Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Bevor Sie den Funkzugriff bereitstellen, müssen Sie Folgendes planen:
Installation von Funkzugriffspunkten in Ihrem Netzwerk
Konfiguration von und Zugriff auf Funkclients
In den folgenden Abschnitten finden Sie Details zu diesen Planungsschritten.
Planen der Installation von Funkzugriffspunkten
Die folgenden Schritte sind beim Entwerfen Ihrer Lösung für den Funkzugriff auf Netzwerke erforderlich:
- Legen Sie fest, welche Standards Ihre Funkzugriffspunkte unterstützen müssen.
- Bestimmen Sie die Abdeckungsbereiche, in denen Sie Funkdienste bereitstellen möchten.
- Legen Sie fest, wo Funkzugriffspunkte eingerichtet werden sollen.
Darüber hinaus müssen Sie ein IP-Adressschema für die Funkzugriffspunkte und Funkclients planen. Weitere Informationen finden Sie weiter unten im Abschnitt Planen der Konfiguration von Funkzugriffspunkten auf einem NPS.
Überprüfen der Einhaltung von Standards durch Funkzugriffspunkte
Aus Gründen der Konsistenz und zur Vereinfachung der Bereitstellung und Verwaltung von Zugriffspunkten empfiehlt es sich, Funkzugriffspunkte der gleichen Marke und desselben Modells bereitzustellen.
Die bereitgestellten Funkzugriffspunkte müssen Folgendes unterstützen:
IEEE 802.1X
RADIUS-Authentifizierung
Funkauthentifizierung und -verschlüsselung. Hier werden die Optionen von der bevorzugtesten zu der am wenigsten bevorzugten aufgeführt:
WPA2-Enterprise mit AES
WPA2-Enterprise mit TKIP
WPA-Enterprise mit AES
WPA-Enterprise mit TKIP
Note
Um WPA2 bereitzustellen, müssen Sie Funknetzwerkadapter und Funkzugriffspunkte verwenden, die WPA2 unterstützen. Verwenden Sie andernfalls WPA-Enterprise.
Darüber hinaus müssen die Funkzugriffspunkte die folgenden Sicherheitsoptionen unterstützen, um die Sicherheit des Netzwerks zu erhöhen:
DHCP-Filterung. Der Funkzugriffspunkt muss nach IP-Ports filtern, um die Übertragung von DHCP-Broadcastmeldungen zu verhindern, wenn der Funkclient als DHCP-Server konfiguriert ist. Der Funkzugriffspunkt muss verhindern, dass der Client IP-Pakete vom UDP-Port 68 an das Netzwerk sendet.
DNS-Filterung. Der Funkzugriffspunkt muss nach IP-Ports filtern, um zu verhindern, dass ein Client als DNS-Server ausgeführt wird. Der Funkzugriffspunkt muss verhindern, dass der Client IP-Pakete von TCP- oder UDP-Port 53 an das Netzwerk sendet.
Clientisolation Wenn Ihr Drahtloszugriffspunkt Clientisolationsfunktionen bereitstellt, sollten Sie das Feature aktivieren, um mögliche ARP-Spoofing-Exploits (Address Resolution Protocol) zu verhindern.
Festlegen der Funkabdeckung
Ermitteln Sie mithilfe von Gebäudeplänen für jede Etage in jedem Gebäude die Bereiche, in denen die Funkabdeckung eingerichtet werden sollen. Ermitteln Sie beispielsweise die entsprechenden Büros, Konferenzräume, Lobbys, Cafeterias oder Außenbereiche.
Geben Sie auf den Plänen alle Geräte an, die die Funksignale beeinträchtigen, z. B. medizinische Geräte, Funkvideokameras, schnurlose Telefone, die im ISM-Bereich (Industrial, Scientific and Medical) mit 2,4 bis 2,5 GHz betrieben werden, und Bluetooth-fähige Geräte.
Markieren Sie auf dem Plan alle Aspekte des Gebäudes, die Funksignale beeinträchtigen könnten. Metallische Bestandteile, die beim Bau eines Gebäudes verwendet werden, können das Funksignal beeinflussen. Die Signalverbreitung wird häufig durch Folgendes beeinträchtigt: Fahrstühle, Heizungsleitungen und Klimatisierungsschächte und Betonträger.
