Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Följ dessa steg för att distribuera trådlös åtkomst:
Distribuera och konfigurera trådlösa åtkomstpunkter
Följ de här stegen för att distribuera och konfigurera dina trådlösa åtkomstpunkter:
Note
Procedurerna i den här guiden innehåller inte instruktioner för fall där dialogrutan Kontroll av användarkonto öppnas för att begära din behörighet att fortsätta. Om den här dialogrutan öppnas medan du utför procedurerna i den här guiden, och om dialogrutan öppnades som svar på dina åtgärder, klickar du på Fortsätt.
Ange trådlösa AP-kanalfrekvenser
När du distribuerar flera trådlösa IP-adresser på en enda geografisk plats måste du konfigurera trådlösa IP-adresser som har överlappande signaler för att använda unika kanalfrekvenser för att minska interferensen mellan trådlösa IP-adresser.
Du kan använda följande riktlinjer för att hjälpa dig att välja kanalfrekvenser som inte står i konflikt med andra trådlösa nätverk på den geografiska platsen för ditt trådlösa nätverk.
Om det finns andra organisationer som har kontor i närheten eller i samma byggnad som din organisation kan du identifiera om det finns några trådlösa nätverk som ägs av dessa organisationer. Ta reda på både placeringen och de tilldelade kanalfrekvenserna för deras trådlösa AP:er, eftersom du behöver tilldela olika kanalfrekvenser till dina AP:er och du måste fastställa den bästa platsen för att installera dina AP:er.
Identifiera överlappande trådlösa signaler på angränsande våningar i din egen organisation. När du har identifierat överlappande täckningsområden utanför och inom din organisation tilldelar du kanalfrekvenser för dina trådlösa IP-adresser, vilket säkerställer att två trådlösa IP-adresser med överlappande täckning tilldelas olika kanalfrekvenser.
Konfigurera trådlösa accesspunkter
Använd följande information tillsammans med produktdokumentationen från tillverkaren av trådlösa åtkomstpunkter för att konfigurera dina trådlösa åtkomstpunkter.
Den här proceduren räknar upp objekt som ofta konfigureras på en trådlös AP. Objektnamnen kan variera beroende på varumärke och modell och kan skilja sig från dem i följande lista. Mer information finns i dokumentationen för din trådlösa AP.
Så här konfigurerar du dina trådlösa APs
SSID. Ange namnet på de trådlösa nätverken (till exempel ExampleWLAN). Det här är namnet som annonseras till trådlösa klienter.
Encryption. Ange WPA2-Enterprise (föredras) eller WPA-Enterprise och antingen AES (föredraget) eller TKIP-krypteringskryptering, beroende på vilka versioner som stöds av nätverkskorten för den trådlösa klientdatorn.
Trådlös AP IP-adress (statisk). På varje AP konfigurerar du en unik statisk IP-adress som ligger inom undantagsintervallet för DHCP-omfånget för undernätet. Om du använder en adress som undantas från tilldelning av DHCP förhindrar det att DHCP-servern tilldelar samma IP-adress till en dator eller annan enhet.
Subnetmask. Konfigurera detta så att det matchar nätmaskinställningarna för det LAN som du har anslutit den trådlösa AP:en till.
DNS-namn. Vissa trådlösa åtkomstpunkter kan konfigureras med ett DNS-namn. DNS-tjänsten i nätverket kan matcha DNS-namn till en IP-adress. På varje trådlös AP som stöder den här funktionen anger du ett unikt namn för DNS-matchning.
DHCP-tjänsten. Om din trådlösa AP har en inbyggd DHCP-tjänst inaktiverar du den.
RADIUS-delad hemlighet. Använd en unik RADIUS-delad hemlighet för varje trådlös AP om du inte planerar att konfigurera AP:erna som RADIUS-klienter i NPS efter grupp. Om du planerar att konfigurera IP-adresser efter grupp i NPS måste den delade hemligheten vara densamma för varje medlem i gruppen. Dessutom bör varje delad hemlighet som du använder vara en slumpmässig sekvens med minst 22 tecken som blandar versaler och gemener, siffror och skiljetecken. För att säkerställa slumpmässighet kan du använda en slumptalsgenerator, till exempel slumptalsgeneratorn som finns i guiden KONFIGURERA 802.1X i NPS för att skapa delade hemligheter.
Tip
Registrera den delade hemligheten för varje trådlös AP och lagra den på en säker plats, till exempel ett kontorsskåp. Du måste känna till den delade hemligheten för varje trådlös AP när du konfigurerar RADIUS-klienter i NPS.
RADIUS-serverns IP-adress. Ange IP-adressen för servern som kör NPS.
UDP-portar. Som standard använder NPS UDP-portarna 1812 och 1645 för autentiseringsmeddelanden och UDP-portarna 1813 och 1646 för redovisningsmeddelanden. Vi rekommenderar att du använder samma UDP-portar på dina IP-adresser, men om du har en giltig anledning att använda olika portar kontrollerar du att du inte bara konfigurerar IP-adresserna med de nya portnumren utan även konfigurerar om alla dina NPS:er så att de använder samma portnummer som IP-adresserna. Om APs och NPS inte har konfigurerats med samma UDP-portar kan NPS inte ta emot eller bearbeta anslutningsbegäranden från APs och alla trådlösa anslutningsförsök i nätverket misslyckas.
VSAs. Vissa trådlösa AP:er kräver leverantörsspecifika attribut (VSA) för att tillhandahålla fullständiga trådlösa AP-funktioner. VSAs läggs till i NPS-nätverkspolicy.
DHCP-filtrering. Konfigurera trådlösa AP:n för att blockera trådlösa klienter från att skicka IP-paket från UDP-port 68 till nätverket, enligt dokumentation från den trådlösa AP-tillverkaren.
DNS-filtrering. Konfigurera trådlösa åtkomstpunkter för att blockera trådlösa klienter från att skicka IP-paket från TCP- eller UDP-port 53 till nätverket, såsom dokumenterat av tillverkaren av de trådlösa åtkomstpunkterna.
