將 Windows Vista 無線用戶端加入網域

發佈日期: 2006 年 5 月 24 日

本頁內容

摘要
簡介
將無線用戶端加入網域的方法
附錄 A:設定開機無線設定檔
附錄 B:將 Windows Vista 用戶端加入網域
詳細資訊

摘要

執行 Microsoft® Windows Vista? 的無線用戶端電腦可以使用暫存無線設定檔來連線至安全無線網路,以及加入 Active Directory 網域。此暫存無線設定檔 (稱為開機無線設定檔) 需要連線使用者手動指定他們的網域使用者帳戶認證,而且不會驗證遠端驗證撥入使用者服務 (RADIUS) 伺服器的憑證。加入網域之後,無線用戶端會使用自動利用電腦認證和使用者帳戶的新無線設定檔,並驗證 RADIUS 伺服器的認證。本文說明三種設定開機無線網路設定檔的方法。

簡介

無線用戶端需要網域認證 (名稱/密碼) 或執行安全無線存取之驗證的憑證。若要加入網域並接收網域認證或憑證,則無線用戶端電腦需要成功連線至含有網域之網域控制站的無線網路。若要存取安全無線網路並將電腦加入網域,則無線用戶端使用者必須手動提供他們的網域使用者名稱和密碼。連線至無線網路之後,無線用戶端使用者就可以將電腦加入網域。

在 802.1X 驗證的無線網路中,無線用戶端需要提供 RADIUS 伺服器所驗證的安全性認證。這些認證可以包含使用者名稱和密碼 (針對受保護 EAP [PEAP]-Microsoft Challenge Handshake 驗證通訊協定第 2 版 [MS-CHAP v2]) 或憑證 (針對 EAP-傳輸層安全性 [TLS])。針對 PEAP-MS-CHAP v2 或 EAP-TLS,無線用戶端也會在驗證處理程序期間驗證 RADIUS 伺服器所傳送的電腦憑證。這是 Windows 無線用戶端的預設行為。這是可停用的行為,但是不建議在生產環境中停用。

如果 RADIUS 伺服器使用商業公開金鑰基礎結構 (PKI) (如 VeriSign, Inc.) 的電腦憑證,而且無線用戶端上已安裝 RADIUS 伺服器電腦憑證的根憑證授權憑證,則不論無線用戶端是否加入 Active Directory 網域,無線用戶端都可以驗證 RADIUS 伺服器電腦憑證。

如果 RADIUS 伺服器使用與 Active Directory 整合之私人 PKI (如以 Windows Server® 2003 為主的需為正整數值憑證服務的私人 PKI) 的電腦憑證,則尚未加入網域的無線用戶端沒有 RADIUS 伺服器電腦憑證的根 CA 憑證,而驗證處理程序預設會失敗。無線用戶端加入網域之後,會自動安裝 RADIUS 伺服器電腦憑證的根 CA 憑證。

本文說明利用無線設定檔設定 Windows Vista 無線用戶端的方法,以執行手動 PEAP-MS-CHAP v2 驗證,但不會驗證 RADIUS 伺服器的電腦憑證。連線至無線網路之後,無線用戶端電腦就會加入網域,並接收適當的根 CA 憑證。電腦使用者 (手動) 或 IT 系統管理員 (透過群組原則) 可以重新設定無線設定檔,讓 PEAP-MS-CHAP v2 驗證可以驗證 RADIUS 伺服器的電腦憑證,並自動使用網域認證。

將無線用戶端加入網域的方法

本節說明下列將無線用戶端加入網域的方法:

  • IT 人員將無線電腦加入網域,並設定「單一登入」開機無線設定檔

  • 使用者利用使用 XML 檔的開機無線設定檔來設定他們的無線電腦,並加入網域

  • 使用者利用開機無線設定檔手動設定無線電腦,並加入網域

IT 人員將無線電腦加入網域,並設定「單一登入」開機無線設定檔

在此方法中,IT 系統管理員會先將無線電腦加入網域,再將它發佈給使用者。使用者啟動電腦時,他們手動為使用者登入指定的認證是用於建立與無線網路的連線以及登入網域。

下列是此方法的步驟:

  1. IT 系統管理員會利用下列設定,將新的無線電腦加入網域 (例如,透過不需要 IEEE 802.1X 驗證的乙太網路連線),並將開機無線設定檔加入電腦:

    • PEAP-MS-CHAP v2 驗證

      • 停用驗證 RADIUS 伺服器憑證

    • 啟用單一登入

    「單一登入」是 Windows Vista 無線用戶端的新功能,會根據使用者登入處理程序期間的網路安全性設定來執行 802.1X 驗證。在此開機無線設定檔中,IT 系統管理員會指定「單一登入」在使用者登入之前立即執行 802.1X 驗證。

  2. IT 系統管理員將新的無線電腦發佈給使用者。

  3. 使用者啟動電腦時,Windows Vista 會提示使用者輸入他們的網域使用者帳戶名稱和密碼。因為啟用「單一登入」,所以電腦會使用網域使用者帳戶認證先建立與無線網路的連線,然後再登入網域。

因為即使電腦已加入網域,但使用者未曾登入電腦,所以此開機無線設定檔需要「單一登入」。因為電腦無法向網域控制站驗證使用者帳戶認證,所以如果電腦在使用者第一次嘗試登入時沒有網路連線,則登入會失敗。因此,必須先建立網路連線。「單一登入」會使用相同的使用者帳戶認證來建立無線連線,以及登入網域。使用者順利登入之後,後續使用者登入就可以利用快取的認證。

