsamen geheimen Schlüssel für jeden drahtlosen Zugriffspunkt und es an einem sicheren Ort, wie z. B. einen abgesicherten Office speichert. Beim Konfigurieren von RADIUS-Clients in der NPS-Konsole erstellen Sie eine virtuelle Version der einzelnen Zugriffspunkt. Der gemeinsame geheime Schlüssel, den Sie auf jeder virtuellen Zugriffspunkt in NPS konfigurieren, muss den gemeinsamen geheimen Schlüssel auf dem tatsächlichen, physischen Zugriffspunkt übereinstimmen.

  • RADIUS-Server-IP-Adresse. Geben Sie die IP-Adresse des NPS-Servers, die Sie zum Authentifizieren und autorisieren Verbindungsanfragen zu diesem Zugriffspunkt möchten...

  • UDP-Ports. Standardmäßig verwendet NPS UDP-Ports 1812 und 1645 für RADIUS-Authentifizierungsnachrichten und den UDP-Ports 1813 und 1646 für RADIUS-Kontoführungsnachrichten. Es wird empfohlen, dass Sie nicht die Standardeinstellungen für RADIUS-UDP-Ports ändern.

  • Herstellerspezifische Attribute. Einige drahtlose Zugriffspunkte müssen herstellerspezifische Attribute (VSA) eine vollständige drahtlosen AP-Funktionalität.

  • DHCP-Filterung. Konfigurieren Sie drahtlose Zugriffspunkte zum Blockieren des drahtlosen Clients IP-Pakete von UDP-Port 68 an das Netzwerk zu senden. Finden Sie in der Dokumentation für Ihren drahtlosen Zugriffspunkt so konfigurieren Sie DHCP-Filterung.

  • DNS-Filterung. Konfigurieren Sie drahtlose Zugriffspunkte zum Blockieren des drahtlosen Clients IP-Pakete von TCP- oder UDP-Port 53 auf das Netzwerk zu senden. Finden Sie in der Dokumentation für Ihren drahtlosen Zugriffspunkt so konfigurieren Sie DNS-Filterung.

Beim Planen der Bereitstellung von 802.1 802.1X-authentifizierten drahtlosen Zugriff müssen Sie Client-spezifischen Faktoren berücksichtigen:

  • Planen der Unterstützung für mehrere Standards.

    Bestimmen Sie, ob alle drahtlosen Computern dieselbe Version von Windows verwenden. Beispielsweise ermitteln, ob alle drahtlosen Client-Computer alle aktiven Windows 8, oder haben Sie, ob die kabellose enthalten eine Mischung aus Computern mit Windows 8, Windows 7, Windows Vista und Windows XP.

    Bestimmen Sie, ob alle drahtlosen Netzwerkadapter auf allen drahtlosen Clientcomputern denselben drahtlosen Standards unterstützen oder unterschiedlichen Standards unterstützt werden sollen. Beispielsweise ermitteln Sie, ob einige Netzwerkadapter Hardware-Treiber unterstützen WPA2-Enterprise und AES, während andere nur WPA-Enterprise und TKIP unterstützen.

  • Planen von Client-Authentifizierungsmodus. Authentifizierungsmodi definieren, wie Windows-Clients Domänenanmeldeinformationen verarbeiten. Sie können die folgenden drei Netzwerk Authentifizierungsmodi in den Richtlinien für drahtlose Netzwerke auswählen.

    1. Erneute Benutzerauthentifizierung in diesem Modus gibt an, dass die Authentifizierung erfolgt immer mithilfe von Anmeldeinformationen, die basierend auf den aktuellen Zustand des Computers. Wenn keine Benutzer am Computer angemeldet sind, erfolgt die Authentifizierung mithilfe der Computeranmeldeinformationen. Wenn ein Benutzer am Computer angemeldet ist, wird Authentifizierung immer mithilfe der Anmeldeinformationen des Benutzers ausgeführt.

    2. Nur Computer Computer nur Modus gibt an, dass die Authentifizierung erfolgt immer nur die Computeranmeldeinformationen verwenden.

    3. Benutzerauthentifizierung Benutzer-Authentifizierungsmodus gibt an, dass die Authentifizierung wird nur ausgeführt, wenn der Benutzer am Computer angemeldet ist. Wenn keine Benutzer angemeldet, die auf dem Computer vorhanden sind, werden die Authentifizierungsversuche nicht ausgeführt.

  • Planen drahtlose Einschränkungen. Bestimmen Sie, ob Sie alle Ihre drahtlose Benutzer mit derselben Ebene des Zugriffs auf Ihr drahtloses Netzwerk bereitstellen möchten, oder, ob Sie den Zugriff für einige drahtlose Benutzer beschränken möchten. Sie können Einschränkungen auf dem Netzwerkrichtlinienserver für bestimmte Gruppen von drahtlosem anwenden. Beispielsweise können bestimmte Tage und Stunden, die bestimmte Gruppen dürfen das drahtlose Netzwerk zugreifen.

  • Planen die Methoden zum Hinzufügen von neuen drahtlosen Computern. Für Wireless-fähigen Computern, die mit der Domäne verbunden sind, bevor Sie Ihr drahtlose Netzwerk, bereitstellen, wenn der Computer in ein Segment eines verdrahteten Netzwerk verbunden ist, die durch 802.1 X nicht geschützt ist, werden die funkkonfigurationseinstellungen automatisch auf diesen Computern angewendet, nachdem Sie die Richtlinien für Drahtlosnetzwerke (IEEE 802.11) konfigurieren und die Gruppenrichtlinie aktualisiert wird.

    Für Computer, die nicht bereits mit der Domäne verknüpft sind, jedoch Sie müssen planen, eine Methode, um die Einstellungen zu übernehmen, die für 802.1 X authentifizierte Zugriff. Beispielsweise bestimmen Sie, ob der Computer der Domäne beitreten soll:

    1. Den Computer anschließen in ein Segment eines verdrahteten Netzwerk, die von 802.1 X, das Hinzufügen eines Computers zur Domäne geschützt ist

    2. Geben Sie Ihre drahtlose Benutzer mit den Schritten und Einstellungen, die sie benötigen, um ihre eigenen bootstrap-Drahtlosprofil, und die Verknüpfung der Computer der Domäne hinzufügen

    3. Mit der Konfiguration von Mitgliedern des IT-Personals

In Windows Server 2012, die Erweiterung "Drahtlosnetzwerkrichtlinien (IEEE 802.11)" in der Gruppenrichtlinie bietet eine Vielzahl von Konfigurationsoptionen für eine Vielzahl von Optionen für die Bereitstellung zu unterstützen. Können Sie drahtlose Zugriffspunkte, die mit den Standards konfiguriert sind, die Sie unterstützen möchten, bereitstellen und Konfigurieren mehrerer Wireless Profile in Drahtlosnetzwerkrichtlinien (IEEE 802.11) Policies, mit jedem Profil angeben, zu der erforderliche Satz von Standards.

Wenn Ihr Netzwerk drahtlose Computer, die WPA2-Enterprise und AES, anderen Computern mit Unterstützung für WPA-Enterprise und AES verfügt, während andere Computer nur WPA-Enterprise und TKIP, unterstützen unterstützen müssen Sie z. B. ermitteln, ob Sie möchten:

  • Konfigurieren Sie ein einzelnes Profil zur Unterstützung aller drahtlose Computer mithilfe der schwächste Verschlüsselung, aber alle von Ihrem Computer verwenden kann. In diesem Fall, WPA-Enterprise und TKIP.

  • Konfigurieren Sie zwei Profile, um die optimale Sicherheit bereitzustellen, die von jedem drahtlosen Computer unterstützt wird. In diesem Fall würden Sie konfigurieren ein Profil, das die stärkste Verschlüsselung (WPA2-Enterprise und AES) angibt, und ein Profil, das die schwächere WPA-Enterprise und TKIP-Verschlüsselung verwendet. In diesem Beispiel ist es wichtig, dass Sie das Profil einfügen, das WPA2-Enterprise und AES in der Reihenfolge der obersten Ebene verwendet, wird. Computer, die nicht über die Verwendung von WPA2-Enterprise und AES werden automatisch zum nächsten Profil in der Reihenfolge der überspringen und verarbeiten das Profil, das WPA-Enterprise und TKIP angibt.

System_CAPS_importantWichtig

Das Profil mit den sichersten Standards sollte weiter oben in der Liste platziert werden, da Computer das erste Profil verwenden, die sie verwenden können.

In vielen Fällen empfiehlt es sich, drahtlose Benutzern unterschiedliche Ebenen des Zugriffs auf das drahtlose Netzwerk bereitzustellen. Sie möchten z. B. einige Benutzer uneingeschränkten Zugriff, jede Stunde des Tages, jeden Tag der Woche ermöglichen. Für andere Benutzer sollten Sie nur den Zugriff während Hauptzeiten, Montag bis Freitag, zulassen und Verweigern des Zugriffs auf Samstag und Sonntag.

Dieses Handbuch enthält eine Anleitung zum Erstellen einer Access-Umgebung, die alle Ihre drahtlose Benutzer in einer Gruppe mit gemeinsamen Zugriff auf Ressourcen Drahtlosnetzwerke platziert. Sie erstellen eine Sicherheitsgruppe für Benutzer in den Active Directory-Benutzer und Computer-Snap-in, und klicken Sie dann jedem Benutzer für den Drahtloszugriff – ein Mitglied dieser Gruppe gewährt werden sollen. Wenn Sie NPS-Netzwerkrichtlinien konfigurieren, geben Sie die Sicherheitsgruppe drahtlose Benutzer als das Objekt, das NPS beim Bestimmen der Autorisierung verarbeitet.

Jedoch wenn Ihre Bereitstellung Unterstützung für verschiedene Ebenen des Zugriffs erfordert müssen Sie nur Folgendes:

  1. Gehen Sie Erstellen Sie eine Sicherheitsgruppe für drahtlose Benutzer in diesem Leitfaden zum Erstellen von zusätzlichen wireless-Sicherheitsgruppen in Active Directory-Benutzer und-Computer jede Sicherheitsgruppe, die einen eindeutigen Namen angeben.

  2. Gehen Sie Benutzer hinzufügen, um die Sicherheitsgruppe Wireless jeder Benutzer ein Mitglied der entsprechenden Sicherheitsgruppe zu.

  3. Gehen Sie NPS-Richtlinien für 802.1 X drahtlose mithilfe eines Assistenten erstellen so konfigurieren Sie einen zusätzlichen Satz von NPS-Richtlinien für jede zusätzliche drahtlose Sicherheit. In Schritt 9 von der Prozedur Benutzergruppen angeben, klicken Sie auf Hinzufügen, und geben Sie den Namen der Sicherheitsgruppe ein, die Sie in Active Directory-Benutzer und-Computer konfiguriert.

Die bevorzugte Methode zum neuen Drahtloscomputer mit der Domäne ein, und melden Sie sich bei der Domäne zu verknüpfen ist in ein verkabeltes auf ein Segment des LANS, die Zugriff auf Domänencontroller und nicht durch ein mit 802.1 X Authentifizierung Ethernet-Switch geschützt wird.

In einigen Fällen jedoch möglicherweise nicht praktikabel ist, ein verkabeltes zu verwenden, um das Hinzufügen von Computern zur Domäne oder für einen Benutzer, ein verkabeltes für ihre ersten Anmeldeversuch mit Computern, die bereits mit der Domäne verbunden sind. Um einen Computer der Domäne mithilfe einer drahtlosen Verbindungs oder für Benutzer beim ersten Anmeldung an der Domäne mithilfe einer Domäne beigetretenen Computer und eine drahtlose Verbindung hinzuzufügen, müssen drahtlose Clients zuerst eine Verbindung mit dem drahtlosen Netzwerk in einem Segment einrichten, die Zugriff auf die Netzwerk-Domänencontroller hat.

Weitere Informationen zu den Schritten, die Computer der Domäne mithilfe einer Kabelverbindung und melden Sie sich bei der Domäne verknüpfen, indem ein verkabeltes finden Sie unter der Windows Server 2012 Core Network Guide im Abschnitt Hinzufügen von Computern zur Domäne und Anmelden. Die Windows Server 2012 zum Hauptnetzwerk steht zum Download im Word-Tabelle im Microsoft Download Center (http://www.microsoft.com/download/details.aspx?id=29248) und im HTML-Format in die Windows Server 2012 Technical Library (http://technet.microsoft.com/library/hh911995.aspx).

