如何在 Windows 2000 中支持无线连接

文章编号: 318710 - 查看本文应用于的产品
展开全部 | 关闭全部

本页

概要

本分步指南介绍如何配置 Windows 2000 域以在无线网络中支持使用 IEEE 802.11 访问和 IEEE 802.1x 身份验证的基于 Microsoft Windows XP Professional 的客户机。

要求

要部署使用可扩展身份验证协议-传输级别安全性 (EAP-TLS) 的 Windows XP Professional 客户端,您必须配置下列各项:
  • 使用无线网络适配器的 Windows XP Professional 客户机。
  • 运行 Windows 2000 Internet 验证服务 (IAS) 的服务器,用于进行远程验证拨号用户服务 (RADIUS) 身份验证。
  • 支持 IEEE 802.1x 身份验证的无线访问点 (WAP)。
此外,还必须在 Windows 2000 域中安装下列组件:
  • Windows 2000 Service Pack 2 (SP2)。有关如何获取最新的 Windows 2000 Service Pack 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    260910
    (http://support.microsoft.com/kb/260910/ )
    如何获取最新的 Windows 2000 Service Pack
  • Windows 2000 IAS 的更新程序。有关如何获取此更新程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    304697
    (http://support.microsoft.com/kb/304697/ )
    RADIUS 属性的某些无线值不可用
  • Active Directory 的更新程序,它允许计算机帐户具有拨入属性。有关如何获取此更新程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    306260
    (http://support.microsoft.com/kb/306260/ )
    无法修改使用无线网络的计算机的拨入属性

如何配置证书服务器

为让无线客户机使用 EAP-TLS 进行身份验证,您必须在客户机和 IAS 服务器上安装计算机证书。无线客户机上的计算机证书用于获取与域的网络连接性。建立网络连接后,在用户登录时,将使用用户证书对无线访问进行身份验证。

注意:您还必须在 IAS 服务器上安装一个计算机证书,这样 IAS 服务器就可以在 EAP-TLS 身份验证过程中向无线客户机发送一个证书以用于相互身份验证。

在简单的实现中,配置单一企业根证书颁发机构 (CA) 来颁发计算机证书和用户证书。如果在无线客户机上安装计算机证书或用户证书,还会同时安装颁发 CA 的根 CA 证书。

在 IAS 服务器上安装计算机证书时,还会同时安装颁发 CA 的根 CA 证书。无线客户端和 IAS 服务器都具有执行 EAP-TLS 身份验证所必需的证书。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
231881
(http://support.microsoft.com/kb/231881/ )
如何安装/卸载 Windows 2000 的公钥证书颁发结构
313234
(http://support.microsoft.com/kb/313234/ )
如何在 Windows 2000 中更改证书颁发机构 (CA) 的策略设置
如想进一步了解如何自动将证书分配到域中的每一个计算机,请按照下列步骤操作:
  1. 单击开始,然后单击帮助
  2. 单击搜索选项卡,键入下列文字,然后单击列出主题
    配置从企业 CA 的自动证书分配
  3. 在“选择主题”列表中,单击“配置从企业 CA 的自动证书分配”,然后单击显示

如何为无线访问配置 Active Directory 帐户和组

要配置 Active Directory 以支持无线访问,请执行下列操作:
  1. 为每个用户创建一个帐户。
  2. 为每个无线计算机创建一个帐户。
  3. 对每个计算机帐户授予远程访问权限。
  4. 对每个用户帐户授予远程访问权限。
  5. 将用户和组帐户组织为通用和全局组,以应用基于组的远程访问策略设置。
有关如何在 Windows 2000 域中支持无线连接的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
318750
(http://support.microsoft.com/kb/318750/ )
在 Windows 2000 中为无线访问配置 Active Directory 帐户和组

如何配置主 IAS 服务器和辅 IAS 服务器

  1. 在 Windows 2000 域控制器上安装和配置一个主 IAS 服务器和一个辅 IAS 服务器。有关如何执行此操作的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    317588
    (http://support.microsoft.com/kb/317588/ )
    如何在域控制器上配置主 Internet 验证服务服务器
    317589
    (http://support.microsoft.com/kb/317589/ )
    如何在域控制器上配置辅助 Internet 验证服务服务器
  2. 将 WAP 作为网络地址服务器 (NAS) 客户端添加到 IAS 服务器。
  3. 为无线访问内部网络创建远程访问策略设置。为此,请按照下列步骤操作:
    1. 单击开始,指向程序,指向管理工具,然后单击 Internet 验证服务
    2. 右键单击远程访问策略,然后单击“新建远程访问策略”。
    3. 在“策略的好记的名称”框中,键入您要使用的名称,然后单击下一步

      例如,键入无线访问内部网络
    4. 单击添加,单击 Windows 组,单击添加,然后再次单击添加
    5. 单击要对其应用远程访问策略设置的组,单击添加,单击确定,然后再次单击确定

      条件框中将列出“Windows 组匹配‘域名\组名’”。
    6. 单击添加,单击 NAS-Port-Type(NAS 端口类型),然后单击添加
    7. 在“可用类型”下,根据您具有的 WAP 的类型,单击 Wireless-Other(无线-其他)或 Wireless-IEEE 802.11(无线-IEEE 802.11),单击添加,然后单击确定。(如果您无法配置 NAS 端口类型并且客户机被拒绝访问,请查找系统事件日志中的 IAS 错误并确认错误信息中的 NAS 端口类型与您的策略中设置的类型是否匹配。)
    8. 单击下一步,单击“授予远程访问权限”,然后单击下一步
    9. 单击编辑配置文件,然后单击身份验证选项卡。
    10. 单击以选中可扩展的身份验证协议复选框,然后单击以清除所有其他复选框。
    11. 在“选择此策略可接受的 EAP 类型”列表中,单击“智能卡或其它证书”。

      注意:如果 IAS 服务器上安装了多个证书,请单击配置,然后单击适当的计算机证书。
    12. 单击应用,然后单击加密选项卡。
    13. 单击以清除最强加密之外的所有复选框。

      注意:如果 WAP 不支持加密,请单击以清除所有复选框,然后单击以选中无加密复选框。
    14. 单击确定,如果提示您查看远程访问“帮助”主题,请单击,然后单击完成
  4. 创建用于无线访问 Internet 的远程访问策略设置。为此,请按照下列步骤操作:
    1. 单击开始,指向程序,指向管理工具,然后单击 Internet 验证服务
    2. 右键单击远程访问策略,然后单击“新建远程访问策略”。
    3. 在“策略的好记的名称”框中,键入您要使用的名称,然后单击下一步

      例如,键入无线访问 Internet
    4. 单击添加,单击 Windows 组,单击添加,然后再次单击添加
    5. 单击要对其应用远程访问策略设置的组,单击添加,单击确定,然后再次单击确定

      条件框中将列出“Windows 组匹配‘域名\组名’”。
    6. 单击添加,单击 NAS-Port-Type(NAS 端口类型),然后单击添加
    7. 在“可用类型”下,根据您具有的 WAP 的类型,单击 Wireless-Other(无线-其他)或 Wireless-IEEE 802.11(无线-IEEE 802.11),单击添加,然后单击确定
    8. 单击下一步,单击“授予远程访问权限”,然后单击下一步
    9. 如果 WAP 支持虚拟局域网 (VLAN),请执行下列操作:
      1. 单击编辑配置文件,然后单击高级选项卡。
      2. 单击添加,单击隧道类型,单击添加,然后再次单击添加
      3. 在“属性值”列表中,单击虚拟 LAN (VLAN),单击确定,然后再次单击确定
      4. 在“RADIUS 属性”列表中,单击 Tunnel-Pvt-Group-ID,单击添加,然后再次单击添加
      5. 在“输入属性值所用的格式”框中,键入连接到 Internet 的 VLAN 的属性值。
      6. 单击确定,单击确定,单击关闭,然后单击确定
    10. 单击完成
  5. 如果列出了称为“如果启用拨入许可,就允许访问”的默认远程访问策略设置,则将其删除。

    为此,请右键单击该策略设置,然后单击删除。当提示您确认删除时,单击
  6. 将远程访问策略设置复制到其他 IAS 服务器。
有关如何创建远程访问策略设置的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
313082
(http://support.microsoft.com/kb/313082/ )
如何在 Windows 2000 中实施远程访问安全策略

如何在无线访问点配置 RADIUS 记帐和身份验证

配置 WAP 以使用 IAS 服务器进行 RADIUS 记帐和身份验证。在每个 WAP 上,为每个主 IAS 服务器和辅 IAS 服务器输入下列信息:
  • Internet 协议 (IP) 地址或主机名。
  • 共享的机密。
  • 用于身份验证和记帐的用户数据报协议 (UDP) 端口。
有关如何配置 WAP 的其他信息,请参考 WAP 文档。 有关如何与计算机硬件制造商联系的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
65416
(http://support.microsoft.com/kb/65416/ )
硬件和软件第三方供应商联系人列表,A-K

60781
(http://support.microsoft.com/kb/60781/ )
硬件和软件第三方供应商联系人列表,L-P

60782
(http://support.microsoft.com/kb/60782/ )
硬件和软件第三方供应商联系人列表,Q-Z
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。

如何在无线客户机上安装计算机证书和用户证书

在无线客户机上安装计算机证书和客户端证书。如果您已将域配置为自动将证书分配给连接到该域的计算机,则可以使用无线连接将客户机连接到该域。计算机证书是自动颁发的。

对于使用 EAP-TLS 的用户身份验证,请配置用户证书或智能卡身份验证。
  • 对于智能卡身份验证,可配置一个注册站,然后颁发具有映射到各个用户帐户的证书的智能卡。
  • 对于基于用户证书的身份验证,计算机必须从内部网络上的 Windows 2000 CA 请求用户证书。
253498
(http://support.microsoft.com/kb/253498/ )
如何安装用于 IP 安全的证书
回到顶端 | 提供反馈

参考

有关使用 Windows XP 和 Windows 2000 IAS 进行 IEEE 802.11 的企业部署的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/default.mspx
(http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/default.mspx)
回到顶端 | 提供反馈

属性

文章编号: 318710 - 最后修改: 2007年5月30日 - 修订: 4.1
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbhowtomaster KB318710
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端