تكوين وحدات التحكم في الشبكة (NPS) ووحدات التحكم في الشبكة المحلية (LAN) اللاسلكية والشبكات اللاسلكية

تم التحديث:١٤ مارس ٢٠٢٣
معرّف المستند:115988

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية تكوين PEAP بمصادقة MS-CHAP مع Microsoft NPS كخادم RADIUS.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة التثبيت الأساسي لنظام التشغيل Windows 2008
    • معرفة تثبيت وحدة التحكم من Cisco

    تأكد من استيفاء هذه المتطلبات قبل أن تحاول إجراء هذا التكوين:

    • قم بتثبيت Microsoft Windows Server 2008 على كل خادم في مختبر الاختبار.
    • قم بتحديث جميع حزم الخدمات.
    • قم بتثبيت وحدات التحكم ونقاط الوصول في الوضع Lightweight (LAPs).
    • قم بتكوين آخر تحديثات البرامج.

    للحصول على معلومات التثبيت الأولي ومعلومات التكوين لوحدات التحكم اللاسلكية من السلسلة Cisco 5508 Series، ارجع إلى دليل تثبيت وحدة التحكم اللاسلكية من السلسلة Cisco 5500 Series.

    note-icon

    ملاحظة: الغرض من هذا المستند هو إعطاء القراء مثالا على التكوين المطلوب على خادم Microsoft لمصادقة PEAP-MS-CHAP. تم إختبار تكوين خادم Microsoft Windows المقدم في هذا المستند في المعمل وتبين أنه يعمل كما هو متوقع. إذا واجهت مشكلة في التكوين، فاتصل ب Microsoft للحصول على تعليمات. لا يدعم مركز المساعدة التقنية (TAC) من Cisco تكوين خادم Microsoft Windows.

    يمكن العثور على أدلة تكوين وتثبيت نظام التشغيل Microsoft Windows 2008 على Microsoft Tech Net.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • وحدة التحكم Cisco 5508 Wireless Controller التي تشغل البرنامج الثابت، الإصدار 7.4
    • نقطة وصول (AP) Cisco Aironet 3602 مع بروتوكول نقطة الوصول في الوضع Lightweight (LWAPP) 
    • Windows 2008 Enterprise Server مع خدمات NPS و Certificate Authority (CA) و Dynamic Host Control Protocol (DHCP) و Domain Name System (DNS) المثبتة
    • كمبيوتر عميل Microsoft Windows 7
    • المحول Cisco Catalyst 3560 Series Switch

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    الاصطلاحات

    راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

    معلومات أساسية

    يقدم هذا المستند نموذجا لتكوين بروتوكول المصادقة المتوسع المحمي (PEAP) مع مصادقة الإصدار 2 لبروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي (MS-CHAP) من Microsoft في شبكة لاسلكية موحدة من Cisco مع خادم نهج شبكة Microsoft (NPS) كخادم RADIUS.

    نظرة عامة على PEAP

    يستخدم PEAP تأمين مستوى النقل (TLS) لإنشاء قناة مشفرة بين عميل PEAP مصدق، مثل كمبيوتر محمول لاسلكي، ومصادقة PEAP، مثل Microsoft NPS أو أي خادم RADIUS. لا يحدد PEAP طريقة مصادقة، ولكنه يوفر أمانا إضافيا لبروتوكولات المصادقة الموسعة (EAP) الأخرى، مثل EAP-MS-CHAP v2، التي يمكن أن تعمل من خلال القناة المشفرة TLS التي يوفرها PEAP. تتألف عملية مصادقة PEAP من مرحلتين رئيسيتين.

    المرحلة الأولى من PEAP: قناة TLS المشفرة

    يرتبط العميل اللاسلكي بنقطة الوصول. يوفر الاقتران القائم على IEEE 802.11 مصادقة مفتوحة للنظام أو مفتاح مشترك قبل إنشاء اقتران آمن بين العميل ونقطة الوصول. بعد إنشاء الاقتران القائم على IEEE 802.11 بنجاح بين العميل ونقطة الوصول، يتم التفاوض على جلسة عمل TLS مع نقطة الوصول. بعد اكتمال المصادقة بين العميل اللاسلكي و NPS بنجاح، يتم التفاوض على جلسة عمل TLS بين العميل و NPS. يتم إستخدام المفتاح المستمد من هذا التفاوض لتشفير كل الاتصالات اللاحقة.

    المرحلة الثانية من PEAP: الاتصال الذي تم التصديق عليه بواسطة EAP

    يحدث اتصال EAP، الذي يتضمن تفاوض EAP، داخل قناة TLS التي أنشأها PEAP ضمن المرحلة الأولى من عملية مصادقة PEAP. يصادق NPS العميل اللاسلكي مع EAP-MS-CHAP v2. تقوم نقاط الوصول في الوضع Lightweight ووحدة التحكم فقط بإعادة توجيه الرسائل بين العميل اللاسلكي وخادم RADIUS. يتعذر على وحدة التحكم في الشبكة المحلية (LAN) اللاسلكية (WLC) ونقاط الوصول في الوضع Lightweight (LAP) فك تشفير هذه الرسائل لأنها ليست نقطة نهاية TLS.

