Microsoft WLAN 的历史
移动计算设备 (如膝上型电脑和个人数字助理 PDA) 数量的增长,以及用户想一直连接到网络上而不受“接入区域”限制 (因为“接入区域”会限制用户使其不能移动办公) 的需求都刺激了无线访问企业局域网 (LAN) 的需求。Microsoft 一直致力于为最终用户提供一种可随时随地使用我们的增强产品的连接,并兑现其为用户提供一种安全可靠的企业无线网络基础设施的承诺。
Microsoft 是第一家将无线局域网技术作为有线连接膝上电脑备选方案的大型企业。由于 IEEE 802.11 WLAN 标准最近被批准为一种国际标准,因而 Microsoft 欣然将 IEEE 802.1b 扩展标准认可为新发布的标准 (于 1999 年 9 月 16 日批准),并于 1999 年 12 月开始在其 Redmond 企业园区部署 IEEE 802.11b。自此以后,Microsoft 一直积极投身于改进和引领 IEEE 802.11 标准,并致力于增强和提高数据加密、身份验证功能以及网络可靠性。
数据挖掘研究院
在 IEEE 802.11b 批准后不久,IEEE 802.1 MAC Bridging 小组便开始研究从 IEEE 802.1X 扩展到 802.1 桥接标准的工作,主要研究方向是对局域网网络 (如 IEEE 802.3 (Ethernet)、IEEE 802.5 (令牌网)、光线分布式数据接口 (FDDI) 和 IEEE 802.11) 验证端口访问的支持。
开始时,Microsoft 只是将无线连接作为普通有线连接的补充提供。并没有将它作为最终用户的主要网络连接设备。但是,由于无线连接的特点可使员工们参与即席讨论、进行软件演示并将工作带至会场,这些都提高了他们的工作效率,因而 WLAN 很快成为人们理想的连接方式。
在 Redmond 园区的首次演示结束之后,Microsoft 便拥有了世界上最大的企业 WLAN。几乎是同时的,Microsoft 开始面对大型 WLAN 的部署、集成以及维护问题。从包含 2,800 个无线访问点 (AP) 和 19,000 个无线网络适配器的首次部署开始,Microsoft 从一开始就要处理网络的安全性和伸缩性问题。例如,Microsoft 意识到 MAC 地址过滤和早期的 VPN 解决方案不能作为支持全球 WLAN 的可伸缩最终解决方案。
在园区进行的首次 802.11b 演示中,Microsoft 使用静态 WEP 128 位加密密钥用于数据加密,并使用 IEEE 802.11 共享密钥用于身份验证。对 WEP 和共享密钥身份验证所做出的持续安全性妥协消息促使 Microsoft 积极面对无线局域网基础设施的安全性问题。结果便产生了当前的 WLAN 部署,即使用 802.1X 基于证书的 EAP-TLS 身份验证,并对每个会话使用 WEP 密钥。
Microsoft 继续在 IEEE 802.11i 安全性任务小组中进行身份验证和数据加密方面的安全性研究工作。同时,Microsoft 还对其他领域作出了贡献,满足了最终用户对无线网络适配器的“全球模式”操作需求,还提供了一种用于连接相关信息会话的内部无线 AP 协议。
在认识到无线技术为其用户和客户带来了方便的同时,Microsoft 还意识到了将无线技术引入到企业网络所带来的新威胁。
Microsoft WLAN 技术
Microsoft WLAN 利用了以下技术:
IEEE 802.11b
IEEE 802.1X
EAP-TLS 身份验证
RADIUS
Active Directory
证书
IEEE 802.11b
IEEE 802.11 是一个共享无线局域网 (WLAN) 的行业标准,它为无线通信定义了物理层和介质访问控制 (MAC) 子层。IEEE 802.11b 是最初 IEEE 802.11 规范的增强规范。其主要增强表现在物理层的标准化,可以支持更高的比特率。
IEEE 802.11b 支持两种其他的传输速率,5.5 Mbps 和 11 Mbps,使用工业、科学及医药设备 (ISM) 的 2.45 GHz 频段。“直接序列展频”(DSSS) 调制方案可用于提供更高的数据传输速率。理想状态下可以达到 11 Mbps 的比特率。在不太理想的情况下,可使用 5.5 Mbps、2 Mbps 以及 1 Mbps 等较低速率。 数据挖掘研究院
