Sichern von WLANs mit PEAP und Kennwörtern

Kapitel 5: Erstellen der WLAN-Sicherheitsinfrastruktur

Aktualisiert: 18. Jun 2004

Alle Themen der Sicherheitsanleitung anzeigen

Auf dieser Seite

	Übersicht
	Voraussetzungen für das Kapitel
	Vorbereiten auf die Implementierung
	Prüfen der Bereitschaft zur Installation
	Installieren von IAS
	Registrieren von IAS in Active Directory
	Konfigurieren des primären IAS-Servers
	Bereitstellen von Einstellungen für mehrere IAS-Server
	Konfigurieren von WAPs
	Zusammenfassung
	Quellen

Übersicht

Dieses Kapitel gibt Anleitungen zur Installation und Konfiguration von IAS (Internet Authentication Service, Internetauthentifizierungsdienst), um einem WLAN (Wireless Local Area Network) RADIUS-Dienste (Remote Access Dial-In User Service) zur Verfügung zu stellen, und zur Konfiguration von Wireless Access Points (WAPs), damit die IAS-RADIUS-Dienste verwendet werden können.

Die Hauptthemen in diesem Kapitel sind folgende:

•	Vorbereitung für und Installieren von IAS
•	Konfigurieren des ersten IAS-Servers
•	Replizieren von Einstellungen auf andere IAS-Server
•	Hinzufügen von WAPs als RADIUS-Clients des IAS
•	Konfigurieren der WAPs

Die Verfahren in diesem Kapitel sind weniger automatisiert als die Verfahren in früheren Kapiteln. Obwohl IAS per Programmierung konfigurierbar ist, können viele Einstellungen nicht mit Windows® Scripting Host oder verfügbaren Befehlszeilenprogrammen konfiguriert werden. Der kompilierte Anwendungscode ist für Nicht-Entwickler in der Regel schwerer zugänglich als Skripte. Bei einem Vorgang, der nicht skriptfähig ist, werden daher entsprechend manuelle Schritte verwendet. Wenn Sie die Konfiguration von IAS mit der Schnittstelle für Serverdatenobjekte automatisieren möchten, erhalten Sie weitere Informationen bei MSDN® unter http://msdn.microsoft.com. Den genauen Ort für die Informationen zum Thema finden Sie in den Quellangaben am Ende dieses Kapitels.

Die Konfigurationsschritte in diesem Kapitel müssen zwar weitgehend manuell ausgeführt werden, doch hat dies auch einige positive Aspekte. Erstens ist die IAS-Administrationsschnittstelle benutzerfreundlich und wird häufig durch Konfigurationsassistenten gesteuert. Zweitens führen Sie die Konfigurationsschritte normalerweise nur auf einem Server aus und replizieren die Einstellungen anschließend mit einfachen Befehlen auf die anderen IAS-Server. Drittens lernen Sie durch manuelles Ausführen dieser Schritte mehr über die Installation und Konfiguration von IAS. Der letzte Punkt ist hier wichtiger als für die anderen Komponenten der Lösung. IAS ist der Hub, d. h. das Kernstück, um das sich der Rest der Lösung dreht. Daher sind einige Erfahrungen in der Administration und Konfiguration von IAS wünschenswert.

Zum Seitenanfang

Voraussetzungen für das Kapitel

Bevor Sie die in diesem Kapitel gegebenen Anweisungen ausführen, sollten Sie die Schritte in Kapitel 3, Vorbereiten der Umgebung, und Kapitel 4, Erstellen der Netzwerkzertifizierungsstelle, gelesen und ausgeführt haben. Außerdem sollten Sie Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, gelesen haben und das Prinzip der Architektur und des Entwurfs dieser Lösung verstanden haben.

Darüber hinaus sind Kenntnisse auf folgenden Gebieten hilfreich:

•	IAS und RADIUS
•	WLAN-Konzepte

Zum Seitenanfang

Vorbereiten auf die Implementierung

Erforderliche Berechtigungen

Um die in diesem Kapitel beschriebenen Schritte auszuführen, müssen Sie sich mit einem Konto anmelden, das Mitglied der Administratorengruppe für die Domäne ist, in der Sie die IAS-Server installieren.

Hinweis: Wenn Sie IAS nicht auf Domänencontrollern installieren, müssen Sie nur ein Mitglied der lokalen Administratorengruppe auf jedem IAS-Server sein, um IAS installieren und konfigurieren zu können. Sie brauchen außerdem die Berechtigung zum Ändern der Mitgliedschaft der Gruppe RAS- und IAS-Server für die Domäne, in der Sie den IAS-Server installieren.

Erforderliche Tools

Die folgenden Tools sind zum Ausführen der in diesem Kapitel beschriebenen Schritte erforderlich.

Tabelle 5.1: Erforderliche Tools

Tool	Beschreibung	Quelle
MSS Secure WLAN-Skripte	Die im Lieferumfang dieser Lösung enthaltenen Skripte und Tools.	In Kapitel 3, Vorbereiten der Umgebung, zur Verfügung gestellt.
Internetauthentifizierungsdienst	Das Tool Microsoft® Management Console (MMC), mit dem IAS-Richtlinien und -Einstellungen verwaltet werden.	Mit Windows Server™ 2003 zur Verfügung gestellt.
Active Directory-Benutzer und -Computer	MMC-Tool, mit dem Verzeichnisdienstbenutzer, Gruppen, Computer und andere Objekte von Microsoft Active Directory® verwaltet werden.	Mit Windows Server 2003 zur Verfügung gestellt.

IAS-Parameter

In der folgenden Tabelle sind die wichtigsten Parameter aufgeführt, die bei der Installation und Konfiguration des IAS-Servers verwendet werden.

Tabelle 5.2: IAS-Serverkonfigurationsparameter

Konfigurationsobjekt	Einstellung
IAS-Anmeldung beim Windows-Ereignisprotokoll
Abgelehnte Authentifizierungsanforderungen	Aktiviert
Erfolgreiche Authentifizierungsanforderungen	Aktiviert
IAS-RADIUS-Anmeldung	Deaktiviert
RAS-Richtlinie
Name der RAS-Richtlinie	WLAN-Zugriff zulassen
Sicherheitsgruppe, die Zugriff erhalten soll	WLAN-Zugriff
Verwendeter EAP-Typ	PEAP (Protected Extensible Authentication Protocol)
Verwendeter PEAP-EAP-Typ	EAP MS-CHAP v2
Schnelle Wiederherstellung der Verbindung	Aktiviert
Profil der RAS-Richtlinie
Sitzungslänge für Clients in Minuten (Sitzungszeitüberschreitung)	60 Minuten Diese Länge kann für WLANs mit 54 MB/s 802.11a/g auf 15 Minuten verkürzt werden.
RADIUS-Attribute	Ignore-User-Dialin-Properties = "Wahr" Termination-Action = "RADIUS-Request"
Verbindungsanforderungsrichtlinie
Richtlinienname	Windows-Authentifizierung für alle Benutzer verwenden
Richtlinienbedingungen	Day-and-Time-Restrictions = All times

Wichtig: Diese Einstellungen wurden beim internen Testen der Lösung verwendet und funktionieren wie dokumentiert. Einige Einstellungen lassen sich zwar auf andere Werte festlegen, dies sollten Sie aber nur tun, wenn Sie sicher sind, den Zweck einer bestimmten Einstellung und die Auswirkungen einer Änderung vollständig verstanden zu haben.

Zum Seitenanfang

Prüfen der Bereitschaft zur Installation

IAS ist auf eine korrekte Konfiguration und Anbindung des Netzwerks und von Active Directory angewiesen. Zur erfolgreichen Installation und Wartung von IAS sind mehrere Tools erforderlich.

Überprüfen der IAS-Umgebung

Vor dem Installieren von IAS auf dem Server müssen Sie eine Reihe von Prüfungen durchführen, um sicherzustellen, dass ein Domänencontroller kontaktierbar ist, und alle erforderlichen Tools den in Kapitel 3, Vorbereiten der Umgebung, entsprechenden Schritten installiert wurden. Im folgenden Verfahren werden diese Prüfungen mit einem Skript automatisch vorgenommen.

So prüfen Sie die IAS-Umgebung

1.	Öffnen Sie mit der Verknüpfung MSS WLAN-Tools eine Befehlsshell auf dem Server, auf dem Sie IAS installieren möchten.
2.	Führen Sie folgenden Befehl aus: MSSSetup CheckIASEnvironment
3.	Das Skript bestätigt den Namen der Domäne, zu der dieser Server gehört. Klicken Sie auf OK, um die Angaben zu akzeptieren.
4.	Nach erfolgter Prüfung wird ein Dialogfeld mit der Meldung angezeigt, ob die einzelnen Prüfungen erfolgreich waren oder fehlschlugen. Klicken Sie auf OK, um das Dialogfeld zu schließen.
5.	Wurden alle Prüfungen erfolgreich durchgeführt, fahren Sie mit dem nächsten Schritt fort. Anderenfalls suchen Sie im Setupprotokoll (%systemroot%\debug\MSSWLAN-Setup.log) nach der Fehlerursache und beheben Sie das Problem, bevor Sie das Skript erneut ausführen.

Überprüfen der DHCP-Einstellungen

Mit DHCP (Dynamic Host Configuration Protocol) werden den WLAN-Clients automatisch IP-Adressen zugewiesen. Stellen Sie sicher, dass die jedem Standort zugewiesenen DHCP-Bereiche genügend IP-Adressen besitzen, um die maximale Anzahl von WLAN-Clients abzudecken, die an dem jeweiligen Standort aktiv sein kann. Wird der Bereich gemeinsam mit drahtgebundenen Clients verwendet, muss er groß genug für beide Gruppen von Clients sein.

Unternehmen mit einer großen Anzahl von WLAN-Clients oder mit WLAN-Clients, die regelmäßig von Standort zu Standort wandern, sollten separate Bereiche für WLAN-Clients konfigurieren. Separate Bereiche ermöglichen eine sehr kurze Leasedauer für diese Clients (z. B. acht Stunden oder weniger) und helfen somit zu verhindern, dass vorübergehende WLAN-Clients die verfügbaren IP-Adressen rasch aufbrauchen. Um separate Bereiche zu konfigurieren, platzieren Sie die WLAN-Clients in ein vom übrigen Netzwerk des Standorts getrenntes Subnetz, und konfigurieren Sie einen Router oder einen Schicht-3-Switch, um die Subnetze zu verbinden.

In kleineren oder relativ statischen Umgebungen ist die gemeinsame Verwendung eines IP-Subnetzes und eines einzigen DHCP-Bereichs durch drahtgebundene Clients und WLAN-Clients durchaus akzeptabel.

Weitere Informationen finden Sie im Abschnitt "Deploying a Wireless LAN" des Windows Server 2003 Deployment Kit (auf Englisch). Die Quellangabe dazu finden Sie am Ende dieses Kapitels.

Zum Seitenanfang

Installieren von IAS

In diesem Abschnitt wird beschrieben, wie Sie IAS auf Ihrem Server installieren.

Installieren der IAS-Softwarekomponenten

Die IAS-Softwarekomponenten können Sie mit Hilfe eines Skripts, das mit dieser Anleitung mitgeliefert wird, installieren. Das Skript verwendet zum Installieren von IAS den Manager zur Installation von optionalen Windows-Komponenten und legt alle erforderlichen Konfigurationsdateien an.

So installieren Sie IAS

1.	Öffnen Sie mit der Verknüpfung MSS WLAN-Tools eine Befehlsshell.
2.	Führen Sie folgenden Befehl aus, um die IAS-Softwarekomponenten zu installieren: MSSSetup InstallIAS
3.	Das Skript erstellt daraufhin die Installationsparameterdatei. Sobald dieser Vorgang abgeschlossen ist, werden Sie aufgefordert, die Installation fortzusetzen. Zum Abschließen der Installation ist die Installations-CD von Windows Server 2003 (oder der Netzwerkpfad zur Windows-Installationsquelle) erforderlich. Klicken Sie auf OK, um fortzufahren, oder auf Abbrechen, um die Installation vorzeitig abzubrechen. Hinweis: Wenn Sie die Installation abbrechen, verbleibt die Parameterdatei für optionale IAS-Komponenten (OC_IAS.txt) im aktuellen Arbeitsordner. Diese Datei kann geändert und in Ihrer benutzerdefinierten Installation verwendet werden, wenn Sie die Standardeinstellungen der Lösung nicht übernehmen möchten.
4.	Sobald der Installationsvorgang abgeschlossen ist, wird eine entsprechende Bestätigungsmeldung angezeigt. Klicken Sie auf OK.

Überprüfen der Installation

Um die Installation zu überprüfen, klicken Sie auf Start, zeigen Sie dann auf Alle Programme und auf Verwaltung, und klicken Sie anschließend auf Internetauthentifizierungsdienst. IAS sollte nun als installiert und auf dem Server laufend angezeigt werden.

Zum Seitenanfang

Registrieren von IAS in Active Directory

Jeder IAS-Server muss in Active Directory registriert werden. Registrieren bedeutet, dass das Computerkonto des IAS-Servers zur Sicherheitsgruppe RAS- und IAS-Server hinzugefügt wird. So wird gewährleistet, dass die IAS-Server die Berechtigung haben, die RAS-Eigenschaften der Benutzer- und Computerkonten in Active Directory zu lesen.

Zum Registrieren der Server stehen folgende Möglichkeiten zur Verfügung:

•	Manuelles Hinzufügen der Server zur Gruppe (unter Verwendung von Active Directory-Benutzer und -Computer)
•	Verwenden der Option Register with Active Directory im Menü Aktion der MMC Internetauthentifizierungsdienst
•	Verwenden des Befehls Netsh

In dieser Anleitung wird die letzte Methode (Verwenden des Befehls Netsh) erläutert, da die Skripterstellung einfach ist, und die Server in anderen Domänen registriert werden können.

So registrieren Sie IAS in der Standarddomäne

Melden Sie sich beim IAS-Server an, und öffnen Sie anhand der Verknüpfung MSS WLAN-Tools eine Befehlsshell.

Führen Sie folgenden Befehl aus:

netsh ras add registeredserver

Wenn Sie mehrere Domänen besitzen, führen Sie die folgenden Schritte für jede Domäne aus, die über Benutzer oder Computer verfügt, welche von diesem IAS-Server authentifiziert werden. Wenn Ihre IAS-Server beispielsweise in Domäne A installiert sind und Sie über WLAN-Benutzer in Domäne B verfügen, müssen Sie die IAS-Server sowohl in Domäne B als auch in Domäne A registrieren. Dazu brauchen Sie die Berechtigung, die Mitgliedschaft für die Gruppe RAS- und IAS-Server in der Zieldomäne zu ändern.

So registrieren Sie IAS in anderen Domänen als der Standarddomäne

Führen Sie an der Eingabeaufforderung den folgenden Befehl aus, wobei Sie Domänenname durch den Namen der Domäne ersetzen, in der der IAS-Server registriert werden soll:

netsh ras add registeredserver domain = Domänenname

Hinweis: Alternativ können Sie das IAS-Server-Computerobjekt mit Active Directory-Benutzer und Computer auch direkt der Sicherheitsgruppe RAS- und IAS-Server in der Zieldomäne hinzufügen.

Zum Seitenanfang

Konfigurieren des primären IAS-Servers

In diesem Abschnitt wird eine Anleitung zur Konfiguration des ersten IAS-Servers gegeben. Weitere IAS-Server werden durch Replizieren der Einstellungen dieses Servers konfiguriert. Das entsprechende Verfahren wird weiter unten in diesem Kapitel erklärt.

Automatisches Registrieren eines IAS-Serverzertifikats

In Kapitel 4, Erstellen der Netzwerkzertifizierungsstelle, wurden die Schritte zum Installieren eines Gruppenrichtlinienobjekts beschrieben, damit Mitglieder der Gruppe RAS- und IAS-Server Computerzertifikate automatisch registrieren können. Durch die Registrierung des IAS-Servers in Active Directory wird das Serverkonto dieser Gruppe hinzugefügt. Der Server muss allerdings neu gestartet werden, damit diese Gruppenmitgliedschaft zum Anmeldetoken des Computers hinzugefügt und ein Zertifikat erfolgreich registriert werden kann.

Hinweis: Ähnlich wie Benutzer erhalten auch Computer eine geänderte Gruppenmitgliedschaft im Zugriffstoken ihrer Anmeldesitzung erst dann, wenn sie sich wieder bei der Domäne anmelden. Bei Computern geschieht dies beim Start.

Starten Sie den Server neu, bevor Sie mit dem nächsten Schritt fortfahren.

Warnhinweis: Vergewissern Sie sich vor dem Neustart des Servers, dass keine Tasks auf diesem Server ausgeführt werden. Ist der Server ein Domänencontroller, stellen Sie sicher, dass den Benutzern ein anderer Domänencontroller zur Verfügung steht, bevor Sie diesen Controller neu starten. Vermeiden Sie einen Neustart auch während eines kritischen Systemtasks wie einer Serversicherung.

Überprüfen der Bereitstellung der IAS-Serverzertifikate

Vergewissern Sie sich nach dem Neustart des Servers, dass die IAS-Serverzertifikate erfolgreich registriert wurden.

So überprüfen Sie die IAS-Serverauthentifizierungszertifikate

1.	Öffnen Sie mit der Verknüpfung MSS WLAN-Tools eine Befehlsshell.
2.	Führen Sie den folgenden Befehl aus, um die MMC-Zertifikate zu öffnen: ComputerCerts.msc
3.	Doppelklicken Sie in der Konsolenstruktur auf Zertifikate (Lokaler Computer) und anschließend auf Persönlich. Klicken Sie dann auf Zertifikate.
4.	Es sollte mindestens ein Zertifikat mit dem Namen dieses Servers in der Spalte Ausgestellt für sowie der Name der Zertifizierungsstelle in der Spalte Ausgestellt von angezeigt werden. Führen Sie in der Liste einen Bildlauf (nach rechts) durch, um die Spalte Zertifikatvorlage anzuzeigen. In dieser Spalte sollte der Wert Computer für dieses Zertifikat angezeigt werden. Hinweis: Wenn dies der erste IAS-Server ist, und er auf demselben Server installiert wird wie die Zertifizierungsstelle, wird ein weiteres Zertifikat mit dem Namen der Zertifizierungssstelle in beiden Spalten angezeigt. Dies ist das selbstsignierte Zertifikat der Zertifizierungsstelle.
5.	Wird das erforderliche Zertifikat im MMC-Snap-In-Zertifikat nicht angezeigt, wählen Sie in der Konsolenstruktur (im linken Fenster) Zertifikate (Lokaler Computer), und klicken Sie im Menü Aktion auf Alle Tasks. Klicken Sie anschließend auf Zertifikate automatisch registrieren. Aktualisieren Sie dann die Ansicht der MMC-Zertifikate.

Konfigurieren des ersten IAS-Servers

In dieser Lösung ist die Konfiguration aller IAS-Server weitgehend identisch (die Gruppe von WAPs, die auf jedem Server installiert wird, ist für jeden Server in der Regel allerdings unterschiedlich). Damit die Konfiguration auf allen Servern synchronisiert ist, und um den Aufwand der Verwaltung mehrerer Server zu minimieren, wird die Mehrzahl der Konfigurationstasks auf dem ersten installierten IAS-Server ausgeführt, und die Einstellungen dieses Servers werden anschließend auf andere IAS-Server des Unternehmens repliziert.

Mit den in diesem Abschnitt beschriebenen Schritten konfigurieren Sie folgende Einstellungstypen auf dem ersten IAS-Server:

•	Protokollieren von Anforderungen
•	RAS-Richtlinie
•	Verbindungsanforderungseinstellungen

Diese Einstellungen werden später auf die anderen IAS-Server repliziert. Außerdem müssen Sie IAS einen RADIUS-Client-Eintrag für jeden WAP hinzufügen, der von diesem IAS-Server bedient wird (dieses Thema wird weiter unten in diesem Kapitel im Abschnitt "Konfigurieren von Wireless Access Points" erörtert).

Konfigurieren der Protokollierung in Windows-Ereignisprotokollen

IAS protokolliert signifikante Ereignisse auf Systemebene wie Starten und Beenden eines Dienstes sowie Probleme (z. B. Konfigurationsfehler und Dienstausfälle) im Windows-Systemprotokoll. Wahlweise können auch erfolgreiche und fehlgeschlagene Authentifizierungsversuche protokolliert werden.

So aktivieren Sie die IAS-Protokollierung von Authentifizierungsanforderungen

1.	Klicken Sie zum Öffnen der MMC Internetauthentifizierungsdienst auf Start, zeigen Sie auf Alle Programme und auf Verwaltung, und klicken Sie auf Internetauthentifizierungsdienst.
2.	Klicken Sie mit der rechten Maustaste auf Internetauthentifizierungsdienst (lokal), und wählen Sie anschließend Eigenschaften.
3.	Stellen Sie sicher, dass sowohl die Option Abgewiesene Authentifizierungsanforderungen als auch die Option Erfolgreiche Authentifizierungsanforderungen aktiviert sind.
4.	Klicken Sie auf OK.

Konfigurieren der Protokollierung von Authentifizierungs- und Kontoführungsanforderungen in RADIUS-Protokollen

IAS kann außerdem Authentifizierungs- und Kontoführungsinformationen in RADIUS-Protokollen aufnehmen. IAS erstellt standardmäßig keine RADIUS-Protokolle, und die RADIUS-Protokollierung ist in dieser Lösung nicht aktiviert, um den Verwaltungsaufwand so gering wie möglich zu halten.

Wenn Sie die RADIUS-Protokollierung für Sicherheitsüberwachungs- oder Kontoführungszwecke benötigen, können Sie entweder nur einen Anforderungstyp oder beide Anforderungstypen aktivieren. IAS kann diese Protokolle in Textdateien oder eine SQL-Datenbank schreiben. Diese Protokolle sind als Input für Sicherheitsüberwachungssysteme verwendbar, um potenzielle Sicherheitsverletzungen zu verfolgen. In einigen Fällen verwenden Unternehmen die Kontoführungsprotokolle für die Rechnungsstellung. Dies ist in der Regel allerdings auf kommerzielle Internet- und andere Netzwerkanbieter beschränkt. Wenn Sie die RADIUS-Protokollierung implementieren oder mehr dazu erfahren möchten, erhalten Sie weitere Informationen in den Quellangaben am Ende dieses Kapitels.

Hinweis: Aktivieren Sie die RADIUS-Authentifizierungs- und Kontoführungsprotokollierung nur, wenn ein besonderer Bedarf dafür besteht. Die Protokollierung kann die Serverleistung herabsetzen, und die Protokolldateien müssen zudem regelmäßig verwaltet werden, um sicherzustellen, dass sie nicht die Laufwerke des Servers belegen.

Erstellen einer IAS-RAS-Richtlinie für WLAN

Führen Sie die folgenden Schritte aus, um eine RAS-Richtlinie auf dem IAS-Server zu erstellen.

So erstellen Sie eine RAS-Richtlinie in IAS

1.	Klicken Sie zum Öffnen der MMC Internetauthentifizierungsdienst auf Start, zeigen Sie auf Alle Programme und auf Verwaltung, und klicken Sie anschließend auf Internetauthentifizierungsdienst.
2.	Klicken Sie mit der rechten Maustaste auf den Ordner RAS-Richtlinien, und klicken Sie als Nächstes auf Neue RAS-Richtlinie. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
3.	Wählen Sie zum Einrichten der Richtlinie Typische Richtlinie für ein allgemeines Szenario, und geben Sie ihr den Namen WLAN-Zugriff zulassen. Klicken Sie auf Weiter.
4.	Wählen Sie als Zugriffsmethode Drahtlos aus.
5.	Wählen Sie die Option Gruppe für Zugriff gewähren, basierend auf, und geben Sie die Sicherheitsgruppe WLAN-Zugriff ein bzw. suchen Sie sie. Klicken Sie auf Weiter, um den Vorgang fortzusetzen.
6.	Wählen Sie Geschütztes EAP (PEAP) aus der Liste der EAP-Typen.
7.	Klicken Sie auf die Schaltfläche Konfigurieren.... Das zuvor ausgestellte IAS-Serverzertifikat sollte im Feld Zertifikat wurde ausgestellt angezeigt werden (falls nicht, wählen Sie es in der Liste der verfügbaren Zertifikate aus). Sicheres Kennwort (EAP MSCHAPv2) sollte in der Liste der EAP-Typen angezeigt werden. Aktivieren Sie das Kontrollkästchen Schnelle Wiederherstellung der Verbindung aktivieren. Wichtig: Wenn Sie Pocket PC 2003-Drahtlosclients verwenden, dürfen Sie das Kontrollkästchen Schnelle Wiederherstellung der Verbindung aktivieren nur dann aktivieren, wenn Ihre Version von Pocket PC diese Option unterstützt (die Quellangabe zu dem entsprechenden Knowledge Base-Artikel finden Sie am Ende dieses Kapitels). Wenn Sie die schnelle Wiederherstellung der Verbindung aktivieren, können die Pocket PC-Clients keine Verbindung mehr mit dem Netzwerk herstellen, nachdem bei ihrer ersten Authentifizierung eine Zeitüberschreitung aufgetreten ist.
8.	Klicken Sie auf OK und anschließend auf Weiter. Klicken Sie auf Fertig stellen, um den Vorgang abzuschließen. Wichtig: Die neue Richtlinie WLAN-Zugriff zulassen kann zusammen mit anderen von Ihnen erstellten RAS-Richtlinien oder mit den RAS-Standardrichtlinien verwendet werden. Sie müssen allerdings sicherstellen, dass andere RAS-Standardrichtlinien entweder gelöscht wurden oder im IAS-Ordner RAS-Richtlinien unterhalb der Richtlinie WLAN-Zugriff zulassen (d. h. mit niedrigerer Priorität) aufgeführt werden.

Ändern der Profileinstellungen der WLAN-Zugriffsrichtlinie

Der Assistent für Neue RAS-Richtlinien (wie im zuvor beschriebenen Verfahren verwendet) erstellt zwar eine gültige RAS-Zugriffsrichtlinie, doch müssen zwei Einstellungen manuell konfiguriert werden. Mit der ersten Einstellung wird das RADIUS-Attribut Ignore-User-Dialin-Properties hinzugefügt. Dieses Attribut weist IAS an, die RAS-Berechtigungseinstellungen zu ignorieren, die auf der Registerkarte Einwählen des Active Directory-Benutzerobjekts festgelegt sind. Außerdem verhindert das Attribut, dass IAS diese Informationen in den RADIUS-Antworten an die WAPs sendet, da dies mitunter zu Kompatibilitätsproblemen führen kann.

Die zweite Einstellungskategorie ermöglicht dem IAS-Server, die Clientverbindung nach einer festgelegten Zeitüberschreitung zu beenden und ein erneutes Authentifizieren des Clients zu erzwingen. Diese Einstellungen sind besonders wichtig, wenn zum Schutz der Daten dynamisches WEP (Wired Equivalent Privacy) verwendet wird (die Standardeinstellung für diese Lösung). Die Sitzungszeitüberschreitung steuert die Häufigkeit, mit der neue Verschlüsselungsschlüssel für Netzwerkdaten generiert werden.

Hinweis: WAP (Wi-Fi Protected Access) verfügt über einen eigenen Mechanismus zum Generieren neuer Schlüssel für jedes übertragene Paket. Die folgenden Ausführungen gelten nicht für WPA-WLANs.

Der Wert für die Sitzungszeitüberschreitung ist ein Kompromiss zwischen Sicherheit und Zuverlässigkeit. Eine Zeitüberschreitung von 60 Minuten verleiht unter den meisten Umständen die nötige Sicherheit und ist für 11 MBit/s 802.11b-Netzwerke bestimmt ausreichend. In der Regel übertragen Drahtlosclients innerhalb von 60 Minuten nicht so viele Daten, dass ein dynamischer WEP-Schlüssel von einem Angreifer entschlüsselt werden könnte. Schnellere WLANs mit 54 MBit/s, die den Standard 802.11a oder 802.11g verwenden, übertragen in einer vorgegebenen Zeit mehr Daten. Daher sollten Sie für schnellere WLANs ggf. eine Zeitüberschreitung von 15 Minuten erwägen. Ein kürzerer Zeitwert kann jedoch die WLAN-Zuverlässigkeit herabsetzen und die Last der IAS-Server erhöhen.

Eine ausführlichere Beschreibung zum Festlegen der Zeitüberschreitung für Clientsitzungen finden Sie im Abschnitt "Sicherheitsoptionen für dynamische WEP" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung.

