Alle Themen der Sicherheitsanleitung anzeigen Auf dieser SeiteÜbersichtDieses Kapitel gibt Anleitung zum Konfigurieren und Bereitstellen der Netzwerkeinstellungen für Ihre WLAN-Clients (Wireless Local Area Network) und zum Verbinden der Clients mit dem WLAN. Es enthält Anweisungen zum Verbinden von Microsoft® Windows® XP-Clients (Professional und Tablet PC Edition) sowie Pocket PC 2003-Clients mit dem WLAN. Das Kapitel umfasst außerdem ausführliche Informationen zum Überprüfen der Sicherheitsgruppenmitgliedschaften für WLAN-Benutzer und -Computer, zum Konfigurieren der WLAN-Einstellungen mit der Gruppenrichtlinie für Windows XP-Clients sowie Verfahren zum Konfigurieren von Pocket PC-Clients. Voraussetzungen für das KapitelNeben den in Kapitel 3, Vorbereiten der Umgebung, beschriebenen Voraussetzungen sollten Sie mit folgenden Themen vertraut sein: | • | Windows XP-Konfiguration und Treiberinstallation | | • | Konfiguration und Verwendung von Pocket PC 2003 |
Außerdem sollten Sie die Anleitungen in Kapitel 3, Vorbereiten der Umgebung, Kapitel 4, Erstellen der Netzwerkzertifizierungsstelle, und Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, gelesen und ausgeführt haben. Darüber hinaus sollten Sie die Entwurfs- und Planungsinformationen in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung, gelesen und das Prinzip der Architektur und des Entwurfs dieser Lösung verstanden haben. Vorbereiten auf die ImplementierungUm die in diesem Kapitel beschriebenen Konfigurationsschritte für die Gruppenrichtlinie auszuführen, müssen Sie mit einem Konto angemeldet sein, das Mitglied der Domänenadministratorengruppe der Domäne ist, in der Sie die WLAN-Einstellungen installieren. Standardmäßig ist das integrierte Administratorenkonto der Domäne Mitglied dieser Gruppe, doch Sie können auch ein anderes Konto mit derselben Gruppenmitgliedschaft verwenden. Um die Schritte zur Überprüfung der Windows XP-Clientcomputer auszuführen, müssen Sie Mitglied der lokalen Administratorengruppe für den entsprechenden Computer sein. Erforderliche ToolsIn der folgenden Tabelle sind die Tools aufgeführt, die zum Implementieren der in diesem Kapitel beschriebenen Schritte erforderlich sind. Tabelle 6.1: Erforderliche Tools Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) | Erweitertes Verwaltungstool für den Import und Export der Gruppenrichtlinienobjekte | Die in Kapitel 3, Vorbereiten der Umgebung, beschriebenen Installationsschritte | Active Directory-Benutzer und -Computer | MMC-Tool (Microsoft Management Console) mit dem Microsoft Active Directory®-Verzeichnisdienstbenutzer, -gruppen und -computer sowie andere Active Directory-Objekte verwaltet werden | Als Bestandteil von Windows Server™ 2003 installiert |
WLAN-ClientparameterIn der folgenden Tabelle sind einige der Hauptparameter aufgeführt, die in diesem Kapitel verwendet werden. Tabelle 6.2: WLAN-Clienteinstellungen Gruppe für den WLAN-Zugriff | WLAN-Zugriff | Gruppe für den WLAN-Zugriff für Benutzer | WLAN-Benutzer | Gruppe für den WLAN-Zugriff für Computer | WLAN-Computer | Name des WLAN-Gruppenrichtlinienobjekts | WLAN-Clienteinstellungen | Eine Sicherheitsgruppe zum Filtern der Gruppenrichtlinienobjekte | WLAN-Computereinstellungen | Name der Drahtlosnetzwerkrichtlinie | Windows XP-WLAN-Clienteinstellungen (PEAP-drahtgebundene WEP-Verschlüsselung) | WLAN-Netzwerkname (SSID) | LucerneWLAN (Ändern Sie diesen auf die WLAN-SSID) | EAP-Typ (Extensible Authentication Protocol) | PEAP | PEAP-Authentifizierungsmethode | Sicheres Kennwort (EAP-MSCHAP v2) | Schnelle Wiederherstellung der PEAP-Verbindung | Aktiviert |
