Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern

WLAN-Bereitstellung

James McIllece|Zuletzt aktualisiert: 10.03.2017
|
1 Mitwirkender

Gilt für: Windows Server 2016

Führen Sie diese Schritte, um die WLAN-Zugriff bereitstellen:

Bereitstellen und Konfigurieren von WLAN-Zugriffspunkten

Führen Sie die folgenden Schritte zum Bereitstellen und konfigurieren die drahtlose Zugriffspunkte:

Hinweis

Die Verfahren in diesem Handbuch enthalten Anweisungen für Fälle in der nicht die Benutzerkontensteuerung Öffnen des Dialogfelds zum Anfordern der Berechtigung zum fortfahren. Wenn dieses Dialogfeld wird geöffnet, während die Verfahren in diesem Handbuch durchführen, und wenn das Dialogfeld, als Antwort auf Ihre Aktionen geöffnet wurde, klicken Sie auf Weiter.

WAP-Kanal-Frequenzen angeben

Wenn Sie mehrere drahtlose Zugriffspunkte an einem einzigen geografischen Standort bereitstellen, müssen Sie drahtlose Zugriffspunkte konfigurieren, der überlappende Signale, eindeutige Kanalfrequenzen verwenden, um Konflikte zwischen Drahtloszugriffspunkten haben.

Die folgenden Richtlinien können Sie hilft Ihnen bei der Auswahl der Kanalfrequenzen, die nicht mit anderen Drahtlosnetzwerke an der geografischen Position des Funknetzwerks in Konflikt stehen.

  • Wenn es andere Unternehmen mit Sitz in der Nähe oder im gleichen Gebäude als Ihrer Organisation, identifizieren fest, ob es im Besitz von diesen Organisationen Drahtlosnetzwerke. Erfahren Sie Frequenzen von ihren WAP, sowohl die Platzierung und den zugewiesenen Kanal da Sie des Zugriffspunkts anderen Kanalfrequenzen zuweisen müssen und Sie die beste Position für des Zugriffspunkts installieren bestimmen müssen

  • Überlappende drahtlose Signale auf angrenzenden Stockwerken innerhalb der eigenen Organisation zu identifizieren. Nach dem Identifizieren überlappende in allen Regionen außerhalb und innerhalb Ihrer Organisation zuweisen Kanalfrequenzen für die drahtlose Zugriffspunkte sicherstellen, dass zwei drahtlose Zugriffspunkte mit überlappende anderen Kanalfrequenzen zugewiesen.

Konfigurieren von WLAN-Zugriffspunkten

Verwenden Sie die folgende Informationen zusammen mit der Produktdokumentation des drahtlosen AP-Herstellers, um die WLAN-Zugriffspunkte konfigurieren.

Diese Prozedur zählt die Elemente, die häufig auf eine drahtlose Zugriffspunkt konfiguriert. Die Namen können je nach Marke und Modell variieren und möglicherweise erheblich von denen in der folgenden Liste. Einzelheiten hierzu finden Sie unter der drahtlosen AP-Dokumentation.

So konfigurieren Sie die drahtlose Zugriffspunkte

  • SSID. Geben Sie den Namen des Drahtlosnetzwerks(s)(z. B. ExampleWLAN). Dies ist der Name, der WLAN-Clients angekündigt wird.

  • Verschlüsselung. WPA2 angeben-Enterprise (bevorzugte) oder WPA-Enterprise und entweder AES (bevorzugte) oder TKIP Verschlüsselungsverfahren, je nachdem, welches Versionen von Ihrer drahtlosen Client-Computer-Netzwerkadapter unterstützt werden.

  • Wireless-Zugriffspunkt IP-Adresse (statische). Konfigurieren Sie auf jeder Zugriffspunkt eine eindeutige statische IP-Adresse, die innerhalb der Ausschlussbereich der DHCP-Bereich für das Subnetz liegt. Mit einer Adresse, die Zuweisung von DHCP ausgeschlossen wird verhindert, dass den DHCP-Server die IP-Adresse auf einem Computer oder einem anderen Gerät zuweisen.

  • Subnetzmaske. Konfigurieren Sie diese Option, um die Subnetz-Maske Einstellungen des LAN übereinstimmen, mit denen Sie die WAP verbunden haben.

  • DNS-Name. Einige drahtlose Zugriffspunkte können einen DNS-Namen konfiguriert werden. Der DNS-Dienst im Netzwerk kann DNS-Namen in eine IP-Adresse auflösen. Geben Sie auf jeden WAP, die dieses Feature unterstützt, einen eindeutigen Namen für die DNS-Auflösung.

  • DHCP-Dienst. Verfügt Ihr WLAN-Zugriffspunkt ein integriertes-DHCP-Dienst, deaktivieren Sie es.

  • RADIUS gemeinsamen geheimen Schlüssel. Verwenden Sie einen eindeutigen RADIUS gemeinsamen geheimen Schlüssel für jeden WAP, wenn Sie beabsichtigen, Zugriffspunkte als RADIUS-Clients in NPS Group konfigurieren. Wenn Sie Zugriffspunkte Group in NPS konfigurieren möchten, muss der gemeinsame geheime Schlüssel für jedes Mitglied der Gruppe gleich sein. Darüber hinaus sollte jede gemeinsame geheime Schlüssel, die, den Sie verwenden, eine zufällige Sequenz von mindestens 22 Zeichen, die in Großbuchstaben mischt und Kleinbuchstaben, Zahlen und Satzzeichen. Um Zufälligkeit zu gewährleisten, können Sie einen Inhaltsobjekte-Generator, z. B.: Inhaltsobjekte Generator finden Sie in der NPS konfigurieren 802.1 X Assistenten, um die gemeinsame geheime Schlüssel zu erstellen.

Tipp

Notieren Sie den gemeinsamen geheimen Schlüssel für jeden WAP, und speichern Sie sie an einem sicheren Ort, z. B. ein Office sicher. Sie müssen den gemeinsamen geheimen Schlüssel für jeden WAP kennen, wenn Sie in der NPS RADIUS-Clients konfigurieren.

  • RADIUS-Server-IP-Adresse. Geben Sie die IP-Adresse des Servers mit NPS.

  • UDP-Port(s). Standardmäßig verwendet NPS UDP-Ports 1812 und 1645 für die Authentifizierung von Nachrichten und UDP-Port 1813 und 1646 für die Kontoführungsnachrichten. Es wird empfohlen, die dieselben UDP-Ports auf die Zugriffspunkte verwenden, sondern besitzen Sie einen guter Grund für die Verwendung anderer Ports, stellen Sie sicher, dass Sie nicht nur die Zugriffspunkte mit der neuen Portnummern konfigurieren aber auch alle mit den gleichen Portnummern als die Zugriffspunkte NPS-Server neu konfigurieren. Wenn die Zugriffspunkte und der Netzwerkrichtlinienserver mit den gleichen UDP-Anschlüssen nicht konfiguriert sind, NPS nicht empfangen oder verarbeiten Verbindungsanfragen von den Zugriffspunkten und alle versucht, eine drahtlose Verbindung auf das Netzwerk werden ein Fehler auf.

  • Herstellerspezifische. Einige drahtlose Zugriffspunkte erfordern Anbieter-für bestimmte einzelne Attribute (herstellerspezifische) vollständig drahtlosen Zugriffspunkt zu ermöglichen. Herstellerspezifische Attribute werden in der NPS-Netzwerkrichtlinien hinzugefügt.

  • DHCP-Filterung. Konfigurieren Sie die drahtlose Zugriffspunkte drahtlose Clients IP-Pakete von UDP-Port 68 an das Netzwerk senden zu blockieren, wie durch den Hersteller der drahtlosen Zugriffspunkt dokumentiert.

  • DNS-Filterung. Konfigurieren Sie die drahtlose Zugriffspunkte drahtlose Clients IP-Pakete von TCP- oder UDP-Port 53 auf das Netzwerk senden zu blockieren, wie durch den Hersteller der drahtlosen Zugriffspunkt dokumentiert.

