Table of contents
TOC
İçindekiler tablosunu daralt
İçindekiler tablosunu genişlet

Parola dağıtan-802.1 X doğrulanmış kablosuz erişimi dayalı

James McIllece|Son Güncellenme Tarihi: 10.03.2017
|
1 Katkıda Bulunan

İçin geçerlidir: Windows Server 2016

Windows Server bir yardımcı Kılavuzu budur® 2016 temel ağ Kılavuzu. Temel Ağ Kılavuzu planlama ve tamamen işlevsel bir ağ ve yeni bir Active Directory için gerekli bileşenleri dağıtmak talimatlar sağlayan® yeni ormanın'te etki.

Bu kılavuz elektrik ve Elektronik Mühendisleri dağıtma hakkında yönergeler sağlayarak temel ağ derleme açıklamaktadır (IEEE) 802.1 X-Korumalı Genişletilmiş Kimlik Doğrulama Protokolü – Microsoft macera Kimlik Doğrulama Protokolü sürüm 2 kullanarak IEEE 802.11 kablosuz erişim kimlik doğrulaması (PEAP-MS-CHAP v2).

Çünkü PEAP-MS-CHAP v2 gerektirir kullanıcılara parola sağlamak-temel kimlik bilgileri yerine sertifika kimlik doğrulama işlemi sırasında bu genellikle daha kolay ve ucuz EAP dağıtmaya-TLS veya PEAP-TLS.

Not

Bu kılavuz, IEEE 802.1 X kimlik doğrulaması yapılmış PEAP ile kablosuz erişim içinde-MS-CHAP v2 kısaltılmış "kablosuz erişim" ve "Wi-Fi erişim."

Bu kılavuz hakkında

Bu kılavuz, aşağıda açıklanan gerekli kılavuzları ile birlikte aşağıdaki Wi-Fi erişim altyapı dağıtma hakkında yönergeler sağlar.

  • Bir veya daha fazla 802.1 X-özelliğine sahip 802.11 kablosuz erişim noktaları (APs).

  • Active Directory Etki Alanı Hizmetleri (AD DS) kullanıcıları ve bilgisayarları.

  • Grup İlkesi Yönetimi.

  • Bir veya daha fazla ağ ilkesi sunucusu (NPS) sunucular.

  • Sunucu sertifikaları NPS çalıştıran bilgisayarlar için.

  • Windows çalıştıran istemci bilgisayarlar kablosuz® 10, Windows 8 veya Windows 8.1.

Bu kılavuz baðýmlýlýklarýný

Bu kılavuzu ile doğrulanmış kablosuz başarıyla dağıtmak için bir ağ ve etki alanı ortamı tüm dağıtılan gerekli teknolojiler olması gerekir. Ayrıca, kimlik doğrulama NPS sunucularına dağıtılan sunucu sertifikaları olması gerekir.

Aşağıdaki bölümler bu teknolojiler dağıtma gösteren belgelerine bağlantılar sağlar.

Ağ ve etki alanı ortamı bağımlılıkları

Bu kılavuz Windows Server 2016 yönergeleri izleyen ağ ve sistem yöneticileri için tasarlanmıştır temel ağ Kılavuzu, temel ağ dağıtmak için veya olanlar için önceden çekirdek ağa dahil çekirdek teknolojileri dağıtılan, AD DS, etki alanı adı sistemi de dahil olmak üzere (DNS), Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP), TCP\/IP, NPS ve Windows Internet ad hizmeti (WINS).

Temel Ağ Kılavuzu aşağıdaki konumlarda kullanılabilir hale gelir:

Sunucu sertifikası bağımlılıkları

Sunucu sertifikaları 802.1 X kimlik doğrulaması ile-kullanmak için kaydetme kimlik doğrulaması sunucular dağıtmak için kendi ortak anahtar altyapınızı Active Directory Sertifika Hizmetleri kullanarak kullanılabilir iki seçeneğiniz vardır (AD CS) veya ortak sertifika yetkisi tarafından kayıtlı sunucu sertifikaları kullanın (CA).

AD CS

Ağ ve sistem yöneticileri doğrulanmış kablosuz dağıtma Windows Server 2016 temel ağ yardımcı Kılavuzu'ndaki yönergeleri izleyin gerekir dağıtan 802.1 X kablolu ve kablosuz dağıtımlar için sunucu sertifikaları. Bu kılavuz nasıl dağıtan ve AD CS sunucu sertifikaları NPS çalıştıran bilgisayarlar için otomatik olarak kaydetmek için kullanılacağını açıklamaktadır.

Bu kılavuz aşağıdaki konumda kullanılabilir.

Ortak CA

İstemci bilgisayarlar zaten güvendiğiniz sunucu sertifikaları VeriSign gibi bir genel CA'dan satın alabilirsiniz.