Die kursiv geschriebenen Werte müssen durch Einstellungen ersetzt werden, die für Ihre Umgebung relevant sind. Zulassen des Zugriffs von Benutzern und Computern auf das WLANSie können den Benutzer- und Computerzugriff auf einen Netzwerkzugriffserver (z. B. einen Wireless Access Point, WAP) steuern, indem Sie die Einwahlberechtigung im Domänenkonto des Benutzers oder Computers festlegen. Diese Methode wurde von Windows NT® 4.0 zur Steuerung des Benutzerzugriffs auf RAS (Remote Access Service) verwendet. Das Steuern des Netzwerkzugriffs für eine große Zahl von Benutzern ist mit dieser Methode jedoch äußerst mühsam. Außerdem handelt es sich um eine absolute Einstellung, das heißt, Sie können keinen VPN-Zugriff (Virtual Private Network) für einen bestimmten Benutzer zulassen und gleichzeitig den WLAN-Zugriff für diesen Benutzer sperren. Mit dem Internetauthentifizierungsdienst (IAS) unter Windows 2000 und Windows Server 2003 können Sie den Zugriff auf Netzwerkdienste mit Active Directory-Sicherheitsgruppen steuern, die mit einer RAS-Richtlinie verknüpft sind. Diese Methode ist flexibler und einfacher zu verwalten, da Sie den Zugriff auf einen Netzwerkdienst mit Hilfe von Gruppenmitgliedschaften regeln können. Steuern des WLAN-Zugriffs mit SicherheitsgruppenDer Zugriff auf das WLAN wird über die IAS-RAS-Richtlinien gesteuert. Die RAS-Richtlinie für diese Lösung wurde in Kapitel 5, Erstellen der WLAN-Sicherheitsinfrastruktur, konfiguriert. Diese Richtlinie enthält einen Filter, mit dem der Zugriff auf das WLAN nur Mitgliedern der Sicherheitsgruppe WLAN-Zugriff gestattet wird. Der WLAN-Zugriff wird nicht direkt Benutzer- und Computerkonten zugewiesen. Er besitzt zwei Sicherheitsgruppen als Mitglieder – WLAN-Benutzer und WLAN-Computer. Diese Lösung erhebt Domänenbenutzer und Domänencomputer zu Mitgliedern dieser Gruppen, sodass sich alle Benutzer und Computer standardmäßig mit dem WLAN verbinden dürfen. Ausführliche Hintergrundinformationen zu diesem Thema finden Sie im Abschnitt "Administrationsmodell für WLAN-Benutzer und -Computer" in Kapitel 2, Planen einer WLAN-Sicherheitsimplementierung. Verwenden von Sicherheitsgruppen zur feineren Abstimmung der SteuerungAllen Benutzern und Computern den Zugriff auf das WLAN zu erlauben, ist ein sehr einfaches Administrationsmodell. Mitunter müssen Sie jedoch eine stärkere Kontrolle darüber ausüben, welche Benutzer und Computer auf das WLAN zugreifen können. Dazu müssen Sie die Domänenbenutzer bzw. Domänencomputer aus der Gruppe WLAN-Benutzer bzw. WLAN-Computer entfernen. Anschließend können Sie die Benutzer und Computer hinzufügen, denen Sie als Mitglieder dieser Gruppen Zugriff gewähren möchten. Fügen Sie die Benutzer und Computer möglichst nicht direkt der Gruppe WLAN-Zugriff hinzu, da es sich um eine universelle Gruppe handelt, deren Mitgliedschaft im strukturweiten, globalen Katalog veröffentlicht wird. Eine Veröffentlichung im globalen Katalog bedeutet, dass alle Änderungen an der Mitgliedschaft dieser Gruppe auf alle Domänencontroller des Unternehmens repliziert werden. Durch Hinzufügen von Benutzern und Computern zu den domänenspezifischen Gruppen (WLAN-Benutzer und WLAN Computer) wird die Replikation von Änderungen auf die Domänencontroller einer einzigen Domäne beschränkt. Hinweis: Pocket PCs besitzen keine Active Directory-Computerkonten. Daher müssen Sie sie auch nicht der Gruppe WLAN-Computer hinzufügen. Sie authentifizieren sich nur mit dem Benutzerkonto am WLAN. Daher ist nur das Konto des Pocket PC-Benutzers wichtig. Die Benutzer erhalten nur bei der Anmeldung Informationen über geänderte Gruppenmitgliedschaften. Daher müssen sich die Benutzer ab- und wieder anmelden, nachdem Sie die WLAN-Zugriffsgruppen erstellt und mit Einträgen versehen haben. Ebenso müssen Clientcomputer neu gestartet werden, nachdem ihre Gruppenmitgliedschaften geändert wurden. Konfigurieren von Windows XP-WLAN-ClientsIn diesem Abschnitt erfahren Sie, wie WLAN-Clienteinstellungen für Windows XP konfiguriert werden. Mit dem hier beschriebenen Verfahren können Sie die PEAP-Kennwortauthentifizierung mit dynamischer WEP-Verschlüsselung (Wired Equivalent Privacy) für den Schutz der Daten konfigurieren. Die Einstellungen können sowohl auf Windows XP Professional Edition als auch auf Windows XP Tablet PC Edition angewendet werden. Anweisungen zum Konfigurieren von WPA-Datenschutz und -Schlüsselverwaltung finden Sie in Anhang B, WPA-Anwendung in der Lösung. Installieren aller erforderlichen Patches und UpdatesStellen Sie sicher, dass alle relevanten Patches und Updates auf den Clientcomputern installiert wurden. Dazu gehören: | • | Kritische Sicherheitspatches | | • | Windows XP Service Packs (Service Pack 1 oder höher) | | • | Windows XP-WPA-Client (falls erforderlich) | | • | WLAN-bezogene Windows-Patches (z. B. das Wireless Update Rollup Package für Windows XP, siehe Knowledge Base-Artikel 826942. Dieses Paket wird dringend empfohlen, es sei denn, Windows XP SP2 ist installiert.) | | • | Aktualisierte WLAN-Treiber des Netzwerkadapters oder des Computerherstellers |
