Windows server 2008 AD + RADIUS + 802.1X认证配置

利用Win2008 NPS实现802.1X验证【声明】1.本文档为免费文档，请勿用作商业用途。

2.虽然本人企图避免错误的发生，但由于水平及理解能力的影响，文档中还是可能存在错误。

如果发现文档中的错误，请发邮件通知我：@163.c3.先在此向发现问题并通知作者的同仁表示感谢，希望大家多交流。

4.欢迎大家将此文档相互传播，请勿对文档内容进行修改。

5.对于使用本文档中的内容，对您的系统，网络进行配置时可能引起的故障及错误，作者本人不负任何责任。

6.以上说明条款不具有强制性，目的是为了大家得到更好帮助，能够共享技术。

对于不遵守以上条款的人，我除了BS，别无他法。

————————————————————————————————利用Windows Server 2008的功能组件NPS（Ne Po AcSe)和支持802.1X协议的Ci2950交换机，客户端证书，可以很方便的实现NAC（)。

因为以前一直是使用的Ci ACS s实现的NAC,自从MS 的2008发布以来，看到2008有NPS的功能，而且可以实现802.1X网络验证，所以就在网上搜索了很长时间，除了可以从微软的官方网站搜到一下文档外，国内关于NPS的介绍，最多的就是NPS如何和DHCP功能配合使用，却没有任何文档写到如何利用NPS和交换机实现802.1X网络验证，前一段时间，一直在研究这方面的东西，所以写篇文档，希望能给大家有所参考。

首先，如果不明白什么是NAC的话，那么请。

其次，对于Ci交换机的配置，如果不会配置，请Go。

还有，如果对于不熟悉的，还是上面的话。

1：所需要的软硬件环境客户端，在2和3中，对于802.1X协议的支持，有所不同，在SP2中，就一个服务：，升级到SP3之后，就多了一个服务，和原来的分别对应有线和无线网络。

在启动这2个服务后，在本地网络连接的属性里面就有：服务器端：1.Windows CA服务器，我是使用的windows server 2003，用于发放客户端的用户证书和服务器的计算机证书。

Windows系统启用802.1X认证1开启802.1x认证服务1.1Win7、win10都可以使用此方法电脑键盘上按win+r 输入services.msc打开电脑服务设置。

启用有线和无线的802.1X认证服务。

分别开启wired autoconfig（有线802.1x认证服务）和WLAN autoconfig（无线802.1x 服务）服务。

2开启802.1x认证1、选择“开始>控制面板”。

2、在“控制面板”选择“网络和Internet >网络和共享中心”（控制面板的“查看方式”选择“类别”时可显示“网络和Internet”）。

3、单击本地连接，选择“属性”。

4、在“身份验证”页签，选中“启用IEEE802.1X身份验证”，“选择网络身份验证方法”选择“PEAP”。

单击“设置”。

5、取消选中“验证服务器证书”，“选择身份验证方法”选择“安全密码(EAP-MSCHAP v2)”，并在右侧单击“配置”。

6、取消选中“自动使用Windows登录名和密码”，单击“确定”。

说明：如果操作系统使用AD域帐号登录，并且用来进行802.1X认证的用户名和密码也是使用的登录操作系统的域帐号和密码，则勾选“自动使用Windows登录名和密码”。

7、等待Windows弹出认证框，即可输入用户名和密码进行认证。

3身份认证开启802.1X认证后，在接入有线网时会弹出认证界面，输入用户名和密码进行认证，才可以访问网络。

4XP系统添加网络身份认证1、首先点击开始按钮，打开运行，输入“regedit”，即打开注册表编辑器2、然后在注册表编辑器中依次找到以下子项：“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”；3、接着双击右侧窗格中的“Security Packages”，即打开“编辑多字符串”对话框；4、然后在列表框中添加“tspkg”的内容(有的内容不用更改)。