CA sertifikası güvenilir sertifika yetkililerine sertifika Mağaza'da yüklendiğinde, istemci bilgisayar bir CA'ya güveniyorsa. Varsayılan olarak, Windows çalıştıran bilgisayarlar Mağaza'da kendi güvenilen sertifika yetkililerine sertifika yüklü birden çok ortak sertifikalarından vardır.

Her bu dağıtım senaryo kullanılan teknolojiler için tasarım ve dağıtım kılavuzları gözden geçirin önerilir. Bu kılavuzları, bu dağıtım senaryo için kuruluşunuzun ağ ihtiyacınız yapılandırma ve hizmetleri sağlar olup olmadığını belirlemenize yardımcı olabilir.

Gereksinimleri

Bu Kılavuzu'nda senaryo kullanarak bir kablosuz erişim altyapısı dağıtma gereksinimleri şunlardır:

  • Bu senaryo dağıtımından önce ilk 802.1 X satın almanız gerekir-, sitesinde istenen konumlara kablosuz Karşılama sağlamak için özelliğine sahip kablosuz erişim noktaları. Bu kılavuz, planlama bölümünde, APs desteklemelidir özellikleri belirlemenize yardımcı olur.

  • Active Directory Etki Alanı Hizmetleri (AD DS) diğer gerekli ağ teknolojileri gibi Windows Server 2016 temel ağ Kılavuzu'ndaki yönergeleri göre yüklenir.

  • AD CS dağıtılan ve sunucu sertifikaları NPS sunucularına kayıtlı. Bu sertifikaları PEAP dağıtımı yaparken gerekli olan-MS-CHAP v2 sertifika-bu Kılavuzu'nda kullanılan kimlik doğrulama yöntemi bağlı.

  • Alışık olduğunuz, kablosuz AP'lerle ve kablosuz ağ bağdaştırıcılarını istemci bilgisayarlar ve cihazlar, ağınızdaki yüklü tarafından desteklenen IEEE 802.11 standartlarına kuruluşunuz bir üyesi değil. Örneğin, kuruluşunuzdaki bir kişi radyo frekansı türleri, 802.11 kablosuz kimlik doğrulama tanıdık (WPA2 veya WPA)ve şifreleri (AES veya TKIP).

Bu kılavuz ne sağlamaz

Bu kılavuz sağlamaz bazı öğeleri şunlardır:

802.1 X seçmek için kapsamlı kılavuz-özelliğine sahip kablosuz erişim noktaları

Birçok farkları markaları ve modellerinde 802.1 X arasında olduğundan-özelliğine sahip kablosuz AP'lerle, bu kılavuzu sağlamaz ayrıntılı bilgi hakkında:

  • Hangi marka veya kablosuz AP modelini en iyi olduğunu belirleme gereksinimleriniz için uygun.

  • Kablosuz AP'lerle, ağınızdaki fiziksel dağıtımını.

  • Kablosuz AP yapılandırma, aşağıdakiler gibi kablosuz sanal yerel ağlar için Gelişmiş (VLAN'lar).

  • Kablosuz AP satıcı yapılandırmak yönergeler-olarak belirli özellikleri.

Ayrıca, terimler ve ayarlar için adları kablosuz AP markalar ve modelleri arasında farklılık ve bu Kılavuzu'nda kullanılan genel ayar adları eşleşmiyor olabilir. Kablosuz AP yapılandırma ayrıntılı bilgi için kablosuz AP'lerle üreticisi tarafından sağlanan ürün belgelerini gözden geçirin gerekir.

NPS sunucu sertifikaları dağıtmak için yönergeleri

NPS sunucu sertifikaları dağıtmak için iki seçenekleri vardır. Bu kılavuz, hangi alternatif ihtiyaçlarınıza belirlemenize yardımcı olmak için kapsamlı kılavuz sağlamaz. Genel olarak, ancak, karşılaşacağınız seçimler şunlardır:

  • Sertifikaları VeriSign gibi bir genel CA'dan satın alma, zaten güvenilir Windows tarafından-istemcileri bağlı. Bu seçenek genellikle daha küçük ağlar için önerilir.

  • Ortak anahtar altyapısı dağıtma (PKI) AD CS kullanarak, ağınızdaki. Bu, çoğu ağlar için önerilir ve nasıl AD CS ile sunucu sertifikaları dağıtmak yönergeleri yukarıda belirtilen Dağıtım Kılavuzu'nda kullanılabilir.

NPS ağ ilkeleri ve diğer NPS ayarları

Çalıştırdığınızda yapılan yapılandırma ayarları dışında yapılandırma 802.1 X Sihirbazı, bu Kılavuzu'nda belirtildiği gibi bu kılavuzu ayrıntılı bilgi için el ile NPS koşulları, kısıtlamaları veya diğer NPS ayarları yapılandırma sağlamaz.

DHCP

Bu dağıtım kılavuzu tasarlıyor veya kablosuz yerel ağlar için DHCP alt dağıtma hakkında bilgi sağlamaz.

