将 Windows Vista 无线客户端加入到域

核心提示：无线客户端需要域凭据(名称/密码)或证书来执行身份验证，以确保无线访问的安全，将 Windows Vista 无线客户端加入到域，若要加入域并获得域凭据或证书，无线客户端计算机需要成功地连接到包含该域的域控制器的无线网络，计算机用户(手动)或 IT 管理员(通过组策略)可以重新配置无线配置文件，以便使 PEAP-MS-

无线客户端需要域凭据(名称/密码)或证书来执行身份验证，以确保无线访问的安全。若要加入域并获得域凭据或证书，无线客户端计算机需要成功地连接到包含该域的域控制器的无线网络。若要访问安全无线网络并将一台计算机加入到域，无线客户端用户必须手动提供其域用户名和密码。一旦连接到了无线网络后，无线客户端用户即可以将该计算机加入到域。

在经过 802.1X 身份验证的无线网络中，无线客户端需要提供经过 RADIUS 服务器身份验证的安全凭据。这些凭据可以包括用户名和密码(用于受保护的 EAP [PEAP]-Microsoft 质询握手身份验证协议版本 2 [MS-CHAP v2])或证书(用于 EAP-传输层安全性 [TLS])。对于 PEAP-MS-CHAP v2 或 EAP-TLS，无线客户端还会验证在身份验证过程中由 RADIUS 发送的计算机证书。这是 Windows 无线客户端的默认行为。可以禁用这一行为，但在生产环境中不推荐这样做。

如果 RADIUS 服务器使用商业公钥基础结构 (PKI)(比如 VeriSign, Inc.)提供的计算机证书，并且无线客户端上已经安装了 RADIUS 服务器计算机证书的根认证机构证书，则无线客户端可以验证 RADIUS 服务器的计算机证书，不管该无线客户端是否已经加入到了 Active Directory 域。

如果 RADIUS 服务器使用私有 PKI 提供的与 Active Directory 集成的计算机证书(比如基于 Windows Server® 2003 证书服务的证书)，则尚未加入到域的无线客户端不会具有 RADIUS 服务器计算机证书的根 CA 证书，默认情况下，身份验证过程将失败。无线客户端加入到域中后，会自动安装 RADIUS 服务器计算机证书的根 CA 证书。

本文介绍这样的方法：使用无线配置文件配置基于 Windows Vista 的无线客户端，以执行手动 PEAP-MS-CHAP v2 身份验证，但不验证 RADIUS 服务器计算机证书。在连接到无线网络之后，无线客户端计算机会加入到域并获得相应的根 CA 证书。计算机用户(手动)或 IT 管理员(通过组策略)可以重新配置无线配置文件，以便使 PEAP-MS-CHAP v2 身份验证可以验证 RADIUS 服务器的计算机证书，并自动使用域凭据。