管理员操作手冊

环境应用示意图如下:

clip_p_w_picpath003

用户账户处理方法

1. 把用户账户以下位置选择:

clip_p_w_picpath005

2. 创建一个Wireless User Group组,把用户的AD账户加到Wireless User Group ,然后将用户的电脑搬到ou--wireless组里面来

clip_p_w_picpath007

clip_p_w_picpath009

3. Wireless组里的Group policy会在一小时内自动推送到用户的电脑,或可在用户电脑里面用命令”gpupdate /force”作更新

外来者需要使用Wireless处理方法

1. 首先同样为外来者建一个GROUP,然后开一个临时的账户,设定何时过期,(这个可以在AD用户属性里面设定用户只可以在哪段时间可以登录域,因为开的是临时账户所以需要这个设定为安全着想)并加入 Wireless Travellers Group,然后用手工方式去做设定即可.

clip_p_w_picpath011

服务搭建篇:IAS服务器的

1. 在Windows 2003 domain controller里安装 Networking services -> IAS 服务

clip_p_w_picpath013

clip_p_w_picpath015

2. 打开IAS管理工具

clip_p_w_picpath017

3. 登記IAS到AD

clip_p_w_picpath019

4. 在IAS的属性里选 ”Rejected authentication requests” 和 “successful authentication requests”

clip_p_w_picpath021

clip_p_w_picpath023

5. 建立一个新的Remote Access Policy,取名为 Wireless Access Policy,加一个Wireless Users组进行,详细情况请看图

clip_p_w_picpath025

clip_p_w_picpath027

clip_p_w_picpath029

clip_p_w_picpath031

clip_p_w_picpath033

clip_p_w_picpath035

6. Authentication Methods 应选PEAP

clip_p_w_picpath037

7. Eap types是 EAP-MSCHAP v2

clip_p_w_picpath039

clip_p_w_picpath041

clip_p_w_picpath043

8. 完成后的样子

clip_p_w_picpath045

9. 重复以上步骤再建一个” Travellers Wireless Access Policy”,加入WirelessTravellers组里面,结果如下

clip_p_w_picpath047

10. 在RADIUS Client里,选 “New RADIUS Client”

clip_p_w_picpath049

11. 把需要连接的AP的 IP打进去,并改一个”Friendly name”

clip_p_w_picpath051

12. 在这个画面,按照密码策略(大小写,数字加英文八位数)改一个shared secret,记录下來,因晚一点设定AP时需要

clip_p_w_picpath053

13. 完成后的画面大若是这样的

clip_p_w_picpath055

AP

1. 登入AP后,在下图位置鍵入需要的参数,但SSID Broadcast必须为Disabled

clip_p_w_picpath057

2. 在下图位置选WPA-Enterprise, TKIP, Radious server IP就是IAS的IP,Shared secret需要和之前在IAS里打的一样,然后Save settings

clip_p_w_picpath059

无线用户权限设定

用戶必須加到 Wireless User Group,外来者必須加到 Wireless Travellers Group 等,才可通过IAS順利认证登录无线网络

clip_p_w_picpath061

利用组策略設定用戶端的无线网络

1. 在ou下的Computers里都会有一个名叫Wireless的ou,把需利用组策略设定无线的电脑搬进去

2. 该wireless ou里有一条group policy,內容如下

clip_p_w_picpath063

clip_p_w_picpath065

Wireless Network Policy的详细内容应和手动指定的一样便可以

1手动为用戶端设定

1. 在无线网络的属性里

clip_p_w_picpath067

A. 添加項目如下

clip_p_w_picpath069

clip_p_w_picpath071

B. PEAP的属性如下

clip_p_w_picpath073

C. 在EAP-MSCHAP v2的属性则请特別注意

clip_p_w_picpath075

如果该PC是域用戶,该用户已添加到WirelessUsers组里边,以上窗口里边的小框需要点选上,那他的PC连AP时会自动利用AD账户来登录

如果该PC是外来者,我们需要在AD里建一个临时的账户,把它加到WirelessTravellers组里面,這个账户名可能和他在本地使用的有出入,所以以上窗口不可把上面的上框点选上,结果是连接的时候才会弹出一对话框

clip_p_w_picpath077

点选右下角的提示,便会有以下窗口让你输入我们为该用户创建的临时账户及密码及域名

clip_p_w_picpath079

除錯

1. 首先肯定用戶和电脑的Group policy已做好

2. 在用戶端gpupdate可更新Group policy

3. 如果用户曾经成功用PEAP连接到我們网络,資料便会保存在该PC里,导致再连线时使用该资料再自动登入,要更正这个问题,请看http://support.microsoft.com/kb/823731

4. 有時候用戶连线会失败,检查IAS里的Event Viewer为最好的除错办法

clip_p_w_picpath081

成功的消息

Event Type: Information

Event Source: IAS

Event Category: None

Event ID: 1

Date: 1/21/2008

Time: 3:42:23 PM

User: N/A

Computer: allan

Description:

User K\allanfan was granted access.

Fully-Qualified-User-Name =k.local /Users/wireless/allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0316b6548cb2

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.24

Calling-Station-Identifier = 0004751ad216

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Policy-Name = Wireless Access Policy

Authentication-Type = PEAP

EAP-Type = Secured password (EAP-MSCHAP v2)

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

失败消息(例:用户了域名)

Event Type: Error

Event Source: IAS

Event Category: None

Event ID: 3

Date: 10/21/2009

Time: 3:41:49 PM

User: N/A

Computer: allan

Description:

Access request for user k.local\allanfan was discarded.

Fully-Qualified-User-Name = k.local\allanfan

NAS-IP-Address = 172.16.10.20

NAS-Identifier = 0016b6548cb2

Called-Station-Identifier = 0416b6548cb2

Calling-Station-Identifier = 005e351ad216

Client-Friendly-Name = allanAP

Client-IP-Address = 172.16.10.23

NAS-Port-Type = Wireless - IEEE 802.11

NAS-Port = 30

Proxy-Policy-Name = Use Windows authentication for all users

Authentication-Provider = Windows

Authentication-Server = <undetermined>

Reason-Code = 5

Reason = The user account domain cannot be accessed.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Data:

0000: 00 00 00 00 ....

关于WPA技术和Microsoft参考资料

Wireless LAN Technologies and Microsoft Windows

http://www.microsoft.com/technet/network/wifi/wrlsxp.mspx

Wireless Deployment Technology and Component Overview

http://www.microsoft.com/technet/network/wifi/wificomp.mspx

Deployment of Protected 802.11 Networks Using Microsoft Windows

http://www.microsoft.com/technet/network/wifi/ed80211.mspx