Erstellen von Sicherheitsgruppen für Mobiltelefone

Befolgen Sie diese Schritte aus, um eine oder mehrere Benutzer Sicherheitsgruppen erstellen, und fügen Sie Benutzer zur entsprechenden mit drahtlosem Sicherheitsgruppe:

Erstellen Sie eine drahtlose Benutzer Sicherheitsgruppe

Verwenden Sie dieses Verfahren, erstellen Sie eine drahtlose Sicherheitsgruppe in den Active Directory-Benutzer und -Computer Microsoft Management Console (MMC) Andocken-in.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen zu können.

Erstellen Sie eine Sicherheitsgruppe mit drahtlosem

  1. Klicken Sie auf starten, klicken Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer. Das Snap-In Active Directory-Benutzer und -Computer-in geöffnet wird. Wenn es nicht bereits aktiviert ist, klicken Sie auf den Knoten für Ihre Domäne. Angenommen, Ihre Domäne example.com, klicken Sie auf example.com.

  2. Klicken Sie im Detailbereich rechts-klicken Sie auf den Ordner, in dem Sie eine neue Gruppe hinzufügen möchten (z. B. direkt-klicken Sie auf Benutzer), zeigen Sie auf neu, und klicken Sie dann auf Gruppe.

  3. In neues Objekt – Gruppeim Gruppennamen, geben Sie den Namen der neuen Gruppe. Geben Sie z. B. Drahtlosnetzwerke.

  4. In Gruppenbereich, wählen Sie eine der folgenden Optionen:

    • Lokale Domäne

    • Globale

    • Universal

  5. In Gruppentyp, und wählen Sie Sicherheit.

  6. Klicken Sie auf OK.

Wenn Sie mehr als eine Sicherheitsgruppe für Mobiltelefone benötigen, wiederholen Sie diese Schritte, um zusätzliche drahtlose Benutzer und Gruppen erstellen. Später können Sie einzelne Netzwerkrichtlinien in NPS zum Anwenden von verschiedenen Bedingungen und Constraints jeder Gruppe, und geben Sie diesen Zugriff auf unterschiedliche Berechtigungen und Konnektivität Regeln erstellen.

Benutzer der WLAN-Sicherheitsgruppe Benutzer hinzufügen

Verwenden Sie dieses Verfahren, Hinzufügen von einem Benutzer, Computer oder einer Gruppe zu Ihrer drahtlosen Sicherheitsgruppe in den Active Directory-Benutzer und -Computer Microsoft Management Console (MMC) Andocken-in.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden mindestens erforderlich, um diese Prozedur ausführen zu können.

Benutzer der WLAN-Sicherheitsgruppe hinzufügen

  1. Klicken Sie auf starten, klicken Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer. Die Active Directory-Benutzer und -Computer MMC geöffnet wird. Wenn es nicht bereits aktiviert ist, klicken Sie auf den Knoten für Ihre Domäne. Angenommen, Ihre Domäne example.com, klicken Sie auf example.com.

  2. Doppelklicken Sie im Detailbereich-klicken Sie auf den Ordner, die drahtlosen Sicherheitsgruppe enthält.

  3. Klicken Sie im Detailbereich rechts-klicken Sie auf der drahtlosen Sicherheitsgruppe, und klicken Sie dann auf Eigenschaften. Die Eigenschaften Dialogfeld für die Sicherheitsgruppe wird geöffnet.

  4. Auf der Mitglieder auf hinzufügen, und führen Sie dann einen der folgenden Verfahren auf einen Computer hinzufügen oder einen Benutzer oder Gruppe hinzufügen.

So fügen Sie einen Benutzer oder eine Gruppe hinzu
  1. In Geben Sie die zu verwendenden Objektnamen ein, geben Sie den Namen des Benutzers oder einer Gruppe, die Sie hinzufügen möchten, und klicken Sie dann auf OK.

  2. Mitgliedschaft in Benutzergruppen für andere Benutzer oder Gruppen zuweisen möchten, wiederholen Sie Schritt 1 dieses Verfahrens.

Hinzufügen eines Computers
  1. Klicken Sie auf Objekttypen. Die Objekttypen Dialogfeld wird geöffnet.

  2. In Objekttypen, und wählen Sie Computer, und klicken Sie dann auf OK.

  3. In Geben Sie die zu verwendenden Objektnamen ein, geben Sie den Namen des Computers, die Sie hinzufügen möchten, und klicken Sie dann auf OK.

  4. Mitgliedschaft in Benutzergruppen auf anderen Computern zuweisen möchten, wiederholen Sie die Schritte 1-3 dieses Verfahrens.

Konfigurieren von WLAN-Netzwerk (IEEE 802.11) Richtlinien

Befolgen Sie diese Schritte zum Konfigurieren von WLAN-Netzwerk (IEEE 802.11) Erweiterung der Gruppenrichtlinien-Richtlinien:

Öffnen Sie oder fügen Sie hinzu und öffnen Sie ein Gruppenrichtlinienobjekt

Standardmäßig ist das Feature für die Gruppenrichtlinien-Verwaltungskonsole auf Computern unter Windows Server 2016, wenn die Active Directory-Domäne Services installiert (AD DS) -Serverrolle installiert ist und der Server als Domänencontroller konfiguriert ist. Im folgenden Verfahren wird beschrieben, wie Sie die Gruppenrichtlinien-Verwaltungskonsole zu öffnen, die (Gruppenrichtlinien-Verwaltungskonsole) auf dem Domänencontroller. Anschließend wird beschrieben, wie Sie entweder eine vorhandene Domäne öffnen-Ebene Group Policy Object (GPO) für die Bearbeitung, oder erstellen Sie ein neues Gruppenrichtlinienobjekt der Domäne und zur Bearbeitung zu öffnen.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen zu können.

Öffnen oder hinzufügen und öffnen Sie ein Gruppenrichtlinienobjekt

  1. Klicken Sie auf dem Domänencontroller auf starten, klicken Sie auf Windows-Verwaltung, und klicken Sie dann auf die Gruppenrichtlinien-Verwaltungskonsole. Die Gruppenrichtlinien-Verwaltungskonsole öffnen.

  2. Doppelklicken Sie im linken Bereich-klicken Sie auf der Gesamtstruktur. Doppelklicken Sie z. B.-klicken Sie auf Gesamtstruktur: example.com.

  3. Doppelklicken Sie im linken Bereich-klicken Sie auf Domänen, und doppelklicken Sie anschließend-klicken Sie auf die Domäne, für die Sie ein Gruppenrichtlinienobjekt verwalten möchten. Doppelklicken Sie z. B.-klicken Sie auf example.com.

  4. Führen Sie einen der folgenden:

    • Öffnen Sie eine vorhandene Domäne-GPO für die Bearbeitung der Ebene, doppelklicken Sie auf die Domäne, die das Gruppenrichtlinienobjekt enthält, die Sie direkt verwalten möchten-klicken Sie auf die Domänenrichtlinie zu verwalten, z. B. die Standardrichtlinie, und klicken Sie dann auf bearbeiten. Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

    • Erstellen ein neues Gruppenrichtlinienobjekt zur Bearbeitung öffnen unddirekt-klicken Sie auf die Domäne, für die Sie erstellen ein neues Gruppenrichtlinienobjekt, und klicken Sie dann auf möchten ein Gruppenrichtlinienobjekts in dieser Domäne erstellen, und verknüpfen Sie es hier.

      In Gruppenrichtlinienobjektim Namen, geben Sie einen Namen für das neue Gruppenrichtlinienobjekt, und klicken Sie dann auf OK.

      Rechts-klicken Sie auf Ihr neues Gruppenrichtlinienobjekt, und klicken Sie dann auf bearbeiten. Gruppenrichtlinienverwaltungs-Editor wird geöffnet.

Im nächsten Abschnitt werden Sie Gruppenrichtlinienverwaltungs-Editor verwenden, um drahtlose Richtlinie zu erstellen.

Standard-Drahtlosnetzwerk aktivieren (IEEE 802.11) Richtlinien

Dieses Verfahren wird beschrieben, wie die standardmäßige WLAN aktivieren (IEEE 802.11) -Richtlinien mithilfe der Gruppenrichtlinienverwaltungs-Editor (Gruppenrichtlinienverwaltungs-EDITOR).

Hinweis

Nach dem Aktivieren der Windows Vista und neuere Versionen Version des WLAN-Netzwerks (IEEE 802.11) Richtlinien oder der Windows XP Version, die Versionsoption wird automatisch aus der Liste der Optionen entfernt, wenn Sie nach rechts-klicken Sie auf Drahtlosnetzwerk (IEEE 802.11) Richtlinien. Dies geschieht, da Sie nach der Auswahl einer Richtlinienversion die Richtlinie im Detailbereich der im Gruppenrichtlinienverwaltungs-EDITOR hinzugefügt wird bei der Auswahl der Drahtlosnetzwerk (IEEE 802.11) Richtlinien Knoten. Dieser Status bleibt erhalten, es sei denn, Sie dabei die Richtlinienversion der WLAN-auf der rechten Seite gibt löschen, die Richtlinie für die drahtlose-klicken Sie im Menü für Drahtlosnetzwerk (IEEE 802.11) Richtlinien in den Gruppenrichtlinienverwaltungs-EDITOR. Die WLAN-Richtlinien sind außerdem nur aufgeführt, im Detailbereich Gruppenrichtlinienverwaltungs-EDITOR bei der Drahtlosnetzwerk (IEEE 802.11) Richtlinien Knoten ausgewählt ist.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen zu können.

Standardmäßiges WLAN aktivieren (IEEE 802.11) Richtlinien

  1. Führen Sie die vorherige Schritte, öffnen oder hinzufügen und öffnen Sie ein Gruppenrichtlinienobjekt im Gruppenrichtlinienverwaltungs-EDITOR zu öffnen.

  2. Doppelklicken Sie in den Gruppenrichtlinienverwaltungs-EDITOR im linken Bereich-klicken Sie auf Computerkonfiguration, double-klicken Sie auf Richtlinien, double-klicken Sie auf Windows-Einstellungen, und doppelklicken Sie anschließend-klicken Sie auf Sicherheitseinstellungen.

802.1 X WLAN-Gruppenrichtlinien

  1. In Sicherheitseinstellungendirekt-klicken Sie auf Drahtlosnetzwerk (IEEE 802.11) Richtlinien, und klicken Sie dann auf erstellen Sie eine neue Wireless-Richtlinie für Windows Vista und neuere Versionen.

802. 1 x Wireless-Richtlinie

  1. Die Eigenschaften der neuen Wireless Dialogfeld wird geöffnet. In Richtlinienname, geben Sie einen neuen Namen für die Richtlinie, oder übernehmen Sie den Standardnamen. Klicken Sie auf OK speichern. Die Standardrichtlinie aktiviert ist und in der im Gruppenrichtlinienverwaltungs-EDITOR mit dem neuen Namen, die Sie bereitgestellt haben oder mit dem Standardnamen im Detailbereich aufgeführt neue WLAN-Netzwerk-Richtlinie.

Eigenschaften der neuen Drahtlosnetzwerk

  1. Doppelklicken Sie im Detailbereich-klicken Sie auf neue WLAN-Netzwerk-Richtlinie zu öffnen.

Im nächsten Abschnitt können Sie die Konfiguration und Einstellung Verarbeitungsreihenfolge Netzwerkberechtigungen durchführen.

Konfigurieren Sie die neue Richtlinie

Können die Verfahren in diesem Abschnitt zum Konfigurieren von WLAN-Netzwerk (IEEE 802.11) Richtlinie. Diese Richtlinie ermöglicht Ihnen Sicherheits- und Authentifizierungsmethoden konfigurieren, Verwalten von WLAN-Profile, und geben Sie die Berechtigungen für Drahtlosnetzwerke, die nicht als bevorzugte Netzwerke konfiguriert sind.

Konfigurieren Sie ein Profil für die drahtlose Verbindung für PEAP-MS-CHAP 2

Dieses Verfahren stellt die erforderlichen Schritte zum Konfigurieren einer PEAP-MS-CHAP v2 WLAN-Profil.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

So konfigurieren Sie ein Profil für die drahtlose Verbindung für PEAP-MS-CHAP 2
  1. Im Gruppenrichtlinienverwaltungs-EDITOR in das Drahtlosnetzwerk Eigenschaften-Dialogfeld für die Richtlinie, die Sie gerade auf erstellt, die allgemeine Registerkarte und im Beschreibung, geben Sie eine kurze Beschreibung für die Richtlinie.

  2. Um anzugeben, dass die WLAN-Autokonfiguration zum Konfigurieren von Drahtlosnetzwerk-adaptereinstellungen verwendet wird, stellen Sie sicher, automatische Konfiguration verwenden Windows-WLAN-Dienst für Clients ausgewählt ist.

  3. In Herstellen einer Verbindung mit verfügbaren Netzwerken in der Reihenfolge der unten aufgeführten Profile, klicken Sie auf hinzufügen, und wählen Sie dann Infrastruktur. Die neue Profileigenschaften Dialogfeld wird geöffnet.

  4. In derneue Profileigenschaften Dialogfeld auf die Verbindung Registerkarte der Profilname Feld, und geben Sie einen neuen Namen für das Profil. Geben Sie z. B. Example.com WLAN-Profil für Windows 10.

  5. In Netzwerknamen(s)(SSID), geben Sie die SSID, die auf die drahtlose Zugriffspunkte konfiguriert SSID entspricht, und klicken Sie dann auf hinzufügen.

    Wenn die Bereitstellung mehrere SSIDs verwendet und jeden WAP die gleichen Einstellungen für den Schutz verwendet, wiederholen Sie diesen Schritt für jeden WAP SSID hinzufügen möchten, dieses Profil anwenden soll.

    Wenn die Bereitstellung mehrere SSIDs verwendet und die Einstellungen für jede SSID stimmen nicht überein, konfigurieren Sie ein separates Profil für jede Gruppe von SSIDs, die die gleiche Einstellung verwenden. Angenommen, besitzen Sie eine Gruppe von Drahtloszugriffspunkten konfiguriert WPA2-Enterprise und AES und eine andere Gruppe von Drahtloszugriffspunkten mit WPA-und TKIP, konfigurieren Sie ein Profil für jede Gruppe von Drahtloszugriffspunkten.

  6. Wenn der Standardtext NEWSSID vorhanden ist, wählen Sie ihn, und klicken Sie dann auf entfernen.

  7. Wenn Sie die WLAN-Zugangspunkten, die konfiguriert werden bereitgestellt, um die Übertragung Beacon Unterdrücken, wählen Sie verbinden, selbst wenn das Netzwerk keine Kennung aussendet.

    Hinweis

    Durch Aktivieren dieser Option kann ein Sicherheitsrisiko darstellen, da der WLAN-Clients eine Überprüfung auf und versuchen Verbindungen mit einem Drahtlosnetzwerk. Diese Einstellung ist standardmäßig nicht aktiviert.

  8. Klicken Sie auf die Sicherheit auf erweitert, und konfigurieren Sie Folgendes:

    1. So richten Sie erweiterte 802.1 X-Einstellungen IEEE 802.1 X, und wählen Sie erzwingen Erweiterte Einstellungen für 802.1 X.

      Wenn der erweiterten 802.1 X Einstellungen werden erzwungen, die Standardwerte für Max Eapol-starten Nachrichten, gehalten Zeitraum, Zeitraum starten, und Auth Zeitraum reichen für die Standard-Installationen. Aus diesem Grund müssen Sie nicht die Standardeinstellungen ändern, es sei denn, Sie spezielle Gründe haben dafür.

    2. Um SSO zu aktivieren, wählen Sie einmaliges Anmelden für dieses Netzwerk aktivieren.

    3. Die verbleibenden Standardwerte Single Sign On für Standard-Installationen reichen.

    4. In Fast-Roaming, wenn Ihr WLAN-Zugriffspunkt für vor konfiguriert ist-Authentifizierung, wählen Netzwerk verwendet vor-Authentifizierung.

  9. Um anzugeben, dass die Funkkommunikation FIPS 140 erfüllen-2 Standards, wählen Kryptografie im FIPS 140 durchführen-2 zertifizierten Modus.

  10. Klicken Sie auf OK wieder die Sicherheit Registerkarte. In Sicherheitsmethoden für dieses Netzwerk auswählenim Authentifizierung, und wählen Sie WPA2-Enterprise, wenn es von Ihrem WAP und drahtlose Clientnetzwerkadapter unterstützt wird. Wählen Sie andernfalls WPA-Enterprise.

