Table of contents
TOC
Свернуть оглавление
Развернуть оглавление

Доступ к беспроводной Планирование развертывания

James McIllece|Последнее обновление: 10.03.2017
|
1 Участник

Применимо к: Windows Server 2016 г.

Перед развертыванием доступа к беспроводной сети необходимо планировать следующие элементы:

  • Установка беспроводных точек доступа (AP) в сети

  • Конфигурация беспроводного клиента и доступа

В следующих разделах сведений на этих этапах планирования.

Планирование беспроводной AP установки

При разработке решения доступа беспроводной сети, необходимо выполнить следующие действия.

  1. Определить, какие стандартов, должны поддерживать точкам беспроводного доступа
  2. Определение областей покрытия, где вы хотите предоставить услуг беспроводной связи
  3. Определить, где вы хотите найти точек доступа

Кроме того необходимо спланировать схемы IP-адресов для беспроводной точки доступа и беспроводных клиентов. См. в разделе Планирование конфигурации беспроводного доступа в NPS ниже по связанные сведения.

Проверьте беспроводные AP поддержка стандартов

В целях обеспечения совместимости и упрощения развертывания и управления AP рекомендуется развертывать точек доступа же торговая марка и модель.

Беспроводной точки доступа, которые можно развернуть должно поддерживать:

  • IEEE 802. 1 X

  • RADIUS-проверка подлинности

  • Беспроводной проверки подлинности и шифрования. Перечислены в порядке большинство менее предпочитаемого:

    1. Протокол WPA2-предприятия с помощью AES

    2. Протокол WPA2-Enterprise с TKIP

    3. WPA-предприятия с помощью AES

    4. WPA-Enterprise с TKIP

Примечание

Чтобы развернуть WPA2, необходимо использовать адаптерами беспроводной сети и точек доступа, которые также поддерживают WPA2. В противном случае используйте WPA-предприятия.

Кроме того для обеспечения повышенной безопасности для сети, беспроводных точек доступа должны поддерживать следующие параметры безопасности.

  • Фильтрация DHCP. Точка доступа должны выполнять фильтрацию по IP-портов для предотвращения передачи широковещательных DHCP в тех случаях, в которых беспроводной клиент настроен как DHCP-сервер. Точка доступа необходимо заблокировать клиент не отправлял IP-пакетов с порта UDP 68 в сети.

  • Фильтрация DNS. Точка доступа должны выполнять фильтрацию по IP-портов для предотвращения выполнения DNS-сервер клиента. Точка доступа необходимо заблокировать client с отправкой пакетов IP от TCP или UDP-порт 53 к сети.

  • Клиент изоляции Если ваш беспроводной точки доступа предоставляет возможности изоляции клиента, следует включить функцию, чтобы избежать возможных протокола разрешения адресов (ARP) спуфинга эксплойтов.

Определите области покрытия для беспроводной пользователей

Используйте архитектурные рисунков каждого пола для каждого построения для определения областей, где вы хотите предоставить беспроводной покрытия. Например определите соответствующие офисов, комнаты конференциях, фойе, кафетерии или courtyards.

На рисунков Показать все устройства, которые мешать Беспроводные сигналы, медицинское оборудование, например беспроводной видеокамеры беспроводные телефоны, работающие в 2.4 через технологических 2,5 ГГц научный и медицинских (ISM) диапазон и Bluetooth-устройствах с поддержкой.

На панели инструментов Рисование пометьте аспектов сборку, могут помешать Беспроводные сигналы; металлических объектов, используемые при создании здания может повлиять на сигнал беспроводного маршрутизатора. Например, следующие общие объекты могут мешать распространение сигнала: эскалаторах нагрев и воздуха-сглаживание трубопроводы и мостовые фермы конкретные поддержки.

Обратитесь к производителю AP сведения о источников, способные привести к беспроводной затухания радиочастотной AP. Большинство AP предоставляют тестирования программного обеспечения, которое можно использовать для проверки для сигнала, частота ошибок и скорость передачи данных.

Определение места для установки точек доступа

Архитектурные рисунков найдите на беспроводных AP закрытие достаточно вместе для предоставления свободное беспроводной покрытия, но гораздо достаточно друг от друга, они не мешают друг с другом.

