简介
本章介绍了管理“使用 PEAP 和密码确保无线 LAN 的”解决方案的相关操作步骤。文中包含了为维护无线局域网 (WLAN) 基础结构而必须执行的关键操作和支持任务的相关指导,包括 Internet 验证服务 (IAS) 、证书颁发机构 (CA)、无线访问点 (AP) 和 WLAN 客户端等。但一般的网络管理问题或安全服务以外的管理环节(例如,网络流量分析和优化)不属于本章讨论范围。
概述
本章主要内容包括:
基本的维护任务:本节介绍了设置管理系统所需的主要任务(例如,配置备份作业),以及维护系统所需的定期任务(例如,每周维护任务)。
处理 WLAN 基础结构:本节的主要作用是提供参考,它详细介绍了维护 WLAN 安全基础结构所需的不同类型任务。各个子节介绍了有关的标准操作任务、更改实现、支持任务和优化任务。
故障排除:本节描述的过程和流程图可帮助您解决在 WLAN 基础结构方面遇到的常见问题。此外,它还介绍了一些有用的故障排除工具和过程,以便为不同组件启用日志记录功能。
参考:本节提供了文中所参考的补充信息的来源。
本章必备知识
熟悉 Microsoft® ® Server™ 2003 或 ® 2000 Server 的管理过程。尤其要熟悉以下内容:
Microsoft Windows Server 2003 的基本操作和维护,包括使用事件查看器、计算机管理和 NTBackup 等工具。
IAS。
证书服务。
Microsoft Active Directory® 目录服务(包括 Active Directory 结构和工具);管理用户、组和其他 Active Directory 对象;以及如何使用组策略。
Windows 系统安全概念(如用户、组、审核、访问控制列表 (ACL)),如何使用安全模板,以及如何使用组策略或命令行工具应用安全模板。
无线 LAN 和一般网络概念。
了解 Windows 脚本主机和 Microsoft Visual Basic® Scripting Edition (VBScript);这些有助于您了解和使用本解决方案提供的脚本。
此外,还应阅读以下各章并全面了解本解决方案的体系结构和设计:
第 2 章:规划无线 LAN 安全的实施
第 3 章:准备环境
第 4 章:构建网络证书颁发机构
第 5 章:构建无线 LAN 安全的基础结构
第 6 章:配置无线 LAN 客户端
基本的维护任务
本节列出了成功处理 WLAN 基础结构所必需的主要任务。这些任务可划分两个类别:
初始设置任务
持续维护任务
此外,本节还列出了本章各过程所使用的工具和技术。
初始设置任务
下表显示了将 WLAN 安全基础结构置于生产环境中所必需的任务。
表 8.1:初始设置任务
维护任务
下表显示了使 LAN 安全基础结构正确运行所必需的定期任务。可以使用此表来规划必需的资源及管理系统所需的操作计划。
表 8.2:维护任务
必需的工具和技术
下表列出了本章各个过程所需的工具或技术。
表 8.3:必需的技术
表 8.4:建议使用的技术
处理 WLAN 基础结构
本节介绍了维护 WLAN 安全基础结构所需的主要任务。
操作任务
操作任务包括各种使 WLAN 基础结构正常运行而定期执行的作业。
备份 IAS 和证书颁发机构
您需要对 IAS (包括运行 CA 的 IAS 服务器)进行定期备份。IAS 要求使用一种特殊的过程将设置导出到文件中,而该文件随后可经由普通文件备份过程进行备份。您可以使用 Windows 系统状态备份(在 Windows 备份工具中提供)来备份证书服务。您应在所有运行 IAS 的服务器上建立充足的备份过程。
下面两个过程相互之间并不排斥;您需要同时配置 IAS 备份和服务器备份。
配置 IAS 备份
您需创建一个权限受限的文件夹,用于保存每晚导出的 IAS 配置内容。此外,还需创建一个每晚运行 IAS 配置备份的计划作业(备份脚本不要求在备份操作过程中关闭 IAS)。如果备份成功,系统将向 Windows 应用程序日志中写入一个事件。如果备份失败,系统将记录一个错误事件。
警告:IAS 备份文件包括所有 RADIUS 客户端机密。这些都是高度保密的信息,必须安全保存。
配置 IAS 备份
1.使用“MSS WLAN 工具”快捷方式在服务器中打开命令行解释器,键入以下命令创建一个文件夹来保存 IAS 设置:
mdc:\IASBackup
(IAS 配置通常小于 100 KB,可保存到系统驱动器中。)
2.使用以下命令设置文件夹权限,仅允许 administrators 和 backup operators 读取并修改其内容:
cacls c:\IASBackup /G system:F administrators:F "Backup Operators":C
(该命令在此处可能占多行,但您应在一行输入它。)
3.运行以下命令来测试备份:
"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd" BackupIAS /path:C:\IASBackup
(该命令在此处可能占多行,但您应在一行输入它。)“Microsoft WLAN-PEAP Tools”包含两个嵌入空格,一个在“Microsoft”之后,另一个在“WLAN-PEAP”之后。)
注意:如果备份成功,系统将向 Windows 应用程序日志和该屏幕写入一个事件;否则,将记录错误事件。
4.创建一个每晚运行 IAS 配置导出操作的计划任务。例如,以下命令计划在每晚 10:00 运行作业:
SCHTASKS /Create /RU system /SC Daily /TN "IAS Backup"/TR "\"C:\Program Files\Microsoft\Microsoft WLAN-PEAP Tools\msstools.cmd\" BackupIAS /path:C:\IASBackup" /ST 22:00
(该命令在此处可能占多行,但您应在一行输入它。)“Microsoft WLAN-PEAP Tools”包含两个嵌入空格,一个位于“Microsoft”之后,另一个位于“WLAN-PEAP”之后。)
注意:将 msstools.cmd 脚本文件的路径包括在反斜杠 (\) 中可确保 Windows 命令行解释器不解析双引号 (") 并将它从命令中去除。步骤 3 显示了传递到任务计划程序并由其保存的命令。
执行服务器备份
设置了在磁盘中备份 IAS 配置的计划任务后,还必须配置一个定期的备份作业,以便将服务器系统状态和导出的 IAS 配置文件备份到可移动媒体或网络位置。为此,最简单的方法是使用内置 Windows 备份工具。如果使用其他备份系统,必须确认它是否包含与 Windows 系统状态备份等同的功能(可从备份系统文档中找到此信息)。系统状态备份(或等同功能)对于正确备份 Active Directory 和证书服务密钥以及证书数据库而言非常重要。
如果备份软件没有 Windows 系统状态备份功能,可执行以下步骤:
配置 Windows 备份,使之对服务器中的文件执行系统状态备份(由于系统状态备份要求 500 MB 或更大的空间,必须确保有足够的磁盘空间执行此备份)。有关执行此备份的详细信息,请参阅 Windows 备份联机帮助。
配置备份软件,使之既复制系统状态备份文件,也复制上一过程描述的 IAS 备份文件。
您应执行以下操作以确保备份的安全性和一致性:
计划不同的备份操作,使它们相互不重叠;否则,可能有破坏备份数据的危险。
至少在 IAS 备份开始后 10 分钟再启动服务器和系统状态备份。
如果分别执行系统状态备份和服务器文件备份,请在开始服务器文件备份前,至少留一小时的时间来备份系统状态。
始终将备份数据的最新副本保存在除备份服务器以外的其他物理位置。这样,如果站点中的所有计算机设备都遭到破坏或不可访问,您可及时恢复服务器。
警告:此备份数据包含了该服务器中所有 AP 的 RADIUS 机密、CA 的全部私钥信息以及 Active Directory 数据库,因此非常机密。鉴于对此该数据的未授权访问可能破坏整个组织的安全,因此必须安全传输和保存备份媒体。
测试备份
若要充分测试系统备份,您只需将系统备份还原到测试服务器,然后验证还原服务器是否按预期方式运行。系统状态备份所还原到的目标系统必须有与备份服务器完全相同的磁盘布局。例如,Windows 系统的安装路径在测试用还原服务器和备份服务器上必须相同,而且这两个服务器用于保存 Windows 文件(如页面文件)的驱动器布局必须相同。
要点:为了避免在测试用还原服务器与原始服务器之间出现名称和 IP 地址冲突,应在启动系统状态还原过程时使测试服务器脱机。
还原服务器
1.
准备用于还原备份数据的还原服务器。在还原服务器中,Windows Server 2003 的版本应与备份服务器的相同。(您还必须在还原服务器中安装解决方案脚本。有关详细信息,请参阅第 3 章“准备环境”中的“安装解决方案工具”一节。)
2.如果分别执行系统状态备份和文件备份,请使用备份软件来将系统状态备份文件和 IAS 设置备份文件从备份媒体还原到服务器。IAS 设置应还原到同一路径:C:\IASBackup。
3.运行 Windows 备份工具,选
【责编:admin】
--------------------next---------------------
