Aufnehmen von drahtlosen Windows Vista-Clients in eine Domäne
Auf dieser Seite
Zusammenfassung
Drahtlose Clientcomputer, auf denen Microsoft® Windows Vista™ (derzeit in der Betatestphase) ausgeführt wird, können mit einem vorübergehenden Profil für drahtlose Clients eine Verbindung mit einem sicheren drahtlosen Netzwerk herstellen und der Active Directory-Domäne beitreten. Für dieses vorübergehende Profil, das als Bootstrapprofil für drahtlose Clients bezeichnet wird, muss der Benutzer, der die Verbindung herstellen möchte, seine Anmeldeinformationen für das Domänenbenutzerkonto manuell angeben. Das Zertifikat des RADIUS-Servers (Remote Authentication Dial-in User Service) wird dabei nicht überprüft. Nach der Aufnahme in die Domäne verwendet der drahtlose Client das neue Profil für drahtlose Clients, das automatisch die Anmeldeinformationen des Computers und des Benutzerkontos übernimmt und die Anmeldeinformationen des RADIUS-Servers überprüft. In diesem Artikel werden zwei Methoden zum Konfigurieren des Bootstrapprofils für ein drahtloses Netzwerk beschrieben.
Einführung
Für drahtlose Clients sind meist entweder Domänenanmeldeinformationen (Name/Kennwort) oder ein Zertifikat erforderlich, um für sicheren drahtlosen Zugriff eine Authentifizierung durchzuführen. Um der Domäne beizutreten und Anmeldeinformationen oder Zertifikate der Domäne abzurufen, benötigen drahtlose Clientcomputer eine erfolgreiche Verbindung mit dem Drahtlosnetzwerk, das die Domänencontroller der Domäne enthält. Zum Zugreifen auf ein sicheres drahtloses Netzwerk und Aufnehmen eines Computers in eine Domäne muss der Benutzer des drahtlosen Clients manuell seinen Benutzernamen und sein Kennwort für die Domäne angeben. Nach dem Herstellen der Verbindung mit dem drahtlosen Netzwerk kann der Benutzer des Clients den Computer in die Domäne aufnehmen.
In drahtlosen Netzwerken, die über 802.1X authentifiziert werden, müssen drahtlose Clients zur Sicherheit Anmeldeinformationen angeben, die von einem RADIUS-Server authentifiziert werden. Diese Anmeldeinformationen können aus einem Benutzernamen und einem Kennwort (für MS-CHAP v2 [Microsoft Challenge Handshake Authentication Protocol, Version 2] mit PEAP [Protected EAP]) oder aus einem Zertifikat (für TLS [Transport Layer Security] mit EAP) bestehen. Bei PEAP-MS-CHAP v2 oder EAP-TLS überprüft der drahtlose Client auch ein Computerzertifikat, das während des Authentifizierungsvorgangs vom RADIUS-Server gesendet wird. Dies ist das Standardverhalten des drahtlosen Windows-Clients. Dieses Verhalten kann deaktiviert werden, wird in Produktionsumgebungen jedoch empfohlen.
Wenn der RADIUS-Server Computerzertifikate von einer kommerziellen Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI) wie VeriSign, Inc., verwendet und das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des RADIUS-Servers bereits auf dem drahtlosen Client installiert ist, kann dieser das Computerzertifikat des RADIUS-Servers überprüfen, unabhängig davon, ob der drahtlose Client der Active Directory-Domäne beigetreten ist.
Wenn der RADIUS-Server die Computerzertifikate einer privaten PKI verwendet, die in Active Directory integriert ist (z. B. eine auf den Zertifikatdiensten von Windows Server® 2003 basierende), verfügt ein drahtloser Client vor der Aufnahme in die Domäne nicht über das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des RADIUS-Servers, und der Authentifizierungsvorgang schlägt standardmäßig fehl. Nach der Aufnahme des drahtlosen Clients in die Domäne wird das Stammzertifizierungsstellenzertifikat für das Computerzertifikat des RADIUS-Servers automatisch installiert.
In diesem Artikel werden Methoden zum Konfigurieren von auf Windows Vista beruhenden drahtlosen Clients mit einem Profil für drahtlose Clients beschrieben, um eine manuelle PEAP-MS-CHAP-v2-Authentifizierung durchzuführen, nicht jedoch das Computerzertifikat des RADIUS-Servers zu überprüfen. Nach dem Herstellen einer Verbindung mit dem Drahtlosnetzwerk tritt der drahtlose Clientcomputer der Domäne bei und empfängt das entsprechende Stammzertifizierungsstellenzertifikat. Das Profil für drahtlose Clients kann vom Computerbenutzer (manuell) oder vom IT-Administrator (über die Gruppenrichtlinie) neu konfiguriert werden, so dass bei der PEAP-MS-CHAP-v2-Authentifizierung das Computerzertifikat des RADIUS-Servers überprüft und automatisch Benutzerdomänen-Anmeldeinformationen verwendet werden.
Methoden zum Aufnehmen eines drahtlosen Clients in eine Domäne
In diesem Abschnitt werden die folgenden Methoden zum Aufnehmen eines drahtlosen Clients in eine Domäne erläutert:
| • | Die IT-Abteilung nimmt einen drahtlosen Computer in die Domäne auf und konfiguriert ein Bootstrapprofil für drahtlose Clients mit einmaliger Anmeldung. |
| • | Der Benutzer konfiguriert den Computer mithilfe einer XML-Datei mit einem Bootstrapprofil für drahtlose Clients und tritt der Domäne bei. |
| • | Der Benutzer konfiguriert seinen drahtlosen Computer manuell mit einem Bootstrapprofil für drahtlose Clients und tritt der Domäne bei. |
Die IT-Abteilung nimmt einen drahtlosen Computer in die Domäne auf und konfiguriert ein Bootstrapprofil für drahtlose Clients mit einmaliger Anmeldung
Bei dieser Methode nimmt ein IT-Administrator den drahtlosen Computer in die Domäne auf, bevor er an den Benutzer verteilt wird. Wenn der Benutzer den Computer startet, werden die manuell eingegebenen Anmeldeinformationen sowohl zum Herstellen einer Verbindung mit dem Drahtlosnetzwerk, als auch zum Anmelden in der Domäne verwendet.
Im Folgenden werden die Schritte für diese Methode angegeben:
1. | Ein IT-Administrator nimmt den neuen drahtlosen Computer in die Domäne auf (z. B. über eine Ethernet-Verbindung, für die keine IEEE-802.1X-Authentifizierung erforderlich ist) und fügt dem Computer ein Bootstrapprofil für drahtlose Clients mit den folgenden Einstellungen hinzu:
Die einmalige Anmeldung ist eine neue Funktion für drahtlose Windows Vista-Clients, bei der während des Anmeldevorgangs des Benutzers eine 802.1X-Authentifizierung gemäß der Netzwerksicherheitskonfiguration durchgeführt wird. Für dieses Bootstrapprofil für drahtlose Clients legt der IT-Administrator fest, dass bei der einmaligen Anmeldung eine 802.1X-Authentifizierung direkt vor der Benutzeranmeldung stattfinden soll. | ||||||
2. | Der IT-Administrator verteilt den neuen drahtlosen Computer an den Benutzer. | ||||||
3. | Beim Starten des Computers wird der Benutzer von Windows Vista aufgefordert, den Namen und das Kennwort für sein Domänenbenutzerkonto einzugeben. Da die einmalige Anmeldung aktiviert ist, stellt der Computer mit den Anmeldeinformationen des Domänenbenutzerkontos zuerst eine Verbindung mit dem Drahtlosnetzwerk her und führt dann eine Anmeldung in der Domäne durch. |
Die einmalige Anmeldung ist für dieses Bootstrapprofil für drahtlose Clients erforderlich, da der Computer zwar der Domäne beigetreten ist, der Benutzer sich jedoch noch nie am Computer angemeldet hat. Wenn der Computer während des ersten Anmeldeversuchs durch den Benutzer nicht über eine Netzwerkverbindung verfügt, schlägt die Anmeldung fehl, da der Computer die Anmeldeinformationen des Benutzerkontos nicht mithilfe eines Domänencontrollers überprüfen kann. Daher muss zuerst die Netzwerkverbindung hergestellt werden. Bei der einmaligen Anmeldung werden für das Herstellen der drahtlosen Verbindung und das Anmelden in der Domäne dieselben Anmeldeinformationen verwendet. Nachdem der Benutzer sich erfolgreich angemeldet hat, können bei nachfolgenden Benutzeranmeldungen zwischengespeicherte Anmeldeinformationen verwendet werden.
Der Benutzer konfiguriert den drahtlosen Computer mithilfe einer XML-Datei mit einem Bootstrapprofil für drahtlose Clients und tritt der Domäne bei
Bei dieser Methode konfiguriert der Benutzer seinen drahtlosen Computer mithilfe einer XML-Datei und eines von einem IT-Administrator konfigurierten Skripts mit einem Bootstrapprofil für drahtlose Clients. Mit dem durch die XML-Datei konfigurierten Bootstrapprofil für drahtlose Clients kann der Benutzer eine drahtlose Verbindung herstellen und dann der Domäne beitreten.
Im Folgenden werden die Schritte für diese Methode angegeben:
1. | Ein IT-Administrator konfiguriert einen anderen auf Windows Vista beruhenden drahtlosen Computer mit einem Bootstrapprofil für drahtlose Clients, in dem die PEAP-MS-CHAP-v2-Authentifizierung mit deaktivierter Überprüfung des Zertifikats des RADIUS-Servers verwendet wird. |
2. | Der IT-Administrator extrahiert das Bootstrapprofil für drahtlose Clients mit dem Befehl netsh wlan export profile in eine XML-Datei (siehe "Anhang A: Konfigurieren eines Bootstrapprofils für drahtlose Clients" in diesem Artikel) und erstellt ein Skript, das beim Ausführen das Profil auf dem Computer des Benutzers automatisch hinzufügt. |
3. | Der IT-Administrator verteilt den neuen drahtlosen Computer, die XML-Datei mit dem Bootstrapprofil für drahtlose Clients und die Skriptdatei mit einer geeigneten Methode an den Benutzer. Die Skriptdatei enthält den Befehl netsh wlan add profile XML-Dateiname Verbindungsname. Beispielsweise kann die XML-Datei auf einem USB-Flashlaufwerk zusammen mit einem Skript gespeichert werden, das der Benutzer ausführen kann, um das Bootstrapprofil für drahtlose Clients hinzuzufügen. |
4. | Der Benutzer startet den Computer und führt eine Anmeldung mit einem lokalen Computerkonto durch. |
5. | Der Benutzer führt die Skriptdatei zum Hinzufügen des Bootstrapprofils für drahtlose Clients aus. |
6. | Nach dem Ausführen des Skripts versucht Windows Vista, eine Verbindung mit dem Drahtlosnetzwerk herzustellen. Da in den Einstellungen des Bootstrapprofils für drahtlose Clients festgelegt ist, dass der Benutzer Anmeldeinformationen angeben muss, fordert Windows Vista den Benutzer zum Eingeben eines Kontonamens und eines Kennworts auf. |
7. | Der Benutzer gibt seinen Domänenkontonamen und sein Kennwort ein, und der Windows Vista-Clientcomputer stellt eine Verbindung mit dem Drahtlosnetzwerk her. |
8. | Der Benutzer tritt der Active Directory-Domäne bei. Weitere Informationen finden Sie in diesem Artikel in "Anhang B: Aufnehmen von Windows Vista-Clients in eine Domäne". |
Der Benutzer konfiguriert den drahtlosen Computer manuell mit einem Bootstrapprofil und tritt der Domäne bei
Bei dieser Methode konfiguriert der Benutzer seinen drahtlosen Computer nach den Anweisungen eines IT-Administrators manuell mit einem Bootstrapprofil für drahtlose Clients. Mit dem Bootstrapprofil für drahtlose Clients kann der Benutzer eine drahtlose Verbindung herstellen und dann der Domäne beitreten.
Im Folgenden werden die Schritte für diese Methode angegeben:
1. | Der IT-Administrator gibt dem Benutzer Anweisungen zum Konfigurieren eines Bootstrapprofils für drahtlose Clients, in dem die PEAP-MS-CHAP-v2-Authentifizierung mit deaktivierter Überprüfung des Zertifikats des RADIUS-Servers verwendet wird. |
2. | Der Benutzer startet den Computer und führt eine Anmeldung mit einem lokalen Computerkonto durch. |
3. | Der Benutzer führt die Schritte der Anweisungen zum Konfigurieren des Bootstrapprofils für drahtlose Clients aus (siehe "Anhang A: Konfigurieren eines Bootstrapprofils für drahtlose Clients" in diesem Artikel). |
4. | Nach dem Konfigurieren des Bootstrapprofils für drahtlose Clients versucht Windows Vista, eine Verbindung mit dem Drahtlosnetzwerk herzustellen. Da in den Einstellungen des Bootstrapprofils für drahtlose Clients festgelegt ist, dass der Benutzer Anmeldeinformationen angeben muss, fordert Windows Vista den Benutzer zum Eingeben eines Kontonamens und eines Kennworts auf. |
5. | Der Benutzer gibt seinen Domänenkontonamen und sein Kennwort ein, und der Windows Vista-Clientcomputer stellt eine Verbindung mit dem Drahtlosnetzwerk her. |
6. | Der Benutzer tritt der Active Directory-Domäne bei. Weitere Informationen finden Sie in diesem Artikel in "Anhang B: Aufnehmen von Windows Vista-Clients in eine Domäne". |
Anhang A: Konfigurieren eines Bootstrapprofils für drahtlose Clients
Führen Sie die folgenden Schritte aus, um ein Bootstrapprofil für drahtlose Clients zu konfigurieren:
1. | Klicken Sie im Dialogfeld Connect to a network (Netzwerkverbindung herstellen) auf I don't see what I want to connect to (Meine gewünschte Verbindung wird nicht angezeigt). Sie können in Windows Vista von mehreren Orten aus auf das Dialogfeld Connect to a network (Netzwerkverbindung herstellen) zugreifen, darunter folgende:
| ||||||
2. | Klicken Sie auf der Seite Select a connection option (Verbindungsoption auswählen) auf Set up a network (Netzwerk einrichten). | ||||||
3. | Konfigurieren Sie auf der Seite Enter information for the wireless network you want to add (Informationen für das hinzuzufügende Drahtlosnetzwerk eingeben) die folgenden Elemente:
| ||||||
4. | Klicken Sie auf Weiter. | ||||||
5. | Klicken Sie auf Change connection settings (Verbindungseinstellungen ändern). | ||||||
6. | Klicken Sie auf die Registerkarte Sicherheit, und wählen Sie unter Choose a network authentication method (Netzwerkauthentifizierungsmethode auswählen) die Methode Geschütztes EAP (PEAP) aus. Klicken Sie auf Einstellungen. | ||||||
7. | Deaktivieren Sie im Dialogfeld Eigenschaften für geschütztes EAP (PEAP) das Kontrollkästchen Serverzertifikat überprüfen. | ||||||
8. | Klicken Sie zweimal auf OK, und klicken Sie dann auf Schließen. |
Um die Einstellungen dieses Bootstrapprofils für drahtlose Clients in eine XML-Datei zu exportieren, geben Sie folgenden Befehl ein:
netsh wlan export profile XML-Dateiname Profilname Verbindungsname
| • | Dabei ist XML-Dateiname der Name der XML-Datei, in der die Profileinstellungen für drahtlose Clients gespeichert werden. |
| • | Profilname ist der Name des exportierten Profils für drahtlose Clients. |
| • | Verbindungsname ist der Name des Drahtlosadapters, für den das Profil für drahtlose Clients konfiguriert wurde. |
Anhang B: Aufnehmen von Windows Vista-Clients in eine Domäne
Nachdem Sie eine Verbindung mit dem sicheren drahtlosen Netzwerk hergestellt haben, führen Sie in der Systemsteuerung folgende Schritte durch:
1. | Klicken Sie unter Computer name, domain, and workgroup settings (Einstellungen für Computername, Domäne und Arbeitsgruppe) auf Einstellungen ändern. |
2. | Klicken Sie im Dialogfeld Systemeigenschaften auf Ändern. |
3. | Geben Sie im Dialogfeld Computernamen ändern unter Computername den Namen des Computers ein. Klicken Sie auf Domäne, und geben Sie den Active Directory-Domänennamen ein. |
4. | Klicken Sie auf OK. |
5. | Wenn Sie dazu aufgefordert werden, geben Sie Ihren Domänennamen und Ihr Kennwort ein, um den Computer in die Domäne aufzunehmen. |
6. | Starten Sie den Computer neu, wenn Sie dazu aufgefordert werden. |
Nach dem Neustart des Computers wird er automatisch mit den Anmeldeinformationen oder dem Zertifikat des Computerdomänenkontos im Drahtlosnetzwerk authentifiziert.
Weitere Informationen
Weitere Informationen zu diesem Thema finden Sie in den folgenden Quellen:
| • | |
| • | Website zum Thema "Wireless Networking" (in englischer Sprache) |