Необходимые расстояние между точками доступа зависит от типа AP и AP антенны, здания аспекты, которые блокируют Беспроводные сигналы и других источников помех. Вы можете отметить беспроводной размещения AP, чтобы каждой точки доступа не более чем 300 метров от любого смежных беспроводного доступа. См. документацию беспроводных AP изготовителя спецификации AP и рекомендации для размещения.

Временно установите точек доступа в расположения, указанные на архитектурные рисунков. После этого на ноутбуке оборудованы беспроводной адаптер 802.11 Обзорное программное обеспечение, часто поставляются с адаптерами беспроводной сети определите уровень сигнала в каждой области покрытия.

В покрытия тех областях, где уровень сигнала низкий поместите AP повысить уровень сигнала для зоны покрытия, установка дополнительных точек доступа содержат необходимые сведения, переместить или удалить источники помех сигнала.

Обновление архитектурные рисунков чтобы указать конечное положение всех точек доступа. С картой точное размещение AP поможет позже при устранении неполадок операций или если необходимо выполнить обновление или замена AP.

Планирование беспроводной конфигурации AP и клиент RADIUS NPS

Сервер политики СЕТИ можно использовать для настройки точек доступа по отдельности или группами.

При развертывании большой беспроводной сети, которая включает в себя много AP, гораздо легче настроить AP в группах. Добавление точки доступа как группы клиента RADIUS в СЕТИ, необходимо настроить точки доступа с помощью этих свойств.

  • Беспроводной точки доступа, настроенных с помощью IP-адреса из одного и того же диапазона IP-адресов.

  • Беспроводной точки доступа настраиваются с помощью одного и того же общего секрета.

Планирование использования быстрое переподключение PEAP

В инфраструктуре 802.1 X беспроводных точек доступа настраиваются как RADIUS-клиенты RADIUS-серверов. Когда быстрое переподключение PEAP развернута, не обязательно должен пройти проверку подлинности в каждой новой связи беспроводного клиента, которые перемещаются между двумя или более точек доступа.

Быстрое переподключение PEAP сокращает время отклика для проверки подлинности между клиентом и сервером проверки подлинности, так как запрос проверки подлинности перенаправляется из новой точки доступа на сервер политики СЕТИ, изначально выполняются проверки подлинности и авторизации для клиента запрос подключения.

Так как оба варианта используют ранее сервера политики СЕТИ и PEAP клиента кэшированные протокол TLS (TLS) свойства подключения (набор которых называется TLS дескриптор), сервер политики СЕТИ может быстро определить, что клиент авторизован переподключение.

Важно

Быстрое повторное подключение для правильной работы, AP должен быть настроен как RADIUS-клиенты одного и того же сервера политики СЕТИ.

Если исходный сервер политики СЕТИ не станет доступным, или если клиент перемещается к точке доступа, который настроен как клиент RADIUS другого RADIUS-сервера, полноценную проверку подлинности между клиентом и новые средства проверки подлинности.

Настройки AP беспроводной сети

В следующем списке перечислены элементы часто настроенные на 802. 1 X-поддержкой точек доступа:

Примечание

Имена элементов может отличаться в зависимости от торговая марка и модель и могут отличаться от соответствующих в следующем списке. См. в документации беспроводных AP конфигурации-определенные сведения.

  • Идентификатор (SSID). Это имя беспроводной сети, (, ExampleWlan)и имя, которое объявляется беспроводных клиентов. Чтобы снизить путаницу, SSID, выберите для объявления не должны совпадать с идентификатором SSID, передаваемые по любой беспроводных сетей, находящихся в пределах диапазона приема беспроводной сети.

    В случаях, в которых несколько точек доступа развернутый в рамках одной беспроводной сети настроите каждой точки доступа, с помощью одного и того же SSID. В случаях, в которых несколько точек доступа развернутый в рамках одной беспроводной сети настроите каждой точки доступа, с помощью одного и того же SSID.

    В случаях, когда у вас есть необходимость развертывания различных беспроводных сетей в соответствии с потребностями бизнеса вашего беспроводного доступа в одной сети должны вещание различных SSID SSID другие сети(s). Например, если вам нужны отдельные беспроводной сети для сотрудников и Гости, может настроить ваш точек доступа для корпоративной сети с SSID включена трансляция ExampleWLAN. Гость сети, вы можете затем задать для каждого беспроводного доступа SSID трансляция GuestWLAN. Таким образом сотрудников и гости могут подключаться к запланированным сети без лишних путаницы.

