Aufnehmen von verdrahteten Windows Vista-Clients in eine Domäne
Auf dieser Seite
Zusammenfassung
Verdrahtete Clientcomputer, auf denen Microsoft® Windows Vista™ (derzeit in der Betatestphase) ausgeführt wird, können mit einem vorübergehenden Profil für verdrahtete Clients eine Verbindung mit einem sicheren verdrahteten Netzwerk herstellen und einer Domäne mit dem Active Directory®-Verzeichnisdienst beitreten. Für dieses vorübergehende Profil, das als Bootstrapprofil für verdrahtete Clients bezeichnet wird, muss der Benutzer, der die Verbindung herstellen möchte, seine Anmeldeinformationen für das Domänenbenutzerkonto manuell angeben. Das Zertifikat des RADIUS-Servers (Remote Authentication Dial-in User Service) wird dabei nicht überprüft. Nach der Aufnahme in die Domäne verwendet der verdrahtete Client das neue Profil für verdrahtete Clients, das automatisch die Anmeldeinformationen des Computers und des Benutzerkontos übernimmt und die Anmeldeinformationen des RADIUS-Servers überprüft. In diesem Artikel werden zwei Methoden zum Konfigurieren des Bootstrapprofils für ein verdrahtetes Netzwerk beschrieben.
Einführung
Für verdrahtete Clients sind meist entweder Domänenanmeldeinformationen (Name/Kennwort) oder ein Zertifikat erforderlich, um für sicheren drahtgebundenen Zugriff eine Authentifizierung durchzuführen. Um der Domäne beizutreten und Anmeldeinformationen oder Zertifikate der Domäne abzurufen, benötigen verdrahtete Clientcomputer eine erfolgreiche Verbindung mit dem verdrahteten Netzwerk, das die Domänencontroller der Domäne enthält. Zum Zugreifen auf ein sicheres verdrahtetes Netzwerk und Aufnehmen eines Computers in eine Domäne muss der Benutzer des verdrahteten Clients manuell seinen Benutzernamen und sein Kennwort für die Domäne angeben. Nach dem Herstellen der Verbindung mit dem verdrahteten Netzwerk kann der Benutzer des verdrahteten Clients den Computer in die Domäne aufnehmen.
In verdrahteten Netzwerken, die über 802.1X authentifiziert werden, müssen Clients zur Sicherheit Anmeldeinformationen angeben, die von einem RADIUS-Server authentifiziert werden. Diese Anmeldeinformationen können aus einem Benutzernamen und einem Kennwort (für MS-CHAP v2 [Microsoft Challenge Handshake Authentication Protocol, Version 2] mit PEAP [Protected EAP]) oder aus einem Zertifikat (für TLS [Transport Layer Security] mit EAP) bestehen. Bei PEAP-MS-CHAP v2 oder EAP-TLS überprüft der verdrahtete Client auch ein Computerzertifikat, das während des Authentifizierungsvorgangs vom RADIUS-Server gesendet wird. Dies ist das Standardverhalten des verdrahteten Windows-Clients. Dieses Verhalten kann deaktiviert werden, wird in Produktionsumgebungen jedoch empfohlen.
Wenn der RADIUS-Server Computerzertifikate von einer kommerziellen Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI) wie VeriSign, Inc., verwendet und das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des RADIUS-Servers bereits installiert ist, kann der verdrahtete Client das Computerzertifikat des RADIUS-Servers überprüfen, unabhängig davon, ob der verdrahtete Client der Active Directory-Domäne beigetreten ist.
Wenn der RADIUS-Server die Computerzertifikate einer privaten PKI verwendet, die in Active Directory integriert ist (z. B. eine auf den Zertifikatdiensten von Windows Server® 2003 basierende), verfügt ein verdrahteter Client vor der Aufnahme in die Domäne nicht über das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des RADIUS-Servers, und der Authentifizierungsvorgang schlägt standardmäßig fehl. Nach der Aufnahme des verdrahteten Client in die Domäne wird das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des RADIUS-Servers automatisch installiert.
In diesem Artikel werden Methoden zum Konfigurieren von auf Windows Vista beruhenden verdrahteten Clients mit einem Profil für verdrahtete Clients beschrieben, um eine manuelle PEAP-MS-CHAP-v2-Authentifizierung durchzuführen, nicht jedoch das Computerzertifikat des RADIUS-Servers zu überprüfen. Nach dem Herstellen einer Verbindung mit dem verdrahteten Netzwerk tritt der verdrahtete Clientcomputer der Domäne bei und empfängt das entsprechende Stammzertifizierungsstellenzertifikat. Das Profil für verdrahtete Clients kann vom Computerbenutzer (manuell) oder vom IT-Administrator (über die Gruppenrichtlinie) neu konfiguriert oder überschrieben werden, so dass bei der PEAP-MS-CHAP-v2-Authentifizierung das Computerzertifikat des RADIUS-Servers überprüft und automatisch Benutzerdomänen-Anmeldeinformationen verwendet werden.
Wenn der IT-Administrator das manuell konfigurierte Profil für verdrahtete Clients durch die Gruppenrichtlinie überschreibt, muss das Profil auf der Grundlage der Gruppenrichtlinie für das Durchführen der Computerauthentifizierung (Standardverhalten) konfiguriert werden. Wenn der Computer mit seinem Konto und den Anmeldeinformationen keine verdrahtete Verbindung erhalten kann, ist der Benutzer nicht in der Lage, sich mit seinen Domänenanmeldeinformationen am Computer anzumelden, da diese Informationen nicht von einem Domänencontroller überprüft werden können.
Methoden zum Aufnehmen eines verdrahteten Clients in eine Domäne
In diesem Abschnitt werden die folgenden Methoden zum Aufnehmen eines verdrahteten Clients in eine Domäne erläutert:
| • | Der Benutzer konfiguriert seinen verdrahteten Computer mithilfe einer XML-Datei (Extensible Markup Language) mit einem Bootstrapprofil für verdrahtete Clients und tritt der Domäne bei. |
| • | Der Benutzer konfiguriert seinen verdrahteten Computer manuell mit einem Bootstrapprofil für verdrahtete Clients und tritt der Domäne bei. |
Der Benutzer konfiguriert den Computer mithilfe einer XML-Datei mit einem Bootstrapprofil für verdrahtete Clients und tritt der Domäne bei
Bei dieser Methode konfiguriert der Benutzer seinen verdrahteten Computer mithilfe einer XML-Datei und eines von einem IT-Administrator konfigurierten Skripts mit einem Bootstrapprofil für verdrahtete Clients. Mit dem durch die XML-Datei konfigurierten Bootstrapprofil für verdrahtete Clients kann der Benutzer eine verdrahtete Verbindung herstellen und dann der Domäne beitreten.
Im Folgenden werden die Schritte für diese Methode angegeben:
1. | Ein IT-Administrator konfiguriert einen anderen auf Windows Vista beruhenden verdrahteten Computer mit einem Bootstrapprofil für verdrahtete Clients, in dem die PEAP-MS-CHAP-v2-Authentifizierung mit deaktivierter Überprüfung des Zertifikats des RADIUS-Servers verwendet wird. |
2. | Der IT-Administrator exportiert das Bootstrapprofil für verdrahtete Clients mit dem Befehl netsh lan export profile in eine XML-Datei und erstellt eine auszuführende Skriptdatei, die das Profil automatisch auf dem Computer des Benutzers hinzufügt. Ausführliche Informationen zum Konfigurieren des Bootstrapprofils für verdrahtete Clients und zum Exportieren dieses Profils in eine XML-Datei finden Sie in diesem Artikel in "Anhang A: Konfigurieren eines Bootstrapprofils für verdrahtete Clients". |
3. | Der IT-Administrator verteilt den neuen verdrahteten Computer, die XML-Datei mit dem Bootstrapprofil für verdrahtete Clients und die Skriptdatei mit einer geeigneten Methode an den Benutzer. Die Skriptdatei enthält den Befehl netsh lan add profile XML-Dateiname Verbindungsname. Beispielsweise kann die XML-Datei auf einem USB-Flashlaufwerk zusammen mit einem Skript gespeichert werden, das der Benutzer ausführen kann, um das Bootstrapprofil für verdrahtete Clients hinzuzufügen. |
4. | Der Benutzer startet den Computer und führt eine Anmeldung mit einem lokalen Computerkonto durch. |
5. | Der Benutzer führt die Skriptdatei zum Hinzufügen des Bootstrapprofils für verdrahtete Clients aus. |
6. | Nach dem Ausführen des Skripts versucht Windows Vista, eine Verbindung mit dem verdrahteten Netzwerk herzustellen, und fordert den Benutzer zum Eingeben eines Kontonamens und eines Kennworts auf. |
7. | Der Benutzer gibt seinen Domänenkontonamen und sein Kennwort ein, und der Windows Vista-Clientcomputer stellt eine Verbindung mit dem verdrahteten Netzwerk her. |
8. | Der Benutzer nimmt den Computer in die Active Directory-Domäne auf. Weitere Informationen finden Sie in diesem Artikel in "Anhang B: Aufnehmen von Windows Vista-Clients in eine Domäne". |
Der Benutzer konfiguriert den verdrahteten Computer manuell mit einem Bootstrapprofil
Bei dieser Methode konfiguriert der Benutzer seinen verdrahteten Computer nach den Anweisungen eines IT-Administrators manuell mit einem Bootstrapprofil für verdrahtete Clients. Mit dem Bootstrapprofil für verdrahtete Clients kann der Benutzer eine verdrahtete Verbindung herstellen und dann der Domäne beitreten.
Im Folgenden werden die Schritte für diese Methode angegeben:
1. | Der IT-Administrator gibt dem Benutzer Anweisungen zum Konfigurieren eines Bootstrapprofils für verdrahtete Clients, in dem die PEAP-MS-CHAP-v2-Authentifizierung mit deaktivierter Überprüfung des Zertifikats des RADIUS-Servers verwendet wird. |
2. | Der Benutzer startet den Computer und führt eine Anmeldung mit einem lokalen Computerkonto durch. |
3. | Der Benutzer führt die Schritte der Anweisungen zum Konfigurieren des Bootstrapprofils für verdrahtete Clients aus (siehe "Anhang A: Konfigurieren eines Bootstrapprofils für verdrahtete Clients" in diesem Artikel). |
4. | Nach dem Konfigurieren des Bootstrapprofils für verdrahtete Clients versucht Windows Vista, eine Verbindung mit dem verdrahteten Netzwerk herzustellen, und fordert den Benutzer zum Eingeben eines Kontonamens und eines Kennworts auf. |
5. | Der Benutzer gibt seinen Domänenkontonamen und sein Kennwort ein, und der Windows Vista-Clientcomputer stellt eine Verbindung mit dem verdrahteten Netzwerk her. |
6. | Der Benutzer nimmt den Computer in die Active Directory-Domäne auf. Weitere Informationen finden Sie in diesem Artikel in "Anhang B: Aufnehmen von Windows Vista-Clients in eine Domäne". |
Anhang A: Konfigurieren eines Bootstrapprofils für verdrahtete Clients
Führen Sie die folgenden Schritte aus, um ein Bootstrapprofil für verdrahtete Clients zu konfigurieren:
1. | Klicken Sie auf dem Windows Vista-Desktop auf Start, und klicken Sie dann auf Systemsteuerung. |
2. | Klicken Sie auf System and Maintenance (System und Verwaltung), und klicken Sie dann auf Verwaltung. |
3. | Doppelklicken Sie auf Dienste. |
4. | Doppelklicken Sie in der Liste der Dienste im Inhaltsbereich auf Wired AutoConfig Service (Dienst für automatische Konfiguration verdrahteter Clients). |
5. | Klicken Sie unter Starttyp auf Automatisch. Klicken Sie unter Dienststatus auf Starten, und klicken Sie dann auf OK. |
6. | Schließen Sie das Fenster Dienste. |
7. | Klicken Sie auf dem Windows Vista-Desktop auf Start, und klicken Sie dann auf Systemsteuerung. |
8. | Klicken Sie auf Netzwerk und Internet, und klicken Sie dann auf Network Center (Netzwerkcenter). |
9. | Klicken Sie auf Manage network connections (Netzwerkverbindungen verwalten). |
10. | Klicken Sie mit der rechten Maustaste auf Ihre LAN-Verbindung, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Authentifizierung. |
11. | Klicken Sie unter Choose a network authentication method (Netzwerkauthentifizierungsmethode auswählen) auf Geschütztes EAP (PEAP), und klicken Sie dann auf Einstellungen. |
12. | Deaktivieren Sie im Dialogfeld Eigenschaften für geschütztes EAP (PEAP) das Kontrollkästchen Serverzertifikat überprüfen. |
13. | Klicken Sie zweimal auf OK. |
14. | Schließen Sie das Fenster Netzwerkverbindungen. |
Um die Einstellungen dieses Bootstrapprofils für verdrahtete Clients in eine XML-Datei zu exportieren, geben Sie folgenden Befehl ein:
netsh lan export profile Ordner Verbindungsname
| • | Dabei ist Ordner der Name des Ordners, in dem die XML-Datei gespeichert wird. Sie können einen absoluten oder einen relativen Pfad angeben, wobei "." für den aktuellen Ordner und ".." für den übergeordneten Ordner steht. |
| • | Verbindungsname ist der Name des verdrahteten Adapters, für den das Profil konfiguriert wurde. |
Durch den Befehl netsh lan export profile wird eine XML-Datei erstellt, deren Name entsprechend der angegebenen Verbindung gebildet wird. Um beispielsweise eine XML-Datei mit dem Profil der Verbindung namens "LAN-Verbindung" zu erstellen und im aktuellen Ordner zu speichern, verwenden Sie den folgenden Befehl:
netsh lan export profile . "LAN-Verbindung"
In diesem Beispiel erstellt der Befehl netsh eine Datei mit dem Namen "LAN-Verbindung.xml" im aktuellen Ordner.
Anhang B: Aufnehmen von Windows Vista-Clients in eine Domäne
Nachdem Sie eine Verbindung mit dem sicheren verdrahteten Netzwerk hergestellt haben, führen Sie mit der Systemsteuerung und dem Bereich "Verwaltung" folgende Schritte durch:
1. | Klicken Sie unter Computer name, domain, and workgroup settings (Einstellungen für Computername, Domäne und Arbeitsgruppe) auf Einstellungen ändern. |
2. | Klicken Sie im Dialogfeld Systemeigenschaften auf Ändern. |
3. | Geben Sie im Dialogfeld Computernamen ändern unter Computername den Namen des Computers ein. Klicken Sie auf Domäne, und geben Sie den Active Directory-Domänennamen ein. |
4. | Klicken Sie auf OK. |
5. | Wenn Sie dazu aufgefordert werden, geben Sie Ihren Domänennamen und Ihr Kennwort ein, um den Computer in die Domäne aufzunehmen. |
6. | Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden. |
Nach dem Neustart des Computers wird er automatisch mit den Anmeldeinformationen oder dem Zertifikat des Domänenkontos im verdrahteten Netzwerk authentifiziert.
Weitere Informationen
Weitere Informationen zu diesem Thema finden Sie in den folgenden Quellen:
| • | |
| • | Neue Netzwerkfunktionen in Windows Server "Longhorn" und Windows Vista |
| • | Aufnehmen von drahtlosen Windows Vista-Clients in eine Domäne |