Sie müssen den Wert für die Zeitüberschreitung der Clientsitzung festlegen und das RADIUS-Attribut Termination-Action auf den erforderlichen Wert setzen, sodass der IAS-Server den Client zwingen kann, sich nach dem entsprechenden Zeitintervall erneut zu authentifizieren. Weitere Informationen über RAS-Richtlinieneinstellungen finden Sie im Abschnitt "RADIUS-Richtlinien" im Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung.

So ändern Sie die Profileinstellungen der WLAN-Zugriffsrichtlinie

Klicken Sie in der MMC Internetauthentifizierungsdienst mit der rechten Maustaste auf die Richtlinie WLAN-Zugriff zulassen und wählen Sie Eigenschaften. Klicken Sie anschließend auf Profil bearbeiten.

Klicken Sie auf die Registerkarte Einwähleinschränkungen, und wählen Sie anschließend die Option Sitzungslänge für Clients in Minuten (Sitzungszeitüberschreitung). Geben Sie den Wert 60 (Minuten) ein, wenn Sie ein 802.11b-WLAN (11 MBit/s) verwenden und 15 (Minuten) für ein schnelleres 802.11a- oder 802.11g-WLAN (54 MBit/s).

Hinweis: Wenn Sie statt der dynamischen WEP-Verschlüsselung die WPA-WLAN-Verschlüsselung verwenden, legen Sie diesen Wert auf acht Stunden fest. Mit einer Einstellung von acht Stunden wird sichergestellt, dass die Clients für einen angemessenen Zeitraum über gültige aktuelle Anmeldedaten verfügen. Gleichzeitig wird gewährleistet, dass ein Client nicht über einen zu langen Zeitraum verbunden bleiben kann, nachdem sein Konto deaktiviert wurde. In Hochsicherheitsumgebungen, in denen der Zeitraum zwischen Deaktivierung eines Kontos und Trennen der Verbindung des entsprechenden Clients möglichst gering gehalten werden muss, können Sie diesen Wert auf eine Stunde reduzieren.

Klicken Sie auf die Registerkarte Erweitert, fügen Sie das Attribut Ignore-User-Dialin-Properties hinzu, und setzen Sie es auf Wahr. Fügen Sie anschließend das Attribut Termination-Action hinzu, und setzen Sie es auf RADIUS Request.

Überprüfen der Verbindungsanforderungsrichtlinie für WLAN

Die Standardrichtlinie für Verbindungsanforderungen in IAS ist so konfiguriert, dass IAS Benutzer und Computer direkt in Active Directory authentifiziert. Führen Sie die folgenden Schritte aus, um die Konfiguration der Standardrichtlinie für Verbindungsanforderungen zu überprüfen.

So überprüfen Sie die Konfiguration der Standardrichtlinie für Verbindungsanforderungen

1.	Öffnen Sie die MMC Internetauthentifizierungsdienst. Navigieren Sie zum Ordner Verbindungsanforderungsverarbeitung\Verbindungsanforderungsrichtlinien, und klicken Sie mit der rechten Maustaste auf die Verbindungsanforderungsrichtlinie Windows-Authentifizierung für alle Benutzer verwenden. Wählen Sie anschließend die Option Eigenschaften.
2.	Stellen Sie sicher, dass die Richtlinie Date-And-Time-Restrictions die folgenden Einträge enthält: "So 00:00-24:00; Mo 00:00-24:00; Di 00:00-24:00; Mi 00:00-24:00; Do 00:00-24:00; Fr 00:00-24:00; Sa 00:00-24:00"
3.	Klicken Sie auf die Schaltfläche Profil bearbeiten, und stellen Sie sicher, dass die Option Authentifizierungsanforderung auf diesem Server auf der Registerkarte Authentifizierung ausgewählt ist.
4.	Vergewissern Sie sich, dass auf der Registerkarte Attribut keine Regeln festgelegt sind.

Zum Seitenanfang

Bereitstellen von Einstellungen für mehrere IAS-Server

Nachdem Sie den primären IAS-Server konfiguriert haben, können Sie diese Konfiguration auf die anderen IAS-Server replizieren.

Führen Sie die bereits in diesem Kapitel unter "Installieren von IAS" und "Registrieren von IAS in Active Directory" beschriebenen Schritte für jeden weiteren Server aus. Führen Sie außerdem die unter "Überprüfen der Bereitstellung der IAS-Serverzertifikate" genannten Schritte aus, um sicherzustellen, dass von jedem neuen Server ein Zertifikat registriert wurde. Wenn Sie diese Schritte ausgeführt haben, können Sie die IAS-Einstellungen vom ersten Server exportieren und sie auf die anderen Server, wie im folgenden Abschnitt beschrieben, importieren.

Wichtig: Einstellungen können Sie nur auf andere Windows Server 2003 IAS-Server replizieren. Sie können mit diesem Verfahren keine Einstellungen von Windows Server 2003 auf Windows 2000-Versionen von IAS replizieren.

Replizieren von Einstellungen vom ersten IAS-Server

Verwenden Sie den Befehl Netsh, um Teile der IAS-Konfiguration in Textdateien zu exportieren. Die in den folgenden Schritten verwendeten Skripts exportieren Einstellungen vom IAS-Server und importieren sie auf IAS-Server mit der ausführbaren Datei Netsh.exe.

Die folgenden IAS-Einstellungskategorien können separat vom IAS-Server exportiert und in IAS-Server importiert werden:

•	Servereinstellungen
•	Protokollierungskonfiguration
•	RAS-Richtlinie
•	Verbindungsanforderungsrichtlinien
•	RADIUS-Clients
•	Gesamtkonfiguration (umfasst alle obigen Angaben)

Exportierte Einstellungen werden in Textdateien gespeichert, wobei die Daten allerdings verschlüsselt werden. Anhand dieser Textdateien können allgemeine Konfigurationseinstellungen auf mehrere IAS-Server übertragen werden, um eine konsistente Konfiguration und schnelle Bereitstellung zu gewährleisten.

Die Mehrzahl der Konfigurationskategorien haben IAS-Server mit ähnlichen Rollen gemeinsam (ausgenommen normalerweise die Kategorie der RADIUS-Clients). In dieser Lösung authentifizieren die IAS-Server lediglich WLAN-Clients. Wenn Sie mindestens einen IAS-Server auf andere Weise verwenden möchten (z. B. um RAS-Clients zu authentifizieren), müssen Sie die Einstellungen auf den entsprechenden Servern unabhängig konfigurieren und replizieren oder die Konfiguration manuell ausführen. Anderenfalls besteht die Gefahr, Richtlinien- und andere Konfigurationseinstellungen zu überschreiben oder zu löschen.

Folgende Elemente sollten Sie nur auf dem ersten IAS-Server konfigurieren (wie bereits im Abschnitt "Konfigurieren von IAS" beschrieben).

•	Serverkonfiguration
•	Protokollierungseinstellungen
•	RAS-Richtlinie
•	Verbindungsanforderungsrichtlinien

Durch die in diesem Abschnitt beschriebenen Schritte werden diese Einstellungen exportiert und auf andere IAS-Server repliziert.

Tipp: Um die Änderungen an der IAS-Konfiguration besser verfolgen zu können, fügen Sie in den Namen der RAS-Richtlinie eine Versionsnummer ein. Wenn Sie Änderungen an den IAS-Einstellungen vornehmen, aktualisieren Sie den Namen jedes Mal mit einer neuen Versionsnummer. So können Sie Änderungen auf den IAS-Servern leichter verfolgen und sehen, dass alle die gleichen Einstellungen verwenden.

Legen Sie den ersten IAS-Server als IAS-Master-Server fest. Replizieren Sie anschließend die Einstellungen von diesem Server mithilfe der folgenden Schritte auf die anderen IAS-Server des Unternehmens. Das Replizieren der RADIUS-Client-Einstellungen wird weiter unten in diesem Kapitel im Abschnitt "Replizieren der RADIUS-Clientkonfiguration auf andere IAS-Server" ausführlich beschrieben.

Hinweis: Die Bezeichnung "Master" hat keine besondere Bedeutung für IAS. Diese Bezeichnung gibt lediglich an, auf welchem Server Sie die ersten Konfigurationsänderungen vornehmen, bevor diese auf die anderen IAS-Server repliziert werden.

Exportieren der Einstellungen vom IAS-Master-Server

Mit diesem Verfahren werden die aktuellen IAS-Servereinstellungen auf Datenträgerdateien gespeichert.

So exportieren Sie die IAS-Konfiguration auf Datenträgerdateien

Melden Sie sich beim primären IAS-Server an, und öffnen Sie anhand der Verknüpfung MSS WLAN-Tools eine Befehlsshell.

Geben Sie falls erforderlich einen Ordner zum Speichern der Ausgabedateien an, oder legen Sie eine leere, formatierte Diskette in das Laufwerk des Servers ein.

Führen Sie den folgenden Befehl aus, um die IAS-Konfiguration zu exportieren:

MSSTools ExportIASSettings [/Pfad:Ausgabeordner]

Ausgabeordner ist ein optionaler Parameter, mit dem der Ordner angegeben wird, in den die exportierten Dateien geschrieben werden. Die Pfadangabe muss in Anführungszeichen eingeschlossen sein, wenn sie eingebettete Leerzeichen enthält. Dieser Ordner muss, sofern er angegeben wird, auch vorhanden sein. Anderenfalls werden die Dateien in das aktuelle Verzeichnis geschrieben.

Das Skript erstellt folgende Dateien:

•	IAS_Server_Settings.txt
•	IAS_Logging.txt
•	IAS_Rem_Access_Policies.txt
•	IAS_Con_Request_Policies.txt

Speichern Sie die Dateien, damit Sie sie anschließend auf die anderen Server importieren können.

Importieren von Einstellungen auf andere IAS-Server

Bei der folgenden Vorgehensweise werden die in den vorhergehenden Schritten exportierten Einstellungsdateien verwendet, um andere IAS-Server mit identischen Einstellungen zu konfigurieren. Dabei werden keine RADIUS-Clients importiert. Die entsprechende Vorgehensweise wird in einem späteren Abschnitt erläutert.

Warnhinweis: Durch den Import der IAS-Einstellungen auf einen IAS-Server werden alle vorhandenen IAS-Einstellungen dieses Servers überschrieben (mit Ausnahme der RADIUS-Client-Daten). Wenn Sie auf einem Server andere Einstellungen vorgenommen haben (z. B. andere RAS-Richtlinien zur Unterstützung von VPN-Clients), verwenden Sie diese Vorgehensweise nicht, um die IAS-WLAN-Einstellungen auf den Server zu importieren. Konfigurieren Sie die Einstellungen stattdessen manuell anhand der im Abschnitt "Konfigurieren des primären IAS-Servers" beschriebenen Schritte.

So importieren Sie die IAS-Konfiguration von Datenträgerdateien

Melden Sie sich beim IAS-Zielserver an, und öffnen Sie anhand der Verknüpfung MSS WLAN-Tools eine Befehlsshell.

Suchen Sie den Ordner, der die zuvor vom IAS-Master-Server exportierten Konfigurationsdateien enthält.

Führen Sie den folgenden Befehl aus, um die IAS-Konfiguration zu importieren:

MSSTools ImportIASSettings [/Pfad:Eingabeordner]

Eingabeordner ist ein optionaler Parameter, mit dem der Ordner angegeben wird, in dem das Skript nach zu importierenden Einstellungsdateien sucht. Die Pfadangabe muss in Anführungszeichen eingeschlossen sein, wenn sie eingebettete Leerzeichen enthält. Wird kein Ordner angegeben, werden die Dateien im aktuellen Verzeichnis gesucht.

Vergewissern Sie sich, dass die Einstellungen ordnungsgemäß importiert wurden, indem Sie die MMC Internetauthentifizierungsdienst öffnen und die Einstellungen der RAS- und Verbindungsanforderungsrichtlinie überprüfen.

Zum Seitenanfang

Konfigurieren von WAPs

In diesem Abschnitt wird beschrieben, wie WAPs als RADIUS-Clients der IAS-Server hinzugefügt werden.

Hinzufügen der Zugriffspunkte zu IAS als RADIUS-Clients

WAPs müssen zu IAS als RADIUS-Clients hinzugefügt werden, bevor sie RADIUS-Authentifizierungs- und Kontoführungsdienste verwenden dürfen. Weitere Informationen zum Zuweisen von WAPs zu verschiedenen IAS-Servern finden Sie in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung.

Die WAPs an einem vorgegebenen Standort werden in der Regel so konfiguriert, dass sie einen IAS-Server am gleichen Standort als primären RADIUS-Server und einen anderen IAS-Server am gleichen oder an einem anderen Standort als sekundären RADIUS-Server verwenden. Die Begriffe "primär" und "sekundär" drücken in diesem Fall keine hierarchische Beziehung der IAS-Server untereinander oder einen Unterschied in der Konfiguration aus. Die Begriffe sind nur für WAPs relevant, wobei jeder Punkt über einen festgelegten primären und sekundären (oder Sicherungs-) RADIUS-Server verfügt. Vor dem Konfigurieren der WAPs müssen Sie für jeden einzelnen WAP entscheiden, welcher IAS-Server der primäre und welcher der sekundäre RADIUS-Server sein soll.

Die folgenden Schritte beschreiben, wie RADIUS-Clients zu zwei IAS-Servern hinzugefügt werden. Beim ersten Verfahren wird ein geheimer RADIUS-Schlüssel für den WAPs generiert. Dieser Schlüssel wird von IAS und dem Zugriffspunkt zur gegenseitigen Authentifizierung verwendet. Die Details über diesen Client und den entsprechenden geheimen Schlüssel werden in einer Datei protokolliert. Diese Datei wird im zweiten Verfahren zum Importieren des Clients in den zweiten IAS verwendet.

Wichtig: Verwenden Sie das erste Verfahren nicht dazu, denselben Client zwei IAS-Servern hinzuzufügen. Wenn Sie so vorgehen, konfigurieren die Clienteinträge auf jedem Server unterschiedliche geheime RADIUS-Schlüssel, und die WAPs können sich nicht bei beiden Servern authentifizieren.

Hinzufügen von Zugriffspunkten zum ersten IAS-Server

In diesem Abschnitt wird beschrieben, wie die WAPs dem ersten IAS-Server hinzugefügt werden. Es wird ein Skript zur Verfügung gestellt, um das Generieren eines sicheren, nach dem Zufallsprinzip gewählten geheimen RADIUS-Schlüssels (Kennwort) zu automatisieren und den Client dem IAS hinzuzufügen. Das Skript erstellt außerdem eine Datei (standardmäßig Clients.txt), die die Details der einzelnen hinzugefügten WAPs protokolliert. Diese Datei erfasst den Namen, die IP-Adresse und den geheimen RADIUS-Schlüssel für jeden einzelnen WAP. Die Daten sind für die Konfiguration des zweiten IAS-Servers und der WAPs erforderlich.

Wenn Sie es vorziehen, die Clients manuell hinzuzufügen, führen Sie die weiter unten in diesem Kapitel unter "Generieren der Clienteinträge für Wireless Access Points" beschriebenen Schritte aus, um geheime Schlüssel für die WAPs zu generieren.

Wichtig: Die RADIUS-Clients werden dem IAS als "RADIUS-Standard"-Clients hinzugefügt. Dies ist zwar für die meisten WAPs angemessen, einige Zugriffspunkte erfordern jedoch die Konfiguration herstellerspezifischer Attribute auf dem IAS-Server. Zum Konfigurieren der herstellerspezifischen Attribute wählen Sie entweder ein bestimmtes Herstellergerät aus den Eigenschaften der RADIUS-Clients in der MMC Internetauthentifizierungsdienst aus oder, falls das Gerät nicht aufgeführt wird, geben die herstellerspezifischen Attribute in der IAS-RAS-Richtlinie an. Weitere Informationen zum Konfigurieren herstellerspezifischer Attribute in IAS finden Sie in den Quellangaben am Ende dieses Kapitels.

Darüber hinaus finden Sie weitere Informationen über die Anforderungen herstellerspezifischer Attribute für RADIUS-Server in der Dokumentation der WAPs.

So fügen Sie dem ersten IAS-Server einen RADIUS-Client hinzu

1.	Melden Sie sich bei dem IAS-Server an, auf dem Sie die WAPs hinzufügen möchten, und öffnen Sie mit der Verknüpfung MSS WLAN-Tools eine Befehlsshell.
2.	Wenn sich eine vorhandene RADIUS-Clients-Ausgabedatei im aktuellen Verzeichnis befindet (oder wenn Sie eine vorhandene Datei im Pfadparameter angeben), wird der neue Clienteintrag dieser Datei angehängt. Wenn der Eintrag dieser Datei nicht angehängt werden soll, entfernen Sie die vorhandene Datei oder geben Sie im Befehl einen alternativen Dateinamen an.
3.	Führen Sie den folgenden Befehl aus, um IAS einen WAP hinzuzufügen: MSSTools AddRADIUSClient [/Pfad:Ausgabedatei.txt] Hinweis: Der Parameter Pfad ist optional. Sie können den Namen der Datei (sowie den optionalen Ordnerpfad) zum Speichern der Befehlsausgabe festlegen. Die Pfadangabe muss in Anführungszeichen eingeschlossen sein, wenn sie eingebettete Leerzeichen enthält. Ist kein Pfadparameter angegeben, speichert der Befehl die Ausgabe in der Datei Clients.txt im aktuellen Verzeichnis.
4.	Geben Sie einen Namen für den WAP ein, wenn Sie dazu aufgefordert werden. Dies sollte eine benutzerfreundliche Referenz in der MMC Internetauthentifizierungsdienst sein. Es muss nicht der gleiche Name sein wie in der Konfiguration der WAPs. Verwenden Sie einen DNS-Namen (Domain Name System) oder eine andere Zeichenfolge.
5.	Geben Sie die IP-Adresse des WAP ein (in Dezimalpunktschreibweise, z. B. 10.20.1.153).
6.	Für den Client wird automatisch ein Kennwort generiert. (Dieses Kennwort ist eine nach dem Zufallsprinzip generierte kryptografische Zeichenfolge mit 23 druckbaren Zeichen. Anhand dieses Kennworts authentifizieren sich IAS und der WAP gegenseitig.) Mit diesen Einstellungen wird der RADIUS-Client IAS hinzugefügt. Der Name, die IP-Adresse und der geheime Schlüssel werden ebenfalls der Ausgabedatei (standardmäßig Clients.txt) im aktuellen Verzeichnis angehängt. Bei der Ausgabedatei handelt es sich um eine kommagetrennte Textdatei mit einem RADIUS-Client in jeder Zeile, sodass sie problemlos in Skripts verwendet oder mit einem Programm wie Microsoft Excel importiert und bearbeitet werden kann.
7.	Wiederholen Sie die Schritte 3 bis 6 für alle anderen WAPs, die Sie diesem IAS-Server hinzufügen möchten.

Später können Sie die Ausgabedatei als Referenz verwenden, wenn Sie die geheimen RADIUS-Schlüssel auf den WAPs festlegen. Weitere Informationen finden Sie im Abschnitt "Konfigurieren der Wireless Access Points" weiter unten in diesem Kapitel.

Wichtig: Lassen Sie die RADIUS-Clients-Ausgabedatei nicht auf dem Server gespeichert. Sie enthält die geheimen Schlüssel des RADIUS-Clients in unverschlüsselter Form. Nach dem Hinzufügen der WAPs sollten Sie die Datei auf eine Diskette oder ein anderes beschreibbares Wechselmedium speichern und sie an einem sicheren Ort verwahren.

Bei den Schritten im obigen Abschnitt "Hinzufügen eines RADIUS-Clients zum ersten IAS-Server" wurde ein mit dieser Lösung mitgeliefertes Tool-Beispiel (AddRADIUSClient.exe) verwendet. Bei diesem Tool handelt es sich um eine einfache Visual Basic.NET-Anwendung, die einen IAS-Server über die Serverdatenobjekt-Schnittstelle konfiguriert. Mit dieser Anwendung können Sie Ihr eigenes Skript zum Hinzufügen von Clients zum IAS-Server schreiben.

Das Tool wird von Microsoft nicht unterstützt und ist nicht gründlich getestet worden. Der Quellcode dieser Anwendung wurde jedoch mitgeliefert, falls Sie ihn prüfen oder ändern möchten, bevor Sie die Anwendung verwenden.

Hinweis: Im Gegensatz zu den meisten anderen Skripts, die im Setupverfahren verwendet werden, schreibt dieses Skript keine Fortschrittsdetails in die Protokolldatei MSSWLAN-setup.log. So wird verhindert, dass die geheimen RADIUS-Client-Schlüssel in dieser Datei gespeichert werden und somit ein Sicherheitsrisiko darstellen. Die Fortschrittsdetails werden jedoch auf dem Bildschirm protokolliert.

Skripterstellung für das Hinzufügen von Zugriffspunkten zu IAS-Servern (alternative Methode)

Wenn Sie die WAPs zum IAS-Server nicht interaktiv mit der zuvor beschriebenen Methode hinzufügen möchten, können Sie die Ausgabedatei für die RADIUS-Clienteinträge für jeden WAP erstellen, ohne sie dem IAS hinzufügen. Verwenden Sie anschließend das weiter unten in diesem Abschnitt beschriebene Verfahren "So importieren Sie die RADIUS-Clients auf den zweiten IAS-Server", um die RADIUS-Clienteinträge sowohl auf den ersten IAS-Server als auch auf den zweiten IAS-Server zu importieren. Da Sie den gesamten Vorgang im Skript aufzeichnen können, ist diese Methode möglicherweise vorzuziehen, wenn Sie WAPs in großer Zahl hinzufügen müssen.

Wichtig: Dieses Verfahren stellt eine alternative Methode für das Hinzufügen von RADIUS-Clients durch Skripterstellung statt interaktives Vorgehen dar. Wenn Sie die im Abschnitt "Hinzufügen eines RADIUS-Clients zum ersten IAS-Server" beschriebenen Schritte befolgt haben, brauchen Sie dieses Verfahren nicht anzuwenden.

Verwenden Sie das folgende Verfahren, um sichere geheime RADIUS-Schlüssel zu generieren. Das Skript verwendet ebenso wie das vorherige Verfahren eine CryptoAPI-Funktion, um einen wirklich per Zufallsprinzip generierten Wert für jeden geheimen RADIUS-Schlüssel zu erzeugen. So wird sichergestellt, dass die Werte sicher genug sind, um Angriffe in Form von Erraten von Kennwörtern oder Wörterbuchangriffe abzuwehren.

So generieren Sie die Clienteintragsdatei für WAPs

Öffnen Sie mit der Verknüpfung MSS WLAN-Tools eine Befehlsshell.

Führen Sie den folgenden Befehl aus. Ersetzen Sie den Parameter Clientname durch einen benutzerfreundlichen Namen für den WAP und IPAdresse durch die IP-Adresse des WAPs. (Wahlweise können Sie einen alternativen Dateinamen und Pfad angeben, um festzulegen, wo die Ausgabe gespeichert wird. Ist kein Pfadparameter angegeben, wird die Ausgabe in der Datei Clients.txt im aktuellen Arbeitsordner gespeichert.) Ist die Ausgabedatei bereits vorhanden, wird der neue Wert angehängt. Ist die Datei noch nicht vorhanden, wird sie erstellt.

MSSTools GenRADIUSPwd /client:Clientname/IP:IPAdresse [/Pfad:Pfad\Dateiname]

Die Parameter client und Pfad können eingebettete Leerzeichen enthalten. Ist dies der Fall, müssen die Parameter in Anführungszeichen eingeschlossen werden. Dieser Befehl wird unter Umständen auf mehreren Zeilen dargestellt, Sie sollten ihn aber auf einer einzigen Zeile eingeben.

Wiederholen Sie Schritt 2 für alle WAPs, für die Sie geheime RADIUS-Schlüssel generieren müssen. Jeder Clienteintrag wird an die Ausgabedatei (standardmäßig clients.txt) angehängt. Bei der Datei handelt es sich um eine kommagetrennte Textdatei mit einem RADIUS-Client in jeder Zeile, sodass sie problemlos in Skripts verwendet oder mit einem Programm wie Microsoft Excel importiert und bearbeitet werden kann.

Vorsicht: Lassen Sie die Ausgabedatei nicht auf dem Server gespeichert. Sie enthält die geheimen RADIUS-Clients-Schlüssel in unverschlüsselter Form. Nach dem Hinzufügen der WAPs sollten Sie die Datei auf eine Diskette oder ein anderes beschreibbares Wechselmedium speichern und sie an einem sicheren Ort verwahren.

Hinweis: Im Gegensatz zu den meisten anderen Skripts, die im Setupverfahren verwendet werden, schreibt dieses Skript keine Fortschrittsdetails in die Protokolldatei MSSWLAN-setup.log. So wird verhindert, dass die geheimen RADIUS-Client-Schlüssel dort gespeichert werden und somit ein Sicherheitsrisiko darstellen. Die Fortschrittsdetails werden jedoch auf dem Bildschirm protokolliert.

Importieren der Zugriffspunkte auf den zweiten IAS-Server

Nachdem Sie die WAPs dem ersten IAS-Server hinzugefügt haben, müssen Sie sie einem zweiten Server hinzufügen, bevor Sie die WAPs für RADIUS konfigurieren können.

So importieren Sie die RADIUS-Clients auf den zweiten IAS-Server

1.	Kopieren Sie die in den vorangegangenen Schritten erstellte Clients-Ausgabedatei. (Entfernen Sie diese Datei aus Sicherheitsgründen vollständig vom ersten IAS-Server, da sie hier nicht mehr benötigt wird.)
2.	Stellen Sie sicher, dass die Datei die richtigen Einträge enthält, indem Sie sie in Notepad oder Microsoft Excel öffnen und anzeigen. (Dies ist wichtig, da die Datei unter Umständen noch alte Einträge von einem zuvor ausgeführten Verfahren enthält.) Entfernen Sie alle nicht benötigten Clienteinträge.
3.	Führen Sie den folgenden Befehl aus, um diese Clients auf den zweiten IAS-Server zu importieren: MSSTools AddSecRADIUSClients [/Pfad:Eingabedatei.txt] Hinweis: Der Parameter Pfad ist optional. Sie können einen anderen Pfadparameter verwenden, um die Eingaben einer anderen Datei oder eines anderen Ordners zu lesen. Die Pfadangabe muss in Anführungszeichen eingeschlossen sein, wenn sie eingebettete Leerzeichen enthält. Ist kein Parameter angegeben, sucht der Befehl nach der Datei Clients.txt im aktuellen Verzeichnis und liest die Eingaben aus dieser Datei.
4.	Das Skript lehnt alle ungültigen Clienteinträge in der Datei ab und zeigt die Anzahl erfolgreicher und fehlerhafter Einträge an, sobald es beendet ist.
5.	Stellen Sie sicher, dass die Clients ordnungsgemäß hinzugefügt wurden, indem Sie die MMC Internetauthentifizierungsdienst öffnen und den Ordner RADIUS-Clients anzeigen. Hinweis: Im Gegensatz zu den meisten in der Installation und Konfiguration dieser Lösung verwendeten Skripts schreibt dieses Skript keine Fortschrittsdetails in die Datei MSSWLAN-setup.log. So wird verhindert, dass die geheimen RADIUS-Client-Schlüssel in dieser Datei gespeichert werden und somit ein Sicherheitsrisiko darstellen. Die Fortschrittsdetails werden jedoch auf dem Bildschirm protokolliert.

Konfigurieren der WAPs

Nachdem Sie die RADIUS-Clients-Einträge für die WAPs dem IAS hinzugefügt haben, müssen Sie nun die WAPs selbst konfigurieren. Fügen Sie die IP-Adressen der IAS-Server und die geheimen RADIUS-Client-Schlüssel hinzu, die jeder Zugriffspunkt für die sichere Kommunikation mit den IAS-Servern verwendet. Jeder WAP wird mit einem primären und einem sekundären (oder Sicherungs-) IAS-Server konfiguriert. Führen Sie die in diesem Abschnitt beschriebenen Schritte für die WAPs an jedem Standort Ihres Unternehmens aus. Weitere Informationen darüber, wie Sie WAPs zu den IAS-Servern zuweisen, finden Sie in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung.

Das Verfahren zum Konfigurieren von WAPs hängt von der Beschaffenheit und dem Modell des entsprechenden Gerätes ab. Die Hersteller von WAPs stellen jedoch in der Regel ausführliche Anweisungen zum Konfigurieren ihrer Geräte zur Verfügung. Je nach Hersteller sind diese Anweisungen u. U. auch online verfügbar.

Bevor Sie die Sicherheitseinstellungen für die WAPs konfigurieren, ist eine Konfiguration der grundlegenden Netzwerkeinstellungen erforderlich. Dazu gehören u. a.:

•	IP-Adresse und Subnetzmaske des WAP
•	Standardgateway
•	Angezeigter Name für den WAP
•	Drahtlosnetzwerkname (SSID)

Diese Liste umfasst eine Reihe anderer Parameter, die sich auf die Bereitstellung von mehreren WAPs auswirken: Einstellungen, die den richtigen Funkbereich an Ihrem Standort regeln, z. B. 802.11 Funkkanal, Übertragungsrate und Übertragungsleistung usw. Eine Beschreibung dieser Parameter würde allerdings den Rahmen dieser Anleitung sprengen. Ziehen Sie für die Konfiguration dieser Einstellungen die Dokumentation des Herstellers zu Rate oder wenden Sie sich an einen Netzwerkdiensteanbieter. Weitere Informationen zur Bereitstellung von WAPs finden Sie in den Quellangaben am Ende dieses Kapitels.

Bei der Anleitung in diesem Kapitel wird davon ausgegangen, dass Sie diese Einstellungen korrekt vorgenommen haben und sich mit dem WAP von einem WLAN-Client aus über eine nicht authentifizierte Verbindung verbinden können. Prüfen Sie dies nach, bevor Sie die in den folgenden Abschnitten aufgeführten Authentifizierungs- und Sicherheitsparameter konfigurieren.

Aktivieren der sicheren WLAN-Authentifizierung an Zugriffspunkten

Konfigurieren Sie jeden WAP mit einem primären und einem sekundären RADIUS-Server. Der WAP verwendet den primären Server in der Regel für alle Authentifizierungsanforderungen und wechselt auf den sekundären Server, wenn der primäre Server nicht verfügbar ist. Wie in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, erläutert, ist es wichtig, die Zuweisung der WAPs zu planen und sorgfältig abzuwägen, welcher Server als primär und welcher als sekundär festgelegt wird. Zusammenfassung:

•	Verteilen Sie Ihre WAPs an einem Standort mit zwei (oder mehreren) IAS-Servern gleichmäßig auf die verfügbaren Server, sodass etwa die Hälfte der WAPs Server 1 als primären und Server 2 als sekundären Server und die andere Hälfte Server 2 als primären und Server 1 als sekundären Server verwendet.
•	Bei Standorten mit nur einem IAS-Server sollte dieser immer der primäre Server sein. Konfigurieren Sie einen Remoteserver (am Standort mit der zuverlässigsten Verbindung) als sekundären Server.
•	Teilen Sie die WAPs bei Standorten ohne IAS-Server gleichmäßig auf die Remoteserver auf und verwenden Sie dabei den Server mit der belastbarsten Konnektivität mit niedrigster Wartezeit. Idealerweise sollten sich diese Server an verschiedenen Standorten befinden, es sei denn, Sie verfügen über eine belastbare WAN-Konnektivität (Wide Area Network).

In der folgenden Tabelle sind die Einstellungen aufgeführt, die Sie auf den WAPs konfigurieren müssen. Die Namen und Beschreibungen dieser Einstellungen sind zwar je nach Hersteller unterschiedlich, Sie sollten jedoch anhand der Dokumentation der WAPs ermitteln können, welche Einstellungen den in der Tabelle genannten entsprechen.

Tabelle 5.3: Konfiguration der WAPs

Option	Einstellung
Authentifizierungsparameter
Authentifizierungsmodus	802.1X-Authentifizierung
Erneute Authentifizierung	Aktivieren
Schnelle/dynamische Erstellung neuer Schlüssel	Aktivieren
Zeitüberschreitung bei der Aktualisierung von Schlüsseln	60 Minuten
Verschlüsselungsparameter (diese Einstellungen beziehen sich in der Regel auf statische WEP-Verschlüsselung)	(Verschlüsselungsparameter werden möglicherweise deaktiviert oder überschrieben, wenn die schnelle Erstellung neuer Schlüssel aktiviert ist.)
Verschlüsselung aktivieren	Aktivieren
Unverschlüsseltes ablehnen	Aktivieren
RADIUS-Authentifizierung
RADIUS-Authentifizierung aktivieren	Aktivieren
Primärer RADIUS-Authentifizierungsserver	IP-Adresse des primären IAS
Port des primären RADIUS-Servers	1812 (Standard)
Sekundärer RADIUS-Authentifizierungsserver	IP-Adresse des sekundären IAS
Port des sekundären RADIUS-Servers	1812 (Standard)
Gemeinsamer geheimer Schlüssel der RADIUS-Authentifizierung	XXXXXX (Ersetzen durch generierten geheimen Schlüssel)
Anzahl der Wiederholungsversuche	5
Zeitüberschreitung für Wiederholungsversuche	5 Sekunden
RADIUS-Kontoführung
RADIUS-Kontoführung aktivieren	Aktivieren
Primärer RADIUS-Kontoführungsserver	IP-Adresse des primären IAS
Port des primären RADIUS-Servers	1813 (Standard)
Sekundärer RADIUS-Kontoführungsserver	IP-Adresse des sekundären IAS
Port des sekundären RADIUS-Servers	1813 (Standard)
Gemeinsamer geheimer RADIUS-Kontoführungsschlüssel	XXXXXX (Ersetzen durch generierten geheimen Schlüssel)
Anzahl der Wiederholungsversuche	5
Zeitüberschreitung für Wiederholungsversuche	5 Sekunden

Wichtig: Der Wert für die Zeitüberschreitung bei der Aktualisierung von Schlüsseln wird bei der dynamischen WEP-Verschlüsselung auf 60 Minuten festgelegt. Der Wert für die Sitzungszeitüberschreitung, der in der IAS-RAS-Richtlinie festgelegt ist, ist gleich oder kürzer. Weitere Informationen dazu finden Sie im bereits beschriebenen Abschnitt "Ändern der Profileinstellungen der WLAN-Zugriffsrichtlinie". Die entsprechend niedrigere Einstellung hat Vorrang, sodass Sie die Einstellung nur in IAS ändern müssen. Bei Verwendung von WPA sollten Sie diese Einstellung im Zugriffspunkt auf acht Stunden erhöhen. Weitere Informationen dazu finden Sie in der Dokumentation des Herstellers.

Verwenden Sie die geheimen RADIUS-Schlüssel, die im Abschnitt "Hinzufügen eines RADIUS-Clients zum ersten IAS-Server" generiert wurden, um WAPs dem IAS hinzuzufügen. Auch wenn Sie noch keinen sekundären IAS-Server als Sicherungsserver für den primären Server konfiguriert haben, können Sie jetzt noch die IP-Adresse des Servers dem WAP hinzufügen. (So müssen Sie ihn später nicht neu konfigurieren.) Die Konfiguration zusätzlicher IAS-Server wird in einem der folgenden Abschnitte dieses Kapitels beschrieben.

Je nach Hardwaremodell des WAPs liegen möglicherweise keine separaten konfigurierbaren Einträge für RADIUS-Authentifizierungs- und Kontoführungsserver vor. Sind separate konfigurierbare Einträge vorhanden, legen Sie beide auf denselben Server fest, es sei denn, aus einem bestimmten Grund ist eine andere Vorgehensweise erforderlich.

Die Werte für die Anzahl der RADIUS-Wiederholungsversuche und die Zeitüberschreitung in der Tabelle sind allgemeine Standardwerte, die jedoch nicht obligatorisch sind.

Hinweis: Wenn Sie zurzeit nur WAPs ohne aktivierte Sicherheit oder nur mit statischer WEP-Verschlüsselung verwenden, müssen Sie auf ein 802.1X-basiertes WLAN migrieren. Weitere Informationen zur Migration von einem vorhandenen Drahtlosnetzwerk finden Sie im Abschnitt "Migration von einem bereits vorhandenen WLAN" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung.

Zusätzliche Einstellungen zur Sicherung der WAPs

Über die Aktivierung von 802.1X-Paramater hinaus sollten Sie die WAPs für höchste Sicherheit konfigurieren. Netzwerkhardware wird meistens mit unsicheren, aktivierten Verwaltungsprotokollen und auf bekannte Standardeinstellungen gesetzten Administratorkennwörtern ausgeliefert, die ein Sicherheitsrisiko darstellen. Konfigurieren Sie die in der folgenden Tabelle aufgeführten Einstellungen, wobei die Liste keineswegs vollständig ist. Ziehen Sie die Dokumentation des Herstellers zu Rate, um eine autorisierte Anleitung zu diesem Thema zu erhalten. Wählen Sie für Kennwörter und Communitynamen für SNMP (Simple Network Management Protocol) komplexe Werte mit Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen. Wählen Sie keinen Wert, der leicht durch Informationen wie Ihren Domänennamen, den Namen des Unternehmens oder die Firmenadresse erraten werden kann.

Tabelle 5.4: Sicherheitskonfiguration der WAPs

Option	Empfohlene Einstellung	Hinweise
Allgemein
Administratorkennwort	XXXXXX	Komplexes Kennwort zuweisen
Andere Verwaltungskennwörter	XXXXXX	Einige Geräte verwenden mehrere Verwaltungskennwörter, um einen zusätzlichen Zugriffsschutz durch unterschiedliche Verwaltungsprotokolle zu erzielen. Stellen Sie sicher, dass alle Kennwörter von den Standardwerten auf sichere Werte geändert werden.
Verwaltungsprotokolle
Serielle Konsole	Aktivieren	Sind keine verschlüsselten Protokolle verfügbar, stellt dies die sicherste Methode zur Konfiguration von WAPs dar, auch wenn sie physische Verbindungen über ein serielles Kabel zwischen den WAPs und dem Terminal erfordert und daher nicht remote verwendet werden kann.
Telnet	Deaktivieren	Alle Telnet-Übertragungen erfolgen unverschlüsselt, so dass Kennwörter und geheime RADIUS-Client-Schlüssel im Netzwerk sichtbar sind. Kann der Telnet-Datenverkehr mit IPSec (Internet Protocol Security) oder SSH geschützt werden, können Sie die Einstellung ohne Probleme aktivieren und verwenden.
HTTP	Deaktivieren	Die HTTP-Verwaltung erfolgt in der Regel unverschlüsselt und weist daher dieselben Sicherheitsrisiken auf wie unverschlüsseltes Telnet. Falls vorhanden, wird HTTPS empfohlen.
HTTPS (SSL oder TLS)	Aktivieren	Befolgen Sie die Anweisungen des Herstellers, um entsprechende Schlüssel bzw. Zertifikate zu konfigurieren.
SNMP-Communities		SNMP ist das Standardprotokoll für die Netzwerkverwaltung. Verwenden Sie SNMP v3 mit Kennwortschutz, um maximale Sicherheit zu gewährleisten. Dieses Protokoll wird häufig von GUI-Konfigurationstools und Netzwerkverwaltungssystemen verwendet. Sie können es jedoch deaktivieren, wenn Sie es nicht verwenden.
Name von Community 1	XXXXXX	Der Standardwert lautet in der Regel "public". Ändern Sie diesen Wert auf eine komplexe Einstellung.
Name von Community 2	Deaktiviert	Alle nicht erforderlichen Communitynamen sollten deaktiviert oder auf einen komplexen Wert festgelegt werden.

Der SSID-Broadcast (WLAN-Netzwerkname) sollte nicht deaktiviert werden, da sich dies negativ auf die Fähigkeit von Windows XP auswirkt, eine Verbindung zum richtigen Netzwerk herzustellen. Auch wenn das Deaktivieren von SSID-Broadcast häufig als Sicherheitsmaßnahme empfohlen wird, ist der praktische Sicherheitsnutzen gering, wenn eine sichere 802.1X-Authentifizierungsmethode verwendet wird. Sogar mit deaktiviertem SSID-Broadcast vom Zugriffspunkt ist es für einen Angreifer relativ leicht, die SSID zu ermitteln, indem er Clientverbindungspakete abfängt. Wenn Sie die Existenz Ihres WLAN nicht mit einem Broadcast preisgeben möchten, verwenden Sie einen allgemeinen Namen für die SSID, der nicht mit Ihrem Unternehmen in Verbindung gebracht werden kann.

Replizieren der RADIUS-Clientkonfiguration auf andere IAS-Server

In der Regel werden die WAPs eines bestimmten Standorts vom IAS-Server dieses Standorts bedient. Der IAS-Server an Standort A bedient beispielsweise die WAPs an Standort A, während der Server an Standort B die WAPs an Standort B bedient usw. Viele IAS-Server haben jedoch andere Servereinstellungen wie die RAS-Richtlinien gemeinsam. Aus diesem Grund wird der Export und Import von RADIUS-Clientdaten bei den in diesem Abschnitt beschriebenen Verfahren separat behandelt.

Obwohl es relativ wenig Szenarien gibt, in denen das Replizieren von RADIUS-Clientdaten relevant ist, ist es unter bestimmten Bedingungen dennoch nützlich. (Wenn sich beispielsweise zwei IAS-Server am gleichen Standort befinden, die als primärer und sekundärer RADIUS-Server für alle WAPs an diesem Standort fungieren.)

So exportieren Sie die RADIUS-Clienteinstellungen in eine Datei

1.	Melden Sie sich beim IAS-Quellserver an, und öffnen Sie anhand der Verknüpfung MSS WLAN-Tools eine Befehlsshell.
2.	Geben Sie, falls erforderlich, einen Ordner zum Speichern der Ausgabedatei an oder legen Sie eine leere, formatierte Diskette in das Laufwerk des Servers ein.
3.	Führen Sie den folgenden Befehl aus, um die RADIUS-Clientkonfiguration zu exportieren: MSSTools ExportIASClients [/Pfad:Ausgabeordner] Ausgabeordner ist ein optionaler Parameter, mit dem der Ordner angegeben wird, in den die Ausgabedatei geschrieben wird. Wird dieser Parameter nicht angegeben, wird die Ausgabedatei in das aktuelle Verzeichnis geschrieben. Wird dieser Parameter angegeben, muss der Ordner vorhanden sein.
4.	Das Skript erstellt die Datei IAS_Clients.txt. Vorsicht: Es ist unbedingt erforderlich, die Datei von diesem Server zu entfernen und sie an einem sicheren Ort zu speichern, da sie die geheimen RADIUS-Schlüssel für alle auf dem Server konfigurierten WAPs enthält. Nach dem Exportieren der RADIUS-Clienteinstellungen können Sie sie auf andere Server importieren. Dies ist in der Regel erforderlich, wenn Sie einen sekundären Server für eine bestimmte Gruppe von WAPs erstellen.

So importieren Sie RADIUS-Clienteinstellungen aus einer Datei

Melden Sie sich beim IAS-Zielserver an, und öffnen Sie anhand der Verknüpfung MSS WLAN-Tools eine Befehlsshell.

Suchen Sie den Ordner (oder die Diskette), in dem die exportierte Datei der geheimen RADIUS-Schlüssel IAS_Clients.txt gespeichert ist.

Führen Sie den folgenden Befehl aus, um die RADIUS-Clientkonfiguration zu importieren:

MSSTools ImportIASClients [/Pfad:Eingabeordner]

Eingabeordner ist ein optionaler Parameter zur Angabe des Ordners, aus dem die Datei gelesen wird. Dieser Ordner muss, wenn angegeben, auch vorhanden sein. Ist kein Ordner angegeben, wird davon ausgegangen, dass sich die Datei im aktuellen Verzeichnis befindet.

Warnhinweis: Wenn Sie die Datei IAS_Clients.txt auf den Zielserver kopiert haben, müssen Sie sie von diesem Server entfernen und an einem sicheren Ort verwahren, da sie die geheimen RADIUS-Schlüssel für alle auf diesem Server konfigurierten WAPs enthält.

Beim Importieren von RADIUS-Clientdaten handelt es sich nicht um einen Hinzufügungsprozess. Die importierten RADIUS-Clienteinstellungen überschreiben alle auf dem Server vorhandenen Clienteinträge.

Eine wesentlich flexiblere Methode zum Importieren der RADIUS-Clients stellt das Tool AddRADIUSClient.exe dar, das im Lieferumfang dieser Lösung enthalten ist. Mit diesem Tool können Sie das selektive Hinzufügen von RADIUS-Clients zu unterschiedlichen Servern in einem Skript aufzeichnen.

Zum Seitenanfang

Zusammenfassung

Dieses Kapitel gibt Anleitungen zu folgenden Themen:

•	Installieren und Konfigurieren des ersten IAS-Servers
•	Installieren zusätzlicher IAS-Server und Replizieren der Konfiguration vom ersten Server auf diese Server
•	Hinzufügen von WAPs zu IAS als RADIUS-Clients
•	Konfigurieren der WAPs für IAS-Server und Ändern der Standardeinstellungen zur Verbesserung der Sicherheit

Sie sind nun bereit, die WLAN-Clients zu konfigurieren. Informationen dazu finden Sie in Kapitel 6, Konfigurieren der WLAN-Clients.

Außerdem sollten Sie das Kapitel 8, Verwalten der sicheren WLAN-Lösung, lesen. Dieses Kapitel enthält wesentliche Informationen darüber, wie Sie die RADIUS-Infrastruktur sicher und zuverlässig verwalten.

Zum Seitenanfang

Quellen

Dieser Abschnitt enthält Quellangaben für wichtige ergänzende Informationen oder anderes Hintergrundmaterial, das für den Inhalt dieses Kapitels relevant ist.

•	Weitere Informationen zur Bereitstellung von IAS finden Sie im Kapitel "Deploying IAS" (auf Englisch) im Windows Server 2003 Deployment Kit unter folgendem URL: http://go.microsoft.com/fwlink/?LinkId=4716
•	Weitere Informationen über die Programmierung von IAS mit der Serverdatenobjekt-Schnittstelle finden Sie auf der Seite "Server Data Objects" (auf Englisch) auf der MSDN-Website unter folgendem URL: http://msdn.microsoft.com/library/en-us/sdo/sdo/server_data_objects_.asp
•	Weitere Informationen zur Pocket PC-Unterstützung für PEAP Fast Reconnect finden Sie im Artikel 827824, "FIX: Wireless Clients Cannot Connect When the PEAP Fast Reconnect Authentication Option is Turned On" (auf Englisch) in der Microsoft Knowledge-Datenbank unter folgendem URL: http://support.microsoft.com/default.aspx?scid=kb;de-de;827824
•	Weitere Informationen zur Windows XP-Drahtlostechnologie finden Sie im Whitepaper Windows XP Wireless Deployment Technology and Component Overview (auf Englisch) unter folgendem URL: http://www.microsoft.com/windowsxp/pro/techinfo/administration/ networking/default.asp

Zum Seitenanfang

7 von 10

In diesem Beitrag

•	Überblick über das Sichern von WLANs mit PEAP und Kennwörtern
•	Einführung: Festlegen einer Strategie für die WLAN-Sicherheit
•	Kapitel 1: Sichern von WLANs mit PEAP und Kennwörtern
•	Kapitel 2: Planen einer WLAN-Sicherheitsimplementierung
•	Kapitel 3: Vorbereiten der Umgebung
•	Kapitel 4: Erstellen der Netzwerkzertifizierungsstelle
•	Kapitel 5: Erstellen der WLAN-Sicherheitsinfrastruktur
•	Kapitel 6: Konfigurieren der WLAN-Clients
•	Kapitel 7: Testen der sicheren WLAN-Lösung
•	Kapitel 8: Verwalten der sicheren WLAN-Lösung

Herunterladen der vollständigen Lösung

Sichern von WLANs mit PEAP und Kennwörtern