最佳实践如果使用 Windows Server 2003, Enterprise Edition 或 Windows Server 2003, Datacenter Edition 企业 CA 作为颁发 CA,则配置用户证书自动注册以便在所有计算机上安装用户证书。 确保为所有相应的域系统容器配置了用户证书自动注册——不管是通过继承某个父系统容器的组策略设置还是通过明确的配置。
步骤 2:配置 Active Directory 帐户和组
为了配置用于无线访问的 Active Directory 用户和计算机帐户和组,请执行以下操作:
1.如果使用 Windows 2000 域控制器,则在所有域控制器上安装 Windows 2000 SP3 或 SP4。
配置 IAS,使其能够访问帐户信息、日志、UDP 端口和对应于无线 AP 的 RADIUS 客户端。
配置用于无线访问的远程访问策略。
步骤 3a:配置 IAS
为了在计算机上配置主 IAS 服务器,请执行以下操作:
1.如果您在使用计算机证书自动注册和 Windows 2000 IAS,则在命令提示符下键入 secedit /refreshpolicy machine_policy 来强制刷新一次计算机“组策略”。 如果您在使用计算机自动注册和 Windows Server 2003 IAS,则在命令提示符下键入 gpupdate /target:computer 来强制刷新一次计算机“组策略”。
2.如果您在使用 PEAP-MS-CHAP v2 身份验证,并且已经从某个商业 CA 获得了计算机证书,则使用“证书”管理单元来将它导入 Certificates (Local Computer)\ Personal\Certificates 文件夹。 为了执行此过程,您必须是本地计算机上的“管理员”组的成员,或者已经被委托了适当的权限。 也可以通过双击存储在某个文件夹中或是在电子邮件消息中发送的证书文件来导入证书。 虽然这种方法对于使用 Windows CA 创建的证书可以起到作用,但对第三方 CA 却无效。 推荐的证书导入方法是使用“证书”管理单元。有关如何安装用于PEAP-MS-CHAP v2 身份验证的 VeriSign, Inc. 证书的更多信息,请参见 Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication.
6.如果想要存储身份验证和记帐信息以用于连接分析和安全调查目的,则启用记帐和身份验证事件的日志记录。 Windows 2000 IAS 能够将信息记录到本地文件。 Windows Server 2003 IAS 能够将信息记录到本地文件和结构化查询语言 (SQL) 服务器数据库中。 有关更多信息,请参见 Windows 2000“帮助”中标题为“配置日志文件属性”和 Windows Server 2003 “帮助和支持中心”中标题为“配置用户身份验证和记帐的日志记录”的主题。
精品推荐