802.1x细节2

零、AD DC CA 组策略

AD类似个数据库。存放用户名密码计算机等信息。IAS读取AD中的用户名密码做验证。

用户vs计算机：

用户，如在AD里建一个lanny用户。该用户可以登录许多计算机。

计算机：某个物理实体。

网络中计算机两种组织形式

1，工作组

   域（统一管理&统一身份验证）

   统一管理：组策略。如批量给域中计算机部署软件，禁用软件、下发证书等。

   统一身份验证：帐号集中管理，通用。

3，DC：装了AD的server2008

4，CA：CA颁发证书，802.1x环节即EAPOL&Radius环境需要证书验证身份。

5，

一、搭建AD：（DNS&AD同体）

1，修改计算机名字DCServer

2，固定DC的IP，DNS指向自己

3，dcpromo 选择DC和DNS：FADN写mxl.com

4，重启后检查：

5，改DNS

6，检查DNSserver 4+6（AD注册的）

 net stop netlogon

 net start netlogon

7，检查计算机名 DCServer.mxl.com

8，打开AD，DC在domainController组里。不要随意挪动。

   以后加入的计算机被分配到commputer里。

9，本地用户变为域用户了。在AD里users组查看。

二、将计算机加入到域:

1，改xp的计算机名

2，配置xp dns到DC的dns

3，创建组织单元tac

当计算机加入域时，自动归类到定义的组

4，创建用户maxiaolang

5，创建计算机WINXP（xp的名字）

6，xp加入域后就归入到tac了

也可以手工：

新建了一个分组

新建xp拖拽到分组里 

三、域用户添加到本地管理员组：

先用本地管理员登录 然后修改管理员组成员。

四、统一管理

1，组策略管理（管理用户和计算机）

2，#管理所有组织单元

default domain policy

3，default concollers是保卫DC的，一般别动

4，#管理各个组织单元的：

default domain controller policy

五、为特定的组建组策略

1，新建组策略对象tacGPO

2，右键编辑 windows设置

3，禁止使用软件，calc 其他规则 新建hash规则 找到calc.exe

4，将tacGPO拽到tac，使能策略。,

gpupdate /force

六、安装活动目录证书服务（装http）

1，使用组策略告诉计算机信任哪个证书颁发机构

下载证书 http certsrv

组策略的default domain policy导入

gpupdate /force

七、域用户申请证书

主动申请：mmc 证书 个人 申请

组策略下发域用户证书

证书模板-用户证书-复制-安全（自动注册 注册） 

证书模板 新建要颁发的证书

八、可以修改密码复杂度：

修改默认域安全设置

本地策略 账户策略

九、安装radius

在AD中注册服务器，使IAS能够读取AD里面的帐号。

启动NPS服务

初始化IAS，添加802.1x无线（顺便添加客户端），加密选PEAP（当然也可以选AD中哪些组具有访问权限）

添加radius客户端

添加策略：

修改安全无线连接，去掉所有约束，添加时间计划。删除别的条目。

修改网络策略，去掉所有约束，添加时间计划。删除别的条目。

排错：

看日志（装AD的时候）

或事件查看器

tip：

1，用户VLAN接口的dns和wac的DNS一定要指向DC的dns。否则可能出现身份验证问题,

2，win8 10不需要自动配置工具配置。

3，域用户登录过的计算机连接无线时候，默认会使用以域帐号认证服务。

如果想让域帐号做也需要输入帐号密码，则在AD组策略里，修改wifi策略，勾选【不允许共享用户凭据用于网络身份验证】，下发组策略再次登录就需要输入帐号密码了。