    تسلسل رسائل RADIUS لمحاولات المصادقة الناجحة (حيث يقوم المستخدم بتوفير بيانات اعتماد صالحة مستندة إلى كلمة المرور مع PEAP-MS-CHAP v2) هو:

    1. يرسل NPS رسالة طلب هوية إلى العميل: EAP-Request/Identity.
    2. يرد العميل برسالة إستجابة الهوية: EAP-Response/Identity.
    3. يرسل NPS رسالة تحدي MS-CHAP v2: EAP-request/EAP-type=EAP MS-CHAP-V2 (تحدي).
    4. يستجيب العميل بتحدي MS-CHAP v2 واستجابته: EAP-response/EAP-type=EAP-MS-CHAP-V2 (الاستجابة).
    5. تقوم NPS بإرسال حزمة نجاح MS-CHAP v2 عندما يقوم الخادم بمصادقة العميل بنجاح: EAP-Request/EAP-Type=EAP-MS-CHAP-V2 (نجاح).
    6. يستجيب العميل بواسطة حزمة نجاح MS-CHAP v2 عندما يقوم العميل بمصادقة الخادم بنجاح: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (نجاح).
    7. يرسل NPS نوع EAP-length-value (TLV) الذي يشير إلى المصادقة الناجحة.
    8. يستجيب العميل برسالة نجاح حالة EAP-TLV.
    9. يكمل الخادم المصادقة ويرسل رسالة EAP-Success في نص عادي. إذا تم نشر شبكات VLAN لعزل العميل، فسيتم تضمين سمات شبكة VLAN في هذه الرسالة.

    التكوين

    في هذا القسم، تقدم لك معلومات تكوين PEAP-MS-CHAP v2.

    note-icon

    ملاحظة: أستخدم أداة بحث الأوامر للحصول على مزيد من المعلومات حول الأوامر المستخدمة في هذا القسم. يمكن فقط لمستخدمي Cisco المسجلين الوصول إلى أدوات Cisco ومعلومات داخلية.

    الرسم التخطيطي للشبكة

    يستخدم هذا التكوين إعداد الشبكة التالي:

    Network Diagramالرسم التخطيطي للشبكة

    في هذا الإعداد، يقوم خادم Microsoft Windows 2008 بتنفيذ الأدوار التالية:

    • وحدة التحكم بالمجال للمجال 
    • خادم DHCP/DNS
    • خادم CA
    • NPS - لمصادقة المستخدمين اللاسلكيين
    • خدمة Active Directory - للحفاظ على قاعدة بيانات المستخدم

    يتصل الخادم بالشبكة السلكية من خلال محول من الطبقة 2 كما هو موضح. تتصل أيضا وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ونقطة الوصول في الوضع Lightweight (LAP) المسجلة بالشبكة من خلال محول الطبقة 2.

    يستخدم العملاء اللاسلكي مصادقة PEAP-MS-CHAP v2 للوصول المحمي 2 (WPA2) Wi-Fi للاتصال بالشبكة اللاسلكية.

    التكوينات

    الهدف من هذا المثال هو تكوين خادم Microsoft 2008 ووحدة تحكم في الشبكة المحلية (LAN) اللاسلكية ونقطة وصول (AP) خفيفة الوزن لمصادقة العملاء اللاسلكيين بمصادقة PEAP-MS-CHAP v2. وهناك ثلاث خطوات رئيسية في هذه العملية:

    1. قم بتكوين خادم Microsoft Windows 2008.
    2. قم بتكوين وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) ونقاط الوصول في الوضع Lightweight APs.
    3. قم بتكوين العملاء اللاسلكيين.

    تكوين خادم Microsoft Windows 2008

    في هذا المثال، يتضمن تكوين كامل لخادم Microsoft Windows 2008 الخطوات التالية:

    1. قم بتكوين الخادم كوحدة تحكم بالمجال.
    2. قم بتثبيت خدمات DHCP وتكوينها.
    3. قم بتثبيت الخادم وتكوينه كخادم CA.
    4. توصيل العملاء بالمجال.
    5. قم بتثبيت NPS.
    6. تثبيت شهادة.
    7. قم بتكوين NPS لمصادقة PEAP.
    8. إضافة مستخدمين إلى Active Directory.  

    تكوين خادم Microsoft Windows 2008 كوحدة تحكم بالمجال

    أكمل الخطوات التالية لتكوين خادم Microsoft Windows 2008 كوحدة تحكم بالمجال:

    1. انقر على بدء > إدارة الخادم.

      Open the Server Manager

    2. انقر فوق أدوار > إضافة أدوار.

      Select Add Roles

    3. انقر فوق Next (التالي).

      Before You Begin

    4. حدد خدمات مجال Active Directory للخدمة، وانقر فوق التالي.

