Przyłączanie klienta sieci przewodowej Windows Vista do domeny
Zawartość strony
Streszczenie
Połączone siecią przewodową komputery klienckie z systemem Microsoft® Windows Vista™ mogą użyć tymczasowego profilu sieci przewodowej, aby uzyskać połączenie z bezpieczną siecią przewodową i dołączyć do domeny usługi katalogowej Active Directory®. Ten tymczasowy profil sieci przewodowej, znany jako profil ładowania początkowego sieci przewodowej, wymaga od łączącego się użytkownika ręcznego określenia poświadczeń swojego konta użytkownika domeny i nie sprawdza poprawności certyfikatu serwera Remote Authentication Dial-in User Service (RADIUS). Po przyłączeniu do domeny, komputer kliencki sieci przewodowej używa nowego profilu, który automatycznie korzysta z poświadczeń komputera i konta użytkownika oraz sprawdza poprawność poświadczeń serwera RADIUS. W niniejszym artykule opisano dwie metody konfiguracji profilu ładowania początkowego sieci przewodowej.
Wstęp
Typowe komputery klienckie w przewodowej potrzebują bądź poświadczeń domeny (nazwa/hasło), bądź też certyfikatu, aby wykonać uwierzytelnienie bezpiecznego dostępu do sieci przewodowej. Aby dołączyć do domeny i otrzymać poświadczenia i certyfikaty domeny, komputery klienckie w sieciach przewodowych potrzebują pomyślnego połączenia z siecią przewodową zawierającą kontrolery danej domeny. Aby uzyskać dostęp do bezpiecznej sieci przewodowej i przyłączyć komputer do domeny, użytkownik komputera klienckiego sieci przewodowej musi ręcznie wprowadzić swoją nazwę użytkownika i hasło domeny. Po połączeniu z siecią przewodową, użytkownik komputera klienckiego sieci przewodowej może przyłączyć komputer do domeny.
W sieciach przewodowych uwierzytelnionych w standardzie 802.1X, komputery klienckie muszą dostarczyć poświadczenia bezpieczeństwa uwierzytelnione przez serwer RADIUS. Poświadczenia te mogą zawierać nazwę użytkownika i hasło (dla protokołu Protected EAP [PEAP]-Microsoft Challenge Handshake Authentication Protocol wersja 2 [MS-CHAP v2]) albo certyfikaty (dla EAP-Transport Layer Security [TLS]). Zarówno dla PEAP-MS-CHAP v2, jak i EAP-TLS, komputer kliencki sieci przewodowej sprawdza również poprawność certyfikatu komputera przysłanego przez serwer RADIUS podczas procesu uwierzytelniania. Jest to domyślne zachowanie klienta sieci przewodowej Windows. Zachowanie to można wyłączyć, ale nie jest to zalecane w środowiskach produkcyjnych.
Jeśli serwer RADIUS używa certyfikatów komputera z komercyjnej infrastruktury kluczy publicznych (PKI), jak na przykład VeriSign Inc., a certyfikat głównego urzędu certyfikacji certyfikatu komputera serwera RADIUS jest już zainstalowany, komputer kliencki sieci przewodowej może sprawdzić poprawność certyfikatu komputera serwera RADIUS, bez względu na to, czy komputer kliencki sieci przewodowej dołączył do domeny Active Directory.
Jeśli serwer RADIUS używa certyfikatów komputera z publicznej infrastruktury PKI zintegrowanej z Active Directory (jak na przykład tej opartej na Windows Server® 2003 Certificate Services), komputer kliencki sieci przewodowej, który jeszcze nie dołączył do domeny nie ma certyfikatu głównego urzędu certyfikacji certyfikatu komputera serwera RADIUS i proces uwierzytelniania domyślnie zakończy się niepowodzeniem. Po dołączeniu komputera klienckiego sieci przewodowej do domeny, certyfikat głównego urzędu certyfikacji certyfikatu komputera serwera RADIUS zostanie automatycznie zainstalowany.
Niniejszy artykuł opisuje metody konfiguracji klientów sieci przewodowych opartych na Windows Vista do wykonywania ręcznego uwierzytelniania PEAP-MS=CHAP v2 bez sprawdzania poprawności certyfikatu komputera serwera RADIUS. Po połączeniu z siecią przewodową, komputer kliencki sieci przewodowej dołącza do domeny i otrzymuje odpowiedni certyfikat głównego urzędu certyfikacji. Użytkownik komputera (ręcznie) lub administrator IT (poprzez Zasady Grupy) może przekonfigurować lub obejść profil sieci przewodowej, aby uwierzytelnianie PEAP-MS-CHAP v2 sprawdzało certyfikat komputera serwera RADIUS i automatycznie używało poświadczeń domeny.
Jeśli administrator IT ominie ręcznie skonfigurowany profil sieci przewodowej używając Zasad Grupy, oparty na nich profil musi zostać skonfigurowany tak, aby możliwe było uwierzytelnienie komputera (domyślne zachowanie). Jeśli komputer nie może użyć swojego konta i poświadczeń aby uzyskać połączenie przewodowe, użytkownik nie będzie w stanie zalogować się na komputerze używając swoich poświadczeń domeny, ponieważ ich poprawność nie będzie mogła być sprawdzona przez kontroler domeny.
Użytkownik konfiguruje na swoim komputerze w sieci przewodowej profil uruchomienia początkowego sieci przewodowej używając pliku XML i dołącza do domeny
W tej metodzie użytkownik konfiguruje na swoim komputerze w sieci przewodowej profil uruchomienia początkowego sieci przewodowej używając pliku XML i skryptu skonfigurowanego przez administratora IT. Profil uruchomienia początkowego konfigurowany przez plik XML pozwala użytkownikowi na ustanowienie połączenia przewodowego i dołączenie do domeny.
Aby zastosować tę metodę, należy wykonać następujące czynności:
1. | Administrator IT konfiguruje profil uruchomienia początkowego sieci przewodowej, używając uwierzytelniania PEAP-MS-CHAP v2 z wyłączonym sprawdzaniem poprawności serwera RADIUS na innym komputerze z Windows Vista. |
2. | Administrator IT eksportuje profil uruchomienia początkowego do pliku XML, używając polecenia netsh lan export profile i tworzy plik skryptu, który automatycznie doda profil na komputerze użytkownika. Szczegóły konfiguracji profilu uruchomienia początkowego sieci przewodowej i eksportowania go do pliku XML można znaleźć w „Załączniku A: Konfiguracja profilu ładowania początkowego sieci przewodowej” w niniejszym artykule. |
3. | Administrator IT przekazuje nowy komputer sieci w sieci przewodowej, plik XML zawierający profil uruchomienia początkowego oraz plik ze skryptem użytkownikowi, używając odpowiedniej metody. Plik skryptu zawiera polecenie netsh lan add profile XML_File_Name Connection_Name. Na przykład, plik XML może być przechowywany na napędzie USB ze skryptem pozwalającym użytkownikowi na dodanie profilu uruchamiania początkowego sieci przewodowej. |
4. | Użytkownik uruchamia komputer i loguje się na konto lokalne. |
5. | Użytkownik uruchamia plik skryptu dodający profil uruchamiania początkowego sieci przewodowej. |
6. | Po uruchomieniu skryptu, Windows Vista próbuje połączyć się z siecią przewodową i pyta użytkownika o nazwę konta i hasło. |
7. | Użytkownik wpisuje nazwę konta i hasło swojego konta użytkownika domeny i komputer kliencki z systemem Windows Vista łączy się z siecią przewodową. |
8. | Użytkownik przyłącza komputer do domeny Active Directory. Więcej informacji można znaleźć w „Załączniku B: Przyłączanie klienta sieci przewodowej Windows Vista do domeny” w niniejszym artykule. |
Użytkownik ręcznie konfiguruje profil uruchamiania początkowego na komputerze
W tej metodzie, użytkownik ręcznie konfiguruje na swoim komputerze w sieci przewodowej profil uruchomienia początkowego sieci przewodowej w oparciu o instrukcje administratora IT. Profil uruchomienia początkowego pozwala użytkownikowi na ustanowienie połączenia przewodowego i dołączenie do domeny.
Aby zastosować tę metodę należy wykonać następujące czynności:
1. | Administrator IT przekazuje użytkownikom instrukcje dotyczące skonfigurowania profilu uruchamiania początkowego sieci przewodowej, używając uwierzytelniania PEAP-MS-CHAP v2 z wyłączonym sprawdzaniem poprawności serwera RADIUS. |
2. | Użytkownik uruchamia komputer i loguje się na lokalne konto użytkownika. |
3. | Użytkownik wykonuje czynności opisane w instrukcji konfiguracji profilu uruchamiania początkowego sieci przewodowej (patrz: „Załącznik A: Konfiguracja profilu ładowania początkowego sieci przewodowej” w niniejszym artykule). |
4. | Po uruchomieniu skryptu, Windows Vista próbuje połączyć się z siecią przewodową i pyta użytkownika o nazwę konta i hasło. |
5. | Użytkownik wpisuje nazwę konta i hasło swojego konta użytkownika domeny i komputer kliencki z systemem Windows Vista łączy się z siecią przewodową. |
6. | Użytkownik przyłącza komputer do domeny Active Directory. Więcej informacji można znaleźć w „Załączniku B: Przyłączanie klienta sieci przewodowej Windows Vista do domeny” w niniejszym artykule. |
Załącznik A: Konfiguracja profilu ładowania początkowego sieci przewodowej
Aby skonfigurować profil uruchamiania początkowego sieci przewodowej należy wykonać następujące czynności:
1. | Na pulpicie Windows Vista kliknij przycisk Start, a następnie kliknij opcję Control Panel. |
2. | Kliknij opcję System and Maintenance, a następnie kliknij opcję Administrative Tools. |
3. | Dwukrotnie kliknij opcję Services. |
4. | Na liście usług w okienku spisu treści dwukrotnie kliknij opcję Wired AutoConfig Service. |
5. | W sekcji Startup type kliknij opcję Automatic. W oknie Service Status kliknij opcję Start, a następnie kliknij przycisk OK. |
6. | Zamknij okno Services. |
7. | Na pulpicie Windows Vista kliknij przycisk Start, a następnie kliknij opcję Control Panel. |
8. | Kliknij opcję Network and Internet, a następnie kliknij opcję NetworkCenter. |
9. | Kliknij opcję Manage network connections. |
10. | Prawym przyciskiem myszki kliknij swoje połączenie LAN, kliknij opcję Properties, a następnie kliknij kartę Authentication. |
11. | W sekcji Choose a network authentication method kliknij opcję Protected EAP (PEAP), a następnie kliknij opcję Settings. |
12. | W oknie dialogowym Protected EAP(PEAP) Properties wyczyść pole wyboru Validate server certificate. |
13. | Dwa razy kliknij przycisk OK. |
14. | Zamknij okno Network Connections. |
Aby eksportować ustawienia tego profilu uruchamiania początkowego sieci przewodowej do pliku XML, należy wpisać następujące polecenie:
netsh lan export profile Folder Connection_Name
| • | Folder to nazwa foldera, w którym przechowywany jest plik XML. Można określić ścieżkę bezwzględną lub względną, „.” dla bieżącego folderu lub „..” dla folderu nadrzędnego. |
| • | Connection_Name to nazwa karty sieciowej, dla której skonfigurowany został profil sieci przewodowej. |
Polecenie netsh lan export profile tworzy plik XML o nazwie odpowiadającej określonemu połączeniu. Na przykład, aby utworzyć plik XML zawierający profil połączenia o nazwie Local Area Connection i przechować go w bieżącym folderze, należy użyć następującego polecenia:
netsh lan export profile . "Local Area Connection"
W tym przykładzie, netsh tworzy plik w bieżącym folderze o nazwie „Local Area Connection.xml”.
Załącznik B: Przyłączanie klienta sieci przewodowej Windows Vista do domeny
Po pomyślnym połączeniu się z bezpieczną siecią przewodową, należy użyć ustawień w lokalizacji Control Panel-System i Maintenance-System, aby wykonać poniższe czynności:
1. | W oknie Computer name, domain, and workgroup settings kliknij opcję Change settings. |
2. | W oknie dialogowym System Properties kliknij opcję Change. |
3. | W oknie dialogowym Computer Name Changes wpisz nazwę komputera w polu Computer name. Kliknij opcję Domain i wpisz nazwę domeny Active Directory. |
4. | Kliknij przycisk OK. |
5. | Gdy system wyświetli monit o poświadczenia, należy wpisać nazwę użytkownika i hasło domeny, aby przyłączyć komputer do domeny. |
6. | Ponownie uruchom komputer po wyświetleniu odpowiedniego monitu przez system. |
Po ponownym uruchomieniu systemu sieć przewodowa zostanie automatycznie uwierzytelniona przy użyciu poświadczeń konta komputera w domenie lub certyfikatu.