微软IAS接入配置手册.docVIP

目 录 第一章 IAS安装和配置 2 1.1 Microsoft IAS安装和配置 2 1.2 在AD中创建用户需要特别注意 11 1.3 IAS的动态vlan和802.1x相关配置 12 第二章 CA证书安装 15 2.1 CA证书安装 15 第三章 8021X 接入交换机配置 18  IAS安装和配置 Microsoft IAS安装和配置 安装 Microsoft IAS service 注意：IAS最新的补丁和升级包必须要打上，包括最新的service pack。  IAS配置 1、IAS 和AD结合起来（IAS在AD中注册）  2、设置 RADIUS server参数. 右键点击 Internet 验证服务（本地），选择 属性 设置radius Server 的 Authentication port: 1812,1645 Accounting port: 1813,1646 3、设置802.1x NAS：  4、创建新的远程访问策略 选择添加 选择确定 选择 客户端可以请求一个IP地址 确定 5、远程访问记录： 每天产生一个日志文件，以IAS格式进行保存 在AD中创建用户需要特别注意 在AD中创建用户需要特别注意： 远程访问权限 要设置成 允许访问 或 通过远程访问策略控制访问（建议）  IAS的动态vlan和802.1x相关配置 首先在AD上创建相应vlan group，同时把属于这个vlan的用户放到该vlan group中； 在IAS中 创建新的远程访问策略（动态vlan ），策略状况选择Windows-Groups 把AD上创建相应vlan group 对应起来。 下面以vlan23 group为例：（设置成受保护的EAP验证模式） 动态vlan 需要使用到IAS 的标准 RADIUS attributes中的以下三个属性： Tunnel-Type 064 13 (decimal) – VLAN Tunnel-Medium-Type 065 6 (decimal) – 802 Tunnel-Private-Group-ID 081 vlan-name (string) – vlan name　(注意:实际情况这里一定要vlan name，vlan id无效) Vlan23 group设置成受保护的EAP验证模式。  CA证书安装 CA证书安装 一、安装和配置企业根 CA单击“开始”，再单击“控制面版”，再单击“添加和删除程序”，然后单击“添加 Windows 组件”。在“Windows 组件向导”中，选中“证书服务”复选框。然后会出现一个对话框，通知您在证书服务安装之后计算机不能被重新命名以及计算机不能加入域或从域中删除。单击“是”。 注意： 如果要使用证书服务的 Web 组件，应单击“应用服务器”（但不要选中它的复选框）以确保“IIS”复选框已选中然后单击“详细信息”，选中“Internet 信息服务 (IIS)”，然后单击“确定”。 单击“下一步”在“CA 类型”页面上，选择“企业根 CA”，然后单击“下一步”。 ４、在“CA 信息标识”页面提供适于您的站点和组织的信息标识。 在“此 CA 的公用名称”中，输入证书颁发机构的公用名称。CA 名称（或公用名称）很重要，因为要用它来标识在 Active Directory 中创建的 CA 对象。在“有效期”中选择接受5年的默认选项，然后单击“下一步”，其中“有效期”是 CA 有效的时间，即安全和管理之间的权衡。请记住，在每次根证书到期的时候，管理员必须更新所有信任关系，并要采取一些管理性步骤把 CA 转移到新的证书上。在大多数企业环境中，通常的时间期限是 5 年或更多，但是要符合正式的 IT 策略和程序。同时向您的律师咨询，以确保 CA 配置符合所有法律要求。 在“证书数据库设置”页面，单击“下一步”接受证书数据库的默认存储路径和证书数据库日志，然后确认“将配置信息存储在共享文件夹内”没有选中。注意： 安装程序可能会给出“不能创建共享文件夹”的警告信息，这是预料中的，因为所有网络接口都已禁用。安全的做法是忽略这一警告，继续进行后面的操作。此外一定要将证书数据库和证书数据库日志存储在本地 NTFS 驱动器上。 如果 IIS 正在运行，将会有信息提示您停止该设备。单击“是”停止 IIS。必须在 Web 组件安装之前停止 IIS。 注意： 如果没有安装 IIS，则不会显示该消息，Web 注册也不可用，除非已安装 IIS。 然后，可选组件管理器将安装证书服务组件。如果需要 Windows Server 2003 安装媒体 (CD)，请将 Windows Server 2003 产品 CD 插到 CD 驱动器中。 单击“确定”