Windows Home Server sichert WLAN
Seite 2: Nutzerliste
Wenn Sie "Windows Home Server Users" angeben, bekommen automatisch alle eingerichteten Nutzer WLAN-Zugang mit ihren bereits eingetragenen Namen und Passwörtern. Die letzte Einstellung ist die Authentifizierungsmethode: Der IAS schlägt "Geschütztes EAP" vor, was Sie ohne Änderungen bestätigen.
Um das Anmelden etwa für den Nachwuchs zeitlich einzuschränken, richten Sie zunächst weitere Nutzergruppen für Eltern und Kinder über die Computerverwaltung (Start/Verwaltung/Computerverwaltung) ein und fügen den Gruppen die passenden Nutzer hinzu. Dann erstellen Sie zugehörige Zugangsregeln wie oben beschrieben und ändern anschließend die Kinder-Regel: Über Eigenschaften/Profil bearbeiten/Einwahleinschränkungen können Sie erlaubte Zeiten für die Anmeldung vorgeben.
Beim WHS gibt es eine Merkwürdigkeit: Die grafische Darstellung der erlaubten Login-Zeiten läuft Montag bis Sonntag, die Textliste indes Sonntag bis Samstag. Als wir in der Grafik den Freitag bearbeiteten, wirkte die Änderung deshalb auf den Donnerstag.
Die Zugangsregeln wertet IAS der Reihe nach aus: Greift schon die erste, werden die weiteren nicht mehr überprüft. Hat also beispielsweise die Nutzergruppe in der ersten Regel jederzeit Zugang, dann wirken zeitliche Einschränkungen für die gleiche Gruppe in einer Folgeregel nicht. Deshalb kann der Administrator sie über das Kontextmenü umsortieren.
Zertifikat-Transfer
Zwar ist der IAS jetzt schon einsatzbereit, doch fehlt auf den PCs, die sich anmelden sollen, noch ein wesentlicher Bestandteil: Ohne das vom WHS bei der Installation selbst generierte Stammzertifikat verweigert Windows die IAS-Anmeldung.
Rufen Sie auf dem WHS über Start/Ausführen/certmgr.msc den Zertifikatmanager auf. Unter Vertrauenswürdige Stammzertifikate finden Sie einen Eintrag ähnlich wie "M7BD5B…" Typischerweise gilt dieses Zertifikat rund fünfzig Jahre ab Installationszeitpunkt. Sie finden es also leicht, indem Sie per Klick auf die Tabellenspalte "Gültig bis" umsortieren. Per Rechtsklick auf den Eintrag können Sie das Zertifikat unter "Alle Aufgaben" exportieren. Folgen Sie dabei wiederum den Vorschlägen des Wizard und kopieren Sie die entstandene Datei auf einen USB-Stick, um sie später auf allen PCs zu importieren, die sich per Radius ans WLAN anmelden sollen.
Im letzten Schritt öffnen Sie die Ports 1812/UDP (Authentifizierung) und optional 1813/UDP (Accounting) in der Windows-Firewall, damit diese Radius-Pakete zum IAS durchlässt. Ältere Radius-Clients nutzen alternativ 1645/UDP und 1646/UDP, die Sie bei Bedarf zusätzlich öffnen.