  11. In Verschlüsselung, wenn von den WAP und drahtlose Client Netzwerkadaptern, wählen Sie unterstützt AES-CCMP. Wählen Sie bei Verwendung von Zugriffspunkte und drahtlose Netzwerkadapter, die 802.11ac unterstützen, AES-GCMP. Wählen Sie andernfalls TKIP.

    Hinweis

    Die Einstellungen für beide Authentifizierung und Verschlüsselung müssen die Einstellungen für die drahtlose Zugriffspunkte konfiguriert übereinstimmen. Die Standardeinstellungen für Authentifizierungsmodus, Max. Authentifizierungsfehler, und Zwischenspeichern Benutzerinformationen für nachfolgende Verbindungen mit diesem Netzwerk für Standard-Installationen reichen.

  12. In auswählen eine Methode für die Netzwerkauthentifizierung, und wählen Sie geschütztes EAP (PEAP), und klicken Sie dann auf Eigenschaften. Die Eigenschaften für geschütztes EAP Dialogfeld wird geöffnet.

  13. In Eigenschaften für geschütztes EAP, bestätigen Sie, dass die Identität des Servers überprüfen, indem Sie die Überprüfung des Zertifikats ausgewählt ist.

  14. In vertrauenswürdige Stammzertifizierungsstellen, wählen Sie die vertrauenswürdige Stammzertifizierungsstelle (Zertifizierungsstelle) auf dem NPS-Server das Zertifikat ausgestellt wurde.

    Hinweis

    Mit dieser Einstellung begrenzt die Stammzertifizierungsstellen, die Clients auf die ausgewählten Zertifizierungsstellen zu vertrauen. Wenn keine vertrauenswürdiger Stammzertifizierungsstellen ausgewählt sind, werden Clients vertrauen, dass alle root-Zertifizierungsstellen in ihren Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen aufgeführt.

  15. In der Authentifizierungsmethode auswählen aus sicheres Kennwort (EAP-MS-CHAP v2).

  16. Klicken Sie auf konfigurieren. In der EAP-MSCHAPv2-Eigenschaften Dialogfeld sicher automatisch verwendet Windows-Anmeldung Benutzername und Kennwort (und ggf. Domäne) aktiviert ist, und klicken Sie auf OK.

  17. Zum Aktivieren von PEAP schnelle Wiederherstellung der Verbindung sicher, dass ermöglichen die schnelle Wiederherstellung ausgewählt ist.

  18. Wählen Sie zum Server verschlüsselungsbindendes TLV auf versucht, eine Verbindung erforderlich ist, trennen, falls Server keine verschlüsselungsbindendes TLV angezeigt werden.

  19. Wählen Sie zum angeben, dass die Benutzeridentität in Phase eine Authentifizierung maskierte Identitätsschutz aktivieren, und in das Textfeld ein, geben Sie einen Namen für die anonyme Identität oder leer lassen das TextBox-Element.

    [! HINWEISE]

    • Die Netzwerkrichtlinienserver-Richtlinie für 802.1 X Wireless erstellt werden muss, mit dem Netzwerkrichtlinienserver Verbindung Anforderungsrichtlinie. Wenn die NPS-Richtlinie erstellt wird, mit dem Netzwerkrichtlinienserver Netzwerkrichtlinie, und dann Identitätsschutz nicht funktioniert.
    • EAP-Identitätsschutz von bestimmte EAP-Methoden bereitgestellt, wenn eine leere oder eine anonyme Identität (unterscheiden, die Identität des aktuellen) als Antwort auf die EAP-Identity-Anforderung gesendet wird. PEAP sendet die Identität zweimal während der Authentifizierung. In der ersten Phase wird die Identität im Nur-Text gesendet, und diese Identität für das Routing, nicht für die Authentifizierung verwendet wird. Die tatsächliche Identität – für die Authentifizierung verwendet, wird der zweiten Phase der Authentifizierung und innerhalb des sicheren Tunnels, die in der ersten Phase hergestellt wird gesendet. Wenn Identitätsschutz aktivieren aktiviert ist, wird der Benutzername mit dem Eintrag in das Textfeld angegebenen ersetzt. Nehmen wir beispielsweise an Identitätsschutz aktivieren aktiviert ist und der Identität Datenschutz-Alias anonyme wird angegeben, in das Textfeld ein. Für einen Benutzer mit einem echten Identitätsalias jdoe@example.com, die Identität des in der ersten Phase der Authentifizierung gesendet wird geändert werden anonymous@example.com. Der Bereich, der die Identität des 1. Phase Teil wird nicht geändert werden, da er für das Routing verwendet wird.
  20. Klicken Sie auf OK zum Schließen der Eigenschaften für geschütztes EAP Dialogfeld.

  21. Klicken Sie auf OK zum Schließen der Sicherheit Registerkarte.
  22. Wenn Sie zusätzliche Profile erstellen möchten, klicken Sie auf hinzufügen, und wiederholen Sie die vorherigen Schritte, indem verschiedene Optionen zum Anpassen der einzelnen Profile für die WLAN-Clients und das Netzwerk, das Profil angewendet werden soll. Wenn Sie das Hinzufügen von Profilen fertig sind, klicken Sie auf OK zum Schließen des Dialogfelds Eigenschaften für Drahtlosnetzwerk-Richtlinie.

Im nächsten Abschnitt können Sie die Richtlinienprofile für eine optimale Sicherheit bestellen.

Legen Sie die Reihenfolge für die drahtlose Verbindungsprofile

Sie können dieses Verfahren verwenden, wenn Sie mehrere WLAN-Profile in der Drahtlosnetzwerk-Richtlinie erstellt haben und Sie die Profile für eine optimale Effizienz und Sicherheit bestellen möchten.

Um sicherzustellen, dass die WLAN-Clients die höchste Sicherheitsstufe herzustellen, die sie unterstützen können, platzieren Sie die am häufigsten restriktiven Richtlinien am Anfang der Liste.

Wenn beispielsweise zwei Profile, eine für Clients, WPA2 zu unterstützen, und eine für Clients,, WPA unterstützen, legen Sie die höhere WPA2-Profil in der Liste. Dadurch wird sichergestellt, dass die Clients, die WPA2 unterstützen diese Methode für die Verbindung anstelle der weniger sicheren WPA verwendet.

Dieses Verfahren beschreibt, wie die Reihenfolge angeben, in der Funkverbindung Profile, zum Herstellen einer WLAN-Netzwerk Domäne Member drahtlosen Clients verwendet werden.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

Festlegen die Reihenfolge für die drahtlose Verbindungsprofile
  1. Klicken Sie im Gruppenrichtlinienverwaltungs-EDITOR in das Drahtlosnetzwerk Eigenschaften-Dialogfeld für die Richtlinie, die Sie gerade konfiguriert haben, auf die allgemeine Registerkarte.

  2. Auf der allgemeine Registerkarte Herstellen einer Verbindung mit verfügbaren Netzwerken in der Reihenfolge der unten aufgeführten Profile, und wählen Sie das Profil, das Sie in der Liste verschieben möchten, und klicken Sie auf Schaltfläche entweder die "Pfeil nach oben", oder "Pfeil nach unten" gedrückt, um das Profil an die gewünschte Position in der Liste zu verschieben.

  3. Wiederholen Sie Schritt 2 für die einzelnen Profile, die Sie in der Liste verschieben möchten.

  4. Klicken Sie auf OK um alle Änderungen zu speichern.

Im folgenden Abschnitt können Sie Berechtigungen für die drahtlose Richtlinie Network definieren.

Definieren von Netzwerkberechtigungen

Sie können die Einstellungen konfigurieren, auf die Netzwerkberechtigungen -Registerkarte für die Mitglieder der Domäne, welche WLAN-Netzwerk (IEEE 802.11) Richtlinien gelten.

Gelten die folgenden Einstellungen für Drahtlosnetzwerke, die nicht auf konfiguriert werden können nur die allgemeine Registerkarte die Eigenschaften der drahtlosen Seite:

  • Zulassen oder verweigern, Verbindung mit bestimmten Drahtlosnetzwerken, die Sie angeben, indem Netzwerktyp und Service Set Identifier (SSID)

  • Zulassen Sie oder verweigern Sie, Verbindungen zu ad-hoc-Netzwerken

  • Zulassen Sie oder verweigern Sie, Verbindungen zu Netzwerken Infrastruktur

  • Zulassen oder verhindern Sie Benutzern das Anzeigen von Netzwerktypen (Ad-hoc- oder Infrastruktur), deren Zugriff verweigert

  • Zulassen Sie oder verhindern Sie, um ein Profil erstellen, die für alle Benutzer

  • Benutzer können nur auf zulässige Netzwerke zugreifen, mithilfe von Gruppenrichtlinien-Profile

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Schritte ausführen.