Win2008 Server R2安装与配置主备AD域AD域简介活动目录（Active Directory），又俗称AD域，是面向服务器操作系统的目录服务。

安装环境：Windows系统：Win2008 R2(2台)主域IP：192.168.179.11备域IP：192.168.179.12一、主域安装1.1、运行打开dcpromo命令回车1.2、操作系统兼容性1.3、选择在林中新建域选项1.4、出错运行下面一条命令dos界面输入net user administrator /passwordreq:yes命令回车1.5、填入域的名称1.6、设置林功能级别选择林的功能级别Windows Server 2008 R21.7、其它域控制器选项1.8、数据库、日志文件和SYSVOL的位置默认，下一步1.9、目录服务还原模式的Administrator密码输入2次相同的密码，下一步1.10、摘要1.11、正在安装组策略控制台1.12、完成Active Directory域服务安装向导1.13、立即重新启动1.14、完成域的安装二、备域安装2.1、配置首选DNS服务器的IP为主域的IP地址2.2、搜索dcpromo，使用管理员运行2.3、Active Directory 域服务安装向导2.4、操作系统兼容性2.5、选择某一部署配置选择现有林-->向现有域添加域控制器2.6、网络凭据填入域（参考主域填）2.7、网络凭据验证备用凭据-->设置，填入主域管理员帐号和密码2.8、填入主域的名称2.9、选择域2.10、请选择一个站点默认选择2.11、其它域控制器选项默认选择，下一步2.12、数据库、日志文件和SYSVOL的位置2.13、目录服务还原模式的Administrator密码输入不能与域管理员的密码，下一步2.14、摘要2.15、配置安装域中勾上完成后重新启动2.16、完成备域安装。

部署windows server 2008只读域控制器只读域控制器(RODC) 是Windows Server? 2008 操作系统中的一种新类型的域控制器。

借助RODC，组织可以在无法保证物理安全性的位置中轻松部署域控制器。

RODC 承载Active Directory(R) 域服务(AD DS) 数据库的只读分区。

RODC的作用？由于RODC 是只读的，并且其他域控制器不从其进行复制，它们会出现一些异常的行为。

例如，延迟对象（即，因为DC 的复制时间不能长于林的生存周期，所以除了特殊的DC，该类对象已从其他位置删除）通常由DC 的出站复制伙伴检测。

但是，由于RODC 没有入站复制伙伴，因而它们不会检测延迟对象。

如果林中其他域的用户试图向RODC 验证，RODC 必须能够访问其所在域的完全DC 来获取信任密码，以便将验证请求正确传递给用户域中的DC。

如果在其域中RODC 和完全DC 之间的网络连接不可用，验证将失败。

RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。

但是，您的组织也可选择根据特殊管理要求部署RODC。

例如，行业(LOB) 应用程序只有在安装在域控制器上的情况下，才可以成功运行。

或者，域控制器可能是分支机构中唯一的服务器，并且可能必须承载服务器应用程序。

在这种情况下，LOB 应用程序的所有者必须经常以交互方式登录到域控制器，或使用终端服务配置和管理应用程序。

此情况产生了在可写域控制器上可能无法接受的安全风险。

RODC 为在此方案中部署域控制器提供了更安全的机制。

您可以向非管理域用户授予登录到RODC 的权限，同时最小化Active Directory 林的安全风险。

还可以在其他方案中部署RODC。

下面我就来部署一下windows server 2008只读域控制器，部署windows server 2008只读域控制器我选择了两台电脑，server1和server2，server 1 为DNS服务器，域控制器，IP：192.168.1.10；ser ver2为只读域控制器，IP：192.168.1.11，DNS：192.168.1.10注意：两台电脑的操作系统必须是windows server 2008操作系统一、查看林功能、与功能级别在server1计算机上操作。

