36、Windows Server 2008：IEEE 802.1X 认证有线网络全解析

Windows Server 2008：IEEE 802.1X 认证有线网络全解析

在企业网络环境中，保障有线网络的安全性和高效性至关重要。IEEE 802.1X 认证作为一种广泛应用的网络认证标准，能够为有线网络提供强大的安全防护。下面将详细介绍如何配置和管理基于 IEEE 802.1X 认证的有线网络。

1. 802.1X 相关配置

• 配置向导与策略 ：使用“Configure 802.1X Wizard”可创建有线连接的连接请求策略和网络策略，该向导默认使用单一 EAP 方法配置有线网络策略，若需其他 EAP 方法，可在网络策略属性的“Settings”选项卡中配置。
• NPS 服务器配置复制 ：在主 NPS 服务器完成日志、RADIUS 客户端和策略设置后，需将配置复制到辅助或其他 NPS 服务器。
• 802.1X 交换机配置 ：
  • 为交换机设置静态 IPv4 地址、子网掩码和默认网关。
  • 根据需要配置 VLAN。
  • 设置 RADIUS 参数，包括主、辅 RADIUS 服务器的 IPv4/IPv6 地址或 DNS 名称、共享密钥、认证和计费的 UDP 端口以及故障检测设置。

为平衡 RADIUS 流量负载，可将一半 802.1X 交换机的主 RADIUS 服务器设为主 NPS 服务器，另一半则设为辅助 NPS 服务器。若交换机需要特定厂商属性（VSAs）或额外 RADIUS 属性，需将其添加到 NPS 服务器的有线网络策略中，并复制主 NPS 服务器配置到辅助服务器。

2. VLAN 相关配置

当使用支持 VLAN 的网络硬件时，可通过配置 NPS 网络策略，将 Active Directory 组的成员分配到特定 VLAN。具体步骤如下：
- 创建用户组 ：在 Active Directory 中创建要分配到特定 VLAN 的用户组。
- 创建网络策略 ：创建有线 NPS 网络策略时，将 Active Directory 组作为策略条件，可针对每个要分配到 VLAN 的组创建单独的 NPS 网络策略。
- 配置 RADIUS 属性 ：配置网络策略用于 VLAN 时，需配置 RADIUS 标准属性“Tunnel-Medium-Type”“Tunnel-Pvt-Group-ID”“Tunnel-Type”，部分硬件厂商还需“Tunnel-Tag”属性。可在“Configure 802.1X Wizard”的“Configure A Virtual LAN (VLAN)”页面添加和配置这些属性，具体设置如下表所示：
| 属性名称 | 设置值 |
| — | — |
| Tunnel-Medium-Type | 选择“802（包括所有 802 媒体和以太网规范格式）” |
| Tunnel-Pvt-Group-ID | 输入代表 VLAN 编号的整数，如销售 VLAN 为 4，则输入 4 |
| Tunnel-Type | 选择“Virtual LANs (VLAN)” |
| Tunnel-Tag | 部分硬件设备不需要，若需要可从硬件文档获取该值 |

若在创建网络策略后添加属性，可在 NPS 控制台的“Policies\Network Policies”节点中双击策略，右键单击并选择“Properties”，在策略属性对话框的“Settings”选项卡中添加。

3. 有线客户端配置

有线客户端可通过组策略、有线 XML 配置文件或手动配置，以下是具体操作步骤：
- 通过组策略配置 ：
1. 从运行 Windows Server 2008 且属于 Active Directory 域的计算机中，打开“Group Policy Management”管理单元。
2. 在控制台树中，依次展开“Forest”“Domains”，点击有线客户端所属的域名。
3. 在“Linked Group Policy Objects”窗格中，右键单击合适的组策略对象（默认对象为“Default Domain Policy”），选择“Edit”。
4. 在“Group Policy Management Editor”管理单元的控制台树中，展开组策略对象，导航到“Computer Configuration\Windows Settings\Security Settings\System Services”，双击“Wired AutoConfig”，在属性对话框中选中“Define This Policy Setting”复选框，选择“Automatic”，然后点击“OK”。
5. 在控制台树中，导航到“Computer Configuration\Windows Settings\Security Settings\Wired Network (IEEE 802.3) Policies”。
6. 右键单击“Wired Network (IEEE 802.3) Policies”，选择“Create A New Windows Vista Policy”。
7. 在“General”选项卡中，输入策略名称和描述，按“F1”可查看帮助信息。
8. 在“Security”选项卡中，根据需要指定 EAP 类型、认证模式等设置，按“F1”可查看帮助信息。对于 EAP - TLS 认证，选择“Smart Card Or Other Certificate”并点击“Properties”，配置相关设置后点击“OK”；对于 PEAP - MS - CHAP v2，无需额外配置，它是默认认证方法。
9. 点击“OK”。

下次 Windows Server 2008 或 Windows Vista 有线客户端更新计算机配置组策略时，组策略对象中的有线网络设置将自动应用。可通过在命令提示符下运行“gpupdate”命令手动强制更新现有组策略对象，对于新组策略对象，需重启有线客户端。应用设置后，“Network Connections”文件夹中 LAN 连接属性对话框的“Authentication”选项卡将显示“这些设置由系统管理员管理”，用户无法修改该选项卡上的设置。

• 配置和部署有线配置文件 ：可通过运行“netsh lan add profile”命令导入 XML 格式的有线配置文件来手动配置 Windows Vista 有线客户端。创建基于 XML 的有线配置文件时，先在 Windows Vista 有线客户端上配置具有所有适当设置（包括认证方法）的有线网络，然后运行“netsh lan export profile”命令将有线网络配置文件写入 XML 文件。
• 手动配置有线客户端 ：对于少量有线客户端，可手动配置 LAN 连接。Windows Server 2008 和 Windows Vista 有线客户端需通过“Wired AutoConfig”服务启用“Authentication”选项卡，该服务默认未启动，需使用“Services”管理单元启动并配置为自动启动；Windows XP 和 Windows Server 2003 有线客户端通过“Wireless Zero Configuration”服务启用“Authentication”选项卡，该服务默认启动。

手动配置 EAP - TLS 和 PEAP - MS - CHAP v2 认证的步骤如下：
- EAP - TLS 认证 ：
- Windows Server 2008 或 Windows Vista ：
1. 在“Network Connections”文件夹中，右键单击 LAN 连接，选择“Properties”。
2. 点击“Authentication”选项卡，选中“Enable IEEE 802.1X Authentication”，在“Choose A Network Authentication Method”下拉列表中选择“Smart Card Or Other Certificate”，然后点击“Settings”。
3. 在“Smart Card Or Other Certificate Properties”对话框中，选择使用基于注册表的用户证书或智能卡证书。若要验证 NPS 服务器的计算机证书，选中“Validate Server Certificate”（推荐且默认启用），若要指定执行 TLS 认证的 NPS 服务器名称，选中“Connect To These Servers”并输入名称，点击两次“OK”。
- Windows XP with SP2/SP1 或 Windows Server 2003 ：
1. 在“Network Connections”文件夹中获取 LAN 连接属性。
2. 点击“Authentication”选项卡，确保选中“Enable IEEE 802.1X Authentication For This Network”和“Smart Card Or Other Certificate EAP type”（默认选中）。
3. 点击“Properties”，在“Smart Card Or Other Certificate EAP type”属性对话框中，选择使用基于注册表的计算机和用户证书或智能卡证书。若要验证 NPS 服务器的计算机证书，选中“Validate Server Certificate”（推荐且默认启用），若要指定执行 TLS 认证的认证服务器名称，选中“Connect To These Servers”并输入名称，点击两次“OK”。
- PEAP - MS - CHAP v2 认证 ：
- Windows Server 2008 或 Windows Vista ：
1. 在“Network Connections”文件夹中，右键单击 LAN 连接，选择“Properties”。
2. 点击“Authentication”选项卡，选中“Enable IEEE 802.1X Authentication”，PEAP - MS - CHAP v2 是默认认证方法，点击“OK”。
- Windows XP with SP2/SP1 或 Windows Server 2003 ：
1. 在“Network Connections”文件夹中获取 LAN 连接属性。
2. 点击“Authentication”选项卡，选中“Enable IEEE 802.1X Authentication”，在下拉列表中选择“Protected EAP (PEAP)”作为认证类型。
3. 点击“Settings”，在“Protected EAP Properties”对话框中，选中“Validate Server Certificate”以验证 NPS 服务器的计算机证书（默认启用），若要指定执行验证的认证服务器名称，选中“Connect To These Servers”并输入名称，在“Select Authentication Method”下拉列表中点击“Secured Password (EAP - MSCHAP v2)”（默认选中），点击两次“OK”。

4. 维护与管理

• 用户和计算机账户管理 ：在 Active Directory 中创建允许有线访问的新用户或计算机账户时，将其添加到有线连接的适当组中，如“WiredAccounts”安全组。删除账户时，无需额外操作以阻止其进行有线连接。可根据需要创建额外的通用安全组和网络策略，为不同用户集配置有线网络访问权限。
• 802.1X 交换机管理 ：
  • 添加交换机 ：按“Configuring 802.1X - Capable Switches”的步骤添加新交换机，并将其作为 RADIUS 客户端添加到 NPS 服务器。
  • 移除交换机 ：更新 NPS 服务器配置，移除该交换机作为 RADIUS 客户端。
  • NPS 服务器变更配置 ：确保新 NPS 服务器配置相应的 RADIUS 客户端和有线访问网络策略，并根据需要更新 802.1X 交换机的配置。
• 更新有线 XML 配置文件 ：
  1. 使用 Windows Server 2008 或 Windows Vista 有线客户端运行“netsh lan export profile”命令创建更新后的 XML 配置文件。
  2. 通过脚本或其他方法执行“netsh lan add profile”命令将 XML 配置文件导入有线客户端。

以下是 802.1X 认证有线网络配置与管理的流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B(802.1X相关配置):::process
    B --> B1(配置向导与策略):::process
    B --> B2(NPS服务器配置复制):::process
    B --> B3(802.1X交换机配置):::process
    B3 --> B31(设置静态IP等):::process
    B3 --> B32(配置VLAN):::process
    B3 --> B33(设置RADIUS参数):::process
    B --> C(VLAN相关配置):::process
    C --> C1(创建用户组):::process
    C --> C2(创建网络策略):::process
    C --> C3(配置RADIUS属性):::process
    C3 --> C31(设置Tunnel-Medium-Type):::process
    C3 --> C32(设置Tunnel-Pvt-Group-ID):::process
    C3 --> C33(设置Tunnel-Type):::process
    C3 --> C34(设置Tunnel-Tag):::process
    B --> D(有线客户端配置):::process
    D --> D1(通过组策略配置):::process
    D1 --> D11(打开管理单元):::process
    D1 --> D12(选择域名):::process
    D1 --> D13(编辑组策略):::process
    D1 --> D14(配置Wired AutoConfig):::process
    D1 --> D15(创建新策略):::process
    D1 --> D16(设置策略属性):::process
    D1 --> D17(配置认证方法):::process
    D --> D2(配置和部署有线配置文件):::process
    D2 --> D21(创建XML文件):::process
    D2 --> D22(导入XML文件):::process
    D --> D3(手动配置有线客户端):::process
    D3 --> D31(启用服务):::process
    D3 --> D32(配置EAP-TLS认证):::process
    D3 --> D33(配置PEAP-MS-CHAP v2认证):::process
    B --> E(维护与管理):::process
    E --> E1(用户和计算机账户管理):::process
    E --> E2(802.1X交换机管理):::process
    E2 --> E21(添加交换机):::process
    E2 --> E22(移除交换机):::process
    E2 --> E23(变更NPS服务器配置):::process
    E --> E3(更新有线XML配置文件):::process
    E3 --> E31(创建更新文件):::process
    E3 --> E32(导入更新文件):::process
    E --> F([结束]):::startend

通过以上步骤和方法，可有效配置、管理和维护基于 IEEE 802.1X 认证的有线网络，确保网络的安全性和稳定性。

Windows Server 2008：IEEE 802.1X 认证有线网络全解析

5. 故障排除

在使用 IEEE 802.1X 认证的有线网络过程中，可能会遇到各种问题，下面介绍一些常见的故障排除工具和方法。

5.1 故障排除工具

• TCP/IP 故障排除工具 ：Ping、Tracert 和 Pathping 工具利用 ICMP Echo 和 Echo Reply 以及 ICMPv6 Echo Request 和 Echo Reply 消息来验证连接性、显示到目的地的路径并测试路径完整性；Route 工具可用于显示 IPv4 和 IPv6 路由表；Nslookup 工具可用于解决 DNS 名称解析问题。
• 网络连接文件夹 ：在“网络连接”文件夹中双击有线连接，可在“常规”选项卡查看链接速度等信息，点击“详细信息”可查看 TCP/IP 配置。若有线适配器分配到 169.254.0.0/16 范围内的自动专用 IP 地址（APIPA）或配置的备用 IPv4 地址，说明有线客户端已连接到 802.1X 交换机，但认证失败或 DHCP 服务器不可用。
• Netsh lan 命令 ：可运行以下 netsh lan 命令收集故障排除信息：
  | 命令 | 功能 |
  | — | — |
  | netsh lan show interfaces | 显示已安装的 LAN 适配器信息以及连接设备是否支持 802.1X 认证 |
  | netsh lan show profiles | 显示组策略和本地有线配置文件 |
  | netsh lan show settings | 显示 Wired AutoConfig 服务状态 |
  | netsh lan show tracing | 显示有线跟踪状态 |

要访问有线诊断日志，可按以下步骤操作：
1. 在“事件查看器”管理单元中，展开“应用程序和服务日志\Microsoft\Windows\Wired - AutoConfig”。
2. 点击“操作”。
3. 在内容窗格中查看有线诊断会话的事件。

5.2 生成诊断报告和跟踪文件

生成 Microsoft 有线诊断报告的步骤如下：
1. 在“管理工具”文件夹中，点击“计算机管理”。
2. 在“计算机管理”控制台中，展开“可靠性和性能\数据收集器集\系统\LAN 诊断”。
3. 右键单击“LAN 诊断”，选择“开始”。
4. 注销并重新登录网络，或重现错误条件。
5. 返回“计算机管理”控制台，展开“可靠性和性能\数据收集器集\系统\LAN 诊断”，右键单击“LAN 诊断”，选择“停止”以停止有线诊断跟踪。
6. 在“可靠性和性能”中，展开“报告\系统\LAN 诊断”，然后点击“有线”打开 Microsoft 有线诊断报告的顶级页面。

若要打开有线跟踪日志，可在 Microsoft 有线诊断报告中展开“有线网络故障排除信息”，然后打开“有线跟踪”。最有用的日志包括：
- OneX Trace
- Msmsec Trace
- Wired Auto - Configuration Service Trace

除了有线诊断跟踪，Windows Server 2008 和 Windows Vista 还支持对远程访问连接管理器和路由与远程访问服务组件进行跟踪。可使用 Netsh 工具启用和禁用跟踪，命令如下：
- 启用或禁用特定组件跟踪： netsh ras diagnostics set rastracing component enabled|disabled ，其中 component 是注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing”下的组件列表中的组件。
- 启用所有组件跟踪： netsh ras diagnostics set rastracing * enabled
- 禁用所有组件跟踪： netsh ras diagnostics set rastracing * disabled

跟踪日志文件存储在 %SystemRoot%\Tracing 文件夹中，对于有线认证，最有用的日志文件是 Svchost_rastls.log（记录 TLS 认证活动）和 Svchost_raschap.log（记录 MS - CHAP v2 认证活动）。

5.3 NPS 相关日志

• NPS 认证和计费日志 ：默认情况下，NPS 支持将有线连接的认证和计费信息记录到本地日志文件中，该日志与 Windows 日志\安全事件日志分开。可在“网络策略服务器”管理单元的“计费”节点中配置 NPS 认证和计费日志选项。认证和计费信息存储在 %SystemRoot%\System32\LogFiles 文件夹中的可配置日志文件中，日志文件以 Internet 认证服务（IAS）或数据库兼容格式保存，任何数据库程序都可直接读取日志文件进行分析。NPS 还可将认证和计费信息发送到 Microsoft SQL Server 数据库。
• NPS 事件日志 ：检查 NPS 服务器上的 Windows 日志\安全事件日志，查找对应于拒绝（事件 ID 6273）或接受（事件 ID 6272）连接尝试的 NPS 事件。NPS 事件日志条目包含大量连接尝试信息，包括匹配连接尝试的连接请求策略名称（事件描述中的“代理策略名称”字段）和接受或拒绝连接尝试的网络策略名称（事件描述中的“网络策略名称”字段）。NPS 对拒绝或接受连接尝试的事件日志记录默认启用，可在“网络策略服务器”管理单元中 NPS 服务器的属性对话框的“服务”选项卡中配置。可通过“事件查看器”管理单元查看 NPS 事件，查看此日志是获取失败认证信息的最有用方法之一。
• SChannel 日志 ：安全通道（SChannel）日志用于记录系统事件日志中 SChannel 事件的详细信息，默认仅记录 SChannel 错误消息。要记录错误、警告、信息性和成功事件，需将注册表值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\EventLogging 设置为 4（DWORD 值类型）。启用 SChannel 日志记录所有事件后，可获取更多关于 NPS 服务器上证书交换和验证过程的信息。

5.4 其他工具

• SNMP 代理 ：可使用 Windows Server 2008 附带的简单网络管理协议（SNMP）代理软件从 SNMP 控制台监控 NPS 服务器的状态信息。NPS 支持 RADIUS 认证服务器 MIB（RFC 2619）和 RADIUS 计费服务器 MIB（RFC 2621），可在“服务器管理器”控制台的“功能”中安装可选的 SNMP 服务。SNMP 代理可与现有的基于 SNMP 的网络管理基础设施结合使用，以监控 NPS RADIUS 服务器或代理。
• 可靠性和性能管理单元 ：可使用“可靠性和性能”管理单元监控计数器、创建日志并为特定 NPS 组件和程序进程设置警报，还可使用图表和报告确定服务器使用 NPS 的效率，识别和解决潜在问题。可监控的 NPS 相关性能对象包括：
  • NPS Accounting Clients
  • NPS Accounting Proxy
  • NPS Accounting Server
  • NPS Authentication Clients
  • NPS Authentication Proxy
  • NPS Authentication Server
  • NPS Policy Engine
  • NPS Remote Accounting Servers
  • NPS Remote Authentication Servers

以下是故障排除的流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px

    A([开始]):::startend --> B(选择故障排除工具):::process
    B --> B1(TCP/IP故障排除工具):::process
    B --> B2(网络连接文件夹):::process
    B --> B3(Netsh lan命令):::process
    B --> B4(生成诊断报告和跟踪文件):::process
    B --> B5(NPS相关日志):::process
    B5 --> B51(NPS认证和计费日志):::process
    B5 --> B52(NPS事件日志):::process
    B5 --> B53(SChannel日志):::process
    B --> B6(其他工具):::process
    B6 --> B61(SNMP代理):::process
    B6 --> B62(可靠性和性能管理单元):::process
    B1 --> C(分析结果):::process
    B2 --> C
    B3 --> C
    B4 --> C
    B51 --> C
    B52 --> C
    B53 --> C
    B61 --> C
    B62 --> C
    C --> D{是否解决问题}:::decision
    D -->|是| E([结束]):::startend
    D -->|否| B

通过以上介绍的工具和方法，可逐步排查和解决 IEEE 802.1X 认证有线网络中出现的各种问题，确保网络的稳定运行。