运用windowsserver控管企业的网路环境.ppt

Microsoft WLAN tech. 中正通訊 卓瑩鎗 Outline Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Card Conclusion Impressions Reference 測試環境 四台桌上型 一台筆記型 三台AP (ASUS D-link SMC) Win 2003 server * 2 Win XP * 3 普通讀卡機＋晶片卡 用戶端環境 內建 Windows WPA Client Windows XP SP2 並使用支援 Wireless Zero Configuration 服務的無線網路介面卡 WPA2/WPA2-PSK：下載 KB893357 安裝 下載安裝 Windows WPA Client (KB826942) Windows XP Service Pack 1 (SP1)並使用支援 Wireless Zero Configuration 服務的無線網路介面卡 安裝 KB893357 解決方案 WPA-PSK 、 WPA2-PSK SOHO 使用 Dynamic WEP、WPA 、WPA2 PEAP and passwords 不打算部署用戶端憑證 沒有 AD 的中小企業可用，有 AD 更佳 PEAP and Certificate PEAP and Smart Card 安全度高、使用便利(Certificate)、成本較高(Smart Card) PEAP and Passwords 環境需求 用戶端 Windows Server 2003、Windows XP (Windows 2000 需更新至 SP3 含以上) 無線存取點 支援 802.1x Dynamic WEP 或 WPA/WPA2 驗證伺服器 (RADIUS Server) Windows Server 2003 IAS 電腦憑證 (向憑證授權單位登記) 憑證授權單位 Windows Server 2003 CA (或使用其他受信任的 CA) Active Directory 可以沒有，但為降低部署成本與容易管理，建議使用 PEAP and Passwords 的運作 先行知識 IAS 是 Microsoft 的「遠端驗證撥號使用者服務 (RADIUS)」伺服器的實作 Domain Controller Active Directory Policy 桌面全黑的是client測試台 沒有安裝AD，停掉ASP，準備2003光碟 01 安裝『憑證授權單位』 網際網路服務，win IIS 02 設定『網際網路驗證服務』 03 設定 Wireless AP 使用 WPA 驗證 04 設定 Wireless Client 使用 WPA 的 PEAP 存取網路 PEAP and Certificate 環境需求 用戶端 Windows Server 2003、Windows XP 使用者需向 CA 登記『使用者憑證』 無線存取點 支援 802.1x Dynamic WEP 或 WPA/WPA2 驗證伺服器 (RADIUS Server) Windows Server 2003 IAS 電腦憑證 (向憑證授權單位登記) 加入 Active Directory Domain 憑證授權單位 Windows Server 2003 Enterprise CA Active Directory 必需要有 PEAP and Certificate 的運作 有安裝AD（EIAS），停掉ASP，準備2003光碟 05 架設 Enterprise CA 設定wireless users群組 06 設定自動登記伺服器與使用者憑證 07 設定 IAS （下指令gpupdate /force，群組原則安裝整理，IAS登錄在AD上，進AP去改IP設定） 08 未加入 Domain 的 Client 登記憑證 （因為未加入Domain，所以訪客不能直接去certsrv網站） EAP類型:PEAP，驗證方法要選:智慧卡或其他驗證方法 09 設定 Wireless Client 使用 WPA 的 PEAP with Certificate 存取網路 PEAP and Smart Card 環境需求 用戶端 Windows Server 2003、Windows XP 需安裝讀卡機裝置(含驅動程式)與 Smart Card 軟體 需取得管理者所核發的 Smart Card Smart Card 註冊代理站 加入 AD 的 XP 或 2003 安裝讀卡機與 Smart Card 軟體 管理者用來為使用者製發 Smart Card