Windows 2008 R2域控制器端口Windows Server 2008 R2域服务器上应该至少打开的端口。

一台Windows Server 2008 R2域服务器，启用了“文件服务”、“AD LDS”、“DNS Server”、“DHCP Server”，需要在防火墙中去打开特定端口才能为客户提供服务吗？如果需要，是否有端口列表？回答：作为Windows Server 2008 R2域服务器，我们需要配置防火墙开启下面的端口，如果该服务器也是一台DHCP 的话，您还需要在开启UDP 67 和68端口： Possible Rule name Description Port PathActive Directory Domain Controller – LDAP (TCP-In) Inbound rule for the Active Directory Domain Controllerservice to allow remote LDAP traffic. (TCP 389)389 %systemroot%\System32\lsass.exeActive Directory Domain Controller – LDAP (UDP-In) Inbound rule for the Active Directory Domain Controllerservice to allow remote LDAP traffic. (UDP 389)389 %systemroot%\System32\lsass.exeActive Directory Domain Controller – LDAP for Global Catalog (TCP-In) Inbound rule for the Active Directory Domain Controller service to allow remoteGlobal Catalog traffic. (TCP 3268)3268 %systemroot%\System32\lsass.exeActive Directory Inbound rule for the Active138 SystemDomain Controller – NetBIOS name resolution (UDP-In) Directory Domain Controller service to allow NetBIOSnameresolution. (UDP 138)Active Directory Domain Controller – SAM/LSA (NP-TCP-In) Inbound rule for the Active Directory Domain Controller service to beremotely managed over Named Pipes. (TCP 445)445 SystemActive Directory Domain Controller – SAM/LSA (NP-UDP-In) Inbound rule for the Active Directory Domain Controller service to beremotely managed over Named Pipes. (UDP 445)445 SystemActive Directory Domain Controller – Secure LDAP (TCP-In) Inbound rule for the Active Directory Domain Controller service toallow remote Secure LDAP traffic. (TCP 636)636 %systemroot%\System32\lsass.exeActive Directory Domain Controller – Secure LDAP for Global Catalog Inbound rule for the Active Directory Domain Controller service to3269 %systemroot%\System32\lsass.exe(TCP-In) allow remoteSecure GlobalCatalogtraffic. (TCP3269)Active Directory Domain Controller –W32Time (NTP-UDP-In) Inbound rulefor the ActiveDirectoryDomainControllerservice toallow NTPtraffic for theWindows Timeservice. (UDP123)123 %systemroot%\System32\svchost.exeActive Directory Domain Controller (RPC) Inbound rule toallow remoteRPC/TCP accessto the ActiveDirectoryDomainControllerservice.DynamicRPC%systemroot%\System32\lsass.exeActive Directory Domain Controller (RPC-EPMAP) Inbound rulefor the RPCSSservice toallow RPC/TCPtraffic to theActiveDirectoryDomainControllerservice.135 %systemroot%\System32\svchost.exeActive Directory Domain Controller (TCP-Out) Outbound rulefor the ActiveDirectoryDomainControllerservice. (TCP)Any %systemroot%\System32\lsass.exeActive Directory Domain Controller Outbound rulefor the ActiveDirectoryDomainAny %systemroot%\System32\lsass.exe(UDP-Out) Controllerservice. (UDP)DNS (TCP,Incoming)DNS inbound 53 %systemroot%\System32\dns.exeDNS (UDP,Incoming)DNS inbound 53 %systemroot%\System32\dns.exe DNS (TCP,outbound)DNS outbound 53 %systemroot%\System32\dns.exeDNS (UDP,outbound)DNS outbound 53 %systemroot%\System32\dns.exeDNS RPC, incoming Inbound rulefor the RPCSSservice toallow RPC/TCPtraffic to theDNS Service135 %systemroot%\System32\dns.exeDNS RPC, incoming Inbound rule toallow remoteRPC/TCP accessto the DNSserviceDynamicRPC%systemroot%\System32\dns.exe下面几篇文档您可以作为参考：======How to configure a firewall for domains and trustsActive Directory Replication over FirewallsDHCP: Port 67 (DHCP server port for IPv4) should not be in use by any other processJason Hou MCSE 2003+SecurityWindows 2008 R2域控制器端口的相关文章请参看指定活动目录复制端口ad域端口活动目录域端口域控制器端口分支域控制器同步端口域客户端远程管理端口域客户端登录用到的端口Windows 2008 主域控与辅助域控通讯端口主域控制器与辅域控制器通讯端口AD域客户端登录与交换机端口学习域控制器与客户端通信端口范围—gnaw0725。

windows 2008 sever AD域下实现文件共享本文前提是安装好win 2008 sever r2，并配置好了AD域。

然后再进行下面的工作。

1服务侧设置
1.1设置用户名和密码
如下图1：在user中鼠标右键新建用户，设置用户名和密码
图1：设置用户名和密码
1.2组管理
设置组如下图2，在域名下的builtin中设立本地域安全组比如图2中的stropower_fina，然后双击组名，弹出成员页添加上面创建的用户名，就完成了权限设置
图2：在域名下的builtin中设立本地域安全组
图3：添加组成员
1.3文件夹共享设置
要共享的文件夹右键属性，点击共享，添加刚才设置的组，再点击共享设置就完成共享设置了。

2客户端侧设置
2.1设置host解析文件
C:\Windows\System32\drivers\etc\hosts,用记事本打开，加入如下语句
X.X.X.X 域计算机的完整名称
点击保存即可。

2.2域名服务器
电脑网络右键属性，在协议版本4中点击属性2，首选DNS服务器的IP地址填写上述域计算机的IP地址。

然后在运行中，\\域计算机名，点击运行，一般会弹出对话框，让你属于用户名和密码，输入在域用户中设置的用户名和密码，即可进入域计算机，看到共享的文件夹。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

Windows 2008 主域控与辅助域控通讯端口现在有个客户的需求是要在外地部署辅助域控，并且对安全要求极高，因此需要知道辅助域控正常工作需要开启哪些端口？谢谢！最好可以有微软官方的说明文档回答：根据您的描述，我对这个问题的理解是: 您想了解Windows Server 2008主域控与辅助域控之间需要开启哪些端口。

因为客户需要在外地部署辅助域控且对安全要求很高。

由于域控的服务较多，需要的端口也比较多，我列出我们所需要的端口供您参考。

同时我们确实也有官方文档具体讲述这些内容，我在回复最后提供了文章链接给您，供您参考：1. 复制：下表列出了 Active Directory 和 AD DS 复制的端口分配。

2. 信任3. 全局编录4. DNS: 下表列出了域名系统 (DNS) 的端口要求。

5. DHCP: 下表列出了动态主机配置协议 (DHCP) 的端口要求。

6. 用户和计算机身份验证7. 组策略: 下表列出了组策略的端口要求。

除了下表中的端口之外，客户端计算机还必须能够通过 Internet 控制消息协议 (ICMP) 联系域控制器。

ICMP 用于慢速链接检测。

具体的信息，我们可以参考如下文章：Active Directory 和 Active Directory 域服务端口要求/zh-cn/library/dd772723(WS.10).aspx 如何为域控制器配置 Windows Server2003 防火墙/kb/555381/zh-cnWindows 服务器系统的服务概述和网络端口要求/kb/832017/zh-cn徐颖彧微软全球技术支持中心Windows 2008 主域控与辅助域控通讯端口的相关文章请参考域控制器端口域客户端登录用到的端口域客户端远程管理端口无法远程管理域客户端主域控制器与辅域控制器通讯端口Windows 2008 主域控与辅助域控通讯端口分支域控制器同步端口活动目录是可以跨网段的—gnaw0725。

项目一基于Windows Server 2008 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

三、项目学时本项目预计学时24学时，包含评讲。

任务1 应用组策略管理用户工作环境（6学时）组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

802.1X+Radius+无线接入点认证完整配置帮助文档一、认证简介 (3)1、1身份认证介绍 (3)1、2身份认证的概念 (3)1、3认证、授权与审计 (3)1、4 IEEE 802.1x协议与RADIUD服务器 (4)1、5 RADIUS服务器 (4)1、6 基于IEEE 802.1x认证系统的组成 (5)二、配置RADIUS server步骤 (6)2、1 安装Active Directory活动目录； (6)2、2 安装IIS管理器和证书颁发机构CA (14)2、3 安装IAS（internet验证服务） (21)三、默认域安全设置 (23)四、配置Active Directory用户和计算机 (24)五、设置自动申请证书 (32)六、配置internet验证服务（IAS） (36)6、1 配置“RADIUS客户端” (36)6、2 配置“远程访问记录” (39)6、3 配置“远程访问策略” (40)6、4 配置“连接请求策略” (45)七、配置IIS（internet信息服务管理器） (48)八、查看记录 (49)九、认证者端配置 (50)十、无线客户端配置 (52)一、认证简介1、1身份认证介绍身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。

使用身份认证的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。

近年来，越来越多的单位和运营商等通过身份认证系统加密用户对网络资源的访问，在众多的解决方案中，Radius认证系统的使用最为广泛。

在大量的企业、政府机关、高校，通过Radius认证系统，实现对用户网络访问身份的认证，以决定某一用户是否具有上网权限，并记录相关的信息。

本讲在简要介绍身份认证的概念、IEEE 802.x协议、Radius认证系统等基础概念的基础上，以Windows Server 2003操作系统和安信网络的无线接入产品为例，详细介绍用户身份认证系统的安装、配置、使用和故障排除方法。

Windows 2008 Server搭建Radius服务器的方法在实际使用环境中，TP-LINK无线控制器TL-AC1000使用外部服务器进行Portal远程认证时，需搭建相应认证服务器。

本文通过具体配置实例，指导使用Windows 2008 Server搭建Radius服务器实现Portal远程认证。

1、登录Windows 2008 Server操作系统，选择服务器管理器 >> 角色 >> 添加角色。

2、进入添加角色向导>> 开始之前，点击下一步。

3、进入服务器角色，勾选网络策略和访问服务，点击下一步。

4、进入网络策略和访问服务，点击下一步。

5、进入角色服务，勾选网络策略服务器，点击下一步。

6、进入确认，点击安装。

7、安装完毕，点击关闭。

1、进入开始 >> 管理工具 >> 计算机管理，选择本地用户和组 >> 用户，右击选择新用户。

2、添加用户名、密码（本例为customer、customer），点击创建。

3、右击新建的用户，选择属性 >> 拨入，网络访问权限选择为允许访问，点击应用>> 确定。

3、右击组，选择新建组，设置组名（本例为portal），在成员选项中点击添加。

4、选择用户，将添加的用户（customer）添加到该组中，点击创建。

1、进入开始 >> 管理工具 >> 网络策略服务器，选择用于拨号或VPN连接的RADIUS服务器，点击配置VPN或拨号。

2、选择拨号连接，点击下一步。

3、进入指定拨号或VPN服务器，在RADIUS客户端选项中点击添加。

4、在地址（IP或DNS）一栏中输入AC无线控制器的IP地址，设定共享机密，点击确定 >> 下一步。

注意：此处“共享机密”需同AC中的“共享密钥”相同。

5、进入配置身份验证方法，勾选MS-CHAP、MS-CHAP2 两种加密方式，点击下一步。

Windows server 2008 AD + RADIUS + 802.1X认证配置Iowa[破[一路下一步直到安装至此证书服务安装完成，然后给这台服务器申请证书，如下一、RADIUS安装与配置二、802.1x配置1.2960交换机配置交换机全局配置：Switch(config)#aaa new-model //开启AAA认证Switch(config)#aaa authentication dot1x default group radius //dot1x采用radius认证Switch(config)# radius-server host 192.168.6.200 auth-port 1812 acct-port 1813 key 123456 //指定radius服务器的IP地址、端口号及与radius服务器通讯的密钥为123456配置radius服务器时需要用到此密钥Switch(config)#dot1x system-auth-control //全局启用dot1x认证交换机接口配置：Switch(config)#interface FastEthernet0/1 //进入1号接口Switch(config-if)#switchport mode access //指定接口为access类型，只有此模式下的端口才支持802.1xSwitch(config-if)#authentication port-control auto //接口启用dot1x认证，并指定接口认证控制模式为自动Switch(config-if)#dot1x pae authenticator //设定这个接口为802.1x认证接口（即弹出提示用户输入用户密码的窗口，并负责将用户输入的用户密码传给radius服务器进行认证）Switch(config-if)#spanning-tree