IEEE 802.1X
802.1X 标准定义了基于端口的网络访问控制,用来为以太网提供经过验证的网络访问。这种基于端口的网络访问控制使用可交换 LAN 基础设施的物理特性来验证连接到 LAN 端口的设备。如果验证过程失败,会拒绝对端口的访问。虽然这个标准最初是为有线以太网设计的,但它同样适用于 802.11 无线 LAN。
为了给 IEEE 802.1X 提供标准的身份验证机制,选择了可扩展身份验证协议 (EAP)。EAP 是一种基于点对点协议 (PPP) 的身份验证机制,适用于点对点的 LAN 网段。EAP 消息一般作为 PPP 帧的有效负荷发送。为了使 EAP 消息能通过以太网或无线 LAN 网段传送,IEEE 802.1X 标准定义了 EAP over LAN (EAPOL) —— 一种封装 EAP 消息的标准方法。
EAP-TLS 身份验证
EAP 传输层级安全性 (EAP-TLS) 是 RFC 2716 中描述的一种 EAP 类型,用在基于证书的安全环境中。如果使用智能卡进行远程访问验证,则必须使用 EAP-TLS 身份验证方法。EAP-TLS 身份验证过程交换安装在访问客户端和验证服务器的证书,并提供交互式身份验证、完整性保护密码组合协商以及安全的密钥交换和鉴定。EAP-TLS 提供了一种非常强壮的身份验证方法。
远程验证拨号用户服务 (RADIUS)
远程验证拨号用户服务 (RADIUS) 是一种广泛部署的协议,实现了集中式的身份验证、授权以及网络访问计数。RADIUS 在 RFC 2865 中被描述为“远程验证拨号用户服务 (RADIUS)”(IETF 草案标准),在 RFC 2866 中的描述为“RADIUS 计数”(参考)。
最初,RADIUS 是为远程拨号访问而开发的,但是现在 RADIUS 已经广受支持,其中包括无线 AP、以太网验证交换机、虚拟专用网 (VPN) 服务器、数字用户线路 (DSL) 访问服务器以及其他网络访问服务器。
Windows 2000 Server 和 Windows Server 2003 家族提供的 Internet 身份验证服务 (IAS) 是 Microsoft 对 RADIUS 服务器和 RADIUS 代理 (适用于 Windows Server 2003 家族) 的一种实现。IAS 为多种类型的网络访问进行集中的连接身份验证、授权和计数,包括无线、相互身份验证、拨号和虚拟专用网 (VPN) 远程访问以及路由器到路由器的连接。IAS 支持 RFC 2865 和 RFC 2866,还支持额外的 RADIUS 扩展 RFC 以及 Internet 草案。IAS 中允许使用不同种类的无线、交换、远程访问或 VPN 设备,可以和 Windows 2000 Server 或 Windows Server 2003 路由及远程访问服务一起使用。
IAS 服务器作为基于 Active Directory 的域的成员时,IAS 使用 Active Directory 作为其用户计数数据库并将其作为单一登录解决方案的一部分。网络访问控制 (对网络的身份验证和授权访问) 使用同一套证书登录到基于 Active Directory 的主域访问资源。
Active Directory
Active Directory 是为分布式计算环境设计的一种目录服务。当作为网络安全管理中心时,Active Directory 允许企业集中管理以及共享网络资源和用户信息。除了提供 Windows 环境下的综合目录服务外,Active Directory 还被设计作为一种合并机制,用于隔离、迁移、集中管理和减少目录的数量。
为了进行无线访问,Active Directory 主域包含了要验证的用户和计算机的帐户,以及用于部署计算机证书的“组策略”设置。
证书
证书是一种使用公共密钥加密技术的数字签名声明,公共密钥加密技术绑定了对持有私有密钥的个人、设备或服务进行识别的公共密钥值。证书由证书颁发机构 (CA) 发布。公共密钥加密技术使用“公共密钥和私有密钥对”对消息进行加密或数字签名。有关公共密钥加密技术以及 Windows 2000 公共密钥基础设施的更多信息,请参见 Windows 2000 安全性服务网站.