Dieses Handbuch enthält die folgenden Methoden zum Konfigurieren von drahtloser Computern Windows Vista mit Drahtlosprofile, mit denen Benutzer entweder fügen den Computer der Domäne mithilfe einer drahtlosen Verbindungs, oder melden Sie sich bei der Domäne mithilfe einer drahtlosen Verbindung und einem Computer, der bereits mit der Domäne verbunden ist:

  1. Ein Mitglied der IT-Mitarbeiter verknüpfen einen Drahtloscomputer mit der Domäne und dann einmaliges Anmelden bootstrap-Drahtlosprofil konfiguriert. Bei dieser Methode wird ein IT-Administrator den Drahtloscomputer mit dem Ethernet-Netzwerk verbunden und verknüpft Sie dann mit der Domäne des Computers. Der Administrator verteilt dann den Computer für den Benutzer. Wenn der Benutzer den Computer startet, werden die Anmeldeinformationen für die Domäne, die sie manuell für die Anmeldung des Benutzers angeben sowohl eine Verbindung mit dem drahtlosen Netzwerk herstellen, und melden Sie sich bei der Domäne verwendet.

  2. Der Benutzer konfigurieren Ihren Drahtloscomputer mit bootstrap-Drahtlosprofil manuell und dann der Domäne verknüpft. Bei dieser Methode konfigurieren Benutzer manuell ihren Drahtloscomputer mit einem bootstrap-Drahtlosprofil basierend auf Informationen von einem IT-Administrator. Der bootstrap-Drahtlosprofil ermöglicht eine drahtlose Verbindung herzustellen, und fügen Sie den Computer mit der Domäne. Nach dem Hinzufügen des Computers zur Domäne und den Computer neu starten, kann der Benutzer an der Domäne anmelden mithilfe einer drahtlosen Verbindung und ihre Anmeldeinformationen für das Domänenkonto.

Zum Bereitstellen und konfigurieren die drahtlosen Zugriffspunkte, gehen Sie wie folgt vor:

System_CAPS_noteHinweis

Die Verfahren in diesem Handbuch enthalten keine Anweisungen für Fälle, in denen die User Account Control das Dialogfeld wird geöffnet, um Ihre Zustimmung zum Fortfahren abzufragen. Klicken Sie auf Weiter, wenn das Dialogfeld während der Ausführung der Verfahren in dieser Anleitung geöffnet wird und als Folge der ausgeführten Aktionen geöffnet wurde.

Wenn Sie mehrere drahtlose Zugriffspunkte an einem geografischen Ort bereitstellen, müssen Sie drahtlose Zugriffspunkte konfigurieren, der überlappende Signale mit eindeutigen Kanalfrequenzen um zwischen Drahtloszugriffspunkten zu reduzieren.

Angeben von eindeutigen Kanalfrequenzen für drahtlose Zugriffspunkte

  1. Wenn es andere Organisationen mit Niederlassungen in nahe beieinander oder im gleichen Gebäude wie Ihre Organisation identifizieren, ob diese Organisationen drahtlose Netzwerke vorhanden sind. Herausfinden Sie, die Platzierung und den entsprechenden Kanal Frequenzen von ihren drahtlosen APs, da Sie anderen Kanalfrequenzen zu Ihrem Zugriffspunkt zuweisen müssen und Sie bestimmen den besten Speicherort Ihres Zugriffspunkts installieren müssen

  2. Identifizieren Sie einander überschneidende drahtlose Signale auf angrenzenden Stockwerken innerhalb Ihrer eigenen Organisation. Nach dem Identifizieren von überlappenden Abdeckung Bereichen außerhalb und innerhalb Ihrer Organisation zuweisen Kanalfrequenzen für Ihre drahtlosen Zugriffspunkte sicherstellen, dass zwei drahtlosen APs mit überlappende Abdeckung anderen Kanalfrequenzen zugewiesen.

Verwenden Sie diese Informationen mit der Produktdokumentation, die vom drahtlosen AP Hersteller Ihre drahtlosen Zugriffspunkte konfigurieren.

Diese Prozedur Listet die Elemente, die häufig auf einen drahtlosen Zugriffspunkt konfiguriert. Die Elementnamen können nach Marke und Modell variieren und ggf. andere als die in der folgenden Liste aufgeführten. Konfigurations-spezifische Details finden Sie unter der drahtlose AP-Dokumentation.

So konfigurieren Sie die drahtlosen Zugriffspunkte

  • SSID. Geben Sie den Namen der drahtlosen Netzwerke (z. B. ExampleWLAN). Dies ist der Name, der für drahtlose Clients angekündigt wird.

  • Verschlüsselung. Geben Sie WPA2-Enterprise (bevorzugt) oder WPA-Enterprise und AES (bevorzugt) oder TKIP-Verschlüsselung, je nachdem, welche Versionen von Ihre Netzwerkadapter der drahtlose Client-Computer unterstützt werden.

  • Wireless-Zugriffspunkt IP-Adresse (statisch). Konfigurieren Sie für jeden Zugriffspunkt und eine eindeutige statische IP-Adresse, die innerhalb des Ausschlussbereichs des DHCP-Bereichs liegt. Mit einer Adresse, die von der Zuordnung, von DHCP ausgeschlossen ist wird verhindert, dass den DHCP-Server einen Computer oder ein anderes Gerät die IP-Adresse zuweisen.

  • Subnetzmaske. Konfigurieren Sie diese Option, um die Subnetz-Maske-Einstellungen des LANS übereinstimmen, mit dem Sie den drahtlosen Zugriffspunkt verbunden haben.

  • DNS-Name. Einige drahtlose Zugriffspunkte können mit einem DNS-Namen konfiguriert werden. Der DNS-Dienst im Netzwerk kann DNS-Namen in eine IP-Adresse aufzulösen. Geben Sie für jeden drahtlosen Zugriffspunkt, der diese Funktion unterstützt einen eindeutigen Namen für die DNS-Auflösung.

  • DHCP-Dienst. Wenn Sie Ihren drahtlose Zugriffspunkt integrierte DHCP-Dienst verfügt, deaktivieren.

  • Geheime RADIUS. Verwenden Sie einen eindeutigen RADIUS gemeinsamen geheimen Schlüssel für jeden drahtlosen Zugriffspunkt. Jede gemeinsamer geheimer Schlüssel sollte eine zufällige Sequenz mindestens 22 Zeichen lang von Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen. Um Zufälligkeit sicherzustellen, können Sie eine Generation zufällige Zeichen wie z. B. die zufällige Zeichengenerator finden Sie in der NPS Konfigurieren 802.1 X Assistenten, um die gemeinsamen geheimen Schlüssel zu erstellen.

    System_CAPS_tipTipp

    Notieren Sie den gemeinsamen geheimen Schlüssel für jeden drahtlosen Zugriffspunkt und an einem sicheren Ort, z. B. ein Büro sicher zu speichern. Wenn Sie RADIUS-Clients in NPS konfigurieren, müssen Sie den gemeinsamen geheimen Schlüssel für jeden drahtlosen Zugriffspunkt kennen.

  • RADIUS-Server-IP-Adresse. Geben Sie die IP-Adresse des Servers mit NPS.

  • UDP-Ports. Standardmäßig verwendet NPS UDP-Ports 1812 und 1645 für die Authentifizierung von Nachrichten und UDP-Ports 1813 und 1646 für Kontoführungsnachrichten.

    System_CAPS_tipTipp

    Ändern Sie die Standardeinstellungen für RADIUS-UDP-Port nicht.

  • Herstellerspezifische Attribute. Einige drahtlose Zugriffspunkte müssen herstellerspezifische Attribute (VSA) eine vollständige drahtlosen AP-Funktionalität. Herstellerspezifische Attribute werden in der Netzwerkrichtlinie für NPS hinzugefügt.

  • DHCP-Filterung. Konfigurieren von Drahtloszugriffspunkten, um drahtlose Clients IP-Pakete von UDP-Port 68 an das Netzwerk senden zu blockieren, gemäß den vom drahtlosen AP Hersteller.

  • DNS-Filterung. Konfigurieren von Drahtloszugriffspunkten, um drahtlose Clients IP-Pakete von TCP- oder UDP-Port 53 an das Netzwerk senden zu blockieren, gemäß den vom drahtlosen AP Hersteller.

Führen Sie diese Schritte, um einen oder mehrere drahtlose Benutzer Sicherheitsgruppen erstellen, und dann der entsprechende drahtlose Sicherheitsgruppe hinzuzufügen Sie Benutzer:

  • Create a Wireless Users Security Group

  • Add Users to the Wireless Security Group

Dieses Verfahren können Sie um eine drahtlose Sicherheitsgruppe in Active Directory-Benutzer und Computer Microsoft Management Console (MMC)-Snap-in zu erstellen.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

Erstellen Sie eine Sicherheitsgruppe für Benutzer

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer. Das Snap-in Active Directory-Benutzer und-Computer wird geöffnet. Klicken Sie auf den Knoten für Ihre Domäne, wenn diese noch nicht ausgewählt ist. Zum Beispiel wenn die Domäne "example.com", klicken Sie auf example.com.

  2. Klicken Sie im Detailbereich mit der Maustaste des Ordners, in dem Sie eine neue Gruppe hinzufügen möchten (z. B. mit der rechten Maustaste Benutzer), zeigen Sie auf Neu, und klicken Sie dann auf Gruppe.

  3. Geben Sie im Dialogfeld Neues Objekt – Gruppe in das Feld Gruppenname einen Namen für die neue Gruppe ein. Geben Sie z. B. Drahtlosnetzwerke.

  4. In Gruppenbereich, wählen Sie eine der folgenden Optionen:

    • Lokale Domäne

    • global

    • Universal

  5. Wählen Sie unter Gruppentyp die Option Sicherheit aus.

  6. Klicken Sie auf OK.

Dieses Verfahren können einem Benutzer, Computer oder Gruppe Ihre drahtlose Sicherheitsgruppe in Active Directory-Benutzer und Computer Microsoft Management Console (MMC)-Snap-in hinzufügen.

Für dieses Verfahren müssen Sie mindestens Mitglied der Gruppe Domänen-Admins oder einer gleichwertigen Gruppe sein.

Die drahtlose Sicherheitsgruppe Benutzer hinzu

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer. Das MMC-Snap-In "Active Directory-Benutzer und -Computer" wird geöffnet. Klicken Sie auf den Knoten für Ihre Domäne, wenn diese noch nicht ausgewählt ist. Zum Beispiel wenn die Domäne "example.com", klicken Sie auf example.com.

  2. Doppelklicken Sie im Detailbereich auf den Ordner, der die Schutz-Gruppe enthält.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste in der Gruppe für drahtlose Sicherheit, und klicken Sie dann auf Eigenschaften. Die Eigenschaften für die Sicherheitsgruppe im Dialogfeld wird geöffnet.

  4. Auf der Elemente auf Hinzufügen, und führen Sie dann einen der folgenden Verfahren:

Um einen Benutzer oder Gruppe hinzufügen

  1. In Geben Sie die zu verwendenden Objektnamen ein, geben Sie den Namen des Benutzers oder Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf OK.

  2. Um anderen Benutzern oder Gruppen eine Gruppenmitgliedschaft zuzuweisen, wiederholen Sie Schritt 1 dieses Verfahrens aus.

Hinzufügen eines Computers

  1. Klicken Sie auf Objekttypen. Die Objekttypen das Dialogfeld wird geöffnet.

  2. In Objekttypen, auf Computer, und klicken Sie dann auf OK.

  3. In Geben Sie die zu verwendenden Objektnamen ein, geben Sie den Namen des Computers, der im Diagramm angezeigt werden sollen, und klicken Sie dann auf OK.

  4. Um die Gruppenmitgliedschaft auf anderen Computern zuzuweisen, wiederholen Sie die Schritte 1 bis 3 dieses Verfahrens.

Erweiterung der Gruppenrichtlinie für Drahtlosnetzwerke (IEEE 802.11) Policies konfigurieren, gehen Sie wie folgt vor:

  • Open or Add and Open a Group Policy Object

  • Activate Default Wireless Network (IEEE 802.11) Policies

  • Open Wireless Network (IEEE 802.11) Policies for Editing

  • Configure the New Wireless Network Policy

  • Configure the New Windows XP Wireless Network Policy

In der Standardeinstellung die Gruppenrichtlinien-Funktion installiert wurde, auf Computern mit Windows Server 2012 bei die Active Directory-Domänendienste (AD DS)-Serverrolle installiert ist. Die folgenden Prozedur beschreibt, wie öffnen Sie die Gruppe Gruppenrichtlinien-Verwaltungskonsole (GPMC) auf dem Domänencontroller unter Windows Server 2012. Anschließend wird beschrieben, wie ein vorhandenes auf Domänenebene Gruppenrichtlinienobjekt (GPO) für die Bearbeitung zu öffnen oder erstellen ein neues Gruppenrichtlinienobjekt der Domäne und zur Bearbeitung zu öffnen.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

Öffnen oder hinzufügen und öffnen ein Gruppenrichtlinienobjekt

  1. Auf der Windows Server 2012 Domänencontroller, klicken Sie auf Starten, zeigen Sie auf Verwaltung, und doppelklicken Sie dann auf Group Policy Management. Die Gruppenrichtlinien-Verwaltungskonsole wird geöffnet.

  2. Doppelklicken Sie im linken Bereich auf die Gesamtstruktur. Doppelklicken Sie z. B. Gesamtstruktur: Beispiel.com.

  3. Doppelklicken Sie im linken Bereich auf Domänen, und doppelklicken Sie dann auf die Domäne, für die Sie ein Gruppenrichtlinienobjekt verwalten möchten. Doppelklicken Sie z. B. example.com.

  4. Führen Sie eines der folgenden Verfahren aus:

    • Vorhandenes Gruppenrichtlinienobjekt auf Domänenebene zum Bearbeiten öffnen, doppelklicken klicken Sie auf die Domäne, die das Gruppenrichtlinienobjekt, die Sie verwalten möchten enthält, mit der rechten Maustaste der Domänenrichtlinie zu verwalten, und klicken Sie dann auf Bearbeiten.

    • Ein neues Gruppenrichtlinienobjekt zu erstellen und zur Bearbeitung öffnen, mit der rechten Maustaste in der Domäne, für die Sie erstellen ein neues Gruppenrichtlinienobjekt, und klicken Sie dann auf möchten Erstellen Sie ein Gruppenrichtlinienobjekt in dieser Domäne, und verknüpfen Sie es hier.

      In Gruppenrichtlinienobjekt, im Namen, geben Sie einen Namen für das neue Gruppenrichtlinienobjekt, und klicken Sie dann auf OK.

      Maustaste auf Ihr neues Gruppenrichtlinienobjekt, und klicken Sie dann auf Bearbeiten. Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

Dieses Verfahren beschreibt, wie Sie die Standardeinstellung Drahtlosnetzwerkrichtlinien (IEEE 802.11) mithilfe von Group Policy Management Editor (Gruppenrichtlinienverwaltungs-Editor) aktivieren.

System_CAPS_noteHinweis

Nachdem Sie entweder aktiviert die Windows Vista Version von Drahtlosnetzwerkrichtlinien (IEEE 802.11) oder die Windows XP-Version, wird Sie entfernt aus der Liste der Optionen, wenn Sie mit der rechten Maustaste Drahtlosnetzwerkrichtlinien (IEEE 802.11), und es wird im Detailbereich des Gruppenrichtlinienverwaltungs-Editor hinzugefügt, bei der Auswahl der Drahtlosnetzwerkrichtlinien (IEEE 802.11) Knoten. Dieser Zustand verbleibt, bis die Richtlinie für drahtlose Netzwerke gelöscht wird, zu diesem Zeitpunkt die Drahtlosnetzwerkrichtlinie zum Menü gibt zurück, wenn Sie mit der rechten Maustaste Drahtlosnetzwerkrichtlinien (IEEE 802.11) im Gruppenrichtlinienverwaltungs-Editor. Darüber hinaus die Windows Vista und drahtlose Windows XP-Richtlinien werden im Detailbereich Gruppenrichtlinienverwaltungs-Editor nur aufgeführt, wenn die Drahtlosnetzwerkrichtlinien (IEEE 802.11) -Knoten ist ausgewählt.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

Standardmäßiges Drahtlosnetzwerkrichtlinien (IEEE 802.11) aktivieren

  1. Auf der Windows Server 2012 Domänencontroller, führen Sie einen der folgenden:

    • Wenn der Gruppenrichtlinienverwaltungs-Editor bereits geöffnet ist, fahren Sie mit Schritt 2 fort.

    • Wenn der Gruppenrichtlinienverwaltungs-Editor noch nicht geöffnet ist, führen Sie folgende Schritte aus:

      1. Klicken Sie auf Starten, zeigen Sie auf Verwaltung, und doppelklicken Sie dann auf Gruppenrichtlinienverwaltung. Die Group Policy Management Microsoft Management Console (MMC)-Snap-in geöffnet wird.

      2. Doppelklicken Sie im linken Bereich auf die Gesamtstruktur. Doppelklicken Sie z. B. Gesamtstruktur: Beispiel.com.

      3. Doppelklicken Sie im linken Bereich auf Domänen, und doppelklicken Sie dann auf die Domäne, in dem Sie ein Gruppenrichtlinienobjekt (GPO) verwalten möchten. Doppelklicken Sie z. B. example.com.

      4. Mit der rechten Maustaste in des Gruppenrichtlinienobjekts auf Domänenebene zu verwalten, und klicken Sie dann auf Bearbeiten. Die MMC Gruppenrichtlinienverwaltungs-Editor wird geöffnet. Fahren Sie fort mit Schritt 2 fort.

  2. Doppelklicken Sie im Gruppenrichtlinienverwaltungs-Editor, klicken Sie im linken Bereich auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Windows-Einstellungen, und doppelklicken Sie dann auf Sicherheitseinstellungen.

  3. Im Sicherheitseinstellungen, mit der rechten Maustaste Drahtlosnetzwerkrichtlinien (IEEE 802.11), und klicken Sie dann auf Erstellen Sie eine neue Wireless für Windows Vista und neuere Versionen oder Erstellen einer neuen Windows XP-Richtlinie. Das Dialogfeld Eigenschaften wird für die ausgewählte Richtlinie geöffnet.

  4. Klicken Sie auf OK. Die Standardrichtlinie ist aktiviert und im Detailbereich des Gruppenrichtlinienverwaltungs-Editor aufgelistet.

Wählen Sie zum Aufrufen der Eigenschaften einer Richtlinie ist bereits vorhanden Drahtlosnetzwerkrichtlinien (IEEE 802.11). In der rechten Maustaste entweder die Windows Vista oder zu ändern, und klicken Sie dann auf Windows XP-Richtlinie Eigenschaften.

Dieses Verfahren können Sie um aktivierte Richtlinien für Drahtlosnetzwerke (IEEE 802.11) zum Bearbeiten zu öffnen. Wenn bereits eine Richtlinie aktiviert wurde, brauchen Sie diesen Schritt ausführen.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

Öffnen für die Bearbeitung aktiviert Drahtlosnetzwerkrichtlinien (IEEE 802.11)

  1. Auf der Windows Server 2012 Domänencontroller ist der Gruppenrichtlinienverwaltungs-Editor nicht bereits geöffnet ist, gehen Sie folgendermaßen vor: Klicken Sie auf Starten, zeigen Sie auf Verwaltung, und klicken Sie dann auf Group Policy Management. Die Group Policy Management Microsoft Management Console (MMC)-Snap-in geöffnet wird.

  2. Doppelklicken Sie im linken Bereich auf die Gesamtstruktur. Doppelklicken Sie z. B. Gesamtstruktur: Beispiel.com.

  3. Doppelklicken Sie im linken Bereich auf Domänen, und doppelklicken Sie dann auf die Domäne, in dem Sie ein Gruppenrichtlinienobjekt verwalten möchten. Doppelklicken Sie z. B. example.com.

  4. Mit der rechten Maustaste in das Gruppenrichtlinienobjekt zu verwalten, und klicken Sie dann auf Bearbeiten. Z. B. mit der rechten Maustaste Default Domain Policy, und klicken Sie dann auf Bearbeiten. Der Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

    System_CAPS_noteHinweis

    Das Gruppenrichtlinienobjekt, das Sie auswählen, muss das gleiche Objekt sein, das Sie beim Aktivieren der Drahtlosnetzwerkrichtlinien (IEEE 802.11) angegeben.

  5. Im Gruppenrichtlinienverwaltungs-Editor, im rechten Bereich, wenn er nicht bereits erweitert ist, doppelklicken Sie auf Computerkonfiguration, doppelklicken Sie auf Richtlinien, doppelklicken Sie auf Windows-Einstellungen, doppelklicken Sie auf Security Settings, und wählen Sie dann Drahtlosnetzwerkrichtlinien (IEEE 802.11).

  6. Im Detailbereich: mit der rechten Maustaste entweder neuen Drahtlosnetzwerkrichtlinie oder Neue XP-Drahtlosnetzwerkrichtlinie, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften für die Richtlinie ausgewählten wird geöffnet.

    1. Zum Öffnen der Windows Vista Richtlinie, mit der rechten Maustaste neuen Drahtlosnetzwerkrichtlinie, und klicken Sie dann auf Eigenschaften. Die Eigenschaften der neuen Drahtlosnetzwerkrichtlinie Dialogfeld wird geöffnet.

    2. Um die Windows XP-Richtlinie zu öffnen, mit der rechten Maustaste Neue XP-Drahtlosnetzwerkrichtlinie, und klicken Sie dann auf Eigenschaften. Die Neue XP Wireless Network Policy Properties wird geöffnet.

    System_CAPS_noteHinweis

    Richtlinien für drahtlose Netzwerke sind nicht unbedingt als aufgeführt neuen Drahtlosnetzwerkrichtlinie oder Neue XP-Drahtlosnetzwerkrichtlinie im Detailbereich für den Gruppenrichtlinienverwaltungs-Editor. Der Standardname für die Richtlinie zuvor auf einen anderen Namen aus geändert wurde, wird die Änderung des Namens wiedergegeben, in den Detailbereich des Gruppenrichtlinienverwaltungs-Editor, jedoch mit der Typ angegeben, entweder als Vista oder XP.

Verwenden Sie die Verfahren in diesem Abschnitt Konfigurieren Sie Richtlinien für Drahtlosnetzwerke (IEEE 802.11) für Clientcomputer mit Windows 8, Windows 7 und Windows Vista die Verbindung auf Ihr drahtloses Netzwerk mit 802.1 X geeigneten drahtlose Zugriffspunkte (APs). Diese Richtlinie ermöglicht das Konfigurieren von Sicherheit und Authentifizierung, wireless Profile verwalten und geben Sie die Berechtigungen für drahtlose Netzwerke, die nicht als bevorzugte Netzwerke konfiguriert werden.

  • Configure a Wireless Connection Profile for PEAP-MS-CHAP v2

  • Set the Preference Order for Wireless Connection Profiles

  • Define Network Permissions

Dieses Verfahren bietet die erforderlichen Schritte zum Konfigurieren Sie ein PEAP-MS-CHAP v2-Drahtlosprofil.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

So konfigurieren Sie ein Windows Vista-Drahtlosverbindungsprofil für PEAP-MS-CHAP v2
  1. Wenn nicht bereits geschehen, verwenden Sie die Schritte im Thema Open Wireless Network (IEEE 802.11) Policies for Editing zum Öffnen der Windows VistaEigenschaften der neuen Drahtlosnetzwerkrichtlinie Dialogfeld.

  2. Auf dem Domänencontroller unter Windows Server 2012, im Eigenschaften der neuen Drahtlosnetzwerkrichtlinie, auf der Allgemeine Registerkarte der Richtlinienname Feld, geben Sie einen Namen für die Richtlinie ein, oder übernehmen Sie den Standardnamen.

    System_CAPS_tipTipp

    Wenn Sie den Standardnamen Richtlinie ändern neuen Drahtlosnetzwerkrichtlinie, dann sowohl die Eigenschaften der neuen Drahtlosnetzwerkrichtlinie Dialogfeld und das aktivierte Richtlinienmodul im Gruppenrichtlinienverwaltungs-Editor werden geändert, um den neuen Richtliniennamen übereinstimmen.

  3. In Beschreibung, geben Sie eine kurze Beschreibung für die Richtlinie.

  4. Um anzugeben, dass die WLAN-Autokonfigurationsdienst zum Konfigurieren der Einstellungen des Drahtlosnetzwerkadapters verwendet wird, wählen Sie verwenden Windows WLAN-Autokonfigurationsdienst für Clients.

  5. Auf der Allgemeine Registerkarte, führen Sie eine der folgenden:

    • Um ein neues Profil hinzuzufügen und zu konfigurieren, klicken Sie auf Hinzufügen, und wählen Sie dann Infrastruktur.

    • Um ein vorhandenes Profil zu bearbeiten, wählen Sie das Profil zu ändern, und klicken Sie dann auf Bearbeiten. Die neuen Profileigenschaften Dialogfeld wird geöffnet.

  6. Auf der Verbindung Registerkarte der Profilname Feld:

    1. Wenn Sie ein neues Profil hinzufügen, wird empfohlen, dass Sie einen neuen Namen für das Profil eingeben. Geben Sie z. B. Example.com WLAN-Profil für Windows Vista.

    2. Wenn Sie ein bereits hinzugefügtes Profil bearbeiten, verwenden Sie den vorhandenen Profilnamen, oder ändern Sie den Namen wie gewünscht.

  7. In Netzwerkname (SSID), geben Sie die SSID, die für Ihre drahtlosen Zugriffspunkte konfigurierten SSID entspricht, und klicken Sie dann auf Hinzufügen.

    Wenn Ihre Bereitstellung mehrere SSIDs verwendet und jeder drahtlose Zugriffspunkt dieselben Drahtlos-Sicherheitseinstellungen nutzt, wiederholen Sie diesen Schritt, um den SSID für jeden drahtlosen Zugriffspunkt hinzuzufügen, für den dieses Profil angewendet werden soll.

    Wenn Ihre Bereitstellung mehrere SSIDs verwendet und die Sicherheitseinstellungen für die einzelnen SSIDs nicht übereinstimmen, konfigurieren Sie ein separates Profil für jede Gruppe von SSIDs, die dieselben Sicherheitseinstellungen nutzen. Beispiel: Wenn eine Gruppe von drahtlosen Zugriffspunkten für die Verwendung von WPA2-Enterprise und AES und eine andere Gruppe von drahtlosen Zugriffspunkten für die Verwendung von WPA-Enterprise und TKIP konfiguriert ist, konfigurieren Sie ein Profil für jede Gruppe drahtloser Zugriffspunkte.

  8. Wenn NEWSSID vorhanden ist, wählen Sie es aus, und klicken Sie dann auf Entfernen.

  9. Wenn Sie drahtlose Zugriffspunkte bereitgestellt haben, die das Übertragungssignal unterdrücken, wählen Sie Verbinden, selbst wenn das Netzwerk keine Kennung aussendet.

    System_CAPS_noteHinweis

    Durch Aktivieren dieser Option kann ein Sicherheitsrisiko erstellt werden, da drahtlose Clients für Test und Verbindungen mit Drahtlosnetzwerken versucht. Standardmäßig ist diese Einstellung nicht aktiviert.

  10. Klicken Sie auf die Registerkarte Sicherheit, klicken Sie auf Erweitert, und konfigurieren Sie dann Folgendes:

    1. Um erweiterte 802.1X-Einstellungen zu konfigurieren, aktivieren Sie in IEEE 802.1X die Option Erweiterte 802.1X-Einstellungen erzwingen.

      Wenn die erweiterten 802.1X-Einstellungen erzwungen werden, die Standardwerte für Max. Eapol-Start-Meld, Wartezeitraum, Startzeitraum, und Authentifizierungszeitraum sind für typische drahtlosbereitstellungen ausreichend.

    2. Um das einmalige Anmelden zu ermöglichen, aktivieren Sie Einmaliges Anmelden für dieses Netzwerk aktivieren.

    3. Die restlichen Standardwerte bei Einmaliges Anmelden sind für typische Drahtlosbereitstellungen ausreichend.

    4. In Fast-Roaming, auf dieses Netzwerk verwendet Vorauthentifizierung, wenn Ihre drahtlose Zugriffspunkt für die Vorauthentifizierung konfiguriert ist.

  11. Um anzugeben, dass die drahtlose Kommunikation FIPS 140-2-Standards erfüllt, wählen Sie Kryptografie im FIPS 140-2-zertifizierten Modus durchführen.

  12. Klicken Sie auf OK, um zur Registerkarte Sicherheit zurückzukehren. Wählen Sie unter Sicherheitsmethoden für dieses Netzwerk auswählen bei Authentifizierung die Option WPA2-Enterprise, wenn sie von Ihrem drahtlosen Zugriffspunkt und Ihren drahtlosen Client-Netzwerkadaptern unterstützt wird. Wählen Sie andernfalls WPA-Enterprise.

  13. Wählen Sie bei Verschlüsselung die Option AES, wenn sie von Ihrem drahtlosen Zugriffspunkt und Ihren drahtlosen Client-Netzwerkadaptern unterstützt wird. Wählen Sie andernfalls TKIP.

    System_CAPS_noteHinweis

    Die Einstellungen für Authentifizierung und Verschlüsselung müssen den Einstellungen entsprechen, die für Ihren drahtlosen Zugriffspunkt konfiguriert wurden. Die Standardeinstellungen für Authentifizierungsmodus, Max. Authentifizierungsfehler, und Benutzerinformationen für nachfolgende Verbindungen mit diesem Netzwerk zwischenspeichern sind für typische drahtlosbereitstellungen ausreichend.

  14. Wählen Sie in Netzwerkauthentifizierungsmethode auswählen die Option Geschütztes EAP (PEAP), und klicken Sie dann auf Eigenschaften. Die Seite Eigenschaften für geschütztes EAP wird geöffnet.

  15. In Eigenschaften für geschütztes EAP, überprüfen Sie, ob Überprüfen Sie die Identität des Servers mittels zertifikatprüfung ausgewählt ist.

  16. In Trusted Root Certification Authorities, wählen Sie die vertrauenswürdige Stammzertifizierungsstelle (CA), die das Serverzertifikat ausgestellt, auf dem NPS-Server hat.

    System_CAPS_noteHinweis

    Diese Einstellung beschränkt die Stamm-CAs, denen Clients vertrauen, auf die ausgewählten CAs. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, werden Clients vertrauen, dass alle Stamm-CAs, die in ihren Speicher vertrauenswürdiger Stammzertifizierungsstellen aufgeführt.

  17. Wählen Sie in der Liste Authentifizierungsmethode auswählen den Eintrag Gesichertes Kennwort (EAP-MSCHAP v2) aus.

  18. Um die schnelle Wiederherstellung der PEAP-Verbindung zu aktivieren, wählen Sie Schnelle Wiederherstellung der Verbindung aktivieren.

  19. Wenn (Network Access Protection, NAP) in Ihrem Netzwerk konfiguriert ist, wählen Sie Netzwerkzugriffsschutz. Andernfalls deaktivieren Sie dieses Kontrollkästchen.

  20. Um Server Kryptografiebindungs-TLV bei Verbindungsversuchen erforderlich ist, wählen Sie trennen, wenn Server kein Kryptografiebindungs-TLV vorweist.

  21. Um anzugeben, dass die Identität des Benutzers in der ersten Authentifizierung maskiert ist, wählen Sie Identitätsschutz aktivieren, und klicken Sie im Textfeld Geben Sie einen Namen für die anonyme Identität, oder lassen Sie das Textfeld leer.

    System_CAPS_tipTipp

    Die NPS-Richtlinie für 802.1 X (verkabelt) muss erstellt werden, mit dem Netzwerkrichtlinienserver Verbindungsanforderungsrichtlinie. Wenn die NPS-Richtlinie in erstellt wird, mit dem Netzwerkrichtlinienserver Netzwerkrichtlinie, Identitätsschutz nicht verwendet werden.

    System_CAPS_noteHinweis

    Identitätsschutz EAP wird von bestimmten EAP-Methoden bereitgestellt, in denen eine leere oder eine anonyme Identität (eine andere als die tatsächliche Identität) als Antwort auf die EAP-Identity-Request gesendet wird. PEAP sendet die Identität während der Authentifizierung zweimal. In der ersten Phase wird die Identität im nur-Text gesendet, und diese Identität wird für das routing, nicht für die Clientauthentifizierung verwendet. Die tatsächliche Identität – für die Authentifizierung verwendet, wird in der zweiten Phase der Authentifizierung, in der sicheren Tunnel, die in der ersten Phase hergestellt wird gesendet. Wenn Identitätsschutz aktivieren aktiviert ist, wird der Benutzername mit dem Eintrag im Textfeld angegebenen ersetzt. Nehmen wir beispielsweise an Identitätsschutz aktivieren ausgewählt ist und der Identität Datenschutz Alias anonyme angegeben ist, in das Textfeld ein. Für einen Benutzer mit einem Alias für die tatsächliche Identität jdoe@example.com, die Identität, die in der ersten Phase der Authentifizierung gesendet werden geändert, anonymous@example.com. Der Bereich Teil der Identität des 1. Phase wird nicht geändert werden, da er für das routing verwendet wird.

  22. Klicken Sie auf Konfigurieren. Überprüfen Sie im Dialogfeld EAP-MSCHAPv2-Eigenschaften, ob Automatisch eigenen Windows-Anmeldenamen und Kennwort (und Domäne, falls vorhanden) verwenden aktiviert ist. Klicken Sie auf OK, und klicken Sie nochmals auf OK, um die Seite Eigenschaften für geschütztes EAP zu schließen.

  23. Klicken Sie auf OK schließen die Security und klicken Sie dann auf OK erneut, um die Vista-Drahtlosnetzwerkrichtlinie zu schließen.

Dieses Verfahren beschreibt die Schritte, um die Reihenfolge anzugeben, in der drahtlosen Verbindung von Profilen zur Domäne gehörende Drahtlosclients zu drahtlosen Netzwerken herzustellen.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

Festlegen die Reihenfolge für drahtlose Verbindungsprofile
  1. Auf dem Domänencontroller unter Windows Server 2012, Öffnen Richtlinieneigenschaften Vista Drahtlosnetzwerkrichtlinien (IEEE 802.11).

  2. Auf der Allgemeine Registerkarte Verbindung zu verfügbaren Netzwerken in der Reihenfolge der unten aufgelisteten Profile, wählen Sie das Profil, das Sie verschieben möchten, und klicken Sie dann auf entweder die Schaltfläche "Pfeil nach oben" oder "Pfeil nach unten", um das Profil an die gewünschte Position in der Liste zu verschieben.

  3. Wiederholen Sie Schritt 2 für jedes Profil, das Sie in der Liste verschieben möchten.

  4. Klicken Sie auf OK um alle Änderungen zu speichern.

Konfigurieren von Einstellungen auf der Netzwerkberechtigungen Registerkarte für die Mitglieder der Domäne unter Windows 8, Windows 7 und Windows Vista für das Drahtlosnetzwerkrichtlinien (IEEE 802.11) gelten. Kann nur angewendet werden diese Einstellungen für drahtlose Netzwerke, die nicht auf konfiguriert sind die Allgemeine Registerkarte der Vista Drahtlosnetzwerkeigenschaften RichtlinieSeite:

  • Zulassen oder Verweigern von Verbindungen mit bestimmten drahtlosen Netzwerken, die Sie angeben, indem Netzwerktyp und Bezeichner SSID (Service Set)

  • Zulassen oder Verweigern von Verbindungen mit ad-hoc-Netzwerken

  • Zulassen oder Verweigern von Verbindungen mit Infrastrukturnetzwerken

  • Gewähren oder Verweigern von Benutzern auf Ansicht Netzwerktypen (Ad-hoc- oder Infrastruktur), dem der Zugriff verweigert werden

  • Zulassen oder Verweigern von Benutzern zum Erstellen eines Profils, das für alle Benutzer gilt

  • Benutzer können nur für zulässige Netzwerke verbinden, mithilfe von Gruppenrichtlinien-Profilen

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe sein, um diese Verfahren abzuschließen.

Zulassen oder Verweigern von Verbindungen mit bestimmten drahtlosen Netzwerken
  1. Auf dem Domänencontroller unter Windows Server 2012, Öffnen Richtlinieneigenschaften Vista Drahtlosnetzwerkrichtlinien (IEEE 802.11), und klicken Sie dann auf Netzwerkberechtigungen.

  2. Auf der Netzwerkberechtigungen auf Hinzufügen. Die Neuer Berechtigungseintrag das Dialogfeld wird geöffnet.

  3. In der Neuer Berechtigungseintrag im Feld der Netzwerkname (SSID) im Feld Geben Sie die Netzwerk-SSID des Netzwerks für die Sie Berechtigungen definieren möchten.

  4. In Netzwerktyp, auf Infrastruktur oder Ad-hoc-.

    System_CAPS_noteHinweis

    Wenn Sie unsicher sind, ob das Netzwerk senden ein Infrastruktur- oder ad-hoc-Netzwerk handelt, können Sie zwei Netzwerk-Berechtigungseinträge, einen für jedes Netzwerk konfigurieren.

  5. In Berechtigung, auf Zulassen oder Verweigern.

  6. Klicken Sie auf OK, um wieder die Netzwerkberechtigungen Registerkarte.

Weitere Berechtigungen angeben
  1. Auf der Netzwerkberechtigungen Registerkarte, konfigurieren Sie eine oder alle der folgenden:

    • Verweigern der Domänenmitglieder ausgeführt Windows 8, Windows 7 und Windows Vista Zugriff auf ad-hoc-Netzwerke, wählen Verbindungen mit Ad-hoc-Netzwerken verhindern.

    • Verweigern der Domänenmitglieder ausgeführt Windows 8, Windows 7 und Windows Vista Zugriff auf Infrastrukturnetzwerken, wählen Verbindungen mit Infrastrukturnetzwerken verhindern.

    • Zu Ihren Domänenmitgliedern ausgeführt Windows 8, Windows 7 und Windows Vista Wählen Sie zum Anzeigen von Netzwerktypen (Ad-hoc- oder Infrastruktur), deren Zugriff verweigert Benutzer erlauben, Anzeigen von abgelehnten Netzwerken.

    • Um Benutzer von Computern zu ermöglichen, die ausgeführt werden Windows 8, Windows 7 oder Windows Vista Wählen Sie zum Erstellen von Profilen, die für alle Benutzer gelten Benutzern gestatten, erstellen Sie alle Benutzerprofile.

    • Um anzugeben, dass die Benutzer nur mit zulässige Netzwerke mithilfe von Gruppenrichtlinien Profile verbinden können, wählen Sie nur Gruppenrichtlinienprofile für zulässige Netzwerke verwenden.