Zulassen oder verhindern die Verbindung mit bestimmten Drahtlosnetzwerken
  1. Klicken Sie im Gruppenrichtlinienverwaltungs-EDITOR, klicken Sie im Dialogfeld mit den Eigenschaften der Drahtlosnetzwerk auf die Netzwerkberechtigungen Registerkarte.

  2. Auf der Netzwerkberechtigungen auf hinzufügen. Die Neuer Berechtigungseintrag Dialogfeld wird geöffnet.

  3. In der Neuer Berechtigungseintrag Dialogfeld in der Netzwerknamen (SSID) Feld, geben Sie das Netzwerk SSID des Netzwerks für die Sie zum Festlegen von Berechtigungen möchten.

  4. In Netzwerktyp, und wählen Sie Infrastruktur oder Ad-hoc-.

    Hinweis

    Wenn Sie unsicher sind, ob das Netzwerk senden eine Infrastruktur oder ad-hoc-Netzwerk ist, können Sie zwei Netzwerk-Berechtigungseinträge, einen für jeden Netzwerk konfigurieren.

  5. In Berechtigung, und wählen Sie zulassen oder Verweigern.

  6. Klicken Sie auf OK, um wieder die Netzwerkberechtigungen Registerkarte.

Angeben zusätzlicher Netzwerkberechtigungen (Optional)
  1. Auf der Netzwerkberechtigungen Registerkarte, konfigurieren Sie einige oder alle der folgenden:

    • Um die Mitglieder der Domäne Zugriff auf ad-hoc-Netzwerke, aktivieren Sie zu verhindern, dass Verbindungen mit Ad-hoc-Netzwerke.

    • Um die Mitglieder der Domäne Zugriff auf Infrastrukturnetzwerke, aktivieren Sie zu verhindern, dass Verbindungen zu Netzwerken Infrastruktur.

    • Netzwerktypen an Ihre Mitglieder der Domäne zu (Ad-hoc- oder Infrastruktur), der sie wählen Zugriff verweigert dem Benutzer erlauben, verweigerte Netzwerke anzuzeigen.

    • Damit die Benutzer zum Erstellen von Profilen, die für alle Benutzer gelten, wählen Sie jedem alle Benutzerprofile erstellen.

    • Wählen Sie zum angeben, dass Ihre Benutzer nur eine Verbindung herstellen können, dürfen Netzwerke mithilfe von Gruppenrichtlinien Profile nur für zulässige Netzwerke Verwenden von Gruppenrichtlinien Profile.

Konfigurieren Sie Ihre NPS-Server

Führen Sie die Schritte zum Konfigurieren der NPS-Server zum Ausführen von 802. 1 X-Authentifizierung für den drahtlosen Zugriff:

Registrieren Sie NPS in Active Directory-Domäne Dienste

Verwenden Sie dieses Verfahren zum Registrieren von eines Servers mit Netzwerkrichtlinienserver (NPS) in Active Directory-Domäne Services (AD DS) in der Domäne, in der NPS-Server ein Element ist. Für NPS-Server, die Berechtigung zum Lesen der drehsteuerung-in den Eigenschaften von Benutzerkonten während der Autorisierung, muss jede NPS-Server in AD DS registriert werden. Registrieren eines Netzwerkrichtlinienservers fügt den Server die RAS- und IAS-Server Sicherheitsgruppe in AD DS.

Hinweis

Sie können NPS auf einem Domänencontroller oder auf einem Server installieren. Führen Sie den folgenden Windows PowerShell-Befehl, NPS zu installieren, wenn Sie dies noch nicht getan haben:

Install-WindowsFeature NPAS -IncludeManagementTools

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

Einen NPS-Server in der Standard-Domäne registrieren

  1. Auf dem NPS-Server in Server-Manager, klicken Sie auf Tools, und klicken Sie dann auf Netzwerkrichtlinienserver. Der Netzwerkrichtlinienserver Andocken-in geöffnet wird.

  2. Rechts-klicken Sie auf NPS (lokalen), und klicken Sie dann auf Server in Active Directory registrieren. Die Netzwerkrichtlinienserver Dialogfeld wird geöffnet.

  3. In Netzwerkrichtlinienserver, klicken Sie auf OK, und klicken Sie dann auf OK erneut.

Konfigurieren Sie einen WLAN-Zugriffspunkt als NPS RADIUS-Client

Verwenden Sie dieses Verfahren so konfigurieren Sie ein Zugriffspunkt, auch bekannt als eine Netzwerkzugriffsserver (NAS), wie ein Remote Authentication Dial-In User Service (RADIUS) Client mithilfe der NPS-Snap-in.

Wichtig

Clientcomputer wie drahtlose Laptops und andere Computer, auf denen Clientbetriebssysteme ausgeführt, sind keine RADIUS-Clients. RADIUS-Clients sind Netzwerkzugriffsserver – z. B. WLAN-Zugriffspunkten, 802.1 X-fähigen Switches, VPN- (VPN) Server, und wählen-Server einrichten – da das RADIUS-Protokoll verwendet mit RADIUS-Servern wie NPS-Server kommunizieren.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

Hinzufügen von Netzwerkserver als in NPS RADIUS-Client

  1. Auf dem NPS-Server in Server-Manager, klicken Sie auf Tools, und klicken Sie dann auf Netzwerkrichtlinienserver. Der Netzwerkrichtlinienserver Andocken-in geöffnet wird.

  2. Im NPS Andocken-doppelklicken,-klicken Sie auf RADIUS-Clients und Servern. Rechts-klicken Sie auf RADIUS-Clients, und klicken Sie dann auf neu.

  3. In neuen RADIUS-Clients, überprüfen Sie, ob die Aktivieren dieser RADIUS-Client aktiviert ist.

  4. In neuen RADIUS-Clientsim Anzeigenamen, geben Sie einen Anzeigenamen für die WLAN-Zugriffspunkt.

    Beispielsweise, wenn Sie einen WLAN-Zugriffspunkt hinzufügen möchten (AP) mit dem Namen AP-01 Typ AP-01.

  5. In Adresse (IP- oder DNS-), geben Sie die IP-Adresse oder den vollqualifizierten Domänennamen (FQDN) für den NAS.

    Um sicherzustellen, dass der Name richtig ist und in eine gültige IP-Adresse Karten, wenn Sie den vollqualifizierten Domänennamen eingeben, klicken Sie auf überprüfen, und klicken Sie im Adresse überprüfenin der Adresse auf beheben. Wenn Sie der Vollqualifizierten Domänennamen keine gültige IP-Adresse zugeordnet ist, wird die IP-Adresse, NAS automatisch angezeigt IP-Adresse. Wenn der vollqualifizierte Domänenname nicht in eine IP-Adresse aufgelöst werden kann, erhalten Sie eine Meldung, dass der Host bekannt ist. Ist dies der Fall ist, stellen Sie sicher, dass Sie den richtigen Zugriffspunkt haben und der Zugriffspunkt eingeschaltet und mit dem Netzwerk verbunden ist.

    Klicken Sie auf OK schließen Adresse überprüfen.

  6. In neuen RADIUS-Clientsim gemeinsamen geheimen Schlüssel, führen Sie einen der folgenden:

    • Um manuell einen geheimen RADIUS konfigurieren möchten, wählen Sie manuell, und klicken Sie im freigegebenen geheimen Schlüssel, geben Sie das sichere Kennwort, die auch auf dem NAS eingegeben wird. Geben Sie den gemeinsamen geheimen Schlüssel in gemeinsamen geheimen Schlüssel bestätigen.

    • Um eine gemeinsame geheime Schlüssel automatisch zu generieren, wählen Sie die generieren Kontrollkästchen, und klicken Sie dann auf die generieren Schaltfläche. Den generierten gemeinsamen geheime Schlüssel gespeichert und dann verwenden Sie diesen Wert auf NAS so konfigurieren, dass sie mit dem NPS-Server kommunizieren kann.

