microsoft wlan tech

Microsoft WLAN techMicrosoft WLAN tech..

中正通訊卓瑩鎗

OutlineOutline Prepare PEAP and Passwords PEAP and Certificate PEAP and Smart Card Conclusion & Impressions Reference

測試環境測試環境四台桌上型一台筆記型三台 AP (ASUS & D-link & SMC)Win 2003 server * 2Win XP * 3普通讀卡機＋晶片卡

用戶端環境用戶端環境內建 Windows WPA Client Windows XP SP2 並使用支援 Wireless Zero

Configuration 服務的無線網路介面卡 WPA2/WPA2-PSK ：下載 KB893357 安裝下載安裝 Windows WPA Client (KB826942) Windows XP Service Pack 1 (SP1) 並使用支援

Wireless Zero Configuration 服務的無線網路介面卡

安裝安裝 KB893357KB893357

http://www.microsoft.com/downloads/details.aspx?FamilyID=662bb74d-e7c1-48d6-95ee-1459234f4483&DisplayLang=zh-tw

解決方案解決方案WPA-PSK 、 WPA2-PSK SOHO 使用

Dynamic WEP 、 WPA 、 WPA2 PEAP and passwords

不打算部署用戶端憑證沒有 AD 的中小企業可用，有 AD 更佳

PEAP and Certificate PEAP and Smart Card

安全度高、使用便利 (Certificate) 、成本較高(Smart Card)

PEAP and PasswordsPEAP and Passwords 環境需求環境需求用戶端

Windows Server 2003 、 Windows XP (Windows 2000 需更新至 SP3 含以上 )無線存取點支援 802.1x Dynamic WEP 或 WPA/WPA2驗證伺服器 (RADIUS Server) Windows Server 2003 IAS 電腦憑證 ( 向憑證授權單位登記 )憑證授權單位 Windows Server 2003 CA ( 或使用其他受信任的 CA)

Active Directory 可以沒有，但為降低部署成本與容易管理，建議使用

PEAP and PasswordsPEAP and Passwords 的運作的運作用戶端驗證伺服器

(IAS)1 用戶端

連接

無線存取點(AP)

2用戶端驗證伺服器端驗證雙向驗證

4

5

3 密鑰散佈授權存取無線網路存取加密

內部網路

P@ssw0rd

先行知識先行知識IAS 是 Microsoft 的「遠端驗證撥號使用者服務 (RADIUS) 」伺服器的實作 Domain Controller Active Directory Policy桌面全黑的是 client 測試台

沒有安裝 AD ，停掉 ASP ，準備 2003 光碟01 安裝『憑證授權單位』網際網路服務， win IIS02 設定『網際網路驗證服務』03 設定 Wireless AP 使用 WPA 驗證04 設定 Wireless Client 使用 WPA 的 PEAP 存取網路

PEAP and CertificatePEAP and Certificate 環境需求環境需求用戶端

Windows Server 2003 、 Windows XP 使用者需向 CA 登記『使用者憑證』無線存取點支援 802.1x Dynamic WEP 或 WPA/WPA2驗證伺服器 (RADIUS Server) Windows Server 2003 IAS 電腦憑證 ( 向憑證授權單位登記 ) 加入 Active Directory Domain憑證授權單位 Windows Server 2003 Enterprise CA

Active Directory 必需要有

PEAP and CertificatePEAP and Certificate 的運作的運作用戶端驗證伺服器

(IAS)1 用戶端

連接

無線存取點(AP)


4

5


內部網路由 DC 驗證

有安裝 AD （ EIAS ），停掉 ASP ，準備 2003 光碟05 架設 Enterprise CA設定 wireless users 群組06 設定自動登記伺服器與使用者憑證07 設定 IAS（下指令 gpupdate /force ，群組原則安裝整理， IAS 登錄在 AD 上，進 AP 去改 IP 設定）08 未加入 Domain 的 Client 登記憑證（因為未加入 Domain ，所以訪客不能直接去 certsrv 網站）

EAP 類型 :PEAP ，驗證方法要選 : 智慧卡或其他驗證方法09 設定 Wireless Client 使用 WPA 的 PEAP with Certificate 存取網路

PEAP and Smart CardPEAP and Smart Card 環境需求環境需求用戶端

Windows Server 2003 、 Windows XP 需安裝讀卡機裝置 ( 含驅動程式 ) 與 Smart Card 軟體需取得管理者所核發的 Smart Card

Smart Card 註冊代理站加入 AD 的 XP 或 2003 安裝讀卡機與 Smart Card 軟體管理者用來為使用者製發 Smart Card 時使用無線存取點支援 802.1x Dynamic WEP 或 WPA/WPA2驗證伺服器 (RADIUS Server) Windows Server 2003 IAS ，電腦憑證，加入 Active Directory憑證授權單位 Windows Server 2003 Enterprise CA 新增要發行的憑證範本

Active Directory 必需要有

PEAP and Smart CardPEAP and Smart Card 的運作的運作用戶端驗證伺服器

(IAS)1 用戶端

連接

無線存取點(AP)


4

5


內部網路由 DC 驗證

微軟無線監視器微軟無線監視器Windows Server 2003 內建查看 Access Points 網路名稱、類型、 MAC 位址、私密性、訊號強度、電波頻道等資訊記錄無線用戶端資訊，以供故障排除使用

Conclusion & ImpressionsConclusion & ImpressionsMS 的東西表面上很簡單，實際上很複雜

，要一直反覆測試，寫成實用手冊造福後人會比較好一點中文相關文件不多，去年研討會開始的晶片卡還有一些相關知識要再深入MS 的技術問題回應很迅速我的這份 project偏重企業應用導向

參考資料參考資料Windows Server 2003 Wireless Networking

http://www.microsoft.com/windowsserver2003/technologies/networking/wifi/default.mspx

Wireless Provisioning Services Overview http://www.microsoft.com/technet/community/columns/cableguy/

cg1203.mspxWi-Fi Protected Access Data Encryption and Integrity

http://www.microsoft.com/technet/community/columns/cableguy/cg1104.mspx

Wi-Fi Protected Access 2 (WPA2) Overview http://www.microsoft.com/technet/community/columns/cableguy/

cg0505.mspxWi-Fi Protected Access 2 Data Encryption and Integrity

http://www.microsoft.com/technet/community/columns/cableguy/cg0805.mspx

不同解決方案的比較不同解決方案的比較解決方案典型環境額外需要的基礎結構

使用憑證對用戶端進行驗證使用密碼對用戶端進行驗證典型的資料加密方式

WPA-PSK /WPA2-PSK

SOHO 無否使用預先共用的網路金鑰(非使用者密碼 )

TKIP 、 AES

PEAP and password 中小企業 RADIUS 否是

TKIP 、 AES 或 Dynamic WEP

PEAP and Certificate /Smart Card

中大型企業 RADIUS 與CA 是否

TKIP 、 AES 或 Dynamic WEP

microsoft wlan tech

Documents