Wireless在域里面实施WPA认证设定应用

管理员操做手冊

环境应用示意图以下:

用户帐户处理方法：

1. 把用户帐户如下位置选择:

2. 建立一个Wireless User Group组,把用户的AD帐户加到Wireless User Group ，而后将用户的电脑搬到ou--wireless组里面来

3. Wireless组里的Group policy会在一小时内自动推送到用户的电脑，或可在用户电脑里面用命令”gpupdate /force”做更新

外来者须要使用Wireless的处理方法：

1. 首先一样为外来者建一个GROUP,而后开一个临时的帐户，设定什么时候过时，(这个能够在AD用户属性里面设定用户只能够在哪段时间能够登陆域,由于开的是临时帐户因此须要这个设定为安全着想)并加入 Wireless Travellers Group,而后用手工方式去作设定便可.

服务搭建篇:IAS服务器的设定

1. 在Windows 2003 domain controller里安装 Networking services -> IAS 服务

2. 打开IAS管理工具

3. 登記IAS到AD

4. 在IAS的属性里选 ”Rejected authentication requests” 和 “successful authentication requests”

5. 创建一个新的Remote Access Policy，取名为 Wireless Access Policy，加一个Wireless Users组进行，详细状况请看图

6. Authentication Methods 应选PEAP

7. Eap types是 EAP-MSCHAP v2

8. 完成后的样子

9. 重复以上步骤再建一个” Travellers Wireless Access Policy”，加入WirelessTravellers组里面，结果以下

10. 在RADIUS Client里，选 “New RADIUS Client”

11. 把须要链接的AP的 IP打进去，并改一个”Friendly name”

12. 在这个画面，按照密码策略(大小写，数字加英文八位数)改一个shared secret，记录下來，因晚一点设定AP时须要

13. 完成后的画面大如果这样的

AP的设定

1. 登入AP后，在下图位置鍵入须要的参数，但SSID Broadcast必须为Disabled

2. 在下图位置选WPA-Enterprise, TKIP, Radious server IP就是IAS的IP，Shared secret须要和以前在IAS里打的同样，而后Save settings

无线用户权限设定

用戶必須加到 Wireless User Group，外来者必須加到 Wireless Travellers Group 等，才可经过IAS順利认证登陆无线网络

利用组策略設定用戶端的无线网络

1. 在ou下的Computers里都会有一个名叫Wireless的ou，把需利用组策略设定无线的电脑搬进去

2. 该wireless ou里有一条group policy，內容以下

Wireless Network Policy的详细内容应和手动指定的同样即可以

1手动为用戶端设定

1. 在无线网络的属性里

A. 添加項目以下

B. PEAP的属性以下

C. 在EAP-MSCHAP v2的属性则请特別注意

若是该PC是域用戶，该用户已添加到WirelessUsers组里边，以上窗口里边的小框须要点选上，那他的PC连AP时会自动利用AD帐户来登陆

若是该PC是外来者，咱们须要在AD里建一个临时的帐户，把它加到WirelessTravellers组里面，這个帐户名可能和他在本地使用的有出入，因此以上窗口不可把上面的上框点选上，结果是链接的时候才会弹出一对话框

点选右下角的提示，便会有如下窗口让你输入咱们为该用户建立的临时帐户及密码及域名

除錯

1. 首先确定用戶和电脑的Group policy已作好

2. 在用戶端gpupdate可更新Group policy

3. 若是用户曾经成功用PEAP链接到我們网络，資料便会保存在该PC里，致使再连线时使用该资料再自动登入，要更正这个问题，请看http://support.microsoft.com/kb/823731

4. 有時候用戶连线会失败，检查IAS里的Event Viewer为最好的除错办法

成功的消息

Event Type: Information

Event Source: IAS

Event Category: None

Event ID: 1

Date: 1/21/2008

Time: 3:42:23 PM

User: N/A

Computer: allan

Description:

User K\allanfan was granted access.

Fully-Qualified-User-Name =k.local /Users/wireless/allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0316b6548cb2

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.24

Calling-Station-Identifier = 0004751ad216

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Policy-Name = Wireless Access Policy

Authentication-Type = PEAP

EAP-Type = Secured password (EAP-MSCHAP v2)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

失败的消息(例:用户打错了域名)

Event Type: Error

Event Source: IAS

Event Category: None

Event ID: 3

Date: 10/21/2009

Time: 3:41:49 PM

User: N/A

Computer: allan

Description:

Access request for user k.local\allanfan was discarded.

Fully-Qualified-User-Name = k.local\allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0016b6548cb2

Called-Station-Identifier = 0416b6548cb2

Calling-Station-Identifier = 005e351ad216

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.23

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Reason-Code = 5

Reason = The user account domain cannot be accessed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

关于WPA技术和Microsoft参考资料

Wireless LAN Technologies and Microsoft Windows

http://www.microsoft.com/technet/network/wifi/wrlsxp.mspx

Wireless Deployment Technology and Component Overview

http://www.microsoft.com/technet/network/wifi/wificomp.mspx

Deployment of Protected 802.11 Networks Using Microsoft Windows

http://www.microsoft.com/technet/network/wifi/ed80211.mspx