Erstellen von Gruppenrichtlinienobjekten für WLAN-EinstellungenUm die Bereitstellung von WLAN-Clienteinstellungen zu automatisieren, können Sie die Active Directory-Gruppenrichtlinie verwenden. Der Gruppenrichtlinien-Editor in Windows Server 2003 umfasst eine Sammlung von Einstellungen, die unter den Begriff Drahtlosnetzwerkrichtlinie gefasst werden. Anhand dieser Richtlinie können Sie für Ihr WLAN spezifische Clienteinstellungen festlegen. Wichtig: Es wird vorausgesetzt, dass die Clientcomputer der Domäne hinzugefügt wurden und sich mit einem WLAN verbinden können, sodass sie die WLAN-Clienteinstellungen empfangen können. Die Gruppenrichtlinienobjekte können Sie entweder mit der Gruppenrichtlinien-Verwaltungskonsole oder mit Active Directory-Benutzer und -Computer erstellen. Wichtig: Die Gruppenrichtlinienobjekt-Einstellungen der Drahtlosnetzwerkrichtlinie werden nicht im Gruppenrichtlinienobjekt-Editor angezeigt, wenn Sie das Gruppenrichtlinienobjekt von einem Windows 2000- oder Windows XP-System aus bearbeiten. Bearbeiten Sie diese Einstellungen von einem Windows Server 2003-System oder einem System aus, auf dem die Verwaltungstools von Windows Server 2003 installiert sind. Die Einstellungen funktionieren jedoch sowohl mit Windows 2000- als auch mit Windows 2003-Domänencontrollern. Diese Einstellungen sind in keiner Windows-Version im lokalen Richtlinienobjekt vorhanden. So erstellen Sie ein WLAN-Client-Gruppenrichtlinienobjekt mit der Gruppenrichtlinien-Verwaltungskonsole 1. | Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, und wählen Sie das Domänenobjekt der Domäne, die Sie konfigurieren. | 2. | Klicken Sie mit der rechten Maustaste auf die Domäne, und wählen Sie anschließend Hier Gruppenrichtlinienobjekt erstellen und verknüpfen... Hinweis: Das Gruppenrichtlinienobjekt wird auf Domänenebene verknüpft. Daher sind die Einstellungen für alle Computer in der Domäne verfügbar. Wenn Sie es vorziehen, können Sie den Bereich des Gruppenlinienobjekts einschränken, indem Sie es mit einer Organisationseinheit auf einer niedrigeren Ebene verknüpfen. | 3. | Wenn Sie zur Eingabe eines Namens aufgefordert werden, geben Sie WLAN-Clienteinstellungen ein. | 4. | Doppelklicken Sie im rechten Fenster auf das neu erstellte Gruppenrichtlinienobjekt WLAN-Clienteinstellungen. Im rechten Fenster werden nun die Eigenschaften des Gruppenrichtlinienobjekts angezeigt. | 5. | Klicken Sie auf die Registerkarte Bereich. Wählen Sie in der Liste Security Filtering den Eintrag Authentifizierte Benutzer, und klicken Sie auf die Schaltfläche Entfernen, um ihn zu löschen. | 6. | Klicken Sie auf Hinzufügen..., um eine andere Gruppe hinzuzufügen. | 7. | Geben Sie WLAN-Computereinstellungen ein, oder suchen Sie danach. Hinweis: Die effektive Mitgliedschaft der Gruppe WLAN-Computereinstellungen besteht aus der Gruppe Domänencomputer. Die Gruppe Domänencomputer ist ein Mitglied der WLAN-Computer, die wiederum ein Mitglied der Gruppe WLAN-Computereinstellungen ist. Das Gruppenrichtlinienobjekt auf der Domänenebene (siehe Schritt 1) ermöglicht allen Computern in der Domäne, WLAN-Clienteinstellungen zu empfangen. Wenn Sie die Einstellungen auf eine kleinere Untergruppe beschränken möchten, entfernen Sie die Mitgliedschaft der Gruppe Domänencomputer in der Gruppe WLAN-Computer. | 8. | Klicken Sie auf die Registerkarte Details, und wählen Sie Benutzerdefinierte Konfigurationseigenschaften deaktivieren aus der Dropdownliste GPO Status. Klicken Sie zum Bestätigen auf OK. | 9. | Klicken Sie mit der rechten Maustaste im linken Fenster auf das Gruppenrichtlinienobjekt, und wählen Sie Bearbeiten, um die Einstellungen des Gruppenrichtlinienobjekts zu bearbeiten. | 10. | Der Gruppenrichtlinienobjekt-Editor wird geöffnet. Navigieren Sie zu den Richtlinien in \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Drahtlosnetzwerkrichtlinien (IEEE 802.11). | 11. | Wählen Sie das Objekt Drahtlosnetzwerkrichtlinien (IEEE 802.11) im Navigationsfenster, und wählen Sie