导言
典型有线客户端需要域凭据(名称/密码)或证书来执行身份验证,以确保有线访问的安全。若要加入域并获得域凭据或证书,有线客户端计算机需要成功地连接到包含该域的域控制器的有线网络。若要访问安全有线网络并将一台计算机加入到域,有线客户端用户必须手动提供其域用户名和密码。一旦连接到了有线网络后,有线客户端用户即可将该计算机加入到域。
在经过 802.1X 身份验证的有线网络中,有线客户端需要提供经过 RADIUS 服务器身份验证的安全凭据。这些凭据可以包括用户名和密码(用于受保护的 EAP [PEAP]-Microsoft 质询握手身份验证协议版本 2 [MS-CHAP v2])或证书(用于 EAP-传输层安全性 [TLS])。对于 PEAP-MS-CHAP v2 或 EAP-TLS,有线客户端还会验证在身份验证过程中由 RADIUS 服务器发送的计算机证书。这是 Windows 有线客户端的默认行为。可以禁用这一行为,但在生产环境中不推荐这样做。
如果 RADIUS 服务器使用商业公钥基础结构 (PKI)(例如 VeriSign, Inc.)提供的计算机证书,并且已经安装了 RADIUS 服务器计算机证书的根证书颁发机构证书,则有线客户端可以验证 RADIUS 服务器的计算机证书,而无论该有线客户端是否已经加入了 Active Directory 域。
如果 RADIUS 服务器使用私有 PKI 提供的与 Active Directory 集成的计算机证书(例如基于 Windows Server® 2003 证书服务的证书),则尚未加入域的有线客户端不会具有 RADIUS 服务器计算机证书的根 CA 证书,默认情况下,身份验证过程将失败。有线客户端加入域之后,会自动安装 RADIUS 服务器计算机证书的根 CA 证书。
本文介绍这样的方法:使用有线配置文件配置基于 Windows Vista 的有线客户端,以执行手动 PEAP-MS-CHAP v2 身份验证,但不验证 RADIUS 服务器的计算机证书。在连接到有线网络之后,有线客户端计算机会加入域并获得相应的根 CA 证书。计算机用户(手动)或 IT 管理员(通过组策略)可以重新配置或覆盖有线配置文件,以便 PEAP-MS-CHAP v2 身份验证可以验证 RADIUS 服务器的计算机证书,并自动使用域凭据。
如果 IT 管理员用组策略覆盖手动配置的有线配置文件,则必须配置基于组策略的有线配置文件以执行计算机身份验证(默认行为)。如果计算机无法使用其帐户和凭据来获取有线连接,则用户将无法使用其域凭据登录到计算机,因为这些凭据无法由域控制器进行验证。
用于将有线客户端加入到域的方法本部分介绍以下用于将有线客户端加入到域的方法:
| • | 用户使用可扩展标记语言 (XML) 文件,通过引导程序有线配置文件来配置其有线计算机并加入到域
|
| • | 用户通过引导程序有线配置文件手动配置有线计算机并加入到域
|
用户使用 XML 文件通过引导程序有线配置文件来配置其有线计算机并加入到域在这种方法中,用户使用已由 IT 管理员配置的 XML 文件和脚本,通过引导程序有线配置文件来配置其有线计算机。由 XML 文件配置的引导程序有线配置文件允许用户建立有线连接,然后加入到域。
下面是执行这种方法的步骤:
1.
| IT 管理员通过引导程序有线配置文件来配置另一台基于 Windows Vista 的有线计算机;该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。
|
2.
| IT 管理员使用 netsh lan export profile 命令将该引导程序有线配置文件导出到一个 XML 文件,并创建一个在执行时会自动在用户计算机上添加该配置文件的脚本文件。
有关配置引导程序有线配置文件并将其导出到 XML 文件的详细信息,请参阅本文中的“附录 A:配置引导程序有线配置文件”。
|
3.
| IT 管理员使用相应的方法将新的有线计算机、包含引导程序有线配置文件的 XML 文件和脚本文件分发给用户。脚本文件包含 netsh lan add profile XML_File_Name Connection_Name 命令。
例如,该 XML 文件可以与脚本一起存储在 USB 闪存驱动器上,以便用户可以运行以添加引导程序有线配置文件。
|
4.
| 用户启动计算机并使用本地计算机帐户执行登录。
|
5.
| 用户运行脚本文件以添加该引导程序有线配置文件。
|
6.
| 运行脚本后,Windows Vista 会尝试连接到有线网络并提示用户输入帐户名和密码。
|
7.
| 用户键入其域用户帐户名和密码,随后 Windows Vista 客户端计算机连接到有线网络。
|
8.
| 用户将计算机加入到 Active Directory 域。有关详细信息,请参阅本文中的“附录 B:将 Windows Vista 客户端加入到域”。
|
用户通过引导程序配置文件手动配置有线计算机在这种方法中,用户根据 IT 管理员的指示,通过引导程序有线配置文件手动配置其有线计算机。引导程序有线配置文件允许用户建立有线连接,然后加入到域。
下面是执行这种方法的步骤:
1.
| IT 管理员向用户分发用于配置引导程序有线配置文件的指示;该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。
|
2.
| 用户启动计算机并使用本地计算机帐户执行登录。
|
3.
| 用户执行指示中所述的步骤来配置引导程序有线配置文件(请参阅本文中的“附录 A:配置引导程序有线配置文件”)。
|
4.
| 配置了引导程序有线配置文件后,Windows Vista 会尝试连接到有线网络,并提示用户输入帐户名和密码。
|
5.
| 用户键入其域用户帐户名和密码,随后 Windows Vista 客户端计算机连接到有线网络。
|
6.
| 用户将计算机加入到 Active Directory 域。有关详细信息,请参阅本文中的“附录 B:将 Windows Vista 客户端加入到域”。
|
附录 A:配置引导程序有线配置文件若要配置引导程序有线配置文件,请执行以下操作:
1.
| 在 Windows Vista 桌面上,单击 Start(开始),然后单击 Control Panel(控制面板)。
|
2.
| 单击 System and Maintenance(系统和维护),然后单击 Administrative Tools(管理工具)。
|
3.
| 双击 Services(服务)。
|
4.
| 在内容面板的服务列表中,双击 Wired AutoConfig Service(有线自动配置服务)。
|
5.
| 在 Startup type(启动类型)中,单击 Automatic(自动)。在 Service Status(服务状态)中,单击 Start(启动),然后单击 OK(确定)。
|
6.
| 关闭 Services(服务)窗口。
|
7.
| 在 Windows Vista 桌面上,单击 Start(开始),然后单击 Control Panel(控制面板)。
|
8.
| 单击 Network and Internet(网络和 Internet),然后单击 NetworkCenter(网络中心)。
|
9.
| 单击 Manage network connections(管理网络连接)。
|
10.
| 右键单击您的 LAN 连接,单击 Properties(属性),然后单击 Authentication(身份验证)选项卡。
|
11.
| 在 Choose a network authentication method(选择网络身份验证方法)中,单击 Protected EAP (PEAP)(受保护的 EAP (PEAP)),然后单击 Settings(设置)。
|
12.
| 在 Protected EAP (PEAP) Properties(受保护的 EAP (PEAP) 属性)对话框中,清除 Validate server certificate(验证服务器证书)复选框。
|
13.
| 单击 OK(确定)两次。
|
14.
| 关闭 Network Connections(网络连接)窗口。
|
若要将此引导程序有线配置文件的设置导出到 XML 文件,请键入以下命令:
netsh lan export profile Folder Connection_Name
| • | Folder 是存储该 XML 文件的文件夹的名称。您可以指定绝对或相对路径,“.”表示当前文件夹,“..”表示父文件夹。
|
| • | Connection_Name 是已配置了有线配置文件的有线适配器的名称。
|
netsh lan export profile 命令会创建一个按指定连接命名的 XML 文件。例如,若要创建一个 XML 文件,该文件包含名为“Local Area Connection”的连接的配置文件,并将该文件存储在当前文件夹中,您需要使用以下命令:
netsh lan export profile ."Local Area Connection"
对于本示例,netsh 会在当前文件夹中创建一个名为“Local Area Connection.xml”的文件。
附录 B:将 Windows Vista 客户端加入到域
成功连接到安全有线网络以后,使用“Control Panel”(控制面板)-“System and Maintenance”(系统和维护)执行以下操作:
1.
| 在 Computer name, domain, and workgroup settings(计算机名、域和工作组设置)下,单击 Change settings(更改设置)。
|
2.
| 在 System Properties(系统属性)对话框中,单击 Change(更改)。
|
3.
| 在 Computer Name Changes(计算机名称更改)对话框的 Computer name(计算机名称)中键入计算机名称。单击 Domain(域)并键入 Active Directory 域名。
|
4.
| 单击 OK(确定)。
|
5.
| 提示时,键入您的域名和密码,将计算机加入到域中。
|
6.
| 提示时重新启动计算机。
|
计算机重新启动后,它会自动使用计算机的域帐户凭据或证书向有线网络进行身份验证。
