部署密碼型 802.1X 驗證無線存取

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016

這是《Windows Server® 2016 核心網路指南》的附屬指南。 《核心網路指南》所提供的指示是有關在新樹系中規劃和部署全功能網路和新 Active Directory® 網域所需的元件。

本指南說明如何在核心網路上建置，方法是使用受保護的可延伸驗證通訊協定 (Microsoft Challenge Handshake 驗證通訊協定版本 2 (PEAP MS-CHAP v2))，提供有關如何部署美國電機暨電子工程師學會 (IEEE) 802.1 X 驗證的 IEEE 802.11 無線存取的指示。

因為 PEAP-MS-CHAP v2 要求使用者在驗證程序期間提供密碼型認證，而不是憑證，所以部署通常會比 EAP-TLS 或 PEAP-TLS 更為輕鬆且成本更低。

關於本指南

本指南與下面所述的必要條件指南搭配使用，以提供如何部署下列 WiFi 存取基礎結構的指示。

• 一或多個支援 802.1 X 的 802.11 無線存取點 (AP)。

• Active Directory Domain Services (AD DS) 使用者和電腦。

• 群組原則管理。

• 一或多個網路原則伺服器 (NPS) 伺服器。

• 執行 NPS 之電腦的伺服器憑證。

• 執行 Windows® 10、Windows 8.1 或 Windows 8 的無線用戶端電腦。

本指南的相依性

若要使用本指南成功部署已驗證的無線，您必須具有已部署所有必要技術的網路和網域環境。 您也必須將伺服器憑證部署至驗證中 NPS。

下列各節提供可顯示如何部署這些技術的文件連結。

網路和網域環境相依性

本指南適合已遵循 Windows Server 2016《核心網路指南》中指示來部署核心網路的網路和系統管理員，或先前已部署核心網路中所含核心技術的網路和系統管理員，包括 AD DS、網域名稱系統 (DNS)、動態主機設定通訊協定 (DHCP)、TCP/IP、NPS 和 Windows 網際網路名稱服務 (WINS)。

Windows Server 2016 核心網路指南可在 Windows Server 2016 技術文件庫中取得。

伺服器憑證相依性

有兩個選項可使用伺服器憑證來註冊驗證伺服器，以與 802.1X 驗證搭配使用 - 使用 Active Directory Certificate Services (AD CS) 來部署您自己的公開金鑰基礎結構，或是使用公用憑證授權單位 (CA) 所註冊的伺服器憑證。

AD CS

部署已驗證無線的網路和系統管理員必須遵循 Windows Server 2016《核心網路隨附指南》＜部署 802.1X 有線和無線部署的伺服器憑證＞中的指示。 本指南說明如何部署和使用 AD CS 以將伺服器憑證自動註冊至執行 NPS 的電腦。

下列位置可以取得本指南。

• 技術文件庫中 HTML 格式的《Windows Server 2016 核心網路隨附指南》部署 802.1X 有線和無線部署的伺服器憑證。

公用 CA

您可以從用戶端電腦已信任的公用 CA (例如 VeriSign) 來購買伺服器憑證。

在「可信任的根憑證授權單位」憑證存放區中安裝 CA 憑證時，用戶端電腦會信任 CA。 根據預設，執行 Windows 的電腦已在其「可信任的根憑證授權單位」憑證存放區中安裝多個公用 CA 憑證。

建議您檢閱此部署案例中所用每個技術的設計和部署指南。 這些指南可協助您判斷此部署案例是否提供貴組織的網路需要的服務與設定。

需求

以下是使用本指南所記載的案例來部署無線存取基礎結構的需求：

• 部署此案例之前，您必須先購買支援 802.1X 的無線存取點，才能在網站所需位置中提供無線涵蓋範圍。 本指南的規劃小節可協助判斷您的 AP 必須支援的功能。

• 根據《Windows Server 2016 核心網路指南》中的指示，與其他必要網路技術一樣來安裝 Active Directory Domain Services (AD DS)。

• 已部署 AD CS，而且向 NPS 註冊伺服器憑證。 當您部署本指南中所使用的 PEAP-MS-CHAP v2 憑證型驗證方法時，需要這些憑證。

• 您組織的成員會熟悉您無線 AP 所支援的 IEEE 802.11 標準，以及您網路上用戶端電腦和裝置中所安裝的無線網路介面卡。 例如，您組織中的某人熟悉無線電頻率類型、802.11 無線驗證 (WPA2 或 WPA) 和加密 (AES 或 TKIP)。

本指南中未提供的內容

以下是本指南未提供的一些項目：

選取支援 802.1X 的無線存取點的完整指引

因為支援 802.1X 的無線 AP 品牌與型號之間存在許多差異，所以本指南未提供下列項目的詳細資訊：

• 判斷哪個無線 AP 品牌或型號最符合您的需求。

• 網路上無線 AP 的實體部署。

• 進階無線 AP 設定，例如針對無線虛擬區域網路 (VLAN)。

• 如何在 NPS 中設定無線 AP 廠商特有屬性的指示。

此外，無線 AP 品牌與型號之間的設定術語和名稱會不同，而且可能與本指南中所使用的一般設定名稱不符。 如需無線 AP 設定詳細資料，您必須檢閱無線 AP 製造商所提供的產品文件。

部署 NPS 憑證的指示

部署 NPS 憑證有兩種替代方案。 本指南未提供完整的指引，來協助您判斷最符合您需求的替代方案。 不過，一般而言，您面臨的選擇如下：

• 從 Windows 型用戶端已信任的公用 CA (例如 VeriSign) 購買憑證。 此選項通常建議用於較小的網路。

• 使用 AD CS 以在您的網路上部署公開金鑰基礎結構 (PKI)。 這建議用於大部分的網路，而且先前提及的部署指南提供如何使用 AD CS 來部署伺服器憑證的指示。

NPS 網路原則和其他 NPS 設定

除了當您執行 [設定 802.1X] 精靈時所進行的組態設定之外 (如本指南所記載)，本指南並未提供手動設定 NPS 條件、條件約束或其他 NPS 設定的詳細資訊。

DHCP

此部署指南未提供針對無線區域網路設計和部署 DHCP 子網路的相關資訊。

技術概觀

以下是部署無線存取的技術概觀：

IEEE 802.1X

IEEE 802.1X 標準定義連接埠型網路存取控制，用來提供乙太網路的已驗證網路存取。 此連接埠型網路存取控制使用切換式 LAN 基礎結構的實體特性，來驗證連結至 LAN 連接埠的裝置。 如果驗證處理程序失敗，將拒絕存取這個連接埠。 雖然此標準是針對有線乙太網路所設計，但已進行過調整可用於 802.11 無線 LAN。

支援 802.1X 的無線存取點 (AP)

此案例需要部署一或多個支援 802.1X 的無線 AP，而這些無線 AP 與遠端驗證撥入使用者服務 (RADIUS) 通訊協定相容。

802.1X 和 RADIUS 相容 AP 部署至具有 NPS 這類 RADIUS 伺服器的 RADIUS 基礎結構時，稱為「RADIUS 用戶端」。

無線用戶端

本指南提供完整的設定詳細資料，可針對網域成員使用者提供 802.1X 已驗證存取，而網域成員使用者連線至無線用戶端電腦執行 Windows 10、Windows 8.1 和 Windows 8 的網路。 必須將電腦加入網域，才能成功建立已驗證的存取權。

支援 IEEE 802.11 標準

支援的 Windows 和 Windows Server 作業系統提供 802.11 無線網路的內建支援。 在這些作業系統中，已安裝的 802.11 無線網路介面卡會顯示為 [網路和共用中心] 中的無線網路連線。

雖然有 802.11 無線網路的內建支援，但 Windows 的無線元件取決於下列項目：

• 無線網路介面卡的功能。 已安裝的無線網路介面卡必須支援您所需要的無線區域網路或無線安全性標準。 例如，如果無線網路介面卡不支援 Wi-Fi 保護的存取 (WPA)，則您無法啟用或設定 WPA 安全性選項。

