解决过程
第一步:域控制器搭建
首先我们公司要有一台域服务器,如果没有,需要搭建一台域服务器。
添加新林。
域服务器配置安装完成。
具体域服务器搭建过程:访问学会为客户搭建一个域控,1000元不就到手了么?Windows Server2022 AD域控安装,超详细过!
重启电脑之后,可以正常进入到域服务器了。
域安装完成之后,关闭防火墙。
第二步,安装ad cs证书服务器。
添加角色和功能。
选中Active Directory证书服务。
角色,第一个证书颁发机构肯定要勾选的,下面可以随意。
下一步。
都默认,下一步。然后安装。
配置AD证书服务。
默认下一步。
选择前三个。如果上面角色只选择了证书颁发机构,这里只有这一项可以选择。
默认企业CA
选择根CA。
选择创建新的私钥。
默认下一步。
默认下一步。
默认有效期5年,下一步。
默认下一步。
点击配置。
配置完成。
第三步:安装NAP,网络策略和访问服务
添加角色和功能。
选择网络策略和访问服务。
其它都默认,然点击安装。
安装完成。
第四、为NAP服务器申请ad计算机证书,因为我们创建的时候是将NAP安装在ad上,所以只需要给ad这台服务器申请计算机证书即可。
在运行中,输入certsrv.msc回车。
打开证书颁发机构。
找到证书模板,右击管理。
找到计算机模板,右击属性。
将安全,所有用户组,都勾选完全控制权限。
然后win+r输入mmc,颁发证书到此NAP服务器。
打开控制台1,点击文件,找到添加/删除管理单元。
找到证书,点击添加。
选择计算机帐户。
选择本地计算机(运行此控制台的计算机),点击完成。
然后点击确定。
这时在证书中,找到个人,右击选择所有任务,申请新证书。
点击下一步。
下一步。
只勾选计算机,点击注册。
在详细信息中,可以看到应用程序策略,客户端身份验证、服务器身份验证。
点击完成。
在个人证书中,就可以看到我们刚才创建好的证书,证书模板是计算机的。
是2024年10月20日 20:28:02分创建的。
我们要记住这个证书,因为在配置NAP的时候,会调用这个证书。
可以保存这个控制台,后期打开方便。
保存完成。
直接打开就可以看得到之前的证书,如果再次输入mmc控制台,里面是空的。
第五步:基于向导创建NAP初始化配置
在第三步的时候安装好NAP的服务,下面就需要配置NAP服务了。
在NAPSS中,找到DC1这台服务器,右击,找到网络策略服务器。
找到NPS后,标准配置中,选择用于802.1x无线有线连接的RAIDUS服务器。
选中后,然后再点击配置802.1x
在802.1x连接中,选择安全无线连接,名称也可以自己命名。
下一步,就需要配置RADIUS客户端了,RAIDUS客户端就是我们的网络设备,路由器、防火墙或者AC控制器。
我这里添加的华为的AC控制器,来转发认证,所以地址,我写的华为ac控制器地址。共享机密,自己手动设置一下。
配置的AC的IP地址。
添加完成,下一步。
802.1x的身份验证方法,选择受保护的EAP,这个验证方法就是调用AD域中的用户名和密码访问无线网的,不需要手动输入,无线网可以自动调出AD域的用户名和密码。
指定用户组,这里就是需要访问无线的用户,为了方便,我们这里,直接将域中的电脑和域中的所有用户,都添加进来。
domain computers就是所有计算机加域后都默认到这个组中。
domain users就是所有新创建的用户,也都会默认到这个组中。
点击配置。
配置完成。
那下面这做了这么多配置,到底配置了哪些东西呢?
在RADIUS客户端中,配置了一个华为的AC控制器。
在策略中的连接请求策略和网络策略中,各创建了一个安全无线连接。刚才创建的EAP类型和用户组都在这两个里面。
上面我们创建的认证,证书在里哪调用呢?
在网络策略的安全无线连接中。
在约束中,找到受保护的EPA编辑,在这里可以看到安全密码EAP-MSCHAP v2,中的证书颁发者。
当里面有多个证书时,可以看一下日期,是否是云计算机模板的。
看一下时间是2025/10/20 20:28:02
如果选成了域控制器证书模板日期就是2024年10月20 20:09:30
下面的模板就是计算机证书。
创建完成之后,如何通过NPS调用AD域中的用户呢?我们还需要将NPS上注册一下,在AD中注册服务器。
那这个注册到底做了哪些事情呢?
启动NPS来对AD中的用户执行身份证,运行NPS的计算机必须从该域读取用户拨入属性的权限。点击确定。
现在已权该计算机从域scdomain中读取用户的拨入属性了。这时当AD域访问无线的时候,就可以通过NPS来访问到AD的用户了。
NPS就和域用户注册完成了。
第六步:开始在华为AC中配置RAIUDS证书
进入到SSID配置。创建一个SSID名称为wifi。
认证方式,选择802.1x认证,802.1X通常与RADIUS结合使用,通过802.1X进行用户认证,然后使用RADIUS进行用户授权和管理,以实现网络访问控制和安全管理。
下面就需要配置RADIUS服务器了,这里的RADIUS服务器就是NPS,也是我们的AD服务器。RAIDUS服务的端口号,默认是1812。共享密钥,就是我们在配置NPS时创建的RAIUDS客户端的密码。
绑定AP组完成。
找一台电脑加入。
然后再域中创建一个用户。
用户创建完成。
可以看到,我们创建的用户,直接就在scdomain.com/Users组中了。Domian Users组。
电脑可以看到,就在Domain Computers组中了。
当NPS启动时,RADIUS的1812 UDP端口就是开启,我们来判断一下。
在NPS右击属性,在端口中,可以看到RADIUS身份验证的端口是1812和1645这两个。我们在配置华为AC认证的时候,使用的是1812。
查看现在NPS现在的状态,可以看到是启动状态。
然后我们再使用netstat -an,查看一下UDP的1812和1645是否都是开启状态。下面可以看到,两个端口都是已经出来了。
由于我的AC控制器,没有承担DHCP功能,无线AP客户端连接后,是从路由器上获取的IP地址,所以我们还需要到路由器上,将DHCP中的DNS更改为AD域中的IP地址,192.168.10.232。
我们还可以到配置的AAA中,找到我们刚才配置过的RADIUS客户端,我们刚才配置的是huawei
在这里,也可以进行重新编辑,可以看到共享密钥,和认证端口号。
现在配置完成之后,我们就需要拿出来刚才加域的笔记本电脑。
当我们笔记本连接到wifi无线信号时,这时我们可以直接勾选使用我的windows用户帐户登录。
在配置的时候,连接了好几次都没连接成功。
可以正常连接了。
可以看到,现在的认证是受保护的EAP认证,WPA2-企业。
可以正常获取到IP地址。
无线网正常连接到wifi网络。
在华为AC控制器上,查看wifi,可以看到有一个客户端连接。
wifi的认证还是802.1x
可以查看到这个用户,就是刚才加域的电脑
配置就到这里吧。
相关文章:
