Windows server 2008 AD + RADIUS + 802.1X认证配置
利用Win2008 NPS实现802.1X验证
利用Win2008 NPS实现802.1X验证【声明】1.本文档为免费文档,请勿用作商业用途。
2.虽然本人企图避免错误的发生,但由于水平及理解能力的影响,文档中还是可能存在错误。
如果发现文档中的错误,请发邮件通知我:@163.c3.先在此向发现问题并通知作者的同仁表示感谢,希望大家多交流。
4.欢迎大家将此文档相互传播,请勿对文档内容进行修改。
5.对于使用本文档中的内容,对您的系统,网络进行配置时可能引起的故障及错误,作者本人不负任何责任。
6.以上说明条款不具有强制性,目的是为了大家得到更好帮助,能够共享技术。
对于不遵守以上条款的人,我除了BS,别无他法。
————————————————————————————————利用Windows Server 2008的功能组件NPS(Ne Po AcSe)和支持802.1X协议的Ci2950交换机,客户端证书,可以很方便的实现NAC()。
因为以前一直是使用的Ci ACS s实现的NAC,自从MS 的2008发布以来,看到2008有NPS的功能,而且可以实现802.1X网络验证,所以就在网上搜索了很长时间,除了可以从微软的官方网站搜到一下文档外,国内关于NPS的介绍,最多的就是NPS如何和DHCP功能配合使用,却没有任何文档写到如何利用NPS和交换机实现802.1X网络验证,前一段时间,一直在研究这方面的东西,所以写篇文档,希望能给大家有所参考。
首先,如果不明白什么是NAC的话,那么请。
其次,对于Ci交换机的配置,如果不会配置,请Go。
还有,如果对于不熟悉的,还是上面的话。
1:所需要的软硬件环境客户端,在2和3中,对于802.1X协议的支持,有所不同,在SP2中,就一个服务:,升级到SP3之后,就多了一个服务,和原来的分别对应有线和无线网络。
在启动这2个服务后,在本地网络连接的属性里面就有:服务器端:1.Windows CA服务器,我是使用的windows server 2003,用于发放客户端的用户证书和服务器的计算机证书。
windows全部系统使用802.1x认证操作步骤合集
Windows系统启用802.1X认证1开启802.1x认证服务1.1Win7、win10都可以使用此方法电脑键盘上按win+r 输入services.msc打开电脑服务设置。
启用有线和无线的802.1X认证服务。
分别开启wired autoconfig(有线802.1x认证服务)和WLAN autoconfig(无线802.1x 服务)服务。
2开启802.1x认证1、选择“开始>控制面板”。
2、在“控制面板”选择“网络和Internet >网络和共享中心”(控制面板的“查看方式”选择“类别”时可显示“网络和Internet”)。
3、单击本地连接,选择“属性”。
4、在“身份验证”页签,选中“启用IEEE802.1X身份验证”,“选择网络身份验证方法”选择“PEAP”。
单击“设置”。
5、取消选中“验证服务器证书”,“选择身份验证方法”选择“安全密码(EAP-MSCHAP v2)”,并在右侧单击“配置”。
6、取消选中“自动使用Windows登录名和密码”,单击“确定”。
说明:如果操作系统使用AD域帐号登录,并且用来进行802.1X认证的用户名和密码也是使用的登录操作系统的域帐号和密码,则勾选“自动使用Windows登录名和密码”。
7、等待Windows弹出认证框,即可输入用户名和密码进行认证。
3身份认证开启802.1X认证后,在接入有线网时会弹出认证界面,输入用户名和密码进行认证,才可以访问网络。
4XP系统添加网络身份认证1、首先点击开始按钮,打开运行,输入“regedit”,即打开注册表编辑器2、然后在注册表编辑器中依次找到以下子项:“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”;3、接着双击右侧窗格中的“Security Packages”,即打开“编辑多字符串”对话框;4、然后在列表框中添加“tspkg”的内容(有的内容不用更改)。
Radius认证服务器的配置与应用讲解
客户端和RADIUS服务器之间的用户密码经过加密发送,提供了密码使用
IEEE 802.1x认证系统的组成
IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。
IEEE 802.1x 客户端标准的软件,目前最典型的
"0801010047",密码"123",确定。
、验证成功后可以ping一下172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口
802.1x验证,请确认Wireless Configuration服务正常开启。
、可以通过"控制面板"-"管理工具"中的"事件查看器"-"系统"子选项观察802.1x的验证日志。
认证服务器的配置与应用(802.1x)
协议
是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可
”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。IEEE 802系列局域网(LAN)
IEEE 802体系定义的局域网不提供接入认证,只要
交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,
"0801010047"加入到"802.1x"用户组中。鼠标右键单击用户"0801010047",选择"属性"。在
"隶属于",然后将其加入"802.1x"用户组中。
RADIUS服务器的”Internet验证服务”窗口中,需要为Cisco2950交换机以及通过该交换机进行认证
Win2008 Server R2安装与配置主备AD域
Win2008 Server R2安装与配置主备AD域AD域简介活动目录(Active Directory),又俗称AD域,是面向服务器操作系统的目录服务。
安装环境:Windows系统:Win2008 R2(2台)主域IP:192.168.179.11备域IP:192.168.179.12一、主域安装1.1、运行打开dcpromo命令回车1.2、操作系统兼容性1.3、选择在林中新建域选项1.4、出错运行下面一条命令dos界面输入net user administrator /passwordreq:yes命令回车1.5、填入域的名称1.6、设置林功能级别选择林的功能级别Windows Server 2008 R21.7、其它域控制器选项1.8、数据库、日志文件和SYSVOL的位置默认,下一步1.9、目录服务还原模式的Administrator密码输入2次相同的密码,下一步1.10、摘要1.11、正在安装组策略控制台1.12、完成Active Directory域服务安装向导1.13、立即重新启动1.14、完成域的安装二、备域安装2.1、配置首选DNS服务器的IP为主域的IP地址2.2、搜索dcpromo,使用管理员运行2.3、Active Directory 域服务安装向导2.4、操作系统兼容性2.5、选择某一部署配置选择现有林-->向现有域添加域控制器2.6、网络凭据填入域(参考主域填)2.7、网络凭据验证备用凭据-->设置,填入主域管理员帐号和密码2.8、填入主域的名称2.9、选择域2.10、请选择一个站点默认选择2.11、其它域控制器选项默认选择,下一步2.12、数据库、日志文件和SYSVOL的位置2.13、目录服务还原模式的Administrator密码输入不能与域管理员的密码,下一步2.14、摘要2.15、配置安装域中勾上完成后重新启动2.16、完成备域安装。
部署windows server 2008只读域控制器
部署windows server 2008只读域控制器只读域控制器(RODC) 是Windows Server? 2008 操作系统中的一种新类型的域控制器。
借助RODC,组织可以在无法保证物理安全性的位置中轻松部署域控制器。
RODC 承载Active Directory(R) 域服务(AD DS) 数据库的只读分区。
RODC的作用?由于RODC 是只读的,并且其他域控制器不从其进行复制,它们会出现一些异常的行为。
例如,延迟对象(即,因为DC 的复制时间不能长于林的生存周期,所以除了特殊的DC,该类对象已从其他位置删除)通常由DC 的出站复制伙伴检测。
但是,由于RODC 没有入站复制伙伴,因而它们不会检测延迟对象。
如果林中其他域的用户试图向RODC 验证,RODC 必须能够访问其所在域的完全DC 来获取信任密码,以便将验证请求正确传递给用户域中的DC。
如果在其域中RODC 和完全DC 之间的网络连接不可用,验证将失败。
RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。
但是,您的组织也可选择根据特殊管理要求部署RODC。
例如,行业(LOB) 应用程序只有在安装在域控制器上的情况下,才可以成功运行。
或者,域控制器可能是分支机构中唯一的服务器,并且可能必须承载服务器应用程序。
在这种情况下,LOB 应用程序的所有者必须经常以交互方式登录到域控制器,或使用终端服务配置和管理应用程序。
此情况产生了在可写域控制器上可能无法接受的安全风险。
RODC 为在此方案中部署域控制器提供了更安全的机制。
您可以向非管理域用户授予登录到RODC 的权限,同时最小化Active Directory 林的安全风险。
还可以在其他方案中部署RODC。
下面我就来部署一下windows server 2008只读域控制器,部署windows server 2008只读域控制器我选择了两台电脑,server1和server2,server 1 为DNS服务器,域控制器,IP:192.168.1.10;ser ver2为只读域控制器,IP:192.168.1.11,DNS:192.168.1.10注意:两台电脑的操作系统必须是windows server 2008操作系统一、查看林功能、与功能级别在server1计算机上操作。
Windows 2008 R2域控制器端口
Windows 2008 R2域控制器端口Windows Server 2008 R2域服务器上应该至少打开的端口。