    Совет

    Некоторые беспроводные AP имеют возможность транслировать несколько SSID в соответствии с несколькими-сетевой развертываний. Точка доступа, можно транслировать несколько SSID можно уменьшить развертывания операционный расходы и обслуживание.

  • Беспроводной проверки подлинности и шифрования.

    Беспроводной проверки подлинности — это проверка безопасности, используемые для беспроводной клиент связывается с беспроводной точки доступа.

    Беспроводной шифрование — шифра безопасности шифрования, который используется с беспроводной проверки подлинности для защиты сообщений, которые передаются между клиентом беспроводной сети и беспроводной точки доступа.

  • Беспроводной AP IP-адрес (статические). На каждой точки доступа настройте уникальный статический IP-адрес. При обслуживании подсети DHCP-сервер, убедитесь, что все AP IP-адреса попадают в диапазон DHCP исключения, чтобы DHCP-сервер не пытается проблема одного IP-адреса на другой компьютер или устройство. Диапазоны исключения описаны в процедуре «для создания и активировать новую область DHCP» в руководство по основной сети. Если вы планируете настраивать AP как RADIUS-клиенты группой в NPS, каждый AP в группе должна иметь IP-адрес из одного и того же диапазона IP-адресов.

  • DNS-имя. Некоторые беспроводные точки доступа можно настроить с помощью DNS-имя. Настройка каждой точки доступа, с уникальными именами. Например, если у вас есть развернутой беспроводных точек доступа в нескольких-материал построение, можно присвоить имя первые три беспроводной точки доступа, развернутых на третьем пола AP3-01 AP3-02 и AP3-03.

  • Маска подсети беспроводного AP. Настройка маски можно назначить какую часть IP-адреса — идентификатор сети она какую часть IP-адрес узла.

  • Служба AP DHCP. Если имеются встроенные Точки-в службе DHCP, отключите его.

  • Общие секреты RADIUS. Используйте уникальные RADIUS общий секрет для каждой точки доступа, если вы планируете настраивать NPS RADIUS-клиенты в группах - в какой ситуации необходимо настроить все AP в группе с помощью одного и того же общего секрета. Общие секреты должны быть случайные последовательности по крайней мере 22 символов, с и прописные и строчные буквы, числа и знаки препинания. Чтобы обеспечить случайности, можно использовать программу создания случайных символов для создания вашего общие секреты. Рекомендуется записи общего секрета для каждой точки доступа и хранить его в надежном месте, например безопасный office. При настройке RADIUS-клиенты в консоль сервера политики СЕТИ вы создадите виртуальной версии каждого AP. Общий секрет, настроить для каждого виртуального AP в NPS должен соответствовать общие секреты AP фактические, физических.

  • IP-адрес сервера RADIUS. Введите IP-адрес сервера политики СЕТИ, который вы хотите использовать для проверки подлинности и авторизации запросов на подключение к этой точке доступа.

  • UDP-порт(s). По умолчанию сервер политики СЕТИ использует UDP-порты 1812 и 1645 для сообщений проверки подлинности RADIUS и UDP-порты 1813 и 1646 для сообщений учета RADIUS. Рекомендуется не изменять параметры портов RADIUS UDP по умолчанию.

  • VSA. Некоторые беспроводные точки доступа требуется поставщика-определенные атрибуты (VSA) для предоставления функций полного беспроводных AP.

  • Фильтрация DHCP. Настройка точек доступа для блокировки клиентам отправлять IP-пакетов с порта UDP 68 в сети. См. в документации для точки Настройка фильтрации DHCP.

  • Фильтрация DNS. Настройка точек доступа для блокировки клиентам отправлять IP-пакетов с порта TCP или UDP 53 в сети. См. в документации для точки Настройка фильтрации DNS.

Планирование конфигурации клиента беспроводной сети и доступа

При планировании развертывания 802. 1 X-проверку подлинности доступа к беспроводной сети, необходимо учитывать несколько клиента-факторов:

  • Планирование поддержки нескольких стандартов.