      Wichtig

      Der RADIUS gemeinsame geheime Schlüssel, den Sie für Ihren virtuellen Zugriffspunkts des in NPS eingeben muss genau den RADIUS-gemeinsamen geheimen Schlüssel übereinstimmen, der auf die tatsächliche WAP konfiguriert ist Wenn Sie die NPS-Option verwenden, um einen RADIUS-gemeinsamen geheimen Schlüssel zu generieren, müssen Sie die entsprechenden tatsächlichen WAP mit den RADIUS geheimen Schlüssel konfigurieren, die vom NPS generiert wurde.

  7. In neuen RADIUS-Clients, indem Sie auf die erweitert Registerkarte Herstellername, geben Sie den Namen des NAS-Herstellers. Wenn Sie den Namen des NAS-Herstellers nicht kennen, wählen Sie RADIUS-Standard.

  8. In zusätzliche Optionen, wenn Sie Authentifizierungsmethoden als EAP und PEAP verwenden, und wählen Sie Ihre NAS die Verwendung des Attributs Authentifikator Nachricht unterstützt Nachrichten Zugriff müssen die Nachricht enthalten-Authenticator-Attribut.

  9. Klicken Sie auf OK. NAS wird in der Liste der auf dem NPS-Server konfigurierten RADIUS-Clients angezeigt.

Erstellen von NPS-Richtlinien für 802.1 X WLAN mithilfe eines Assistenten

Verwenden Sie dieses Verfahren, erstellen die Verbindung Anforderung Richtlinien und Netzwerk-Richtlinien für die Bereitstellung von beiden 802.1 X erforderlich-kann WLAN-Zugangspunkten als Remote Authentication Dial-In User Service (RADIUS) Clients mit dem RADIUS-Server, die mit der Netzwerkrichtlinienserver (NPS).
Nachdem Sie den Assistenten ausführen, werden die folgenden Richtlinien erstellt:

  • Eine Verbindung Anforderungsrichtlinie

  • Eine Netzwerkrichtlinie

Hinweis

Jedes Mal, wenn Sie zum Erstellen von neuer Richtlinien für die 802. 1 X authentifizierten Zugriff benötigen, können Sie den Assistenten für neue IEEE 802.1 X sichere verkabelte und drahtlose ausführen.

Mitgliedschaft in Domänen-Admins, oder einer entsprechenden Gruppe mindestens erforderlich, um diese Prozedur ausführen.

Erstellen Sie Richtlinien für 802.1 X authentifizierten Wireless mithilfe ein Assistenten

  1. Öffnen der NPS-Andocken-in. Wenn es nicht bereits aktiviert ist, klicken Sie auf NPS (lokalen). Wenn Sie das NPS MMC-Snap-ausführen-in und Richtlinien auf einem Remotecomputer NPS-Server erstellen, wählen Sie den Server möchten.

  2. In Getting Startedim Standardkonfiguration, und wählen Sie RADIUS-Server für 802.1 X WLAN oder kabelgebundenen Verbindung. Der Text und Links unter dem Text werden entsprechend Ihrer Auswahl angepasst.

  3. Klicken Sie auf konfigurieren 802.1 X. Der Assistent konfigurieren 802.1 X wird geöffnet.

  4. Auf der wählen 802.1 X Verbindungen Assistenten Seite Art von 802.1 X Verbindungen, und wählen Sie sicheren WLAN-Verbindungen, und in Namen, geben Sie einen Namen für die Richtlinie, oder lassen Sie den Standardnamen sicheren WLAN-Verbindungen. Klicken Sie auf Weiter.

  5. Auf der angeben 802.1 X Switches Assistenten Seite RADIUS-Clients, alle 802. 1 X-Switches und drahtlose Zugriffspunkte, die Sie als RADIUS-Clients, in dem NPS-Snap hinzugefügt haben-in werden angezeigt. Führen Sie einen der folgenden:

    • Hinzufügen zusätzlicher Netzwerkzugriffsserver (NASs), z. B. drahtlose Zugriffspunkte, in RADIUS-Clients, klicken Sie auf hinzufügen, und klicken Sie im neue RADIUS-Client, geben Sie die Informationen für: Anzeigenamen, Adresse (IP- oder DNS-), und gemeinsamen geheimen Schlüssel.

    • So ändern Sie die Einstellungen für alle NAS in RADIUS-Clients, wählen Sie den Zugriffspunkt, für die Sie ändern die Einstellungen, und klicken Sie dann auf möchten bearbeiten. Ändern Sie die Einstellungen nach Bedarf.

    • So entfernen Sie ein NAS aus der Liste in RADIUS-Clients, wählen Sie die NAS, und klicken Sie dann auf entfernen.

      Warnung

      Entfernen einen RADIUS-Client innerhalb der konfigurieren 802.1 X Assistent löscht den Client aus der NPS-Serverkonfiguration. Alle hinzufügen, ändern und löschen, mit denen Sie innerhalb der konfigurieren 802.1 X in NPS RADIUS-Clients-Assistent wiedergegeben Snap-in in die RADIUS-Clients Knoten unter NPS\/RADIUS-Clients und Servern. Wenn beispielsweise Sie den Assistenten verwenden, um eine 802.1 X wechseln zu entfernen, der Schalter wird auch entfernt aus der NPS Snap-in.

  6. Klicken Sie auf Weiter. Auf der konfigurieren Sie eine Authentifizierungsmethode Assistenten Seite Typ (basierend auf der und), und wählen Sie Microsoft: geschütztes EAP (PEAP), und klicken Sie dann auf konfigurieren.

    Tipp

    Wenn Sie eine Fehlermeldung, dass ein Zertifikat kann nicht für die Verwendung mit der Authentifizierungsmethode gefunden werden, und Sie Active Directory Certificate Services, um RAS- und IAS-Server in Ihrem Netzwerk automatisch Zertifikate konfiguriert haben, stellen Sie zunächst sicher, dass Sie die Schritte zum Registrieren NPS Active Directory-Domäne Dienste befolgt haben, verwenden die folgenden Schritte durch Gruppenrichtlinien aktualisiert : Klicken Sie auf starten, klicken Sie auf Windows-System, klicken Sie auf ausführen, und in öffnen, Typ Gpupdate, und drücken Sie dann die EINGABETASTE. Wenn der Befehl gibt Ergebnisse, die angibt, dass sowohl Benutzer-als auch Gruppenrichtlinien erfolgreich aktualisiert haben, wählen Sie Microsoft: geschütztes EAP (PEAP) erneut, und klicken Sie dann auf konfigurieren.

    Wenn nach der Aktualisierung der Gruppenrichtlinie weiterhin die Fehlermeldung angezeigt, der angibt, dass ein Zertifikat für die Verwendung mit der Methode zur Authentifizierung nicht gefunden werden kann, das Zertifikat nicht angezeigt wird, weil es nicht die Mindestanforderungen für Serverzertifikate erfüllt wie in der Hauptnetzwerk-Begleithandbuch erläutert: Bereitstellen von Serverzertifikaten für 802.1 X kabelgebundenen und drahtlosen Bereitstellungen. In diesem Fall müssen Sie Einstellen der NPS-Konfiguration, und Sperren Sie das Zertifikat ausgestellt wurde, auf dem NPS-Server(s), und folgen Sie dann die Anweisungen, um ein neues Zertifikat mit Bereitstellungshandbuch für den Server-Zertifikate konfigurieren.

  7. Auf der Eigenschaften für geschütztes EAP bearbeiten Assistenten Seite ausgestellte Zertifikat, stellen Sie sicher, dass das richtige Zertifikat der NPS-Server ausgewählt ist, und gehen Sie folgendermaßen vor:

    Hinweis

    Überprüfen Sie, ob der Wert in Aussteller richtig für das Zertifikat im ausgewählten ausgestellte Zertifikat. Z. B. die erwartete Aussteller für ein Zertifikat von einer Zertifizierungsstelle mit Active Directory Certificate Services (AD CS) ist mit dem Namen corp\DC1, in der Domäne contoso.com, corp-DC1-Zertifizierungsstelle.

    • Damit die Benutzer das Roaming mit ihren drahtlosen Computern zwischen Zugriffspunkten ohne jedes Mal erneut authentifiziert werden muss, sie zu einem neuen Zugriffspunkt verknüpfen, wählen Sie ermöglichen die schnelle Wiederherstellung.