portfast //加快认证的速度，可选Switch(config-if)#authentication host-mode multi-auth //指定该接口的认证模式为多用户认证（即该接口下接交换机时要启用这个模式，可选）Switch(config-if)#authentication violation protect //当身份验证失败时将此端口至于受保护的模式（可选）Switch(config)#interface vlan 1 //进入vlan1虚拟接口Switch(config-if)#ip address 192.168.6.200 255.255.255.0 //配置交换机的管理地址（即和radius服务器通讯的IP地址）此地址在配置radius服务器时要用到2.华为5600交换机配置全局配置：[Quidway]dot1x //全局开启dot1x认证[Quidway] dot1x authentication-method eap md5-challenge //指定dot1x采用的认证方法[Quidway]radius scheme 802.1x //定义radius认证服务器802.1x的相关属性[Quidway-radius-802.1x]server-type standard //定义radius服务采用标准形式[Quidway-radius-802.1x] primary authentication 192.168.6.200 //指定认证服务器的地址[Quidway-radius-802.1x] key authentication 123456 //指定认证与认证服务器通讯的密钥[Quidway-radius-802.1x]user-name-format without-domain //定义登陆用户名的格式[Quidway]domain 802.1x //定义802.1x域的相关属性[Quidway-isp-802.1x]scheme radius-scheme 802.1x //应用上面定于的radius服务器802.1x [Quidway-isp-802.1x]accounting optional //设置审计为可选[Quidway]domain default enable 802.1x //设定默认域采用802.1x域接口配置：[Quidway]interface g 1/0/12 //进入12号接口[Quidway-GigabitEthernet1/0/12]port link-type access //指定端口模式为access[Quidway-GigabitEthernet1/0/12]dot1x //开启dot1x认证[Quidway-GigabitEthernet1/0/12]dot1x port-control auto //端口控制采用自动模式[Quidway-GigabitEthernet1/0/12]dot1x port-method macbased//采用基于mac地址的认证三、PC机配置（win7）此过程可能需要输入域管理员的账密，输入即可（一般为administrator）然后会弹出确认框，点击是，然后重新打开浏览器申请证书更改本地连接属性时会弹出需要域管理员的权限才可以修改属性，输入域管理员的账密即可（一般为administrator）。

windows2008r2 入站规则Windows Server 2008 R2是微软推出的一款服务器操作系统，其入站规则是指针对进入服务器的网络流量所设定的规则。

入站规则主要用于控制允许进入服务器的网络连接，以确保服务器的安全性和可靠性。

本文将详细介绍Windows Server 2008 R2的入站规则，包括其作用、配置方法和常见问题解决方法。

一、入站规则的作用入站规则是Windows Server 2008 R2中的防火墙功能的一部分，它用于限制进入服务器的网络连接。

通过配置入站规则，管理员可以控制哪些网络连接允许进入服务器，从而有效地保护服务器的安全性。

入站规则可以根据不同的网络协议、端口号和源IP地址等属性进行配置，以满足不同的安全需求。

二、入站规则的配置方法1. 打开“Windows防火墙与高级安全性”控制面板：可以在“控制面板”中找到“Windows防火墙与高级安全性”选项，也可以在“开始”菜单中直接搜索并打开该控制面板。

2. 配置入站规则：在“入站规则”选项卡中，可以看到当前已经配置的入站规则列表。

可以通过“新建规则”选项来创建新的入站规则。

3. 配置规则属性：在创建新的入站规则时，需要配置规则的属性，包括规则的名称、描述、适用的协议、端口号范围、源IP地址范围等。

4. 配置规则操作：在配置规则属性之后，还需要选择规则的操作。

可以选择允许连接、允许连接但通知用户、允许连接但阻止通知和拒绝连接等操作。

5. 配置规则的范围：最后，还可以配置规则适用的范围，包括所有网络连接、特定的本地IP地址、特定的远程IP地址等。

三、常见问题解决方法1. 如何允许特定的网络连接进入服务器？可以通过配置入站规则来允许特定的网络连接进入服务器。

在创建规则时，可以指定适用的协议、端口号范围和源IP地址范围等属性，以实现对特定网络连接的控制。

2. 如何禁止所有的网络连接进入服务器？可以创建一条拒绝连接的入站规则，将规则的适用范围设置为所有网络连接，从而禁止所有的网络连接进入服务器。

这里以两台server 2008以例，为了清楚两块以上网卡与一块网卡搭建域控的区别，将DC1一、根域的建立DC1配置以管理员登录系统查看网卡信息及主机名选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）单击下一步，进入一个对AD的简介界界单击下一步进入安装界面安装完成后会出现如下画面单击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”，进入域服务安装向导勾选“使用高级模式安装”选择“在新林中新建域”输入域名（FQDN），此处以以例单击下一步时会自动检查输入的FQDN是否有重复或错误等默认即可选择林功能级别，此处模拟环境使用的系统全为Server 2008 R2单击下一步将检查DNS，此环境之前无安装，这里将会安装DNS此时是由于第二张网卡没有配置固定IP而弹出的提示，单击“是（Y），该计算机将使用DHCP 服务器自动分配的IP地址（不推荐）”此时单击按钮“是（Y）”默认即可设置“目录服务还原模式”的密码，必须输入密码，密码要求强密码显示摘要勾选“完成后重新启动”重启后即完成域控的安装二、额外域控制器建立（即辅域控）查看网卡信息及主机名（DNS需指向根域）与根域一样选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）添加“AD域服务”后，运行域服务安装向导此时选择“现有林(E)”下的“向现有域添加域控制器”由于是要向域（）中添加辅域，所以在此处输入域名：；单击设置，输入域中有权限的用户密码下一步单击按钮“是(Y)”默认即可输入“目录服务还原模式”密码重启后完成三、域的基本操作登录域控，单击“开始”→“管理工具”→打开“AD用户和计算机”1、建立OU右击域（）→“新建”→单击“组织单位”输入名称，勾选“防止容器意外删除”，此处以abc为例建立成功2、新建用户在刚新建的OU里新建用户test右击OU“abc”→“新建”→单击“用户”，注：此时右侧无任何用户按下图输入test用户信息输入密码完成建立成功3、。

无线网络的802.1X认证环境搭建802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

8 02.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x 的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：1 72.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

利用windows server 2008 NPS实现802.1X认证目录1、Windows server 2008安装配置AD (1)2、Windows server 2008安装配置CA (18)3、Windows server 2008安装配置NPS组件 (27)3.1、安装NPS组件 (27)3.2、配置Radius客户端 (31)3.3、配置NAP策略 (33)4、802.1x认证过程 (38)4.1、PC证书安装 (38)4.2、交换机配置 (39)4.3、本地连接属性配置 (39)5、NPS支持IPv6 (40)1、Windows server 2008安装配置AD活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。

Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。

使得WINDOWS 2000以上服务器系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。

下面将演示Windows server 2008活动目录安装与配置的安装方法。

登录Windows server 2008，开始-管理工具-服务器管理器-角色—打开添加角色向导。

选择“添加角色”出现如下图所示：在弹出的对话框中点击“下一步”：在弹出的对话框中选择“Active Directory 域服务”（如果有关联组件没有安装，会提示需要安装关联组件，选择“是”即可），点击下一步如图所示：在弹出的对话框中出现相关Active Directory 域服务相关简介这里面会介绍安装及配置以及相关注意事项，点击下一步如图所示：点击“安装”，如图：安装成功之后，点击“关闭”。

Windows域与802 1X协议统一认证解决方案随着局域网的迅速发展,办公用户的网络安全问题日益突出。

目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。

在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。

这种威胁在大中型企业的IT 环境中影响尤其明显。

因此,建立内部网络接入防御体系势在必行。

很多企事业单位已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。

然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给企业网的网络和应用安全带来很多隐患。

为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。

通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。

只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。

下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。

【实验拓扑】实验环境说明：本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件，并且要求交换机支持802.1X协议与Guest VLAN功能。

本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程，并力求层次清晰。

但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识，请参考相关书籍和网站。

拓扑说明：Windows 2003 Server IP:192.168.0.254交换机IP：192.168.0.250路由器LAN接口IP:192.168.0.1橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10蓝色端口所属的VLAN名称为V20, VID为20绿色端口为需要进行802.1X认证的端口测试计算机的IP为从Windows 2003 Server 自动获取根据上面的拓扑环境，测试PC通过了windows域的认证以后，自动在交换机端口上进行802.1X认证，认证通过以后，PC被交换机自动分配到了V20里面，从而可以接入到互联网中。