Teknoloji hakkında genel bilgiler

Kablosuz erişim dağıtmak için teknoloji hakkında genel bilgiler şunlardır:

IEEE 802.1 X

Bağlantı noktası IEEE 802.1 X standardı tanımlar-tabanlı Ethernet ağlarına doğrulanmış ağ erişimi sağlamak için kullanılan ağ erişim denetimi. Bu bağlantı noktası-tabanlı ağ erişim denetimi LAN bağlantı noktasına bağlı cihazlar kimlik doğrulaması için geçiş yapılan LAN altyapı fiziksel özelliklerini kullanır. Kimlik doğrulama işlemi başarısız olursa bağlantı noktasına erişim engellenebilir. Bu standart kablolu Ethernet ağları için tasarlanmıştır rağmen 802.11 kablosuz yerel ağlar üzerinde kullanım için uygun olmuştur.

802.1 X-özelliğine sahip kablosuz erişim noktaları (APs)

Bu senaryo bir veya daha fazla 802.1 X dağıtımını gerektirir-uzak kimlik doğrulama arama ile uyumlu olan özelliğine sahip kablosuz AP'lerle-kullanıcı hizmeti (RADIUS) protokolü.

802.1 X ve RADIUS-bir NPS sunucusu gibi bir RADIUS sunucusuyla RADIUS altyapısı dağıtılmış zaman uyumlu APs adlandırılır RADIUS istemcileri.

Kablosuz istemcileri

Bu kılavuz 802.1 X etki alanı için doğrulanmış erişimi sağlamanız için kapsamlı yapılandırma ayrıntıları sağlayan-üye kullanıcılar Windows 10, Windows 8.1 ve Windows 8 çalıştıran kablosuz istemci bilgisayarlarla ağa bağlanın. Bilgisayarlar için etki alanı başarıyla doğrulanmış erişim kurmak amacıyla katılması gerekir.

Not

Windows Server 2016, Windows Server 2012 R2 ve Windows Server 2012 kablosuz istemcileri olarak çalıştıran bilgisayarlar de kullanabilirsiniz.

İçin IEEE 802.11 standartlarına desteği

Desteklenen Windows ve Windows Server işletim sistemleri sağlar yerleşik olarak-802.11 kablosuz için destek ağ. Bu işletim sistemleri, bir kablosuz ağ bağlantısı ağ ve Paylaşım Merkezi yüklü bir 802.11 kablosuz ağ bağdaştırıcınız görünür.

Orada yerleşik olarak bulunur rağmen-802.11 kablosuz ağ bağlantısı desteği'da, Windows kablosuz bileşenlerini sonrası aşağıdaki bağlıdır:

  • Kablosuz ağ bağdaştırıcısının özellikleri. Yüklü kablosuz ağ bağdaştırıcınız kablosuz LAN veya ihtiyaç duyduğunuz kablosuz güvenlik standartlarına desteklemesi gerekir. Örneğin, kablosuz ağ bağdaştırıcınız Wi desteklemiyorsa-Fi Korumalı Erişim (WPA), etkinleştirme veya WPA güvenlik seçeneklerini yapılandırın.

  • Kablosuz ağ bağdaştırıcınız sürücü işlevlerini. Kablosuz ağ seçeneklerini yapılandırmak için izin vermek için kablosuz ağ bağdaştırıcınız için sürücü kapasitesi tümünün Windows için bildirimi desteklemesi gerekir. Kablosuz ağ bağdaştırıcınız için sürücü için özellikleri, işletim sisteminin yazılan olduğunu doğrulayın. Ayrıca Microsoft Update veya kablosuz ağ bağdaştırıcınız satıcının Web sitesi işaretleyerek sürücü en son sürümü olduğundan emin olun.

Aşağıdaki tabloda iletim hızları ve genel IEEE 802.11 kablosuz standartlarına için sıklıkları gösterir.

StandartlarınaSıklıklarıBit iletim fiyatlarıKullanım
802.11S-Band sanayi, bilimsel ve sağlık (ISM) frekans aralığı (2,5 için 2.4 GHz)2 saniyede (MB/sn)Eski. Yeterince sık kullanılan.
802.11bS-bant ISM11 MB/snSık kullanılan.
802.11aC-bant ISM (5.725 için 5.875 GHz)54 MB/snYaygın olarak kullanılan son gider ve sınırlı aralığı.
802.11gS-bant ISM54 MB/snYaygın olarak kullanılan. 802.11g cihazlar 802.11b ile uyumlu cihazlar.
802.11n \2.4 ve 5.0 GHzC-Band ve S-bant ISM250 MB/snBağlı cihazlar üzerinde öncesi-onaylaması IEEE 802.11n standart başladı Ağustos 2007'de kullanılabilir. Birçok 802.11n cihazlar 802.11a ile uyumlu b ve g cihazlar.
802.11ac5 GHz6.93 GB/sn2014'te IEEE tarafından onaylanan 802.11ac, daha ölçeklendirilebilir ve 802.11n daha hızlı ve bu nerede APs ve kablosuz istemcileri destek dağıtılmıştır.

Kablosuz ağ güvenlik yöntemleri

Kablosuz ağ güvenlik yöntemleri kablosuz kimlik doğrulama resmi olmayan bir grup olan (bazen kablosuz güvenlik da adlandırılır) ve kablosuz güvenlik şifreleme. Kablosuz kimlik doğrulama ve şifreleme çiftler halinde yetkisiz kullanıcıların kablosuz ağa erişmesini önlemeye ve kablosuz iletim korumak için kullanılır.

Grup İlkesi, kablosuz ağ ilkeleri kablosuz güvenlik ayarları yapılandırma açtığınızda, aralarından seçim yapabileceğiniz birden çok birleşimlerinin vardır. Ancak, yalnızca WPA2-Enterprise, WPA-Enterprise ve 802.1 X kimlik doğrulama standartlarına açıkken 802.1 X kimlik doğrulaması kablosuz dağıtımlarını desteklenir.

Not

Kablosuz ağ ilkeleri yapılandırması sırasında seçmelisiniz WPA2-Enterprise, WPA-Enterprise, veya 802.1 X ile Aç kablosuz dağıtımlar 802.1 X kimlik doğrulaması için gerekli olan EAP ayarlarını erişmek için.

Kablosuz kimlik doğrulama

Bu kılavuz aşağıdaki kablosuz kimlik doğrulama standartlarına kullanımını 802.1 X kablosuz dağıtımlar kimlik doğrulaması önerir.

Wi-Fi Korumalı Erişim – Enterprise (WPA-Enterprise) WPA olan 802.11 kablosuz güvenlik protokolü ile uyumlu olmak için Wi-Fi Birliği tarafından geliştirilen geçici bir standart. WPA protokolü yanıt içinde önceki kablolu eşdeğer gizlilik bulunan ciddi sorunlar birtakım olarak geliştirilmiştir (WEP) protokolü.

WPA -Enterprise WEP tarafından üzerinden Gelişmiş güvenlik sağlar:

  1. 802.1 X EAP framework merkezi ortak kimlik doğrulama ve dinamik anahtar yönetimi sağlamaktadır altyapı bir parçası olarak kullanan kimlik doğrulaması gerektiren

  2. Denetleyin bütünlüğü değer iyileştirme (ICV) bir ileti bütünlüğü denetleyin ile (Mikrofon), üst bilgi ve yükü korumak için

  3. Yeniden oynatma saldırılara önlemek için bir çerçeve sayacı uygulama

Wi-Fi Korumalı Erişim 2 – Enterprise (WPA2-Enterprise) gibi WPA-Enterprise standart, WPA2-Enterprise 802.1 X ve EAP framework kullanır. WPA2-Enterprise sağlayan güçlü veri koruması birden fazla kullanıcı için ve büyük ağlar yönetilen. WPA2-Enterprise olduğunu doğrulama kimlik doğrulama sunucusu üzerinden ağ kullanıcıları tarafından izinsiz ağ erişimini önlemek için tasarlanmış bir sağlam protokolü.

Kablosuz güvenlik şifreleme

Kablosuz güvenlik şifreleme kablosuz istemci ve kablosuz AP arasında gönderilen kablosuz iletim korumak için kullanılır. Kablosuz güvenlik şifreleme birlikte ile seçilen ağ güvenlik kimlik doğrulama yöntemi kullanılır. Varsayılan olarak, Windows 10 çalıştıran bilgisayarlar iki şifreleme standardı Windows 8.1 ve Windows 8 destek:

  1. Geçici Anahtar Bütünlüğü Protokolü(TKIP) ne tarafından kendiliğinden zayıf kablolu eşdeğer gizlilik belirtilmesi sorununu'den daha güvenli kablosuz şifreleme sağlamak için tasarlanmıştır eski bir şifreleme Protokolü (WEP) protokolü. TKIP IEEE 802.11i tasarlanmıştır görev grubu ve Wi-Fi WEP eski donanım değişim gerek kalmadan değiştirmek için Birliği. TKIP WEP yükte saklar ve eski Wi-Fi donatım kullanıcıları için TKIP donanımı değiştirme olmadan yükseltmek izin veren bir algoritmaları paketidir. WEP gibi TKIP temel olarak RC4 akış şifreleme algoritması kullanır. Yeni protokolü, ancak, benzersiz bir şifreleme anahtarı ile her veri paketi şifreler ve tuşları WEP tarafından olandan daha güçlü. TKIP yalnızca WEP kullanmak için tasarlanan eski cihazlarda güvenlik yükseltmek için yararlı olsa da, tüm kablosuz yerel ağlar yaşayan güvenlik sorunları adres değil ve çoğu durumda hassas devlet veya kurumsal veri aktarımı korumak için yeterince sağlam değildir.

  2. Şifreleme standart Gelişmiş(AES) ticari ve devlet veri şifrelemesi için tercih edilen şifreleme protokolü. AES TKIP veya WEP daha yüksek düzeyde kablosuz iletim güvenlik sunar. TKIP ve WEP aksine, AES AES standardını destekleyen bir kablosuz donanım gerektirir. AES olan bir simetrik-standart üç şifreleri engelleme, AES kullanan anahtar şifrelemesi-128, AES-192 ve AES-256.

Windows Server 2016, aşağıdaki AES-WPA2 bir kimlik doğrulama yöntemi seçtiğinizde tabanlı kablosuz şifreleme yöntemleri yapılandırma kablosuz profili özellikleri için kullanılabilir-Enterprise, önerilir.

  1. AES-CCMP. Modu şifreleme engelleme zincir ileti kimlik doğrulama kodu protokolünü kalkması (CCMP) gerçekleştirir 802.11i standardı ve WEP tarafından sağlanan daha yüksek güvenlik şifrelemesi için tasarlanmıştır ve 128 bit AES şifreleme anahtarları kullanır.
  2. AES-GCMP. Galois sayaç modu Protokolü (GCMP) 802.11ac tarafından desteklenen, AES'den daha verimli-CCMP ve kablosuz istemcileri için daha iyi performans sağlar. GCMP 256 bit AES şifreleme anahtarları kullanır.
Önemli

Kablolu eşdeğer gizlilik (WEP) ağ trafiği şifrelenir için kullanılan özgün kablosuz güvenlik standart oldu. Olmadığı için iyi, WEP ağınızdaki yüklemelidir değil-bu güncel güvenlik biçiminde bilinen açıkları.

Active Directory Etki Alanı Hizmetleri (AD DS)

AD DS sağlar depolar ve ağ kaynakları ve uygulama hakkında bilgi yöneten dağıtılmış bir veritabanı-dizin belirli verileri-uygulamaları etkin. Yönetici AD DS, kullanıcılar, bilgisayarlar ve diğer cihazlar gibi ağ öğelerini hiyerarşik kapsayıcı yapı halinde düzenlemek için kullanabilirsiniz. Ormanın ve kuruluş birimlerini etki alanları Active Directory ormanın hiyerarşik kapsayıcı yapı içerir (kuruluş) her etki alanında. AD DS çalıştıran bir sunucu adı verilen bir etki alanı denetleyicisi.

AD DS kullanıcı hesapları, bilgisayar hesapları ve IEEE 802.1 X ve PEAP tarafından gerekli olan hesap özellikleri içerir-MS-CHAP v2 kullanıcı kimlik bilgilerini doğrulamak için ve kablosuz bağlantılar için yetkilendirme değerlendirmek için.

Active Directory'yi kullanıcıları ve Bilgisayarları

Active Directory Kullanıcıları ve Bilgisayarları içeren bir bilgisayar, bir kişi veya bir güvenlik grubu gibi fiziksel varlık temsil hesaplar AD DS bileşeninin var. Bir güvenlik grubu yönetici tek bir birim olarak yönetebilir kullanıcı veya bilgisayar hesaplarını topluluğudur. Belirli bir gruba ait kullanıcı ve bilgisayar hesapları adlandırılır olarak gruplandırın üyeler.

Grup İlkesi Yönetimi

Grup İlkesi Yönetimi sağlayan dizin-güvenlik ve kullanıcı bilgileri de dahil olmak üzere kullanıcı ve bilgisayar ayarlarını değiştir ve yapılandırma yönetimi bağlı. Kullanıcı ve bilgisayar grupları için yapılandırmaları tanımlamak için Grup İlkesi kullanın. Grup İlkesi ile kayıt defteri girişleri, güvenlik, yazılım yükleme, betiklerini, klasör yönlendirmesi, Uzaktan Yükleme Hizmetleri ve Internet Explorer Bakım ayarlarını belirleyebilirsiniz. Bir Grup İlkesi nesnesi içinde yer alan oluşturduğunuz Grup İlkesi ayarları (GPO). Bir GPO'yu seçili Active Directory sistem kapsayıcı ile ilişkilendirme tarafından; siteleri, etki alanları ve kuruluş birimleri; kullanıcılar ve bu Active Directory kapsayıcı bilgisayarlara GPO ayarlarını uygulayabilirsiniz. Grup İlkesi nesnelerini kuruluş genelinde yönetmek için Grup İlkesi Yönetimi Düzenleyicisi Microsoft Yönetim Konsolu kullanabilirsiniz (MMC).