      Select Server Roles

    5. راجع مقدمة خدمات مجال Active Directory، وانقر فوق التالي.

      Active Directory Domain Services

    6. انقر على تثبيت لبدء عملية التثبيت.

      Confirm Installation Selections

      يستمر التثبيت ويكتمل.

    7. انقر فوق إغلاق هذا المعالج وتشغيل معالج تثبيت خدمات مجال خدمة Active Directory (dcpromo.exe) لمتابعة تثبيت Active Directory وتكوينه.

      Installation Results

    8. انقر فوق التالي لتشغيل معالج تثبيت خدمات مجال Active Directory.

      Domain Services Installation Wizard

    9. راجع المعلومات حول توافق نظام التشغيل، وانقر فوق التالي.

      Run the Active Directory Domain Services Installation Wizard

    10. انقر فوق إنشاء مجال جديد في غابة جديدة >التالي لإنشاء مجال جديد.

      Review the Information on Operating System Compatibility

    11. أدخل اسم DNS الكامل للمجال الجديد، ثم انقر فوق التالي.

      Name the Forest Root Domain

    12. حدد مستوى وظائف الغابة للمجال الخاص بك، وانقر التالي.

      Set Forest Functional Level

    13. حدد مستوى وظيفة المجال للمجال، وانقر فوق التالي.

      Select the Forest Functional Level

    14. تأكد من تحديد خادم DNS، وانقر التالي.

      Check the DNS Server for Additional Options

    15. انقر فوق نعم لمعالج التثبيت لإنشاء منطقة جديدة في DNS للمجال.

      Select Yes in Installation Wizard

    16. حدد المجلدات التي يجب أن يستخدمها Active Directory لملفاته، ثم انقر فوق التالي.

      Select Folders the Active Directory Must Use

    17. أدخل كلمة مرور المسؤول، ثم انقر على التالي.

      Enter the Administrator Password

    18. راجع تحديداتك، وانقر فوق التالي.

      Review Selections

      تمضي عملية التثبيت.

    19. انقر فوق إنهاء لإغلاق المعالج.

      Select Finish to Close the Wizard

    20. قم بإعادة تشغيل الخادم لتفعيل التغييرات.

      Restart the Server

    قم بتثبيت خدمات DHCP وتكوينها على خادم Microsoft Windows 2008

    يتم إستخدام خدمة DHCP على خادم Microsoft 2008 لتوفير عناوين IP للعملاء اللاسلكيين. أتمت هذا steps in order to ركبت وشكلت DHCP خدمة:

    1. انقر على بدء > إدارة الخادم.

      Install and Configure DHCP Services


    2. انقر فوق أدوار > إضافة أدوار.

      Add Roles

    3. انقر فوق Next (التالي).

      Before You Begin

    4. حدد خادم DHCP للخدمة، وانقر فوق التالي.

      Select Server Roles

    5. راجع مقدمة خادم DHCP، وانقر فوق التالي.

      Review the Introduction to DHCP Server

    6. حدد الواجهة التي يجب أن يراقبها خادم DHCP للطلبات، وانقر فوق التالي.

      Select Interface the DHCP Server must Monitor for Requests

    7. شكلت التقصير DNS عملية إعداد ال DHCP نادل ينبغي زودت إلى زبون، وطقطقة بعد ذلك.

      Configure the Default DNS Settings

    8. تكوين WINS إذا كانت الشبكة تدعم WINS.

      Configure WINS if Network Supports WINS

    9. انقر فوق إضافة لاستخدام المعالج لإنشاء نطاق DHCP أو انقر فوق التالي لإنشاء نطاق DHCP لاحقا. انقر فوق التالي للمتابعة.

      Create a DHCP Scope or Create DHCP Scope

    10. قم بتمكين دعم DHCPv6 على الخادم أو تعطيله، وانقر فوق التالي.

      Configure DHCPv6 Stateless Mode

    11. قم بتكوين إعدادات DNS ل IPv6 إذا تم تمكين DHCPv6 في الخطوة السابقة. انقر فوق التالي للمتابعة.

      Configure IPv6 DNS Settings

    12. قم بتوفير بيانات اعتماد مسؤول المجال لتخويل خادم DHCP في Active Directory، وانقر فوق التالي.

      Provide Domain Administrator Credentials

    13. راجع التكوين في صفحة التأكيد، وانقر فوق تثبيت لإكمال التثبيت.

      Confirm Configuration and Install

      تمضي عملية التثبيت.

    14. انقر فوق إغلاق" لإغلاق المعالج.

      Installation Results

      تم تثبيت خادم DHCP الآن.

    15. طقطقة بداية>إداري أداة>DHCP أن يشكل DHCP خدمة.

      Start Administrative Tools

    16. مددت ال DHCP نادل (يظهر في الصورة السابقة ل هذا مثال)، déclic IPv4، واخترت مجال جديد أن يخلق DHCP مجال.

      Expand the DHCP Server and Choose New Scope

    17. انقر فوق التالي لتكوين النطاق الجديد عبر معالج النطاق الجديد.

      New Scope Wizard

    18. قم بتوفير اسم للنطاق الجديد (العملاء اللاسلكي في هذا المثال)، وانقر فوق التالي.

      Enter Scope Name

    19. أدخل نطاق عناوين IP المتاحة التي يمكن إستخدامها لاستئجار DHCP. انقر فوق التالي للمتابعة.

      Enter Range of IP Addresses for DHCP Leases

    20. قم بإنشاء قائمة إختيارية بالعناوين المستبعدة. انقر فوق التالي للمتابعة.

      Create Optional List of Excluded IP Addresses

    21. قم بتكوين وقت التأجير، وانقر فوق التالي.

      Configure Lease Time

    22. انقر فوق نعم، أريد تكوين هذه الخيارات الآن، وانقر فوق التالي.

      Configure DHCP Options

    23. دخلت العنوان من التقصير مدخل ل هذا مجال، طقطقة يضيف>بعد ذلك.

      Enter IP Address of the Default Gateway

    24. قم بتكوين اسم مجال DNS وخادم DNS ليستخدمهما العملاء. انقر فوق التالي للمتابعة.

      Configure the DNS Domain Name and DNS Server

    25. أدخل معلومات WINS لهذا النطاق إذا كانت الشبكة تدعم WINS. انقر فوق التالي للمتابعة.

      Enter WINS Servers Information

    26. لتنشيط هذا النطاق، انقر فوق نعم، أريد تنشيط هذا النطاق الآن > التالي.

      Activate the Scope

    27. انقر فوق إنهاء" لإكمال المعالج وإغلاقه.

      Finish the New Scope Configuration

    تثبيت خادم Microsoft Windows 2008 وتكوينه كخادم CA

    يقوم PEAP مع EAP-MS-CHAP v2 بالتحقق من خادم RADIUS بناء على الشهادة الموجودة على الخادم. بالإضافة إلى ذلك، يجب إصدار شهادة الخادم من مرجع مصدق عام موثوق به من قبل كمبيوتر العميل (أي شهادة المرجع المصدق العام موجودة بالفعل في مجلد مرجع التصديق الجذر الموثوق به الموجود في مخزن شهادات الكمبيوتر العميل). 

    أكمل الخطوات التالية لتكوين خادم Microsoft Windows 2008 كخادم CA الذي يصدر الشهادة إلى NPS:

    1. انقر على بدء > إدارة الخادم.

      Configure the Microsoft Windows 2008 Server

    2. انقر فوق أدوار > إضافة أدوار.

      Add Roles

    3. انقر فوق Next (التالي).

      Before You Begin

    4. حدد خدمات شهادات Active Directory للخدمة، وانقر فوق التالي.

      Select Server Roles

    5. راجع مقدمة خدمات شهادات Active Directory، وانقر فوق التالي.

      Introduction to Active Directory Certificate Services

    6. حدد المرجع المصدق، وانقر التالي.

      Select Certification Authority Role

    7. حدد مؤسسة، وانقر فوق التالي.

      Specify Setup Type Enterprise

    8. حدد المرجع المصدق الجذر، وانقر بعد ذلك.

      Specify CA Type

    9. حدد إنشاء مفتاح خاص جديد، وانقر التالي.

      Set Up Private Key

    10. طقطقت بعد ذلك على يشكل تشفير ل CA.

      Configure Cryptography for CA

    11. طقطقت بعد ذلك أن يقبل التقصير اسم مشترك ل هذا CA.

      Configure CA Name

    12. حدد طول المدة التي تكون فيها شهادة CA هذه صالحة، وانقر فوق التالي.

      Set Length of Validity Period

    13. انقر فوق التالي لقبول موقع قاعدة بيانات الشهادات الافتراضي.

      Accept the Default Certificate Database

    14. راجع التكوين، ثم انقر فوق تثبيت لبدء تشغيل خدمات شهادات Active Directory. 

      Install and See Results


    15. بعد اكتمال التثبيت، انقر فوق إغلاق".

    توصيل العملاء بالمجال

    أتمت هذا steps in order to ربطت الزبون إلى الشبكة السلكية وتنزيل المجال معلومات محددة من الجديد مجال:

    1. قم بتوصيل العملاء بالشبكة السلكية باستخدام كبل توصيل متناظر عبر شبكة إيثرنت.
    2. قم بتحميل العميل وتسجيل الدخول باستخدام اسم مستخدم العميل وكلمة المرور.
    3. انقر فوق بدء > تشغيل، وأدخل cmd، وانقر فوق موافق.
    4. في موجه أوامر الأمر، أدخل ipconfig، وانقر فوق enter للتحقق من عمل DHCP بشكل صحيح ومن تلقي العميل لعنوان IP من خادم DHCP.
    5. للانضمام إلى العميل إلى المجال، انقر فوق بدء، وانقر بزر الماوس الأيمن فوق الكمبيوتر، واختر خصائص، واختر تغيير الإعدادات في الجانب السفلي الأيمن.
    6. طقطقة تغير.
    7. انقر فوق المجال، ثم أدخل اسم المجال، اللاسلكي، على سبيل المثال، ثم انقر فوق موافق.

      Enter the Domain Name

    8. أدخل اسم المستخدم المسؤول وكلمة المرور الخاصة بالمجال الذي ينضم إليه العميل. هذا هو حساب المسؤول في Active Directory على الخادم.

      Enter Username as Administrator and the Password to Domain Client Joins

    9. طقطقت ok، وطقطقت ok ثانية.

      The Computer Name Domain Changes

    10. انقر فوق إغلاق > إعادة التشغيل الآن لإعادة تشغيل الكمبيوتر.
    11. بمجرد إعادة تشغيل الكمبيوتر، قم بتسجيل الدخول باستخدام: اسم المستخدم = المسؤول؛ كلمة المرور = <domain password>؛ المجال = لاسلكي.
    12. انقر على بدء، وانقر بزر الماوس الأيمن على الكمبيوتر، واختر خصائص، واختر تغيير الإعدادات في أسفل اليمين للتحقق من أنك في المجال اللاسلكي.
    13. تتمثل الخطوة التالية في التحقق من تلقي العميل لشهادة CA (الثقة) من الخادم.

      Verify Client Received the CA Certificate

    14. انقر فوق بدء، ثم أدخل MMC، ثم اضغط على مفتاح Enter.
    15. انقر ملف، وانقر إضافة/إزالة الأداة الإضافية.
    16. أختر شهادات، وانقر إضافة.

      Add or Remove Snap In

    17. طقطقت حاسوب حساب، وطقطقت بعد ذلك.

      Select Computer Account

    18. طقطقت محلي حاسوب، وطقطقت بعد ذلك.

      Select Local Computer

    19. وانقر فوق OK.
    20. مددت الشهادات (الكمبيوتر المحلي) و مجلدات مراجع التصديق الجذر الموثوق فيها، وانقر فوق الشهادات. العثور على المرجع المصدق للمجال اللاسلكي في القائمة. في هذا المثال، يطلق على شهادة CA اسم wireless-WIN-MVZ9Z2UMNMS-CA. 

      Find the Wireless Domain CA Certificate

    21. كرر هذا الإجراء لإضافة المزيد من العملاء إلى المجال.

    تثبيت خادم نهج الشبكة على خادم Microsoft Windows 2008

    في هذا الإعداد، يستخدم NPS كخادم RADIUS لمصادقة عملاء اللاسلكي بمصادقة PEAP. أتمت هذا steps in order to ركبت وشكلت NPS على ال مايكروسوفت WiWindows 2008 نادل:

    1. انقر على بدء > إدارة الخادم.

      Start Server Manager

    2. انقر فوق أدوار > إضافة أدوار.

      Roles Summary

    3. انقر فوق Next (التالي).

      Before You Begin

    4. حدد سياسة شبكة الخدمة وخدمات الوصول، ثم انقر فوق التالي.

      Select Server Roles

    5. راجع مقدمة سياسة الشبكة وخدمات الوصول، وانقر فوق التالي.

      Network Policy and Access Services

    6. حدد خادم نهج الشبكة، وانقر فوق التالي.

      Select Network Policy Server

    7. راجع التأكيد، وانقر فوق تثبيت.

      Confirm Installation Selections


      بعد اكتمال التثبيت، يتم عرض شاشة مماثلة لهذه الشاشة.

      Installation Results

    8. انقر فوق "إغلاق".

    تثبيت شهادة

    أتمت هذا steps in order to ركبت الكومبيوتر شهادة ل NPS:

    1. انقر فوق بدء، ثم أدخل MMC، ثم اضغط على مفتاح Enter.
    2. انقر فوق ملف >إضافة/إزالة الأداة الإضافية.
    3. أختر شهادات، وانقر إضافة.

      Add or Remove Snap In

    4. أخترت حاسوب حساب، وطقطقة بعد ذلك.

      Certificate Snap In

    5. حدد كمبيوتر محلي، وانقر إنهاء.

      Select Local Computer and Finish

    6. انقر فوق موافق للعودة إلى Microsoft Management Console (MMC).

      Return to the Microsoft Management Console (MMC)

    7. قم بتوسيع الشهادات (الكمبيوتر المحلي) والمجلدات الشخصية، وانقر الشهادات.

      Expand the Certificates and Personal folders and Click Certificates

    8. انقر بزر الماوس الأيمن فوق المسافة البيضاء أسفل شهادة CA، واختر كل المهام > طلب شهادة جديدة.

      Request New Certificate

    9. انقر فوق Next (التالي).

      Certificate Enrollment

    10. حدد وحدة التحكم بالمجال، وانقر فوق تسجيل.

      Select Domain Controller

    11. انقر على إنهاء بمجرد تثبيت الشهادة.

      Finish Enrollment

      شهادة NPS مثبتة الآن. 

    12. تأكد من أن الغرض المقصود من الشهادة يقرأ مصادقة العميل ومصادقة الخادم.

      Certificate Should Read Client Authentication Server Authentication

    تكوين خدمة خادم نهج الشبكة لمصادقة PEAP-MS-CHAP v2

    أتمت هذا steps in order to شكلت NPS للمصادقة:

    1. انقر على ابدأ>أدوات إدارية>خادم نهج الشبكة.
    2. انقر بزر الماوس الأيمن فوق NPS (محلي)، واختر خادم التسجيل في Active Directory.

      Register Server in Active Directory

    3. وانقر فوق OK.

      Network Policy Server

    4. وانقر فوق OK.

      Computer is Now Authorized

    5. إضافة وحدة التحكم في الشبكة المحلية اللاسلكية كعميل المصادقة والتفويض والمحاسبة (AAA) على NPS.
    6. قم بتوسيع عملاء RADIUS وخوادم. انقر بزر الماوس الأيمن فوق عملاء RADIUS، واختر عميل RADIUS الجديد.

      Choose New RADIUS Client

    7. دخلت اسم مألوف (WLC في هذا مثال)، الإدارة عنوان من ال WLC (192.168.162.248 في هذا مثال) وسر مشترك. يتم إستخدام نفس السر المشترك لتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). 

      New RADIUS Client

    8. انقر فوق موافق للعودة إلى الشاشة السابقة.

      List of RADIUS Client

    9. إنشاء نهج شبكة جديد للمستخدمين اللاسلكيين. قم بتوسيع السياسات، وانقر بزر الماوس الأيمن فوق سياسات الشبكة، واختر جديد.

      Select Network Polices

    10. أدخل اسم نهج لهذه القاعدة (PEAP اللاسلكي، في هذا المثال)، وانقر فوق التالي.

      Specify Network Policy Name and Connection Type

    11. لجعل هذا النهج يسمح فقط لمستخدمي المجال اللاسلكي، أضف هذه الشروط الثلاثة، وانقر فوق التالي:

      • مجموعات Windows - مستخدمي المجال
      • نوع منفذ NAS - لاسلكي - IEEE 802.11
      • نوع المصادقة - EAP 

        Add Specific Conditions

    12. انقر فوق الوصول الممنوح لمنح محاولات اتصال تطابق هذا النهج، ثم انقر فوق التالي.

      Specify Access Permission

    13. قم بتعطيل جميع طرق المصادقة ضمن طرق مصادقة أقل أمانا.

      Configure Authentication Methods

    14. طقطقة يضيف، حدد PEAP، وطقطقة ok أن يمكن PEAP.

      Enable PEAP

    15. حدد Microsoft: EAP محمي (PEAP)، وانقر تحرير. تأكد من تحديد شهادة وحدة التحكم بالمجال التي تم إنشاؤها مسبقا في القائمة المنسدلة "الشهادة الصادرة"، وانقر فوق موافق.

      Microsoft Protected EAP

    16. انقر فوق Next (التالي).

      Configure Constraints

    17. انقر فوق Next (التالي).

      Configure Settings

    18. انقر فوق Next (التالي).

      Completing New Network Policy

    19. انقر فوق إنهاء.

      Add Users to the Active Directory

    إضافة مستخدمين إلى Active Directory

    في هذا المثال، يتم الاحتفاظ بقاعدة بيانات المستخدم على Active Directory. أكمل الخطوات التالية لإضافة مستخدمين إلى قاعدة بيانات Active Directory:

    1. فتح Active Directory Users and Computers. انقر فوق بدء>أدوات إدارية > مستخدمو Active Directory وأجهزة الكمبيوتر.
    2. في شجرة وحدة تحكم مستخدمي Active Directory وأجهزة الكمبيوتر، قم بتوسيع المجال، وانقر بزر الماوس الأيمن فوق المستخدمين > جديد، واختر المستخدم.
    3. في شاشة كائن جديد - مستخدم، أدخل اسم المستخدم اللاسلكي. يستخدم هذا المثال اسم العميل 1 في حقل الاسم الأول والعميل 1 في حقل اسم تسجيل دخول المستخدم. انقر فوق Next (التالي).

      Do Not Check User Must Change Password at Next Log On

    4. في شاشة كائن جديد - مستخدم، قم بإدخال كلمة مرور من إختيارك في حقول كلمة المرور وتأكيد كلمة المرور. تأكد من أن المستخدم يجب أن يغير كلمة المرور في خانة الاختيار التالي لتسجيل الدخول غير محددة، ثم انقر فوق التالي.

      Select Finish

    5. في شاشة كائن جديد - مستخدم، انقر إنهاء.

      In Controller Interface Select New

    6. كرر الخطوات من 2 إلى 4 لإنشاء حسابات مستخدمين إضافية.

    تكوين وحدة التحكم في الشبكة المحلية اللاسلكية ونقاط الوصول في الوضع Lightweight

    قم بتكوين الأجهزة اللاسلكية (وحدات التحكم في الشبكة المحلية اللاسلكية ونقاط الوصول في الوضع Lightweight) لهذا الإعداد.

    تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لمصادقة RADIUS

    قم بتكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لاستخدام NPS كخادم مصادقة. يجب تكوين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لإعادة توجيه بيانات اعتماد المستخدم إلى خادم RADIUS خارجي. ثم يتحقق خادم RADIUS الخارجي من مسوغات المستخدم ويوفر الوصول إلى العملاء اللاسلكيين.

    أتمت هذا steps in order to أضفت NPS كنادل RADIUS في التأمين >RADIUS صحة هوية صفحة:

    1. أخترت أمن>RADIUS >صحة هوية من الجهاز تحكم قارن أن يعرض ال RADIUS صحة هوية نادل صفحة. انقر فوق جديد لتحديد خادم RADIUS.

      RADIUS Authentication Servers Add IP

    2. قم بتحديد معلمات خادم RADIUS. وتتضمن هذه المعلمات عنوان IP لخادم RADIUS والسر المشترك ورقم المنفذ وحالة الخادم. تحدد خانات الاختيار الخاصة بمستخدم الشبكة وإدارتها ما إذا كانت المصادقة المستندة إلى RADIUS تنطبق على مستخدمي الإدارة والشبكة (اللاسلكية). يستخدم هذا المثال NPS كخادم RADIUS بعنوان IP 192.168.162.12. طقطقة يطبق.

      Under Security Tab

    تكوين شبكة WLAN للعملاء

    تكوين معرف مجموعة الخدمة (SSID) (WLAN) الذي يتصل به العملاء اللاسلكيون. في هذا المثال، قم بإنشاء SSID، ثم قم بتسميته PEAP.

    قم بتعريف مصادقة الطبقة 2 على أنها WPA2 حتى يتمكن العملاء من إجراء مصادقة تستند إلى EAP (PEAP-MS-CHAP v2 في هذا المثال) واستخدم معيار التشفير المتقدم (AES) كآلية تشفير. أترك كل القيم الأخرى عند وضعها الافتراضي.

    note-icon

    ملاحظة: يربط هذا المستند شبكة WLAN بواجهات الإدارة. عندما يكون لديك شبكات VLAN متعددة في شبكتك، يمكنك إنشاء شبكة VLAN منفصلة وربطها بمعرف SSID. أحلت لمعلومة على كيف أن يشكل VLANs على WLCs، VLANs على لاسلكي lan جهاز تحكم تشكيل مثال.

    أتمت هذا steps in order to شكلت WLAN على ال WLC:

    1. انقر فوق شبكات WLAN من واجهة وحدة التحكم لعرض صفحة شبكات WLAN. تسرد هذه الصفحة شبكات WLAN الموجودة على وحدة التحكم.
    2. أخترت جديد in order to خلقت WLAN جديد. أدخل معرف WLAN و WLAN SSID للشبكة المحلية اللاسلكية (WLAN)، وانقر فوق تطبيق.

      Select WLANs and Enter Profile Name

    3. لتكوين SSID ل 802.1x، أكمل الخطوات التالية:
      1. انقر فوق علامة التبويب عام وقم بتمكين الشبكة المحلية اللاسلكية (WLAN).

        Edit PEAP Under the General Tab

      2. انقر فوق التأمين > علامات تبويب الطبقة 2، واضبط تأمين الطبقة 2 إلى WPA + WPA2، وتحقق من معلمات WPA+WPA2 (على سبيل المثال، WPA2 AES) في المربع حسب الحاجة، وانقر فوق 802.1x لإدارة مفتاح المصادقة.

        Set Layer 2 Security

      3. انقر فوق الأمان > خوادم AAA، واختر عنوان IP الخاص ب NPS من القائمة المنسدلة Server 1، وانقر فوق تطبيق.

        Navigate to Security and then AAA Servers Tab

    تكوين عملاء اللاسلكي لمصادقة PEAP-MS-CHAP v2

    أكمل الخطوات التالية لتكوين العميل اللاسلكي باستخدام أداة Windows Zero Config للاتصال بشبكة PEAP المحلية اللاسلكية.

    1. انقر على رمز الشبكة في شريط المهام. انقر على SSID PEAP، وانقر توصيل.

      Connect PEAP SSID

    2. يجب أن يكون العميل الآن متصلا بالشبكة. 

      Connect Client to Network

    3. إذا فشل الاتصال، فحاول إعادة الاتصال بشبكة WLAN. إذا إستمرت المشكلة، ارجع إلى قسم أستكشاف الأخطاء وإصلاحها.

    التحقق من الصحة

    لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

    استكشاف الأخطاء وإصلاحها

    إذا لم يتصل العميل بالشبكة المحلية اللاسلكية (WLAN)، فيوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

    هناك أداتان يمكن إستخدامهما لتشخيص حالات فشل مصادقة 802.1x: الأمر debug client وEvent Viewer في Windows.

    إذا قمت بتنفيذ تصحيح أخطاء عميل من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، فهذا لا يتطلب موارد كثيرة ولا يؤثر على الخدمة. لبدء جلسة تصحيح أخطاء، افتح واجهة سطر الأوامر (CLI) الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (WLC)، وأدخل عنوان MAC لعميل تصحيح الأخطاء، حيث يكون عنوان MAC هو عنوان MAC اللاسلكي للعميل اللاسلكي غير القادر على الاتصال. أثناء تشغيل تصحيح الأخطاء هذا، حاول توصيل العميل، يجب أن يكون هناك إخراج على CLI الخاص ب WLC الذي يبدو مماثلا لهذا المثال:

    Output on the WLC

    هذا مثال من إصدار أن يستطيع وقعت مع misconfiguration. هنا، يعرض تصحيح أخطاء WLC نقل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى حالة المصادقة، مما يعني أن عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ينتظر إستجابة من نقاط الوصول (NPS). عادة ما يكون ذلك بسبب سر مشترك غير صحيح على WLC أو NPS. يمكنك تأكيد ذلك من خلال عارض أحداث Windows Server. إذا لم تعثر على سجل، لم يتم إرسال الطلب إلى NPS.

    مثال آخر تم العثور عليه من تصحيح أخطاء WLC هو access-reject. يظهر رفض الوصول أن NPS استلم بيانات اعتماد العميل ورفضها. هذا مثال على عميل يتلقى رفض وصول:

    Client that Receives an Access-Reject

    عندما ترى رفض الوصول، تحقق من السجلات الموجودة على سجلات أحداث Windows Server لتحديد سبب إستجابة NPS للعميل باستخدام رفض الوصول.

    تحتوي المصادقة الناجحة على قبول الوصول في تصحيح أخطاء العميل، كما هو موضح في هذا المثال:

    Successful Authentication has an Access-Accept in the Client Debug

    إذا كنت ترغب في أستكشاف أخطاء رفض الوصول وحالات انتهاء المهلة الزمنية للاستجابة وإصلاحها، فهذا يتطلب الوصول إلى خادم RADIUS. تعمل عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) كمصدق يقوم بتمرير رسائل EAP بين العميل وخادم RADIUS. يجب فحص خادم RADIUS الذي يستجيب بمهلة رفض الوصول أو الاستجابة وتشخيصه بواسطة الشركة المصنعة لخدمة RADIUS.

    note-icon

    ملاحظة: لا يوفر TAC الدعم التقني لخوادم RADIUS الخاصة بجهة خارجية، ومع ذلك، توضح السجلات الموجودة على خادم RADIUS بشكل عام سبب رفض طلب العميل أو تجاهله.

    لاستكشاف أخطاء رفض الوصول وحالات انتهاء مهلة الاستجابة من NPS وإصلاحها، قم بفحص سجلات NPS في "عارض أحداث Windows" على الخادم. 

    1. انقر فوق بدء> أدوات المسؤول >عارض الأحداث"لبدء عارض الأحداث ومراجعة سجلات NPS.
    2. قم بتوسيع طرق العرض المخصصة > أدوار الخادم > نهج الشبكة والوصول.

      Expand New Policy and Access

    في هذا القسم من طريقة عرض الحدث، هناك سجلات للمصادقة التي تم تمريرها وفشلت. اختبر هذه السجلات لاستكشاف أخطاء عدم تمرير العميل للمصادقة وإصلاحها. تظهر كل من المصادقة التي تم تمريرها والمصادقة الفاشلة على أنها معلومات. قم بالتمرير عبر السجلات للعثور على اسم المستخدم الذي فشل في المصادقة واستلم رفض الوصول بناء على تصحيح أخطاء عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    هذا مثال من NPS عندما ينكر هو مستعمل منفذ:

    NPS Denies a User Access

    عندما تقوم بمراجعة جملة رفض في عارض الأحداث، قم بفحص قسم تفاصيل المصادقة. في هذا المثال، يمكنك أن ترى أن NPS رفضت وصول المستخدم بسبب اسم مستخدم غير صحيح:

    NPS Denied the User Access Due to an Incorrect Username

    كما يساعد عرض الحدث على NPS عندما تحتاج إلى أستكشاف الأخطاء وإصلاحها إذا لم تستلم وحدة التحكم في الشبكة المحلية اللاسلكية (WLC) إستجابة من NPS.  يحدث ذلك عادة بسبب سر مشترك غير صحيح بين NPS و WLC.

    في هذا المثال، ترفض NPS الطلب من عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) بسبب سر مشترك غير صحيح:

    NPS Discards the Request from the WLC Due to an Incorrect Shared Secret

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    3.0
    14-Mar-2023
    تم التحديث. تم التصحيح. إعادة الاعتماد.
    1.0
    24-Feb-2013
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Nick Tate
      Cisco Customer Delivery Architect

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا