Udostępnij przez

Wdrażanie dostępu bezprzewodowego

Wykonaj następujące kroki, aby wdrożyć dostęp bezprzewodowy:

Wdrażanie i konfigurowanie punktów dostępu bezprzewodowego

Wykonaj następujące kroki, aby wdrożyć i skonfigurować te bezprzewodowe punkty dostępowe:

Note

Procedury opisane w tym przewodniku nie zawierają instrukcji dotyczących przypadków, w których zostanie otwarte okno dialogowe Kontrola konta użytkownika w celu zażądania uprawnień do kontynuowania. Jeśli to okno dialogowe zostanie otwarte podczas wykonywania procedur w tym przewodniku, a jeśli okno dialogowe zostało otwarte w odpowiedzi na akcje, kliknij przycisk Kontynuuj.

Określanie częstotliwości kanału AP bezprzewodowej

W przypadku wdrażania wielu bezprzewodowych punktów dostępowych na jednej lokacji geograficznej należy skonfigurować bezprzewodowe punkty dostępowe, które mają nakładające się sygnały, aby używać unikatowych częstotliwości kanałów w celu zmniejszenia interferencji między punktami dostępowymi.

Możesz użyć poniższych wskazówek, aby pomóc w wyborze częstotliwości kanałów, które nie powodują konfliktu z innymi sieciami bezprzewodowymi w lokalizacji geograficznej sieci bezprzewodowej.

  • Jeśli istnieją inne organizacje, które mają biura w bliskiej odległości lub w tym samym budynku co organizacja, określ, czy istnieją jakiekolwiek sieci bezprzewodowe należące do tych organizacji. Zapoznaj się zarówno z rozmieszczeniem, jak i przypisanymi częstotliwościami kanałów ich bezprzewodowych punktów dostępu, ponieważ musisz przypisać różne częstotliwości kanałów do swoich punktów dostępu oraz określić najlepszą lokalizację do ich instalacji.

  • Zidentyfikuj nakładające się sygnały bezprzewodowe na sąsiednich piętrach we własnej organizacji. Po zidentyfikowaniu nakładających się obszarów pokrycia poza organizacją i w organizacji przypisz częstotliwości kanałów dla punktów dostępu bezprzewodowego (AP), upewniając się, że jakiekolwiek dwa punkty dostępu bezprzewodowego z nakładającymi się obszarami pokrycia są przypisane różne częstotliwości kanałów.

Konfigurowanie punktów dostępu bezprzewodowego

Skorzystaj z poniższych informacji wraz z dokumentacją produktu dostarczoną przez producenta bezprzewodowego punktu dostępowego, aby skonfigurować bezprzewodowe punkty dostępowe.

Ta procedura wylicza elementy często skonfigurowane na bezprzewodowej AP. Nazwy elementów mogą się różnić w zależności od marki i modelu i mogą się różnić od tych na poniższej liście. Aby uzyskać szczegółowe informacje, zobacz dokumentację punktu dostępu bezprzewodowego.

Aby skonfigurować Twoje bezprzewodowe punkty dostępowe (AP-ów)

  • SSID. Określ nazwę sieci bezprzewodowych (na przykład ExampleWLAN). Jest to nazwa, która jest udostępniana klientom bezprzewodowym.

  • Encryption. Określ WPA2-Enterprise (preferowane) lub WPA-Enterprise oraz szyfrowanie AES (preferowane) lub TKIP, w zależności od wersji obsługiwanych przez karty sieciowe komputera klienckiego bezprzewodowego.

  • Bezprzewodowy adres IP AP (statyczny). W każdym AP skonfiguruj unikatowy statyczny adres IP, który mieści się w zakresie wykluczeń zakresu DHCP dla podsieci. Użycie adresu wykluczonego z przypisania przez protokół DHCP uniemożliwia serwerowi DHCP przypisanie tego samego adresu IP do komputera lub innego urządzenia.

  • Maska podsieci. Skonfiguruj tę opcję tak, aby odpowiadała ustawieniu maski podsieci sieci LAN, z którą połączono punkt dostępu bezprzewodowego.

  • Nazwa DNS. Niektóre bezprzewodowe punkty dostępu można skonfigurować z nazwą DNS. Usługa DNS w sieci może przetwarzać nazwy DNS na adres IP. Na każdym bezprzewodowym AP, który obsługuje tę funkcję, wprowadź unikatową nazwę do rozpoznawania w DNS.

  • Usługa DHCP. Jeśli bezprzewodowy ap ma wbudowaną usługę DHCP, wyłącz ją.

  • Tajne hasło współdzielone RADIUS. Użyj unikatowego klucza tajnego współużytkowanego usługi RADIUS dla każdego bezprzewodowego punktu dostępowego, chyba że planujesz skonfigurować punkty dostępowe jako klientów RADIUS na serwerze NPS według grupy. Jeśli planujesz skonfigurować punkty dostępowe według grupy w usłudze NPS, wspólny sekret musi być taki sam dla każdego członka grupy. Ponadto każdy wspólny wpis tajny powinien być losową sekwencją co najmniej 22 znaków, która miesza wielkie i małe litery, cyfry i znaki interpunkcyjne. Aby zapewnić losowość, możesz użyć generatora znaków losowych, takiego jak generator losowych znaków znaleziony w kreatorze NPS Configure 802.1X, aby utworzyć tajne klucze współdzielone.

Tip

Zarejestruj wspólny klucz tajny dla każdego bezprzewodowego ap i zapisz go w bezpiecznej lokalizacji, na przykład w bezpiecznym biurze. Podczas konfigurowania klientów RADIUS w NPS-ie należy znać wspólny klucz tajny dla każdego bezprzewodowego punktu dostępu.

  • Adres IP serwera RADIUS. Wpisz adres IP serwera, na którym działa NPS.

  • Porty UDP. Domyślnie serwer NPS używa portów UDP 1812 i 1645 do obsługi komunikatów uwierzytelniania i portów UDP 1813 i 1646 na potrzeby komunikatów księgowych. Zaleca się używanie tych samych portów UDP w punktach dostępowych AP, ale jeśli masz uzasadniony powód do korzystania z różnych portów, upewnij się, że nie tylko skonfigurujesz punkty dostępowe AP z użyciem nowych numerów portów, ale także ponownie skonfigurujesz wszystkie serwery NPS tak, aby używały tych samych numerów portów co punkty dostępowe AP. Jeśli punkty dostępu i serwery zasad sieciowych nie są skonfigurowane z tymi samymi portami UDP, serwer zasad sieciowych nie może odbierać ani przetwarzać żądań połączenia od punktów dostępu, a wszystkie próby połączenia bezprzewodowego w sieci zostaną zakończone niepowodzeniem.

  • VSAs. Niektóre bezprzewodowe punkty dostępowe (AP) wymagają atrybutów specyficznych dla dostawcy (VSA) w celu zapewnienia pełnej funkcjonalności bezprzewodowego punktu dostępowego. VSA są dodawane w zasadach sieciowych NPS.

  • Filtrowanie DHCP. Skonfiguruj bezprzewodowe punkty dostępu (AP), aby zablokować klientom bezprzewodowym wysyłanie pakietów IP z portu UDP 68 do sieci, zgodnie z dokumentacją producenta punktów dostępu bezprzewodowego.

  • Filtrowanie DNS. Skonfiguruj punkty dostępowe bezprzewodowe, aby zablokować klientom bezprzewodowym wysyłanie pakietów IP z portu TCP lub UDP 53 do sieci, zgodnie z dokumentacją producenta punktów dostępowych.

Tworzenie grup zabezpieczeń dla użytkowników sieci bezprzewodowej

Wykonaj następujące kroki, aby utworzyć co najmniej jedną grupę zabezpieczeń użytkowników sieci bezprzewodowej, a następnie dodać użytkowników do odpowiedniej grupy zabezpieczeń użytkowników bezprzewodowych:

Utwórz grupę zabezpieczeń użytkowników bezprzewodowych

Tej procedury można użyć do utworzenia grupy zabezpieczeń sieci bezprzewodowej w przystawce Użytkownicy i komputery usługi Active Directory Microsoft Management Console (MMC).

Członkostwo w grupie Administratorzy domeny lub równoważnej jest minimalnym wymaganiem do wykonania tej procedury.

Aby utworzyć grupę zabezpieczeń użytkowników bezprzewodowych

  1. Kliknij przycisk Start, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory. Zostanie otwarta przystawka Użytkownicy i komputery usługi Active Directory. Jeśli jeszcze nie jest wybrany, kliknij węzeł dla swojej domeny. Jeśli na przykład Twoja domena to example.com, kliknij example.com.

  2. W okienku szczegółów kliknij prawym przyciskiem myszy folder, w którym chcesz dodać nową grupę (na przykład kliknij prawym przyciskiem myszy pozycję Użytkownicy), wskaż polecenie Nowy, a następnie kliknij polecenie Grupa.

  3. W obszarze Nowy obiekt — grupa w polu Nazwa grupy wpisz nazwę nowej grupy. Na przykład wpisz Grupę bezprzewodową.

  4. W polu Zakres grupy, wybierz jedną z następujących opcji:

    • Domena lokalna

    • Global

    • Universal

  5. W obszarze Typ grupy wybierz pozycję Zabezpieczenia.

  6. Kliknij przycisk OK.

Jeśli potrzebujesz więcej niż jednej grupy zabezpieczeń dla użytkowników bezprzewodowych, powtórz te kroki, aby utworzyć dodatkowe grupy użytkowników bezprzewodowych. Później można utworzyć poszczególne zasady sieciowe w usłudze NPS, aby zastosować różne warunki i ograniczenia do każdej grupy, zapewniając im różne uprawnienia dostępu i reguły łączności.

Dodaj użytkowników do grupy zabezpieczeń użytkowników bezprzewodowych

Za pomocą tej procedury można dodać użytkownika, komputer lub grupę do grupy zabezpieczeń sieci bezprzewodowej w przystawce Użytkownicy i komputery usługi Active Directory w konsoli zarządzania Microsoft Management Console (MMC).

Członkostwo w grupie Administratorzy domeny lub w równoważnej grupie jest minimalnym wymaganiem do wykonania tej procedury.

Aby dodać użytkowników do grupy zabezpieczeń sieci bezprzewodowej

  1. Kliknij przycisk Start, kliknij pozycję Narzędzia administracyjne, a następnie kliknij pozycję Użytkownicy i komputery usługi Active Directory. Zostanie otwarty program MMC Użytkownicy i komputery usługi Active Directory. Jeśli jeszcze nie jest wybrany, kliknij węzeł dla swojej domeny. Jeśli na przykład Twoja domena to example.com, kliknij example.com.

  2. W okienku szczegółów kliknij dwukrotnie folder zawierający bezprzewodową grupę zabezpieczeń.

  3. W okienku szczegółów kliknij prawym przyciskiem myszy bezprzewodową grupę zabezpieczeń, a następnie kliknij polecenie Właściwości. Zostanie otwarte okno dialogowe Właściwości grupy zabezpieczeń.

  4. Na karcie Członkowie kliknij przycisk Dodaj, a następnie wykonaj jedną z poniższych procedur, aby dodać komputer lub dodać użytkownika lub grupę.

Aby dodać użytkownika lub grupę

  1. W wprowadź nazwy obiektów do wybrania wpisz nazwę użytkownika lub grupy, którą chcesz dodać, a następnie kliknij przycisk OK.

  2. Aby przypisać członkostwo w grupie innym użytkownikom lub grupom, powtórz krok 1 tej procedury.

Aby dodać komputer

  1. Kliknij pozycję Typy obiektów. Zostanie otwarte okno dialogowe Typy obiektów .

  2. W obszarze Typy obiektów wybierz pozycję Komputery, a następnie kliknij przycisk OK.

  3. W wprowadź nazwy obiektów do wybrania wpisz nazwę komputera, który chcesz dodać, a następnie kliknij przycisk OK.

  4. Aby przypisać członkostwo w grupie na innych komputerach, powtórz kroki 1–3 tej procedury.

Konfigurowanie zasad sieci bezprzewodowej (IEEE 802.11)

Wykonaj następujące kroki, aby skonfigurować rozszerzenie zasad grupy zasad sieci bezprzewodowej (IEEE 802.11):

Otwieranie lub dodawanie i otwieranie obiektu zasad grupy

Domyślnie funkcja zarządzania zasadami grupy jest instalowana na komputerach z systemem Windows Server 2016, gdy rola serwera usług Domenowych Active Directory (AD DS) jest zainstalowana, a serwer jest skonfigurowany jako kontroler domeny. Poniższa procedura, która opisuje sposób otwierania konsoli zarządzania zasadami grupy (GPMC) na kontrolerze domeny. Następnie w procedurze opisano sposób otwierania istniejącego obiektu zasad grupy na poziomie domeny (GPO) do edycji lub tworzenia nowego obiektu zasad grupy domeny i otwierania go do edycji.

Członkostwo w grupie Administratorzy domeny lub równoważnej jest minimalnym wymaganiem do wykonania tej procedury.

Aby otworzyć lub dodać i otworzyć obiekt zasad grupy

  1. Na kontrolerze domeny kliknij przycisk Start, kliknij pozycję Narzędzia administracyjne systemu Windows, a następnie kliknij pozycję Zarządzanie zasadami grupy. Zostanie otwarta konsola zarządzania zasadami grupy.

  2. W okienku po lewej stronie kliknij dwukrotnie las. Na przykład kliknij dwukrotnie Forest: example.com.

  3. W okienku po lewej stronie kliknij dwukrotnie domeny, a następnie kliknij dwukrotnie domenę, dla której chcesz zarządzać obiekt zasad grupy. Na przykład kliknij dwukrotnie example.com.

  4. Wykonaj jedną z następujących czynności:

    • Aby otworzyć istniejący obiekt zasad grupy na poziomie domeny do edycji, kliknij dwukrotnie domenę zawierającą obiekt zasad grupy, którym chcesz zarządzać, kliknij prawym przyciskiem myszy zasady domeny, którymi chcesz zarządzać, takie jak domyślne zasady domeny, a następnie kliknij przycisk Edytuj. Otworzy się Edytor zarządzania zasadami grup .

    • Aby utworzyć nowy obiekt zasad grupy i otworzyć do edycji, kliknij prawym przyciskiem myszy domenę, dla której chcesz utworzyć nowy obiekt zasad grupy, a następnie kliknij przycisk Utwórz obiekt zasad grupy w tej domenie i Połącz go tutaj.

      W obszarze Nowy obiekt zasad grupy w polu Nazwa wpisz nazwę nowego obiektu zasad grupy, a następnie kliknij przycisk OK.

      Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy, a następnie kliknij przycisk Edytuj. Otworzy się Edytor zarządzania zasadami grup .

W następnej sekcji użyjesz Edytora zarządzania zasadami grupy do utworzenia zasad sieci bezprzewodowej.

Aktywowanie domyślnych zasad sieci bezprzewodowej (IEEE 802.11)

W tej procedurze opisano sposób aktywowania domyślnych zasad sieci bezprzewodowej (IEEE 802.11) za pomocą Edytora zarządzania zasadami grupy (GPME).

Note

Po aktywowaniu wersji Windows Vista i nowszych albo wersji Windows XP zasad sieci bezprzewodowej (IEEE 802.11), opcja wersji zostaje automatycznie usunięta z listy opcji po kliknięciu prawym przyciskiem myszy na pozycję Zasady sieci bezprzewodowej (IEEE 802.11). Dzieje się tak, ponieważ po wybraniu wersji zasad, zasada zostanie dodana w okienku szczegółów edytora zasad grupy po wybraniu węzła Zasady sieci bezprzewodowej (IEEE 802.11). Ten stan pozostaje, chyba że usuniesz zasady bezprzewodowe, w którym to przypadku wersja zasad sieci bezprzewodowej pojawi się ponownie w menu kontekstowym dla Zasady sieci bezprzewodowej (IEEE 802.11) w Edytorze Zarządzania Zasadami Grupowymi (GPME). Ponadto zasady bezprzewodowe są wyświetlane tylko w okienku szczegółów GPME, gdy wybrano węzeł Zasady sieci bezprzewodowej (IEEE 802.11).