Bu kılavuz, kablosuz ağ ayarlarını belirleme hakkında ayrıntılı yönergeleri sağlar (IEEE 802.11) Grup İlkesi Yönetimi İlkeleri uzantısını. Kablosuz ağa (IEEE 802.11) ilkeleri etki alanını yapılandırın-üye kablosuz istemci bilgisayarlarla gerekli bağlantısı ve kablosuz ayarları 802.1 X kablosuz erişim kimlik doğrulaması.

Sunucu sertifikaları

Bu dağıtım senaryo 802.1 X kimlik doğrulaması gerçekleştirir her NPS sunucusu için sunucu sertifikaları gerektirir.

Sunucu sertifikası kimlik doğrulaması için ve güvenli bilgilere açık ağlarda yaygın olarak kullanılan dijital bir belge var. Bir sertifika güvenle ilgili özel anahtar tutan varlık için ortak anahtar bağlar. Sertifikaları veren CA tarafından dijital olarak oturum açtığınızdan ve bir kullanıcı, bir bilgisayar veya bir hizmet için verilebilir.

Sertifika yetkisi (CA) bir varlık oluşturma ve konular için ait ortak anahtarlarının kefaletinden sorumlu (genellikle kullanıcılar veya bilgisayarlar) edinilebilir. Sertifika yetkisi etkinliklerini ortak anahtarları işaretli sertifikaları, sertifika seri numarası yönetmek ve sertifikaları iptal etme aracılığıyla ayırt adlarını bağlama içerebilir.

Active Directory Sertifika Hizmetleri (AD CS) bir ağ CA sertifika veren sunucu rolü. Bir AD CS sertifika altyapı, olarak da bilinen bir ortak anahtar altyapısı (PKI), kurumsal sertifika vermek ve yönetmek için özelleştirilebilir hizmetler sağlar.

EAP, PEAP ve PEAP-MS-CHAP v2

Genişletilmiş Kimlik Doğrulama Protokolü (EAP) noktası UZATIYOR-için-Noktaya Protokolü (PPP) kimlik bilgileri ile bilgi ek kimlik doğrulama yöntemleri sağlayarak rasgele uzunluk alışverişleri. EAP kimlik doğrulama ile hem ağ erişim istemci ve authenticator (NPS sunucusu gibi) ortaya için başarılı kimlik doğrulaması için aynı EAP türünü desteklemesi gerekir. Windows Server 2016 içeren bir EAP altyapısı, iki EAP türü ve EAP iletileri NPS sunucularına geçirmek için özelliğini destekliyor. EAP kullanarak, olarak bilinen ek kimlik doğrulama düzenlerini, destek EAP türleri. Windows Server tarafından 2016 desteklenen EAP türleri şunlardır:

  • Aktarım Katmanı Güvenliği (TLS)

  • Microsoft Macera Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2)

Önemli

Güçlü EAP türleri (sertifika tabanlı olanlar gibi) kaba karşı daha iyi güvenlik sunuyor-saldırılara, sözlük saldırılara ve parola daha saldırılara tahmin parola zorlamak-temel kimlik doğrulaması protokoller (CHAP veya MS gibi-CHAP sürüm 1).

Korumalı EAP (PEAP) bir kablosuz bilgisayar ve bir NPS sunucusu veya diğer RADIUS sunucularına gibi bir PEAP authenticator gibi bir kimlik doğrulama PEAP istemcisi arasında şifreli kanal oluşturmak için TLS kullanır. PEAP bir kimlik doğrulama yöntemi belirtin değil, ancak diğer EAP kimlik doğrulaması protokollerde ek güvenlik sağladığı (EAP gibi-MS-CHAP v2) PEAP tarafından sağlanan TLS şifreli kanal üzerinden çalışabilir. PEAP aşağıdaki ağ erişim sunucusu türlerini aracılığıyla kuruluşunuzun ağa bağlanma erişim istemcileri için bir kimlik doğrulama yöntemi olarak kullanılır (NAS'lar):

  • 802.1 X-özelliğine sahip kablosuz erişim noktaları

  • 802.1 X-özelliğine sahip kimlik doğrulama anahtarları

  • Windows Server 2016 ve Uzaktan Erişim hizmeti çalıştıran bilgisayarlar (RAS) sanal özel ağ yapılandırılmış (VPN) sunucular, DirectAccess sunucularına ya da her iki

  • Uzak Masaüstü Hizmetleri ve Windows Server 2016 çalıştıran bilgisayarlar

PEAP-MS-CHAP v2 EAP dağıtmaya daha kolay-TLS kullanıcı kimlik doğrulaması parola kullanılarak gerçekleştirilen çünkü-temel kimlik bilgileri (kullanıcı adı ve parola), sertifikaları veya akıllı kart yerine. Yalnızca NPS veya diğer RADIUS sunucularına bir sertifikası olması gerekir. NPS sunucu sertifikası PEAP istemcileri kimliğini doğrulamak için kimlik doğrulama işlemi sırasında NPS sunucusu tarafından kullanılır.

Bu kılavuz, kablosuz istemcileri ve, NPS sunucusunu yapılandırmak için yönergeler sağlar(s) PEAP kullanmak için-MS-CHAP v2 802.1 X kimlik doğrulaması erişim.

Ağ İlkesi Sunucusu

Ağ ilke sunucusu (NPS) merkezi olarak yapılandırmak ve uzak kimlik doğrulama arama kullanarak ağ ilkeleri yönetmek tanır-kullanıcı hizmeti (RADIUS) server ve RADIUS Ara sunucu. 802.1 X kablosuz erişimi dağıtmak, NPS gereklidir.

802.1 X kablosuz erişim noktalarını RADIUS istemcileri olarak yapılandırdığınızda, NPS APs tarafından gönderilen bağlantı istekleri işler. Bağlantı isteği işleme sırasında NPS kimlik doğrulama ve yetkilendirme gerçekleştirir. Kimlik doğrulaması istemci geçerli kimlik bilgileri sunulan olup olmadığını belirler. NPS başarıyla isteyen istemci kimlik doğrulaması varsa, NPS istemci istenen bağlantıyı kurun yetkisi, ve ya da izin verir veya bağlantıyı vermez belirler. Bu daha ayrıntılı olarak aşağıdaki gibi açıklanan:

Kimlik doğrulaması

Başarılı ortak PEAP-MS-CHAP v2 kimlik doğrulaması iki ana bölümü vardır:

  1. NPS sunucusu istemci kimlik doğrulaması yapar. Böylece istemci sertifikası NPS sunucusunun kimliğinizi doğrulamak için yapabileceğiniz ortak kimlik doğrulama Bu aşamada kendi sunucu sertifikası NPS sunucusu istemci bilgisayara gönderir. Başarıyla NPS sunucusunun kimlik doğrulaması için istemci bilgisayar NPS sunucu sertifikası veren CA güven gerekir. CA'ın sertifikası istemci bilgisayarda güvenilen sertifika yetkililerine sertifika Mağaza'daki mevcut olduğunda istemci bu CA'ya güveniyorsa.

    Özel Yetkiliniz dağıtım yapıyorsanız, Grup İlkesi etki alanı üye istemci bilgisayarda yenilenir, CA sertifikası güvenilir sertifika yetkililerine sertifikası geçerli kullanıcı için ve yerel bilgisayar için Mağaza'daki otomatik olarak yüklenir. Bir genel CA'dan sunucu sertifikaları dağıtan karar verirseniz, ortak CA sertifikası güvenilir sertifika yetkililerine sertifika Mağaza'da zaten olduğundan emin olun.

  2. NPS sunucusu kullanıcı kimlik doğrulaması yapar. NPS sunucusunun başarıyla istemci kimlik doğrulaması sonra kullanıcının parolasını istemci gönderir-temel kimlik bilgileri kullanıcının kimlik bilgileri Active Directory etki alanı hizmetlerinde kullanıcı hesapları veritabanı karşı doğrulayan NPS sunucusuna (AD DS).

Kimlik bilgileri geçerlidir ve kimlik doğrulama başarılı olursa, NPS sunucusu bağlantı isteği işleme yetkilendirme aşaması başlar. Kimlik bilgileri geçerli değil ve kimlik doğrulaması başarısız olursa, NPS bir erişim Reddet mesaj gönderir ve bağlantı isteği reddedildi.

Yetkilendirme

NPS sunucusunu yetkilendirme şu şekilde gerçekleştirir:

  1. NPS denetler kullanıcı veya bilgisayar hesabı arama kısıtlamaları için-AD DS özelliklerinde. Her kullanıcı ve bilgisayar hesabı Active Directory Kullanıcıları ve Bilgisayarları ' da bulunan de dahil olmak üzere birden çok özellikleri içerir arama-içinde sekme. Bu sekmesinde, içinde ağ erişim izni, değer ise erişimine izin, kullanıcı veya bilgisayar ağa bağlanma yetkisi. Değer ise erişimini, kullanıcı veya bilgisayar ağa bağlanmak için yetkilendirilmemiş. Değer ise kontrol NPS Ağ İlkesi aracılığıyla erişim, kullanıcı veya bilgisayar ağa bağlanma yetkisi olup olmadığını belirlemek için yapılandırılmış ağ ilkeleri NPS değerlendirir.

  2. NPS sonra bağlantı isteği eşleşen bir ilke bulmak için kendi ağ ilkeleri işler. Eşleşen ilke bulunursa, NPS verir veya bu ilkenin yapılandırmasını temel alarak bağlantı vermez.

Kimlik doğrulama ve yetkilendirme başarılı ve eşleşen ağ ilke erişim verirse, NPS ağa erişimi verir ve kullanıcı ve bilgisayar için ağ kaynaklarını izinlerine sahip oldukları bağlanabilirsiniz.

Not

Kablosuz erişimi dağıtmak için NPS ilkeleri yapılandırmanız gerekir. Bu kılavuz kullanmak için yönergeler sağlar yapılandırma 802.1 X Sihirbazı 802.1 X kablosuz erişim kimlik doğrulaması için NPS ilkeleri oluşturmak için olarak.

Önyükleme profilleri

802.1 X-kablosuz ağlar, kimlik doğrulaması kablosuz istemcileri ağa bağlanabilmek için bir RADIUS sunucusu tarafından kimlik doğrulaması güvenlik kimlik bilgileri sağlamalıdır. Korumalı EAP için [PEAP]-Microsoft macera Kimlik Doğrulama Protokolü sürüm 2 [MS-CHAP v2], bir kullanıcı adı ve parola güvenlik kimlik bilgilerini vardır. EAP-Aktarım Katmanı Güvenliği [TLS] veya PEAP-TLS, güvenlik kimlik bilgilerini istemci kullanıcı ve bilgisayar sertifikaları veya akıllı kartlar gibi sertifikaları vardır.

PEAP gerçekleştirmek için yapılandırılmış bir ağa bağlanırken-MS-CHAP v2, PEAP-TLS veya EAP-TLS kimlik doğrulama, varsayılan olarak, Windows kablosuz istemcileri RADIUS sunucusu tarafından gönderilen bir bilgisayar sertifikası da doğrulamak gerekir. Her kimlik doğrulama oturum için RADIUS sunucusu tarafından gönderilen bilgisayar sertifikası sunucu sertifikası yaygın olarak adlandırılır.

Daha önce belirttiğimiz gibi kendi sunucu sertifikası iki yolla, RADIUS sunucularına kesebilirsiniz: bir ticari CA'dan (VeriSign, Inc. gibi), veya ağınızdaki dağıtan özel bir CA'dan. RADIUS sunucusu istemci güvenilen sertifika yetkililerine sertifika Mağaza'da yüklü bir sertifika olduğu bir ticari CA tarafından verildi bir bilgisayar sertifikası gönderiyorsa kablosuz istemci kablosuz istemci Active Directory etki alanı olup olmadığını katıldı bağımsız olarak RADIUS sunucu bilgisayar sertifikasının doğrulamak için. Bu durumda kablosuz ağa kablosuz istemci bağlanabilir ve sonra bilgisayar etki alanına katılabilirsiniz.

Not

Sunucu sertifikası doğrulamak istemci gerektiren davranışı devre dışı bırakılabilir, ancak sunucu sertifikası doğrulama devre dışı bırakma üretim ortamlarında önerilir.

Kablosuz önyükleme profilleri olan 802.1 X bağlanmak kablosuz istemci kullanıcıların sağlamak yolla yapılandırılan geçici profiller-bilgisayar, etki alanına önce kablosuz ağ kimlik doğrulaması ve\/veya kullanıcı başarıyla etki alanına ilk kez belirli bir kablosuz bilgisayar kullanarak oturum açtıktan önce. Bu bölümü sorun nedir etki alanı ya da bir etki alanı kullanmak bir kullanıcı için bir kablosuz bilgisayar katılmaya çalışırken karşılaştı özetler-birleştirilmiş kablosuz bilgisayar etki alanına oturum açmak ilk kez.

Kullanıcı veya BT yönetici fiziksel bir bilgisayar bilgisayarın etki alanına katılmak için kablolu Ethernet ağına bağlanamıyor ve bilgisayarda gerekli veren yok dağıtımlar yüklü CA sertifikası desteklemek için kendi güvenilen sertifika yetkililerine sertifika mağaza, geçici kablosuz bağlantı profili adı verilen bir kablosuz istemcileri yapılandırabilir bir bootstrap profili, kablosuz ağa bağlanmak için.

Bir bootstrap profili RADIUS sunucu bilgisayar sertifikasının doğrulamak için gereksinimini kaldırır. Aynı zamanda kablosuz ağ etki alanı için bilgisayar katılmaya kablosuz kullanıcı bu geçici yapılandırma etkinleştirir (IEEE 802.11) ilkeleri uygulanır ve bilgisayar üzerinde uygun CA sertifika otomatik olarak yüklenir.

Grup İlkesi uygulanır, ortak kimlik doğrulaması için gereksinimi zorlamak bir veya daha fazla kablosuz bağlantı profillerini bilgisayarda uygulanır; önyükleme profili artık gerekli değildir ve kaldırılır. Bilgisayar etki alanına katılma ve bilgisayarı yeniden başlattıktan sonra kullanıcı kablosuz bir bağlantı etki alanına oturum açmak için kullanabilirsiniz.

Bu teknolojiler kullanılarak kablosuz erişim dağıtım işlemi genel bakış için bkz: kablosuz erişim dağıtım genel bakış.

© 2017 Microsoft