一台Windows Server 2008 R2域服务器,启用了“文件服务”、“AD LDS”、“DNS Server”、“DHCP Server”,需要在防火墙中去打开特定端口才能为客户提供服务吗?如果需要,是否有端口列表?回答:作为Windows Server 2008 R2域服务器,我们需要配置防火墙开启下面的端口,如果该服务器也是一台DHCP 的话,您还需要在开启UDP 67 和68端口: Possible Rule name Description Port PathActive Directory Domain Controller – LDAP (TCP-In) Inbound rule for the Active Directory Domain Controllerservice to allow remote LDAP traffic. (TCP 389)389 %systemroot%\System32\lsass.exeActive Directory Domain Controller – LDAP (UDP-In) Inbound rule for the Active Directory Domain Controllerservice to allow remote LDAP traffic. (UDP 389)389 %systemroot%\System32\lsass.exeActive Directory Domain Controller – LDAP for Global Catalog (TCP-In) Inbound rule for the Active Directory Domain Controller service to allow remoteGlobal Catalog traffic. (TCP 3268)3268 %systemroot%\System32\lsass.exeActive Directory Inbound rule for the Active138 SystemDomain Controller – NetBIOS name resolution (UDP-In) Directory Domain Controller service to allow NetBIOSnameresolution. (UDP 138)Active Directory Domain Controller – SAM/LSA (NP-TCP-In) Inbound rule for the Active Directory Domain Controller service to beremotely managed over Named Pipes. (TCP 445)445 SystemActive Directory Domain Controller – SAM/LSA (NP-UDP-In) Inbound rule for the Active Directory Domain Controller service to beremotely managed over Named Pipes. (UDP 445)445 SystemActive Directory Domain Controller – Secure LDAP (TCP-In) Inbound rule for the Active Directory Domain Controller service toallow remote Secure LDAP traffic. (TCP 636)636 %systemroot%\System32\lsass.exeActive Directory Domain Controller – Secure LDAP for Global Catalog Inbound rule for the Active Directory Domain Controller service to3269 %systemroot%\System32\lsass.exe(TCP-In) allow remoteSecure GlobalCatalogtraffic. (TCP3269)Active Directory Domain Controller –W32Time (NTP-UDP-In) Inbound rulefor the ActiveDirectoryDomainControllerservice toallow NTPtraffic for theWindows Timeservice. (UDP123)123 %systemroot%\System32\svchost.exeActive Directory Domain Controller (RPC) Inbound rule toallow remoteRPC/TCP accessto the ActiveDirectoryDomainControllerservice.DynamicRPC%systemroot%\System32\lsass.exeActive Directory Domain Controller (RPC-EPMAP) Inbound rulefor the RPCSSservice toallow RPC/TCPtraffic to theActiveDirectoryDomainControllerservice.135 %systemroot%\System32\svchost.exeActive Directory Domain Controller (TCP-Out) Outbound rulefor the ActiveDirectoryDomainControllerservice. (TCP)Any %systemroot%\System32\lsass.exeActive Directory Domain Controller Outbound rulefor the ActiveDirectoryDomainAny %systemroot%\System32\lsass.exe(UDP-Out) Controllerservice. (UDP)DNS (TCP,Incoming)DNS inbound 53 %systemroot%\System32\dns.exeDNS (UDP,Incoming)DNS inbound 53 %systemroot%\System32\dns.exe DNS (TCP,outbound)DNS outbound 53 %systemroot%\System32\dns.exeDNS (UDP,outbound)DNS outbound 53 %systemroot%\System32\dns.exeDNS RPC, incoming Inbound rulefor the RPCSSservice toallow RPC/TCPtraffic to theDNS Service135 %systemroot%\System32\dns.exeDNS RPC, incoming Inbound rule toallow remoteRPC/TCP accessto the DNSserviceDynamicRPC%systemroot%\System32\dns.exe下面几篇文档您可以作为参考:======How to configure a firewall for domains and trustsActive Directory Replication over FirewallsDHCP: Port 67 (DHCP server port for IPv4) should not be in use by any other processJason Hou MCSE 2003+SecurityWindows 2008 R2域控制器端口的相关文章请参看指定活动目录复制端口ad域端口活动目录域端口域控制器端口分支域控制器同步端口域客户端远程管理端口域客户端登录用到的端口Windows 2008 主域控与辅助域控通讯端口主域控制器与辅域控制器通讯端口AD域客户端登录与交换机端口学习域控制器与客户端通信端口范围—gnaw0725。
windows 2008 sever AD域下实现文件共享
windows 2008 sever AD域下实现文件共享本文前提是安装好win 2008 sever r2,并配置好了AD域。
然后再进行下面的工作。
1服务侧设置
1.1设置用户名和密码
如下图1:在user中鼠标右键新建用户,设置用户名和密码
图1:设置用户名和密码
1.2组管理
设置组如下图2,在域名下的builtin中设立本地域安全组比如图2中的stropower_fina,然后双击组名,弹出成员页添加上面创建的用户名,就完成了权限设置
图2:在域名下的builtin中设立本地域安全组
图3:添加组成员
1.3文件夹共享设置
要共享的文件夹右键属性,点击共享,添加刚才设置的组,再点击共享设置就完成共享设置了。
2客户端侧设置
2.1设置host解析文件
C:\Windows\System32\drivers\etc\hosts,用记事本打开,加入如下语句
X.X.X.X 域计算机的完整名称
点击保存即可。
2.2域名服务器
电脑网络右键属性,在协议版本4中点击属性2,首选DNS服务器的IP地址填写上述域计算机的IP地址。
然后在运行中,\\域计算机名,点击运行,一般会弹出对话框,让你属于用户名和密码,输入在域用户中设置的用户名和密码,即可进入域计算机,看到共享的文件夹。
Windows 2008 主域控与辅助域控通讯端口
Windows 2008 主域控与辅助域控通讯端口现在有个客户的需求是要在外地部署辅助域控,并且对安全要求极高,因此需要知道辅助域控正常工作需要开启哪些端口?谢谢!最好可以有微软官方的说明文档回答:根据您的描述,我对这个问题的理解是: 您想了解Windows Server 2008主域控与辅助域控之间需要开启哪些端口。
因为客户需要在外地部署辅助域控且对安全要求很高。
由于域控的服务较多,需要的端口也比较多,我列出我们所需要的端口供您参考。
同时我们确实也有官方文档具体讲述这些内容,我在回复最后提供了文章链接给您,供您参考:1. 复制:下表列出了 Active Directory 和 AD DS 复制的端口分配。
2. 信任3. 全局编录4. DNS: 下表列出了域名系统 (DNS) 的端口要求。
5. DHCP: 下表列出了动态主机配置协议 (DHCP) 的端口要求。
6. 用户和计算机身份验证7. 组策略: 下表列出了组策略的端口要求。
除了下表中的端口之外,客户端计算机还必须能够通过 Internet 控制消息协议 (ICMP) 联系域控制器。
ICMP 用于慢速链接检测。
具体的信息,我们可以参考如下文章:Active Directory 和 Active Directory 域服务端口要求/zh-cn/library/dd772723(WS.10).aspx 如何为域控制器配置 Windows Server2003 防火墙/kb/555381/zh-cnWindows 服务器系统的服务概述和网络端口要求/kb/832017/zh-cn徐颖彧微软全球技术支持中心Windows 2008 主域控与辅助域控通讯端口的相关文章请参考域控制器端口域客户端登录用到的端口域客户端远程管理端口无法远程管理域客户端主域控制器与辅域控制器通讯端口Windows 2008 主域控与辅助域控通讯端口分支域控制器同步端口活动目录是可以跨网段的—gnaw0725。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows server 2008 AD + RADIUS + 802.1X认证配置
Iowa[破[
一路下一步直到安装
至此证书服务安装完成,然后给这台服务器申请证书,如下
一、RADIUS安装与配置
二、802.1x配置
1.2960交换机配置
交换机全局配置:
Switch(config)#aaa new-model //开启AAA认证
Switch(config)#aaa authentication dot1x default group radius //dot1x采用radius认证
Switch(config)# radius-server host 192.168.6.200 auth-port 1812 acct-port 1813 key 123456 //指定radius服务器的IP地址、端口号及与radius服务器通讯的密钥为123456配置radius服务器时需要用到此密钥
Switch(config)#dot1x system-auth-control //全局启用dot1x认证
交换机接口配置:
Switch(config)#interface FastEthernet0/1 //进入1号接口
Switch(config-if)#switchport mode access //指定接口为access类型,只有此模式下的端口才支持802.1x
Switch(config-if)#authentication port-control auto //接口启用dot1x认证,并指定接口认证
控制模式为自动
Switch(config-if)#dot1x pae authenticator //设定这个接口为802.1x认证接口(即弹出提示
用户输入用户密码的窗口,并负责将用户输入的用户密码传给radius服务器进行认证)Switch(config-if)#spanning-tree portfast //加快认证的速度,可选
Switch(config-if)#authentication host-mode multi-auth //指定该接口的认证模式为多用户认证(即该接口下接交换机时要启用这个模式,可选)
Switch(config-if)#authentication violation protect //当身份验证失败时将此端口至于受保护
的模式(可选)
Switch(config)#interface vlan 1 //进入vlan1虚拟接口
Switch(config-if)#ip address 192.168.6.200 255.255.255.0 //配置交换机的管理地址(即和
radius服务器通讯的IP地址)此地址在配置radius服务器时要用到
2.华为5600交换机配置
全局配置:
[Quidway]dot1x //全局开启dot1x认证
[Quidway] dot1x authentication-method eap md5-challenge //指定dot1x采用的认证方法[Quidway]radius scheme 802.1x //定义radius认证服务器802.1x的相关属性
[Quidway-radius-802.1x]server-type standard //定义radius服务采用标准形式
[Quidway-radius-802.1x] primary authentication 192.168.6.200 //指定认证服务器的地址[Quidway-radius-802.1x] key authentication 123456 //指定认证与认证服务器通讯的密钥[Quidway-radius-802.1x]user-name-format without-domain //定义登陆用户名的格式[Quidway]domain 802.1x //定义802.1x域的相关属性
[Quidway-isp-802.1x]scheme radius-scheme 802.1x //应用上面定于的radius服务器802.1x [Quidway-isp-802.1x]accounting optional //设置审计为可选
[Quidway]domain default enable 802.1x //设定默认域采用802.1x域
接口配置:
[Quidway]interface g 1/0/12 //进入12号接口
[Quidway-GigabitEthernet1/0/12]port link-type access //指定端口模式为access
[Quidway-GigabitEthernet1/0/12]dot1x //开启dot1x认证
[Quidway-GigabitEthernet1/0/12]dot1x port-control auto //端口控制采用自动模式
[Quidway-GigabitEthernet1/0/12]dot1x port-method macbased//采用基于mac地址的认证
三、PC机配置(win7)
此过程可能需要输入域管理员的账密,输入即可(一般为administrator)
然后会弹出确认框,点击是,然后重新打开浏览器申请证书
更改本地连接属性时会弹出需要域管理员的权限才可以修改属性,输入域管理员的账密即可
(一般为administrator)。