NPS, draadloze LAN-controllers en draadloze netwerken configureren

Bijgewerkt:14 maart 2023
Document-id:115988

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe u de PEAP met MS-CHAP-verificatie kunt configureren met de Microsoft NPS als RADIUS-server.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Kennis van de basisinstallatie van Windows 2008
    • Kennis van de installatie van Cisco-controllers

    Zorg ervoor dat aan deze vereisten is voldaan voordat u deze configuratie probeert:

    • Installeer de Microsoft Windows Server 2008 op elk van de servers in het testlaboratorium.
    • Werk alle servicepacks bij.
    • Installeer de controllers en lichtgewicht access points.
    • Configureer de nieuwste software-updates.

    Raadpleeg voor installatie- en configuratieinformatie voor de Cisco 5508 Series draadloze controllers de installatiehandleiding voor de Cisco 5500 Series draadloze controller.

    note-icon

    Opmerking: dit document is bedoeld om de lezers een voorbeeld te geven van de configuratie die op een Microsoft-server vereist is voor PEAP-MS-CHAP-verificatie. De Microsoft Windows-serverconfiguratie die in dit document wordt weergegeven, is getest in het lab en gebleken dat deze werkt zoals verwacht. Als u problemen hebt met de configuratie, neemt u contact op met Microsoft voor hulp. Het Cisco Technical Assistance Center (TAC) ondersteunt Microsoft Windows-serverconfiguratie niet.

    U vindt de installatie- en configuratiehandleidingen voor Microsoft Windows 2008 op Microsoft Tech Net.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Cisco 5508 draadloze controller op de firmware versie 7.4
    • Cisco Aironet 3602 access point (AP) met lichtgewicht access point protocol (LWAP) 
    • Windows 2008 Enterprise Server met NPS, Certificate Authority (CA), Dynamic Host Control Protocol (DHCP) en Domain Name System (DNS)-services geïnstalleerd
    • Microsoft Windows 7-client-pc
    • Cisco Catalyst 3560 Series Switch

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Achtergrondinformatie

    Dit document biedt een voorbeeldconfiguratie voor de PEAP (Protected Extensible Verification Protocol) met Microsoft Challenge Handshake Verification Protocol (MS-CHAP), versie 2-verificatie in een Cisco Unified Wireless-netwerk met de Microsoft Network Policy Server (NPS) als RADIUS-server.

    PEAP - Overzicht

    PEAP maakt gebruik van Transport Level Security (TLS) om een versleuteld kanaal te maken tussen een geverifieerde PEAP-client, zoals een draadloze laptop, en een PEAP-verificator, zoals Microsoft NPS of een RADIUS-server. PEAP specificeert geen verificatiemethode, maar biedt aanvullende beveiliging voor andere Extensible Verification Protocols (EAP's), zoals EAP-MS-CHAP v2, die kunnen werken via het met TLS versleutelde kanaal dat door PEAP wordt geboden. Het PEAP-verificatieproces bestaat uit twee hoofdfasen.

    PEAP fase één: TLS-versleuteld kanaal

    De draadloze client is gekoppeld aan het toegangspunt. Een op IEEE 802.11 gebaseerde koppeling biedt een open systeem of gedeelde sleutelverificatie voordat een beveiligde koppeling wordt gemaakt tussen de client en het toegangspunt. Nadat de op IEEE 802.11 gebaseerde associatie tussen de client en het toegangspunt met succes is ingesteld, wordt de TLS-sessie met het toegangspunt overeengekomen. Nadat de verificatie tussen de draadloze client en NPS met succes is voltooid, wordt de TLS-sessie tussen de client en NPS overeengekomen. De sleutel die binnen deze onderhandeling wordt afgeleid wordt gebruikt om alle verdere communicatie te versleutelen.

    PEAP fase twee: EAP-geverifieerde communicatie

    EAP-communicatie, met inbegrip van EAP-onderhandeling, vindt plaats binnen het TLS-kanaal dat door PEAP in de eerste fase van het PEAP-verificatieproces is gecreëerd. De NPS verifieert de draadloze client met EAP-MS-CHAP v2. De LAP en de controller sturen alleen berichten door tussen de draadloze client en de RADIUS-server. De Wireless LAN Controller (WLC) en de LAP kunnen deze berichten niet decoderen, omdat dit niet het TLS-eindpunt is.