Weitere Informationen zu Quellen, die die Frequenz Ihrer Funkzugriffspunkt beeinträchtigen können, erhalten Sie vom Hersteller Ihrer Zugriffspunkte. Für die meisten Zugriffspunkte gibt es Testsoftware, mit der Sie die Signalstärke, Fehlerrate und den Datendurchsatz überprüfen können.
Bestimmen der Installationsorte von Funkzugriffspunkten
Die Funkzugriffspunkte sollten auf den Gebäudeplänen nah genug beieinander liegen, um eine ausreichende Funkabdeckung zu bieten, aber weit genug voneinander entfernt, dass sie sich nicht gegenseitig beeinträchtigen.
Der erforderliche Abstand zwischen Zugriffspunkten hängt von der Art und Antenne des Zugriffspunkts, den Aspekten des Gebäudes, die Funksignale blockieren, und anderen Störquellen ab. Planen Sie Funkzugriffspunkte so, dass kein Funkzugriffspunkt mehr als 300 Fuß vom nächsten entfernt ist. Spezifikationen und Richtlinien für die Positionierung von Zugriffspunkten finden Sie in der Herstellerdokumentation des Funkzugriffspunkts.
Installieren Sie vorübergehend Funkzugriffspunkte an den Orten, die in Ihren Gebäudeplänen angegeben sind. Bestimmen Sie anschließend mit einem Laptop, der mit einem 802.11-Funkadapter ausgestattet ist, und der Standortuntersuchungssoftware, die häufig mit Funkadaptern geliefert wird, die Signalstärke in jedem Abdeckungsbereich.
In Abdeckungsbereichen, in denen die Signalstärke gering ist, sollten Sie den Zugriffspunkt so positionieren, dass die Signalstärke für den Abdeckungsbereich verbessert wird. Installieren Sie zusätzliche Funkzugriffspunkte, um die erforderliche Abdeckung zu gewährleisten, und verlagern oder entfernen Sie Störquellen.
Aktualisieren Sie Ihre Gebäudepläne mit den endgültigen Positionen aller Funkzugriffspunkte. Eine genauer Lageplan der Zugriffspunkte hilft später bei der Problembehandlung oder beim Upgraden oder Ersetzen von Zugriffspunkten.
Planen der Konfiguration von Funkzugriffspunkten und des RADIUS-Clients für NPS
Sie können NPS verwenden, um Funkzugriffspunkte einzeln oder in Gruppen zu konfigurieren.
Wenn Sie ein großes Funknetzwerk bereitstellen, das viele Zugriffspunkte enthält, ist es einfacher, diese in Gruppen zu konfigurieren. Um die Zugriffspunkte als RADIUS-Clientgruppen in NPS hinzuzufügen, müssen Sie sie mit den folgenden Eigenschaften konfigurieren:
Die Funkzugriffspunkte werden mit IP-Adressen aus demselben IP-Adressbereich konfiguriert.
Die Funkzugriffspunkte werden alle mit demselben gemeinsamen Geheimnis konfiguriert.
Planen der Verwendung der schnellen PEAP-Verbindungswiederherstellung
In einer 802.1X-Infrastruktur werden Funkzugriffspunkte als RADIUS-Clients für RADIUS-Server konfiguriert. Wenn die schnelle PEAP-Verbindungswiederherstellung bereitgestellt wird, muss ein Funkclient, der zwischen zwei oder mehr Zugriffspunkten wechselt, nicht bei jeder neuen Zuordnung authentifiziert werden.
Die schnelle PEAP-Verbindungswiederherstellung reduziert die Antwortzeit für die Authentifizierung zwischen Client und Authentifikator, da die Authentifizierungsanforderung vom neuen Zugriffspunkt an den NPS weitergeleitet wird, der ursprünglich Authentifizierung und Autorisierung für die Clientverbindungsanforderung vorgenommen hat.