Członkostwo w grupie Administratorzy domeny lub równoważnej jest minimalnym wymaganiem do wykonania tej procedury.

Aby aktywować domyślne zasady sieci bezprzewodowej (IEEE 802.11)

  1. Wykonaj poprzednią procedurę, Aby otworzyć lub dodać i otworzyć obiekt zasad grupy aby otworzyć edytor zarządzania zasadami grupy.

  2. W edytorze zasad grupy w okienku po lewej stronie kliknij dwukrotnie pozycję Konfiguracja komputera, kliknij dwukrotnie pozycję Zasady, kliknij dwukrotnie pozycję Ustawienia systemu Windows, a następnie kliknij dwukrotnie pozycję Ustawienia zabezpieczeń.

Zasady grupy bezprzewodowej 802.1X

  1. W obszarze Ustawienia zabezpieczeń kliknij prawym przyciskiem myszy pozycję Zasady sieci bezprzewodowej (IEEE 802.11), a następnie kliknij pozycję Utwórz nowe zasady sieci bezprzewodowej dla systemu Windows Vista i nowszych wersji.

Zasady bezprzewodowe 802.1X

  1. Okno dialogowe Nowe właściwości zasad sieci bezprzewodowej zostanie otwarte. W polu Nazwa zasad wpisz nową nazwę zasad lub zachowaj nazwę domyślną. Kliknij przycisk OK , aby zapisać zasady. Zasada domyślna jest aktywowana i wyświetlana w okienku szczegółów edytora zarządzania zasadami grupy z nową nazwą, którą podałeś, lub z domyślną nazwą Nowe zasady sieci bezprzewodowej.

Nowe właściwości zasad sieci bezprzewodowej

  1. W okienku szczegółów kliknij dwukrotnie pozycję Nowe zasady sieci bezprzewodowej , aby je otworzyć.

W następnej sekcji można wykonać konfigurację zasad, kolejność preferencji przetwarzania zasad i uprawnienia sieciowe.

Konfigurowanie nowych zasad sieci bezprzewodowej

Procedury opisane w tej sekcji umożliwiają skonfigurowanie zasad sieci bezprzewodowej (IEEE 802.11). Te zasady umożliwiają konfigurowanie ustawień zabezpieczeń i uwierzytelniania, zarządzanie profilami bezprzewodowymi i określanie uprawnień dla sieci bezprzewodowych, które nie są skonfigurowane jako preferowane sieci.

Konfigurowanie profilu połączenia bezprzewodowego dla protokołu PEAP-MS-CHAP v2

Ta procedura zawiera kroki wymagane do skonfigurowania profilu bezprzewodowego PEAP-MS-CHAP v2.

Członkostwo w grupie Administratorzy domeny, albo równoważnej, jest minimalnym wymaganiem do wykonania tej procedury.

Aby skonfigurować profil połączenia bezprzewodowego dla protokołu PEAP-MS-CHAP v2

  1. W GPME, w oknie dialogowym właściwości sieci bezprzewodowej dla utworzonej właśnie zasady, na karcie Ogólne i w polu Opis wpisz krótki opis zasady.

  2. Aby określić, że automatyczna konfiguracja sieci WLAN jest używana do konfigurowania ustawień karty sieciowej sieci bezprzewodowej, upewnij się, że wybrano opcję Użyj usługi Automatycznego konfigurowania sieci WLAN systemu Windows dla klientów .

  3. W sekcji Połącz z dostępnymi sieciami w kolejności profili wymienionych poniżej kliknij Dodaj, a następnie wybierz Infrastrukturę. Zostanie otwarte okno dialogowe Właściwości nowego profilu .

  4. W oknie dialogowymWłaściwości nowego profilu na karcie Połączenie w polu Nazwa profilu wpisz nową nazwę profilu. Na przykład wpisz Example.com profil sieci WLAN dla systemu Windows 10.

  5. W obszarze Nazwy sieci (SSID) wpisz identyfikator SSID, który odpowiada identyfikatorowi SSID skonfigurowanemu na punktach dostępowych (AP) sieci bezprzewodowej, a następnie kliknij Dodaj.

    Jeśli wdrożenie używa wielu SSID-ów, a każdy bezprzewodowy punkt dostępowy używa tych samych ustawień zabezpieczeń sieci bezprzewodowej, powtórz ten krok, aby dodać SSID dla każdego bezprzewodowego AP, do którego ten profil ma być stosowany.

    Jeśli wdrożenie używa wielu identyfikatorów SSID, a ustawienia zabezpieczeń dla każdego identyfikatora SSID nie są zgodne, skonfiguruj oddzielny profil dla każdej grupy identyfikatorów SSID, które używają tych samych ustawień zabezpieczeń. Jeśli na przykład masz jedną grupę dostępu bezprzewodowego skonfigurowanego do używania WPA2-Enterprise i AES, a inna grupa dostępu bezprzewodowego do używania WPA-Enterprise i TKIP, należy skonfigurować profil dla każdej grupy dostępu bezprzewodowego.

  6. Jeśli jest obecny domyślny tekst NEWSSID , zaznacz go, a następnie kliknij przycisk Usuń.

  7. Jeśli wdrożono punkty dostępu bezprzewodowego, które zostały skonfigurowane tak, aby tłumiły sygnał nawigacyjny, zaznacz opcję Połącz, nawet jeśli sieć nie emituje.

    Note

    Włączenie tej opcji może spowodować zagrożenie bezpieczeństwa, ponieważ klienci bezprzewodowi będą sondować i próbować połączeń z dowolną siecią bezprzewodową. Domyślnie to ustawienie nie jest włączone.

  8. Kliknij kartę Zabezpieczenia , kliknij pozycję Zaawansowane, a następnie skonfiguruj następujące ustawienia:

    1. Aby skonfigurować zaawansowane ustawienia 802.1X, w IEEE 802.1X wybierz pozycję Wymuś zaawansowane ustawienia 802.1X.

      Po wymuszeniu zaawansowanych ustawień 802.1X domyślne wartości dla Maks. liczba wiadomości Eapol-Start, Okres zatrzymania, Okres uruchomienia i Okres uwierzytelniania są wystarczające dla typowych wdrożeń bezprzewodowych. W związku z tym nie trzeba zmieniać wartości domyślnych, chyba że masz określony powód.

    2. Aby włączyć logowanie jednokrotne, wybierz pozycję Włącz logowanie jednokrotne dla tej sieci.

    3. Pozostałe wartości domyślne logowania jednokrotnego są wystarczające dla typowych wdrożeń bezprzewodowych.

    4. W sekcji Szybki roaming, jeśli bezprzewodowy AP jest skonfigurowany do wstępnego uwierzytelniania, wybierz Ta sieć używa wstępnego uwierzytelniania.

  9. Aby określić, że komunikacja bezprzewodowa spełnia standardy FIPS 140-2, wybierz opcję Wykonaj kryptografię w trybie certyfikowanym FIPS 140-2.

  10. Kliknij OK, aby powrócić do karty Zabezpieczenia. W obszarze Wybierz metody zabezpieczeń dla tej sieci w obszarze Uwierzytelnianie wybierz pozycję WPA2-Enterprise, jeśli jest obsługiwana przez bezprzewodowe karty sieciowe AP i klienta sieci bezprzewodowej. W przeciwnym razie wybierz pozycję WPA-Enterprise.

  11. W Dziale Szyfrowanie, jeśli jest to obsługiwane przez bezprzewodowy punkt dostępowy i bezprzewodowe adaptery sieciowe klienta, wybierz AES-CCMP. Jeśli używasz punktów dostępu i kart sieci bezprzewodowej obsługujących 802.11ac, wybierz pozycję AES-GCMP. W przeciwnym razie wybierz pozycję TKIP.

    Note

    Ustawienia uwierzytelniania i szyfrowania muszą być zgodne z ustawieniami skonfigurowanymi na punktach dostępowych sieci bezprzewodowej. Domyślne ustawienia trybu uwierzytelniania, maksymalnej liczby błędów uwierzytelniania oraz pamięciowania informacji o użytkowniku podczas kolejnych połączeń z tą siecią są wystarczające dla typowych wdrożeń bezprzewodowych.

  12. W obszarze Wybierz metodę uwierzytelniania sieciowego wybierz pozycję Chroniony protokół EAP (PEAP), a następnie kliknij pozycję Właściwości. Zostanie otwarte okno dialogowe Właściwości chronionego protokołu EAP .

  13. W obszarze Chronione właściwości protokołu EAP upewnij się, że wybrano opcję Sprawdź tożsamość serwera, weryfikując certyfikat .

  14. W Zaufani główni urzędy certyfikacji wybierz zaufany główny urząd certyfikacji (CA), który wystawił certyfikat serwera dla NPS.

    Note

    To ustawienie ogranicza urzędy certyfikacji, którym klienci mogą zaufać, tylko do wybranych. Jeśli nie wybrano żadnych zaufanych głównych urzędów certyfikacji, klienci będą ufać wszystkim głównym urzędom certyfikacji wymienionym w magazynie certyfikatów zaufanych głównych urzędów certyfikacji.

  15. Na liście Wybierz metodę uwierzytelniania wybierz pozycję Zabezpieczone hasło (EAP-MS-CHAP v2).

  16. Kliknij przycisk skonfigurować. W oknie dialogowym Właściwości protokołu EAP MSCHAPv2 sprawdź, czy wybrano opcję Automatycznie użyj nazwy logowania systemu Windows i hasła (i domeny, jeśli istnieje), a następnie kliknij przycisk OK.

  17. Aby włączyć szybkie ponowne nawiązywanie połączenia PEAP, upewnij się, że wybrano opcję Włącz szybkie ponowne nawiązywanie połączenia .

  18. Aby wymagać powiązania kryptograficznego serwera TLV w przypadku prób połączenia, wybierz pozycję Rozłącz, jeśli serwer nie zawiera powiązania kryptograficznego TLV.

  19. Aby określić, że tożsamość użytkownika jest maskowana w fazie uwierzytelniania, wybierz pozycję Włącz prywatność tożsamości, a następnie w polu tekstowym wpisz nazwę tożsamości anonimowej lub pozostaw pole tekstowe puste.

    [!NOTES]

    • Zasady NPS dla sieci bezprzewodowej 802.1X należy utworzyć przy użyciu Zasad Żądania Połączeń NPS. Jeśli zasady NPS są tworzone przy użyciu Zasad Sieciowych NPS, prywatność tożsamości nie będzie działać.
    • Prywatność tożsamości protokołu EAP jest dostarczana przez niektóre metody protokołu EAP, w których pusta lub anonimowa tożsamość (inna niż rzeczywista tożsamość) jest wysyłana w odpowiedzi na żądanie tożsamości protokołu EAP. Protokół PEAP wysyła tożsamość dwa razy podczas uwierzytelniania. W pierwszej fazie tożsamość jest wysyłana w postaci zwykłego tekstu, a ta tożsamość jest używana do celów routingu, a nie do uwierzytelniania klienta. Rzeczywista tożsamość — używana do uwierzytelniania — jest wysyłana w drugiej fazie uwierzytelniania w ramach bezpiecznego tunelu ustanowionego w pierwszej fazie. Jeśli zaznaczono pole wyboru Włącz prywatność tożsamości , nazwa użytkownika zostanie zastąpiona wpisem określonym w polu tekstowym. Załóżmy na przykład, że wybrano opcję Włącz prywatność tożsamości , a alias prywatności tożsamości anonimowy jest określony w polu tekstowym. W przypadku użytkownika z aliasem tożsamości rzeczywistej jdoe@example.com, tożsamość wysyłana w pierwszej fazie uwierzytelniania zostanie zmieniona na anonymous@example.com. Część obszaru tożsamości fazy 1 nie jest modyfikowana, ponieważ jest używana do celów routingu.

  20. Kliknij przycisk OK , aby zamknąć okno dialogowe Właściwości chronionego protokołu EAP .

  21. Kliknij przycisk OK , aby zamknąć kartę Zabezpieczenia .

  22. Jeśli chcesz utworzyć dodatkowe profile, kliknij przycisk Dodaj, a następnie powtórz poprzednie kroki, dokonując różnych wyborów, aby dostosować każdy profil dla klientów bezprzewodowych i sieci, do których chcesz zastosować profil. Po zakończeniu dodawania profilów kliknij przycisk OK , aby zamknąć okno dialogowe Właściwości zasad sieci bezprzewodowej.

W następnej sekcji można uporządkować profile zasad w celu uzyskania optymalnego bezpieczeństwa.

Ustawianie kolejności preferencji dla profilów połączeń bezprzewodowych

Tę procedurę można użyć, jeśli utworzono wiele profilów bezprzewodowych w zasadach sieci bezprzewodowej i chcesz zamówić profile w celu uzyskania optymalnej skuteczności i bezpieczeństwa.

Aby upewnić się, że klienci bezprzewodowi łączą się z najwyższym poziomem zabezpieczeń, które mogą obsługiwać, umieść najbardziej restrykcyjne zasady na początku listy.

Jeśli na przykład masz dwa profile, jeden dla klientów obsługujących usługę WPA2 i jeden dla klientów obsługujących usługę WPA, umieść profil WPA2 wyższy na liście. Gwarantuje to, że klienci, którzy obsługują usługę WPA2, będą używać tej metody dla połączenia, a nie mniej bezpiecznej WPA.

Ta procedura zawiera kroki umożliwiające określenie kolejności, w jakiej profile połączeń bezprzewodowych są używane do łączenia klientów bezprzewodowych należących do domeny do sieci bezprzewodowych.

Członkostwo w grupie Administratorzy domeny, albo równoważnej, jest minimalnym wymaganiem do wykonania tej procedury.

Aby ustawić kolejność preferencji dla profilów połączeń bezprzewodowych

  1. W GPME, w oknie dialogowym właściwości sieci bezprzewodowej dla polityki, którą właśnie skonfigurowałeś, kliknij kartę Ogólne.

  2. Na karcie Ogólne w obszarze Połącz z dostępnymi sieciami w kolejności profilów wymienionych poniżej wybierz profil, który chcesz przenieść na liście, a następnie kliknij przycisk "strzałka w górę" lub przycisk "strzałka w dół", aby przenieść profil do żądanej lokalizacji na liście.

  3. Powtórz krok 2 dla każdego profilu, który chcesz przenieść na liście.

  4. Kliknij przycisk OK , aby zapisać wszystkie zmiany.

W poniższej sekcji można zdefiniować uprawnienia sieciowe dla zasad sieci bezprzewodowej.

Definiowanie uprawnień sieci

Ustawienia można skonfigurować na karcie Uprawnienia sieciowe dla członków domeny, do których mają zastosowanie zasady sieci bezprzewodowej (IEEE 802.11).

Można zastosować tylko następujące ustawienia dla sieci bezprzewodowych, które nie są skonfigurowane na karcie Ogólne na stronie Właściwości zasad sieci bezprzewodowej :

  • Zezwalanie na połączenia z określonymi sieciami bezprzewodowymi określonymi przez typ sieci i identyfikator zestawu usług (SSID)

  • Zezwalanie lub odrzucanie połączeń z sieciami ad hoc

  • Zezwalanie lub odrzucanie połączeń z sieciami infrastruktury

  • Zezwalanie użytkownikom na wyświetlanie typów sieci (ad hoc lub infrastruktury), do których odmówiono im dostępu

  • Zezwól lub odmów użytkownikom tworzenia profilu, który ma zastosowanie do wszystkich użytkowników

  • Użytkownicy mogą łączyć się tylko z dozwolonymi sieciami za pomocą profili Zasad Grupy.

Członkostwo w grupie Administratorzy domeny lub równoważnej jest minimalnym wymaganiem do wykonania tych procedur.

Aby zezwolić lub zablokować połączenia z określonymi sieciami bezprzewodowymi

  1. W Edytorze zarządzania zasadami grupy (GPME) w oknie dialogowym właściwości sieci bezprzewodowej kliknij kartę Uprawnienia sieciowe.

  2. Na karcie Uprawnienia sieciowe kliknij przycisk Dodaj. Otwiera się okno dialogowe Nowy wpis uprawnień.

  3. W oknie dialogowym Nowy wpis uprawnień w polu Nazwa sieci (SSID) wpisz identyfikator SSID sieci, dla której chcesz zdefiniować uprawnienia.

  4. W obszarze Typ sieci wybierz pozycję Infrastruktura lub Ad hoc.

    Note

    Jeśli nie masz pewności, czy sieć nadawcza jest infrastrukturą, czy siecią ad hoc, możesz skonfigurować dwa wpisy uprawnień sieci, po jednym dla każdego typu sieci.

  5. W obszarze Uprawnienie wybierz pozycję Zezwalaj lub Odmów.

  6. Kliknij przycisk OK, aby powrócić do karty Uprawnienia sieciowe .

Aby określić dodatkowe uprawnienia sieciowe (opcjonalnie)

  1. Na karcie Uprawnienia sieciowe skonfiguruj dowolne lub wszystkie następujące elementy:

    • Aby uniemożliwić członkom domeny dostęp do sieci ad hoc, wybierz pozycję Blokuj połączenia z sieciami ad hoc.

    • Aby uniemożliwić członkom domeny dostęp do sieci infrastruktury, wybierz pozycję Blokuj połączenia z sieciami infrastruktury.

    • Aby umożliwić członkom domeny wyświetlanie typów sieci (ad hoc lub infrastruktury), do których odmówiono im dostępu, wybierz pozycję Zezwalaj użytkownikowi na wyświetlanie odrzuconych sieci.

    • Aby umożliwić użytkownikom tworzenie profilów, które mają zastosowanie do wszystkich użytkowników, wybierz pozycję Zezwalaj wszystkim na tworzenie wszystkich profilów użytkowników.

    • Aby określić, że użytkownicy mogą łączyć się tylko z dozwolonymi sieciami przy użyciu profilów zasad grupy, wybierz opcję Używaj tylko profilów zasad grupy dla dozwolonych sieci.

Konfigurowanie serwerów NPS

Wykonaj następujące kroki, aby skonfigurować serwery NPS do przeprowadzania uwierzytelniania 802.1X na potrzeby dostępu bezprzewodowego:

Rejestrowanie serwera NPS w usługach Active Directory Domain Services

Ta procedura służy do rejestrowania serwera z uruchomionym serwerem zasad sieciowych (NPS) w usługach Domenowych Active Directory (AD DS) w domenie, w której serwer NPS jest członkiem. Aby serwery zasad sieciowych (NPS) otrzymały uprawnienia do odczytywania właściwości wybierania numerów kont użytkowników podczas procesu autoryzacji, każdy serwer zasad sieciowych musi być zarejestrowany w usługach AD DS. Zarejestrowanie serwera NPS dodaje serwer do grupy zabezpieczeń RAS i IAS Servers w systemie AD DS.

Note

Można zainstalować NPS (Sieciowy serwer zasad) na kontrolerze domeny lub na dedykowanym serwerze. Uruchom następujące polecenie programu Windows PowerShell, aby zainstalować serwer NPS, jeśli jeszcze tego nie zrobiono:

Install-WindowsFeature NPAS -IncludeManagementTools

Członkostwo w grupie Administratorzy domeny, albo równoważnej, jest minimalnym wymaganiem do wykonania tej procedury.

Aby zarejestrować serwer NPS w domenie domyślnej

  1. Na serwerze NPS w Menedżerze serwera kliknij pozycję Narzędzia, a następnie kliknij pozycję Serwer zasad sieciowych. Przystawka NPS otwiera się.

  2. Kliknij prawym przyciskiem myszy serwer NPS (lokalny), a następnie kliknij polecenie Zarejestruj serwer w usłudze Active Directory. Zostanie otwarte okno dialogowe Serwer zasad sieciowych .

  3. Na serwerze zasad sieciowych kliknij przycisk OK, a następnie kliknij przycisk OK ponownie.

Konfiguracja bezprzewodowego AP jako klienta RADIUS NPS

Ta procedura służy do konfigurowania punktu dostępowego, znanego również jako serwer dostępu do sieci (NAS), jako klient systemu zdalnego uwierzytelniania dial-in RADIUS za pomocą przystawki NPS.

Important

Komputery klienckie, takie jak bezprzewodowe komputery przenośne i inne komputery z systemem operacyjnym klienta, nie są klientami radius. Klienci RADIUS to serwery dostępu do sieci — takie jak punkty dostępu bezprzewodowego, przełączniki z obsługą 802,1 X, serwery wirtualnej sieci prywatnej (VPN) i serwery telefoniczne — ponieważ używają protokołu RADIUS do komunikacji z serwerami RADIUS, takimi jak serwery NPS.

Członkostwo w grupie Administratorzy domeny, albo równoważnej, jest minimalnym wymaganiem do wykonania tej procedury.

Aby dodać serwer dostępu do sieci jako klienta usługi RADIUS w usłudze NPS

  1. Na serwerze NPS w Menedżerze serwera kliknij pozycję Narzędzia, a następnie kliknij pozycję Serwer zasad sieciowych. Przystawka NPS otwiera się.

  2. W przystawce serwera NPS kliknij dwukrotnie pozycję Klienci i serwery RADIUS. Kliknij prawym przyciskiem myszy pozycję Klienci RADIUS, a następnie kliknij pozycję Nowy.

  3. W obszarze Nowy klient RADIUS sprawdź, czy pole wyboru Włącz tego klienta RADIUS jest zaznaczone.

  4. W obszarze Nowy klient RADIUS, w przyjaznej nazwie wpisz nazwę wyświetlaną dla punktu dostępu bezprzewodowego.

    Jeśli na przykład chcesz dodać punkt dostępu bezprzewodowego (AP) o nazwie AP-01, wpisz AP-01.

  5. W polu Adres (IP lub DNS) wpisz adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) dla serwera NAS.

    Jeśli wprowadzisz nazwę FQDN, aby sprawdzić, czy nazwa jest poprawna i mapuje na prawidłowy adres IP, kliknij Weryfikuj, a następnie w Weryfikuj adres, w polu Adres, kliknij Rozwiąż. Jeśli nazwa FQDN jest zmapowana na prawidłowy adres IP, adres IP tego serwera NAS będzie automatycznie wyświetlany w adres IP. Jeśli nazwa FQDN nie zostanie rozpoznana jako adres IP, zostanie wyświetlony komunikat informujący, że taki host nie jest znany. W takim przypadku sprawdź, czy masz poprawną nazwę ap i czy ap jest włączony i połączony z siecią.

    Kliknij OK, aby zamknąć Weryfikuj adres.

  6. W nowym kliencie RADIUS w udostępnionym kluczu tajnym wykonaj jedną z następujących czynności:

    • Aby ręcznie skonfigurować wspólny klucz tajny usługi RADIUS, wybierz pozycję Ręcznie, a następnie w obszarze Wspólny wpis tajny wpisz silne hasło wprowadzone również na serwerze NAS. Ponownie wpisz wspólny klucz tajny w Potwierdź wspólny klucz tajny.

    • Aby automatycznie wygenerować wspólny sekret, zaznacz pole wyboru Generuj, a następnie kliknij przycisk Generuj. Zapisz wygenerowany wspólny klucz tajny, a następnie użyj tej wartości do skonfigurowania serwera NAS, aby mógł komunikować się z serwerem NPS.

      Important

      Wspólny klucz tajny RADIUS wprowadzony dla wirtualnych punktów dostępu w usłudze NPS musi dokładnie odpowiadać wspólnemu kluczowi tajnemu RADIUS skonfigurowanemu na rzeczywistych punktach dostępu bezprzewodowego. Jeśli używasz opcji NPS do wygenerowania współdzielonego klucza tajnego usługi RADIUS, musisz skonfigurować odpowiedni rzeczywisty bezprzewodowy punkt dostępowy z współdzielonym kluczem tajnym RADIUS, który został wygenerowany przez serwer NPS.

  7. W obszarze Nowy klient RADIUS na karcie Zaawansowane w polu Nazwa dostawcy określ nazwę producenta NAS. Jeśli nie masz pewności co do nazwy producenta NAS, wybierz RADIUS standard.

  8. W obszarze Dodatkowe opcje, jeśli używasz metod uwierzytelniania innych niż EAP i PEAP, a serwer NAS obsługuje użycie atrybutu uwierzytelniania komunikatów, wybierz pozycję Komunikaty żądania dostępu muszą zawierać atrybut Message-Authenticator.

  9. Kliknij przycisk OK. Serwer NAS zostanie wyświetlony na liście klientów usługi RADIUS skonfigurowanych na serwerze NPS.

Tworzenie zasad NPS dla sieci bezprzewodowej 802.1X przy użyciu Kreatora

Ta procedura umożliwia utworzenie zasad żądań połączenia i zasad sieci wymaganych do wdrożenia punktów dostępu bezprzewodowego z obsługą standardu 802.1X jako klientów usługi Dial-In User Service (RADIUS) zdalnego uwierzytelniania na serwerze RADIUS z uruchomionym serwerem zasad sieciowych (NPS). Po uruchomieniu kreatora zostaną utworzone następujące zasady:

  • Jedna zasada żądania połączenia

  • Jedna zasada sieciowa

Note

Można uruchomić kreator zabezpieczeń IEEE 802.1X dla przewodowych i bezprzewodowych połączeń za każdym razem, gdy trzeba utworzyć nowe zasady dla uwierzytelnionego dostępu 802.1X.

Członkostwo w grupie Administratorzy domeny, albo równoważnej, jest minimalnym wymaganiem do wykonania tej procedury.

Tworzenie zasad dla 802.1X uwierzytelniania bezprzewodowego za pomocą kreatora

  1. Otwórz przystawkę NPS. Jeśli nie została jeszcze wybrana opcja, kliknij pozycję NPS (lokalny). Jeśli używasz przystawki MMC npS i chcesz utworzyć zasady na zdalnym serwerze NPS, wybierz serwer.

  2. W obszarze Wprowadzenie w konfiguracji standardowej wybierz pozycję Serwer RADIUS dla połączeń bezprzewodowych 802.1X lub przewodowych. Tekst i linki poniżej zmieniają się, aby odzwierciedlać twój wybór.

  3. Kliknij Konfiguruj 802.1X. Otwiera się kreator konfiguracji 802.1X.

  4. Na stronie kreatora Wybierz typ połączeń 802.1X w polu Typ połączeń 802.1X wybierz opcję Bezpieczne połączenia bezprzewodowe, a w polu Nazwa wpisz nazwę polityki lub pozostaw domyślną nazwę Bezpieczne połączenia bezprzewodowe. Kliknij przycisk Dalej.

  5. Na stronie kreatora Określ przełączniki 802.1X, w sekcji RADIUS klienci, wyświetlane są wszystkie przełączniki 802.1X i punkty dostępu bezprzewodowego, które zostały dodane jako klienci RADIUS w przystawce NPS. Wykonaj jedną z następujących czynności:

    • Aby dodać dodatkowe serwery dostępu do sieci (NAS), takie jak punkty dostępowe bezprzewodowe, w klientach RADIUS kliknij przycisk Dodaj, a następnie w Nowy klient RADIUS wprowadź informacje dla: Przyjazna nazwa, Adres (IP lub DNS) i Wspólny klucz tajny.

    • Aby zmodyfikować ustawienia dla dowolnego serwera NAS, w klientach RADIUS wybierz ap, dla którego chcesz zmodyfikować ustawienia, a następnie kliknij przycisk Edytuj. Zmodyfikuj ustawienia zgodnie z potrzebami.

    • Aby usunąć NAS z listy, w klientach RADIUS wybierz NAS, a następnie kliknij przycisk usuń.

      Warning

      Usunięcie klienta RADIUS z poziomu kreatora Konfigurowanie 802.1X powoduje usunięcie klienta z konfiguracji serwera NPS. Wszystkie dodatki, modyfikacje i usunięcia wprowadzone w kreatorze Configure 802.1X do klientów RADIUS są odzwierciedlane w przystawce NPS, w węźle Klienci RADIUS w obszarze / . Jeśli na przykład użyjesz kreatora do usunięcia przełącznika 802.1X, przełącznik zostanie również usunięty z przystawki NPS.

  6. Kliknij przycisk Dalej. Na stronie kreatora Konfigurowanie metody uwierzytelniania, w polu Typ (na podstawie metody dostępu i konfiguracji sieci), wybierz opcję Microsoft: Protected EAP (PEAP), a następnie kliknij Konfiguruj.

    Tip

    Jeśli zostanie wyświetlony komunikat o błędzie wskazujący, że nie można odnaleźć certyfikatu do użycia z metodą uwierzytelniania i skonfigurowano usługi certyfikatów Active Directory do automatycznego wystawiania certyfikatów na serwerach RAS i IAS w sieci, najpierw upewnij się, że wykonano kroki rejestrowania serwera NPS w Usługach domenowych Active Directory, a następnie wykonaj następujące kroki, aby zaktualizować Zasady Grupy: Kliknij przycisk Start, kliknij przycisk System Windows, kliknij przycisk Uruchom, a następnie w Otwórz, wpisz gpupdate, a następnie naciśnij ENTER. Gdy polecenie zwróci wyniki wskazujące, że zasady grupy użytkownika i komputera zostały pomyślnie zaktualizowane, wybierz ponownie pozycję Microsoft: Chroniony protokół EAP (PEAP ), a następnie kliknij przycisk Konfiguruj.

    Jeśli po odświeżeniu zasad grupy nadal otrzymujesz komunikat o błędzie wskazujący, że nie można odnaleźć certyfikatu do użycia z metodą uwierzytelniania, certyfikat nie jest wyświetlany, ponieważ nie spełnia minimalnych wymagań dotyczących certyfikatów serwera zgodnie z opisem w Przewodniku pomocniczym sieci podstawowej: Wdrażanie certyfikatów serwera dla wdrożeń przewodowych i bezprzewodowych 802.1X. W takim przypadku należy przerwać konfigurację serwera NPS, odwołać certyfikat wystawiony dla serwerów NPS, a następnie postępować zgodnie z instrukcjami, aby skonfigurować nowy certyfikat przy użyciu przewodnika wdrażania certyfikatów serwera.

  7. Na stronie kreatora Edytowanie chronionych właściwości EAP, w sekcji Wystawiony certyfikat, upewnij się, że wybrano prawidłowy certyfikat NPS, a następnie wykonaj następujące czynności:

    Note

    Sprawdź, czy wartość w Wystawca jest poprawna dla certyfikatu wybranego w Wystawiony certyfikat. Na przykład, oczekiwany wystawca certyfikatu wystawionego przez urząd certyfikacji z uruchomioną usługą Active Directory Certificate Services (AD CS) w domenie contoso.com o nazwie corp\DC1 to corp-DC1-CA.

    • Aby umożliwić użytkownikom wędrowanie z komputerami bezprzewodowymi między punktami dostępu bez konieczności ponownego uwierzytelniania za każdym razem, gdy skojarzy się z nowym ap, wybierz opcję Włącz szybkie ponowne łączenie.

    • Aby określić, że połączenie klientów bezprzewodowych zakończy proces uwierzytelniania sieciowego, jeśli serwer RADIUS nie przedstawia powiązania kryptograficznego typuLength-Value (TLV), wybierz opcję Rozłączyć klientów bez powiązania kryptograficznego.

    • Aby zmodyfikować ustawienia zasad dla typu protokołu EAP, w obszarze Typy protokołu EAP kliknij przycisk Edytuj, w obszarze Właściwości protokołu EAP MSCHAPv2, zmodyfikuj ustawienia zgodnie z potrzebami, a następnie kliknij przycisk OK.

  8. Kliknij przycisk OK. Okno dialogowe Edytowanie właściwości chronionego protokołu EAP zostanie zamknięte, co spowoduje powrót do kreatora Konfiguracja 802.1X. Kliknij przycisk Dalej.

  9. W sekcji Określ grupy użytkowników kliknij Dodaj, a następnie wpisz nazwę grupy zabezpieczeń, którą skonfigurowałeś dla klientów bezprzewodowych w przystawce Active Directory Users and Computers. Na przykład, jeśli nazwałeś swoją grupę zabezpieczeń bezprzewodowych "Wireless Group", wpisz Wireless Group. Kliknij przycisk Dalej.

  10. Kliknij przycisk Konfiguruj , aby skonfigurować atrybuty standardowe usługi RADIUS i atrybuty specyficzne dla dostawcy dla wirtualnej sieci LAN (VLAN) zgodnie z potrzebami i zgodnie z dokumentacją dostarczoną przez dostawcę sprzętu bezprzewodowego ap. Kliknij przycisk Dalej.

  11. Przejrzyj szczegóły podsumowania konfiguracji, a następnie kliknij przycisk Zakończ.

Zasady NPS zostały utworzone i można przystąpić do dołączania komputerów bezprzewodowych do domeny.

Przyłącz nowe komputery bezprzewodowe do domeny

Najprostszą metodą przyłączenia nowych komputerów bezprzewodowych do domeny jest fizyczne dołączenie komputera do segmentu przewodowej sieci LAN (segment nie jest kontrolowany przez przełącznik 802.1X) przed dołączeniem komputera do domeny. Jest to najłatwiejsze, ponieważ ustawienia zasad grupy dotyczące sieci bezprzewodowych są automatycznie i natychmiast stosowane, a jeśli wdrożono własną infrastrukturę kluczy publicznych, komputer otrzymuje certyfikat urzędu certyfikacji i umieszcza go w magazynie certyfikatów Zaufanych Głównych Urzędów Certyfikacji, co pozwala klientowi bezprzewodowemu ufać serwerom NPS, które posiadają certyfikaty serwera wystawione przez twój urząd certyfikacji.

Podobnie po dołączeniu nowego komputera bezprzewodowego do domeny preferowaną metodą logowania użytkowników do domeny jest wykonanie logowania przy użyciu połączenia przewodowego z siecią.

Inne metody przyłączania do domeny

W przypadkach, gdy nie jest praktyczne dołączanie komputerów do domeny przy użyciu połączenia przewodowego Ethernet lub w przypadkach, gdy użytkownik nie może zalogować się do domeny po raz pierwszy przy użyciu połączenia przewodowego, należy użyć alternatywnej metody.

  • Konfiguracja komputera personelu IT. Członek personelu IT dołącza komputer bezprzewodowy do domeny i konfiguruje profil bezprzewodowy bootstrap dla jednokrotnego logowania (Single Sign-On). Dzięki tej metodzie administrator IT łączy komputer bezprzewodowy z siecią przewodową Ethernet i przyłącza komputer do domeny. Następnie administrator dystrybuuje komputer do użytkownika. Gdy użytkownik uruchamia komputer bez użycia połączenia przewodowego, poświadczenia domeny, które ręcznie określają dla logowania użytkownika, są używane zarówno do nawiązania połączenia z siecią bezprzewodową, jak i logowania do domeny.

Aby uzyskać więcej informacji, zobacz sekcję Join the Domain and Log On by using the IT Staff Computer Configuration Method (Przyłącz do domeny i logowania przy użyciu metody konfiguracji komputera personelu IT)

  • Konfiguracja profilu bezprzewodowego Bootstrap przez użytkowników. Użytkownik ręcznie konfiguruje komputer bezprzewodowy przy użyciu profilu bezprzewodowego bootstrap i dołącza do domeny, na podstawie instrukcji uzyskanych od administratora IT. Bootstrap profil bezprzewodowy umożliwia użytkownikowi nawiązanie połączenia bezprzewodowego, a następnie przyłączenie do domeny. Po dołączeniu komputera do domeny i ponownym uruchomieniu komputera użytkownik może zalogować się do domeny przy użyciu połączenia bezprzewodowego i poświadczeń konta domeny.

Aby uzyskać więcej informacji, zobacz sekcję Join the Domain and Log On by using Bootstrap Wireless Profile Configuration by Users (Przyłącz do domeny i logowania przy użyciu konfiguracji profilu bezprzewodowego bootstrap przez użytkowników).

Dołącz do domeny i zaloguj się przy użyciu metody konfiguracji komputera personelu IT

Użytkownicy z komputerami klienckimi przyłączonymi do domeny mogą używać tymczasowego profilu bezprzewodowego do łączenia się z siecią bezprzewodową uwierzytelnioną w standardzie 802.1X bez uprzedniego łączenia się z przewodową siecią LAN. Ten tymczasowy profil bezprzewodowy nosi nazwę profil bezprzewodowy bootstrap.

Profil bezprzewodowy bootstrap wymaga od użytkownika ręcznego wprowadzenia poświadczeń konta użytkownika domeny i nie weryfikuje certyfikatu serwera RADIUS działającego z usługą Network Policy Server (NPS).

Po nawiązaniu łączności bezprzewodowej zasady grupy są stosowane na komputerze klienckim sieci bezprzewodowej, a nowy profil bezprzewodowy jest wystawiany automatycznie. Nowe zasady używają poświadczeń komputera i konta użytkownika do uwierzytelniania klienta.

Ponadto w ramach protokołu PEAP-MS-CHAP v2 wzajemnego uwierzytelniania przy użyciu nowego profilu zamiast profilu bootstrap klient weryfikuje poświadczenia serwera RADIUS.

Po dołączeniu komputera do domeny należy użyć tej procedury, aby skonfigurować jednokrotne logowanie (SSO) w profilu bezprzewodowym bootstrap, zanim komputer zostanie przekazany użytkownikowi będącemu członkiem domeny.

Aby skonfigurować profil bootstrap sieci bezprzewodowej do jednokrotnego logowania

  1. Utwórz profil bootstrap przy użyciu procedury opisanej w tym przewodniku o nazwie Configure a Wireless Connection Profile for PEAP-MS-CHAP v2 (Konfigurowanie profilu połączenia bezprzewodowego dla protokołu PEAP-MS-CHAP v2) i użyj następujących ustawień:

    • PEAP — uwierzytelnianieMS-CHAP w wersji 2

    • Wyłączone sprawdzanie certyfikatu serwera RADIUS

    • Włączone logowanie jednokrotne

  2. We właściwościach zasad sieci bezprzewodowej, w których utworzono nowy profil bootstrap, na karcie Ogólne wybierz profil bootstrap, a następnie kliknij przycisk Eksportuj , aby wyeksportować profil do udziału sieciowego, dysku flash USB lub innej łatwo dostępnej lokalizacji. Profil jest zapisywany jako plik *.xml do określonej lokalizacji.

  3. Dołącz nowy komputer bezprzewodowy do domeny (na przykład za pośrednictwem połączenia Ethernet, które nie wymaga uwierzytelniania IEEE 802.1X) i dodaj profil bezprzewodowy bootstrap na komputerze za pomocą netsh wlan add profile.

    Note

    Aby uzyskać więcej informacji, zobacz Netsh Commands for Wireless Local Area Network (WLAN) pod adresem http://technet.microsoft.com/library/dd744890.aspx.

  4. Przekaż nowy komputer bezprzewodowy użytkownikowi z procedurą "Zaloguj się do domeny przy użyciu komputerów z systemem Windows 10".

Gdy użytkownik uruchomi komputer, system Windows wyświetli użytkownikowi monit o wprowadzenie nazwy i hasła konta użytkownika domeny. Ponieważ logowanie jednokrotne jest włączone, komputer używa poświadczeń konta użytkownika domeny, aby najpierw nawiązać połączenie z siecią bezprzewodową, a następnie zalogować się do domeny.

Zaloguj się do domeny przy użyciu komputerów z systemem Windows 10

  1. Wyloguj się z komputera lub uruchom ponownie komputer.

  2. Naciśnij dowolny klawisz na klawiaturze lub kliknij na pulpicie. Zostanie wyświetlony ekran logowania z wyświetloną nazwą konta użytkownika lokalnego i polem wprowadzania hasła poniżej nazwy. Nie loguj się przy użyciu konta użytkownika lokalnego.

  3. W lewym dolnym rogu ekranu kliknij pozycję Inny użytkownik. Na ekranie Logowania innego użytkownika są wyświetlane dwa pola: jedno dla nazwy użytkownika i jedno dla hasła. Poniżej pola hasła znajduje się tekst Logowanie do: a następnie nazwa domeny, w której komputer jest przyłączony. Jeśli na przykład domena ma nazwę example.com, tekst odczytuje Zaloguj się do: EXAMPLE.

  4. W polu Nazwa użytkownika wpisz nazwę użytkownika domeny.

  5. W polu Hasło wpisz hasło domeny, a następnie kliknij strzałkę lub naciśnij ENTER.

Note

Jeśli ekran Inny użytkownik nie zawiera tekstu Zaloguj się do: i nazwy domeny, należy wprowadzić nazwę użytkownika w formacie domena\użytkownik. Aby na przykład zalogować się do domeny example.com przy użyciu konta o nazwie User-01, wpisz example\User-01.

Dołącz do domeny i zaloguj się, korzystając z konfiguracji profilu sieci bezprzewodowej przez użytkowników za pomocą Bootstrap.

W przypadku tej metody należy wykonać kroki opisane w sekcji Ogólne kroki, a następnie udostępnić użytkownikom należącym do domeny instrukcje dotyczące ręcznego konfigurowania komputera bezprzewodowego przy użyciu profilu bezprzewodowego bootstrap. Bootstrap profil bezprzewodowy umożliwia użytkownikowi nawiązanie połączenia bezprzewodowego, a następnie przyłączenie do domeny. Po dołączeniu komputera do domeny i ponownym uruchomieniu użytkownik może zalogować się do domeny za pośrednictwem połączenia bezprzewodowego.

Ogólne kroki

  1. Skonfiguruj konto administratora komputera lokalnego w Panelu sterowania dla użytkownika.

    Important

    Aby dołączyć komputer do domeny, użytkownik musi być zalogowany na komputerze przy użyciu konta administratora lokalnego. Alternatywnie użytkownik musi podać poświadczenia dla konta administratora lokalnego podczas procesu dołączania komputera do domeny. Ponadto użytkownik musi mieć konto użytkownika w domenie, do której użytkownik chce dołączyć komputer. Podczas procesu dołączania komputera do domeny użytkownik zostanie poproszony o podanie poświadczeń konta domeny (nazwy użytkownika i hasła).

  2. Podaj użytkownikom domeny instrukcje dotyczące konfigurowania profilu bezprzewodowego bootstrap, zgodnie z poniższą procedurą Aby skonfigurować profil bezprzewodowy bootstrap.

  3. Ponadto należy podać użytkownikom zarówno poświadczenia komputera lokalnego (nazwę użytkownika i hasło), jak i poświadczenia domeny (nazwa konta użytkownika domeny i hasło) w postaci DomainName\UserName, a także procedury "Przyłącz komputer do domeny", a także "Zaloguj się do domeny", zgodnie z opisem w Przewodniku po sieci podstawowej systemu Windows Server 2016.

Aby skonfigurować profil początkowy sieci bezprzewodowej

  1. Użyj poświadczeń dostarczonych przez administratora sieci lub specjalistę pomocy technicznej IT, aby zalogować się na komputerze przy użyciu konta administratora komputera lokalnego.

  2. Kliknij prawym przyciskiem myszy ikonę sieci na pulpicie, a następnie kliknij pozycję Otwórz Centrum sieci i udostępniania. Zostanie otwarte Centrum sieci i udostępniania . W obszarze Zmienianie ustawień sieci kliknij pozycję Skonfiguruj nowe połączenie lub sieć. Zostanie otwarte okno dialogowe Konfigurowanie połączenia lub sieci .

  3. Kliknij przycisk Ręcznie połącz się z siecią bezprzewodową, a następnie kliknij przycisk Dalej.

  4. W oknie Ręczne nawiązywanie połączenia z siecią bezprzewodową w polu Nazwa sieci wpisz nazwę SSID punktu dostępowego (AP).

  5. W obszarze Typ zabezpieczeń wybierz ustawienie podane przez administratora.

  6. W polu Typ szyfrowania i Klucz zabezpieczeń wybierz lub wpisz ustawienia podane przez administratora.

  7. Wybierz pozycję Uruchom to połączenie automatycznie, a następnie kliknij przycisk Dalej.

  8. W Pomyślnie dodanoTwój SSID sieci, kliknij Zmień ustawienia połączenia.

  9. Kliknij pozycję Zmień ustawienia połączenia. Zostanie otwarte okno dialogowe Właściwości sieci bezprzewodowej SSID Twojej Sieci.

  10. Kliknij kartę Zabezpieczenia, a następnie w obszarze Wybierz metodę uwierzytelniania sieciowego wybierz pozycję Chroniony protokół EAP (PEAP).

  11. Kliknij przycisk Ustawienia. Otwiera się strona Właściwości chronionego protokołu EAP (PEAP).

  12. Na stronie Właściwości chronionego protokołu EAP (PEAP) upewnij się, że nie wybrano opcji Weryfikuj certyfikat serwera , kliknij przycisk OK dwa razy, a następnie kliknij przycisk Zamknij.

  13. Następnie system Windows próbuje nawiązać połączenie z siecią bezprzewodową. Ustawienia profilu bezprzewodowego bootstrap określają, że należy podać poświadczenia domeny. Gdy system Windows wyświetli monit o podanie nazwy konta i hasła, wpisz poświadczenia konta domeny w następujący sposób: Nazwa domeny\Nazwa użytkownika, Hasło domeny.

Aby dołączyć komputer do domeny

  1. Zaloguj się na komputerze przy użyciu konta administratora lokalnego.

  2. W polu tekstowym wyszukiwania wpisz PowerShell. W wynikach wyszukiwania kliknij prawym przyciskiem myszy program Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator. Zostanie otwarty program Windows PowerShell z podwyższonymi uprawnieniami.

  3. W programie Windows PowerShell wpisz następujące polecenie, a następnie naciśnij ENTER. Upewnij się, że zmienna DomainName została zastąpiona nazwą domeny, którą chcesz dołączyć.

    Add-Computer Nazwa domeny

  4. Po wyświetleniu monitu wpisz nazwę użytkownika domeny i hasło, a następnie kliknij przycisk OK.

  5. Zrestartuj komputer.

  6. Postępuj zgodnie z instrukcjami w poprzedniej sekcji Zaloguj się do domeny przy użyciu komputerów z systemem Windows 10.

  • Last updated on