Skapa säkerhetsgrupper för trådlösa användare
Följ de här stegen för att skapa en eller flera säkerhetsgrupper för trådlösa användare och lägg sedan till användare i lämplig säkerhetsgrupp för trådlösa användare:
Skapa en säkerhetsgrupp för trådlösa användare
Du kan använda den här proceduren för att skapa en trådlös säkerhetsgrupp i Microsoft Management Console (MMC) tilläggsmodulen för Active Directory Användare och Datorer.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att utföra den här proceduren.
Skapa en säkerhetsgrupp för trådlösa användare
Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Active Directory-användare och datorer. Snapin-modulen Active Directory -användare och datorer öppnas. Om den inte redan är markerad klickar du på noden för din domän. Om din domän till exempel är example.com klickar du på example.com.
I informationsfönstret högerklickar du på mappen där du vill lägga till en ny grupp (till exempel högerklicka på Användare), pekar på Ny och klickar sedan på Grupp.
I Nytt objekt – grupp i Gruppnamn skriver du namnet på den nya gruppen. Skriv till exempel Trådlös grupp.
I Gruppomfång väljer du något av följande alternativ:
Domänlokal
Global
Universal
I Grupptyp väljer du Säkerhet.
Klicka på OK.
Om du behöver fler än en säkerhetsgrupp för trådlösa användare upprepar du de här stegen för att skapa ytterligare grupper för trådlösa användare. Senare kan du skapa enskilda nätverksprinciper i NPS för att tillämpa olika villkor och begränsningar för varje grupp, vilket ger dem olika åtkomstbehörigheter och anslutningsregler.
Lägg till användare i trådlösa användares säkerhetsgrupp
Du kan använda den här proceduren för att lägga till en användare, dator eller grupp i din trådlösa säkerhetsgrupp i snapin-modulen Active Directory Users and Computers Microsoft Management Console (MMC).
Medlemskap i domänadministratörer eller motsvarande är det minsta som krävs för att utföra den här proceduren.
Så här lägger du till användare i den trådlösa säkerhetsgruppen
Klicka på Start, klicka på Administrationsverktyg och klicka sedan på Active Directory-användare och datorer. MMC för Active Directory - användare och datorer öppnas. Om den inte redan är markerad klickar du på noden för din domän. Om din domän till exempel är example.com klickar du på example.com.
Dubbelklicka på mappen som innehåller din trådlösa säkerhetsgrupp i informationsfönstret.
Högerklicka på den trådlösa säkerhetsgruppen i informationsfönstret och klicka sedan på Egenskaper. Dialogrutan Egenskaper för säkerhetsgruppen öppnas.
På fliken Medlemmar klickar du på Lägg till och slutför sedan någon av följande procedurer för att antingen lägga till en dator eller lägga till en användare eller grupp.
Så här lägger du till en användare eller grupp
I Ange de objektnamn som ska väljas skriver du namnet på den användare eller grupp som du vill lägga till och klickar sedan på OK.
Om du vill tilldela gruppmedlemskap till andra användare eller grupper upprepar du steg 1 i den här proceduren.
Så här lägger du till en dator
Klicka på Objekttyper. Dialogrutan Objekttyper öppnas.
I Objekttyper väljer du Datorer och klickar sedan på OK.
I Ange de objektnamn som ska väljas skriver du namnet på den dator som du vill lägga till och klickar sedan på OK.
Om du vill tilldela gruppmedlemskap till andra datorer upprepar du steg 1–3 i den här proceduren.
Konfigurera principer för trådlöst nätverk (IEEE 802.11)
Följ dessa steg för att konfigurera grupprinciptillägget för trådlösa nätverk (IEEE 802.11):
Öppna eller lägg till och öppna ett gruppolicyobjekt
Som standard installeras funktionen Grupprinciphantering på datorer som kör Windows Server 2016 när serverrollen Active Directory Domain Services (AD DS) installeras och servern konfigureras som en domänkontrollant. Följande procedur beskriver hur du öppnar konsolen för hantering av grupprinciper (GPMC) på din domänkontrollant. Proceduren beskriver sedan hur du antingen öppnar ett befintligt grupprincipobjekt på domännivå för redigering eller skapar ett nytt domän-GPO och öppnar det för redigering.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att utföra den här proceduren.
Öppna eller lägga till och öppna ett grupprincipobjekt
På domänkontrollanten klickar du på Start, klickar på Administrationsverktyg för Windows och sedan på Grupprinciphantering. Grupprincipshanteringskonsolen öppnas.
Dubbelklicka på skogen i den vänstra rutan. Dubbelklicka till exempel på Forest: example.com.
Dubbelklicka på Domäner i den vänstra rutan och dubbelklicka sedan på den domän som du vill hantera ett grupprincipobjekt för. Dubbelklicka till exempel på example.com.
Gör något av följande:
Om du vill öppna ett befintligt grupprincipobjekt på domännivå för redigering dubbelklickar du på domänen som innehåller det grupprincipobjekt som du vill hantera, högerklickar på den domänprincip som du vill hantera, till exempel standarddomänprincipen, och klickar sedan på Redigera. Redigeraren för grupprinciphantering öppnas.
Om du vill skapa ett nytt grupprincipobjekt och öppna för redigering högerklickar du på domänen som du vill skapa ett nytt grupprincipobjekt för och klickar sedan på Skapa ett grupprincipobjekt i den här domänen och Länka det här.
I Nytt grupprincipobjekt skriver du ett namn för det nya grupprincipobjektet i Namn och klickar sedan på OK.
Högerklicka på det nya grupprincipobjektet och klicka sedan på Redigera. Redigeraren för grupprinciphantering öppnas.
I nästa avsnitt använder du Redigeraren för grupprinciphantering för att skapa en trådlös princip.
Aktivera standardprinciper för trådlöst nätverk (IEEE 802.11)
Den här proceduren beskriver hur du aktiverar standardprinciperna för trådlöst nätverk (IEEE 802.11) med hjälp av GPME (Group Policy Management Editor).
Note
När du har aktiverat Windows Vista- och senare versioner av principerna för trådlöst nätverk (IEEE 802.11) eller Windows XP-versionen tas versionsalternativet automatiskt bort från listan med alternativ när du högerklickar på Principer för trådlöst nätverk (IEEE 802.11). Detta beror på att när du har valt en principversion läggs principen till i informationsfönstret i GPME när du väljer noden Trådlösa nätverk (IEEE 802.11)-principer . Det här tillståndet kvarstår om du inte tar bort den trådlösa principen, då den trådlösa principversionen återgår till högerklicksmenyn för principer för trådlöst nätverk (IEEE 802.11) i GPME. Dessutom visas de trådlösa principerna endast i fönstret GPME-information när noden Trådlösa nätverk (IEEE 802.11) Policyer har valts.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att utföra den här proceduren.
Aktivera standardprinciper för trådlöst nätverk (IEEE 802.11)
Följ föregående procedur för att öppna eller lägga till och öppna ett grupprincipobjekt för att öppna GPME.
Dubbelklicka på Datorkonfiguration i den vänstra rutan i GPME, dubbelklicka på Principer, dubbelklicka på Windows-inställningar och dubbelklicka sedan på Säkerhetsinställningar.
- I Säkerhetsinställningar högerklickar du på Principer för trådlöst nätverk (IEEE 802.11) och klickar sedan på Skapa en ny trådlös princip för Windows Vista och senare versioner.
- Dialogrutan Egenskaper för ny princip för trådlöst nätverk öppnas. I Principnamn anger du ett nytt namn för principen eller behåller standardnamnet. Spara principen genom att klicka på OK . Standardprincipen aktiveras och visas i informationsfönstret i GPME med det nya namnet du angav eller med standardnamnet Ny princip för trådlöst nätverk.
- Dubbelklicka på Ny princip för trådlöst nätverk i informationsfönstret för att öppna den.
I nästa avsnitt kan du utföra principkonfiguration, inställningsordning för principbearbetning och nätverksbehörigheter.
Konfigurera den nya principen för trådlöst nätverk
Du kan använda procedurerna i det här avsnittet för att konfigurera en princip för trådlöst nätverk (IEEE 802.11). Med den här principen kan du konfigurera säkerhets- och autentiseringsinställningar, hantera trådlösa profiler och ange behörigheter för trådlösa nätverk som inte är konfigurerade som önskade nätverk.
Konfigurera en profil för trådlös anslutning för PEAP –MS-CHAP v2
Ange inställningsordningen för profiler för trådlös anslutning
Konfigurera en profil för trådlös anslutning för PEAP –MS-CHAP v2
Den här proceduren innehåller de steg som krävs för att konfigurera en trådlös PEAP-MS-CHAP v2-profil.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att slutföra den här proceduren.
Så här konfigurerar du en profil för trådlös anslutning för PEAPMS-CHAP v2
I dialogrutan Egenskaper för trådlöst nätverk i GPME för principen som du nyss skapade skriver du en kort beskrivning för principen på fliken Allmänt och i Beskrivning.
Om du vill ange att WLAN AutoConfig används för att konfigurera inställningar för trådlöst nätverkskort kontrollerar du att Använd Windows WLAN AutoConfig-tjänsten för klienter har valts.
I Anslut till tillgängliga nätverk i den ordning som anges nedan klickar du på Lägg till och väljer sedan Infrastruktur. Dialogrutan Egenskaper för ny profil öppnas.
Skriv ett nytt namn för profilen i fältet Profilnamn på fliken Anslutning i dialogrutanEgenskaper för ny profil. Skriv till exempel Example.com WLAN-profil för Windows 10.
I Nätverksnamn (SSID) skriver du det SSID som motsvarar det SSID som konfigurerats på dina trådlösa IP-adresser och klickar sedan på Lägg till.
Om distributionen använder flera SSID:er och varje trådlös AP använder samma trådlösa säkerhetsinställningar upprepar du det här steget för att lägga till SSID för varje trådlös AP som du vill att profilen ska gälla för.
Om distributionen använder flera SSID:er och säkerhetsinställningarna för varje SSID inte matchar, konfigurerar du en separat profil för varje grupp med SSID:er som använder samma säkerhetsinställningar. Om du till exempel har en grupp trådlösa AP:er konfigurerade för att använda WPA2-Enterprise och AES, och en annan grupp av trådlösa AP:er för att använda WPA-Enterprise och TKIP, konfigurerar du en profil för varje grupp av trådlösa IP-adresser.
Om standardtexten NEWSSID finns väljer du den och klickar sedan på Ta bort.
Om du har distribuerat trådlösa åtkomstpunkter som har konfigurerats för att förhindra sändningssignalen väljer du Anslut även om nätverket inte sänder.
Note
Om du aktiverar det här alternativet kan du skapa en säkerhetsrisk eftersom trådlösa klienter söker efter och försöker ansluta till alla trådlösa nätverk. Som standard är den här inställningen inte aktiverad.
Klicka på fliken Säkerhet , klicka på Avancerat och konfigurera sedan följande:
Om du vill konfigurera avancerade 802.1X-inställningar går du till IEEE 802.1X och väljer Framtvinga avancerade 802.1X-inställningar.
När de avancerade 802.1X-inställningarna tillämpas räcker standardvärdena för Max Eapol-Start Msgs, Held Period, Start Period och Auth Period för typiska trådlösa distributioner. På grund av detta behöver du inte ändra standardvärdena om du inte har en specifik anledning till detta.
Om du vill aktivera enkel inloggning väljer du Aktivera enkel inloggning för det här nätverket.
De återstående standardvärdena i Enkel inloggning räcker för typiska trådlösa distributioner.
Om din trådlösa AP har konfigurerats för förautentisering i Fast Roaming väljer du Det här nätverket använder förautentisering.
Om du vill ange att trådlös kommunikation uppfyller FIPS 140-2-standarder väljer du Utför kryptografi i FIPS 140-2-certifierat läge.
Klicka på OK för att återgå till fliken Säkerhet . I Välj säkerhetsmetoder för det här nätverket går du till Autentisering och väljer WPA2-Enterprise om det stöds av dina trådlösa AP- och trådlösa klientnätverkskort. Annars väljer du WPA-Enterprise.
I Kryptering väljer du AES-CCMP om det stöds av din trådlösa AP och trådlösa klientnätverkskort. Om du använder åtkomstpunkter och trådlösa nätverkskort som stöder 802.11ac väljer du AES-GCMP. Annars väljer du TKIP.
Note
Inställningarna för både autentisering och kryptering måste matcha inställningarna som konfigurerats på dina trådlösa IP-adresser. Standardinställningarna för autentiseringsläge, maximalt antal autentiseringsfel och cachelagrad användarinformation för efterföljande anslutningar till det här nätverket räcker för typiska trådlösa distributioner.
I Välj en nätverksautentiseringsmetod väljer du Skyddad EAP (PEAP) och klickar sedan på Egenskaper. Dialogrutan Skyddade EAP-egenskaper öppnas.
I Skyddade EAP-egenskaper bekräftar du att Verifiera serverns identitet genom att verifiera att certifikatet har valts.
I Betrodda rotcertifikatutfärdare väljer du den betrodda rotcertifikatutfärdare (CA) som utfärdade servercertifikatet till NPS.
Note
Den här inställningen begränsar de rotcertifikatutfärdare som klienterna litar på till de valda certifikatutfärdarna. Om inga betrodda rotcertifikatutfärdare (rot-CA) har valts, litar klienterna på alla rotcertifikatutfärdare (rot-CA) som finns listade i certifikatförvaret Betrodda rotcertifikatutfärdare.
I listan Välj autentiseringsmetod väljer du Skyddat lösenord (EAP-MS-CHAP v2).
Klicka på Konfigurera. I dialogrutan Egenskaper för EAP MSCHAPv2 kontrollerar du att Automatiskt använda mitt Windows-inloggningsnamn och lösenord (och domän om något) har valts och klicka på OK.
Om du vill aktivera snabb PEAP-återanslutning kontrollerar du att Aktivera snabb återanslutning har valts.
Om du vill kräva TLV för serverkryptering vid anslutningsförsök väljer du Koppla från om servern inte innehåller kryptobindnings-TLV.
Om du vill ange att användaridentiteten är maskerad i fas ett av autentiseringen väljer du Aktivera identitetssekretess och skriver ett anonymt identitetsnamn i textrutan eller lämnar textrutan tom.
[!NOTES]
- NPS-policyn för 802.1X Wireless måste skapas med hjälp av NPS-anslutningsbegäran-policyn. Om NPS-principen skapas med hjälp av NPS-nätverksprincipen fungerar inte identitetssekretessen.
- EAP-identitetssekretess tillhandahålls av vissa EAP-metoder där en tom eller anonym identitet (skiljer sig från den faktiska identiteten) skickas som svar på EAP-identitetsbegäran. PEAP skickar identiteten två gånger under autentiseringen. I den första fasen skickas identiteten i oformaterad text och den här identiteten används i routningssyfte, inte för klientautentisering. Den verkliga identiteten , som används för autentisering, skickas under den andra fasen av autentiseringen inom den säkra tunnel som upprättas i den första fasen. Om kryssrutan Aktivera identitetssekretess är markerad ersätts användarnamnet med posten som anges i textrutan. Anta till exempel att Aktivera identitetssekretess har valts och att anonymt identitetssekretessalias anges i textrutan. För en användare med ett verkligt identitetsalias jdoe@example.comändras identiteten som skickades i den första fasen av autentiseringen till anonymous@example.com. Sfärdelen av identiteten i den första fasen ändras inte eftersom den används i routningssyfte.
Klicka på OK för att stänga dialogrutan Skyddade EAP-egenskaper .
Stäng fliken Säkerhet genom att klicka på OK.
Om du vill skapa ytterligare profiler klickar du på Lägg till och upprepar sedan föregående steg och gör olika val för att anpassa varje profil för de trådlösa klienter och nätverk som du vill att profilen ska tillämpas på. När du är klar med att lägga till profiler klickar du på OK för att stänga dialogrutan Egenskaper för princip för trådlöst nätverk.
I nästa avsnitt kan du beställa principprofilerna för optimal säkerhet.
Ange inställningsordningen för profiler för trådlös anslutning
Du kan använda den här proceduren om du har skapat flera trådlösa profiler i din trådlösa nätverksprincip och vill beställa profilerna för optimal effektivitet och säkerhet.
För att säkerställa att trådlösa klienter ansluter med den högsta säkerhetsnivån som de kan stödja placerar du dina mest restriktiva principer överst i listan.
Om du till exempel har två profiler, en för klienter som stöder WPA2 och en för klienter som stöder WPA, placerar du WPA2-profilen högre upp i listan. Detta säkerställer att klienterna som stöder WPA2 använder den metoden för anslutningen i stället för den mindre säkra WPA:en.
Den här proceduren innehåller stegen för att ange i vilken ordning profiler för trådlös anslutning används för att ansluta domänmedlems trådlösa klienter till trådlösa nätverk.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att slutföra den här proceduren.
Så här anger du inställningsordningen för profiler för trådlös anslutning
Klicka på fliken Allmänt i dialogrutan Egenskaper för trådlöst nätverk i GPME för den princip som du just har konfigurerat.
På fliken Allmänt går du till Anslut till tillgängliga nätverk i den ordning som profilerna nedan visas, väljer den profil som du vill flytta i listan och klickar sedan på knappen "uppåtpil" eller "nedåtpil" för att flytta profilen till önskad plats i listan.
Upprepa steg 2 för varje profil som du vill flytta i listan.
Spara alla ändringar genom att klicka på OK .
I följande avsnitt kan du definiera nätverksbehörigheter för den trådlösa principen.
Definiera nätverksbehörigheter
Du kan konfigurera inställningar på fliken Nätverksbehörigheter för de domänmedlemmar som principer för trådlöst nätverk (IEEE 802.11) gäller för.
Du kan bara använda följande inställningar för trådlösa nätverk som inte har konfigurerats på fliken Allmänt på sidan Egenskaper för princip för trådlöst nätverk :
Tillåt eller neka anslutningar till specifika trådlösa nätverk som du anger efter nätverkstyp och Service Set Identifier (SSID)
Tillåt eller neka anslutningar till ad hoc-nätverk
Tillåt eller neka anslutningar till infrastrukturnätverk
Tillåt eller neka användare att visa nätverkstyper (ad hoc eller infrastruktur) som de nekas åtkomst till
Tillåt eller neka användare att skapa en profil som gäller för alla användare
Användare kan bara ansluta till tillåtna nätverk med hjälp av grupprincipprofiler
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att slutföra dessa procedurer.
Så här tillåter eller nekar du anslutningar till specifika trådlösa nätverk
I dialogrutan Egenskaper för trådlöst nätverk i GPME klickar du på fliken Nätverksbehörigheter .
På fliken Nätverksbehörigheter klickar du på Lägg till. Dialogrutan Ny behörighetspost öppnas.
I dialogrutan Ny behörighetspost i fältet Nätverksnamn (SSID) skriver du nätverks-SSID för det nätverk som du vill definiera behörigheter för.
I Nätverkstyp väljer du Infrastruktur eller Ad hoc.
Note
Om du är osäker på om sändningsnätverket är en infrastruktur eller ett ad hoc-nätverk kan du konfigurera två nätverksbehörighetsposter, en för varje nätverkstyp.
I Behörighet väljer du Tillåt eller Neka.
Klicka på OK för att återgå till fliken Nätverksbehörigheter .
Ange ytterligare nätverksbehörigheter (valfritt)
På fliken Nätverksbehörigheter konfigurerar du något av följande:
Om du vill neka dina domänmedlemmar åtkomst till ad hoc-nätverk väljer du Förhindra anslutningar till ad hoc-nätverk.
Om du vill neka domänmedlemmarna åtkomst till infrastrukturnätverk väljer du Förhindra anslutningar till infrastrukturnätverk.
Om du vill tillåta att dina domänmedlemmar visar nätverkstyper (ad hoc eller infrastruktur) som de nekas åtkomst till väljer du Tillåt användare att visa nekade nätverk.
Om du vill tillåta användare att skapa profiler som gäller för alla användare väljer du Tillåt alla att skapa alla användarprofiler.
Om du vill ange att användarna bara kan ansluta till tillåtna nätverk med hjälp av grupprincipprofiler väljer du Använd endast grupprincipprofiler för tillåtna nätverk.
Konfigurera dina NPS
Följ de här stegen för att konfigurera NPS för att utföra 802.1X-autentisering för trådlös åtkomst:
Registrera NPS i Active Directory Domain Services
Du kan använda den här proceduren för att registrera en server som kör NPS (Network Policy Server) i Active Directory Domain Services (AD DS) i domänen där NPS är medlem. För att NPS ska beviljas behörighet att läsa uppringningsegenskaperna för användarkonton under auktoriseringsprocessen måste varje NPS registreras i AD DS. När du registrerar en NPS läggs servern till i säkerhetsgruppen RAS- och IAS-servrar i AD DS.
Note
Du kan installera NPS på en domänkontrollant eller på en dedikerad server. Kör följande Windows PowerShell-kommando för att installera NPS om du inte har gjort det ännu:
Install-WindowsFeature NPAS -IncludeManagementTools
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att slutföra den här proceduren.
Så här registrerar du en NPS i standarddomänen
Klicka på Verktyg i Serverhanteraren i NPS och klicka sedan på Nätverksprincipserver. Snapin-modulen NPS öppnas.
Högerklicka på NPS (lokal) och klicka sedan på Registrera server i Active Directory. Dialogrutan Nätverksprincipserver öppnas.
I Nätverksprincipserver klickar du på OK och sedan på OK igen.
Konfigurera en trådlös AP som en NPS RADIUS-klient
Du kan använda den här proceduren för att konfigurera en AP, även kallad nätverksåtkomstserver (NAS), som en RADIUS-klient (Remote Authentication Dial-In User Service) med hjälp av NPS-snapin-modulen.
Important
Klientdatorer, till exempel trådlösa bärbara datorer och andra datorer som kör klientoperativsystem, är inte RADIUS-klienter. RADIUS-klienter är nätverksåtkomstservrar , till exempel trådlösa åtkomstpunkter, 802.1X-kompatibla växlar, VPN-servrar (virtual private network) och uppringningsservrar, eftersom de använder RADIUS-protokollet för att kommunicera med RADIUS-servrar som NPS.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att slutföra den här proceduren.
Lägga till en nätverksåtkomstserver som en RADIUS-klient i NPS
Klicka på Verktyg i Serverhanteraren i NPS och klicka sedan på Nätverksprincipserver. Snapin-modulen NPS öppnas.
Dubbelklicka på RADIUS-klienter och servrar i NPS-snapin-modulen. Högerklicka på RADIUS-klienter och klicka sedan på Nytt.
Kontrollera att kryssrutan Aktivera RADIUS-klienten är markerad i Ny RADIUS-klient.
I Ny RADIUS-klient i Eget namn skriver du ett visningsnamn för den trådlösa åtkomstpunkten.
Om du till exempel vill lägga till en trådlös åtkomstpunkt (AP) med namnet AP-01 skriver du AP-01.
I Adress (IP eller DNS)anger du IP-adressen eller det fullständigt kvalificerade domännamnet (FQDN) för NAS.
Om du anger FQDN, för att kontrollera att namnet är korrekt och kopplas till en giltig IP-adress, klickar du på Verifiera och sedan på Verifiera adress. I fältet Adress klickar du på Lös. Om FQDN-namnet mappas till en giltig IP-adress visas IP-adressen för den NAS:n automatiskt i IP-adressen. Om det fullständiga domännamnet inte matchar en IP-adress får du ett meddelande som anger att ingen sådan värd är känd. Om detta inträffar kontrollerar du att du har rätt AP-namn och att AP:n är påslagen och ansluten till nätverket.
Klicka på OK för att stänga Verifiera adress.
Gör något av följande i Delad hemlighet i Ny RADIUS-klient:
Om du vill konfigurera en DELAD RADIUS-hemlighet manuellt väljer du Manuell och i Delad hemlighet skriver du det starka lösenord som också anges på NAS. Skriv om den delade hemligheten i Bekräfta delad hemlighet.
Om du vill generera en delad hemlighet automatiskt markerar du kryssrutan Generera och klickar sedan på knappen Generera . Spara den genererade delade hemligheten och använd sedan det värdet för att konfigurera NAS:n så att den kan kommunicera med NPS.
Important
Den delade RADIUS-hemligheten som du anger för dina virtuella åtkomstpunkter i NPS måste exakt matcha den delade RADIUS-hemligheten som är konfigurerad på dina verkliga trådlösa åtkomstpunkter. Om du använder NPS-alternativet för att generera en DELAD RADIUS-hemlighet måste du konfigurera den matchande faktiska trådlösa AP:en med den RADIUS-delade hemligheten som genererades av NPS.
I Ny RADIUS-klient går du till fliken Avancerat i Leverantörsnamn och anger NAS-tillverkarens namn. Om du inte är säker på NAS-tillverkarens namn väljer du RADIUS-standard.
I Ytterligare alternativ, om du använder andra autentiseringsmetoder än EAP och PEAP, och om DIN NAS stöder användning av attributet message authenticator, väljer du Åtkomstbegärandemeddelanden måste innehålla attributet Message-Authenticator.
Klicka på OK. Din NAS visas i listan över RADIUS-klienter som konfigurerats i NPS.
Skapa NPS-principer för 802.1X Wireless med hjälp av en guide
Du kan använda den här proceduren för att skapa de principer för anslutningsbegäran och nätverksprinciper som krävs för att distribuera antingen 802.1X-kompatibla trådlösa åtkomstpunkter som RADIUS-klienter (Remote Authentication Dial-In User Service) till RADIUS-servern som kör NPS (Network Policy Server). När du har kört guiden skapas följande policyer:
En princip för anslutningsbegäran
En nätverksprincip
Note
Du kan köra guiden Nya IEEE 802.1X säkra trådbundna och trådlösa anslutningar varje gång du behöver skapa nya policyer för 802.1X-autentiserad åtkomst.
Medlemskap i domänadministratörer, eller motsvarande, är det minsta som krävs för att slutföra den här proceduren.
Skapa policyer för 802.1X-autentiserat trådlöst med hjälp av en guide
Öppna NPS-snapin-modulen. Om den inte redan är markerad klickar du på NPS (lokal). Om du kör NPS MMC-snapin-modulen och vill skapa principer på en fjärransluten NPS väljer du servern.
I Komma igång går du till Standardkonfiguration och väljer RADIUS-server för trådlösa 802.1X-anslutningar eller kabelanslutna anslutningar. Texten och länkarna under texten ändras för att återspegla ditt val.
Klicka på Konfigurera 802.1X. Guiden för att konfigurera 802.1X öppnas.
På sidan Välj 802.1X-anslutningstyp väljer du Säkra trådlösa anslutningar i Typ av 802.1X-anslutningar. I Namn anger du ett namn för principen eller lämnar standardnamnet Säkra trådlösa anslutningar. Klicka på Nästa.
På sidan Ange 802.1X-växlar visas i RADIUS-klienter alla 802.1X-växlar och trådlösa åtkomstpunkter som du har lagt till som RADIUS-klienter i NPS-snapin-modulen. Gör något av följande:
Om du vill lägga till ytterligare nätverksåtkomstservrar (NAS), till exempel trådlösa AP:er, i RADIUS-klienter, klicka på Lägg till och sedan i Ny RADIUS-klient, ange informationen för: Vänligt namn, Adress (IP eller DNS) och Delad hemlighet.
Om du vill ändra inställningarna för alla NAS-klienter i RADIUS-klienter väljer du den AP som du vill ändra inställningarna för och klickar sedan på Redigera. Ändra inställningarna efter behov.
Om du vill ta bort en NAS från listan går du till RADIUS-klienter, väljer NAS och klickar sedan på Ta bort.
Warning
Om du tar bort en RADIUS-klient från guiden Konfigurera 802.1X tas klienten bort från NPS-konfigurationen. Alla tillägg, ändringar och borttagningar som du gör i guiden Konfigurera 802.1X till RADIUS-klienter återspeglas i NPS-snapin-modulen i noden RADIUS-klienter under NPS / RADIUS-klienter och -servrar. Om du till exempel använder guiden för att ta bort en 802.1X-växel tas även växeln bort från NPS-snapin-modulen.
Klicka på Nästa. På sidan Konfigurera en autentiseringsmetod väljer du Microsoft: Skyddad EAP (PEAP) i Typ (baserat på åtkomstmetod och nätverkskonfiguration) och klickar sedan på Konfigurera.
Tip
Om du får ett felmeddelande som anger att ett certifikat inte kan hittas för användning med autentiseringsmetoden och du har konfigurerat Active Directory Certificate Services för att automatiskt utfärda certifikat till RAS- och IAS-servrar i nätverket kontrollerar du först att du har följt stegen för att registrera NPS i Active Directory Domain Services och följ sedan följande steg för att uppdatera grupprincipen: Klicka på Start, klicka på Windows System, klicka på Kör och skriv gpupdate i Öppna och tryck sedan på RETUR. När kommandot returnerar resultat som anger att både användar- och datorgruppens gruppolicy har uppdaterats väljer du Microsoft: Skyddad EAP (PEAP) igen och klickar sedan på Konfigurera.
Om du efter att ha uppdaterat Gruppolicy fortfarande får felmeddelandet om att det inte går att hitta ett certifikat för användning med autentiseringsmetoden, visas inte certifikatet eftersom det inte uppfyller minimikraven för servercertifikat enligt beskrivningen i Core Network Companion Guide: Deploy Server Certificates for 802.1X Wired and Wireless Deployments. Om detta händer måste du avbryta NPS-konfigurationen, återkalla certifikatet som utfärdats till dina NPS(er) och sedan följa anvisningarna för att konfigurera ett nytt certifikat med hjälp av distributionsguiden för servercertifikat.
På sidan Redigera skyddade EAP-egenskaper i Certifikat utfärdat kontrollerar du att rätt NPS-certifikat har valts och gör sedan följande:
Note
Kontrollera att värdet i Utfärdaren är korrekt för det certifikat som valts i Certifikat som utfärdats. Till exempel är den förväntade utfärdaren för ett certifikat utfärdat av en certifikatutfärdare som kör Active Directory Certificate Services (AD CS) med namnet corp\DC1 i domänen contoso.com corp-DC1-CA.
Om du vill tillåta användare att använda sina trådlösa datorer mellan åtkomstpunkter utan att kräva att de autentiseras igen varje gång de associerar med en ny AP väljer du Aktivera snabb återanslutning.
Om du vill ange att anslutning av trådlösa klienter ska avsluta autentiseringsprocessen om RADIUS-servern inte innehåller kryptobindning av typenLength-Value (TLV) väljer du Koppla från klienter utan kryptobindning.
Om du vill ändra principinställningarna för EAP-typen klickar du på Redigera i EAP MSCHAPv2-egenskaper, ändrar inställningarna efter behov och klickar sedan på OK.
Klicka på OK. Dialogrutan Redigera skyddade EAP-egenskaper stängs och du återgår till guiden Konfigurera 802.1X . Klicka på Nästa.
I Ange användargrupper klickar du på Lägg till och skriver sedan namnet på den säkerhetsgrupp som du har konfigurerat för dina trådlösa klienter i snapin-modulen Active Directory-användare och datorer. Om du till exempel har döpt din trådlösa säkerhetsgrupp till trådlös grupp skriver du Trådlös grupp. Klicka på Nästa.
Klicka på Konfigurera för att konfigurera RADIUS-standardattribut och leverantörsspecifika attribut för virtuellt LAN (VLAN) efter behov och enligt dokumentationen från din trådlösa AP-maskinvaruleverantör. Klicka på Nästa.
Granska information om konfigurationssammanfattningen och klicka sedan på Slutför.
Dina NPS-principer har nu skapats och du kan gå vidare till att ansluta trådlösa datorer till domänen.
Ansluta nya trådlösa datorer till domänen
Den enklaste metoden för att ansluta nya trådlösa datorer till domänen är att fysiskt ansluta datorn till ett segment av det kabelanslutna LAN-nätverket (ett segment som inte styrs av en 802.1X-växel) innan du ansluter datorn till domänen. Det här är enklast eftersom inställningarna för trådlösa grupppolicyer tillämpas automatiskt och omedelbart, och om du har distribuerat din egen PKI godtar datorn CA-certifikatet och placerar det i certifikatarkivet Betrodda rotcertifikatmyndigheter, vilket gör att den trådlösa klienten kan lita på NPS:er med servercertifikat som utfärdats av din certifikatutfärdare.
På samma sätt, när en ny trådlös dator har anslutits till domänen, är den bästa metoden för användare att logga in på domänen att utföra inloggning med hjälp av en kabelansluten anslutning till nätverket.
Andra metoder för domänanslutning
Om det inte är praktiskt att ansluta datorer till domänen med hjälp av en kabelansluten Ethernet-anslutning, eller om användaren inte kan logga in på domänen för första gången med hjälp av en kabelansluten anslutning, måste du använda en alternativ metod.
- Datorkonfiguration för IT-personal. En medlem av IT-personalen ansluter en trådlös dator till domänen och konfigurerar en trådlös profil för enkel inloggning. Med den här metoden ansluter IT-administratören den trådlösa datorn till det kabelanslutna Ethernet-nätverket och ansluter datorn till domänen. Sedan distribuerar administratören datorn till användaren. När användaren startar datorn utan att använda en kabelansluten anslutning används de domänautentiseringsuppgifter som de anger manuellt för användarens inloggning för att både upprätta en anslutning till det trådlösa nätverket och logga in på domänen.
Mer information finns i avsnittet Anslut till domänen och logga in med hjälp av IT-personalens datorinställningsmetod
- Bootstrap Trådlös profilkonfiguration av användare. Användaren konfigurerar den trådlösa datorn manuellt med en trådlös bootstrap-profil och ansluter till domänen, baserat på instruktioner från en IT-administratör. Med den trådlösa bootstrap-profilen kan användaren upprätta en trådlös anslutning och sedan ansluta till domänen. När du har anslutit datorn till domänen och startat om datorn kan användaren logga in på domänen med hjälp av en trådlös anslutning och sina autentiseringsuppgifter för domänkontot.
Mer information finns i avsnittet Join the Domain and Log On by using Bootstrap Wireless Profile Configuration by Users (Anslut domänen och logga in med hjälp av Bootstrap Wireless Profile Configuration by Users).
Ansluta till domänen och logga in med hjälp av it-personalens datorkonfigurationsmetod
Domänmedlemsanvändare med domänanslutna trådlösa klientdatorer kan använda en tillfällig trådlös profil för att ansluta till ett 802.1X-autentiserat trådlöst nätverk utan att först ansluta till det kabelanslutna LAN:et. Den här tillfälliga trådlösa profilen kallas för en trådlös bootstrap-profil.
En trådlös bootstrap-profil kräver att användaren manuellt anger sina autentiseringsuppgifter för domänanvändarkontot och verifierar inte certifikatet för RADIUS-servern (Remote Authentication Dial-In User Service) som kör Nätverksprincipserver (NPS).
När den trådlösa anslutningen har upprättats tillämpas grupprincipen på den trådlösa klientdatorn och en ny trådlös profil utfärdas automatiskt. Den nya principen använder autentiseringsuppgifterna för datorn och användarkontot för klientautentisering.
Dessutom, som en del av PEAP-MS-CHAP ömsesidig autentisering med hjälp av den nya profilen i stället för bootstrap-profilen, verifierar klienten autentiseringsuppgifterna för RADIUS-servern.
När du har ansluter datorn till domänen använder du den här proceduren för att konfigurera en trådlös profil för enkel inloggning för bootstrap innan du distribuerar den trådlösa datorn till domänmedlemsanvändaren.
Konfigurera en trådlös profil för enkel inloggning med bootstrap
Skapa en bootstrap-profil med hjälp av proceduren i den här guiden med namnet Konfigurera en profil för trådlös anslutning för PEAP–MS-CHAP v2 och använd följande inställningar:
PEAP-MS-CHAP v2-autentisering
Validering av RADIUS-servercertifikat inaktiverad
Enkel inloggning aktiverat
I egenskaperna för principen för trådlöst nätverk där du skapade den nya bootstrap-profilen väljer du bootstrap-profilen på fliken Allmänt och klickar sedan på Exportera för att exportera profilen till en nätverksresurs, USB-flashminne eller annan lättillgänglig plats. Profilen sparas som en *.xml fil till den plats som du anger.
Anslut den nya trådlösa datorn till domänen (till exempel via en Ethernet-anslutning som inte kräver IEEE 802.1X-autentisering) och lägg till den trådlösa bootstrap-profilen på datorn med hjälp av kommandot netsh wlan add profile .
Note
Mer information finns i Netsh-kommandon för trådlöst lokalt nätverk (WLAN) på http://technet.microsoft.com/library/dd744890.aspx.
Distribuera den nya trådlösa datorn till användaren med proceduren "Logga in på domänen med datorer som kör Windows 10".
När användaren startar datorn uppmanar Windows användaren att ange sitt domännamn och lösenord för domänanvändarkontot. Eftersom enkel inloggning är aktiverat använder datorn autentiseringsuppgifterna för domänanvändarkontot för att först upprätta en anslutning till det trådlösa nätverket och sedan logga in på domänen.
Logga in på domänen med datorer som kör Windows 10
Logga ut från datorn eller starta om datorn.
Tryck på valfri tangent på tangentbordet eller klicka på skrivbordet. Inloggningsskärmen visas med ett lokalt användarkontonamn som visas och ett lösenordspostfält under namnet. Logga inte in med det lokala användarkontot.
I det nedre vänstra hörnet på skärmen klickar du på Annan användare. Skärmen 'Annan användares inloggning' visas med två fält: ett för användarnamn och ett för lösenord. Under lösenordsfältet visas texten Logga in på: och sedan namnet på domänen där datorn är ansluten. Om din domän till exempel heter example.com läser texten Logga in på: EXEMPEL.
I Användarnamn skriver du ditt domännamn.
I Lösenord skriver du ditt domänlösenord och klickar sedan på pilen eller trycker på RETUR.
Note
Om skärmen Annan användare inte innehåller texten Logga in på: och ditt domännamn bör du ange ditt användarnamn i formatet domän\användare. Om du till exempel vill logga in på domänen example.com med ett konto med namnet User-01 skriver du example\User-01.
Anslut dig till domänen och logga in med Bootstrap Wireless Profile-konfiguration av användare.
Med den här metoden slutför du stegen i avsnittet Allmänna steg och ger sedan dina domänmedlemsanvändare instruktioner om hur du manuellt konfigurerar en trådlös dator med en bootstrap trådlös profil. Med den trådlösa bootstrap-profilen kan användaren upprätta en trådlös anslutning och sedan ansluta till domänen. När datorn har anslutits till domänen och startats om kan användaren logga in på domänen via en trådlös anslutning.
Allmänna steg
Konfigurera ett lokalt datoradministratörskonto på Kontrollpanelen för användaren.
Important
Om du vill ansluta en dator till en domän måste användaren vara inloggad på datorn med det lokala administratörskontot. Alternativt måste användaren ange autentiseringsuppgifterna för det lokala administratörskontot under processen att ansluta datorn till domänen. Dessutom måste användaren ha ett användarkonto i domänen som användaren vill ansluta till datorn till. Under processen för att ansluta datorn till domänen uppmanas användaren att ange autentiseringsuppgifter för domänkontot (användarnamn och lösenord).
Ge domänanvändarna instruktioner för att konfigurera en trådlös bootstrap-profil, enligt beskrivningen i följande procedur För att konfigurera en trådlös bootstrap-profil.
Ge dessutom användarna både autentiseringsuppgifterna för den lokala datorn (användarnamn och lösenord) och autentiseringsuppgifter för domänen (domännamn och lösenord) i formatet DomainName\UserName, samt procedurerna för att "Ansluta datorn till domänen" och "Logga in på domänen", enligt beskrivningen i Windows Server 2016 Core Network Guide.
Så här konfigurerar du en trådlös bootstrap-profil
Använd de autentiseringsuppgifter som tillhandahålls av nätverksadministratören eller IT-supportpersonalen för att logga in på datorn med den lokala datorns administratörskonto.
Högerklicka på nätverksikonen på skrivbordet och klicka på Öppna nätverk och delningscenter. Nätverks- och delningscenter öppnas. I Ändra dina nätverksinställningar klickar du på Konfigurera en ny anslutning eller ett nytt nätverk. Dialogrutan Konfigurera en anslutning eller ett nätverk öppnas.
Klicka på Anslut manuellt till ett trådlöst nätverk och klicka sedan på Nästa.
I Anslut manuellt till ett trådlöst nätverk i Nätverksnamn skriver du AP:ns SSID-namn.
I Säkerhetstyp väljer du den inställning som tillhandahålls av administratören.
I Krypteringstyp och Säkerhetsnyckel väljer eller skriver du inställningarna som tillhandahålls av administratören.
Välj Starta den här anslutningen automatiskt och klicka sedan på Nästa.
I Framgångsrikt tillagdDitt nätverks-SSID, klicka på Ändra anslutningsinställningar.
Klicka på Ändra anslutningsinställningar. Dialogrutan för det trådlösa nätverket Ditt nätverks SSID öppnas.
Klicka på fliken Säkerhet och välj sedan Skyddad EAP (PEAP) i Välj en nätverksautentiseringsmetod.
Klicka på Inställningar. Sidan Egenskaper för skyddad EAP (PEAP) öppnas.
På sidan Egenskaper för skyddad EAP (PEAP) kontrollerar du att Verifiera servercertifikat inte är markerat, klickar på OK två gånger och klickar sedan på Stäng.
Windows försöker sedan ansluta till det trådlösa nätverket. Inställningarna för den trådlösa bootstrap-profilen anger att du måste ange dina domänautentiseringsuppgifter. När Windows uppmanar dig att ange ett kontonamn och lösenord skriver du autentiseringsuppgifterna för ditt domänkonto enligt följande: Domännamn\Användarnamn, Domännamn.
Ansluta en dator till domänen
Logga in på datorn med det lokala administratörskontot.
I söktextrutan skriver du PowerShell. Högerklicka på Windows PowerShell i sökresultat och klicka sedan på Kör som administratör. Windows PowerShell öppnas med en förhöjd prompt.
I Windows PowerShell skriver du följande kommando och trycker sedan på RETUR. Se till att du ersätter variabeln DomainName med namnet på den domän som du vill ansluta till.
Add-Computer Domännamn
När du uppmanas till det skriver du ditt domännamn och lösenord och klickar på OK.
Starta om datorn.
Följ anvisningarna i föregående avsnitt Logga in på domänen med datorer som kör Windows 10.