• 無線網路介面卡驅動程式的功能。 若要允許您設定無線網路選項，無線網路介面卡的驅動程式必須支援向 Windows 報告其所有功能。 確認已針對作業系統的功能撰寫您無線網路介面卡的驅動程式。 也請檢查 Microsoft Update 或無線網路介面卡廠商的網站，以確保驅動程式是最新版本。

下表顯示常見 IEEE 802.11 無線標準的傳輸速率和頻率。

無線網路安全性方法

[無線網路安全性方法] 是無線驗證 (有時稱為無線安全性) 和無線安全性加密的非正式群組。 無線驗證和加密用於配對，以防止未經授權的使用者存取無線網路，並保護無線傳輸。

在 [群組原則的無線網路原則] 中設定無線安全性設定時，有多個組合可供選擇。 不過，802.1X 已驗證無線部署僅支援 WPA2-Enterprise、WPA-Enterprise 以及具有 802.1X 驗證標準的 Open。

無線驗證

本指南建議針對 802.1X 已驗證無線部署使用下列無線驗證標準。

[Wi-Fi 保護的存取 – 企業 (WPA-Enterprise)] WPA 是 WiFi 聯盟所開發可符合 802.11 無線安全性通訊協定的過渡標準。 WPA 通訊協定的開發是針對先前有線等位私密 (WEP) 通訊協定中發現的一些嚴重缺陷。

WPA-Enterprise 透過下列方式來提供改善 WEP 的安全性：

1. 需要可使用 802.1X EAP 架構作為基礎結構一部分的驗證，以確保集中式相互驗證和動態金鑰管理

2. 使用訊息完整性檢查 (MIC) 來增強完整性檢查值 (ICV)，以保護標頭和承載

3. 實作框架計數器以防止重新執行攻擊

Wi-Fi 受保護存取 2 – 企業 (WPA2-Enterprise) 與 WPA-Enterprise 標準一樣，WPA2-Enterprise 會使用 802.1X 和 EAP 架構。 WPA2-Enterprise 針對多位使用者和大型受管理網路提供更強大的資料保護。 WPA2-Enterprise 是強固的通訊協定，其設計目的是透過驗證服務器來驗證網路使用者，以防止未經授權的網路存取。

無線安全性加密

無線安全性加密用來保護無線用戶端與無線 AP 之間所傳送的無線傳輸。 無線安全性加密會與所選取的網路安全性驗證方法搭配使用。 根據預設，執行 Windows 10、Windows 8.1 和 Windows 8 的電腦支援兩種加密標準：

1. 「臨時金鑰完整性通訊協定」 (TKIP) 是一種較舊的加密通訊協定，其一開始的設計是提供比既有弱式有線等位私密 (WEP) 通訊協定所提供的無線加密更為安全的無線加密。 IEEE 802.11i 工作群組和 Wi-Fi 聯盟設計 TKIP 來取代 WEP，而且不需要更換舊版硬體。 TKIP 是可封裝 WEP 承載的演算法套件，並且允許舊版 WiFi 設備的使用者在不更換硬體的情況下升級至 TKIP。 與 WEP 一樣，TKIP 會使用 RC4 資料流加密演算法作為其基礎。 不過，新的通訊協定會使用唯一的加密金鑰來加密每個資料封包，而且金鑰會比 WEP 的金鑰更為強大。 雖然 TKIP 適用於升級設計僅使用 WEP 的舊版裝置上的安全性，但不會解決無線區域網路面臨的所有安全性問題，而且在大多數情況下，不夠強大到保護敏感性政府或公司資料傳輸。

2. 「進階加密標準」(AES) 是用於加密商業和政府資料的慣用加密通訊協定。 AES 提供比 TKIP 或 WEP 還要高階的無線傳輸安全性。 與 TKIP 和 WEP 不同，AES 需要可支援 AES 標準的無線硬體。 AES 是可使用三個區塊加密的對稱金鑰加密標準：AES-128、AES-192 和 AES-256。