Windows 7-spezifischen Einstellungen
  1. Damit die Benutzer auf Computern mit ein drahtloses Netzwerk gehostet Windows 7 die mit drahtlosen Netzwerkadaptern, die die Soft-Zugriffspunkt und virtuellen Wi-Fi-Funktionalität unterstützen ausgestattet sind, wählen Sie lassen keine gehosteten Netzwerke.

    System_CAPS_noteHinweis

    Computer mit Windows Vista sind nicht betroffen, die bei dieser Windows 7 Einstellungen.

  2. Verweigern von Benutzern mit Computern unter Windows 7 eingeben und speichern ihre Domänenanmeldeinformationen (Benutzername und Kennwort) die die Computer dann verwenden können, das Netzwerk zu authentifizieren (selbst wenn der Benutzer nicht aktiv angemeldet ist) in Richtlinien für Windows 7, auf freigegebene Benutzeranmeldeinformationen für die Netzwerkauthentifizierung nicht zulassen.

    System_CAPS_noteHinweis

    Freigegebene Benutzer Anmeldeinformationen erlaubt sein können, aktivieren Sie den Computer mit dem Netzwerk verbunden werden soll, nachdem der Computer neu gestartet wird. Dadurch wird den Computer weiterhin Updates, z. B., die über die Gruppenrichtlinie und Windows-Updates, während längere Zeiträume, wenn ein Benutzer nicht aktiv auf dem Computer angemeldet ist.

  3. An die Dauer, für welche Computer unter Windows 7 versucht, automatisch eine Verbindung mit dem Netzwerk wählen vornehmen dürfen Blockierungszeitraum aktivieren, und in Blockierungszeitraum (Minuten), geben Sie die Anzahl der Minuten für die die Blockierungszeitraum angewendet werden soll. Zulässig ist ein Bereich zwischen 1 und 60 Minuten.

    System_CAPS_noteHinweis

    Weitere Informationen zu den Einstellungen auf jeder Registerkarte drücken Sie F1, während der Anzeige dieser Registerkarte.

  4. Klicken Sie auf OK speichern Sie die Einstellungen, und schließen Sie die Netzwerkberechtigungen Registerkarte.

Verwenden Sie die Verfahren in diesem Abschnitt Konfigurieren von Drahtlosnetzwerkrichtlinien (IEEE 802.11) für Clientcomputer, auf denen Windows XP ausgeführt wird, die mit dem Drahtlosnetzwerk verbinden mit 802.1 X-fähige drahtlose Zugriffspunkte (APs).

Dieses Verfahren bietet die erforderlichen Schritte zum Konfigurieren Sie ein PEAP-MS-CHAP v2-Drahtlosprofil für Computer unter Windows XP.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

So konfigurieren Sie ein Windows XP-drahtlosverbindungsprofil für PEAP-MS-CHAP v2

  1. Wenn Sie dies noch nicht getan haben, verwenden Sie die Schritte im Thema Open Wireless Network (IEEE 802.11) Policies for Editing zum Öffnen der XP-Drahtlosnetzwerkrichtlinie (IEEE 802.11) Seite.

  2. Auf der Allgemeine auf der Registerkarte Eigenschaften der Richtlinie im XP-Richtlinienname, geben Sie einen Namen für die Richtlinie, oder übernehmen Sie den Standardnamen. In Beschreibung, geben Sie eine kurze Beschreibung der Richtlinie.

    System_CAPS_noteHinweis

    Konzeptionelle Informationen zu den Einstellungen auf allen Registerkarten der Drahtlosnetzwerkrichtlinien (IEEE 802.11) drücken Sie F1, während der Anzeige dieser Registerkarte.

  3. In Netzwerke für den Zugriff auf, wählen Sie entweder beliebiges verfügbares Netzwerk (bevorzugte Drahtloszugriffspunkt) oder nur Netzwerk (Infrastruktur).

  4. Um anzugeben, dass die WLAN-Autokonfigurationsdienst zum Konfigurieren der Einstellungen des Drahtlosnetzwerkadapters verwendet wird, wählen Sie verwenden Windows WLAN-Autokonfigurationsdienst für Clients.

  5. Clients automatisch eine Verbindung mit Netzwerken herstellen können, die nicht speziell auf definierten ermöglicht die Netzwerke Registerkarte automatisch mit nicht bevorzugten Netzwerken verbinden.

  6. Auf der Bevorzugte Netzwerke Registerkarte Netzwerke, klicken Sie auf Hinzufügen, und wählen Sie dann Infrastruktur. Die Netzwerkeigenschaften das Dialogfeld wird geöffnet.

  7. Auf der Netzwerkeigenschaften Dialogfeld Netzwerkname (SSID), geben Sie den Bezeichner SSID (Service Set), der entspricht die SSID auf dem drahtlosen Zugriffspunkt (AP) konfiguriert.

  8. In Beschreibung, geben Sie eine Beschreibung für das drahtlose Netzwerk.

  9. Wenn Sie drahtlose Zugriffspunkte, die konfiguriert sind bereitgestellt, wählen Sie zum Unterdrücken der broadcast Signalframes Verbinden, selbst wenn das Netzwerk keine Kennung aussendet.

    System_CAPS_noteHinweis

    Durch Aktivieren dieser Option kann ein Sicherheitsrisiko erstellt werden, da drahtlose Clients für Test und Verbindungen mit Drahtlosnetzwerken versucht. Standardmäßig ist diese Einstellung nicht aktiviert.

  10. In Sicherheitsmethoden für dieses Netzwerk auswählen, im Authentifizierung, wählen Sie entweder WPA2 oder WPA, und klicken Sie dann im Verschlüsselung, geben Sie entweder AES oder TKIP.

    Zusätzliche Hinweise für diese Einstellungen:

    1. In der Richtlinie XP-Drahtlosnetzwerkrichtlinie (IEEE 802.11) WPA2 und WPA entsprechen den Windows Vista bzw. Wireless Network (IEEE 802.11) Richtlinien, WPA2-Enterprise und WPA-Enterprise-Einstellungen.

    2. WPA2 ist über WPA bevorzugt. AES ist TKIP. Allerdings unterstützen nicht alle drahtlosen Netzwerk-Adapter-Treiber in Windows XP und Windows Vista WPA2 oder AES.

    3. Auswählen von WPA2 macht zusätzliche Einstellungen für die schnelle Serverspeicherung, die von WPA nicht bereitgestellt werden. Die Standardeinstellungen für die schnelle Serverspeicherung sind ausreichend für Standard-Bereitstellungen.

    4. Obwohl verfügbar ist, wählen Sie WPA2-PSK oder WPA-PSK. WPA2-PSK WPA-PSK sind für kleine Büros und Heimbüros Netzwerken vorgesehen und kann nicht in diesem Szenario verwendet werden.

  11. Klicken Sie auf die IEEE 802.1 X Registerkarte. In EAP-Typ, in der Standardeinstellung geschütztes EAP (PEAP) ausgewählt ist.

  12. Klicken Sie auf Einstellungen. Die Seite Eigenschaften für geschütztes EAP wird geöffnet.

  13. Auf der Eigenschaften für geschütztes EAP auf der Seite beim Herstellen einer Verbindung, gehen Sie folgendermaßen vor:

    1. Um anzugeben, dass die drahtlosen Clients die Authentizität des Zertifikats überprüfen müssen, wählen Sie Überprüfen Sie die Identität des Servers mittels zertifikatprüfung (empfohlen).

    2. Um die RADIUS-Server anzugeben, drahtlose Clients müssen für die Netzwerkauthentifizierung und-Autorisierung bereitstellen verwenden, geben Sie den Namen der einzelnen NPS-Server genau wie in der Betreff Feld des Zertifikats jedes RADIUS-Server.

    3. In Trusted Root Certification Authorities, wählen Sie den vertrauenswürdigen Stammzertifizierungsstelle für NPS-Serverzertifikats. Wählen Sie beispielsweise, wenn die CA-Domäne in "Beispiel.com" CA-01 lautet, Beispiel-CA-01-CA.

    4. Klicken Sie auf OK schließen die Eigenschaften für geschütztes EAP Seite, und klicken Sie dann auf OK schließen die XP-Drahtlosnetzwerkrichtlinie (IEEE 802.11) Seite.

Um NPS 802. 1 X-Authentifizierung für den drahtlosen Zugriff so zu konfigurieren, gehen Sie wie folgt vor:

  • Register NPS in Active Directory Domain Services

  • Configure a Wireless AP as an NPS RADIUS Client

  • Create NPS Policies for 802.1X Wireless using a Wizard

Dieses Verfahren können zum Registrieren eines Servers (Network Policy Server, NPS) in Active Directory-Domänendienste (AD DS) unter in der Domäne, in der NPS-Server Mitglied ist. Für NPS-Server die Berechtigung zum Lesen der Einwähleigenschaften von Benutzerkonten während des Autorisierungsprozesses gewährt werden soll muss alle NPS-Server in AD DS registriert werden. Registrieren einen NPS-Server wird der Server auf die RAS- und IAS-Server Sicherheitsgruppe in AD DS.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

So registrieren Sie einen NPS-Server in seiner Standarddomäne

  1. Klicken Sie auf dem NPS-Server auf Starten, klicken Sie auf Verwaltung, und klicken Sie dann auf Netzwerkrichtlinienserver. Der NPS-Snap-in wird geöffnet.

  2. Mit der rechten Maustaste NPS (lokal), und klicken Sie dann auf Server in Active Directory registrieren. Das Dialogfeld Netzwerkrichtlinienserver wird geöffnet.

  3. Klicken Sie im Dialogfeld Netzwerkrichtlinienserver auf OK, und klicken Sie erneut auf OK.

Verwenden Sie dieses Verfahren so konfigurieren Sie einen drahtlosen Zugriffspunkt (AP), auch bekannt als eine Netzwerkzugriffsserver (NAS), als Client Remote Authentication Dial-in User Service (RADIUS) mithilfe der NPS-Snap-in. Wenn der NPS-Server ausgeführt werden Windows Server 2012 Enterprise oder Windows Server 2012 Datacenter, müssen Sie dieses Verfahren wiederholen, für jeden drahtlosen Zugriffspunkt, die Sie in Ihrem Netzwerk bereitstellen.

System_CAPS_importantWichtig

Clientcomputer, z. B. tragbare Computer und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. Drahtloszugriffspunkte, 802.1X-fähige Switches, VPN (Virtual Private Network)-Server und Einwählserver –, da sie für die Kommunikation mit RADIUS-Servern, z. B. NPS (Network Policy Server)-Servern, das RADIUS-Protokoll verwenden.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

Hinzufügen von einem Netzwerkzugriffsserver als RADIUS-Client auf dem Netzwerkrichtlinienserver

  1. Klicken Sie auf dem NPS-Server auf Starten, klicken Sie auf Verwaltung, und klicken Sie dann auf Netzwerkrichtlinienserver. Der NPS-Snap-in wird geöffnet.

  2. Doppelklicken Sie in der NPS-Snap-in auf RADIUS-Clients und Servern. Mit der rechten Maustaste RADIUS-Clients, und klicken Sie dann auf Neu.

  3. In Neuer RADIUS-Client, überprüfen Sie, ob die Aktivieren dieser RADIUS-Client das Kontrollkästchen aktiviert ist.

  4. In Neuer RADIUS-Client, im Anzeigenamen, geben Sie einen Anzeigenamen für den drahtlosen Zugriffspunkt.

    System_CAPS_tipTipp

    Auf dem Netzwerkrichtlinienserver ist ein drahtlosen Zugriffspunkt ein Gerätetyp, der innerhalb einer Gruppe namens Netzwerkzugriffsserver (NAS) liegt.

    Wenn Sie einen drahtlosen Zugriffspunkt (AP) mit dem Namen AP-01 hinzufügen möchten, z. B. Geben Sie AP-01.

  5. In Adresse (IP oder DNS), geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den NAS.

    Um sicherzustellen, dass der Name richtig ist und eine gültige IP-Adresse zugeordnet, wenn Sie den vollqualifizierten Domänennamen eingeben, klicken Sie auf überprüfen, und klicken Sie dann im Adresse überprüfen, in der Adresse auf beheben. Wenn der FQDN-Name in eine gültige IP-Adresse zugeordnet ist, die IP-Adresse, NAS erscheinen automatisch IP-Adresse. Wenn der FQDN nicht zu einer IP-Adresse aufgelöst werden kann, erhalten Sie eine Meldung, dass kein solcher Host bekannt ist. Wenn dies auftritt, stellen Sie sicher, dass Sie den richtigen Zugriffspunkt haben und dass der Zugriffspunkt eingeschaltet und mit dem Netzwerk verbunden ist.

    Klicken Sie auf OK schließen Adresse überprüfen.

  6. In Neuer RADIUS-Client, im Gemeinsamer geheimer Schlüssel, führen Sie eine der folgenden:

    • Um einen gemeinsamen geheimen RADIUS-Schlüssel manuell zu konfigurieren, wählen manuell, und klicken Sie dann im Gemeinsamer geheimer Schlüssel, geben Sie das starke Kennwort, die auch auf dem NAS eingegeben werden. Geben Sie den gemeinsamen geheimen Schlüssel in gemeinsamen geheimen Schlüssel bestätigen.

    • Um einen gemeinsamen geheimen Schlüssel automatisch zu generieren, wählen Sie die generieren und klicken Sie dann auf die generieren Schaltfläche. Speichern Sie den generierten gemeinsamen geheimen Schlüssel, und dann verwenden Sie diesen Wert, der NAS so konfigurieren, dass er mit dem NPS-Server kommunizieren kann.

      System_CAPS_importantWichtig

      Der geheime RADIUS, den Sie für Ihre virtuellen Zugriffspunkts in NPS eingeben muss genau den gemeinsamen geheime RADIUS-Schlüssel entsprechen, der auf des tatsächlichen drahtlosen Zugriffspunkts konfiguriert ist Wenn Sie die NPS-Option verwenden, um einen gemeinsamen geheimen RADIUS-Schlüssel zu generieren, müssen Sie das entsprechende tatsächliche Drahtloszugriffspunkt mit den gemeinsamen geheimen RADIUS-Schlüssel konfigurieren, die vom NPS generiert wurde.

  7. In Neuer RADIUS-Client, auf der Erweitert Registerkarte Herstellername, geben Sie den Namen des NAS-Herstellers. Wenn Sie den Namen des NAS-Herstellers nicht kennen, wählen Sie RADIUS Standard.

  8. In zusätzliche Optionen, wenn Sie eine beliebige andere Authentifizierungsmethoden als EAP und PEAP verwenden, und wenn NAS die Verwendung des Attributs Authentifikator Nachricht unterstützt auswählen Access-Request-Nachrichten darf das Attribut "Message Authenticator".

  9. Wenn Sie (Network Access Protection, NAP) bereitstellen möchten, und Ihre NAS NAP, wählen Sie unterstützt RADIUS-Client ist NAP-fähig.

  10. Klicken Sie auf OK. Für den NAS wird in der Liste der RADIUS-Clients, die auf dem Netzwerkrichtlinienserver konfiguriert.

Verwenden Sie dieses Verfahren, die Verbindungsanforderungsrichtlinien erstellen und Richtlinien zum Bereitstellen von entweder 802.1X-Authentifizierung erforderlich X-fähige drahtlose Zugriffspunkte als Remote Authentication Dial-in User Service (RADIUS)-Clients an den Radius-Server (Network Policy Server, NPS) ausgeführt.

System_CAPS_importantWichtig

Clientcomputer, z. B. tragbare Computer und andere Computer, auf denen Clientbetriebssysteme ausgeführt werden, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. Drahtloszugriffspunkte, 802.1X-fähige Switches, VPN (Virtual Private Network)-Server und Einwählserver –, da sie für die Kommunikation mit RADIUS-Servern, z. B. NPS (Network Policy Server)-Servern, das RADIUS-Protokoll verwenden.

Nachdem Sie den Assistenten ausführen, werden die folgenden Richtlinien erstellt:

  • Eine Verbindungsanforderungsrichtlinie

  • Eine Netzwerkrichtlinie

System_CAPS_noteHinweis

Jedes Mal, wenn Sie neue Richtlinien für authentifizierten Zugriff mit 802.1X-Authentifizierung erstellen müssen, können Sie den Assistenten für neue IEEE 802.1 X sichere verkabelte und drahtlose ausführen.

Zum Durchführen dieses Verfahrens ist mindestens die Mitgliedschaft in Domänen-Admins oder eine entsprechende Berechtigung erforderlich.

Erstellen von Richtlinien für 802.1 X authentifizierte drahtlose mithilfe ein Assistenten

  1. Öffnen Sie die NPS-Snap-in. Wenn es nicht bereits ausgewählt ist, klicken Sie auf NPS (lokal). Wenn Sie das NPS-MMC-Snap-in ausführen und Richtlinien auf einem NPS-Remoteserver erstellen möchten, wählen Sie den Server.

  2. In Einstieg, im Standardkonfiguration, auf RADIUS-Server für 802. 1 X-drahtlose oder verkabelte 802.1X-Verbindungen. Der Text und die Links unter dem Text werden entsprechend Ihrer Auswahl angepasst.

  3. Klicken Sie auf Konfigurieren von 802.1 X. Das Konfigurieren von 802.1 X-Assistent wird geöffnet.

  4. Auf der Wählen Sie 802.1 X Verbindungen Assistenten auf der Seite 802.1 X Verbindungstypen, auf sichere drahtlose Verbindungen, und in Namen, geben Sie einen Namen für die Richtlinie, oder übernehmen Sie den Standardnamen sichere drahtlose Verbindungen. Klicken Sie aufWeiter.

  5. Auf der 802. 1 X-Schalter angeben Assistenten auf der Seite RADIUS-Clients, alle 802. 1 X-Switches und Drahtloszugriffspunkte, die Sie hinzugefügt haben, als RADIUS-Clients in NPS-Snap-in angezeigt werden. Führen Sie eine der folgenden:

    • Zusätzliche Netzwerkzugriffsserver (NAS), z. B. drahtlose Zugriffspunkte hinzufügen RADIUS-Clients, klicken Sie auf Hinzufügen, und klicken Sie dann im Neuer RADIUS-Client, geben Sie die Informationen für: Anzeigenamen, Adresse (IP oder DNS), und Gemeinsamer geheimer Schlüssel.

    • So ändern Sie die Einstellungen für jeden NAS in RADIUS-Clients, wählen Sie den Zugriffspunkt für die Sie modifizieren, und klicken Sie dann auf möchten Bearbeiten. Ändern Sie die Einstellungen nach Bedarf.

    • So entfernen Sie einen NAS aus der Liste in RADIUS-Clients, wählen Sie das NAS, und klicken Sie dann auf Entfernen.

      System_CAPS_warningWarnung

      Entfernen einen RADIUS-Client innerhalb der Konfigurieren 802.1 X Assistent löscht den Client aus der NPS-Serverkonfiguration. Alle hinzufügen, ändern und löschen, die Sie, in vornehmen der Konfigurieren 802.1 X Assistenten, um RADIUS-Clients im NPS-Snap-in im wiedergegeben der RADIUS-Clients Knoten unter NPS / RADIUS-Clients und Servern. Z. B. Wenn Sie verwenden den Assistenten zum Entfernen von 802.1 X wechseln, der Schalter wird auch der NPS-Snap-in entfernt.

  6. Klicken Sie aufWeiter. Auf der Konfigurieren einer Authentifizierungsmethode Assistenten auf der Seite Typ (basiert auf der und Netzwerk), auf Microsoft: geschütztes EAP (PEAP), und klicken Sie dann auf konfigurieren.

    System_CAPS_tipTipp

    Sie erhalten eine Fehlermeldung, dass ein Zertifikat wurde nicht für die Verwendung mit der Authentifizierungsmethode gefunden, und Active Directory Certificate Services, um automatisch Ausstellen von Zertifikaten auf RAS- und IAS-Server in Ihrem Netzwerk konfiguriert haben, müssen Sie zunächst sicherstellen, dass Sie die Schritte befolgt haben Register NPS in Active Directory Domain Services, dann gehen Sie folgendermaßen vor, um Gruppenrichtlinien zu aktualisieren: Klicken Sie auf Starten, klicken Sie auf Ausführen, und klicken Sie in Öffnen, Typ gpupdate, und drücken Sie die EINGABETASTE. Bei Abschluss des Befehls die Ergebnisse, die angibt, dass Benutzer- und Gruppenrichtlinien erfolgreich aktualisiert haben, wählen Sie Microsoft: geschütztes EAP (PEAP) erneut, und klicken Sie dann auf konfigurieren.

    Wenn nach der Aktualisierung der Gruppenrichtlinie, die Sie weiterhin die Fehlermeldung angezeigt, der angibt, dass ein Zertifikat für die Verwendung mit der Authentifizierungsmethode gefunden werden kann, das Zertifikat nicht angezeigt wird, weil nicht die Mindestanforderungen für Serverzertifikate erfüllen, wird gemäß den in der Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten. In diesem Fall müssen Sie NPS-Konfiguration zu unterbrechen, Sperren Sie das Zertifikat für die NPS-Server ausgestellt und gehen Sie so konfigurieren Sie ein neues Zertifikat mit der Version des Bereitstellungshandbuchs entspricht, die für das Betriebssystem auf der Zertifizierungsstelle installiert.

    1. Für Windows Server 2012, Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten, zum Download im Word-Format im Microsoft Download Center (http://go.microsoft.com/fwlink/?LinkId=251761) und im HTML-Format in die Windows 8 Technical Library (http://technet.microsoft.com/library/jj125379.aspx).

    2. Für Windows 8, Begleithandbuch zum Hauptnetzwerk: Bereitstellung von Serverzertifikaten, zum Download im Word-Format im Microsoft Download Center (http://www.microsoft.com/download/details.aspx?id=29691) und im HTML-Format in die Windows 8 Technical Library (http://technet.microsoft.com/library/jj125379.aspx).

  7. Auf der Eigenschaften für geschütztes EAP bearbeiten Assistenten auf der Seite ausgestelltes Zertifikat, stellen Sie sicher, dass das richtige Zertifikat des NPS-Server ausgewählt ist, und führen Sie die folgenden:

    System_CAPS_noteHinweis

    Überprüfen Sie, ob der Wert in Aussteller ist korrekt für das Zertifikat im ausgewählten ausgestelltes Zertifikat. Z. B. den erwarteten Aussteller für ein Zertifikat von einer Zertifizierungsstelle ausgeführt Windows Server 2012 Active Directory-Zertifikatdienste (AD CS) mit der Bezeichnung corp-DC1 in der Domäne "contoso.com" ist corp-DC1-CA.

    • Damit Benutzer mit ihren drahtlosen Computern zwischen Zugriffspunkten ohne dass sie jedes Mal eine erneute Authentifizierung müssen sie die Zuordnung zu einem neuen Zugriffspunkt wechseln können, wählen Sie schnelle Wiederherstellung der Verbindung aktivieren.

    • Um anzugeben, dass drahtlose Clients verbinden den Netzwerk-Authentifizierungsprozess beendet wird, wenn der RADIUS-Server kein Kryptografiebindungs Type-Length-Value TLV vorweist, wählen Trennen Clients ohne Kryptografiebindungs.

    • So ändern Sie die Richtlinie Einstellungen für das EAP geben, in EAP-Typen, klicken Sie auf Bearbeiten, im EAP-MSCHAPv2-Eigenschaften, ändern Sie die Einstellungen nach Bedarf, und klicken Sie dann auf OK.

  8. Klicken Sie auf OK. Das Dialogfeld Eigenschaften für geschütztes EAP bearbeiten geschlossen und an die Konfigurieren 802.1 X Assistenten. Klicken Sie aufWeiter.

  9. In Benutzergruppen angeben, klicken Sie auf Hinzufügen, und geben Sie den Namen der Sicherheitsgruppe ein, die Sie konfiguriert haben, für die drahtlosen Clients in Active Directory-Benutzer und Computer-Snap-in. Geben Sie beispielsweise, wenn Sie Ihre drahtlose Sicherheitsgruppe Wireless genannt, Drahtlosnetzwerke. Klicken Sie aufWeiter.

  10. Klicken Sie auf konfigurieren RADIUS-Standardattribute und herstellerspezifische Attribute für die virtuellen LAN (VLAN) nach Bedarf, und als konfigurieren angegeben, die von Ihrem drahtlosen Zugriffspunkt Hardwarehersteller bereitgestellten Dokumentation. Klicken Sie aufWeiter.

  11. Überprüfen Sie die Konfigurationsdetails Zusammenfassung, und klicken Sie dann auf Fertig stellen.

Die einfachste Methode zum Hinzufügen von neuer drahtloser Computern, die ausgeführt werden Windows 8, Windows 7, Windows Vista, oder Windows XP mit der Domäne physisch den Computer ein Segment auf das verdrahtete LAN (ein Segment, das nicht von einem 802.1 X Switch gesteuert) zuordnen, bevor der Computer der Domäne hinzugefügt werden. Dies ist am einfachsten, da drahtlose gruppenrichtlinieneinstellungen automatisch und sofort angewendet, und wenn Sie Ihre eigene PKI bereitgestellt haben, wird der Computer das CA-Zertifikat erhält und speichert es in den Zertifikatspeicher vertrauenswürdiger Stammzertifizierungsstellen der drahtlose Client NPS-Server mit Server-Zertifikate, die von der Zertifizierungsstelle ausgestellten vertrauen.

Nachdem ein neuer Drahtloscomputer mit der Domäne verknüpft ist, ist die bevorzugte Methode für Benutzer zum Anmelden bei der Domäne ebenso Protokoll ausführen, indem Sie mithilfe einer Kabelverbindung zum Netzwerk.

Computer unter Windows Vista

In Fällen es nicht praktikabel ist ist, Hinzufügen von Computern unter Windows Vista der Domäne mithilfe von eine verkabelte Ethernet-Verbindung oder in Fällen, in denen der Benutzer nicht der Domäne zum ersten Mal anmelden mit einer Kabelverbindung, müssen Sie eine alternative Methode verwenden. Dieses Handbuch enthält die folgenden alternativen Methoden zum Konfigurieren von Profilen, mit denen Benutzer zum Hinzufügen von Computern zur Domäne und dann anmelden oder eine drahtlose Verbindung mit der Domäne anmelden:

  • Methode 1. Ein Mitglied der IT-Mitarbeiter verknüpfen einen Drahtloscomputer mit Windows Vista zur Domäne und einmaliges Anmelden bootstrap-Drahtlosprofil konfiguriert. Bei dieser Methode wird der IT-Administrator den Drahtloscomputer mit dem Ethernet-Netzwerk verbunden, und der Computer der Domäne hinzugefügt. Der Administrator verteilt dann den Computer für den Benutzer. Wenn der Benutzer startet der Computer ohne ein verkabeltes, die Anmeldeinformationen für die Domäne, die sie manuell für die Benutzeranmeldung als angeben, werden verwendet, um sowohl das eine Verbindung mit dem drahtlosen Netzwerk und zum Anmelden bei der Domäne einrichten.

    Weitere Informationen finden Sie unter Join the Domain and Log On by using Wireless Method 1.

  • Methode 2. Der Benutzer den Drahtloscomputer unter manuell konfiguriert Windows Vista mit bootstrap-Drahtlosprofil und Joins, die die Domäne auf der Grundlage von Anweisungen aus der IT-Administrator. Der bootstrap-Drahtlosprofil ermöglicht dem Benutzer eine drahtlose Verbindung herzustellen und dann der Domäne beitreten. Nach dem Hinzufügen des Computers zur Domäne und den Computer neu starten, kann der Benutzer an der Domäne anmelden mithilfe einer drahtlosen Verbindung und ihre Anmeldeinformationen für das Domänenkonto.

    Weitere Informationen finden Sie unter Join the Domain and Log On by using Wireless Method 2.

Windows XP-Computern

In Fällen, in denen es nicht müssen praktikabel ist, eine Verknüpfung, die Computern unter Windows XP mit der Domäne über ein verkabeltes Ethernet oder der Benutzer sich nicht anmelden bei der Domäne zum ersten Mal ein verkabeltes mit Sie manuell ein Profil konfigurieren. Dieses Handbuch enthält die folgenden alternativen Methoden zum Konfigurieren eines Profils, das Benutzern ermöglicht, Hinzufügen von Computern unter Windows XP mit der Domäne mithilfe einer drahtlosen Verbindungs, und melden sich an der Domäne an, indem Sie über eine drahtlose Verbindung:

  • Methode 3. Der Benutzer manuell konfiguriert die Eigenschaften der drahtlosen Verbindung im Netzwerkverbindungen auf dem drahtlosen ausgeführte Windows XP, basierend auf Informationen von einem IT-Administrator. Die Konfiguration kann der Benutzer eine drahtlose Verbindung herzustellen und dann der Domäne beitreten. Nachdem der Computer der Domäne hinzugefügt und neu gestartet wird, kann sich der Benutzer der Domäne mithilfe einer drahtlosen Verbindung und ihre Anmeldeinformationen für das Domänenkonto anmelden. Weitere Informationen finden Sie unter Join the Domain and Log On by using Wireless Method 3.

Mitglied der Domänenbenutzer mit Domäne Drahtlosclientcomputer mit Windows Vista können ein temporäres Drahtlosprofil verwenden, eine Verbindung mit einem 802.1X-authentifizierten 802.1X-authentifizierten drahtloses Netzwerk ohne zuerst eine Verbindung mit dem verkabelten LAN. Diesem temporären Drahtlosprofil bekannt als eine bootstrap-Drahtlosprofil, erfordert, dass die Benutzer ihre Anmeldeinformationen für das Domänenbenutzerkonto manuell angeben und das Zertifikat des Remote Authentication Dial-in User Service (RADIUS)-Servers (Network Policy Server, NPS) wird nicht überprüft. Drahtlose Verbindungen nach dem Einrichten der Gruppenrichtlinie wird angewendet, auf dem drahtlosen Client und ein neues drahtloses Profil ausgegeben wird. Die neue Richtlinie verwendet automatisch die Computer- und Anmeldeinformationen für die Clientauthentifizierung. Darüber hinaus als Teil der PEAP-MS-CHAP v2 gegenseitige Authentifizierung überprüft der Client die Anmeldeinformationen des RADIUS-Servers.

Nachdem Sie den Computer beitreten Windows Vista der Domäne können Sie einmaliges Anmelden bootstrap-Drahtlosprofil, konfigurieren, bevor die Drahtloscomputer für den Benutzer Mitglied der Domäne.

So konfigurieren Sie einmaliges Anmelden bootstrap-Drahtlosprofil

  1. Konfigurieren ein bootstrap-Drahtlosprofil mithilfe des Verfahrens Configure a Wireless Connection Profile for PEAP-MS-CHAP v2 mit den folgenden Einstellungen angegeben:

    • PEAP-MS-CHAP v2-Authentifizierung

    • Überprüfen Sie die RADIUS-Serverzertifikats deaktiviert

    • Einmaliges Anmelden aktiviert

  2. In Windows Vista Drahtlosnetzwerke (IEEE 802.11), auf die Allgemeine auf exportieren um das Profil in einer Netzwerkfreigabe zu exportieren, USB-Flashlaufwerk, oder andere leicht zugänglichen Speicherort.

  3. Verknüpfen Sie den neuen Drahtloscomputer mit der Domäne (z. B. über eine Ethernet-Verbindung, die keine IEEE 802.1X-Authentifizierung erfordert Authentifizierung) und fügen das bootstrap-Drahtlosprofil für den Computer mit der Netsh Wlan-Profil hinzufügen Befehl.

    System_CAPS_noteHinweis

    Weitere Informationen finden Sie unter Netsh-Befehle für Wireless Local Area Network (WLAN) am http://technet.microsoft.com/library/dd744890.aspx.

  4. Verteilen Sie den neuen Drahtloscomputer für den Benutzer mit der Vorgehensweise "Melden Sie sich bei der Domäne mit einem Computer unter Windows Vista."

Wenn der Benutzer den Computer startet, fordert Windows Vista den Benutzer zur Eingabe ihrer Domäne den Kontonamen und das Kennwort an. Da einmaliges Anmelden aktiviert ist, verwendet der Computer die Anmeldeinformationen für das Domänenbenutzerkonto, zunächst eine Verbindung mit dem drahtlosen Netzwerk ein, und melden Sie sich bei der Domäne herstellen.

Melden Sie sich bei der Domäne mit Computern unter Windows Vista

  1. Melden Sie den Computer ab, oder starten Sie ihn neu.

  2. Drücken Sie STRG+ALT+ENTF. Der Anmeldebildschirm wird angezeigt.

  3. Klicken Sie auf Benutzer wechseln und dann auf Anderer Benutzer.

  4. Geben Sie im Feld Benutzername Ihre Domäne und Ihren Benutzernamen im Format Domäne\Benutzer ein. Z. B. für die Anmeldung mit einem Konto mit dem Namen der Domäne "example.com" Benutzer-01, Typ beispiel\benutzer-01.

  5. Geben Sie im Feld Kennwort das Domänenkennwort ein, und klicken Sie auf den Pfeil, oder drücken Sie die EINGABETASTE.

Bei dieser Methode führen Sie die Schritte im Abschnitt allgemeine Schritte, und stellen Ihre Domänenmitglieds-Benutzer mit der Anleitung zum Konfigurieren Sie manuell eines Drahtloscomputer mit Windows 8, Windows 7 oder Windows Vista® mit einem bootstrap-Drahtlosprofil. Der bootstrap-Drahtlosprofil ermöglicht dem Benutzer eine drahtlose Verbindung herzustellen und dann der Domäne beitreten. Nachdem der Computer der Domäne hinzugefügt und neu gestartet wird, kann der Benutzer über eine drahtlose Verbindung an der Domäne anmelden.

Allgemeine Schritte

  1. Konfigurieren Sie ein Administratorkonto des lokalen Computers in Systemsteuerung, für den Benutzer.

    System_CAPS_importantWichtig

    Um einen Computer zu einer Domäne hinzuzufügen, muss der Benutzer am Computer mit dem lokalen Administratorkonto angemeldet sein. Alternativ muss der Benutzer bei der Verknüpfung des Computers mit der Domäne die Anmeldeinformationen für das lokale Administratorkonto angeben. Darüber hinaus muss der Benutzer ein Benutzerkonto in der Domäne verfügen, auf die der Benutzer der Computer beitreten möchte. Bei der den Computer der Domäne hinzugefügt wird der Benutzer zur Domänenanmeldeinformationen (Benutzername und Kennwort) aufgefordert werden.

  2. Benutzer Ihrer Domäne mit den Anweisungen zum Konfigurieren ein bootstrap-Drahtlosprofil bereitstellen, wie im folgenden Verfahren beschrieben: Bootstrap-Drahtlosprofil zu konfigurieren. Darüber hinaus bieten dem Benutzer mit dem lokalen Computer-Anmeldeinformationen (Benutzername und Kennwort), und Domänenanmeldeinformationen (Domänenbenutzerkontonamen und Kennwort) in der Form Domänenname\benutzername, sowie die Verfahren, um den Computer der Domäne "Join" und "Anmelden bei der Domäne" als dokumentiert, in der Windows 8 zum Hauptnetzwerk.

System_CAPS_noteHinweis

Nach Abschluss der allgemeinen Schritte aus, geben Sie die folgenden Verfahren für Benutzer in Ihrer Organisation, die auf Ihr drahtloses Netzwerk mit Computern verbunden werden Windows 8, Windows 7 oder Windows Vista.

So konfigurieren Sie ein bootstrap-Drahtlosprofil

  1. Verwenden Sie die Anmeldeinformationen für Sie von Ihrem Netzwerkadministrator oder der IT-Support professional auf dem Computer mit dem Administratorkonto für den lokalen Computer anmelden.

  2. Klicken Sie auf Starten, klicken Sie auf Herstellen einer Verbindung mit, und klicken Sie dann auf Richten Sie eine Verbindung oder Netzwerk. Die mit einem Netzwerk verbinden das Dialogfeld wird geöffnet.

  3. Klicken Sie auf manuell eine Verbindung mit einem Drahtlosnetzwerk herstellen, und klicken Sie dann auf Weiter.

  4. In manuell eine Verbindung mit einem Drahtlosnetzwerk herstellen, im Netzwerknamen, geben Sie den Namen der SSID des Zugriffspunkts.

  5. In Sicherheitstyp, wählen Sie die Einstellung, die von Ihrem Administrator bereitgestellt.

  6. In Verschlüsselungstyp, wählen Sie die Einstellung, die von Ihrem Administrator bereitgestellt.

  7. Wählen Sie diese Verbindung automatisch starten, und klicken Sie dann auf Weiter.

  8. In wurde erfolgreich hinzugefügtIhr Netzwerk SSID, klicken Sie auf Verbindungseinstellungen ändern.

  9. Klicken Sie auf Verbindungseinstellungen ändern. Die Ihr Netzwerk SSID Drahtlosnetzwerke Eigenschaft-Dialogfeld wird geöffnet.

  10. Klicken Sie auf die Security Registerkarte und dann im Netzwerkauthentifizierungsmethode auswählen, auf geschütztes EAP (PEAP).

  11. Klicken Sie auf Einstellungen. Die Eigenschaften für geschütztes EAP (PEAP) Seite wird geöffnet.

  12. In der Eigenschaften für geschütztes EAP (PEAP) Seite löschen Serverzertifikat, klicken Sie auf OK zweimal, und klicken Sie dann auf Schließen.

  13. Windows Vista versucht, eine Verbindung mit dem drahtlosen Netzwerk herstellen. Die Einstellungen des bootstrap-Drahtlosprofils angeben, dass Sie Ihre Domänenanmeldeinformationen bereitstellen müssen. Wenn Windows Vista aufgefordert, einen Kontonamen und ein Kennwort ein, geben die Anmeldeinformationen des Domänenkontos wie folgt: Domänenname\benutzername, Domänenkennwort.

Auf einen Computer mit der Domäne beitreten

  1. Melden Sie sich bei dem Computer mit dem lokalen Administratorkonto an.

  2. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Computer, und klicken Sie dann auf Eigenschaften. Das Dialogfeld System wird geöffnet.

  3. Klicken Sie unter Einstellungen für Computernamen, Domäne und Arbeitsgruppe auf Einstellungen ändern. Das Dialogfeld Systemeigenschaften wird geöffnet.