    Определите ли беспроводных компьютеров все с помощью той же версии Windows или являются ли сочетание различных операционных систем. Если они различаются, убедитесь, что вы понимаете все различия в стандартах, поддерживаемых операционных систем.

    Определите, ли все адаптеры беспроводной сети на всех компьютерах беспроводной клиент поддерживают же стандартов беспроводной связи, требуется ли для поддержки различных стандартов. Например, определить, поддерживает ли некоторые драйверы сетевого адаптера оборудования WPA2-предприятия и AES, а другие — только WPA-предприятия и TKIP.

  • Планирования режим проверки подлинности клиента. Режимы проверки подлинности определяют, как клиенты Windows обрабатывает учетные данные домена. Можно выбрать следующие режимы проверки подлинности три сети политиками беспроводной сети.

    1. Пользователь повторно-проверки подлинности. Этот режим указывает, что проверка подлинности всегда выполняется с использованием учетных данных системы безопасности на основе текущего состояния компьютера. Пользователи не войти в систему на компьютере, проверка подлинности выполняется с использованием учетных данных компьютера. Когда пользователь вошел в систему на компьютере, проверка подлинности всегда выполняется с использованием учетных данных пользователя.

    2. Только компьютер. Компьютер только режим указывает, что проверка подлинности всегда выполняется с использованием только учетные данные компьютера.

    3. Проверка подлинности пользователя. Указывает режим проверки подлинности пользователя, проверка подлинности выполняется, только если пользователь выполнил вход на компьютер. Если пользователи не войти в систему на компьютере, попытки проверки подлинности не выполняется.

  • Планирование беспроводной ограничения. Определите, следует ли предоставить всех беспроводной пользователей с такой же уровень доступа к беспроводной сети ли вы хотите ограничивать доступ для некоторых пользователей беспроводной. Вы можете применить ограничения в NPS для конкретных групп пользователей беспроводных. Например можно определить определенных дней и часов, определенные группы разрешен доступ к беспроводной сети.

  • Планирование методы для добавления новых компьютеров беспроводной. Для беспроводных-способны компьютерах, присоединенных к домену перед развертыванием беспроводной сети, если компьютер подключен к сегмент проводной сети, не защищенные 802. 1 X, настройки конфигурации беспроводной сети будут применяться автоматически после настройки беспроводной сети (IEEE 802.11) политиками на контроллере домена, и после обновления групповой политики на беспроводных клиентов.

    Для компьютеров, не присоединенных к домену, однако необходимо планировать метод для применения параметров, которые необходимы для 802. 1 X-доступ с проверкой подлинности. Например определите, следует ли присоединить компьютер к домену, используя один из следующих методов.

    1. Подключение компьютера к сегмент проводной сети, не защищенные 802. 1 X, а затем присоединить компьютер к домену.

    2. Предоставьте вашего беспроводного действия и параметры, которые для них требуется добавить собственные bootstrap профиля, что позволяет им присоединить компьютер к домену.

    3. Назначьте ИТ-специалистов присоединиться к беспроводной клиентов к домену.

Поддержка нескольких стандартов планирование

Беспроводная сеть (IEEE 802.11) расширения политики в групповой политике предоставляет широкий набор параметров конфигурации для поддержки различных вариантов развертывания.

Можно развернуть точек доступа, настроенных с помощью стандартов, которые вы хотите поддерживать, а затем настройте несколько профилей беспроводной в беспроводной сети (IEEE 802.11) политик с каждого профиля, указав один набор стандартов, которые необходимы.

Например, если в сети компьютеры беспроводной сети, которые поддерживают WPA2-предприятия и AES, другие компьютеры, которые поддерживают WPA-предприятия и AES и другие компьютеры, которые поддерживают только WPA-предприятия и TKIP, вам необходимо решить, хотите ли вы:

  • Настройка одного профиля, поддерживающие все компьютеры беспроводной сети с помощью метода шифрования слабая что все компьютеры поддерживают — в этом случае WPA-предприятия и TKIP.
  • Настройка двух профилей, чтобы обеспечить оптимальную безопасность, поддерживаемый каждый компьютер. В этом случае следует настроить один профиль, который указывает стойкое шифрование (WPA2-предприятия и AES)и один профиль, который использует более слабые WPA-предприятия и TKIP шифрования. В этом примере важно поместить профиля, который использует WPA2-предприятия и AES наивысший в порядке предпочтения. Компьютеры, не может использовать WPA2-предприятия и AES пропустить Далее профиля в порядке предпочтения и автоматически обрабатывать профиля, который указывает WPA-предприятия и TKIP.
Важно

Профиль с более высоким стандартам самая надежная необходимо поместить в упорядоченный список профилей, так как используется компьютерами первый профиль, что они способны использовать.

