無線存取部署規劃

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

在部署無線存取之前,您必須規劃下列項目:

  • 在您的網路上安裝無線存取點 (AP)

  • 無線用戶端設定與存取

下列各節將提供這些規劃步驟的詳細資訊。

規劃無線存取點安裝

當您設計無線網路存取解決方案時,必須執行下列動作:

  1. 決定無線存取點必須支援哪些標準
  2. 決定您想要提供無線服務的涵蓋範圍區域
  3. 判斷您想要尋找無線 IP 的位置

此外,您必須規劃無線存取點和無線用戶端的 IP 位址配置。 如需相關資訊,請參閱以下規劃 NPS 中無線存取點的設定一節。

確認無線存取點支援標準

為了一致性和便於部署及存取點管理,建議您部署相同品牌和機型的無線 AP。

您部署的無線存取點必須支援下列標準:

  • IEEE 802.1X

  • RADIUS 驗證

  • 無線驗證和加密。 依最不慣用的順序列出:

    1. WPA2-Enterprise with AES

    2. WPA2-Enterprise with TKIP

    3. WPA-Enterprise with AES

    4. WPA-Enterprise with TKIP

注意

若要部署 WPA2,您必須使用也支援 WPA2 的無線網路介面卡和無線 AP。 否則,使用 WPA-Enterprise。

此外,若要為網路提供增強的安全性,無線存取點必須支援下列安全性選項:

  • DHCP 篩選。 無線存取點必須篩選 IP 連接埠,以防止在將無線用戶端設定為 DHCP 伺服器的情況下傳輸 DHCP 廣播訊息。 網路存取點必須封鎖用戶端從連接埠 68 傳送 IP 封包到網路。

  • DNS 篩選。 網路存取點必須篩選 IP 連接埠,以防止用戶端執行為 DNS 伺服器。 網路存取點必須封鎖用戶端從 TCP 或 UDP 連接埠 53 傳送 IP 封包到網路。

  • 用戶端隔離 如果您的無線存取點提供用戶端隔離功能,您應該啟用此功能,以防止可能的位址解析通訊協定 (ARP) 詐騙惡意探索。

識別無線使用者的涵蓋區域

針對每個建築物使用每個樓層的建築繪圖,識別您想要提供無線涵蓋的區域。 例如,識別適當的辦公室、會議室、大廳、自助餐廳或庭院。

在繪圖上,指出任何干擾無線訊號的裝置,例如醫療設備、無線攝影機、在 2.4 到 2.5 GHz 工業、科學和醫學 (ISM) 範圍內運作的無線電話,以及藍牙啟用裝置。

在繪圖上,標記可能會干擾無線訊號的建築物層面:用於建築施工的金屬物體可能會影響無線訊號。 例如,下列常見物件可能會干擾訊號傳播:電梯、暖氣和空調管道,以及混凝土支撐梁。

如需可能導致無線存取點無線電頻率衰減的來源相關資訊,請參閱您的存取點製造商。 大部分的存取點都提供測試軟體,可讓您用來檢查訊號強度、錯誤率和資料輸送量。

判斷安放無線存取點的位置

在建築繪圖上找出無線存取點的位置,這些存取點應足夠接近,以提供充足的無線涵蓋範圍,但又要保持足夠的距離,以免互相干擾。

存取點之間的必要距離取決於存取點和存取點天線的類型、封鎖無線訊號的建築物層面,以及其他干擾來源。 您可以標記無線存取點位置,讓每個無線存取點與任何相鄰的無線存取點距離不超過 300 英呎。 如需放置的存取點規格和指導方針,請參閱無線存取點製造商的文件。

在建築繪圖上指定的位置暫時安裝無線存取點。 然後,使用配備 802.11 無線介面卡的膝上型電腦,以及通常隨附無線介面卡的場地調查軟體,決定每個涵蓋區域內的訊號強度。

在訊號強度偏低的涵蓋區域中,將存取點放在能改善涵蓋區域訊號強度的位置,安裝額外的無線存取點,以提供必要的涵蓋範圍、重新放置或移除訊號干擾的來源。

更新您的建築繪圖,指出所有無線存取點的最終位置。 擁有精確的存取點放置圖,確實有助於之後的疑難排解作業,或當您想要升級或更換存取點時。

規劃無線存取點和 NPS RADIUS 用戶端設定

您可以使用 NPS 設定個別或群組的無線存取點。

如果您要部署包含許多存取點的大型無線網路,以群組方式設定存取點會更輕鬆。 若要將存取點新增為 NPS 中的 RADIUS 用戶端群組,您必須使用這些屬性來設定存取點。

  • 無線存取點需設定為相同 IP 位址範圍內的 IP 位址。

  • 無線設定全都設定使用相同的共用密碼。

規劃使用 PEAP 快速重新連線

在 802.1X 基礎架構中,無線存取點設定為 RADIUS 伺服器的 RADIUS 用戶端。 部署 PEAP 快速重新連線時,在兩個以上的存取點之間漫遊的無線用戶端不需要在建立每個新關聯時進行驗證。

PEAP 快速重新連線可減少用戶端與驗證器之間驗證的回應時間,因為驗證要求會從新存取點轉送到原先執行用戶端連線要求驗證和授權的 NPS 伺服器。

因為 PEAP 用戶端與 NPS 伺服器皆使用先前快取的傳輸層安全性 (TLS) 連線內容 (此集合稱為 TLS 控制碼),所以 NPS 伺服器可以快速決定用戶端已授權為重新連線。

重要

若要使快速重新連線可以正常運作,必須將存取點設定為相同 NPS 的 RADIUS 用戶端。

如果原始 NPS 變成無法使用,或用戶端移至設定為不同 RADIUS 伺服器的 RADIUS 用戶端的存取點,則用戶端與新的驗證器之間必須進行完整驗證。

無線存取點設定

下列清單摘要說明支援 802.1X 的無線存取點上通常會設定的項目:

注意

項目名稱可能會因品牌和型號而有所不同,且可能會與下列清單中的不同。 如需設定特定詳細資料,請參閱無線存取點的文件。

  • 服務組識別元 (SSID)。 此為無線網路的名稱 (例如 ExampleWlan),以及向無線用戶端廣播的名稱。 為了減少混淆,您選擇廣播的 SSID 不應符合任何無線網路在無線網路接收範圍內廣播的 SSID。

    如果多個無線存取點部署為相同無線網路的一部分,請使用相同的 SSID 來設定每個無線存取點。 如果多個無線存取點部署為相同無線網路的一部分,請使用相同的 SSID 來設定每個無線存取點。

    如果您需要針對特定業務需求部署不同的無線網路,您在一個網路上的無線存取點所廣播的 SSID 應不同於其他網路的 SSID。 例如,如果您需要為員工和訪客設定個別的無線網路,您可以將公司網路的 SSID 設定為廣播 ExampleWLAN 的無線存取點。 針對訪客網路,您可以將每個無線存取點的 SSID 設定為廣播 GuestWLAN。 如此一來,您的員工和訪客就可以連線到預定的網路,而不會造成不必要的混淆。

    提示

    部分無線存取點能廣播多個 SSID,以容納多重網路部署。 可以廣播多個 SSID 的無線存取點可以降低部署和作業維護成本。

  • 無線驗證與加密

    無線驗證是無線用戶端與無線存取點建立關聯時使用的安全性驗證。

    無線加密是用於無線驗證的安全性加密,可保護無線存取點與無線用戶端之間傳送的通訊。

  • 無線存取點 IP 位址 (靜態)。 在每個無線存取點上,設定唯一的靜態 IP 位址。 如果子網路是由 DHCP 伺服器提供服務,請確定所有存取點 IP 位址都落在 DHCP 排除範圍內,讓 DHCP 伺服器不會嘗試向另一部電腦或裝置發出相同的 IP 位址。 排除範圍記載於核心網路指南中的「建立和啟用新的 DHCP 領域」程序。 如果您打算依 NPS 中的群組將存取點設定為 RADIUS 用戶端,群組中的每個存取點都必須有來自相同 IP 位址範圍的 IP 位址。

  • DNS 名稱。 您可以使用 DNS 名稱來設定部分無線存取點。 使用唯一的名稱設定每個無線存取點。 例如,如果您在多層建築中部署了無線存取點,您可能會將部署在三樓的前三個無線存取點命名為 AP3-01、AP3-02 和 AP3-03。

  • 無線存取點子網路遮罩。 設定遮罩以指定 IP 位址的哪個區段是網路識別碼,以及 IP 位址的哪個區段是主機。

  • 存取點 DHCP 服務。 如果無線存取點內建 DHCP 服務,請停用服務。

  • RADIUS 共用密碼。 除非您打算在群組中設定 NPS RADIUS 用戶端,否則請針對每個無線存取點使用唯一的 RADIUS 共用密碼 – 在此情況下,您必須為群組中的所有存取點設定相同的共用密碼。 共用密碼應該是至少 22 個字元、混合大寫和小寫字母、數字和標點符號的隨機順序。 若要確保隨機性,您可以使用隨機字元產生程式來建立共用密碼。 建議記錄每個無線存取點的共用密碼,並將其存放在安全的地方,例如辦公室的保險箱。 當您在 NPS 主控台中設定 RADIUS 用戶端時,您將建立每個存取點的虛擬版本。 您在 NPS 中每個虛擬存取點上設定的共用密碼,必須符合實際實體存取點上的共用密碼。

  • RADIUS 伺服器 IP 位址。 輸入您想要用來驗證和授權此存取點之連線要求的 NPS 的 IP 位址。

  • UDP 連接埠。 NPS 預設會使用 UDP 連接埠 1812 和 1645 來傳送 RADIUS 驗證訊息,並使用 UDP 連接埠 1813 和 1646 來傳送 RADIUS 帳戶處理訊息。 建議不要變更預設 RADIUS UDP 連接埠設定。

  • VSA。 部分無線存取點需要廠商特定屬性 (VSA) 才能提供完整的無線存取點功能。

  • DHCP 篩選。 請設定無線存取點,使無線用戶端無法將 IP 封包從 UDP 連接埠 68 傳送至網路。 請參閱無線存取點文件以設定 DHCP 篩選。

  • DNS 篩選。 請設定無線存取點,使無線用戶端無法將 IP 封包從 UDP 連接埠 53 傳送至網路。 請參閱無線存取點文件以設定 DNS 篩選。

規劃無線用戶端的設定與存取

規劃部署 802.1X 驗證的無線存取時,您必須考慮數個用戶端特定因素:

  • 規劃支援多個標準

    判斷您的無線電腦是否全都使用相同的 Windows 版本,或電腦是否混合執行不同的作業系統。 如果不同,請確定您瞭解作業系統所支援標準的任何差異。

    判斷所有無線用戶端電腦上的所有無線網路介面卡是否都支援相同的無線標準,或您是否需要支援不同的標準。 例如,判斷某些網路介面卡硬體驅動程式是否支援 WPA2-Enterprise 和 AES,而其他驅動程式則僅支援 WPA-Enterprise 和 TKIP。

  • 規劃用戶端驗證模式。。 驗證模式定義 Windows 用戶端如何處理網域憑證。 您可以在無線網路原則中選取下列三種網路驗證模式。

    1. 使用者重新驗證。 此模式指定一律使用以電腦目前狀態為基礎的安全性憑證來執行驗證。 當沒有任何使用者登入電腦時,驗證是透過使用電腦認證來執行。 當有使用者登入電腦時,一律透過使用者憑證來執行驗證。

    2. 僅有電腦。 僅有電腦模式指定驗證一律只使用電腦憑證來執行。

    3. 使用者驗證。 使用者驗證模式指定只有在使用者登入電腦時,才會執行驗證。 當沒有任何使用者登入電腦時,不會執行驗證嘗試。

  • 規劃無線限制。 判斷是否要為所有無線使用者提供相同的無線網路存取層級,或是否要限制某些無線使用者的存取。 您可以在 NPS 中對特定無線使用者群組套用限制。 例如,您可以定義允許特定群組存取無線網路的特定天數和時數。

  • 規劃新增無線電腦的方法。 針對在部署無線網路之前加入網域的無線電腦,如果電腦連線到不受 802.1X 保護的有線網路區段,則在網域控制器上設定無線網路 (IEEE 802.11) 原則且無線用戶端重新整理群組原則後將自動套用無線設定。

    不過,對於尚未加入網域的電腦,您必須規劃方法來套用 802.1X 驗證存取所需的設定。 例如,使用下列其中一種方法,判斷您是否要將電腦加入網域。

    1. 將電腦連線到不受 802.1X 保護的有線網路區段,然後將電腦加入網域。

    2. 為您的無線使用者提供他們新增自己的無線啟動程序設定檔所需的步驟和設定,讓他們能將電腦加入網域。

    3. 指派 IT 人員,將無線用戶端加入網域。

規劃支援多個標準

群組原則中的無線網路 (IEEE 802.11) 原則延伸提供各種不同的設定選項,可支援各種部署選項。

您可以部署設定您想要支援的標準的無線存取點,然後在無線網路 (IEEE 802.11) 原則中設定多個無線設定檔,在每個設定檔指定一組您需要的標準。

例如,如果您的網路有支援 WPA2-Enterprise 和 AES 的無線電腦、支援 WPA-Enterprise 和 AES 的其他電腦,以及僅支援 WPA-Enterprise 和 TKIP 的其他電腦,您必須判斷是否要:

  • 使用所有電腦皆支援的最弱加密方法,在此案例中為 WPA-Enterprise 和 TKIP,設定支援所有無線電腦的單一設定檔。
  • 設定兩個設定檔,提供受到每個無線電腦支援的最佳安全性。 在此例中,您會設定一個設定檔來指定最增強式加密 (WPA2-Enterprise 和 AES),以及一個使用較弱 WPA-Enterprise 和 TKIP 加密的設定檔。 在此範例中,您必須將使用 WPA2-Enterprise 和 AES 的設定檔放在最高的喜好設定順序。 無法使用 WPA2-Enterprise 和 AES 的電腦將自動跳至喜好設定順序中的下一個設定檔,並處理指定 WPA-Enterprise 和 TKIP 的設定檔。

重要

您必須將具有最高安全標準的設定檔放在設定檔排序清單中較高的位置,因為連接電腦會使用能使用的第一個設定檔。

規劃限制對無線網路的存取

在許多情況下,您可能會想要為無線使用者提供不同層級的無線網路存取權。 例如,您可能想要允許部分使用者在一周中每一天任何時段都能不受限制地存取。 至於其他使用者,您可能只想允許其在星期一到星期五的核心時段存取,並在星期六和星期日拒絕存取。

本指南提供建立存取環境的指示,以將您所有無線使用者放入可共同存取無線資源的群組之中。 您會在 Active Directory 使用者和電腦嵌入式管理單元中建立一個無線使用者安全性群組,然後將您想要授予無線存取權的每位使用者設為群組成員。

當您設定 NPS 網路原則時,您會將無線使用者安全性群組指定為 NPS 在判斷授權時處理的物件。

不過,如果您的部署需要支援不同層級的存取權,您只需要執行下列動作:

  1. 建立多個無線使用者安全性群組,以在 Active Directory 使用者和電腦中建立其他無線安全性群組。 例如,您可以建立一個使用者有完整存取權的群組、一個使用者只能在一般工作時間存取的群組,並建立其他符合您需求之其他條件的群組。

  2. 將使用者新增至您所建立適當的安全性群組。

  3. 為每個額外的無線安全性群組設定其他 NPS 網路原則,並設定原則,以套用每個群組所需的條件和條件約束。

規劃新增無線電腦的方法

將新無線電腦加入網域,然後登入網域的偏好方式,是使用有線連線連線到可存取網域控制站且不受 802.1X 驗證乙太網路交換器保護的 LAN 區段。

但在某些情況下,要使用有線連線將電腦加入網域,或要使用者使用已加入網域的電腦透過有線連線進行第一次的登入嘗試,這些作法並不實際。

若要使用無線連線將電腦加入網域,或要使用者使用已加入網域的電腦和無線連線第一次登入網域,無線用戶端必須先使用下列其中一種方法在具有網路網域控制器存取權的區段上建立與無線網路的連線。

  1. IT 人員的成員會將無線電腦加入網域,並設定單一登入啟動程序無線設定檔。 使用此方法時,IT 系統管理員會將無線電腦連線到有線的乙太網路,然後將電腦加入網域。 接下來,系統管理員會再將電腦分配給使用者。 當使用者啟動電腦時,會使用以手動方式指定用於使用者登入程序的網域憑證與無線網路建立連線以及登入該網域。

  2. 使用者以啟動程序無線設定檔手動設定無線電腦,然後加入網域。 使用此方法時,使用者會根據 IT 系統管理員的指示,以啟動程序無線設定檔手動設定其無線電腦。 啟動程序無線設定檔可讓使用者建立無線連線,然後將電腦加入網域。 將電腦加入網域並重新啟動電腦後,使用者便可以使用無線連線及其網域帳戶憑證來登入網域。

若要部署無線存取,請參閱無線存取部署