只需三招 轻松将Windows Vista 无线客户端加入到域

Vista之家（www.vista123.com）：只需三招 轻松将Windows Vista 无线客户端加入到域

 无线客户端需要域凭据(名称/密码)或证书来执行身份验证，以确保无线访问的安全。若要加入域并获得域凭据或证书，无线客户端计算机需要成功地连接到包含该域的域控制器的无线网络。若要访问安全无线网络并将一台计算机加入到域，无线客户端用户必须手动提供其域用户名和密码。一旦连接到了无线网络后，无线客户端用户即可以将该计算机加入到域。

　　在经过 802.1X 身份验证的无线网络中，无线客户端需要提供经过 RADIUS 服务器身份验证的安全凭据。这些凭据可以包括用户名和密码(用于受保护的 EAP [PEAP]-Microsoft 质询握手身份验证协议版本 2 [MS-CHAP v2])或证书(用于 EAP-传输层安全性 [TLS])。对于 PEAP-MS-CHAP v2 或 EAP-TLS，无线客户端还会验证在身份验证过程中由 RADIUS 发送的计算机证书。这是 Windows 无线客户端的默认行为。可以禁用这一行为，但在生产环境中不推荐这样做。

　　如果 RADIUS 服务器使用商业公钥基础结构 (PKI)(比如 VeriSign, Inc.)提供的计算机证书，并且无线客户端上已经安装了 RADIUS 服务器计算机证书的根认证机构证书，则无线客户端可以验证 RADIUS 服务器的计算机证书，不管该无线客户端是否已经加入到了 Active Directory 域。

　　如果 RADIUS 服务器使用私有 PKI 提供的与 Active Directory 集成的计算机证书(比如基于 Windows Server® 2003 证书服务的证书)，则尚未加入到域的无线客户端不会具有 RADIUS 服务器计算机证书的根 CA 证书，默认情况下，身份验证过程将失败。无线客户端加入到域中后，会自动安装 RADIUS 服务器计算机证书的根 CA 证书。

　　本文介绍这样的方法：使用无线配置文件配置基于Windows Vista 的无线客户端，以执行手动 PEAP-MS-CHAP v2 身份验证，但不验证 RADIUS 服务器计算机证书。在连接到无线网络之后，无线客户端计算机会加入到域并获得相应的根 CA 证书。计算机用户(手动)或 IT 管理员(通过组策略)可以重新配置无线配置文件，以便使 PEAP-MS-CHAP v2 身份验证可以验证 RADIUS 服务器的计算机证书，并自动使用域凭据。

　　用于将无线客户端加入到域的方法

　　本部分介绍以下用于将无线客户端加入到域的方法：

　　•IT 人员将无线计算机加入到域，并配置单一登录引导程序无线配置文件

　　•用户使用 XML 文件通过引导程序无线配置文件来配置其无线计算机，并加入到域

　　•用户通过引导程序无线配置文件手动配置其无线计算机并加入到域

　　IT 人员将无线计算机加入到域，并配置单一登录引导程序无线配置文件

　　在这种方法中，IT 管理员要在将无线计算机分发给用户之前将其加入到域。用户启动计算机后，会使用为用户登录而手动指定的凭据建立与无线网络的连接，并登录到域。

　　下面是执行这种方法的步骤：

　　1.IT 管理员将新的无线计算机加入到域(例如，通过不需要进行 IEEE 802.1X 身份验证的以太网连接)，并将具有以下设置的引导程序无线配置文件添加到该计算机中：

　　•PEAP-MS-CHAP v2 身份验证

　　•禁用 RADIUS 服务器证书验证

　　•启用单一登录

　　单一登录是为 Windows Vista无线客户端新增的功能，可以在用户登录过程中根据网络安全配置执行 802.1X 身份验证。对于此引导程序无线配置文件，IT 管理员需指定单一登录在用户即将登录前执行 802.1X 身份验证。

　　2.IT 管理员将新的无线计算机分发给用户。

　　3.用户启动该计算机时，Windows Vista将提示用户输入其域用户帐户名和密码。由于启用了单一登录，因此，计算机会使用域用户帐户凭据首先建立与无线网络的连接，然后登录到域。

　　此引导程序无线配置文件需要单一登录，因为即使计算机已经加入到了域中，用户也仍然从未登录到计算机。如果在用户在首次尝试登录时，计算机没有网络连接，则登录将失败，因为计算机无法通过域控制器验证用户帐户凭据。因此，必须首先建立网络连接。单一登录会使用相同的用户帐户凭据来建立无线连接，并登录到域。用户成功登录后，以后进行用户登录即可以使用缓存的凭据。

　　用户使用 XML 文件通过引导程序无线配置文件来配置其无线计算机，并加入到域

　　在这种方法中，用户将使用已由 IT 管理员配置的 XML 文件和脚本，通过引导程序无线配置文件配置其无线计算机。由 XML 文件配置的引导程序无线配置文件允许用户建立无线连接，然后加入到域。

　　下面是执行这种方法的步骤：

　　1.IT 管理员使用引导程序无线配置文件来配置另一台基于 Windows Vista的无线计算机;该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。

　　2.IT 管理员使用 netsh wlan export profile 命令将引导程序无线配置文件提取到一个 XML 文件，并创建执行时将会在用户计算机上添加该配置文件的脚本文件。

　　3.IT 管理员使用相应的方法将新的无线计算机、包含该引导程序无线配置文件的 XML 文件和脚本文件分发给用户。脚本文件包含 netsh wlan add profile XML_File_Name Connection_Name 命令。

　　例如，该 XML 文件可以与脚本一起存储在USB 闪存驱动器上，以便用户可以运行以添加引导程序无线配置文件。

　　4.用户启动计算机并使用本地计算机帐户执行登录。

　　5.用户运行脚本文件以添加引导程序无线配置文件。

　　6.运行脚本后，Windows Vista会尝试连接到无线网络。由于引导程序无线配置文件的设置指定用户必须提供凭据，因此 Windows Vista会提示用户输入帐户名和密码。

　　7.用户键入其域用户帐户名和密码，于是 Windows Vista 客户端计算机连接到无线网络。

　　8.用户加入到 Active Directory 域。

　　用户通过引导程序配置文件手动配置无线计算机，并加入到域

　　在这种方法中，用户将根据 IT 管理员的指示，通过引导程序无线配置文件手动配置其无线计算机。引导程序无线配置文件允许用户建立无线连接，然后加入到域。

　　下面是执行这种方法的步骤：

　　1.IT 管理员向用户分发用于配置引导程序无线配置文件的指示;该配置文件在禁用 RADIUS 服务器证书验证的情况下使用 PEAP-MS-CHAP v2 身份验证。

　　2.用户启动计算机并使用本地计算机帐户执行登录。

　　3.用户执行指示中所述的步骤来配置引导程序无线配置文件。

　　4.配置了引导程序无线配置文件后，Windows Vista 会尝试连接到无线网络。由于引导程序无线配置文件的设置指定用户必须提供凭据，因此 Windows Vista 会提示用户输入帐户名和密码。

　　5.用户键入其域用户帐户名和密码，于是 Windows Vista 客户端计算机连接到无线网络。

　　6.用户加入到 Active Directory 域。

　　附录 A：配置引导程序无线配置文件

　　要配置引导程序无线配置文件，请执行以下操作：

　　1.在 Connect to a network(连接到网络)对话框中，单击 I don't see what I want to connect to(没有发现要连接的对象)。您可以从 Windows Vista 中的许多位置访问 Connect to a network(连接到网络)对话框，其中包括：

　　•通过桌面的通知区域中的无线连接图标

　　•通过“Control Panel”(控制面板)-“Network Connections”(网络连接)中的 Connect/disconnect wireless networks(连接/断开无线网络)链接

　　•通过“Control Panel”(控制面板)-“Network Connections”(网络连接)中无线网络适配器的上下文菜单

　　2.在 Select a connection option(选择连接选项)页面上，单击 Set up a network(设置网络)。

　　3.在 Enter information for the wireless network you want to add(为要添加的无线网络输入信息)页面中，配置以下内容：

　　•Network name(网络名称)- 键入无线网络的名称。

　　•Security type(安全类型)- 选择用于验证到无线网络的连接的方法(WEP (802.1x)、WPA-Enterprise 或 WPA2-Enterprise)。

　　•Encryption type(加密类型)- 选择用来加密通过无线网络发送的数据帧的方法(WEP、TKIP 或 AES)。

　　4.单击 Next(下一步)。

　　5.单击 Change connection settings(更改连接设置)。

　　6.单击 Security(安全性)选项卡，然后在 Choose a network authentication method(选择网络身份验证方法)下选择 Protected EAP (PEAP)(受保护的 EAP (PEAP))。单击 Settings(设置)。

　　7.在 Protected EAP (PEAP) Properties(受保护的 EAP (PEAP) 属性)对话框中，清除 Validate server certificate(验证服务器证书)复选框。

　　8.单击 OK(确定)两次，然后单击 Close(关闭)。

　　若要将此引导程序无线配置文件的设置导出到 XML 文件，请键入以下命令：

　　•Profile_Name 是要导出的无线配置文件的名称。

　　•Connection_Name 是配置了无线配置文件的无线适配器的名称。

　　附录 B：将 Windows Vista 客户端加入到域

　　成功连接到安全无线网络以后，使用“Control Panel”(控制面板)-“System”(系统)执行以下操作：

　　1.在 Computer name, domain, and workgroup settings(计算机名、域和工作组设置)下，单击 Change settings(更改设置)。

　　2.在 System Properties(系统属性)对话框中，单击 Change(更改)。

　　3.在 Computer Name Changes(计算机名称更改)对话框的 Computer name(计算机名称)中键入计算机名称。单击 Domain(域)并键入 Active Directory 域名。

　　4.单击 OK(确定)。

　　5.提示时，键入您的域名和密码，将计算机加入到域中。

　　6.提示时重新启动计算机。

　　计算机重新启动后，它会自动使用计算机的域帐户凭据或证书验证无线网络。

Vista之家（www.vista123.com），爱上网，爱上Vista123.com