设计和部署注意事项
Microsoft 的无线连接部署用于访问企业内部网 (以下均称为 Corpnet)。一旦进入 Microsoft Corpnet,便不再有限制员工或其他授权用户访问网络和公司资源的防火墙。
性能
因为 WLAN 的设计初衷只是作为 Microsoft 有线以太网 LAN 基础设施的补充,并未设计为其替代产品,因此平均每个无线 AP 上可供 2 至 4 个用户分享 11 Mbps 的速率。实际的吞吐量在 4 到 6.5 Mbps 之间。这种设计规则的结果是:在一个满载的 AP (25 个用户) 上,用户的体验和使用家用 DSL 或 电缆调制解调器 连接相类似。
为了保证能在集中了大量用户的高密度区域 (如会议室和培训教室) 下保持高性能的连接,可以采用其他技术。通过降低无线 AP 的传输功率,从 30 毫瓦 (mW) 降低到 15 或 5 毫瓦 (甚至低于 1 毫瓦),可以创建较小的覆盖区域。这样就可以在同一区域内放置更多的无线 AP。例如在一个 200 人的房间内,原本因为覆盖区载重叠而只能放置 3 个无线 AP,而采取这种策略后则可放置多个无线 AP,而且由于每个无线 AP 承载的无线客户端减少,每个无线客户端都能获得更好的平均带宽。
伸缩性:
Microsoft WLAN 的设计基础是直径 20 米的覆盖区域。这是为了确保可以对单个无线访问点的潜在失败进行冗余覆盖,并提供建筑内的无缝漫游。“Microsoft 信息技术组”(ITG) 负责检验无线 AP 的安装,以保证其和内部开发的任务检查清单保持一致。他们还检查每个无线 AP 的覆盖范围和网络连接情况。在工程方面,Microsoft 致力于研究降低覆盖面积、通过配置通道重叠覆盖区域,以及缓和蓝牙 (BT) 冲突。
漫游和移动性
在 Microsoft 的 WLAN 部署中,每个建筑物中所有的无线 AP 都在相同的 IP 子网上。因此,建筑内部的无线漫游天衣无缝。当无线客户端连接到不同的无线 AP 上,DHCP 更新过程只更新现有 TCP/IP 配置的使用期限。建筑内部漫游和 DHCP 更新协议过程更改了 TCP/IP 配置,这可能会导致那些不能正确处理 TCP/IP 配置更改的应用程序发生问题。不论哪种状况,由于 EAP-TLS 和证书的身份验证作用,用户都不会再获得关于 WLAN 的身份验证提示。
安全性
安全性设计元素包括:
身份验证
窃听
虚假无线AP
身份验证
Microsoft 选择 EAP-TLS (使用基于注册表的用户和计算机证书) 作为无线连接身份验证方法的原因是:
EAP-TLS 对用户帐户密码没有任何依赖性。
EAP-TLS 身份验证自动发生,通常不需要用户干预。
EAP-TLS 使用证书这种相对强大的身份验证方法。
EAP-TLS 交换受公共密钥加密技术保护,并且不受离线字典攻击的影响。
EAP-TLS 身份验证过程的结果是以交互式的方式为数据加密 (WEP 单播会话加密密钥) 和签名键入材料。
窃听
Microsoft WLAN 的无线通信使用以下几种方法来防止窃听:
用于 IEEE 802.1X 协商的 EAP 消息作为空白文本发送。不过,EAP-TLS 和公共密钥加密的使用可以阻止入侵者获得无线客户端或验证服务器所需的信息,以防冒充。
EAP-TLS 协商完成后,在验证无线客户端及其相关无线 AP 之间的所有通信将使用“WEP 多播/全球”或“单播会话密钥”加密。
数据挖掘研究院
通过监控 802.1X 交换、802.11 控制以及数据传输,窃听无线通信的入侵者可能获得以下信息:
每个 EAP-TLS 协商中涉及到的计算机和用户帐户名称
无线客户端和无线 AP MAC 地址
无线 AP 子网中节点的 MAC 地址
连接时间和断开时间
入侵者能够使用这种信息作长期的通信分析,从而获得有关用户或设备的详细信息。
对窃听有线网络的入侵者来说,在无线 AP、RADIUS 服务器以及代理之间发送的 RADIUS 消息的敏感属性受 RADIUS 共享密码的保护。
Microsoft WLAN 的虚假无线 AP