    • Um anzugeben, dass die WLAN-Clients verbinden den Netzwerk-Authentifizierungsprozess beendet wird, wenn der RADIUS-Server keine verschlüsselungsbindendes Typ angezeigt werden-Länge-Wert (TLV), und wählen Sie trennen Sie Clients ohne Kryptografiebindung.

    • So ändern Sie die Richtlinie Einstellungen für die EAP eingeben, in EAP-Typen, klicken Sie auf bearbeitenim EAP-MSCHAPv2-Eigenschaften, ändern Sie die Einstellungen nach Bedarf, und klicken Sie dann auf OK.

  8. Klicken Sie auf OK. Die Eigenschaften für geschütztes EAP bearbeiten Dialogfeld geschlossen wird, zurückgeben, die konfigurieren 802.1 X Assistenten. Klicken Sie auf Weiter.

  9. In Benutzergruppen angeben, klicken Sie auf hinzufügen, und geben Sie den Namen der Sicherheitsgruppe, die Sie konfiguriert, für die drahtlose Clients in Active Directory-Benutzer und Computer andocken-in. Geben Sie z. B. Wenn Sie die drahtlose Sicherheitsgruppe Wireless-Gruppe mit dem Namen, Drahtlosnetzwerke. Klicken Sie auf Weiter.

  10. Klicken Sie auf konfigurieren zum Konfigurieren von RADIUS-Standardattribute und Lieferanten-bestimmte Attribute für virtuelle LAN (VLAN) bei Bedarf und als angegeben, die von Ihrer Hardware-Anbieter bereitgestellten Dokumentation. Klicken Sie auf Weiter.

  11. Überprüfen Sie die Konfiguration Übersichtsdetails, und klicken Sie dann auf z.

Die Netzwerkrichtlinienserver-Richtlinien werden jetzt erstellt, und Sie können auf drahtlose Computer der Domäne verschieben.

Fügen Sie neue drahtlose Computer zur Domäne

Die einfachste Methode, neue drahtlose Computer der Domäne hinzugefügt wird, physisch an den Computer auf ein Segment des verkabeltes LAN (ein Segment nicht von einem 802.1 X Switch kontrolliert) vor dem Hinzufügen eines Computers zur Domäne. Dies ist am einfachsten, da drahtlose gruppenrichtlinieneinstellungen sofort angewendet, und wenn Sie Ihre eigene PKI bereitgestellt haben, den Computer das ZS-Zertifikat erhält und platziert sie in den Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen zulassen des drahtlosen Clients vertrauen Netzwerkrichtlinienserver mit Server-Zertifikate, die von der Zertifizierungsstelle ausgestellt wurde.

Nach ein neuer drahtlosen Computer der Domäne angehört, ist die bevorzugte Methode für Benutzer mit der Domäne anmelden entsprechend Protokoll ausführen, indem Sie eine drahtgebundene Verbindung mit dem Netzwerk verwenden.

Andere Methoden Domänenbeitritt

In Fällen, in denen es nicht sinnvoll, den Computer mit der Domäne verknüpfen, mit der eine verkabelte Ethernet-Verbindung oder in Fällen, in denen der Benutzer anmelden kann, bei der Domäne zum ersten Mal eine drahtgebundene Verbindung mit eine alternative Methode erforderlich.

  • IT-Mitarbeiter Computerkonfiguration. Ein Mitglied der IT-Abteilung einen drahtlosen Computer der Domäne beitritt, und ein einmaliges Anmelden bootstrap Wireless-Profil konfiguriert. Mit dieser Methode wird der IT-Administrator drahtlosen Computer mit dem verkabelte Ethernet-Netzwerk verbunden und den Computer der Domäne beitritt. Der Administrator verteilt dann den Computer für den Benutzer. Beim Einrichten der Benutzer startet der Computer ohne eine drahtgebundene Verbindung, die Anmeldeinformationen ein, die sie manuell, für die Anmeldung des Benutzers angeben werden verwendet, um sowohl einer Verbindungs mit dem drahtlosen Netzwerk und für die Anmeldung bei der Domäne.

Weitere Informationen finden Sie im Abschnitt der Domäne und melden Sie sich mit der IT-Mitarbeiter Computer Konfigurationsmethode beitreten

  • Profil-Konfiguration von Benutzern Bootstrapping. Der Benutzer manuell drahtlosen Computer mit einem bootstrap-WLAN-Profil konfiguriert und die Domäne, anhand der Anweisungen erhalten von einem IT-Administrator hinzugefügt. Bootstrapping WLAN-Profil kann der Benutzer auf eine drahtlose Verbindung herstellen, und klicken Sie anschließend der Domäne. Nach dem Hinzufügen eines Computers zur Domäne und der Neustart des Computers, kann der Benutzer mit der Domäne anmelden mit einer drahtlosen Verbindung und die Anmeldeinformationen für die Domäne Konto.

Weitere Informationen finden Sie im Abschnitt Verknüpfen der Domäne und melden Sie sich mithilfe eines Bootstrap Wireless Konfiguration von Benutzern.

Treten Sie die Domäne und melden Sie sich mit der IT-Mitarbeiter Computer Konfigurationsmethode bei

Member Domänenbenutzer mit Domäne-verknüpften-Clientcomputer können Sie ein temporäres Profil für die drahtloses Verbindung mit 802.1 X-Drahtlosnetzwerk ohne zuerst eine Verbindung mit dem drahtgebundenen Netzwerk authentifiziert. Dieses temporäre WLAN-Profil wird aufgerufen, eine Bootstrapping Profil.

Ein bootstrap WLAN-Profil muss der Benutzer ihre Anmeldeinformationen für das Domänenbenutzerkonto manuell angeben und überprüft das Zertifikat von der Remote Authentication Dial nicht-In User Service (RADIUS) Server mit Netzwerkrichtlinienserver (NPS).

Nach WLAN-Verbindung hergestellt wurde, Gruppenrichtlinien werden angewendet, auf dem drahtlosen Clientcomputer und wird automatisch ein neues drahtloses Profil ausgegeben. Die neue Richtlinie werden die Anmeldeinformationen des Kontos Computer- und Clientauthentifizierung verwendet.

Darüber hinaus als Teil der PEAP-MS-CHAP v2 gegenseitige Authentifizierung mit dem neuen Profil anstelle der bootstrap-Profils, der Client die Anmeldeinformationen des RADIUS-Servers überprüft.

Nachdem Sie den Computer der Domäne hinzufügen, können Sie ein einmaliges Anmelden bootstrap drahtloses Profil, konfigurieren, bevor der drahtlosen Computer der Domäne-Member-Benutzer.

So konfigurieren Sie ein einmaliges Anmelden bootstrap drahtloses Profil

  1. Erstellen Sie ein bootstrap-Profil mit dem Verfahren in diesem Handbuch mit dem Namen konfigurieren Sie eine WLAN-Verbindungsprofil für PEAP-MS-CHAP v2, und verwenden Sie die folgenden Einstellungen:

    • PEAP-MS-CHAP v2-Authentifizierung

    • Überprüfen Sie RADIUS Server Zertifikat deaktiviert

    • Einmaliges Anmelden aktiviert

  2. In den Eigenschaften der die Richtlinie für den WLAN-Netzwerke in der Sie das neue bootstrap-Profil erstellt, auf die allgemeine Registerkarte, wählen Sie das Bootstrapping Profil, und klicken Sie dann auf exportieren zum Exportieren des Profils auf einer Netzwerkfreigabe, USB-Flash-Laufwerk oder anderen leicht zugänglichen Speicherort. Das Profil wird als XML-Datei an dem Ort gespeichert, die Sie angeben.

  3. Fügen Sie den neuen drahtlosen Computer zur Domäne (z. B. über ein Ethernet-Verbindung, die keine IEEE 802.1 X erfordert Authentifizierung) und Hinzufügen von Bootstrapping WLAN-Profil auf dem Computer mithilfe der Netsh WLAN Profil hinzufügen Befehl.

    Hinweis

    Weitere Informationen finden Sie unter Netsh-Befehle für Wireless Local Area Network (WLAN) am http:\/\/technet.microsoft.com\/Bibliothek\/dd744890.aspx.

