Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Volg deze stappen om draadloze toegang te implementeren:
Draadloze toegangspunten inzetten en configureren
Volg deze stappen om uw draadloze TOEGANGSPUNT's te implementeren en te configureren:
Note
De procedures in deze handleiding bevatten geen instructies voor gevallen waarin het dialoogvenster Gebruikersaccountbeheer wordt geopend om uw toestemming te vragen om door te gaan. Als dit dialoogvenster wordt geopend terwijl u de procedures in deze handleiding uitvoert en als het dialoogvenster is geopend als reactie op uw acties, klikt u op Doorgaan.
Frequenties van draadloze AP-kanalen opgeven
Wanneer u meerdere draadloze TOEGANGSPUNT's op één geografische locatie implementeert, moet u draadloze TOEGANGSPUNT's met overlappende signalen configureren om unieke kanaalfrequenties te gebruiken om interferentie tussen draadloze TOEGANGSPUNT's te verminderen.
U kunt de volgende richtlijnen gebruiken om u te helpen bij het kiezen van kanaalfrequenties die niet conflicteren met andere draadloze netwerken op de geografische locatie van uw draadloze netwerk.
Als er andere organisaties zijn die kantoren dicht bij elkaar of in hetzelfde gebouw als uw organisatie hebben, moet u bepalen of er draadloze netwerken zijn die eigendom zijn van die organisaties. Zoek zowel de plaatsing als de toegewezen kanaalfrequenties van hun draadloze AP's uit, omdat u verschillende kanaalfrequenties moet toewijzen aan de AP's en u de beste locatie moet bepalen om uw AP's te installeren.
Identificeer overlappende draadloze signalen op aangrenzende verdiepingen binnen uw eigen organisatie. Nadat u overlappende dekkingsgebieden buiten en binnen uw organisatie hebt geïdentificeerd, wijst u kanaalfrequenties toe voor uw draadloze TOEGANGSPUNT's, zodat er twee draadloze TOEGANGSPUNT's met overlappende dekking verschillende kanaalfrequenties worden toegewezen.
Draadloze toegangspunten configureren
Gebruik de volgende informatie samen met de productdocumentatie van de draadloze AP-fabrikant om uw draadloze TOEGANGSPUNTen te configureren.
Met deze procedure worden items opgesomd die vaak zijn geconfigureerd op een draadloze AP. De itemnamen kunnen per merk en model verschillen en kunnen afwijken van de namen in de volgende lijst. Zie de documentatie van uw draadloze AP voor specifieke informatie.
Uw draadloze toegangspunten configureren
SSID. Geef de naam op van de draadloze netwerk(en) (bijvoorbeeld ExampleWLAN). Dit is de naam die wordt aangekondigd voor draadloze clients.
Encryption. Geef WPA2-Enterprise (voorkeur) of WPA-Enterprise op, en AES (voorkeur) of TKIP-versleutelingscodering, afhankelijk van welke versies worden ondersteund door de netwerkadapters van uw draadloze clientcomputer.
Draadloos AP IP-adres (statisch). Configureer op elke AP een uniek statisch IP-adres dat binnen het uitsluitingsbereik van het DHCP-bereik voor het subnet valt. Als u een adres gebruikt dat is uitgesloten van toewijzing door DHCP, voorkomt u dat de DHCP-server hetzelfde IP-adres toewijst aan een computer of ander apparaat.
Subnetmasker. Configureer dit zo dat deze overeenkomt met de instellingen voor het subnetmasker van het LAN waarmee u de draadloze AP hebt verbonden.
DNS-naam. Sommige draadloze TOEGANGSPUNT's kunnen worden geconfigureerd met een DNS-naam. De DNS-service in het netwerk kan DNS-namen omzetten in een IP-adres. Voer op elke draadloze AP die deze functie ondersteunt een unieke naam in voor DNS-omzetting.
DHCP-service. Als uw draadloze AP een ingebouwde DHCP-service heeft, schakelt u deze uit.
RADIUS-gedeeld geheim. Gebruik een uniek RADIUS-gedeeld geheim voor elke draadloze AP, tenzij u van plan bent APs te configureren als RADIUS-clients in NPS per groep. Als u APs per groep in NPS wilt configureren, moet het gedeelde geheim hetzelfde zijn voor elk lid van de groep. Bovendien moet elk gedeeld geheim dat u gebruikt, een willekeurige reeks zijn van ten minste 22 tekens die hoofdletters en kleine letters, cijfers en leestekens combineert. Om willekeurigheid te garanderen, kunt u een generator voor willekeurige tekens gebruiken, zoals de generator voor willekeurige tekens in de wizard NPS 802.1X configureren , om de gedeelde geheimen te maken.
Tip
Noteer het gedeelde geheim voor elke draadloze AP en sla het op een veilige locatie op, zoals een kantoorkluis. U moet het gedeelde geheim voor elke draadloze AP kennen wanneer u RADIUS-clients in de NPS configureert.
IP-adres van RADIUS-server. Typ het IP-adres van de server waarop NPS wordt uitgevoerd.
UDP-poort(en). NPS gebruikt standaard UDP-poorten 1812 en 1645 voor verificatieberichten en UDP-poorten 1813 en 1646 voor boekhoudberichten. Het is raadzaam om dezelfde UDP-poorten op uw APs te gebruiken, maar als u een geldige reden hebt om verschillende poorten te gebruiken, moet u ervoor zorgen dat u niet alleen de APs met de nieuwe poortnummers configureert, maar ook al uw NPS's opnieuw configureert om dezelfde poortnummers als de APs te gebruiken. Als de APs en de NPS's niet zijn geconfigureerd met dezelfde UDP-poorten, kan NPS geen verbindingsaanvragen van de APs ontvangen of verwerken en mislukken alle pogingen tot draadloze verbindingen op het netwerk.
VSAs. Voor sommige draadloze toegangspunten zijn leverancierspecifieke kenmerken (VSA's) vereist om volledige draadloze toegangspuntfunctionaliteit te bieden. VSA's worden toegevoegd in NPS-netwerkbeleid.
DHCP-filtering. Configureer draadloze TOEGANGSPUNT's om te voorkomen dat draadloze clients IP-pakketten verzenden van UDP-poort 68 naar het netwerk, zoals beschreven door de fabrikant van de draadloze AP.
DNS-filtering. Configureer draadloze TOEGANGSPUNT's om te voorkomen dat draadloze clients IP-pakketten verzenden van TCP- of UDP-poort 53 naar het netwerk, zoals beschreven door de fabrikant van draadloze TOEGANGSPUNTen.
Beveiligingsgroepen maken voor draadloze gebruikers
Volg deze stappen om een of meer beveiligingsgroepen voor draadloze gebruikers te maken en vervolgens gebruikers toe te voegen aan de juiste beveiligingsgroep voor draadloze gebruikers:
Een beveiligingsgroep voor draadloze gebruikers maken
U kunt deze procedure gebruiken om een draadloze beveiligingsgroep te maken in de MMC-module (Active Directory Users and Computers Microsoft Management Console).
Lidmaatschap van domeinadministratoren of gelijkwaardig is de minimale vereiste om deze procedure uit te voeren.
Een beveiligingsgroep voor draadloze gebruikers maken
Klik op Start, klik op Systeembeheer en klik vervolgens op Active Directory: gebruikers en computers. De module Active Directory: gebruikers en computers wordt geopend. Als het nog niet is geselecteerd, klikt u op het knooppunt voor uw domein. Als uw domein bijvoorbeeld is example.com, klikt u op example.com.
Klik in het detailvenster met de rechtermuisknop op de map waarin u een nieuwe groep wilt toevoegen (bijvoorbeeld met de rechtermuisknop op Gebruikers), wijs Nieuw aan en klik op Groep.
Typ in Nieuw object – Groep, in groepsnaam, de naam van de nieuwe groep. Typ bijvoorbeeld Draadloze groep.
Selecteer in het groepsbereik een van de volgende opties:
Domein lokaal
Global
Universal
Selecteer Beveiliging in groepstype.
Klik op OK.
Als u meer dan één beveiligingsgroep nodig hebt voor draadloze gebruikers, herhaalt u deze stappen om extra groepen draadloze gebruikers te maken. Later kunt u afzonderlijke netwerkbeleidsregels in NPS maken om verschillende voorwaarden en beperkingen toe te passen op elke groep, zodat ze verschillende toegangsmachtigingen en connectiviteitsregels hebben.
Gebruikers toevoegen aan de beveiligingsgroep draadloze gebruikers
U kunt deze procedure gebruiken om een gebruiker, computer of groep toe te voegen aan uw draadloze beveiligingsgroep in de MMC-module (Active Directory: gebruikers en computers) van Microsoft Management Console.
Lidmaatschap van domeinadministratoren of gelijkwaardig is de minimale vereiste om deze procedure uit te voeren.
Gebruikers toevoegen aan de draadloze beveiligingsgroep
Klik op Start, klik op Systeembeheer en klik vervolgens op Active Directory: gebruikers en computers. De MMC Active Directory Gebruikers en computers wordt geopend. Als het nog niet is geselecteerd, klikt u op het knooppunt voor uw domein. Als uw domein bijvoorbeeld is example.com, klikt u op example.com.
Dubbelklik in het detailvenster op de map die uw draadloze beveiligingsgroep bevat.
Klik in het detailvenster met de rechtermuisknop op de draadloze beveiligingsgroep en klik vervolgens op Eigenschappen. Het dialoogvenster Eigenschappen voor de beveiligingsgroep wordt geopend.
Klik op het tabblad Leden op Toevoegen en voer een van de volgende procedures uit om een computer toe te voegen of een gebruiker of groep toe te voegen.
Een gebruiker of groep toevoegen
Typ in Enter de objectnamen die u wilt selecteren, de naam van de gebruiker of groep die u wilt toevoegen en klik op OK.
Als u groepslidmaatschap wilt toewijzen aan andere gebruikers of groepen, herhaalt u stap 1 van deze procedure.
Een computer toevoegen
Klik op Objecttypen. Het dialoogvenster Objecttypen wordt geopend.
Selecteer Computers in Objecttypen en klik vervolgens op OK.
Typ in Enter de objectnamen die u wilt selecteren, typ de naam van de computer die u wilt toevoegen en klik op OK.
Als u groepslidmaatschap wilt toewijzen aan andere computers, herhaalt u stap 1-3 van deze procedure.
Beleid voor draadloos netwerk (IEEE 802.11) configureren
Volg deze stappen om de groepsbeleidsextensie Voor draadloze netwerken (IEEE 802.11) te configureren:
Een groepsbeleidsobject openen of toevoegen en vervolgens openen
Beleid voor standaard draadloos netwerk (IEEE 802.11) activeren
Een groepsbeleidsobject openen of toevoegen en openen
De functie Groepsbeleidsbeheer is standaard geïnstalleerd op computers met Windows Server 2016 wanneer de Active Directory Domain Services -serverfunctie (AD DS) is geïnstalleerd en de server is geconfigureerd als een domeincontroller. In de volgende procedure wordt beschreven hoe u de Console Groepsbeleidsbeheer (GPMC) opent op uw domeincontroller. In de procedure wordt vervolgens beschreven hoe u een bestaand groepsbeleidsobject (GPO) op domeinniveau opent voor bewerking of een nieuw groepsbeleidsobject voor een domein maakt en opent voor bewerking.
Lidmaatschap van domeinadministratoren of gelijkwaardig is de minimale vereiste om deze procedure uit te voeren.
Een groepsbeleidsobject openen of toevoegen en vervolgens openen
Klik op de domeincontroller op Start, klik op Windows Systeembeheer en klik vervolgens op Groepsbeleidsbeheer. De console Groepsbeleidsbeheer wordt geopend.
Dubbelklik op het forest in het linkerdeelvenster. Dubbelklik bijvoorbeeld op Forest: example.com.
Dubbelklik in het linkerdeelvenster op Domeinen en dubbelklik vervolgens op het domein waarvoor u een groepsbeleidsobject wilt beheren. Dubbelklik bijvoorbeeld op example.com.
Ga op een van de volgende manieren te werk:
Als u een bestaand groepsbeleidsobject op domeinniveau wilt openen voor bewerking, dubbelklikt u op het domein met het groepsbeleidsobject dat u wilt beheren, klikt u met de rechtermuisknop op het domeinbeleid dat u wilt beheren, zoals het standaarddomeinbeleid en klikt u vervolgens op Bewerken. Editor voor groepsbeleidsbeheer wordt geopend.
Als u een nieuw groepsbeleidsobject wilt maken en wilt openen voor bewerking, klikt u met de rechtermuisknop op het domein waarvoor u een nieuw groepsbeleidsobject wilt maken en klikt u vervolgens op Een groepsbeleidsobject maken in dit domein en koppelt u het hier.
Typ in Nieuw groepsbeleidsobject in Naam een naam voor het nieuwe groepsbeleidsobject en klik vervolgens op OK.
Klik met de rechtermuisknop op het nieuwe groepsbeleidsobject en klik vervolgens op Bewerken. Editor voor groepsbeleidsbeheer wordt geopend.
In de volgende sectie gebruikt u de Editor voor groepsbeleidsbeheer om draadloos beleid te maken.
Beleid voor standaard draadloos netwerk (IEEE 802.11) activeren
In deze procedure wordt beschreven hoe u het standaardbeleid voor draadloze netwerken (IEEE 802.11) activeert met behulp van de Groepsbeleidsbeheer-editor (GPME).
Note
Nadat u de versie windows Vista en latere versies van het draadloze netwerk (IEEE 802.11) beleid of de Windows XP-versie hebt geactiveerd, wordt de versieoptie automatisch verwijderd uit de lijst met opties wanneer u met de rechtermuisknop op Wireless Network (IEEE 802.11) Beleid. Dit gebeurt omdat het beleid wordt toegevoegd aan het detailvenster van de GPME nadat u een beleidsversie hebt geselecteerd wanneer u het knooppunt Beleid voor draadloos netwerk (IEEE 802.11) selecteert. Deze status blijft behouden, tenzij u het draadloze netwerkbeleid verwijdert, op welk moment de versie van het draadloze netwerkbeleid terugkeert naar het contextmenu voor Draadloze Netwerken (IEEE 802.11) Beleid in de GPME. Daarnaast worden de draadloze beleidsregels alleen weergegeven in het deelvenster met gpme-details wanneer het knooppunt Draadloos netwerk (IEEE 802.11) beleid is geselecteerd.
Lidmaatschap van domeinadministratoren of gelijkwaardig is de minimale vereiste om deze procedure uit te voeren.
Standaardbeleid voor draadloos netwerk (IEEE 802.11) activeren
Volg de vorige procedure en gebruik een groepsbeleidsobject openen of toevoegen en openen om de GPME te openen.
In de Group Policy Management Editor, in het linkerdeelvenster, dubbelklik op Computerconfiguratie, dubbelklik op Beleid, dubbelklik op Windows-instellingen en dubbelklik vervolgens op Beveiligingsinstellingen.
- Klik in Beveiligingsinstellingen met de rechtermuisknop op Het beleid voor draadloze netwerken (IEEE 802.11) en klik vervolgens op Een nieuw draadloos beleid maken voor Windows Vista en latere versies.
- Het dialoogvenster Eigenschappen van het nieuwe draadloze netwerkbeleid wordt geopend. Typ in Beleidsnaam een nieuwe naam voor het beleid of behoud de standaardnaam. Klik op OK om het beleid op te slaan. Het standaardbeleid wordt geactiveerd en vermeld in het detailvenster van de Groepsbeleid Object Editor met de nieuwe naam die u hebt opgegeven of met de standaardnaam Nieuw draadloos netwerkbeleid.
- Dubbelklik in het detailvenster op Nieuw beleid voor draadloze netwerken om het te openen.
In de volgende sectie kunt u beleidsconfiguratie, voorkeursvolgorde voor beleidsverwerking en netwerkmachtigingen uitvoeren.
Het nieuwe beleid voor draadloze netwerken configureren
U kunt de procedures in deze sectie gebruiken om het beleid voor draadloze netwerken (IEEE 802.11) te configureren. Met dit beleid kunt u beveiligings- en verificatie-instellingen configureren, draadloze profielen beheren en machtigingen opgeven voor draadloze netwerken die niet zijn geconfigureerd als voorkeursnetwerken.
Een profiel voor draadloze verbindingen configureren voor PEAP-MS-CHAP v2
De voorkeursvolgorde instellen voor profielen voor draadloze verbindingen
Een profiel voor draadloze verbindingen configureren voor PEAP-MS-CHAP v2
Deze procedure bevat de stappen die nodig zijn voor het configureren van een PEAP-MS-CHAP v2-draadloos profiel.
Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
Een profiel voor draadloze verbindingen configureren voor PEAP-MS-CHAP v2
Typ in gpme in het dialoogvenster eigenschappen van het draadloze netwerk voor het beleid dat u zojuist hebt gemaakt, op het tabblad Algemeen en in Beschrijving een korte beschrijving voor het beleid.
Als u wilt opgeven dat WLAN AutoConfig wordt gebruikt om instellingen voor draadloze netwerkadapters te configureren, zorg er dan voor dat Windows WLAN AutoConfig-service voor clients is geselecteerd.
Klik in Verbinding maken met beschikbare netwerken in de volgorde van de onderstaande profielen op Toevoegen en selecteer vervolgens Infrastructuur. Het dialoogvenster Nieuwe profieleigenschappen wordt geopend.
Typ in het dialoogvensterNieuwe profieleigenschappen op het tabblad Verbinding in het veld Profielnaam een nieuwe naam voor het profiel. Typ bijvoorbeeld Example.com WLAN-profiel voor Windows 10.
Typ in netwerknaam(en) (SSID) de SSID die overeenkomt met de SSID die is geconfigureerd op uw draadloze TOEGANGSPUNT's en klik vervolgens op Toevoegen.
Als uw implementatie gebruikmaakt van meerdere SSID's en elke draadloze AP dezelfde draadloze beveiligingsinstellingen gebruikt, herhaalt u deze stap om de SSID toe te voegen voor elke draadloze AP waarop u dit profiel wilt toepassen.
Als uw implementatie meerdere SSID's gebruikt en de beveiligingsinstellingen voor elke SSID niet overeenkomen, configureert u een afzonderlijk profiel voor elke groep SSID's die dezelfde beveiligingsinstellingen gebruiken. Als u bijvoorbeeld één groep draadloze TOEGANGSPUNT's hebt geconfigureerd voor het gebruik van WPA2-Enterprise en AES, en een andere groep draadloze TOEGANGSPUNT's voor het gebruik van WPA-Enterprise en TKIP, configureert u een profiel voor elke groep draadloze TOEGANGSPUNT's.
Als de standaardtekst NEWSSID aanwezig is, selecteert u deze en klikt u op Verwijderen.
Als u draadloze toegangspunten hebt geïmplementeerd die zijn geconfigureerd om de broadcast-beacon te onderdrukken, selecteert u Verbinding maken, zelfs als het netwerk niet uitzendt.
Note
Als u deze optie inschakelt, kan dit een beveiligingsrisico vormen, omdat draadloze clients verbindingen met elk draadloos netwerk zullen onderzoeken en proberen. Deze instelling is standaard niet ingeschakeld.
Klik op het tabblad Beveiliging , klik op Geavanceerd en configureer het volgende:
Als u geavanceerde 802.1X-instellingen wilt configureren, selecteert u geavanceerde 802.1X-instellingen afdwingen in IEEE 802.1X.
Wanneer de geavanceerde 802.1X-instellingen worden afgedwongen, zijn de standaardwaarden voor Max Eapol-Start Msgs, Held Period, Start Period en Auth Period voldoende voor typische draadloze implementaties. Daarom hoeft u de standaardinstellingen niet te wijzigen, tenzij u hiervoor een specifieke reden hebt.
Als u Eenmalige aanmelding wilt inschakelen, selecteert u Eenmalige aanmelding inschakelen voor dit netwerk.
De resterende standaardwaarden in Eenmalige aanmelding zijn voldoende voor typische draadloze implementaties.
Als in Fast Roaming uw draadloze AP is geconfigureerd voor pre-verificatie, selecteert u Dit netwerk maakt gebruik van pre-verificatie.
Als u wilt opgeven dat draadloze communicatie voldoet aan FIPS 140-2-standaarden, selecteert u Cryptografie uitvoeren in de gecertificeerde FIPS 140-2-modus.
Klik op OK om terug te keren naar het tabblad Beveiliging. Selecteer in Verificatie de beveiligingsmethoden voor dit netwerk en selecteer WPA2-Enterprise als deze wordt ondersteund door uw draadloze AP en draadloze clientnetwerkadapters. Selecteer anders WPA-Enterprise.
Indien encryption wordt ondersteund door uw draadloze AP- en draadloze clientnetwerkadapters, selecteert u AES-CCMP. Als u toegangspunten en draadloze netwerkadapters gebruikt die ondersteuning bieden voor 802.11ac, selecteert u AES-GCMP. Anders, selecteer TKIP.
Note
De instellingen voor zowel verificatie als versleuteling moeten overeenkomen met de instellingen die zijn geconfigureerd op uw draadloze TOEGANGSPUNT's. De standaardinstellingen voor de verificatiemodus, maximale verificatiefouten en cachegebruikersgegevens voor volgende verbindingen met dit netwerk zijn voldoende voor typische draadloze implementaties.
Selecteer een netwerkverificatiemethode, selecteer Protected EAP (PEAP) en klik vervolgens op Eigenschappen. Het dialoogvenster Beveiligde EAP-eigenschappen wordt geopend.
Controleer in beveiligde EAP-eigenschappen of de identiteit van de server controleren door het certificaat te valideren is geselecteerd.
Selecteer in Vertrouwde basiscertificeringsinstanties de vertrouwde basiscertificeringsinstantie (CA) die het servercertificaat aan uw NPS heeft uitgegeven.
Note
Deze instelling beperkt de hoofd-CA's die clients vertrouwen tot de geselecteerde CA's. Als er geen vertrouwde basis-CA's zijn geselecteerd, vertrouwen clients alle basiscertificeringsinstanties die worden vermeld in het certificaatarchief van de vertrouwde basiscertificeringsinstanties.
Selecteer in de lijst Authenticatiemethode de optie Beveiligd wachtwoord (EAP-MS-CHAP v2).
Klik op configureren. Controleer in het dialoogvenster EAP MSCHAPv2-eigenschappen of Automatisch mijn Windows-aanmeldingsnaam en -wachtwoord (en domein indien aanwezig) worden gebruikt en klik op OK.
Als u PEAP Fast Reconnect wilt inschakelen, moet u ervoor zorgen dat Snel opnieuw verbinding maken is geselecteerd.
Als u server cryptobinding TLV wilt vereisen bij verbindingspogingen, selecteert u Verbinding verbreken als de server geen cryptobinding TLV presenteert.
Als u wilt opgeven dat de gebruikersidentiteit in fase één van de verificatie wordt gemaskeerd, selecteert u Identiteitsprivacy inschakelen en typt u een anonieme identiteitsnaam of laat u het tekstvak leeg.
[!NOTES]
- Het NPS-beleid voor 802.1X Wireless moet worden gemaakt met behulp van NPS Connection Request Policy. Als het NPS-beleid wordt gemaakt met behulp van NPS-netwerkbeleid, werkt identiteitsprivacy niet.
- EAP-identiteitsprivacy wordt verstrekt door bepaalde EAP-methoden waarbij een lege of anonieme identiteit (anders dan de werkelijke identiteit) wordt verzonden als reactie op de EAP-identiteitsaanvraag. PEAP verzendt de identiteit twee keer tijdens de verificatie. In de eerste fase wordt de identiteit in tekst zonder opmaak verzonden en deze identiteit wordt gebruikt voor routeringsdoeleinden, niet voor clientverificatie. De echte identiteit, die wordt gebruikt voor verificatie, wordt verzonden tijdens de tweede fase van de verificatie, binnen de beveiligde tunnel die in de eerste fase is vastgesteld. Als het selectievakje Identiteitsprivacy inschakelen is ingeschakeld, wordt de gebruikersnaam vervangen door de vermelding die is opgegeven in het tekstvak. Stel dat Identiteitsprivacy inschakelen is geselecteerd en dat de identiteitsprivacyalias anoniem is opgegeven in het tekstvak. Voor een gebruiker met een echte identiteitsalias jdoe@example.comwordt de identiteit die in de eerste fase van de verificatie wordt verzonden, gewijzigd in anonymous@example.com. Het realmgedeelte van de eerste fase-identiteit wordt niet gewijzigd omdat deze wordt gebruikt voor routeringsdoeleinden.
Klik op OK om het dialoogvenster Beveiligde EAP-eigenschappen te sluiten.
Klik op OK om het tabblad Beveiliging te sluiten.
Als u extra profielen wilt maken, klikt u op Toevoegen en herhaalt u de vorige stappen, waarbij u verschillende keuzes maakt om elk profiel aan te passen voor de draadloze clients en het netwerk waarop u het profiel wilt toepassen. Wanneer u klaar bent met het toevoegen van profielen, klikt u op OK om het dialoogvenster Eigenschappen van het draadloze netwerkbeleid te sluiten.
In de volgende sectie kunt u de beleidsprofielen voor optimale beveiliging bestellen.
De voorkeursvolgorde instellen voor profielen voor draadloze verbindingen
U kunt deze procedure gebruiken als u meerdere draadloze profielen hebt gemaakt in uw beleid voor draadloze netwerken en u de profielen wilt bestellen voor optimale effectiviteit en beveiliging.
Om ervoor te zorgen dat draadloze clients verbinding maken met het hoogste beveiligingsniveau dat ze kunnen ondersteunen, plaatst u uw meest beperkende beleid bovenaan de lijst.
Als u bijvoorbeeld twee profielen hebt, één voor clients die WPA2 ondersteunen en één voor clients die WPA ondersteunen, plaatst u het WPA2-profiel hoger in de lijst. Dit zorgt ervoor dat de clients die WPA2 ondersteunen, deze methode gebruiken voor de verbinding in plaats van de minder veilige WPA.
Deze procedure bevat de stappen voor het opgeven van de volgorde waarin profielen voor draadloze verbindingen worden gebruikt om draadloze domeinlidclients te verbinden met draadloze netwerken.
Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
De voorkeursvolgorde voor profielen voor draadloze verbindingen instellen
Klik in gpme in het dialoogvenster eigenschappen van het draadloze netwerk voor het beleid dat u zojuist hebt geconfigureerd, op het tabblad Algemeen .
Selecteer op het tabblad Algemeen , in Verbinding maken met beschikbare netwerken in de volgorde van de onderstaande profielen, het profiel dat u in de lijst wilt verplaatsen en klik vervolgens op de knop Pijl-omhoog of Pijl-omlaag om het profiel naar de gewenste locatie in de lijst te verplaatsen.
Herhaal stap 2 voor elk profiel dat u in de lijst wilt verplaatsen.
Klik op OK om alle wijzigingen op te slaan.
In de volgende sectie kunt u netwerkmachtigingen voor het draadloze beleid definiëren.
Netwerkmachtigingen definiëren
U kunt instellingen configureren op het tabblad Netwerkmachtigingen voor de domeinleden waarop beleid voor draadloze netwerken (IEEE 802.11) van toepassing is.
U kunt alleen de volgende instellingen toepassen voor draadloze netwerken die niet zijn geconfigureerd op het tabblad Algemeen op de pagina Eigenschappen van het draadloze netwerkbeleid :
Verbindingen met specifieke draadloze netwerken die u opgeeft op basis van netwerktype en SSID (Service Set Identifier) toestaan of weigeren
Verbindingen met ad-hocnetwerken toestaan of weigeren
Verbindingen met infrastructuurnetwerken toestaan of weigeren
Gebruikers toestaan of weigeren om netwerktypen (ad-hoc of infrastructuur) weer te geven waartoe ze geen toegang hebben
Gebruikers toestaan of weigeren een profiel te maken dat van toepassing is op alle gebruikers
Gebruikers kunnen alleen verbinding maken met toegestane netwerken met behulp van groepsbeleidsprofielen
Lidmaatschap van domeinadministratoren of gelijkwaardig is de minimale vereiste om deze procedures te voltooien.
Verbindingen met specifieke draadloze netwerken toestaan of weigeren
Klik in gpme in het dialoogvenster eigenschappen van het draadloze netwerk op het tabblad Netwerkmachtigingen .
Klik op het tabblad Netwerkmachtigingen op Toevoegen. Het dialoogvenster Nieuwe machtigingsvermelding wordt geopend.
Typ in het dialoogvenster Nieuwe machtigingsvermelding in het veld Netwerknaam (SSID) de netwerk-SSID van het netwerk waarvoor u machtigingen wilt definiëren.
Selecteer infrastructuur of ad-hoc in netwerktype.
Note
Als u niet zeker weet of het uitzendnetwerk een infrastructuur of ad-hocnetwerk is, kunt u twee vermeldingen voor netwerkmachtigingen configureren, één voor elk netwerktype.
Selecteer In Machtigingde optie Toestaan of Weigeren.
Klik op OK om terug te keren naar het tabblad Netwerkmachtigingen .
Aanvullende netwerkmachtigingen opgeven (optioneel)
Configureer op het tabblad Netwerkmachtigingen een of meer van de volgende opties:
Als u de toegang van uw domeinleden tot ad-hocnetwerken wilt weigeren, selecteert u Verbindingen met ad-hocnetwerken voorkomen.
Als u de toegang van uw domeinleden tot infrastructuurnetwerken wilt weigeren, selecteert u Verbindingen met infrastructuurnetwerken voorkomen.
Als u wilt dat uw domeinleden netwerktypen (ad-hoc of infrastructuur) kunnen weergeven waartoe ze geen toegang hebben, selecteert u Gebruiker toestaan om geweigerde netwerken weer te geven.
Als u wilt toestaan dat gebruikers profielen maken die van toepassing zijn op alle gebruikers, selecteert u Iedereen toestaan om alle gebruikersprofielen te maken.
Als u wilt opgeven dat uw gebruikers alleen verbinding kunnen maken met toegestane netwerken met behulp van groepsbeleidsprofielen, selecteert u Alleen groepsbeleidsprofielen gebruiken voor toegestane netwerken.
Configureer uw NPS'en
Volg deze stappen om NPS's te configureren voor het uitvoeren van 802.1X-verificatie voor draadloze toegang:
NPS registreren in Active Directory Domain Services
U kunt deze procedure gebruiken om een server met NPS (Network Policy Server) te registreren in Active Directory Domain Services (AD DS) in het domein waar de NPS lid is. Om NPS's toestemming te geven voor het lezen van de inbelfunctie-eigenschappen van gebruikersaccounts tijdens het autorisatieproces, moet elke NPS worden geregistreerd in AD DS. Als u een NPS registreert, wordt de server toegevoegd aan de beveiligingsgroep RAS- en IAS-servers in AD DS.
Note
U kunt NPS installeren op een domeincontroller of op een toegewezen server. Voer de volgende Windows PowerShell-opdracht uit om NPS te installeren als u dit nog niet hebt gedaan:
Install-WindowsFeature NPAS -IncludeManagementTools
Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
Een NPS registreren in het standaarddomein
Klik op uw NPS in Serverbeheer, op Extra en klik vervolgens op Netwerkbeleidsserver. De NPS-module wordt geopend.
Klik met de rechtermuisknop op NPS (lokaal) en klik vervolgens op Server registreren in Active Directory. Het dialoogvenster Network Policy Server wordt geopend.
Klik in Network Policy Server op OK en klik nogmaals op OK .
Een draadloze AP configureren als NPS RADIUS-client
U kunt deze procedure gebruiken om een AP, ook wel een NAS (Network Access Server) genoemd, te configureren als een RADIUS-client (Remote Authentication Dial-In User Service) met behulp van de NPS-module.
Important
Clientcomputers, zoals draadloze draagbare computers en andere computers waarop clientbesturingssystemen worden uitgevoerd, zijn geen RADIUS-clients. RADIUS-clients zijn netwerktoegangsservers, zoals draadloze toegangspunten, 802.1X-compatibele switches, VPN-servers (virtual private network) en inbelservers, omdat ze gebruikmaken van het RADIUS-protocol om te communiceren met RADIUS-servers zoals NPS's.
Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
Een netwerktoegangsserver toevoegen als een RADIUS-client in NPS
Klik op uw NPS in Serverbeheer, op Extra en klik vervolgens op Netwerkbeleidsserver. De NPS-module wordt geopend.
Dubbelklik in de NPS-snap-in op RADIUS-clients en -servers. Klik met de rechtermuisknop op RADIUS-clients en klik vervolgens op Nieuw.
Controleer in de nieuwe RADIUS-client of het selectievakje Deze RADIUS-client inschakelen is ingeschakeld.
In Nieuwe RADIUS-client, in vriendelijke naam, typt u een weergavenaam voor het draadloze toegangspunt.
Als u bijvoorbeeld een draadloos toegangspunt (AP) met de naam AP-01 wilt toevoegen, typt u AP-01.
Typ in adres (IP of DNS) het IP-adres of de FQDN (Fully Qualified Domain Name) voor de NAS.
Als u de FQDN invoert, controleer dan of de naam juist is en koppel deze aan een geldig IP-adres, klik op Verifiëren en klik vervolgens in Adres verifiëren in het Adres veld op Oplossen. Als de FQDN-naam wordt toegewezen aan een geldig IP-adres, wordt het IP-adres van die NAS automatisch weergegeven in het IP-adres. Als de FQDN niet wordt omgezet in een IP-adres, ontvangt u een bericht dat aangeeft dat er geen dergelijke host bekend is. Als dit het geval is, controleert u of u de juiste AP-naam hebt en of de AP is ingeschakeld en is verbonden met het netwerk.
Klik op OK om Adres verifiëren te sluiten.
Voer in de nieuwe RADIUS-client, in Gedeeld geheim, een van de volgende handelingen uit:
Als u handmatig een GEDEELD RADIUS-geheim wilt configureren, selecteert u Handmatig en typt u vervolgens in gedeeld geheim het sterke wachtwoord dat ook op de NAS is ingevoerd. Typ het gedeelde geheim opnieuw in Gedeeld geheim bevestigen.
Als u automatisch een gedeeld geheim wilt genereren, schakelt u het selectievakje Genereren in en klikt u vervolgens op de knop Genereren . Sla het gegenereerde gedeelde geheim op en gebruik deze waarde om de NAS te configureren, zodat deze kan communiceren met de NPS.
Important
Het gedeelde RADIUS-geheim dat u invoert voor uw virtuele AP's in NPS, moet exact overeenkomen met het gedeelde RADIUS-geheim dat is geconfigureerd op uw daadwerkelijke draadloze AP's. Als u de NPS-optie gebruikt om een gedeeld RADIUS-geheim te genereren, moet u de overeenkomende werkelijke draadloze AP configureren met het RADIUS-gedeelde geheim dat is gegenereerd door NPS.
Geef in New RADIUS Client, op het tabblad Geavanceerd , in leveranciernaam, de naam van de NAS-fabrikant op. Als u niet zeker weet van de naam van de NAS-fabrikant, selecteert u RADIUS-standaard.
Als u in aanvullende opties andere verificatiemethoden dan EAP en PEAP gebruikt en als uw NAS het gebruik van het kenmerk berichtverificator ondersteunt, selecteert u toegangsaanvraagberichten moeten het kenmerk Message-Authenticator bevatten.
Klik op OK. Uw NAS wordt weergegeven in de lijst met RADIUS-clients die zijn geconfigureerd op de NPS.
NPS-beleid maken voor 802.1X Draadloos met behulp van een wizard
U kunt deze procedure gebruiken om het verbindingsaanvraagbeleid en netwerkbeleid te maken dat is vereist voor het implementeren van 802.1X-compatibele draadloze toegangspunten als RADIUS-clients (Remote Authentication Dial-In User Service) op de RADIUS-server waarop NPS (Network Policy Server) wordt uitgevoerd. Nadat u de wizard hebt uitgevoerd, worden de volgende beleidsregels gemaakt:
Beleid voor één verbindingsaanvraag
Eén netwerkbeleid
Note
U kunt de wizard Nieuwe IEEE 802.1X-beveiligde bekabelde en draadloze verbindingen telkens uitvoeren wanneer u nieuwe beleidsregels moet maken voor geverifieerde 802.1X-toegang.
Lidmaatschap van Domeinadministrators, of gelijkwaardig, is de minimale vereiste om deze procedure te voltooien.
Beleid maken voor 802.1X geverifieerd draadloos met behulp van een wizard
Open de NPS-module. Als deze nog niet is geselecteerd, klikt u op
NPS (Lokaal).< /a0> Als u de NPS MMC-module uitvoert en beleidsregels wilt maken op een externe NPS, kies dan de server.Selecteer in Aan de slag, in De standaardconfiguratie, RADIUS-server voor draadloze of bekabelde verbindingen van 802.1X. De tekst en koppelingen onder de tekst worden aangepast aan uw selectie.
Klik op 802.1X configureren. De wizard 802.1X configureren wordt geopend.
Op de wizardpagina Selecteer 802.1X-verbindingstype, in Type 802.1X-verbindingen, selecteer Beveiligde draadloze verbindingen, en vul bij Naam een naam in voor uw beleid, of behoud de standaardnaam Beveiligde draadloze verbindingen. Klik op Volgende.
Op de wizardpagina 802.1X-switches opgeven, worden in RADIUS-clients alle 802.1X-switches en draadloze toegangspunten weergegeven, die U hebt toegevoegd als RADIUS-clients in de NPS-module. Doe een van de volgende:
Als u extra NETWERKtoegangsservers (NAS's) wilt toevoegen, zoals draadloze TOEGANGSPUNT's, klikt u in RADIUS-clients op Toevoegen en voert u vervolgens in de nieuwe RADIUS-client de gegevens in voor: Beschrijvende naam, Adres (IP of DNS) en Gedeeld geheim.
Als u de instellingen voor een NAS wilt wijzigen, selecteert u in RADIUS-clients de AP waarvoor u de instellingen wilt wijzigen en klikt u vervolgens op Bewerken. Wijzig de instellingen naar behoefte.
Als u een NAS uit de lijst wilt verwijderen, selecteert u in RADIUS-clients de NAS en klikt u op Verwijderen.
Warning
Als u een RADIUS-client verwijdert uit de wizard 802.1X configureren , wordt de client uit de NPS-configuratie verwijderd. Alle toevoegingen, wijzigingen en verwijderingen die u aanbrengt in de wizard 802.1X configureren voor RADIUS-clients worden weergegeven in de NPS-module, in het knooppunt RADIUS-clients onder NPS / RADIUS-clients en -servers. Als u bijvoorbeeld de wizard gebruikt om een 802.1X-switch te verwijderen, wordt de switch ook verwijderd uit de NPS-module.
Klik op Volgende. Selecteer op de pagina Wizard Verificatiemethode configureren in Type (op basis van de toegangsmethode en netwerkconfiguratie) de optie Microsoft: Beveiligde EAP (PEAP) en klik vervolgens op Configureren.
Tip
Als u een foutbericht ontvangt waarin wordt aangegeven dat een certificaat niet kan worden gevonden voor gebruik met de verificatiemethode en u Active Directory Certificate Services hebt geconfigureerd om automatisch certificaten te verlenen aan RAS- en IAS-servers in uw netwerk, moet u eerst de stappen voor het registreren van NPS in Active Directory Domain Services hebben gevolgd. Gebruik vervolgens de volgende stappen om groepsbeleid bij te werken: Klik op Start, klik op Windows-systeem, klik op Uitvoeren en typ gpupdate in Openen en druk vervolgens op Enter. Wanneer de opdracht resultaten retourneert die aangeven dat zowel gebruikers- als computergroepsbeleid zijn bijgewerkt, selecteert u Microsoft: Beveiligd EAP (PEAP) opnieuw en klikt u vervolgens op Configureren.
Als u na het vernieuwen van groepsbeleid het foutbericht blijft ontvangen dat een certificaat niet kan worden gevonden voor gebruik met de verificatiemethode, wordt het certificaat niet weergegeven omdat het niet voldoet aan de minimale vereisten voor servercertificaten, zoals beschreven in de handleiding basisnetwerkassistent: Servercertificaten implementeren voor bekabelde en draadloze implementaties van 802.1X. Als dit gebeurt, moet u de NPS-configuratie stoppen, het certificaat intrekken dat is uitgegeven aan uw NPS('s) en vervolgens de instructies volgen om een nieuw certificaat te configureren met behulp van de implementatiehandleiding voor servercertificaten.
Controleer op de wizard Beveiligde EAP-eigenschappen bewerken in Certificaat uitgegeven of het juiste NPS-certificaat is geselecteerd en ga als volgt te werk:
Note
Controleer of de waarde in Issuer juist is voor het certificaat dat is geselecteerd in Het certificaat dat is uitgegeven. De verwachte verlener voor een certificaat dat is uitgegeven door een CA met Active Directory Certificate Services (AD CS) met de naam corp\DC1, in het domein contoso.com, is bijvoorbeeld corp-DC1-CA.
Als u wilt dat gebruikers kunnen roamen met hun draadloze computers tussen toegangspunten zonder dat ze elke keer dat ze aan een nieuwe AP koppelen, opnieuw moeten verifiëren, selecteert u Fast Reconnect inschakelen.
Als u wilt opgeven dat het verbinden van draadloze clients het netwerkverificatieproces beëindigt als de RADIUS-server geen cryptobinding type-Length-Value (TLV) bevat, selecteert u Verbinding met clients verbreken zonder Cryptobinding.
Als u de beleidsinstellingen voor het EAP-type wilt wijzigen, klikt u in EAP-typen op Bewerken, in EAP MSCHAPv2-eigenschappen, wijzigt u de instellingen indien nodig en klikt u vervolgens op OK.
Klik op OK. Wanneer het dialoogvenster 'Beveiligde EAP-eigenschappen bewerken' wordt gesloten, keert u terug naar de 802.1X configureren wizard. Klik op Volgende.
Klik in Gebruikersgroepen opgeven op Toevoegen en typ vervolgens de naam van de beveiligingsgroep die u hebt geconfigureerd voor uw draadloze clients in de module Active Directory: gebruikers en computers. Als u bijvoorbeeld de naam draadloze beveiligingsgroep Wireless Group hebt genoemd, typt u Draadloze groep. Klik op Volgende.
Klik op Configureren om indien nodig RADIUS-standaardkenmerken en leverancierspecifieke kenmerken voor virtueel LAN (VLAN) te configureren en zoals opgegeven in de documentatie van de leverancier van de draadloze AP-hardware. Klik op Volgende.
Controleer de details van het configuratieoverzicht en klik vervolgens op Voltooien.
Uw NPS-beleid is nu gemaakt en u kunt doorgaan met het toevoegen van draadloze computers aan het domein.
Nieuwe draadloze computers toevoegen aan het domein
De eenvoudigste methode om nieuwe draadloze computers aan het domein toe te voegen, is de computer fysiek te koppelen aan een segment van het bekabelde LAN (een segment dat niet wordt beheerd door een 802.1X-switch) voordat de computer aan het domein wordt toegevoegd. Dit is het eenvoudigst omdat de instellingen voor het draadloze groepsbeleid automatisch en onmiddellijk worden toegepast en, als u uw eigen PKI hebt geïmplementeerd, de computer het CA-certificaat ontvangt en in het certificaatarchief vertrouwde basiscertificeringsinstanties plaatst, zodat de draadloze client NPS's kan vertrouwen met servercertificaten die zijn uitgegeven door uw CA.
Zodra een nieuwe draadloze computer is toegevoegd aan het domein, is de voorkeursmethode voor gebruikers om zich aan te melden bij het domein door gebruik te maken van een bekabelde verbinding met het netwerk.
Andere methoden voor domeindeelname
In gevallen waarin het niet praktisch is om computers aan het domein toe te voegen met behulp van een bekabelde Ethernet-verbinding of in gevallen waarin de gebruiker zich voor het eerst bij het domein kan aanmelden met behulp van een bekabelde verbinding, moet u een alternatieve methode gebruiken.
- Computerconfiguratie van het IT-personeel. Een lid van het IT-personeel voegt een draadloze computer toe aan het domein en configureert een bootstrap draadloos profiel voor eenmalige aanmelding. Met deze methode verbindt de IT-beheerder de draadloze computer met het bekabelde Ethernet-netwerk en koppelt de computer aan het domein. Vervolgens distribueert de beheerder de computer naar de gebruiker. Wanneer de gebruiker de computer start zonder een bekabelde verbinding te gebruiken, worden de domeinreferenties die ze handmatig opgeven voor de aanmelding van de gebruiker gebruikt om zowel een verbinding met het draadloze netwerk tot stand te brengen als om zich aan te melden bij het domein.
Zie voor meer informatie de sectie Deelnemen aan het domein en aanmelden met behulp van de configuratiemethode voor de IT-personeelscomputer
- Bootstrap draadloze profielconfiguratie door gebruikers. De gebruiker configureert de draadloze computer handmatig met een bootstrap draadloos profiel en voegt het domein toe op basis van instructies die zijn verkregen van een IT-beheerder. Met het bootstrap draadloze profiel kan de gebruiker een draadloze verbinding tot stand brengen en vervolgens lid worden van het domein. Nadat de computer is gekoppeld aan het domein en de computer opnieuw is opgestart, kan de gebruiker zich aanmelden bij het domein met behulp van een draadloze verbinding en hun domeinaccountreferenties.
Zie de sectie Lid worden van het domein en aanmelden met behulp van Bootstrap Wireless Profile Configuration by Users voor meer informatie.
Aan het domein deelnemen en aanmelden met behulp van de IT-personeelcomputerconfiguratiemethode
Domeinlidgebruikers met draadloze clientcomputers die lid zijn van een domein kunnen een tijdelijk draadloos profiel gebruiken om verbinding te maken met een 802.1X-geverifieerd draadloos netwerk zonder eerst verbinding te maken met het bekabelde LAN. Dit tijdelijke draadloze profiel wordt een bootstrap draadloos profiel genoemd.
Voor een bootstrap-draadloos profiel moet de gebruiker handmatig zijn domeingebruikersaccountgegevens invoeren en wordt het certificaat van de RADIUS-server (Remote Authentication Dial-In User Service) waarop de netwerkbeleidsserver (NPS) draait, niet gevalideerd.
Nadat de draadloze verbinding tot stand is gebracht, wordt groepsbeleid toegepast op de draadloze clientcomputer en wordt automatisch een nieuw draadloos profiel uitgegeven. Het nieuwe beleid maakt gebruik van de inloggegevens van de computer en het gebruikersaccount voor klantauthenticatie.
Daarnaast valideert de client, als onderdeel van de PEAP-MS-CHAP v2 wederzijdse verificatie met behulp van het nieuwe profiel in plaats van het bootstrap-profiel, de referenties van de RADIUS-server.
Nadat u de computer aan het domein hebt gekoppeld, gebruikt u deze procedure om een draadloos bootstrap-profiel voor eenmalige aanmelding te configureren voordat u de draadloze computer distribueert naar de domeinlidgebruiker.
Een draadloos bootstrap-profiel voor eenmalige aanmelding configureren
Maak een bootstrapprofiel met behulp van de procedure in deze handleiding met de naam Configure a Wireless Connection Profile for PEAP-MS-CHAP v2 en gebruik de volgende instellingen:
PEAP-MS-CHAP v2-authenticatie
RADIUS-servercertificaat valideren uitgeschakeld
Eenmalige aanmelding ingeschakeld
In de eigenschappen van het draadloze netwerkbeleid waarin u het nieuwe bootstrap-profiel hebt gemaakt, selecteert u op het tabblad Algemeen het bootstrap-profiel en klikt u vervolgens op Exporteren om het profiel te exporteren naar een netwerkshare, USB-flashstation of een andere gemakkelijk toegankelijke locatie. Het profiel wordt opgeslagen als een *.xml-bestand op de locatie die u opgeeft.
Voeg de nieuwe draadloze computer toe aan het domein (bijvoorbeeld via een Ethernet-verbinding waarvoor geen IEEE 802.1X-verificatie is vereist) en voeg het bootstrap draadloos profiel toe aan de computer met behulp van de netsh wlan profielopdracht toevoegen .
Note
Zie Netsh Commands for Wireless Local Area Network (WLAN) op http://technet.microsoft.com/library/dd744890.aspxvoor meer informatie.
Distribueer de nieuwe draadloze computer naar de gebruiker met de procedure om u aan te melden bij het domein met computers met Windows 10.
Wanneer de gebruiker de computer start, vraagt Windows de gebruiker om de naam en het wachtwoord van het domeingebruikersaccount in te voeren. Omdat eenmalige aanmelding is ingeschakeld, gebruikt de computer de referenties van het domeingebruikersaccount om eerst een verbinding met het draadloze netwerk tot stand te brengen en meld u vervolgens aan bij het domein.
Meld u aan bij het domein met computers met Windows 10
Meld u af bij de computer of start de computer opnieuw op.
Druk op een willekeurige toets op het toetsenbord of klik op het bureaublad. Het aanmeldingsscherm wordt weergegeven met de naam van een lokaal gebruikersaccount en een veld voor wachtwoordinvoer onder de naam. Meld u niet aan met het lokale gebruikersaccount.
Klik in de linkerbenedenhoek van het scherm op Andere gebruiker. Het inlogscherm voor andere gebruiker wordt weergegeven met twee velden, één voor gebruikersnaam en één voor wachtwoord. Onder het wachtwoordveld bevindt zich de tekst Aanmelden bij: en vervolgens de naam van het domein waaraan de computer is gekoppeld. Als uw domein bijvoorbeeld de naam example.com heeft, leest de tekst Sign on to: EXAMPLE.
Typ uw domeinnaam in Gebruikersnaam.
Typ uw domeinwachtwoord in wachtwoord en klik op de pijl of druk op Enter.
Note
Als het scherm Andere gebruiker de tekst Aanmelden bij: en uw domeinnaam niet bevat, moet u uw gebruikersnaam invoeren in het indelingsdomein\gebruiker. Als u zich bijvoorbeeld wilt aanmelden bij het domein example.com met een account met de naam User-01, typt u voorbeeld\User-01.
Toevoegen aan het domein en aanmelden met behulp van bootstrap draadloos profielconfiguratie door gebruikers
Met deze methode voltooit u de stappen in de sectie Algemene stappen en geeft u uw domeinlidgebruikers de instructies over het handmatig configureren van een draadloze computer met een bootstrap draadloos profiel. Met het bootstrap draadloze profiel kan de gebruiker een draadloze verbinding tot stand brengen en vervolgens lid worden van het domein. Nadat de computer is toegevoegd aan het domein en opnieuw is opgestart, kan de gebruiker zich via een draadloze verbinding aanmelden bij het domein.
Algemene stappen
Configureer een lokaal computerbeheerdersaccount in het Configuratiescherm voor de gebruiker.
Important
Als u een computer wilt toevoegen aan een domein, moet de gebruiker zijn aangemeld bij de computer met het lokale Administrator-account. Alternatief moet de gebruiker de referenties voor het lokale Administrator-account opgeven tijdens het proces van het toevoegen van de computer aan het domein. Bovendien moet de gebruiker een gebruikersaccount hebben in het domein waaraan de computer moet worden toegevoegd. Tijdens het proces van het toevoegen van de computer aan het domein, wordt de gebruiker gevraagd om domeinaccountreferenties (gebruikersnaam en wachtwoord).
Geef uw domeingebruikers de instructies voor het configureren van een bootstrap draadloos profiel, zoals beschreven in de volgende procedure Om een bootstrap draadloos profiel te configureren.
Geef gebruikers bovendien zowel de referenties van de lokale computer (gebruikersnaam en wachtwoord) als domeinreferenties (domeingebruikersaccountnaam en wachtwoord) op in het formulier DomainName\UserName, evenals de procedures voor het toevoegen van de computer aan het domein en het aanmelden bij het domein, zoals beschreven in de Windows Server 2016 Core-netwerkhandleiding.
Een bootstrap draadloos profiel configureren
Gebruik de referenties van uw netwerkbeheerder of IT-ondersteuningsmedewerker om u aan te melden bij de computer met het beheerdersaccount van de lokale computer.
Klik met de rechtermuisknop op het netwerkpictogram op het bureaublad en klik op Netwerkcentrum openen. Netwerkcentrum wordt geopend. Klik in De netwerkinstellingen wijzigen op Een nieuwe verbinding of een nieuw netwerk instellen. Het dialoogvenster Verbinding of Netwerk instellen wordt geopend.
Klik op Handmatig verbinding maken met een draadloos netwerk en klik vervolgens op Volgende.
In Handmatig verbinding maken met een draadloos netwerk, in Netwerknaam, typ de SSID-naam van het AP.
Selecteer bij Beveiligingstype de instelling van uw beheerder.
Selecteer of typ de instellingen van uw beheerder in het versleutelingstype en de beveiligingssleutel.
Selecteer Deze verbinding automatisch starten en klik vervolgens op Volgende.
In Succesvol toegevoegdUw netwerk-SSID, klik op Verbindingsinstellingen wijzigen.
Klik op Verbindingsinstellingen wijzigen. Het dialoogvenster van de eigenschap Your Network SSID Wireless Network wordt geopend.
Klik op het tabblad Beveiliging en selecteer vervolgens in Choose a network authentication method de optie Protected EAP (PEAP).
Klik op Instellingen. De pagina Beveiligde EAP-eigenschappen (PEAP) wordt geopend.
Controleer op de pagina Beveiligde EAP-eigenschappen (PEAP) of Servercertificaat valideren niet is geselecteerd, klik tweemaal op OK en klik vervolgens op Sluiten.
Windows probeert vervolgens verbinding te maken met het draadloze netwerk. De instellingen van het bootstrap-draadloze profiel geven aan dat u uw domeinreferenties moet opgeven. Wanneer u in Windows wordt gevraagd om een accountnaam en wachtwoord, typt u de referenties van uw domeinaccount als volgt: Domeinnaam\Gebruikersnaam, domeinwachtwoord.
Een computer toevoegen aan het domein
Meld u aan bij de computer met het lokale beheerdersaccount.
Typ PowerShell in het zoektekstvak. Klik in de zoekresultaten met de rechtermuisknop op Windows PowerShell en klik vervolgens op Uitvoeren als administrator. Windows PowerShell wordt geopend met een prompt met verhoogde bevoegdheid.
Typ in Windows PowerShell de volgende opdracht en druk op Enter. Zorg ervoor dat u de variabele DomainName vervangt door de naam van het domein dat u wilt toevoegen.
Add-Computer DomainName
Wanneer u hierom wordt gevraagd, typt u de gebruikersnaam en het wachtwoord van uw domein en klikt u op OK.
Start de computer opnieuw op.
Volg de instructies in de vorige sectie Meld u aan bij het domein met computers met Windows 10.