Планирование ограниченный доступ к беспроводной сети

Во многих случаях может потребоваться предоставить пользователям беспроводных различные уровни доступа к беспроводной сети. Например вы хотите разрешить неограниченный доступ некоторые пользователи любого часа каждый день недели. Для других пользователей можно только разрешить доступ часы core, с понедельника по пятницу и запретить доступ на Субботним и воскресенье.

В этом руководстве приведены инструкции для создания доступа к среде, в которой помещает всех беспроводной пользователей в группу с общий доступ к ресурсам беспроводной. Создать одну группу безопасности беспроводной пользователей в Active Directory — пользователи и компьютеры прикрепления-в, а затем внесите каждого пользователя, для которого вы хотите предоставить доступ к беспроводной член этой группы.

При настройке политики сети NPS группы безопасности беспроводной пользователи укажите объект, который обрабатывает NPS при определении авторизации.

Однако если развертывание требует поддержки для различных уровней доступа нужно только сделать следующее:

  1. Создание более одного беспроводной группы безопасности пользователей для создания дополнительной безопасности беспроводной сети групп в Active Directory — пользователи и компьютеры. Например можно создать группу, которая содержит пользователей, которые имеют полный доступ, группы для тех, кто будет доступен только во время обычной работы и других групп, которые помещаются другие условия, которые соответствуют вашим требованиям.

  2. Добавьте пользователей в соответствующие группы безопасности, которые вы создали.

  3. Настроить дополнительные политики сети NPS для каждой группы дополнительной безопасности беспроводной сети и настроить политики для применения условия и ограничения, которым требуется для каждой группы.

Планирование методы для добавления нового компьютеры беспроводной сети

Рекомендуемый способ присоединиться к домену и входить в систему домена новые компьютеры беспроводной сети — с помощью проводного подключения сегмент локальной сети имеет доступ к контроллерам домена, который не защищен с помощью проверки подлинности 802.1 X коммутатора Ethernet.

В некоторых случаях Однако, он может не поддерживать практические использовать проводное подключение, чтобы присоединить компьютеры к домену, или пользователь может использовать для их первого входа в систему попытки проводное подключение с помощью компьютеров, которые уже присоединен к домену.

Чтобы присоединить компьютер к домену с помощью беспроводного подключения или для входа в систему домена в первый раз с помощью домена-присоединенном к компьютеру и беспроводного подключения беспроводных клиентов необходимо сначала установить подключение к беспроводной сети на сегмент, который имеет доступ к контроллерам домена сети, используя один из следующих методов.

  1. Участник ИТ-специалисты беспроводной компьютер присоединяется к домену и затем настраивает единого входа профилем беспроводной. С помощью этого метода ИТ-администратор компьютер подключается к проводной сети Ethernet и затем присоединение компьютера к домену. Затем администратор распространяет компьютера для пользователя. При запуске компьютера, учетные данные домена, вручную указать в процессе входа пользователя используются для входа в домен и установить подключение к беспроводной сети.

  2. Пользователь вручную настраивает загрузочного профиля беспроводной сети на компьютере, а затем присоединяется к домену. С помощью этого метода пользователи вручную настроить свои компьютеры беспроводной сети с профилем беспроводной зависимости инструкции от ИТ-администратора. Загрузочный профиль позволяет установить беспроводное подключение, а затем присоединить компьютер к домену. После присоединения компьютера к домену и перезапустите компьютер, пользователь может войти в к домену с помощью беспроводного подключения и свои учетные данные учетной записи домена.

Развертывание доступа к беспроводной сети, в разделе беспроводной развертывания доступа.

© 2017 Microsoft