使用者利用使用 XML 檔的開機無線設定檔來設定他們的無線電腦,並加入網域

在此方法中,使用者利用使用 XML 檔和指令碼的開機無線設定檔來設定他們的無線電腦,而 XML 檔和指令碼是由 IT 系統管理員所設定。XML 檔所設定的開機無線設定檔允許使用者建立無線連線,然後加入網域。

下列是此方法的步驟:

  1. IT 系統管理員利用開機無線設定檔設定另一個 Windows Vista 無線電腦,而此設定檔使用已停用驗證 RADIUS 伺服器憑證的 PEAP-MS-CHAP v2 驗證。

  2. IT 系統管理員會使用 netsh wlan export profile 命令,將開機無線設定檔解壓縮成 XML 檔案 (請參閱本文的<附錄 A:設定開機無線設定檔>),並建立所要執行並在使用者電腦上自動新增設定檔的指令檔。

  3. IT 系統管理員會使用適當的方法,將新的無線電腦、含有開機無線設定檔的 XML 檔以及指令檔發佈給使用者。此指令檔包含 netsh wlan add profile XML_File_Name Connection_Name 命令。

    例如,您可以使用指令碼將 XML 檔儲存在 USB 快閃磁碟機上,供使用者執行以新增開機無線設定檔。

  4. 使用者啟動電腦,並使用本機電腦帳戶執行登入。

  5. 使用者會執行指令檔以新增開機無線設定檔。

  6. 執行指令碼之後,Windows Vista 會嘗試連線至無線網路。因為開機無線設定檔的設定指定使用者必須提供認證,所以 Windows Vista 會提示使用者輸入帳戶名稱和密碼。

  7. 使用者輸入他們的網域使用者帳戶名稱和密碼,而 Windows Vista 用戶端電腦會連線至無線網路。

  8. 使用者加入 Active Directory 網域。如需相關資訊,請參閱本文的<附錄 B:將 Windows Vista 用戶端加入網域>。

使用者利用開機設定檔手動設定無線電腦,並加入網域

在此方法中,使用者利用開機無線設定檔 (根據 IT 系統管理員的指示) 手動設定他們的無線電腦。開機無線設定檔允許使用者建立無線連線,然後加入網域。

下列是此方法的步驟:

  1. IT 系統管理員將設定開機無線設定檔的指示發佈給使用者,而此設定檔使用已停用驗證 RADIUS 伺服器憑證的 PEAP-MS-CHAP v2 驗證。

  2. 使用者啟動電腦,並使用本機電腦帳戶執行登入。

  3. 使用者執行指示中的步驟以設定開機無線設定檔 (請參閱本文的<附錄 A:設定開機無線設定檔>)。

  4. 設定開機無線設定檔之後,Windows Vista 會嘗試連線至無線網路。因為開機無線設定檔的設定指定使用者必須提供認證,所以 Windows Vista 會提示使用者輸入帳戶名稱和密碼。

  5. 使用者輸入他們的網域使用者帳戶名稱和密碼,而 Windows Vista 用戶端電腦會連線至無線網路。

  6. 使用者加入 Active Directory 網域。如需相關資訊,請參閱本文的<附錄 B:將 Windows Vista 用戶端加入網域>。

附錄 A:設定開機無線設定檔

若要設定開機無線設定檔,請執行下列動作:

  1. [連線到網路] 對話方塊,按一下 [我看不到我要連線之處]。您可以從 Windows Vista 的許多位置存取 [連線到網路] 對話方塊,包含下列位置:

    • 從桌面通知區域中的無線連線圖示

    • 從 [控制台] 的 [網路連線] 中的 [連線/中斷連線無線網路] 連結。

    • 從 [控制台] 的 [網路連線] 中之無線網路介面卡的內容功能表。

  2. [選取連線選項] 頁面中,按一下 [設定網路]

  3. [輸入您要新增之無線網路的資訊] 頁面中,設定下列項目:

    • [網路名稱]:輸入無線網路的名稱。

    • 安全性類型:選取用來驗證無線網路連線的方法 (WEP (802.1x)、WPA-Enterprise 或 WPA2-Enterprise)。

    • 加密類型:選取用來加密透過無線網路傳送之資料框架的方法 (WEP、TKIP 或 AES)。

  4. [下一步]

  5. 按一下 [變更連線設定]

  6. 按一下 [安全性] 索引標籤,並選取 [選擇網路驗證方法] 下的 [受保護的 EAP (PEAP)] 方法。按一下 [設定]

  7. [受保護的 EAP (PEAP) 內容] 對話方塊中,清除 [確認伺服器憑證] 核取方塊。

  8. 按一下 [確定],然後按一下 [關閉]

附錄 B:將 Windows Vista 用戶端加入網域

順利連線至安全無線網路之後,請使用 [控制台] 中的 [系統] 執行下列動作:

  1. [電腦名稱、網域和工作群組設定] 底下,按一下 [變更設定]

  2. [系統內容] 對話方塊中,按一下 [變更]

  3. [電腦名稱變更] 對話方塊的 [電腦名稱] 中,輸入電腦名稱。按一下 [網域],然後輸入 Active Directory 網域名稱。

  4. 按一下 [確定]

  5. 出現提示時,輸入網域名稱和密碼,以將電腦加入網域。

  6. 出現提示時,重新啟動電腦。

重新啟動電腦後,會使用電腦的網域帳戶認證或憑證,自動向無線網路驗證身分。

詳細資訊

如需相關資訊,請參閱下列資源:

顯示: