是否可以使用 WPA 企业模式而无需使用或颁发证书？

Question 1

您所谈论的是我们在多个客户站点所做的事情（包括一个学区，该学区似乎正在做您想要的事情）。

这不是一个点击指南，但如果您不介意稍微试用一下这些工具，我想您会发现它们是相当不言自明的。

IAS 服务器需要安装证书作为执行 EAP 的先决条件。如果您不介意使用自签名证书（我们到处都使用，没有出现重大问题），您可以安装 Microsoft 的证书颁发机构，IAS 计算机将自动请求证书（假设托管 IAS 的计算机已加入具有证书颁发机构的林中的域）。阅读有关最佳实践Microsoft 建议：证书颁发机构是一个好主意（特别是在创建 CA 之后不能改变的部分），但是如果您使用 CA 只是为了 EAP，那么您可能需要停用它并在需要时重新开始。

在 IAS 机器上安装证书后，您需要配置 RADIUS 服务器以接受来自无线接入点 (RADIUS 客户端) 的请求。Microsoft RADIUS 服务器 (至少在 W2K3 中) 在有效处理 DNS 查找失败方面并不是很好，因此，尽管我不愿意这么说，但我还是建议在 IAS 服务器上创建 RADIUS 客户端条目时使用 AP 的 IP 地址。“共享密钥”是 RADIUS 客户端 (AP) 用于向 RADIUS 服务器 (IAS) 进行身份验证的值。请确保在 AP 和 IAS 服务器上输入相同的密钥。

在将 AP 定义为 RADIUS 客户端后，您需要在 IAS 计算机上创建远程访问策略。内置向导可以很好地为您创建策略。基本上，您需要一个与“无线 - IEEE 802.11 或无线 - 其他”相匹配的策略，如果需要，还需要一个包含将被授予访问权限的用户（例如“域计算机”或“域用户”）的特定 Windows 组。向导可以指导您完成此过程。

创建策略后，您可以尝试手动从客户端进行连接。我在这里只讨论配置 Windows 内置的无线零配置 (ha!) 服务。如果您的 WLAN NIC 有第三方配置管理器，并且您可以删除它，我会这样做。使用内置的 Windows 服务可以大大提高 NIC 在启动期间启动并正确进行身份验证的几率（假设您在 RADIUS 策略中允许“域计算机”访问）。（我可以告诉您，我学区站点有大量无线客户端，它们从未插入有线以太网，但能够毫无问题地处理组策略等。）

Windows XP 和 Windows Vista / 7 之间的过程略有不同，但基本上我们谈论的是进入无线网络列表，添加新的 WPA-RADIUS 保护网络的 SSID（如果您要重新使用现有的 SSID，请删除旧的 SSID），并确保正确设置某些属性。“网络身份验证”应设置为您在 AP 上配置的 WPA/WPA2 和 AES/TKIP 的任何组合。（就我个人而言，如果可以的话，我会使用 WPA2-AES，但 WPA-TKIP 是最低公分母，并受较旧的客户端支持。）

在新 SSID 的身份验证属性中，确保选择“受保护的 EAP (PEAP)”作为 EAP 类型。如果客户端不是域成员，请转到 PEAP 的“属性”对话框，取消选中“验证服务器证书”，转到“选择身份验证方法”的“已配置”对话框并取消选中“自动使用我的 Windows 登录名和密码（以及域，如果有）”，然后取消选中新 SSID 的“身份验证”属性下的“当计算机信息可用时作为计算机进行身份验证”。这将强制 Windows 提示您在非域成员计算机上输入凭据。

一旦让客户端“说话”，我建议使用以下方式部署 SSID 的设置组策略这样你就不必“接触”任何客户。我爱此功能已在许多站点中得到广泛使用，并取得了巨大成功。只要允许新的域成员客户端计算机在有线网络上应用一次组策略，它就会在进入无线网络范围后“正常工作”。涅槃！

对于非 Windows 设备（iPod、Linux 上网本、Android 手机等），您必须自己完成连接配置。不过，这还不算太糟。我们已让多种设备以这种方式配置，并能顺利地验证 WLAN。

编辑：

在非域成员计算机上，您需要取消选中我上面描述的项目，以防止客户端验证服务器证书并尝试自动进行身份验证。用户必须手动提供其凭据。

关于自动将配置文件部署到非域成员客户端，您可以使用“netsh WLAN”Windows Vista 和 Windows 7 上的命令。

在 Windows XP 上，不使用组策略部署 WLAN 配置实际上与 Vista 类似，但需要安装软件。

Answer