Da sowohl der PEAP-Client als auch der NPS zuvor zwischengespeicherte TLS-Verbindungseigenschaften (Transport Layer Security) verwenden (deren Gesamtheit als TLS-Handle bezeichnet wird), kann der NPS schnell feststellen, ob der Client für eine Verbindungswiederherstellung autorisiert ist.
Important
Damit die schnelle Verbindungswiederherstellung ordnungsgemäß funktioniert, müssen die Zugriffspunkte als RADIUS-Clients desselben NPS konfiguriert werden.
Wenn der ursprüngliche NPS nicht mehr verfügbar ist oder der Client zu einem Zugriffspunkt wechselt, der als RADIUS-Client auf einen anderen RADIUS-Server konfiguriert ist, muss die vollständige Authentifizierung zwischen dem Client und dem neuen Authentifikator erfolgen.
Konfiguration von Funkzugriffspunkten
In der folgenden Liste sind die Komponenten zusammengefasst, die häufig für 802.1X-fähige Funkzugriffspunkte konfiguriert sind:
Note
Die Komponentennamen können je nach Marke und Modell variieren und sich von denen in der folgenden Liste unterscheiden. Konfigurationsspezifische Details finden Sie in der Dokumentation für Ihre Funkzugriffspunkte.
SSID (Service Set Identifier): Hierbei handelt es sich um den Namen des Funknetzwerks (z. B. BeispielWLAN) und den Namen, der für Funkclients angekündigt wird. Um Verwirrung zu vermeiden, sollte die anzukündigende SSID, nicht mit der SSID übereinstimmen, die von anderen Funknetzwerken übertragen wird, die sich innerhalb des Empfangsbereichs Ihres Funknetzwerks befinden.
In Fällen, in denen mehrere Funkzugriffspunkte im selben Funknetzwerks bereitgestellt werden, sollten Sie jeden Funkzugriffspunkt mit derselben SSID konfigurieren. In Fällen, in denen mehrere Funkzugriffspunkte im selben Funknetzwerks bereitgestellt werden, sollten Sie jeden Funkzugriffspunkt mit derselben SSID konfigurieren.
In Fällen, in denen Sie unterschiedliche Funknetzwerke bereitstellen müssen, um bestimmte Geschäftsanforderungen zu erfüllen, sollten die Funkzugriffspunkte in jedem Netzwerk jeweils eine eigene SSID übertragen. Wenn Sie beispielsweise ein separates WLAN für Ihre Mitarbeiter und Gäste benötigen, können Sie Ihre Wireless-APs für das Unternehmensnetzwerk konfigurieren, indem Sie die SSID ExampleWLAN senden lassen. Für Ihr Gastnetzwerk könnten Sie dann die SSID jeder drahtlosen AP so festlegen, dass GastWLAN übertragen wird. Auf diese Weise können Ihre Mitarbeiter*innen und Gäst*innen ohne unnötige Verwirrung eine Verbindung mit dem beabsichtigten Netzwerk herstellen.
Tip
Manche Funkzugriffspunkte können mehrere SSID-Instanzen zu übertragen, um Bereitstellungen mit mehreren Netzwerken zu ermöglichen. Funkzugriffspunkte, die mehrere SSID übertragen können, können die Bereitstellungs- und Betriebswartungskosten reduzieren.
Funkauthentifizierung und -verschlüsselung:
Die Funkauthentifizierung ist die Sicherheitsauthentifizierung, die verwendet wird, wenn der Funkclient einem Funkzugriffspunkt zugeordnet wird.
Die Funkverschlüsselung ist das Verschlüsselungsverfahren für die Sicherheitsverschlüsselung, das bei der Funkauthentifizierung verwendet wird, um die Kommunikation zu schützen, die zwischen dem Funkzugriffspunkt und dem Funkclient gesendet wird.
