Wireless在域裏面實施WPA認證設定應用

管理員操做手冊

環境應用示意圖以下:

用戶帳戶處理方法：

1. 把用戶帳戶如下位置選擇:

2. 建立一個Wireless User Group組,把用戶的AD帳戶加到Wireless User Group ，而後將用戶的電腦搬到ou--wireless組裏面來

3. Wireless組裏的Group policy會在一小時內自動推送到用戶的電腦，或可在用戶電腦裏面用命令」gpupdate /force」做更新

外來者須要使用Wireless的處理方法：

1. 首先一樣爲外來者建一個GROUP,而後開一個臨時的帳戶，設定什麼時候過時，(這個能夠在AD用戶屬性裏面設定用戶只能夠在哪段時間能夠登陸域,由於開的是臨時帳戶因此須要這個設定爲安全着想)並加入 Wireless Travellers Group,而後用手工方式去作設定便可.

服務搭建篇:IAS服務器的設定

1. 在Windows 2003 domain controller裏安裝 Networking services -> IAS 服務

2. 打開IAS管理工具

3. 登記IAS到AD

4. 在IAS的屬性裏選 」Rejected authentication requests」 和 「successful authentication requests」

5. 創建一個新的Remote Access Policy，取名爲 Wireless Access Policy，加一個Wireless Users組進行，詳細狀況請看圖

6. Authentication Methods 應選PEAP

7. Eap types是 EAP-MSCHAP v2

8. 完成後的樣子

9. 重複以上步驟再建一個」 Travellers Wireless Access Policy」，加入WirelessTravellers組裏面，結果以下

10. 在RADIUS Client裏，選 「New RADIUS Client」

11. 把須要鏈接的AP的 IP打進去，並改一個」Friendly name」

12. 在這個畫面，按照密碼策略(大小寫，數字加英文八位數)改一個shared secret，記錄下來，因晚一點設定AP時須要

13. 完成後的畫面大如果這樣的

AP的設定

1. 登入AP後，在下圖位置鍵入須要的參數，但SSID Broadcast必須爲Disabled

2. 在下圖位置選WPA-Enterprise, TKIP, Radious server IP就是IAS的IP，Shared secret須要和以前在IAS裏打的同樣，而後Save settings

無線用戶權限設定

用戶必須加到 Wireless User Group，外來者必須加到 Wireless Travellers Group 等，纔可經過IAS順利認證登陸無線網絡

利用組策略設定用戶端的無線網絡

1. 在ou下的Computers裏都會有一個名叫Wireless的ou，把需利用組策略設定無線的電腦搬進去

2. 該wireless ou裏有一條group policy，內容以下

Wireless Network Policy的詳細內容應和手動指定的同樣即可以

1手動爲用戶端設定

1. 在無線網絡的屬性裏

A. 添加項目以下

B. PEAP的屬性以下

C. 在EAP-MSCHAP v2的屬性則請特別注意

若是該PC是域用戶，該用戶已添加到WirelessUsers組裏邊，以上窗口裏邊的小框須要點選上，那他的PC連AP時會自動利用AD帳戶來登陸

若是該PC是外來者，咱們須要在AD裏建一個臨時的帳戶，把它加到WirelessTravellers組裏面，這個帳戶名可能和他在本地使用的有出入，因此以上窗口不可把上面的上框點選上，結果是鏈接的時候纔會彈出一對話框

點選右下角的提示，便會有如下窗口讓你輸入咱們爲該用戶建立的臨時帳戶及密碼及域名

除錯

1. 首先確定用戶和電腦的Group policy已作好

2. 在用戶端gpupdate可更新Group policy

3. 若是用戶曾經成功用PEAP鏈接到我們網絡，資料便會保存在該PC裏，致使再連線時使用該資料再自動登入，要更正這個問題，請看http://support.microsoft.com/kb/823731

4. 有時候用戶連線會失敗，檢查IAS裏的Event Viewer爲最好的除錯辦法

成功的消息

Event Type: Information

Event Source: IAS

Event Category: None

Event ID: 1

Date: 1/21/2008

Time: 3:42:23 PM

User: N/A

Computer: allan

Description:

User K\allanfan was granted access.

Fully-Qualified-User-Name =k.local /Users/wireless/allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0316b6548cb2

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.24

Calling-Station-Identifier = 0004751ad216

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Policy-Name = Wireless Access Policy

Authentication-Type = PEAP

EAP-Type = Secured password (EAP-MSCHAP v2)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

失敗的消息(例:用戶打錯了域名)

Event Type: Error

Event Source: IAS

Event Category: None

Event ID: 3

Date: 10/21/2009

Time: 3:41:49 PM

User: N/A

Computer: allan

Description:

Access request for user k.local\allanfan was discarded.

Fully-Qualified-User-Name = k.local\allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0016b6548cb2

Called-Station-Identifier = 0416b6548cb2

Calling-Station-Identifier = 005e351ad216

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.23

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Reason-Code = 5

Reason = The user account domain cannot be accessed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

關於WPA技術和Microsoft參考資料

Wireless LAN Technologies and Microsoft Windows

http://www.microsoft.com/technet/network/wifi/wrlsxp.mspx

Wireless Deployment Technology and Component Overview

http://www.microsoft.com/technet/network/wifi/wificomp.mspx

Deployment of Protected 802.11 Networks Using Microsoft Windows

http://www.microsoft.com/technet/network/wifi/ed80211.mspx