在 Windows Server 2016 中，當您選取 WPA2-Enterprise 驗證方法時，下列 AES 型無線加密方法適用於無線設定檔內容中的設定，這是建議項目。

1. AES-CCMP. 計數器模式加密區塊鏈結訊息驗證碼通訊協定 (CCMP) 會實作 802.11i 標準，並專為比 WEP 所提供的更高安全性加密所設計，而且使用 128 位元 AES 加密金鑰。
2. AES-GCMP. Galois 計數器模式通訊協定 (GCMP) 是由 802.11ac 所支援、比 AES-CCMP 更有效率，並為無線用戶端提供更好的效能。 GCMP 使用 256 位元 AES 加密金鑰。

Active Directory Domain Services (AD DS)

AD DS 提供一個分散式資料庫，用來儲存和管理網路資源的相關資訊，以及啟用目錄之應用程式的應用程式特定資料。 系統管理員可以使用 AD DS 將網路項目 (像是使用者、電腦以及其他裝置) 組織成階層式的內含項目結構。 階層式內含項目結構包含 Active Directory 樹系、樹系中的網域以及每個網域中的組織單位 (OU)。 執行 AD DS 的伺服器稱為「網域控制站」。

AD DS 包含 IEEE 802.1X 和 PEAP-MS-CHAP v2 驗證使用者認證以及評估無線連線授權所需的使用者帳戶、電腦帳戶和帳戶屬性。

Active Directory 使用者和電腦

[Active Directory 使用者和電腦] 是 AD DS 的元件，其中包含可代表實際實體 (例如電腦、人員或安全性群組) 的帳戶。 「安全性群組」是系統管理員可視為單一單位進行管理的使用者或電腦帳戶集合。 屬於特定群組的使用者和電腦帳戶稱為「群組成員」。

群組原則管理

群組原則管理可啟用使用者和電腦設定的目錄型變更和設定管理，包括安全性和使用者資訊。 您可以使用群組原則來定義使用者和電腦群組的設定。 您可以使用群組原則來指定登錄項目、安全性、軟體安裝、指令碼、資料夾重新導向、遠端安裝服務和 Internet Explorer 維護的設定。 您所建立的群組原則設定已包含在群組原則物件 (GPO) 中。 將 GPO 與選取的 Active Directory 系統容器 (網站、網域和 OU) 產生關聯，即可將 GPO 的設定套用至這些 Active Directory 容器中的使用者和電腦。 若要跨企業管理群組原則物件，您可以使用群組原則管理編輯器 Microsoft Management Console (MMC)。

本指南所提供的詳細指示有關如何在 [群組原則管理] 的 [無線網路 (IEEE 802.11) 原則] 延伸中指定設定。 無線網路 (IEEE 802.11) 原則會使用 802.1X 已驗證無線存取所需的連線和無線設定，來設定網域成員無線用戶端電腦。

伺服器憑證

此部署案例需要每個執行 802.1X 驗證之 NPS 的伺服器憑證。

伺服器憑證是一份數位文件，常用於驗證，以及保護開放式網路的資訊。 憑證將公開金鑰安全地繫結到保存對應私密金鑰的實體。 憑證是由發行 CA 以數位方式進行簽署，而且可以發給使用者、電腦或服務。

憑證授權單位 (CA) 是一個實體，負責建立和證明屬於主體 (通常是使用者或電腦) 或其他 CA 之公開金鑰的驗證。 憑證授權單位的活動可以包括透過已簽署的憑證將公開金鑰繫結至辨別名稱、管理憑證序號，以及撤銷憑證。

Active Directory 憑證服務 (AD CS) 是一個 伺服器角色，發行憑證做為網路 CA。 AD CS 憑證基礎結構也稱為「公開金鑰基礎結構 (PKI)」，提供可自訂的服務用於發行和管理企業的憑證。

EAP、PEAP 和 PEAP-MS-CHAP v2

可延伸驗證通訊協定 (EAP) 會允許使用任意長度之認證與資訊交換的其他驗證方法，以延伸點對點通訊協定 (PPP)。 利用 EAP 驗證，網路存取用戶端和驗證者 (例如 NPS) 都必須支援相同的 EAP 類型，才能成功完成驗證。 Windows Server 2016 包括一個 EAP 基礎結構、支援兩種 EAP 類型，以及將 EAP 訊息傳遞至 NPS 的能力。 您可以使用 EAP 來支援其他驗證配置，稱為「EAP 類型」。 Windows Server 2016 所支援的 EAP 類型如下：

• 傳輸層安全性 (TLS)

• Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP v2)

受保護 EAP (PEAP) 使用 TLS 來建立驗證中 PEAP 用戶端 (如無線電腦) 與 PEAP 驗證器 (如 NPS 或其他 RADIUS 伺服器) 之間的加密通道。 PEAP 未指定驗證方法，但提供其他 EAP 驗證通訊協定 (例如 EAP-MS-CHAP v2) 的額外安全性，而這些通訊協定可以透過 PEAP 所提供的 TLS 加密通道進行操作。 PEAP 用作存取用戶端的驗證方法，而存取用戶端透過下列類型的網路存取伺服器 (NAS) 來連線至您組織的網路：

• 支援 802.1X 的無線存取點

• 支援 802.1X 的驗證交換器

• 執行 Windows Server 2016 和遠端存取服務 (RAS) (設定為虛擬私人網路 (VPN) 伺服器和 (或) DirectAccess 伺服器) 的電腦

• 執行 Windows Server 2016 和遠端桌面服務的電腦

PEAP-MS-CHAP v2 比 EAP-TLS 更容易部署，因為使用密碼型認證 (使用者名稱及密碼) 來執行使用者驗證，而不是憑證或智慧卡。 只有 NPS 或其他 RADIUS 伺服器才需要具有憑證。 在驗證程序期間，NPS 使用 NPS 憑證，以針對 PEAP 用戶端證明其識別身分。

本指南提供指示，以將無線用戶端和 NPS 設定為將 PEAP-MS-CHAP v2 用於 802.1X 已驗證存取。

網路原則伺服器

網路原則伺服器 (NPS) 可讓您使用遠端驗證撥入使用者服務 (RADIUS) 伺服器和 RADIUS Proxy 來集中設定和管理網路原則。 部署 802.1X 無線存取時，需要 NPS。

當您將 802.1X 無線存取點設定為 NPS 中的 RADIUS 用戶端時，NPS 會處理 AP 所傳送的連線要求。 在連線要求處理期間，NPS 會執行驗證和授權。 驗證會判斷用戶端是否出示有效的認證。 如果 NPS 成功驗證要求端用戶端，則 NPS 會判斷是否授權用戶端來進行所要求的連線，以及允許或拒絕連線。 這有更詳盡的說明，如下所示：

驗證

成功的相互 PEAP-MS-CHAP v2 驗證有兩個主要組件：

1. 用戶端會驗證 NPS。 在此相互驗證階段期間，NPS 會將其伺服器憑證傳送至用戶端電腦，讓用戶端可以使用憑證來驗證 NPS 的身分識別。 若要成功驗證 NPS，用戶端電腦必須信任已發行 NPS 憑證的 CA。 在用戶端電腦的「可信任的根憑證授權單位」憑證存放區中呈現 CA 憑證時，用戶端會信任此 CA。

   如果您部署自己的私人 CA，則在網域成員用戶端電腦上重新整理群組原則時，會自動將 CA 憑證安裝至目前使用者和本機電腦的「可信任的根憑證授權單位」憑證存放區。 如果您決定從公用 CA 部署伺服器憑證，則請確定公用 CA 憑證已在「可信任的根憑證授權單位」憑證存放區中。

2. NPS 會驗證使用者。 用戶端成功驗證 NPS 之後，用戶端會將使用者的密碼型認證傳送至 NPS，以針對 Active Directory Domain Services (AD DS) 中的使用者帳戶資料庫來驗證使用者的認證。

如果認證有效，而且驗證成功，則 NPS 會開始處理連線要求的授權階段。 如果認證無效，而且驗證失敗，則 NPS 會傳送「存取拒絕」訊息，並拒絕連線要求。

授權

執行 NPS 的伺服器會執行授權，如下所示：

1. NPS 會檢查 AD DS 中使用者或電腦帳戶撥入屬性的限制。 [Active Directory 使用者和電腦] 中的每個使用者和電腦帳戶都會包括多個屬性，包括 [撥入] 索引標籤上找到的屬性。在此索引標籤的 [網路存取權限] 中，如果值為 [允許存取]，則授權使用者或電腦連線至網路。 如果值為 [拒絕存取]，則未授權使用者或電腦連線至網路。 如果值是 [透過 NPS 網路原則控制存取]，則 NPS 會評估已設定的網路原則，以判斷是否授權使用者或電腦來連線至網路。

2. NPS 接著會處理其網路原則，以尋找符合連線要求的原則。 如果找到相符的原則，則 NPS 會根據該原則的設定來授與或拒絕連線。

如果驗證和授權都成功，而且相符的網路原則授與存取權，則 NPS 會授與網路存取權，而且使用者和電腦可以連線至其具有權限的網路資源。

啟動程序設定檔

在 802.1X 已驗證無線網路中，無線用戶端必須提供 RADIUS 伺服器所驗證的安全性認證，才能連線至網路。 針對「受保護 EAP [PEAP]-Microsoft Challenge Handshake 驗證通訊協定第 2 版 [MS-CHAP v2]」，安全性認證是使用者名稱和密碼。 針對「EAP-傳輸層安全性 [TLS]」或 PEAP-TLS，安全性認證是憑證 (例如用戶端使用者和電腦憑證或智慧卡)。

根據預設，連線至設定為執行 PEAP-MS-CHAP v2、PEAP-TLS 或 EAP-TLS 驗證的網路時，Windows 無線用戶端也必須驗證 RADIUS 伺服器所傳送的電腦憑證。 RADIUS 伺服器針對每個驗證工作階段所傳送的電腦憑證通常稱為伺服器憑證。

如前所述，您可以使用兩種方式中的其中一種以對 RADIUS 伺服器發行其伺服器憑證：從商業 CA (例如 VeriSign, Inc.)，或從您在網路上部署的私人 CA。 如果 RADIUS 伺服器所傳送的電腦憑證是由已在用戶端「可信任的根憑證授權單位」憑證存放區中安裝的商業 CA 所發行，則不論無線用戶端是否已加入 Active Directory 網域，無線用戶端都可以驗證 RADIUS 伺服器的電腦憑證。 在此情況下，無線用戶端可以連線至無線網路，然後您可以將電腦加入網域。

無線啟動程序設定檔是暫時設定檔，其設定方式是在將電腦加入網域之前，以及/或使用者第一次使用給定的無線電腦成功登入網域之前，讓無線用戶端使用者連線至 802.1X 已驗證無線網路。 本節摘要說明嘗試將無線電腦加入網域時或使用者第一次使用已加入網域的無線電腦登入網域時所遇到的問題。

在部署中，如果使用者或 IT 系統管理員無法將電腦實際連線至有線乙太網路以將電腦加入網域的部署，而且電腦在其「可信任的根憑證授權單位」憑證存放區中未安裝必要的發行根 CA 憑證，則您可以使用稱為「啟動程序設定檔」的暫時無線連線設定檔來設定無線用戶端，以連線至無線網路。

「啟動程序設定檔」會移除驗證 RADIUS 伺服器電腦憑證的需求。 此暫時設定可讓無線使用者將電腦加入網域，而在此時會套用無線網路 (IEEE 802.11) 原則，並自動在電腦上安裝適當的根 CA 憑證。

套用群組原則時，會在電腦上套用一或多個強制執行相互驗證需求的無線連線設定檔；不再需要啟動程序設定檔並將其移除。 將電腦加入網域並重新啟動電腦之後，使用者可以使用無線連線來登入網域。

如需使用這些技術執行無線存取部署程序的概觀，請參閱無線存取部署概觀。