Statische IP-Adresse des Funkzugriffspunkts: Konfigurieren Sie auf jedem Funkzugriffspunkt eine eindeutige statische IP-Adresse. Wenn das Subnetz von einem DHCP-Server verwaltet wird, müssen alle IP-Adressen des Zugriffspunkts innerhalb eines DHCP-Ausschlussbereichs liegen, damit der DHCP-Server nicht versucht, dieselbe IP-Adresse an einen anderen Computer oder ein anderes Gerät zu vergeben. Die Ausschlussbereiche werden im Abschnitt „Erstellen und Aktivieren eines neuen DHCP-Bereichs“ im Leitfaden zu Kernkomponenten eines Netzwerks dokumentiert. Wenn Sie planen, Zugriffspunkte als RADIUS-Clients nach Gruppe auf einem NPS zu konfigurieren, muss jeder Zugriffspunkt in der Gruppe über eine IP-Adresse aus demselben IP-Adressbereich verfügen.
DNS-Name. Einige Funkzugriffspunkte können mit einem DNS-Namen konfiguriert werden. Konfigurieren Sie jeden Funkzugriffspunkt mit einem eindeutigen Namen. Wenn Sie beispielsweise Funkzugriffspunkte in einem mehrstöckigen Gebäude eingerichtet haben, könnten die ersten drei Funkzugriffspunkte in der dritten Etage „ZP3-01“, „ZP3-02“ und „ZP3-03“ heißen.
Subnetzmaske für Funkzugriffspunkte: Konfigurieren Sie die Maske, um festzulegen, welcher Teil der IP-Adresse die Netzwerk-ID und welcher der Host ist.
DHCP-Dienst für Zugriffspunkte: Wenn Ihr Funkzugriffspunkt über einen integrierten DHCP-Dienst verfügt, deaktivieren Sie ihn.
Gemeinsames RADIUS-Geheimnis: Verwenden Sie ein eindeutiges gemeinsames RADIUS-Geheimnis für jeden Funkzugriffspunkt, sofern Sie nicht planen, NPS-RADIUS-Clients in Gruppen zu konfigurieren. In diesem Fall müssen Sie alle Zugriffspunkte in der Gruppe mit demselben gemeinsamen Geheimnis konfigurieren. Gemeinsame Geheimnisse sollten eine zufällige Sequenz mit mindestens 22 Zeichen sein und Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen enthalten. Um die Zufälligkeit sicherzustellen, können Sie ein Programm für die Generierung zufälliger Zeichenfolgen verwenden, um Ihre gemeinsamen Geheimnisse zu erstellen. Es wird empfohlen, das gemeinsame Geheimnis für jeden Funkzugriffspunkt zu notieren und an einem sicheren Ort wie einem Bürosafe aufzubewahren. Wenn Sie RADIUS-Clients in der NPS-Konsole konfigurieren, erstellen Sie eine virtuelle Version jedes Zugriffspunkts. Das gemeinsame Geheimnis, das Sie für jeden virtuellen Zugriffspunkte auf dem NPS konfigurieren, muss mit dem gemeinsamen Geheimnis des tatsächlichen physischen Zugriffspunkts übereinstimmen.
IP-Adresse des RADIUS-Servers: Geben Sie die IP-Adresse des NPS ein, den Sie zum Authentifizieren und Autorisieren von Verbindungsanforderungen für diesen Zugriffspunkt verwenden möchten.
UDP-Port(n) NPS verwendet standardmäßig die UDP-Ports 1812 und 1645 für RADIUS-Authentifizierungsmeldungen und die UDP-Ports 1813 und 1646 für RADIUS-Ressourcenerfassungsmeldungen. Es wird empfohlen, die Standardeinstellungen für RADIUS-UDP-Ports nicht zu ändern.
VSAs. Einige Funkzugriffspunkte erfordern anbieterspezifische Attribute (VSAs), um den vollen Funktionsumfang nutzen zu können.
DHCP-Filterung. Konfigurieren Sie Funkzugriffspunkte so, dass das Senden von IP-Paketen von UDP-Port 68 an das Netzwerk durch Clients verhindert wird. Informationen zum Konfigurieren der DHCP-Filterung finden Sie in der Dokumentation für Ihren Funkzugriffspunkt.
DNS-Filterung. Konfigurieren Sie Funkzugriffspunkt so, dass das Senden von IP-Paketen von TCP- oder UDP-Port 53 an das Netzwerk durch Funkclients verhindert wird. Informationen zum Konfigurieren der DNS-Filterung finden Sie in der Dokumentation für Ihren Funkzugriffspunkt.
Planen von Konfiguration und Zugriff für Funkclients
Bei der Planung der Bereitstellung des 802.1X-authentifizierten Funkzugriffs müssen Sie mehrere clientspezifische Faktoren berücksichtigen:
Planen der Unterstützung für mehrere Standards:
Ermitteln Sie, ob Ihre Funkcomputer alle dieselbe Version von Windows verwenden oder ob es sich um eine Mischung aus Computern mit unterschiedlichen Betriebssystemen handelt. Wenn sie unterschiedlich sind, müssen Sie sich mit den Unterschieden zwischen den Standards vertraut machen, die von den Betriebssystemen unterstützt werden.
Ermitteln Sie, ob alle Funknetzwerkadapter auf allen Funkclientcomputern dieselben Funkstandards unterstützen oder ob unterschiedliche Standards unterstützt werden müssen. Finden Sie beispielsweise heraus, ob einige Hardwaretreiber für Netzwerkadapter WPA2-Enterprise und AES unterstützen, während andere nur WPA-Enterprise und TKIP unterstützen.
Planen des Clientauthentifizierungsmodus: Authentifizierungsmodi definieren, wie Windows-Clients Domänenanmeldeinformationen verarbeiten. Sie können aus den folgenden drei Netzwerkauthentifizierungsmodi in den Funknetzwerkrichtlinien auswählen.
Erneute Authentifizierung durch den Benutzer. Dieser Modus gibt an, dass die Authentifizierung immer mithilfe von Sicherheitsanmeldeinformationen basierend auf dem aktuellen Status des Computers durchgeführt wird. Die Authentifizierung erfolgt über die Computeranmeldeinformationen, wenn keine Benutzer*innen beim Computer angemeldet sind. Wenn sich ein*e Benutzer*in beim Computer anmeldet, erfolgt die Authentifizierung immer über die Benutzeranmeldeinformationen.
Nur für Computer Der Modus „Nur Computer“ gibt an, dass die Authentifizierung immer nur mithilfe der Computeranmeldeinformationen durchgeführt wird.
Benutzerauthentifizierung. Der Modus „Benutzerauthentifizierung“ gibt an, dass die Authentifizierung nur ausgeführt wird, wenn eine Benutzer*in auf dem Computer angemeldet ist. Wenn keine Benutzer*innen auf dem Computer angemeldet sind, werden keine Authentifizierungsversuche durchgeführt.
Planen von Funkeinschränkungen: Legen Sie fest, ob Sie allen Funkbenutzer*innen den gleichen Zugriff auf Ihr Funknetzwerk gewähren oder den Zugriff für bestimmte Benutzer*innen einschränken möchten. Sie können auf dem NPS Einschränkungen auf bestimmte Gruppen von Funkbenutzer*innen anwenden. Beispielsweise können Sie bestimmte Tage und Uhrzeiten definieren, zu denen bestimmten Gruppen der Zugriff auf das Funknetzwerk gestattet ist.
Planen von Methoden zum Hinzufügen neuer Funkcomputer: Folgendes gilt für funkfähige Computer, die Ihrer Domäne hinzugefügt werden, bevor Sie Ihr Funknetzwerk bereitstellen: Wenn der Computer mit einem Segment des Kabelnetzwerks verbunden ist, das nicht durch 802.1X geschützt wird, werden die Funkkonfigurationseinstellungen automatisch angewendet, nachdem Sie Funknetzwerkrichtlinien (IEEE 802.11) auf dem Domänencontroller konfiguriert haben und die Gruppenrichtlinie auf dem Funkclient aktualisiert wurde.
Für Computer, die Ihrer Domäne noch nicht hinzugefügt wurden, müssen Sie jedoch eine Methode planen, um die Einstellungen anzuwenden, die für den 802.1X-authentifizierten Zugriff erforderlich sind. Ermitteln Sie beispielsweise mithilfe einer der folgenden Methoden, ob Sie den Computer zur Domäne hinzufügen möchten.
Verbinden Sie den Computer mit einem Segment des Kabelnetzwerks, das nicht durch 802.1X geschützt ist, und fügen Sie den Computer dann zur Domäne hinzu.
Teilen Sie Funkbenutzer*innen die Schritte und Einstellungen mit, die sie zum Hinzufügen ihres eigenen Bootstrap-Funknetzwerkprofils benötigen, sodass sie den Computer der Domäne hinzufügen können.
Weisen Sie IT-Mitarbeiter*innen die Aufgabe zu, Funkclients zur Domäne hinzuzufügen.
Planen der Unterstützung für mehrere Standards
Die Erweiterung für Funknetzwerkrichtlinien (IEEE 802.11) in der Gruppenrichtlinie bietet eine Vielzahl von Konfigurationsoptionen, um verschiedenste Bereitstellungsoptionen zu unterstützen.
Sie können Funkzugriffspunkte bereitstellen, die mit den zu unterstützenden Standards konfiguriert sind, und dann mehrere Funknetzwerkprofile in IEEE 802.11-Richtlinien konfigurieren, wobei jedes Profil die jeweils benötigten Standards angibt.
Wenn Ihr Netzwerk beispielsweise über Funkcomputer verfügt, die WPA2-Enterprise und AES unterstützen, sowie andere Computer, die WPA-Enterprise und AES unterstützen, und weitere Computer, die nur WPA-Enterprise und TKIP unterstützen, müssen Sie sich für eine der folgenden Optionen entscheiden:
- Konfigurieren Sie ein einzelnes Profil, um alle Funkcomputer zu unterstützen, indem Sie die schwächste Verschlüsselungsmethode verwenden, die von allen Computern unterstützt wird – in diesem Fall WPA-Enterprise und TKIP.
- Konfigurieren Sie zwei Profile, um die bestmöglichen Sicherheitsmethoden zu nutzen, die von jedem Funkcomputer unterstützt werden. In diesem Fall würden Sie ein Profil konfigurieren, das die stärkste Verschlüsselung angibt (WPA2-Enterprise und AES), und ein Profil, das die schwächere WPA-Enterprise- und TKIP-Verschlüsselung verwendet. In diesem Beispiel ist es entscheiden, dass das Profil, das WPA2-Enterprise und AES verwendet, das erste in der Priorisierungsreihenfolge ist. Computer, die nicht in der Lage sind, WPA2-Enterprise und AES zu verwenden, springen automatisch zum nächsten Profil in der Priorisierungsreihenfolge und verwenden das Profil, das WPA-Enterprise und TKIP angibt.
Important
Das Profil mit den sichersten Standards muss in der Profilliste weiter oben stehen, da Computer beim Herstellen einer Verbindung das erste Profil verwenden, mit dem sie kompatibel sind.
Planen des eingeschränkten Zugriffs auf das Funknetzwerk
In vielen Fällen ist es ratsam, für Funkbenutzer*innen unterschiedliche Zugriffsebenen auf das Funknetzwerk einzurichten. Beispielsweise gibt es einige Benutzer*innen, die an allen Wochentagen rund um die Uhr uneingeschränkten Zugriff benötigen. Andere Benutzer*innen sollten nur während der Kernzeiten von Montag bis Freitag Zugriff haben und samstags und sonntags nicht.
Dieser Leitfaden enthält Anweisungen zum Erstellen einer Zugriffsumgebung, in der alle Funkbenutzer*innen einer Gruppe mit gemeinsamem Zugriff auf Funkressourcen hinzugefügt werden. Sie erstellen eine Sicherheitsgruppe für Funkbenutzer*innen im Snap-In für Active Directory-Benutzer*innen und -Computer und fügen dann jede*n Benutzer*in, dem oder der Sie Funkzugriff gewähren möchten, als Mitglied dieser Gruppe hinzu.
Wenn Sie NPS-Netzwerkrichtlinien konfigurieren, geben Sie die Sicherheitsgruppe für Funkbenutzer*in als das Objekt an, das NPS beim Ermitteln des Autorisierungsstatus verarbeitet.
Wenn Ihre Bereitstellung jedoch unterschiedliche Zugriffsebenen unterstützen muss, ist nur Folgendes nötig:
Erstellen Sie mehr als eine Sicherheitsgruppe für Funkbenutzer*innen, um zusätzliche Funksicherheitsgruppen für Active Directory-Benutzer*innen und -Computer zu erstellen. Sie können beispielsweise eine Gruppe erstellen, die Benutzer*innen mit Vollzugriff enthält, eine Gruppe für diejenigen, die nur während der regulären Arbeitszeit Zugriff haben, und weitere Gruppen, die je nach Anforderungen andere Kriterien erfüllen.
Fügen Sie den von Ihnen erstellten Sicherheitsgruppen Benutzer*innen hinzu.
Konfigurieren Sie zusätzliche NPS-Netzwerkrichtlinien für jede zusätzliche Funksicherheitsgruppe, und konfigurieren Sie die Richtlinien so, dass die Bedingungen und Einschränkungen angewendet werden, die Sie für jede Gruppe vorschreiben.
Planen von Methoden zum Hinzufügen neuer Funkcomputer
Die bevorzugte Methode zum Hinzufügen neuer Funkcomputer zur Domäne und zum anschließenden Anmelden bei der Domäne ist die Verwendung einer Kabelverbindung mit einem Segment des LAN, das Zugriff auf Domänencontroller hat und nicht durch einen Ethernet-Switch mit 802.1X-Authentifizierung geschützt ist.
In einigen Fällen ist es jedoch nicht möglich, eine Kabelverbindung zum Hinzufügen von Computern zur Domäne zu verwenden. Manchmal können Benutzer*innen auch keine Kabelverbindung für den ersten Anmeldeversuch mit einem Computer verwenden, der bereits zur Domäne hinzugefügt wurde.
Damit ein Computer über eine Funkverbindung zur Domäne hinzugefügt werden kann oder Benutzer*innen die erste Anmeldung bei der Domäne über einen zur Domäne hinzugefügten Computer mit Funkverbindung durchführen können, müssen Funkclients zunächst eine Verbindung zum Funknetzwerk eines Segments herstellen, das Zugriff auf die Netzwerkdomänencontroller hat. Hierfür kann eine der folgenden Methoden verwendet werden:
Ein Mitglied des IT-Teams fügt einen Funkcomputer zur Domäne hinzu und konfiguriert dann ein Bootstrap-Funknetzwerkprofil für einmaliges Anmelden. Bei dieser Methode verbindet ein*e IT-Administrator*in zuerst den Funkcomputer mit dem Ethernet-Kabelnetzwerk und fügt dann den Computer zur Domäne hinzu. Anschließend teilt ein*e Administrator*e den Computer einem oder einer Benutzer*in zu. Wenn der oder die Benutzer*in den Computer startet, werden die Domänenanmeldeinformationen verwendet, die er oder sie manuell für den Benutzeranmeldeprozess angibt, um eine Verbindung mit dem Funknetzwerk herzustellen und sich bei der Domäne anzumelden.
Der oder die Benutzer*in konfiguriert den Funkcomputer manuell mit einem Bootstrap-Funknetzwerkprofil und tritt dann der Domäne bei. Bei dieser Methode konfigurieren Benutzer*innen ihre Funkcomputer gemäß den Anweisungen von IT-Administrator*innen manuell mit einem Bootstrap-Funknetzwerkprofil. Mit dem Bootstrap-Funknetzwerkprofil können Benutzer*innen eine Funkverbindung herstellen und den Computer dann zur Domäne hinzufügen. Nach dem Hinzufügen des Computers zur Domäne und dem Neustart des Computers kann sich der oder die Benutzer*in mithilfe einer Funkverbindung und der Anmeldeinformationen für das Domänenkonto bei der Domäne anmelden.
Weitere Informationen zum Bereitstellen des Funkzugriffs finden Sie unter Bereitstellung des Funkzugriffs.