    System_CAPS_noteHinweis

    Auf Computern mit Windows Vista, vor der Systemeigenschaften das Dialogfeld wird geöffnet, die User Account Control Dialogfeld geöffnet, die Erlaubnis, um den Vorgang fortzusetzen. Klicken Sie auf Weiter, um fortzufahren.

  4. Klicken Sie auf Ändern. Das Dialogfeld Ändern des Computernamens bzw. der Domäne wird geöffnet.

  5. Wählen Sie im Dialogfeld Computername unter Mitglied von die Option Domäne aus, und geben Sie den Namen der Domäne ein, der der Computer hinzugefügt werden soll. Geben Sie beispielsweise, wenn der Name der Domäne "Beispiel.com" ist, example.com.

  6. Klicken Sie auf OK. Das Dialogfeld Windows-Sicherheit wird geöffnet.

  7. Geben Sie im Dialogfeld Ändern des Computernamens bzw. der Domäne im Feld Benutzername den Benutzernamen und im Feld Kennwort das Kennwort ein, und klicken Sie auf OK. Das Dialogfeld Ändern des Computernamens bzw. der Domäne wird geöffnet, und Sie werden bei der Domäne begrüßt. Klicken Sie auf OK.

  8. Im Dialogfeld Ändern des Computernamens bzw. der Domäne wird eine Meldung angezeigt, dass der Computer neu gestartet werden muss, damit die Änderungen wirksam werden. Klicken Sie auf OK.

  9. Auf der Computername auf der Registerkarte der Systemeigenschaften auf Schließen. Das Dialogfeld Microsoft Windows wird geöffnet und zeigt erneut die Meldung an, dass der Computer neu gestartet werden muss, damit die Änderungen wirksam werden. Klicken Sie auf Jetzt neu starten.

Melden Sie sich bei der Domäne

  1. Melden Sie den Computer ab, oder starten Sie ihn neu.

  2. Drücken Sie STRG+ALT+ENTF. Der Anmeldebildschirm wird angezeigt.

  3. Klicken Sie auf Benutzer wechseln und dann auf Anderer Benutzer.

  4. Geben Sie im Feld Benutzername Ihre Domäne und Ihren Benutzernamen im Format Domäne\Benutzer ein. Z. B. für die Anmeldung mit einem Konto mit dem Namen der Domäne "example.com" Benutzer-01, Typ beispiel\benutzer-01.

  5. Geben Sie im Feld Kennwort das Domänenkennwort ein, und klicken Sie auf den Pfeil, oder drücken Sie die EINGABETASTE.

Bei dieser Methode konfigurieren Benutzer die Einstellungen für drahtlose Verbindung manuell auf Computern mit Windows XP, basierend auf Informationen, die Sie darüber. Die Konfiguration kann Benutzer eine drahtlose Verbindung herzustellen und dann der Domäne beizutreten. Nachdem der Computer der Domäne hinzugefügt und neu gestartet wird, können sich Benutzer der Domäne mithilfe einer drahtlosen Verbindung und ihre Anmeldeinformationen für das Domänenkonto anmelden.

Allgemeine Schritte

  1. Der IT-Administrator konfiguriert ein Administratorkonto des lokalen Computers in Systemsteuerung, für den Benutzer.

    System_CAPS_importantWichtig

    So konfigurieren Sie die erforderlichen drahtlose Verbindung und Hinzufügen eines Computers zu einer Domäne, muss der Benutzer auf den Computer mit einem lokalen Administratorkonto angemeldet sein. Darüber hinaus muss der Benutzer ein Benutzerkonto in der Domäne verfügen, auf die der Benutzer der Computer beitreten möchte. Bei der den Computer der Domäne hinzugefügt wird der Benutzer zur Domänenanmeldeinformationen (Benutzername und Kennwort) aufgefordert werden.

  2. Der IT-Administrator ermöglicht dem Benutzer die folgenden Elemente:

    • Einen Drahtloscomputer unter Windows XP mit Service Pack 2.

    • Die Anweisungen so konfigurieren Sie die Einstellungen für drahtlose Verbindung manuell in den Eigenschaften der drahtlosen Verbindung im Netzwerkverbindungen, wie in der Prozedur, die folgenden "Einstellungen für drahtlose Verbindung für Windows XP manuell konfigurieren".

      Erhalten Sie, wenn (der IT-Administrator) Ihre Benutzer die Anweisungen, um ihre Einstellungen für drahtlose Verbindung manuell zu konfigurieren müssen Sie die folgenden Werte für Ihr drahtloses Netzwerk bereitstellen:

      • Netzwerkname (SSID): Geben Sie den Service Set Identifier für Ihr drahtloses Netzwerk.

      • Verbinden, selbst wenn das Netzwerk keine Kennung aussendet: Gibt an, ob dieses Kontrollkästchen deaktivieren, wenn Ihre drahtlosen Zugriffspunkte nicht konfiguriert sind, die broadcast-Beacons unterdrückt bzw. dieses Kontrollkästchen aktivieren, wenn Ihre drahtlosen Zugriffspunkte konfiguriert werden, um die broadcast-Beacons zu unterdrücken.

      • Netzwerkauthentifizierung: Geben Sie Wi-Fi Protected Access (WPA) oder WPA2 zu empfehlen.

      • Datenverschlüsselung: Geben Sie TKIP Temporal Key Integrity Protocol () oder Advanced Encryption Standard (AES).

      • Serverzertifikat: angeben, ob dieses Kontrollkästchen deaktivieren, wenn Sie eine private Zertifizierungsstelle (CA) bereitgestellt haben, in Ihrem Netzwerk zum Ausstellen von Serverzertifikaten NPS-Server oder an, ob dieses Kontrollkästchen aktivieren, wenn Sie Serverzertifikate für die Server (Network Policy Server, NPS) von einer öffentlichen Zertifizierungsstelle dem Netzwerkclients bereits vertraut sind mit erworben haben.

      • Vertrauenswürdige Stammzertifizierungsstellen: Geben Sie den Namen der Zertifizierungsstelle, die das Serverzertifikat ausgestellt, auf dem NPS-Server hat.

        System_CAPS_tipTipp

        Die Prozedur "manuell konfigurieren Einstellungen für drahtlose Verbindung für Windows XP" bietet einen Schritt aus, um die Zertifizierungsstelle angeben, die Serverzertifikate für die Netzwerkrichtlinienserver ausgestellt. Um die Hinweise für Ihre Benutzer zum Konfigurieren von Einstellungen für drahtlose Verbindung zu vereinfachen, behalten Sie diesen Schritt, unabhängig davon, ob Serverzertifikat aktiviert oder deaktiviert ist.

    • Sowohl der lokale Computer-Anmeldeinformationen (Benutzername und Kennwort), und die Domänenanmeldeinformationen (Domänenbenutzerkontonamen und Kennwort) in der Form Domänenname\benutzername.

    • Die Verfahren zum Hinzufügen eines Computers zur Domäne und zum Anmelden an der Domäne, die weiter unten in diesem Thema und unter dokumentiert die Windows 8 Foundation-Netzwerkhandbuch.

Drahtlose Verbindungseinstellungen für Windows XP manuell konfigurieren

  1. Melden Sie sich mit Ihrem lokalen Computer ein Administratorkonto am Computer an.

  2. Klicken Sie auf Starten, zeigen Sie auf Verbinden mit, und klicken Sie dann auf zeigen alle Verbindungen. Netzwerkverbindungen wird geöffnet.

  3. In Netzwerkverbindungen, in LAN oder Speed Internet, mit der rechten Maustaste auf die drahtlosnetzwerkverbindung, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften für Drahtlosnetzwerk-Verbindung wird geöffnet.

  4. In Wireless Network Connection Properties, klicken Sie auf die Drahtlosnetzwerke Registerkarte.

  5. Auf der Drahtlosnetzwerke auf Hinzufügen. Das Dialogfeld Eigenschaften von Drahtlosnetzwerkrichtlinien wird geöffnet.

  6. Auf der Zuordnung Registerkarte Netzwerkname (SSID), geben Sie den SSID-Wert, der von Ihrem Administrator angegeben.

  7. In Verbinden, selbst wenn das Netzwerk keine Kennung aussendet, aktivieren oder deaktivieren Sie das Kontrollkästchen wie vom Administrator angegeben. Standardmäßig ist dieses Kontrollkästchen deaktiviert.

  8. In Netzwerkauthentifizierung, auf TKIP oder AES wie vom Administrator angegeben.

  9. Sicherstellen, dass Dies ist ein Computer-zu-Computer (Ad-Hoc) Netzwerk: drahtlose Zugriffspunkte werden nicht verwendet deaktiviert ist, und klicken Sie dann auf die Authentifizierung Registerkarte.

  10. Auf der Authentifizierung sicher, dass Aktivieren IEEE 802.1X-Authentifizierung für dieses Netzwerk ausgewählt ist.

  11. In EAP-Typ, auf geschütztes EAP (PEAP), und klicken Sie dann auf Eigenschaften. Das Dialogfeld Eigenschaften für geschütztes EAP wird geöffnet.

  12. Auf der Eigenschaften für geschütztes EAP Dialogfeld Serverzertifikat, aktivieren oder deaktivieren Sie das Kontrollkästchen wie vom Administrator angegeben.

  13. In Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie die Zertifizierungsstelle, die vom Administrator angegeben.

  14. In Authentifizierungsmethode auswählen, stellen Sie sicher Gesichertes Kennwort (EAP-MSCHAP v2) ausgewählt ist, und klicken Sie dann auf OK zweimal. Das Dialogfeld Eigenschaften für geschütztes EAP wird geschlossen, und auf der Registerkarte Authentifizierung geschlossen und zur Registerkarte "Drahtlosnetzwerke".

  15. Auf der Drahtlosnetzwerk Registerkarte Bevorzugte Netzwerke, wählen Sie die SSID, die Sie in Schritt 6 dieses Verfahrens angegeben, und klicken Sie dann auf nach oben bis das drahtlose Netzwerk sich am Anfang der Liste im befindet Bevorzugte Netzwerke.

  16. Klicken Sie auf OK. Die Eigenschaften des drahtlosen Netzwerk Verbindung geschlossen und zu den Netzwerkverbindungen.

  17. Schließen Netzwerkverbindungen.

Windows XP-Computern mit der Domäne beitreten

  1. Melden Sie sich mit Ihrem lokalen Computer ein Administratorkonto am Computer an.

  2. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften. Das Dialogfeld Systemeigenschaften wird geöffnet.

  3. Klicken Sie auf Ändern. Das Dialogfeld Computernamen ändern wird geöffnet.

  4. Wählen Sie im Dialogfeld Computernamen ändern unter Mitglied von die Option Domäne aus, und geben Sie den Namen der Domäne ein, der der Computer hinzugefügt werden soll. Geben Sie beispielsweise, wenn der Name der Domäne "Beispiel.com" ist, example.com.

  5. Klicken Sie auf OK. Das Dialogfeld Computernamen ändern wird geöffnet. In Benutzername, geben Sie den Domänenbenutzerkontonamen und Kennwort, geben Sie das Benutzerkennwort für die Domäne, und klicken Sie dann auf OK.

  6. Das Dialogfeld Computernamen ändern wird geöffnet, und Sie werden bei der Domäne begrüßt.

  7. Klicken Sie auf OK. Im Dialogfeld Computernamen ändern wird eine Meldung angezeigt, dass der Computer neu gestartet werden muss, damit die Änderungen wirksam werden.

  8. Klicken Sie auf OK.

  9. In der Systemeigenschaften Dialogfelds die Computername auf OK, schließen die Systemeigenschaften (Dialogfeld). Das Dialogfeld Geänderte Systemeinstellungen wird geöffnet und zeigt erneut die Meldung an, dass der Computer neu gestartet werden muss, damit die Änderungen wirksam werden.

  10. Klicken Sie auf Ja.

Melden Sie sich bei der Domäne mit Computern unter Windows XP

  1. Melden Sie den Computer ab, oder starten Sie ihn neu.

  2. Drücken Sie STRG+ALT+ENTF. Das Dialogfeld Windows-Anmeldung wird angezeigt.

  3. Wenn das Dialogfeld Windows-Anmeldung nicht angezeigt wird, klicken Sie auf Optionen.

  4. Wählen Sie in der Dropdownliste Anmelden an Ihre Domäne aus. Wählen Sie z. B. in der Domäne "Beispiel.com" Beispiel aus.

  5. Geben Sie Ihre Domäne und Ihren Benutzernamen im Format Domäne\Benutzer ein. Z. B. zum Anmelden bei der Domäne "Beispiel.com" mit einem Konto mit dem Namen Benutzer-01, Typ beispiel\benutzer-01.

  6. Geben Sie im Feld Kennwort Ihr Domänenkennwort ein, und drücken Sie dann die EINGABETASTE.

Weitere Informationen zu den Technologien in diesem Handbuch finden Sie in den folgenden Ressourcen:

Anzeigen: