windows-server-2003 – 是否可以使用WPA企业模式而无需使用或颁发证书？

这不是点击点击指南,但如果您不介意使用这些工具,我认为您会发现它们相当不言自明.

IAS服务器需要安装证书作为执行EAP的先决条件.如果您不介意使用自签名证书(我们在任何地方都没有出现重大问题),您可以安装Microsoft的证书颁发机构,IAS计算机将自动请求证书(假设托管IAS的计算机已连接到具有证书颁发机构的林中的域).阅读微软建议的best practices：证书颁发机构是一个好主意(特别是有关创建CA后无法更改的内容的部分),但是如果您使用的CA都是EAP,那么您可能会离开如果您需要,退役并开始新鲜.

在IAS计算机上安装证书后,您需要配置RADIUS服务器以接受来自无线访问点(RADIUS客户端)的请求. Microsoft RADIUS服务器(至少在W2K3中)不能很好地有效地处理DNS查找失败,所以,就像我不想说的那样,我建议在创建RADIUS客户端条目时使用AP的IP地址IAS服务器. “共享密钥”是RADIUS客户端(Ap)用于向RADIUS服务器(IAS)进行身份验证的值.确保在AP和IAS服务器上以相同的方式输入它.

在将AP定义为RADIUS客户端后,您需要在IAS计算机上创建远程访问策略.内置向导可以很好地为您创建策略.基本上,您需要一个与“无线 – IEEE 802.11或无线 – 其他”匹配的策略,如果需要,还需要包含将被授予访问权限的用户的特定Windows组(例如,“域计算机”或“域用户”).该向导可以指导您完成此过程.

创建策略后,您可以尝试手动连接客户端.我这里只讨论配置Windows内置无线零配置(ha！)服务.如果您的WLAN NIC有第三方配置管理器,您可以自行删除它.使用内置Windows服务可以在启动过程中让NIC正常启动并进行身份验证(假设您在RADIUS策略中允许“域计算机”访问)更大. (我可以告诉你,我的学区网站上有大量的无线客户端,它们从不插入有线以太网,但能够处理组策略等,没有任何问题.)

Windows XP和Windows Vista / 7之间的过程略有不同,但基本上我们谈论的是进入无线网络列表,添加新的WPA-RADIUS保护网络的SSID(如果你需要,请删除旧的网络) – 使用现有的SSID),并确保正确设置某些属性.应将“网络身份验证”设置为您在AP上配置的WPA / WPA2和AES / TKIP的任意组合. (就个人而言,如果可以,我会使用WPA2-AES,但WPA-TKIP是最低的公分母,并且得到了老客户的支持.)

在新SSID的身份验证属性中,请确保选择“受保护的EAP(PEAp)”作为EAP类型.如果客户端不是您的域的成员,请转到PEAP的“属性”对话框,取消选中“验证服务器证书”,转到“已选择身份验证方法”的“已配置”对话框并取消选中“自动使用我的” Windows登录名和密码(以及域,如果有的话)“,并取消选中新SSID的”身份验证“属性下的”在计算机信息可用时验证为计算机“.这将强制Windows提示您在非域成员计算机上提供凭据.

一旦客户“说话”,我建议使用group policy部署SSID的设置,这样您就不必“触摸”任何客户端.我喜欢这个功能,并在许多网站上使用它取得了巨大的成功.只要允许新的域成员客户端计算机在有线网络上应用一次组策略,一旦将其置于无线网络的范围内,它将“正常工作”.涅槃！

对于非Windows设备(iPod,Linux上网本,Android手机等),您必须自己完成连接配置.不过,这并不算太糟糕.我们已经有各种设备通过这种方式对WLAN进行身份验证.

编辑：

在非域成员计算机上,您需要取消我在上面描述的项目,以防止客户端验证服务器证书并尝试自动进行身份验证.用户必须手动提供其凭据.

在将配置配置文件自动部署到非域成员客户端方面,您可以在Windows Vista和Windows 7上使用“netsh wlan”命令.

在Windows XP上,部署没有组策略的WLAN配置实际上是similar to Vista,but requires installing software.