anschließend Drahtlosnetzwerkrichtlinie erstellen im Menü Aktion. | 12. | Geben Sie der Richtlinie mit Hilfe des Assistenten den Namen Windows XP-WLAN-Clienteinstellungen (PEAP-WEP). Lassen Sie das Kontrollkästchen Eigenschaften bearbeiten aktiviert, und klicken Sie auf Fertig stellen, um den Assistenten zu schließen. | 13. | Klicken Sie auf die Registerkarte Bevorzugte Netzwerke und anschließend auf Hinzufügen..., um ein neues bevorzugtes Netzwerk hinzuzufügen. | 14. | Geben Sie im Feld Netzwerkname (SSID) den Namen Ihres Drahtlosnetzwerks ein. | 15. | Geben Sie im Feld Beschreibung eine Beschreibung des Netzwerks ein. Hinweis: Wenn bereits ein WLAN vorhanden ist, das neben dem 802.1X-basierten WLAN dieser Lösung ausgeführt werden soll, müssen Sie für das neue WLAN eine andere SSID verwenden. | 16. | Klicken Sie auf die Registerkarte IEEE 802.1x, und wählen Sie Geschütztes EAP (PEAP) aus der Dropdownliste EAP-Typ. | 17. | Klicken Sie auf die Schaltfläche Einstellungen..., um die PEAP-Einstellungen zu ändern. Wählen Sie in der Liste Vertrauenswürdige Stammzertifizierungsstellen das Stammzertifizierungsstellenzertifikat für die Zertifizierungsstelle, die Sie in Kapitel 4, Erstellen der Netzwerkzertifizierungsstelle, installiert haben. Wichtig: Wenn Sie die Zertifizierungsstelle komplett neu installieren (und nicht nur von einer Sicherung wiederherstellen) müssen, bearbeiten Sie das Gruppenrichtlinienobjekt, und wählen Sie das Stammzertifizierungsstellenzertifikat für die neue Zertifizierungsstelle. | 18. | Wählen Sie Sicheres Kennwort (EAP-MSCHAP v2) unter Authentifizierungsmethode auswählen, und wählen Sie anschließend die Option Schnelle Wiederherstellung der Verbindung aktivieren. | 19. | Schließen Sie alle Eigenschaftenfenster durch Klicken auf OK. | 20. | Schließen Sie den Gruppenrichtlinienobjekt-Editor und die Gruppenrichtlinien-Verwaltungskonsole. |
Um das Gruppenrichtlinienobjekt mit Active Directory-Benutzer und -Computer zu erstellen (wenn Sie die Gruppenrichtlinien-Verwaltungskonsole nicht installiert haben), ersetzen Sie die Schritte 1 bis 10 des zuvor beschriebenen Verfahrens durch die folgenden Schritte. So erstellen Sie ein Gruppenrichtlinienobjekt mit Active Directory-Benutzern und Computern 1. | Öffnen Sie Active Directory-Benutzer und -Computer, und wählen Sie das Domänenobjekt. | 2. | Klicken Sie mit der rechten Maustaste auf das Domänenobjekt, und wählen Sie Eigenschaften. | 3. | Klicken Sie auf die Registerkarte Gruppenrichtlinie und anschließend auf die Schaltfläche Neu.... | 4. | Geben Sie als Namen für das Gruppenrichtlinienobjekt WLAN-Clienteinstellungen ein. | 5. | Klicken Sie auf die Schaltfläche Eigenschaften und anschließend auf die Registerkarte Sicherheit. | 6. | Wählen Sie in der Liste Gruppen- oder Benutzernamen den Eintrag Authentifizierte Benutzer aus, und klicken Sie auf die Schaltfläche Entfernen. | 7. | Klicken Sie auf Hinzufügen..., und geben Sie WLAN-Computereinstellungen ein oder suchen Sie danach. Klicken Sie auf OK. | 8. | Wenn der Gruppenname WLAN-Computereinstellungen in der Liste Gruppen- oder Benutzernamen markiert ist, klicken Sie auf die Berechtigungen Lesen und Gruppenrichtlinie übernehmen in der Spalte Zulassen der Liste Berechtigungen. | 9. | Klicken Sie auf die Registerkarte Allgemein und auf Benutzerdefinierte Konfigurationseigenschaften deaktivieren. Bestätigen Sie alle Warnhinweise mit Ja. | 10. | Klicken Sie auf OK, um die Änderungen zu übernehmen und das Fenster der Gruppenrichtlinienobjekt-Eigenschaften zu schließen. | 11. | Klicken Sie auf die Schaltfläche Bearbeiten, um die Richtlinie zu bearbeiten, und navigieren Sie zu \Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Drahtlosnetzwerkrichtlinien (IEEE 802.11). | 12. | Wiederholen Sie die Schritte 11 bis 20 des zuvor beschriebenen Verfahrens. |
Bereitstellen der WLAN-EinstellungenWenn Sie von einem vorhandenen WLAN (ungesichertes, statisches WEP oder anderer Verschlüsselungstyp) migrieren, sollten Sie die Einstellungen der WLAN-Gruppenrichtlinie für das neue 802.1X-basierte Netzwerk mehrere Tage oder auch Wochen vor dem Konfigurieren der 802.1X-Einstellungen auf den Drahtloszugriffspunkten und dem Aktivieren des neuen WLAN bereitstellen. Dadurch haben die Clientcomputer reichlich Gelegenheit, die Gruppenrichtlinie WLAN-Clienteinstellungen herunterzuladen und anzuwenden, auch wenn sie nur gelegentlich eine Verbindung mit dem drahtgebundenen LAN herstellen. Sie können die Gruppenrichtlinieneinstellungen auch auf Ihre Clientcomputer anwenden, bevor ein WLAN-Netzwerkadapter installiert und von Windows konfiguriert wird. Die WLAN-Einstellungen werden ignoriert, bis ein gültiger WLAN-Netzwerkadapter installiert wird. Sobald der Netzwerkadapter installiert ist, wird er automatisch mit den Einstellungen der WLAN-Gruppenrichtlinie konfiguriert. Überprüfen der Anwendung von WLAN-GruppenrichtlinienUm die ordnungsgemäße Anwendung der WLAN-Einstellungen für das Gruppenrichtlinienobjekt zu überprüfen, müssen Sie sich bei einem Clientcomputer anmelden. Die Gruppe Domänencomputer ist Mitglied der Sicherheitsgruppe WLAN-Computereinstellungen. Diese wird als Filter benutzt und bestimmt, welche Computer die WLAN-Einstellungen im Gruppenrichtlinienobjekt WLAN-Clienteinstellungen erhalten. Alle Domänencomputer sollten daher diese Gruppenrichtlinienobjekt-Einstellungen erhalten haben. Unter Umständen müssen Sie den Computer neu starten, wenn er nach Erstellung der Gruppe WLAN-Computereinstellungen nicht neu gestartet wurde. Hinweis: Um die Drahtlosnetzwerkeinstellungen anzuzeigen, muss ein WLAN-Netzwerkadapter auf dem Computer installiert sein. So überprüfen Sie die erfolgreiche Bereitstellung der WLAN-Einstellungen 1. | Melden Sie sich als Mitglied der lokalen Administratorengruppe an einem Clientcomputer an. | 2. | Doppelklicken Sie in der Systemsteuerung auf Netzwerkverbindungen. | 3. | Zeigen Sie die Eigenschaften des zu Ihrer Drahtlosnetzwerkkarte gehörenden Symbols Drahtlosnetzwerkverbindungen an. Auf der Registerkarte Drahtlosnetzwerke sollte unter Bevorzugte Netzwerke nun der neue SSID-Name für das Drahtlosnetzwerk angezeigt werden. | 4. | Wählen Sie den neuen SSID-Namen für das Drahtlosnetzwerk, und klicken Sie auf Eigenschaften, um die Einstellungen anzuzeigen und zu überprüfen, dass sie den in der WLAN-Gruppenrichtlinie ausgewählten Einstellungen entsprechen. | 5. | Wird der SSID-Name nicht unter Bevorzugte Netzwerke angezeigt oder entsprechen die für diesen SSID-Namen angezeigten Netzwerkeinstellungen nicht den in der WLAN-Gruppenrichtlinie konfigurierten Einstellungen, schließen Sie alle Drahtlosnetzwerkdialogfelder und führen Sie an der Eingabeaufforderung den folgenden Befehl aus: Gpupdate /force Überprüfen Sie die Einstellungen nach ein bis zwei Minuten erneut. Werden die Einstellungen nach wie vor nicht angezeigt, lesen Sie den Abschnitt "Problembehandlung" in Kapitel 8, Verwalten der sicheren WLAN-Lösung. |
Überprüfen des Zertifikats der Stammzertifizierungsstelle auf dem ClientZur Authentifizierung beim IAS-Server mit PEAP benötigen die Clients das Zertifikat für die Netzwerkzertifizierungsstelle (dieses wird der Anleitung in Kapitel 4, Erstellen der Netzwerkzertifizierungsstelle, entsprechend installiert) in ihrem Speicher der vertrauenswürdigen Stammzertifizierungsstelle. Dieses Zertifikat wurde in Active Directory bei der Zertifizierungsstelleninstallation veröffentlicht. Alle Mitglieder der Active Directory-Gesamtstruktur laden dieses Zertifikat automatisch herunter und installieren es in ihrem Speicher der vertrauenswürdigen Stammzertifizierungsstelle. So überprüfen Sie, dass das Zertifikat der Stammzertifizierungsstelle installiert wurde 1. | Melden Sie sich am Clientcomputer als Administrator an. | 2. | Führen Sie den Befehl MMC.exe (über das Menü Start, Ausführen... oder eine Befehlsshell) aus. | 3. | Wählen Sie im Menü Datei der Microsoft-Verwaltungskonsole den Befehl Snap-In hinzufügen/entfernen.... | 4. | Klicken Sie im Fenster Snap-In hinzufügen/entfernen auf die Schaltfläche Hinzufügen.... Wählen Sie den Eintrag Zertifikate aus der Liste der verfügbaren Snap-Ins. | 5. | Wählen Sie Computerkonto, und klicken Sie auf Weiter. | 6. | Klicken Sie auf Fertig stellen. | 7. | Schließen Sie die Fenster Eigenständiges Snap-In hinzufügen und Snap-In hinzufügen/entfernen. | 8. | Navigieren Sie im linken Fenster zu den Zertifikaten (Lokaler Computer\Vertrauenswürdige Stammzertifizierungsstellen\Zertifikate). | 9. | Suchen Sie das Zertifikat für Ihre Zertifizierungsstelle (es wird unter dem Namen aufgeführt, den Sie während der Installation der Zertifizierungsstelle vergeben haben). | 10. | Wird das Zertifikat nicht in der Liste angezeigt, öffnen Sie eine Befehlsshell, und geben Sie den folgenden Befehl ein: Gpupdate /force | 11. | Kehren Sie wieder zur Verwaltungskonsole Zertifikate zurück. Klicken Sie mit der rechten Maustaste auf den Knoten Zertifikate (Lokaler Computer). Wählen Sie Aktualisieren, und suchen Sie erneut nach dem Zertifikat der Zertifizierungsstelle. Wird das Zertifikat nach wie vor nicht angezeigt, lesen Sie den Abschnitt "Problembehandlung" in Kapitel 8, Verwalten der sicheren WLAN-Lösung. |
Überprüfen der Verbindung zum WLANNachdem Sie die WLAN-Einstellungen des Gruppenrichtlinienobjekts sowie das Zertifikat der Stammzertifizierungsstelle überprüft haben, können Sie nun die Verbindung zum WLAN mit einem Clientcomputer testen. So testen Sie die Verbindung zum WLAN 1. | Melden Sie sich als Domänenbenutzer mit autorisiertem Zugriff auf das WLAN an einem Clientcomputer an, auf dem eine WLAN-Karte installiert ist und der nicht mit dem drahtgebundenen Netzwerk verbunden ist. Standardmäßig haben alle Domänenbenutzer Zugriff auf das WLAN. Hinweis: Wenn das WLAN zu diesem Zeitpunkt nicht betriebsbereit ist und die Anmeldedaten des Benutzers nicht auf dem Computer zwischengespeichert sind, schlägt die Anmeldung fehl. | 2. | Führen Sie an der Eingabeaufforderung den Befehl ping aus, um die Netzwerkkonnektivität zu einem anderen Computer auf dem Netzwerk zu überprüfen. Schlägt der Befehl ping (oder die Anmeldung) fehl, lesen Sie den Unterabschnitt "Überwachen der Clientverbindung zum WLAN" im Abschnitt "Problembehandlung" in Kapitel 8, Verwalten der sicheren WLAN-Lösung. |
Weitere Informationen über Testverfahren für WLAN-Clients finden Sie in Kapitel 7, Testen der sicheren WLAN-Lösung. Konfigurieren von Pocket PC 2003-ClientsPocket PC 2003 bietet vollständige Unterstützung für 802.1X-WLAN-Netzwerke entweder mit PEAP (mit Kennwörtern) oder EAP-TLS (Extensible Authentication Protocol-Transport Layer Security mit Zertifikaten). Da es sich bei Pocket PC 2003 allerdings um ein modulares Betriebssystem handelt, kann der Hersteller des Handheld-Gerätes entscheiden, ob er diese Funktion integriert oder nicht. Daher sollten Sie nicht davon ausgehen, dass alle Pocket PC 2003-Geräte WLAN-fähig sind. Führende Hersteller dieser Geräte bieten 802.1X-WLAN-fähige Systeme entweder mit integrierter WLAN-Hardware oder mit einem zusätzlichen WLAN-Netzwerkadapter an. Dieser Abschnitt beschreibt die Konfiguration der allgemeinen Pocket PC-WLAN-Schnittstelle basierend auf dem HP IPAQ 5550 Pocket PC. Einige Hersteller implementieren jedoch eigene WLAN-Treiber und -Schnittstellen. Die folgenden Anweisungen treffen für diese Geräte unter Umständen nicht zu. Daher sollten Sie die Anweisungen des Geräteherstellers befolgen. Einige Pocket PC-Hersteller bieten außerdem 802.1X-WLAN-Unterstützung für Pocket PC 2002. Pocket PC 2002 wurde mit dieser Lösung nicht getestet. Besuchen Sie die Website des Herstellers, um ausführliche Informationen zur Pocket PC 2000-Unterstützung für WLAN zu erhalten. Vorbereiten des Pocket PC-GerätesVor dem Konfigurieren des Gerätes sollten Sie alle relevanten, vom Hersteller verfügbaren Updates für Ihren Pocket PC beschaffen und installieren. Dazu gehören: | • | ROM-Updates (dazu gehören unter Umständen verschiedene Updates, einschließlich Treiber). | | • | Updates für Netzwerktreiber | | • | Andere WLAN- oder Netzwerkupdates, die für 802.1X-Netzwerke relevant sind. Wichtig: Vor dem Installieren der Updates sollten Sie die entsprechende Begleitdokumentation sorgfältig lesen. Einige Updates können mit anderen Updates oder dem gewünschten Zweck nicht kompatibel sein. HP hat z. B. ein Update für die IPAQ 555x-Serie zur Verfügung gestellt, um Cisco LEAP zu unterstützen. Dieses Update ist mit dem 802.1X-WLAN-Treiberupdate von HP nicht kompatibel und führt dazu, dass PEAP nicht funktioniert. |
Bereitstellen des Zertifikats der ZertifizierungsstelleDas Zertifikat der Zertifizierungsstelle für Ihre Netzwerkzertifizierungsstelle muss im Speicher der vertrauenswürdigen Stammzertifizierungsstelle aller Pocket PCs installiert werden, die sich mit dem WLAN verbinden müssen. Exportieren Sie dazu das Zertifikat von der Zertifizierungsstelle und machen Sie es für Pocket PC-Benutzer oder IT-Mitarbeiter verfügbar. So exportieren Sie das Zertifikat der Zertifizierungsstelle 1. | Melden Sie sich am Server der Zertifizierungsstelle an, und öffnen Sie eine Befehlsshell. | 2. | Führen Sie den folgenden Befehl aus, um das Zertifikat der Zertifizierungsstelle in eine Datei zu exportieren: certutil -ca.cert rootca.cer Sie können einen Pfad zur Datei Rootca.cer angeben, wenn Sie sie in einem anderen Ordner speichern möchten (der Pfad und der Dateiname müssen in Anführungszeichen eingeschlossen werden, wenn eingebettete Leerzeichen enthalten sind). | 3. | Kopieren Sie die Zertifikatdatei in ein Dateifreigabe- oder Webserververzeichnis, sodass sie von Benutzern problemlos heruntergeladen werden kann, wenn sie für die Pocket PC-Installation erforderlich ist. |
Konfigurieren des Pocket PCsJeder Pocket PC muss mit dem Zertifikat der Zertifizierungsstelle und den WLAN-Einstellungen konfiguriert werden, bevor er eine Verbindung mit dem WLAN herstellen kann. Daher ist ein Verfahren erforderlich, um die Zertifikatdatei auf den Pocket PC zu kopieren. Dieses Verfahren geht von einer ActiveSync®-Verbindung aus, die entweder mit einem Docking Cradle, einer Infrarot- oder Bluetooth-Verbindung hergestellt wird. Sie können auch Wechselmedien verwenden (z. B. Compact Flash, Secure Digital oder Multimedia Card), um die Zertifikatdatei zu übertragen. Alternativ lässt sich auch eine nicht authentifizierte WLAN-Verbindung verwenden, damit der Pocket PC das Zertifikat von einer Website herunterladen kann. Sie können das Zertifikat auch an die Benutzer per E-Mail senden, ihnen das Synchronisieren erlauben (die E-Mail-Nachricht an Pocket Outlook® übertragen) und sie anschließend die angehängte Zertifikatdatei ausführen lassen. So importieren Sie das Zertifikat der Zertifizierungsstelle auf den Pocket PC 1. | Verbinden Sie den Pocket PC mit der von Ihnen bevorzugten Verbindungsmethode über ActiveSync mit einem Hostcomputer (dazu müssen Sie unter Umständen eine ActiveSync-Partnerschaft einrichten). | 2. | Verwenden Sie auf dem Hostcomputer die ActiveSync-Option Explorer, um ein Ordnerfenster auf dem Gerät zu öffnen. Der Ordner Eigene Dateien wird geöffnet. | 3. | Laden Sie die Zertifikatdatei der Zertifizierungsstelle von dem öffentlichen Standort herunter, und kopieren Sie sie in den Ordner Eigene Dateien. Die Warnung über die Dateikonvertierung können Sie ignorieren. Trennen Sie nun das Gerät von der ActiveSync-Verbindung. | 4. | Suchen Sie auf dem Pocket PC die Zertifikatdatei der Zertifizierungsstelle im Datei Explorer, und doppeltippen Sie auf die Datei. | 5. | Sie werden gefragt, ob Sie das Zertifikat installieren möchten. Überprüfen Sie, dass der Name der Zertifizierungsstelle mit dem Namen der Zertifizierungsstelle Ihres Netzwerks übereinstimmt, und tippen Sie auf Ja, um das Zertifikat zu installieren. Sie können überprüfen, ob die Installation erfolgreich war, indem Sie Einstellungen, System und Zertifikate wählen und anschließend auf die Registerkarte Stamm klicken. |
So konfigurieren Sie die 802.1X-WLAN-Einstellungen auf dem Pocket PC 1. | Wenn der WLAN-Adapter nicht bereits auf dem Gerät aktiviert ist, aktivieren Sie ihn entweder mit einem Hardwareswitch oder einem Softwaretool. | 2. | Wird ein Popupfenster mit der Meldung angezeigt, dass ein neues Netzwerk gefunden wurde, wählen Sie Arbeit als Standort, mit dem das WLAN Sie verbindet. Tippen Sie anschließend auf Einstellungen. Wird das Popupfenster nicht angezeigt, (da das WLAN bereits zuvor erkannt wurde) führen Sie die folgenden Schritte aus: | • | Tippen Sie auf das Symbol Konnektivität (zwei Pfeile in entgegengesetzter Richtung) auf der Titelleiste des Pocket PCs, und tippen Sie auf Einstellungen. | | • | Tippen Sie auf die Registerkarte Erweitert und anschließend auf die Schaltfläche Netzwerkkarte. Auf der Registerkarte Drahtlos sollte der WLAN-SSID-Name in der Liste der verfügbaren Drahtlosnetzwerke angezeigt werden (befinden sich andere WLANs in diesem Bereich, wird deren Name hier angezeigt). | | • | Tippen Sie auf den Namen Ihres WLAN in der Liste. |
| 3. | Wählen Sie auf der Registerkarte Allgemein den Eintrag Arbeit aus der Liste Verbindet mit: | 4. | Wählen Sie auf der Registerkarte Authentifizierung die folgenden Optionen: | • | Datenverschlüsselung (WEP aktiviert) | | • | Schlüssel wird automatisch bereitgestellt | | • | Netzwerkzugriff unter Verwendung von IEEE 802.1X aktivieren |
Deaktivieren Sie das Kontrollkästchen Netzwerkauthentifizierung (Freigabemodus). | 5. | Wählen Sie in der Liste Extensible Authentication Protocol Type: den Eintrag PEAP. | 6. | Tippen Sie auf OK, um den WLAN-Einstellungsbildschirm zu schließen. | 7. | Wenn Sie zur Eingabe von Domänenanmeldedaten für die Verbindung zum WLAN aufgefordert werden, geben Sie den Namen, das Kennwort und die Domäne eines Benutzers ein, der für die Verbindung zum WLAN autorisiert ist. Warnung: Wählen Sie die Option Kennwort speichern nur, wenn ein Mechanismus für höchste Sicherheit, wie Abtasten der Fingerabdrücke oder sicherer Kennwortzugriff, implementiert ist, um das Gerät vor unbefugtem Gebrauch zu schützen. Denken Sie daran, dass die Anmeldedaten der Benutzer sowohl zum Authentifizieren bei Domänenressourcen als auch beim WLAN verwendet werden. Sind die Daten nicht ausreichend geschützt, kann ein Angreifer auf alle internen Netzwerkressourcen über das WLAN zugreifen, ohne entdeckt zu werden. | 8. | Wenn Sie über das Popupfenster Neues Netzwerk in Schritt 2 zu den WLAN-Einstellungen gelangt sind, tippen Sie auf das Symbol Konnektivität auf der Titelleiste des Pocket PCs. Tippen Sie anschließend auf Einstellungen, um den Bildschirm Verbindungseinstellungen zu öffnen. | 9. | Tippen Sie auf die Registerkarte Erweitert und anschließend auf die Schaltfläche Netzwerkkarte (wenn Sie nicht das Popupfenster Neues Netzwerk in Schritt 2 zur Navigation verwendet haben, wird dieser Bildschirm bereits angezeigt). | 10. | In der Liste Drahtlosnetzwerke sollte der Name des soeben konfigurierten WLAN angezeigt werden. Der Status sollte Verbunden lauten. Ist dies nicht der Fall, tippen Sie auf den Namen und dann auf Verbinden (unter Umständen werden Sie aufgefordert, die Benutzeranmeldedaten erneut einzugeben). | 11. | Wird der Status des WLAN nun mit Verbunden angezeigt, tippen Sie auf OK, um die Bildschirme Drahtlose Netzwerke konfigurieren und Verbindungseinstellungen zu schließen. Hinweis: Wenn diese Anweisungen an die Pocket PC-Benutzer weitergegeben werden, damit sie ihre Geräte selbst konfigurieren, können sie bei entsprechender Aufforderung ihre eigenen Domänenanmeldedaten eingeben. Wenn die IT-Supporttechniker die Pocket PCs für die Benutzer vorkonfigurieren, müssen Sie den Technikern die gültigen Domänenkonten (mit Zugriff auf das WLAN) zur Verfügung stellen. Es ist besonders wichtig, dass sie die Option Kennwort speichern beim Verwenden dieser Konten nicht aktivieren. Die Benutzer sollten dann angewiesen werden, ihre eigenen Anmeldedaten einzugeben, wenn sie zum ersten Mal mit Pocket PCs eine Verbindung herstellen. |
Überprüfen der Pocket PC-Verbindung zum WLANSie können auf verschiedene Arten überprüfen, ob der Pocket PC erfolgreich eine Verbindung mit dem WLAN hergestellt hat. Die einfachste Möglichkeit besteht darin, eine Verbindung mit einer Anwendung im Netzwerk, z. B. einer Website, herzustellen. (Möglicherweise müssen Sie einen Proxyserver auf dem Gerät konfigurieren, wenn sich der Webserver nicht auf dem LAN befindet.) Wenn die Verbindung fehlschlägt, schlagen Sie im Abschnitt "Problembehandlung" in Kapitel 8, Verwalten der sicheren WLAN-Lösung, nach. ZusammenfassungIn diesem Kapitel wurde die Konfiguration der WLAN-Netzwerkeinstellungen für Windows XP- und Pocket PC-Clients behandelt. Es wurden Anleitungen zum Verwenden von Sicherheitsgruppen zur Steuerung des Zugriffs auf das WLAN, zum Konfigurieren der Gruppenrichtlinie zur Bereitstellung von WLAN-Einstellungen für Windows XP-Clients sowie für Konfigurationsschritte für Pocket PC 2003-Clients gegeben. QuellenDieser Abschnitt enthält Quellenangaben für wichtige ergänzende Informationen oder anderes Hintergrundmaterial, das für den Inhalt dieses Kapitels relevant ist.
| |