    De RADIUS-berichtreeks voor een succesvolle verificatiepoging (waarbij de gebruiker geldige op een wachtwoord gebaseerde referenties heeft geleverd bij PEAP-MS-CHAP v2) is:

    1. De NPS stuurt een identiteitsverzoekbericht naar de client: EAP-Verzoek/Identity.
    2. De client reageert met een identiteitsresponsbericht: EAP-Response/Identity.
    3. De NPS verstuurt een MS-CHAP v2-provocatiebericht: EAP-request/EAP-Type=EAP MS-CHAP-V2 (Challenge).
    4. De client reageert met een uitdaging en antwoord van MS-CHAP v2: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Response).
    5. De NPS stuurt een MS-CHAP v2 succespakket terug wanneer de server de client met succes heeft geverifieerd: EAP-request/EAP-Type=EAP-MS-CHAP-V2 (Success).
    6. De client reageert met een succespakket van MS-CHAP v2 wanneer de client de server met succes heeft geverifieerd: EAP-Response/EAP-Type=EAP-MS-CHAP-V2 (Success).
    7. De NPS stuurt een EAP-type-lengte-waarde (TLV) die een succesvolle verificatie aangeeft.
    8. De client reageert met een EAP-TLV-statusbericht.
    9. De server voltooit de verificatie en verstuurt een EAP-Success-bericht in onbewerkte tekst. Als VLAN’s worden geïmplementeerd voor client-isolatie, zijn de VLAN-kenmerken in dit bericht opgenomen.

    Configureren

    In dit gedeelte wordt de informatie getoond over het configureren van PEAP-MS-CHAP v2.

    note-icon

    Opmerking: gebruik de Opdrachtzoekfunctie om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt. Alleen geregistreerde Cisco-gebruikers kunnen toegang krijgen tot interne Cisco-tools en -informatie.

    Netwerkdiagram

    Deze configuratie gebruikt de volgende netwerkinstellingen:

    Network DiagramNetwerkdiagram

    In deze installatie voert een Microsoft Windows 2008-server de volgende rollen uit:

    • Domeincontroller voor het domein 
    • DHCP-/DNS-server
    • CA-server
    • NPS - voor het verifiëren van draadloze gebruikers
    • Active Directory - voor het onderhouden van de gebruikersdatabase

    De server verbindt met het bekabelde netwerk via een Layer 2 switch zoals getoond. De WLC en de geregistreerde LAP maken ook verbinding met het netwerk via de Layer 2 switch.

    De draadloze clients gebruiken Wi-Fi Protected Access 2 (WPA2) - PEAP-MS-CHAP v2-verificatie om verbinding te maken met het draadloze netwerk.

    Configuraties

    Het doel van dit voorbeeld is om de Microsoft 2008-server, draadloze LAN-controller en Light Weight AP te configureren om de draadloze clients te verifiëren met PEAP-MS-CHAP v2-verificatie. Er zijn drie belangrijke stappen in dit proces:

    1. De Microsoft Windows 2008-server configureren.
    2. Configureer de WLC en de lichtgewicht AP's.
    3. Configureer de draadloze clients.

    De Microsoft Windows 2008-server configureren

    In dit voorbeeld bevat een volledige configuratie van de Microsoft Windows 2008-server de volgende stappen:

    1. Configureer de server als een domeincontroller.
    2. Installeer en configureer DHCP-services.
    3. de server installeren en configureren als een CA-server.
    4. Verbind clients met het domein.
    5. Installeer de NPS.
    6. Installeer een certificaat.
    7. Configureer de NPS voor PEAP-verificatie.
    8. Voeg gebruikers toe aan de Active Directory.  

    De Microsoft Windows 2008-server configureren als domeincontroller

    Voltooi deze stappen om de Microsoft Windows 2008-server als domeincontroller te configureren:

    1. Klik op Start > Server Manager.

      Open the Server Manager

    2. Klik op Rollen > Rollen toevoegen.

      Select Add Roles

    3. Klik op Next (Volgende).

      Before You Begin

    4. Selecteer de service Active Directory Domain Services en klik op Volgende.

      Select Server Roles

    5. Herzie de Inleiding tot Active Directory Domain Services en klik op Volgende.

      Active Directory Domain Services

    6. Klik op Installeren om het installatieproces te starten.

      Confirm Installation Selections

      De installatie gaat verder en wordt voltooid.

    7. Klik op Sluit deze wizard en start de Active Directory Domain Services Installatiewizard (dcpromo.exe) om de installatie en configuratie van de Active Directory voort te zetten.

      Installation Results

    8. Klik op Next om de installatiewizard voor Active Directory Domain Services uit te voeren.

      Domain Services Installation Wizard

    9. Bekijk de informatie over Besturingssysteemcompatibiliteit en klik op Volgende.

      Run the Active Directory Domain Services Installation Wizard

    10. Klik op Een nieuw domein maken in een nieuw bos > Volgende om een nieuw domein te maken.

      Review the Information on Operating System Compatibility

    11. Voer de volledige DNS-naam in voor het nieuwe domein en klik op Volgende.

      Name the Forest Root Domain

    12. Selecteer het functionele niveau van het bos voor uw domein en klik op Volgende.

      Set Forest Functional Level

    13. Selecteer het functionele niveau van het domein voor uw domein en klik op Volgende.

      Select the Forest Functional Level

    14. Controleer of DNS-server is geselecteerd en klik op Volgende.

      Check the DNS Server for Additional Options

    15. Klik op Ja voor de installatiewizard om een nieuwe zone in DNS voor het domein te maken.

      Select Yes in Installation Wizard

    16. Selecteer de mappen die Active Directory moet gebruiken voor de bestanden en klik op Volgende.

      Select Folders the Active Directory Must Use

    17. Voer het beheerderswachtwoord in en klik op Volgende.

      Enter the Administrator Password

    18. Bekijk uw selecties en klik op Volgende.

      Review Selections

      De installatie gaat verder.

    19. Klik op Voltooien om de wizard te sluiten.

      Select Finish to Close the Wizard

    20. Start de server opnieuw om de wijzigingen door te voeren.

      Restart the Server

    DHCP-services installeren en configureren op de Microsoft Windows 2008-server

    De DHCP-service op de Microsoft 2008-server wordt gebruikt om IP-adressen aan de draadloze clients te leveren. Voltooi deze stappen om de diensten van DHCP te installeren en te vormen:

    1. Klik op Start > Server Manager.

      Install and Configure DHCP Services


    2. Klik op Rollen > Rollen toevoegen.

      Add Roles

    3. Klik op Next (Volgende).

      Before You Begin

    4. Selecteer de service-DHCP-server en klik op Volgende.

      Select Server Roles

    5. Herzie de Inleiding aan DHCP-server en klik op Volgende.

      Review the Introduction to DHCP Server

    6. Selecteer de interface die de DHCP-server moet bewaken voor verzoeken en klik op Volgende.

      Select Interface the DHCP Server must Monitor for Requests

    7. Configureer de standaard DNS-instellingen die de DHCP-server aan clients moet leveren en klik op Volgende.

      Configure the Default DNS Settings

    8. Configureer WINS als het netwerk WINS ondersteunt.

      Configure WINS if Network Supports WINS

    9. Klik op Add om de wizard te gebruiken om een DHCP-bereik te maken of klik op Next om later een DHCP-scope te maken. Klik op Volgende om verder te gaan.

      Create a DHCP Scope or Create DHCP Scope

    10. Schakel DHCPv6-ondersteuning in of uit op de server en klik op Volgende.

      Configure DHCPv6 Stateless Mode

    11. Configureer IPv6-DNS-instellingen als DHCPv6 in de vorige stap is ingeschakeld. Klik op Volgende om verder te gaan.

      Configure IPv6 DNS Settings

    12. Verstrek de referenties van de domeinbeheerder om de DHCP-server in Active Directory te autoriseren en klik op Volgende.

      Provide Domain Administrator Credentials

    13. Controleer de configuratie op de bevestigingspagina en klik op Installeren om de installatie te voltooien.

      Confirm Configuration and Install

      De installatie gaat verder.

    14. Klik op Sluiten om de wizard te sluiten.

      Installation Results

      De DHCP-server is nu geïnstalleerd.

    15. Klik op Start >Systeembeheer> DHCP om de DHCP-service te configureren.

      Start Administrative Tools

    16. Breid de DHCP-server uit (in de vorige afbeelding, bijvoorbeeld), klik met de rechtermuisknop op IPv4 en kies Nieuw bereik om een DHCP-bereik te maken.

      Expand the DHCP Server and Choose New Scope

    17. Klik op Volgende om het nieuwe bereik te configureren via de wizard Nieuw bereik.

      New Scope Wizard

    18. Geef een naam op voor de nieuwe scope (Wireless Clients in dit voorbeeld) en klik op Volgende.

      Enter Scope Name

    19. Geef het bereik van beschikbare IP-adressen op die kunnen worden gebruikt voor DHCP-leases. Klik op Volgende om verder te gaan.

      Enter Range of IP Addresses for DHCP Leases

    20. Maak een optionele lijst van uitgesloten adressen. Klik op Volgende om verder te gaan.

      Create Optional List of Excluded IP Addresses

    21. Configureer de leasetijd en klik op Volgende.

      Configure Lease Time

    22. Klik op Ja, ik wil deze opties nu configureren en klik op Volgende.

      Configure DHCP Options

    23. Voer het IP-adres van de standaardgateway voor deze scope in. Klik op Toevoegen > Volgende.

      Enter IP Address of the Default Gateway

    24. Configureer de DNS-domeinnaam en DNS-server die door de clients moeten worden gebruikt. Klik op Volgende om verder te gaan.

      Configure the DNS Domain Name and DNS Server

    25. Voer de WINS-informatie voor deze scope in als het netwerk WINS ondersteunt. Klik op Volgende om verder te gaan.

      Enter WINS Servers Information

    26. Om deze scope te activeren, klik op Ja, ik wil deze scope nu activeren > Volgende.

      Activate the Scope

    27. Klik op Voltooien om de wizard te voltooien en te sluiten.

      Finish the New Scope Configuration

    De Microsoft Windows 2008-server installeren en configureren als CA-server

    PEAP met EAP-MS-CHAP v2 valideert de RADIUS-server op basis van het certificaat dat op de server aanwezig is. Bovendien moet het servercertificaat worden afgegeven door een openbare CA die wordt vertrouwd door de clientcomputer (het openbare CA-certificaat bestaat dus al in de map Trusted Root Certification Authority in het certificaatarchief van de clientcomputer). 

    Voltooi deze stappen om de Microsoft Windows 2008-server te configureren als een CA-server die het certificaat afgeeft aan de NPS:

    1. Klik op Start > Server Manager.

      Configure the Microsoft Windows 2008 Server

    2. Klik op Rollen > Rollen toevoegen.

      Add Roles

    3. Klik op Next (Volgende).

      Before You Begin

    4. Selecteer de service Active Directory Certificate Services en klik op Volgende.

      Select Server Roles

    5. Herzie de Inleiding aan de Actieve Diensten van het Indexcertificaat, en klik Volgende.

      Introduction to Active Directory Certificate Services

    6. Selecteer de certificeringsinstantie en klik op Volgende.

      Select Certification Authority Role

    7. Selecteer Enterprise en klik op Volgende.

      Specify Setup Type Enterprise

    8. Selecteer root-CA en klik op Volgende.

      Specify CA Type

    9. Selecteer Een nieuwe privé-sleutel maken en klik op Volgende.

      Set Up Private Key

    10. Klik op Volgende om Cryptografie voor SCM te configureren.

      Configure Cryptography for CA

    11. Klik op Volgende om de standaard algemene naam voor deze CA te aanvaarden.

      Configure CA Name

    12. Selecteer de tijdsduur van de geldigheid van dit CA-certificaat en klik op Volgende.

      Set Length of Validity Period

    13. Klik op Volgende om de standaardlocatie van de certificaatdatabase te aanvaarden.

      Accept the Default Certificate Database

    14. Controleer de configuratie en klik op Installeren om de Active Directory-certificaatservices te starten. 

      Install and See Results


    15. Klik op Sluiten als de installatie is voltooid.

    Clients met domein verbinden

    Voltooi deze stappen om de clients te verbinden met het bekabelde netwerk en de domeinspecifieke informatie van het nieuwe domein te downloaden:

    1. Sluit de clients aan op het bekabelde netwerk met een rechtstreekse Ethernet-kabel.
    2. Start de client op en log in met de gebruikersnaam en het wachtwoord van de client.
    3. Klik op Start > Uitvoeren, voer cmd in en klik op OK.
    4. Voer bij de opdrachtprompt ipconfig in en klik op Enter om te verifiëren dat DHCP correct werkt en dat de client een IP-adres van de DHCP-server heeft ontvangen.
    5. Om zich bij de cliënt aan het domein aan te sluiten, klik Begin, klik Computer met de rechtermuisknop aan, kies Eigenschappen, en kies Instellingen wijzigen rechtsonder.
    6. Klik op Wijzigen.
    7. Klik op Domein, voer de domeinnaam, draadloos, in dit voorbeeld, en klik op OK.

      Enter the Domain Name

    8. Voer de gebruikersnaam beheerder en het wachtwoord in dat specifiek is voor het domein waartoe de client toetreedt. Dit is de Administrator-account in de Active Directory op de server.

      Enter Username as Administrator and the Password to Domain Client Joins

    9. Klik op OK en klik nogmaals op OK.

      The Computer Name Domain Changes

    10. Klik op Sluiten > Nu opnieuw starten om de computer opnieuw te starten.
    11. Als de computer opnieuw is opgestart, logt u in met: Gebruikersnaam = beheerder; Wachtwoord = <domeinwachtwoord>; Domein = draadloos.
    12. Klik op Start, klik met de rechtermuisknop op Computer, kies Eigenschappen en kies Instellingen wijzigen rechtsonder om te controleren of u zich op het draadloze domein bevindt.
    13. De volgende stap is te verifiëren dat de client het CA-certificaat (vertrouwen) van de server heeft ontvangen.

      Verify Client Received the CA Certificate

    14. Klik op Start, voer mmc in en druk op ENTER.
    15. Klik op Bestand en klik op Onverwacht-in toevoegen/verwijderen.
    16. Kies Certificaten en klik op Toevoegen.

      Add or Remove Snap In

    17. Klik op Computer-account en klik op Volgende.

      Select Computer Account

    18. Klik op Lokale computer en klik op Volgende.

      Select Local Computer

    19. Klik op OK.
    20. Vouw de mappen Certificaten (Local Computer) en Trusted Root Certification Authorities uit en klik op Certificaten. Zoek de draadloze domein CA cert in de lijst. In dit voorbeeld, wordt de cert van CA genoemd draadloos-WIN-MVZ9Z2UMNMS-CA. 

      Find the Wireless Domain CA Certificate

    21. Herhaal deze procedure om meer clients aan het domein toe te voegen.

    De Network Policy Server installeren op de Microsoft Windows 2008-server

    In deze setup wordt de NPS gebruikt als een RADIUS-server voor het verifiëren van draadloze clients met PEAP-verificatie. Voltooi deze stappen om NPS op de server van Microsoft Windows 2008 te installeren en te vormen:

    1. Klik op Start > Server Manager.

      Start Server Manager

    2. Klik op Rollen > Rollen toevoegen.

      Roles Summary

    3. Klik op Next (Volgende).

      Before You Begin

    4. Selecteer het servicenetwerkbeleid en de toegangsservices en klik op Volgende.

      Select Server Roles

    5. Herzie de Inleiding tot de Diensten van het Netwerkbeleid en van de Toegang, en klik Volgende.

      Network Policy and Access Services

    6. Selecteer Network Policy Server en klik op Volgende.

      Select Network Policy Server

    7. Controleer de bevestiging en klik op Installeren.

      Confirm Installation Selections


      Wanneer de installatie is voltooid, wordt een scherm weergegeven dat lijkt op dit scherm.

      Installation Results

    8. Klik op Close (Sluiten).

    Een certificaat installeren

    Voltooi deze stappen om het computercertificaat voor NPS te installeren:

    1. Klik op Start, voer mmc in en druk op ENTER.
    2. Klik op Bestand > Magnetisch-in toevoegen/verwijderen.
    3. Kies Certificaten en klik op Toevoegen.

      Add or Remove Snap In

    4. Kies Computer-account en klik op Volgende.

      Certificate Snap In

    5. Selecteer Local Computer en klik op Finish.

      Select Local Computer and Finish

    6. Klik op OK om terug te keren naar de Microsoft Management Console (MMC).

      Return to the Microsoft Management Console (MMC)

    7. Breid de Certificaten (Lokale Computer) en Persoonlijke mappen uit en klik op Certificaten.

      Expand the Certificates and Personal folders and Click Certificates

    8. Klik met de rechtermuisknop in de witte ruimte onder het CA-certificaat en kies Alle taken > Nieuw certificaat aanvragen.

      Request New Certificate

    9. Klik op Next (Volgende).

      Certificate Enrollment

    10. Selecteer Domain Controller en klik op Inschrijven.

      Select Domain Controller

    11. Klik op Voltooien zodra het certificaat is geïnstalleerd.

      Finish Enrollment

      Het NPS certificaat is nu geïnstalleerd. 

    12. Zorg ervoor dat het beoogde doel van het certificaat clientverificatie, serververificatie leest.

      Certificate Should Read Client Authentication Server Authentication

    De Network Policy Server-service voor PEAP-MS-CHAP v2-verificatie configureren

    Voltooi de volgende stappen om de NPS voor verificatie te configureren:

    1. Klik op Start > Systeembeheer > Netwerkbeleidsserver.
    2. Klik met de rechtermuisknop op NPS (lokaal) en kies Server registreren in Active Directory.

      Register Server in Active Directory

    3. Klik op OK.

      Network Policy Server

    4. Klik op OK.

      Computer is Now Authorized

    5. Voeg de draadloze LAN-controller toe als een verificatie-, autorisatie- en accounting (AAA) client op de NPS.
    6. Breid RADIUS-clients en -servers uit. Klik met de rechtermuisknop op RADIUS-clients en kies Nieuwe RADIUS-client.

      Choose New RADIUS Client

    7. Voer een Vriendelijke naam (WLC in dit voorbeeld), het IP-adres van de WLC (192.168.162.248 in dit voorbeeld) en een gedeeld geheim in. Het zelfde gedeelde geheim wordt gebruikt om WLC te vormen. 

      New RADIUS Client

    8. Klik op OK om terug te keren naar het vorige scherm.

      List of RADIUS Client

    9. Maak een nieuw netwerkbeleid voor draadloze gebruikers. Breid Beleid uit, klik met de rechtermuisknop op Netwerkbeleid en kies Nieuw.

      Select Network Polices

    10. Voer een beleidsnaam in voor deze regel (in dit voorbeeld draadloze PEAP) en klik op Volgende.

      Specify Network Policy Name and Connection Type

    11. Om dit beleid alleen draadloze domeingebruikers toe te staan, voegt u deze drie voorwaarden toe en klikt u op Volgende:

      • Windows-groepen - Domeingebruikers
      • NAS-poorttype - draadloos - IEEE 802.11
      • Verificatietype - EAP 

        Add Specific Conditions

    12. Klik op Toegang verleend om verbindingspogingen te verlenen die overeenkomen met dit beleid en klik op Volgende.

      Specify Access Permission

    13. Schakel alle verificatiemethoden uit onder Minder beveiligde verificatiemethoden.

      Configure Authentication Methods

    14. Klik op Add, selecteer PEAP en klik op OK om PEAP in te schakelen.

      Enable PEAP

    15. Selecteer Microsoft: Protected EAP (PEAP) en klik op Bewerken. Zorg ervoor dat het eerder gemaakte domeincontrollercertificaat is geselecteerd in de vervolgkeuzelijst Certificaat afgegeven en klik op OK.

      Microsoft Protected EAP

    16. Klik op Next (Volgende).

      Configure Constraints

    17. Klik op Next (Volgende).

      Configure Settings

    18. Klik op Next (Volgende).

      Completing New Network Policy

    19. Klik op Finish (Voltooien).

      Add Users to the Active Directory

    Gebruikers toevoegen aan de actieve map

    In dit voorbeeld wordt de gebruikersdatabase onderhouden op de Active Directory. Voltooi deze stappen om gebruikers aan de Active Directory-database toe te voegen:

    1. Open Active Directory-gebruikers en -computers. Klik op Start > Administratieve tools > Active Directory-gebruikers en -computers.
    2. In de Active Directory Gebruikers en Computers consoleboom, breid het domein uit, klik met de rechtermuisknop op Gebruikers > Nieuw, en kies Gebruiker.
    3. Typ in het dialoogvenster Nieuw object - gebruiker de naam van de draadloze gebruiker. Dit voorbeeld gebruikt de naam Client1 in het veld Voornaam en Client1 in het veld Gebruikersnaam. Klik op Next (Volgende).

      Do Not Check User Must Change Password at Next Log On

    4. Typ in het dialoogvenster Nieuw object - gebruiker een wachtwoord van uw keuze in de velden Wachtwoord bevestigen en wachtwoord bevestigen. Zorg ervoor dat de gebruiker het wachtwoord bij de volgende aanmelding niet aangevinkt is en klik op Volgende.

      Select Finish

    5. Klik in het dialoogvenster Nieuw object - gebruiker op Voltooien.

      In Controller Interface Select New

    6. Herhaal stap 2 tot en met 4 om extra gebruikersaccounts te maken.

    De draadloze LAN-controller en LAN’s configureren

    Configureer de draadloze apparaten (de draadloze LAN-controllers en LAN’s) voor deze installatie.

    Configureer de WLC voor RADIUS-verificatie

    Configureer de WLC om de NPS als verificatieserver te gebruiken. De WLC moet worden geconfigureerd om de gebruikersreferenties te kunnen doorsturen naar een externe RADIUS-server. De externe RADIUS-server valideert vervolgens de gebruikersreferenties en biedt toegang tot de draadloze clients.

    Voltooi de volgende stappen om de NPS als een RADIUS-server toe te voegen op de pagina Security > RADIUS-verificatie:

    1. Kies Beveiliging > RADIUS >Verificatie in de controller-interface om de pagina RADIUS-verificatieservers weer te geven. Klik op Nieuw om een RADIUS-server te definiëren.

      RADIUS Authentication Servers Add IP

    2. Definieer de RADIUS-serverparameters. Deze parameters omvatten het IP-adres van de RADIUS-server, gedeeld geheim, poortnummer en serverstatus. Met de selectievakjes Netwerkgebruiker en Netwerkbeheer wordt bepaald of op RADIUS gebaseerde verificatie van toepassing is op beheer- en (draadloze) gebruikers. In dit voorbeeld wordt de NPS gebruikt als de RADIUS-server met een IP-adres van 192.168.162.12. Klik op Apply (Toepassen).

      Under Security Tab

    WLAN’s voor de clients configureren

    Configureer de serviceset-id (SSID) (WLAN) waarmee de draadloze clients verbinding maken. In dit voorbeeld maakt u de SSID en noemt u deze PEAP.

    Definieer Layer 2-verificatie als WPA2, zodat de clients EAP-gebaseerde verificatie (PEAP-MS-CHAP v2 in dit voorbeeld) uitvoeren en de geavanceerde coderingsstandaard (AES) als coderingsmechanisme gebruiken. Laat alle andere waarden op hun defaults staan.

    note-icon

    Opmerking: dit document bindt het WLAN aan de beheerinterfaces. Wanneer u meerdere VLAN’s in uw netwerk hebt, kunt u een afzonderlijk VLAN maken en het aan de SSID binden. Raadpleeg VLAN’s op draadloze LAN-controllers en configuratievoorbeeld voor informatie over het configureren van VLAN’s op WLC’s.

    Voltooi deze stappen om een WLAN op de WLC te configureren:

    1. Klik op WLAN’s vanuit de controller-interface om de WLAN-pagina weer te geven. Deze pagina maakt een lijst van de WLAN’s die op de controller bestaan.
    2. Kies Nieuw om een nieuw WLAN te maken. Voer de WLAN-id en de WLAN-SSID voor het WLAN in en klik op Toepassen.

      Select WLANs and Enter Profile Name

    3. Voltooi de volgende stappen om de SSID voor 802.1x te configureren:
      1. Klik op het tabblad Algemeen en schakel het WLAN in.

        Edit PEAP Under the General Tab

      2. Klik op de tabbladen Beveiliging > Layer 2, stel Layer 2-beveiliging in op WPA + WPA2, controleer de gewenste selectievakjes voor WPA+WPA2 Parameters (bijvoorbeeld WPA2 AES) en klik op 802.1x als verificatiesleutelbeheer.

        Set Layer 2 Security

      3. Klik op de tabbladen Beveiliging > AAA-servers, kies het IP-adres van de NPS uit de vervolgkeuzelijst Server 1 en klik op Toepassen.

        Navigate to Security and then AAA Servers Tab

    De draadloze clients voor PEAP-MS-CHAP v2-verificatie configureren

    Voltooi deze stappen om de draadloze client te configureren met de Windows Zero Config Tool om verbinding te maken met het PEAP WLAN.

    1. Klik op het pictogram Netwerk op de taakbalk. Klik op de PEAP-SSID en klik op Verbinden.

      Connect PEAP SSID

    2. De client moet nu worden verbonden met het netwerk. 

      Connect Client to Network

    3. Als de verbinding mislukt, probeert u opnieuw verbinding te maken met het WLAN. Als het probleem zich blijft voordoen, raadpleegt u de sectie Probleemoplossing.

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Als uw client geen verbinding heeft gemaakt met het WLAN, bevat deze sectie informatie die u kunt gebruiken om problemen met de configuratie op te lossen.

    Er zijn twee hulpmiddelen die kunnen worden gebruikt om 802.1x-verificatiefouten te diagnosticeren: de debug client opdracht en de Event Viewer in Windows.

    Als u een client debug van de WLC uitvoert, is het niet arbeidsintensief en heeft het geen invloed op de service. Om een debug sessie te starten, open de opdrachtregel interface (CLI) van de WLC en voer debug client mac address in, waar het mac address het draadloze mac address is van de draadloze client die geen verbinding kan maken. Terwijl dit debug looppas, probeert om de cliënt te verbinden; er moet output op CLI van WLC zijn die aan dit voorbeeld gelijkaardig kijkt:

    Output on the WLC

    Dit is een voorbeeld van een probleem dat kan optreden bij een verkeerde configuratie. Hier, de WLC debug toont de WLC is verplaatst naar de authenticatie status, wat betekent dat de WLC wacht op een reactie van de NPS. Dit is meestal te wijten aan een onjuist gedeeld geheim op de WLC of de NPS. U kunt dit bevestigen via de Windows Server Event Viewer. Als u geen logbestand vindt, heeft de aanvraag nooit bij de NPS ingediend.

    Een ander voorbeeld dat van WLC wordt gevonden zuiveren is een toegang-afwijzing. Een toegangsweigering toont aan dat de NPS de clientreferenties heeft ontvangen en geweigerd. Dit is een voorbeeld van een client die een toegangsweigering ontvangt:

    Client that Receives an Access-Reject

    Wanneer u een toegangsweigering ziet, controleert u de logbestanden op de Windows Server Event-logbestanden om te bepalen waarom de NPS op de client reageerde met een toegangsweigering.

    Een succesvolle verificatie heeft een toegang-accepteren in de client debug, zoals in dit voorbeeld:

    Successful Authentication has an Access-Accept in the Client Debug

    Als u wilt problemen oplossen met toegangsweigeringen en reactietijden, vereist het toegang tot de RADIUS-server. De WLC fungeert als een verificator die EAP-berichten doorgeeft tussen de client en de RADIUS-server. Een RADIUS-server die reageert met een toegangs-, afwijs- of responstijd, moet worden onderzocht en gediagnosticeerd door de fabrikant van de RADIUS-service.

    note-icon

    Opmerking: TAC biedt geen technische ondersteuning voor RADIUS-servers van derden. De logbestanden op de RADIUS-server verklaren echter over het algemeen waarom een clientverzoek is afgewezen of genegeerd.

    Om problemen op te lossen met toegangsweigeringen en reactieonderbrekingen van de NPS, onderzoek de NPS-logbestanden in de Windows Event Viewer op de server. 

    1. Klik op Start >Beheerdertools >Event Viewer om de Event Viewer te starten en de NPS-logbestanden te bekijken.
    2. Breid Aangepaste weergaven uit > Serverrollen > Netwerkbeleid en toegang.

      Expand New Policy and Access

    In deze sectie van de weergave Gebeurtenis zijn er logboeken met doorgegeven en mislukte verificaties. Bekijk deze logbestanden om op te lossen waarom een client geen verificatie doorgeeft. Zowel doorgegeven als mislukte authenticaties verschijnen als Informationeel. Blader door de logbestanden om de gebruikersnaam te vinden die niet is geauthenticeerd en die een toegangsweigering heeft ontvangen op basis van de WLC-debugs.

    Dit is een voorbeeld van NPS wanneer het een gebruiker toegang ontzegt:

    NPS Denies a User Access

    Wanneer u een deny verklaring in de Event Viewer herziet, onderzoek dan de sectie Verificatiedetails. In dit voorbeeld kunt u zien dat de NPS de gebruiker toegang ontzegde vanwege een onjuiste gebruikersnaam:

    NPS Denied the User Access Due to an Incorrect Username

    De Event View op de NPS helpt ook wanneer u problemen moet oplossen als de WLC geen respons terug ontvangt van de NPS.  Dit wordt meestal veroorzaakt door een onjuist gedeeld geheim tussen de NPS en de WLC.

    In dit voorbeeld, de NPS verwerpt het verzoek van WLC toe te schrijven aan een onjuist gedeeld geheim:

    NPS Discards the Request from the WLC Due to an Incorrect Shared Secret

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    3.0
    14-Mar-2023
    Bijgewerkt. Correctie. Hercertificering.
    1.0
    24-Feb-2013
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Nick Tate
      Cisco-architect voor klantlevering

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco