管理员操作手冊
环境应用示意图如下:
用户账户处理方法:
1. 把用户账户以下位置选择:
2. 创建一个Wireless User Group组,把用户的AD账户加到Wireless User Group ,然后将用户的电脑搬到ou--wireless组里面来
3. Wireless组里的Group policy会在一小时内自动推送到用户的电脑,或可在用户电脑里面用命令”gpupdate /force”作更新
外来者需要使用Wireless的处理方法:
1. 首先同样为外来者建一个GROUP,然后开一个临时的账户,设定何时过期,(这个可以在AD用户属性里面设定用户只可以在哪段时间可以登录域,因为开的是临时账户所以需要这个设定为安全着想)并加入 Wireless Travellers Group,然后用手工方式去做设定即可.
服务搭建篇:IAS服务器的设定
1. 在Windows 2003 domain controller里安装 Networking services -> IAS 服务
2. 打开IAS管理工具
3. 登記IAS到AD
4. 在IAS的属性里选 ”Rejected authentication requests” 和 “successful authentication requests”
5. 建立一个新的Remote Access Policy,取名为 Wireless Access Policy,加一个Wireless Users组进行,详细情况请看图
6. Authentication Methods 应选PEAP
7. Eap types是 EAP-MSCHAP v2
8. 完成后的样子
9. 重复以上步骤再建一个” Travellers Wireless Access Policy”,加入WirelessTravellers组里面,结果如下
10. 在RADIUS Client里,选 “New RADIUS Client”
11. 把需要连接的AP的 IP打进去,并改一个”Friendly name”
12. 在这个画面,按照密码策略(大小写,数字加英文八位数)改一个shared secret,记录下來,因晚一点设定AP时需要
13. 完成后的画面大若是这样的
AP的设定
1. 登入AP后,在下图位置鍵入需要的参数,但SSID Broadcast必须为Disabled
2. 在下图位置选WPA-Enterprise, TKIP, Radious server IP就是IAS的IP,Shared secret需要和之前在IAS里打的一样,然后Save settings
无线用户权限设定
用戶必須加到 Wireless User Group,外来者必須加到 Wireless Travellers Group 等,才可通过IAS順利认证登录无线网络
利用组策略設定用戶端的无线网络
1. 在ou下的Computers里都会有一个名叫Wireless的ou,把需利用组策略设定无线的电脑搬进去
2. 该wireless ou里有一条group policy,內容如下
Wireless Network Policy的详细内容应和手动指定的一样便可以
1手动为用戶端设定
1. 在无线网络的属性里
A. 添加項目如下
B. PEAP的属性如下
C. 在EAP-MSCHAP v2的属性则请特別注意
如果该PC是域用戶,该用户已添加到WirelessUsers组里边,以上窗口里边的小框需要点选上,那他的PC连AP时会自动利用AD账户来登录
如果该PC是外来者,我们需要在AD里建一个临时的账户,把它加到WirelessTravellers组里面,這个账户名可能和他在本地使用的有出入,所以以上窗口不可把上面的上框点选上,结果是连接的时候才会弹出一对话框
点选右下角的提示,便会有以下窗口让你输入我们为该用户创建的临时账户及密码及域名
1. 首先肯定用戶和电脑的Group policy已做好
2. 在用戶端gpupdate可更新Group policy
3. 如果用户曾经成功用PEAP连接到我們网络,資料便会保存在该PC里,导致再连线时使用该资料再自动登入,要更正这个问题,请看http://support.microsoft.com/kb/823731
4. 有時候用戶连线会失败,检查IAS里的Event Viewer为最好的除错办法
成功的消息
Event Type: Information
Event Source: IAS
Event Category: None
Event ID: 1
Date: 1/21/2008
Time: 3:42:23 PM
User: N/A
Computer: allan
Description:
User K\allanfan was granted access.
Fully-Qualified-User-Name =k.local /Users/wireless/allanfan
NAS-IP-Address = 172.16.10.20
NAS-Identifier = 0316b6548cb2
Client-Friendly-Name = allanAP
Client-IP-Address = 172.16.10.24
Calling-Station-Identifier = 0004751ad216
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 30
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Policy-Name = Wireless Access Policy
Authentication-Type = PEAP
EAP-Type = Secured password (EAP-MSCHAP v2)
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 ....
失败的消息(例:用户打错了域名)
Event Type: Error
Event Source: IAS
Event Category: None
Event ID: 3
Date: 10/21/2009
Time: 3:41:49 PM
User: N/A
Computer: allan
Description:
Access request for user k.local\allanfan was discarded.
Fully-Qualified-User-Name = k.local\allanfan
NAS-IP-Address = 172.16.10.20
NAS-Identifier = 0016b6548cb2
Called-Station-Identifier = 0416b6548cb2
Calling-Station-Identifier = 005e351ad216
Client-Friendly-Name = allanAP
Client-IP-Address = 172.16.10.23
NAS-Port-Type = Wireless - IEEE 802.11
NAS-Port = 30
Proxy-Policy-Name = Use Windows authentication for all users
Authentication-Provider = Windows
Authentication-Server = <undetermined>
Reason-Code = 5
Reason = The user account domain cannot be accessed.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 00 00 ....
关于WPA技术和Microsoft参考资料
Wireless LAN Technologies and Microsoft Windows
http://www.microsoft.com/technet/network/wifi/wrlsxp.mspx
Wireless Deployment Technology and Component Overview
http://www.microsoft.com/technet/network/wifi/wificomp.mspx
Deployment of Protected 802.11 Networks Using Microsoft Windows
http://www.microsoft.com/technet/network/wifi/ed80211.mspx
本文转自allanhi 51CTO博客,原文链接:http://blog.51cto.com/allanfan/221945,如需转载请自行联系原作者