通过使用 EAP-TLS,可以防止虚假的无线 AP 访问 Microsoft WLAN,其中 EAP-TLS 提供了无线客户端与 RADIUS 验证服务器之间的相互身份验证。要冒充 Microsoft 公司的无线 AP,虚假无线 AP 与 Microsoft ITG RADIUS 服务器之间必须有一种安全性关系,这种关系通过在 RADIUS 服务器或代理以及 RADIUS 共享密码上将无线 AP 配置为一个 RADIUS 客户端来定义。如果无线 AP 不具备有这种安全关系和配置,将不能和 RADIUS 服务器交换 RADIUS 消息,因此也不能验证 802.1X 无线客户端。将虚假无线 AP 配置为一个虚假 RADIUS 服务器的 RADIUS 客户端是可能的。不过,默认情况下 Microsoft 无线客户端会验证 RADIUS 服务器的证书。因此,如果无线访问点的 RADIUS 服务器不能提供一个有效的证书和相应私有密钥信息的凭据,则无线客户端将会终止连接。
部署过程
Microsoft 的无线访问部署分为四个阶段:
1.预安装
2.安装
3.交付
4.展示给 Microsoft 用户
阶段 1:预安装
预安装涉及三个步骤:
1.基于“95% 的安装不需要特殊的天线”这一指导方针开发一个无线 AP 位置规划。
2.现场校验建议使用的无线 AP 位置,以检查是否存在实际冲突。
3.在开始安装前,将最终位置提交给 Microsoft ITG 设计师,等候批准。
阶段 2:安装
实际安装无线访问点时涉及以下步骤:
将无线 AP 和天线封装进阻燃外壳,以满足防火的安全需要。
使用不间断电源在备用电源上配置中央、低电压的电力供应。
构建 RADIUS 基础设施。
阶段 3:交付
交付阶段涉及以下步骤:
抽查无线访问点安装是否和任务检查清单一致。
验证每个无线 AP 的 RF 覆盖和网络连接情况。
提交“竣工”文档,并在其中反映每个无线 AP 的最终布置。
阶段 4:在 Microsoft 用户中全面部署 数据挖掘研究院
在 Microsoft 用户中全面部署涉及以下步骤:
创建加密 API 组建对象模型 (CAPICOM) 脚本以安装证书
创建网站以存储有关说明、更新驱动程序和 CAPICOM 脚本的信息
通知网站用户获得无线访问的信息
要获得连接到 Microsoft 公司无线网络的无线连接所需的计算机和用户证书,计算机 (通常为无线膝上型电脑) 必须使用以太网连接技术连接到 Microsoft Corpnet。
要获得更多关于 CAPICOM 的信息,请参见加密技术、加密 API 和 CAPICOM.
当前部署和基础设施
当前,Micosoft WLAN 在全世界范围内安装的无线访问点超过 3,200 个。这种大规模的部署对 Microsoft 如何保证安全性和进行身份验证构成了独特的挑战。Microsoft ITG 调动了几个部门专门来从事创建和部署 802.11 WLAN 解决方案的工作。最终用户服务 (EUS)、企业安全性、企业网络工程以及企业服务器支持工作组为广大用户提供了安全的 Microsoft WLAN 综合测试及部署方案。
当前的 WLAN 的部署包括以下几个组件:
Active Directory 域控制器
Windows 2000 CA
运行 Windows XP 的无线客户端
Cisco Aironet 340 和 350 系列访问点
运行 Windows Server 2003 的 RADIUS 服务器和代理
Active Directory 域控制器
Microsoft Corpnet 使用本机模式域,而且域控制器应运行 Windows Server 2003 家族中的一个成员。过渡到 Windows Server 2003 的过程中,域控制器必须运行带有 Service Pack 2 (SP2) 的 Windows 2000 Server,还需要具有可使计算机帐户具有拨号属性的 Active Directory 补丁,还需要安装 Schannel 证书映射器 (这些补丁已经包括在 Windows 2000 Service Pack 3 中)。有关这些组件的链接,请参见本文中的“相关链接”部分。Microsoft Corpnet 内部有以下 Active Directory 森林:
Corpnet.ms.com
NT.Dev
Win.SE
Win.Deploy
corpnet.ms.com 森林包含 corpnet.ms.com 域和一系列的子域,这些子域代表 Microsoft Corporation 的主要地理区域。图 1 展示了这种结构。
正如森林结构为" Active Directory 所定义的,森林中任何域的成员服务器都可以对森林中任何域中任何帐户的凭据进行验证。例如,Redmond 域的成员服务器可以对北美洲、欧洲、南太平洋以及其他子域中的用户或计算机帐户凭据进行验证。
