170 Kapitel 4: Netzwerkzugriffssicherheit
Befehlen die Gruppenrichtlinieneinstellungen zu überprüfen. Die netsh wlan-Befehle ermög-
lichen zudem die Konfiguration von Clients mit Befehlen oder Skripts, statt mit Gruppen-
richtlinien. Am meisten Informationen zeigt der Befehl
netsh wlan show all an. Daher können
Sie diesen Befehl als Ausgangspunkt für die Behebung von Problemen verwenden, die sich
mit Drahtlosnetzwerkrichtlinien ergeben.
Weitere Informationen Mehr über netsh wlan
Ausführlichere Informationen über die Konfiguration von Drahtlosnetzwerken und
Sicherheitseinstellungen mit
netsh wlan finden Sie in folgendem TechNet-Dokument:
http://technet.microsoft.com/de-de/library/cc755301.aspx.
Konfigurieren der Netzwerkrichtlinien- und Zugriffsdienste für die
Authentifizierung im drahtlosen Netzwerk
Sie können die Rolle Netzwerkrichtlinien- und Zugriffsdienste von Windows Server 2008 als
RADIUS-Server
konfigurieren, der die Authentifizierung von Verbindungen des Typs WPA2-
Enterprise und WPA-Enterprise mit Drahtloszugriffspunkten durchführt. Die Verwendung
des Netzwerkrichtlinienservers (Network Policy Server, NPS) als RADIUS-Server für Re-
motezugriffsverbindungen wurde bereits in Kapitel 3 beschrieben. Diese Lektion beschränkt
sich auf die Unterstützung der WPA/WPA2-Enterprise-Protokolle von Drahtloszugriffspunk-
ten mit NPS.
Sie müssen jeden Zugriffspunkt als RADIUS-Client konfigurieren. Bei der Konfiguration
eines Zugriffspunkts als RADIUS-Client konfigurieren Sie den Zugriffspunkt und den
RADIUS-Server mit einem gemeinsamen geheimen Schlüssel. Wie aus Abbildung 4.4
hervorgeht, lässt sich dieser Schlüssel automatisch generieren. In der Übung am Ende
dieser Lektion richten Sie einen hypothetischen Zugriffspunkt als RADIUS-Client ein.
Abbildung 4.4 Konfigurieren eines Zugriffspunkts als RADIUS-Client
Lektion 1: Drahtloser Zugriff 171
Nachdem Sie alle Drahtloszugriffspunkte Ihrer Organisation als RADIUS-Clients hinzuge-
fügt haben, können Sie unter folgenden Authentifizierungsmethoden wählen:
Microsoft: Smartcard- oder anderes Zertifikat Diese Methode ermöglicht Benut-
zern die Anmeldung mit einem Zertifikat, das auf einer Smartcard gespeichert ist.
Wenn der Benutzer eine Verbindung mit dem drahtlosen Netzwerk herstellen will, wird
er dazu aufgefordert, seine Smartcard ins Smartcard-Lesegerät einzulegen.
Microsoft: Geschütztes EAP (PEAP) Diese Methode erfordert die Installation eines
Computerzertifikats auf dem RADIUS/NPS-Server und die Installation eines Compu-
ter- oder Benutzerzertifikats auf allen Drahtlosclients. Clients müssen der Zertifizie-
rungsstelle vertrauen, die das Zertifikat des RADIUS/NPS-Servers ausgestellt hat, und
der RADIUS/NPS-Server muss der Zertifizierungsstelle vertrauen, die die Clientzerti-
fikate ausgestellt hat. Am einfachsten erreichen Sie dies, indem Sie Zertifikate bereit-
stellen, die mit den Active Directory-Zertifikatdiensten erstellt wurden.
Microsoft: Gesichertes Kennwort (EAP-MS-CHAP v2) Diese Methode erfordert
die Installation eines Computerzertifikats auf dem RADIUS/NPS-Server. Die Draht-
losclients müssen der ausstellenden Zertifizierungsstelle vertrauen. Clients authenti-
fizieren sich durch eine Domänenanmeldung mit Kennwort.
Wählen Sie die Authentifizierungsmethode, die Sie bei der Konfiguration der Drahtlosnetz-
werk-Gruppenrichtlinien in den Profilen für die SSIDs der Zugriffspunkt angegeben haben.
Überprüfen Sie in der Dokumentation der Drahtloszugriffspunkte, wie man die Geräte auf
die Weiterleitung von Authentifizierungsinformationen an einen RADIUS-Server konfigu-
riert.
Weitere Informationen Windows Server 2008 und 802.1x
Weitere Informationen über Windows Server 2008 und die 802.1x-Authentifizierung im
drahtlosen Netzwerk finden Sie im TechNet in dem Artikel http://technet.microsoft.com/
de-de/library/cc771455.aspx.
Prüfungstipp
Merken Sie sich bitte, dass Sie bei einer Authentifizierungsmethode, die auf einem vorinstal-
lierten Schlüssel beruht, keinen RADIUS-Server brauchen. Wenn Sie aber einen Zugriffs-
punkt mit einem RADIUS-Server kombinieren, brauchen Sie einen gemeinsamen geheimen
Schlüssel.
Übung Konfigurieren des drahtlosen Zugriffs
In dieser Übung führen Sie Aufgaben durch, wie sie bei der Konfiguration einer Windows
Server 2008-Netzwerkumgebung für den drahtlosen Zugriff durch Clientcomputer anfallen,
auf denen Windows Vista ausgeführt wird. In der ersten Übung konfigurieren Sie den Netz-
werkrichtlinienserver für den drahtlosen Zugriff, in der zweiten konfigurieren Sie Gruppen-
richtlinien für den drahtlosen Zugriff.
172 Kapitel 4: Netzwerkzugriffssicherheit
Übung 1 Konfigurieren von NPS für den drahtlosen Zugriff
In dieser Übung richten Sie den Server Glasgow als Netzwerkrichtlinien/RADIUS-Server
ein, damit er den WPA2-Enterprise-Authentifizierungsdatenverkehr bearbeiten kann. Sie
können auch einen hypothetischen Zugriffspunkt namens wap1.contoso.internal mit einem
gemeinsamen
geheimen Schlüssel konfigurieren, der die Kommunikation mit dem RADIUS-
Server ermöglicht.
1. Melden Sie sich mit dem Benutzerkonto Kim_Akers auf dem Server Glasgow an.
2. Wenn Sie in einer der Übungen bereits die Rolle Netzwerkrichtlinien- und Zugriffs-
dienste installiert haben, fahren Sie mit dem Schritt 8 fort. Andernfalls öffnen Sie die
Konsole Server-Manager, klicken den Knoten Rollen mit der rechten Maustaste an
und wählen Rollen hinzufügen.
Es wird der Assistent zum Hinzufügen von Rollen gestartet.
3. Klicken Sie auf der Seite Vorbemerkungen auf Weiter.
4. Wählen Sie das Kontrollkästchen Netzwerkrichtlinien- und Zugriffsdienste und klicken
Sie auf Weiter.
5. Klicken Sie auf der Seite Einführung in Netzwerkrichtlinien- und Zugriffsdienste auf
Weiter.
6. Wählen Sie auf der Seite Rollendienste auswählen die Kontrollkästchen Netzwerk-
richtlinienserver und Routing- und RAS-Dienste, wie in Abbildung 4.5 gezeigt, und
klicken Sie dann auf Weiter.
Abbildung 4.5 Auswählen der Rollendienste

Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.