Cisco WLC 配置 NPS服務(wù)器

公司有個(gè)老舊的Windows 2008 Server。周末的時(shí)候因?yàn)榇蛄薟indows的最新升級(jí)補(bǔ)丁結(jié)果周一直接掛了。豆子嘗試恢復(fù)快照但是仍然有問(wèn)題。這個(gè)服務(wù)器上配置了NPS， 主要是作為無(wú)線網(wǎng)和一些交換機(jī)登錄驗(yàn)證用的。折騰了2個(gè)小時(shí)還沒(méi)恢復(fù)，于是豆子干脆重新配置一個(gè)算了，畢竟Windows 2008也是該淘汰的系統(tǒng)了。

找了一臺(tái)現(xiàn)成的Windows 2008 R2的服務(wù)器，花了2個(gè)多小時(shí)配置了一遍，測(cè)試無(wú)線網(wǎng)登錄成功。

基本步驟如下所示。太簡(jiǎn)單基本的就略過(guò)了，把需要注意的地方標(biāo)記一下免得忘記：

1. 安裝配置一個(gè)域內(nèi)證書頒發(fā)的服務(wù)器（安裝IIS和ADCS）

2. 準(zhǔn)備一個(gè)新的NPS服務(wù)器，安裝對(duì)應(yīng)的Feature

3. 配置證書模板和簽發(fā)

4. 修改組策略自動(dòng)renew證書

5. 配置NPS服務(wù)器

6. 配置WLC

7. 測(cè)試
   

前兩個(gè)步驟太簡(jiǎn)單，都是圖形界面一路Next安裝，就此略過(guò)。

第三步：

登錄mmc，打開證書服務(wù)器，然后管理證書模板。選中 RAS and IAS Server 模板復(fù)制，對(duì)于新的證書取名叫做NPS

NPS模板的屬性，根據(jù)自己需要設(shè)置。注意勾選 Publish certificate in Active Directory

勾選Autoenroll

兼容性如果不確定 就用默認(rèn)的設(shè)置

然后在CA的界面，選中Certificate Template to Issue, 簽發(fā)剛剛配置的模板

接下來(lái)，需要配置一些組策略，確保證書可以自動(dòng)更新。

點(diǎn)開Default Domain Policy , 按順序選中ComputerConfiguration, Policies, Windows Settings, SecuritySettings,  Public Key Policies

配置如下

接下來(lái)切換到NPS服務(wù)器，選中 Register Server in Active Directory

稍等片刻之后，在NPS服務(wù)器上管理員權(quán)限執(zhí)行 gpupdate /force

切換回CA，查看證書是否已經(jīng)成功簽發(fā)。如果已經(jīng)簽發(fā)成功，到這一步說(shuō)明基本的NPS服務(wù)器環(huán)境已經(jīng)搭建好了

基本的環(huán)境搭建了，下一步就是配置了。配置文件我之前其實(shí)有備份，可以直接導(dǎo)入，不過(guò)這里為了完整，用向?qū)г龠^(guò)一遍

配置Radius就是兩部分，首先配置Radius Client，然后配置對(duì)應(yīng)的Policy

下面的客戶端的配置

下面是通過(guò)向?qū)蒔olicy

最后的效果

NPS配置完成了，最后的步驟就是修改一些WLC了。

登錄WLC，添加一個(gè)新的Radius服務(wù)器

然后在對(duì)應(yīng)的WLAN上指定這個(gè)新的AAA服務(wù)器

測(cè)試。

iPhone 登錄看看，提示安裝證書

成功登錄

限于篇幅所限，上面的截圖僅僅限于最關(guān)鍵的步驟，以及理清整個(gè)配置的流程。