有关 Microsoft Corpnet Active Directory 基础设施的更多信息,请参见为 MS Internal Corpnet 设计和部署 Active Directory 服务。
用户和计算机帐户的拨号选项卡上的远程访问许可被设置为通过远程访问策略控制访问。因为所有有效的域和用户帐户都允许进行无线访问,所以在评估、授权以及确定连接限制条件时将忽略帐户的拨号属性。没有用于所有帐户 (指具有无线访问权限的帐户) 的全局组或通用组。更多信息,请参见本文中的“运行 Windows Server 2003 的 RADIUS 服务器和代理”部分。
Windows 2000 CA
为了给用户和计算机颁发用于无线访问的证书,以及提供吊销证书列表 (CRL) 发布,使用了现有 Microsoft PKI。为了与 Microsoft 建议的 PKI 最佳实践保持一致,Microsoft PKI 由以下部分组成:
根级别的脱机 CA
中间级别的脱机 CA
在线发布 CA
图 2 显示了这种层次结构。
这个" PKI 提供了适当的灵活性,并将根 CA 与试图损害私有密钥的用户恶意尝试分离开来。Microsoft PKI 中所有的 CA 均运行在 Windows 2000 成员服务器上。有关 PKI 的更多信息,请参见 Windows 2000 安全服务网站。 数据挖掘研究院
要发布计算机证书,需要在用于所有森林的适当的域的系统容器上配置自动注册 (使用自动证书请求设置)“计算机配置组策略”设置。在更新“计算机配置组策略”设置后,所有成员计算机从适当的 CA 请求并获得计算机证书。
要发布用户证书,Microsoft ITG 工作人员创建了 CAPICOM 脚本。因为在 Windows 2000 企业 CA 中不能自动注册用户证书,所以可以使用另一种备选方案“Web 注册”,这种方法使用证书管理单元请求或导入用户证书,或使用 CAPICOM 脚本。之所以选择使用 CAPICOM 脚本是因为这种方法在选择证书设置时不需要用户干预。
为了指导 Microsoft 用户并提供一个运行 CAPICOM 脚本的位置,Microsoft ITG 工作人员创建了一个内部网站。CAPICOM 脚本用于检验是否已安装了用户或计算机证书。如果没有,脚本会促使计算机从相应的 CA 颁发机构 请求用户或计算机证书。
计算机证书 (通过自动注册安装) 和用户证书 (通过 CAPICOM 脚本安装) 在计算机使用以太网连接到 Microsoft Corpnet 时便可获得。
运行 Windows XP 的无线客户端
Microsoft 为无线客户端准备的操作系统平台是 Microsoft Windows XP,它包含内置的 802.11 和 802.1X 支持。无线客户端用户使用 Windows XP 零配置服务便可连接到 Microsoft 公司的无线网络。默认设置将启用 WEP 加密,使用 802.1X 身份验证,以及使用注册表证书的 EAP-TLS 身份验证方法。Microsoft 使用的所有无线网络适配器都支持 Windows XP 零配置服务。 数据挖掘研究院
如果某个 Microsoft 用户在家中拥有一个无线网络,则 Windows XP 零配置服务将允许该用户具有两种参数设置的无线网络:“Microsoft 公司无线网络”及其“家庭无线网络”。工作时,他们的无线膝上型电脑连接到 Microsoft 的公司网络。在家时,则连接到家庭无线网络。每个无线网络都可以拥有自己的配置,包括无线网络类型 (基础设施和特殊设施) 和身份验证以及加密设置。
Cisco Aironet 340 和 350 系列访问点
Microsoft 无线局域网使用运行 Wireless IOS 11.21 (或更高版本) 的 Cisco Aironet 340 和 350 系列访问点。这些无线 AP 最初安装为最小配置,设计用来提供 TCP/IP 和简易网络管理协议 (SNMP) 访问。提供无线连接服务时会启动 Microsoft 设计的 PERL SNMP 脚本,该脚本将配置无线 AP 的标准设置以及一些个人设置,如从标准查询语言 (SQL) 数据库中提取的通道数和信号强度。访问点固件和通信固件软件通过升级每个建筑物内单独的无线 AP 部署,然后使用无线访问点的“分布映像”能力将映像传输到建筑物内的所有无线 AP。
所有的无线 AP 都配置为两个 RADIUS 服务器的 RADIUS 客户端,每台服务器都是 corpnet.ms.com 森林子域中的成员服务器。NT.Dev、Win.SE 和 Win.Deploy 森林中的 RADIUS 服务器下没有任何无线 AP。图 3 展示了这种配置。 数据挖掘研究院
尽管无线" AP 使用一个主要 RADIUS 服务器和一个次要 RADIUS 服务器进行配置,但无线 AP 的行为表现为一直独占使用主要 RADIUS 服务器,直至主要服务器不可用时才切换到次要 RADIUS 服务器并独占使用。如果次要 RADIUS 服务器不可用时,无线 AP 将切换回主要 RADIUS 服务器并独占使用。为了平衡域中所有无线 AP 的身份验证负载,大约一半的无线 AP 都配置了特定的主要和次要 RADIUS 服务器 (例如,主要服务器是 RAD1,次要服务器是 RAD2),而剩下的一半无线 AP 则具有相反的主要和次要 RADIUS 服务器配置 (例如,主要服务器是 RAD2,次要服务器是 RAD1)。这种手动无线 AP 配置可确保负载平衡:假设两个 RADIUS 服务器都可用,RADIUS 身份验证负载将近似平均分配到域中的两个 RADIUS 服务器。
运行 Windows Server 2003 的 RADIUS 服务器和代理
Microsoft WLAN 的 RADIUS 基础设施由一对域成员服务器组成,每台服务器都运行 Windows 2003 家族和 ISA。IAS 服务器充当 RADIUS 服务器和(或) RADIUS 代理。成对使用策略是为了在服务器对中的一个失效后提供故障恢复支持。
图 4 展示了 RADIUS 基础设施。
North" America 子域
North America(北美)包含大部分验证过的无线 AP 和帐户。为了适应这个沉重的负载,IAS 服务器被部署为 RADIUS 代理,用于处理所有的 RADIUS 通信。RADIUS 代理为 RADIUS 服务器提供 RADIUS 通信的负载平衡,还可以调整身份验证基础设施,而无需重新配置每个无线 AP。
一对 IAS 服务器充当 RADIUS 代理,将来自无线 AP 的消息发送至以下服务器:
对于 corpnet.ms.com 森林中的帐户,发送至北美 RADIUS 服务器。
对于 NT.Dev、Win.SE 或 Win.Deploy 森林中的帐户,发送到相应森林的 RADIUS 服务器。
这种发送过程通过以下顺序的连接请求策略配置完成:
对于 User-Name 属性以 corpnet.ms.com 结尾的身份验证请求,将请求通信转发至北美的远程 RADIUS 服务器组 (由 North America 域的两个 RADIUS 服务器组成 )。
对于 User-Name 属性以 NT.Dev.ms.com 结尾的身份验证请求,将请求通信转发至 NT.Dev 的远程 RADIUS 服务器组 (由 NT.Dev.ms.com 森林的两个 RADIUS 服务器组成)。
对于 User-Name 属性以 Win.SE.ms.com 结尾的身份验证请求,将请求通信转发至 NT.DevWin.SE.ms.com 的远程 RADIUS 服务器组 (由 Win.SE.ms.com 森林的两个 RADIUS 服务器组成)。
对于 User-Name 属性以 Win.Deploy.ms.com 结尾的身份验证请求,将请求通信转发至 NWin.Deploy.ms.com 的远程 RADIUS 服务器组 (由 Win.Deploy.ms.com 森林的两个 RADIUS 服务器组成)。
对于 Windows XP,在计算机身份验证过程中发送的计算机帐户名称格式为域/计算机帐户。与之相对,在用户身份验证过程中发送的用户帐户格式为用户帐户@域森林。为了适应不同的计算机帐户名称格式,为每个与计算机帐户名称相匹配并且将 RADIUS 通信转发至相应远程 RADIUS 服务器组的域创建了额外的请求策略。例如,为 North America 域中的计算机帐户创建的连接请求策略具有以下设置:对于 User-Name 属性以 North America/ 开头的身份验证请求,将请求通信转发至北美远程 RADIUS 服务器组。再举一个例子,为 NT.DEV 域中的计算机帐户创建的连接请求策略具有以下设置:对于 User-Name 属性以 NT.DEV/ 开头的身份验证请求,将请求通信转发至 NT.Dev 远程 RADIUS 服务器组。对于 Windows XP Service Pack 1 (SP1),在计算机身份验证过程中发送的计算机帐户名称格式为计算机帐户@域.森林,不需要额外的计算机帐户连接请求策略 数据挖掘研究院
在北美域中为整个北美区域 (不包括 Remond 企业园区) 内的无线 AP 使用了一个 RADIUS 代理层,用于平衡那些向北美远程 RADIUS 服务器组中的 IAS 服务器发出的身份验证请求负载。对于 North America 域中充当 RADIUS 服务器的 IAS 服务器,当身份验证请求的 User-Name 属性以 corpnet.ms.com 结尾时,将使用一个单一的请求连接策略执行身份验证。
有关使用 Windows Server 2003 IAS 充当 RADIUS 代理,以及连接请求策略配置的更多信息,请参见 Windows Server 2003 家族在线帮助。
其他子域
一对 IAS 服务器在 corpnet.ms.com 森林的其他子域中充当 RADIUS 服务器或代理,并执行以下任务:
对于 corpnet.ms.com 森林中的帐户,由 IAS 服务器执行身份验证。
对于 NT.Dev、Win.SE 和 Win.Deploy 森林中的帐户,消息将转发至相应森林中的 RADIUS 服务器。
这些操作通过以下顺序的连接请求策略配置完成:
对于 User-Name 属性以 corpnet.ms.com 结尾的身份验证请求,在此服务器上执行身份验证。
对于 User-Name 属性以 NT.Dev.ms.com 结尾的身份验证请求,将请求通信转发至 NT.Dev 远程 RADIUS 服务器组。
对于 User-Name 属性以 Win.SE.ms.com 结尾的身份验证请求,将请求通信转发至 Win.SE 远程 RADIUS 服务器组。
对于 User-Name 属性以 Win.Deploy.ms.com 结尾的身份验证请求,将请求通信转发至 Win.Deploy 远程 RADIUS 服务器组。
为了适应不同的计算机帐户名称格式,为每个匹配计算机帐户名称并将 RADIUS 通信转发至相应远程 RADIUS 服务器组的域创建了额外的请求策略。
NT.Dev、Win.SE 和 Win.Deploy 森林
在这些森林中的每个森林,都有一对 IAS 服务器充当 RADIUS 服务器并执行以下任务:
对于森林中的帐户,由 IAS 服务器执行身份验证。
这些操作通过以下顺序的连接请求策略配置完成:
对于 User-Name 属性以森林名称结尾的身份验证请求,在此服务器上执行身份验证。
无线远程访问策略设置
对于每台执行身份验证的 IAS 服务器 (同时充当 RADIUS 服务器执行授权),为其配置的无线远程访问策略具有以下设置:
条件:NAS-Port-Type=Wireless-IEEE 802.11
许可:授予远程访问许可。
数据挖掘实验室
配置文件,拨号限制选项卡:服务器在断开连接前可以维持的分钟数 (闲置超时) 设置为 120。这样可对超过两小时不活动的无线连接重新进行强制身份验证。
配置文件,身份验证选项卡:选中可扩展身份验证协议和智能卡或其他证书 EAP 类型。清除其他所有复选框。
配置文件,加密选项卡:清除最强健之外的所有复选框。这将强制所有的无线连接使用 128 位加密。
配置文件,高级选项卡:将忽略用户拨入属性属性设为 True。
为了简化授权评估和无线连接约束评估,并确保无线连接可以完成,所有充当 RADIUS 服务器的 IAS 服务器的无线程访问策略均被配置为忽略计算机和用户帐户的拨入选项卡设置。
集中记录到 SQL Server
使用 Windows Server 2003 IAS 中新的 SQL 记录功能,将所有的连接信息都记录到一台中心 SQL 服务器进行分析 (未在图 4 中表明)。
总结
Microsoft WLAN 是一个安全的无线网络,它结合了 IEEE 802.11b、IEEE 802.1X、EAP-TLS 基于证书的身份验证、RADIUS、证书,以及 Active Directory。无线客户端运行 Windows XP,证书服务器和身份验证基础设施服务器运行 Windows Server 2003。计算机证书通过自动注册部署到无线计算机中。用户证书和 Windows XP 无线配置信息通过内部网站和 CAPICOM 脚本部署到无线计算机中。RADIUS 基础设施为不同的 Active Directory 森林使用 RADIUS 服务器和代理的组合来平衡负载和发送 RADIUS 通信。