  4. Verteilen Sie die neuen drahtlosen Computer für den Benutzer mit dem Verfahren "Anmelden bei der Domäne mit Computern unter Windows 10".

Wenn der Benutzer den Computer gestartet wird, fordert Windows die Benutzer ihre Domänenbenutzerkontonamen des Benutzerkontos und ein Kennwort eingeben. Da einmaliges Anmelden aktiviert ist, verwendet der Computer die Anmeldeinformationen für das Domänenbenutzerkonto zum ersten Herstellen einer Verbindung mit dem Netzwerk und dann melden Sie sich bei der Domäne.

Melden Sie sich bei der Domäne mit Computern unter Windows 10

  1. Melden Sie den Computer, oder starten Sie den Computer neu.

  2. Drücken Sie eine beliebige Taste auf der Tastatur, oder klicken Sie auf dem Desktop. Der Anmeldebildschirm angezeigt wird, mit dem Namen eines lokalen Benutzerkontos angezeigt und ein Feld für die Kennworteingabe unter dem Namen. Melden Sie sich nicht mit dem lokalen Benutzerkonto an.

  3. Klicken Sie in der unteren linken Ecke des Bildschirms, auf andere Benutzer. Mit zwei Felder, eine für Benutzernamen und einem Kennwort wird das Protokoll andere Benutzer auf dem Bildschirm angezeigt. Unterhalb der Kennwort-Feld ist der Text melden Sie sich auf: und dann den Namen der Domäne, in denen der Computer verbunden wird. Beispielsweise, wenn Ihre Domäne example.com heißt, beschriftet melden Sie sich auf: BEISPIEL.

  4. In Benutzernamen, geben Sie Ihren Domänennamen für den Benutzer.

  5. In Kennwort, geben Sie Ihr Domänenkennwort ein, und klicken Sie auf den Pfeil, oder drücken Sie die EINGABETASTE.

Hinweis

Wenn die andere Benutzer Bildschirm den Text nicht enthalten melden Sie sich auf: und Ihren Domänennamen, geben Sie Ihren Benutzernamen im Format Domäne\Benutzer. Beispielsweise zum Melden Sie sich mit einem Konto mit dem Namen der Domäne example.com Benutzer-01, Typ Beispiel\Benutzer-01.

Verknüpfen Sie die Domäne und melden Sie sich mithilfe eines Bootstrap Wireless Konfiguration von Benutzern

Mit dieser Methode können Sie die Schritte im Abschnitt allgemeinen Schritte ausführen, und Sie bereitstellen Ihrer Domäne-Benutzer mit der Anleitung dazu, wie Sie einen drahtlosen Computer manuell mit einem bootstrap-WLAN-Profil zu konfigurieren. Bootstrapping WLAN-Profil kann der Benutzer auf eine drahtlose Verbindung herstellen, und klicken Sie anschließend der Domäne. Nachdem der Computer der Domäne Mitglied und neu gestartet wird, kann der Benutzer über eine drahtlose Verbindung an der Domäne anmelden.

Allgemeine Schritte

  1. Konfigurieren Sie ein Administratorkonto des lokalen Computers in Systemsteuerung, für den Benutzer.

    Wichtig

    Um einen Computer einer Domäne beitreten zu können, muss der Benutzer mit dem lokalen Administratorkonto am Computer angemeldet sein. Alternativ muss der Benutzer die Anmeldeinformationen für das lokale Administratorkonto während den Computer der Domäne beizutreten bereitstellen. Darüber hinaus muss der Benutzer ein Benutzerkonto in der Domäne verfügen, zu dem der Benutzer den Computer hinzufügen möchte. Während des Prozesses den Computer der Domäne beitreten, die Benutzer werden aufgefordert, Domänenkonto-Anmeldeinformationen (Kombination aus Benutzername und Kennwort).

  2. Stellen Sie den Benutzern Domäne mit den Anweisungen zum Konfigurieren eines bootstrap WLAN-Profils, wie im folgenden Verfahren beschrieben so konfigurieren Sie ein bootstrap WLAN-Profil.

  3. Darüber hinaus bieten Benutzern beider Anmeldeinformationen des lokalen Computers (Kombination aus Benutzername und Kennwort), und Domänenanmeldeinformationen (Namen des Benutzerkontos Domäne und das Kennwort) in Form Domänenname\Benutzername, sowie die Verfahren zum "der Computer der Domäne hinzufügen" und "Anmelden bei der Domäne" wie in der Windows Server 2016 dokumentierten Hauptnetzwerkhandbuch.

So konfigurieren Sie ein bootstrap WLAN-Profil

  1. Verwenden Sie die Anmeldeinformationen von Ihrem Netzwerkadministrator oder IT-Support bereitgestellt IT-Experten richtet, melden Sie sich mit dem lokalen Computer Administratorkonto am Computer an.

  2. Rechts-klicken Sie auf das Netzwerksymbol auf dem Desktop, und klicken Sie auf Netzwerk- und Freigabecenter öffnen. Netzwerk- und Freigabecenter wird geöffnet. In Einstellungen für die Netzwerken ändern, klicken Sie auf eine neue Verbindung oder neues Netzwerk einrichten. Die Einrichten einer Verbindung oder neues Netzwerk Dialogfeld wird geöffnet.

  3. Klicken Sie auf manuell eine Verbindung zu einem Drahtlosnetzwerk, und klicken Sie dann auf Weiter.

  4. In manuell eine Verbindung zu einem Drahtlosnetzwerkim Netzwerknamen, geben Sie den Namen der SSID des Zugriffspunkts.

  5. In Sicherheitstyp, wählen Sie die Einstellung vom Systemadministrator bereitgestellt.

  6. In Verschlüsselungstyp und Sicherheitsschlüsselaktivieren bzw. Geben Sie die Einstellungen, die vom Administrator.

  7. Wählen Sie diese Verbindung automatisch starten, und klicken Sie dann auf Weiter.

  8. In erfolgreich hinzugefügtIhr Netzwerk SSID, klicken Sie auf Verbindungseinstellungen ändern.

  9. Klicken Sie auf Verbindungseinstellungen ändern. Die Ihr Netzwerk SSID WLAN-Eigenschaft-Dialogfeld wird geöffnet.

  10. Klicken Sie auf die Sicherheit Registerkarte, und klicken Sie im auswählen eine Methode für die Netzwerkauthentifizierung, und wählen Sie geschütztes EAP (PEAP).

  11. Klicken Sie auf Einstellungen. Die geschütztes EAP (PEAP) Eigenschaften Seite geöffnet wird.

  12. In der geschütztes EAP (PEAP) Eigenschaften Seite, stellen Sie sicher, dass Serverzertifikat ist nicht ausgewählt haben, klicken Sie auf OK zweimal, und klicken Sie dann auf schließen.

  13. Windows versucht, mit dem WLAN-Netzwerk herzustellen. Die Einstellungen des Bootstrapping WLAN-Profil angeben, dass Sie Ihre Anmeldeinformationen angeben müssen. Wenn Sie Windows für einen Namen und das Kennwort aufgefordert werden, geben Sie Ihr Domänenkonto-Anmeldeinformationen wie folgt: Domänennamen\Benutzernamen, Domänenkennwort.

Auf einen Computer mit der Domäne beitreten
  1. Melden Sie sich mit dem lokalen Administratorkonto am Computer an.

  2. Geben Sie in das Suchfeld Text PowerShell. In den Suchergebnissen mit der Maustaste Windows PowerShell, und klicken Sie dann auf als Administrator ausführen. Windows PowerShell wird mit einer Eingabeaufforderung mit erhöhten Rechten.

  3. Geben Sie in Windows PowerShell den folgenden Befehl ein, und drücken Sie die EINGABETASTE. Stellen Sie sicher, dass Sie die Variable Domänenname mit dem Namen der Domäne ersetzen, die Sie verknüpfen möchten.

    Add-Computer DomainName

  4. Wenn Sie aufgefordert werden, geben Sie Ihre Domäne Kombination aus Benutzername und Kennwort, und klicken Sie auf OK.

  5. Starten Sie den Computer neu.
  6. Gehen Sie wie im vorherigen Abschnitt melden Sie sich bei der Domäne mit Computern unter Windows 10.
© 2017 Microsoft