Använd den här proceduren för att konfigurera version 2 av den trådlösa profilen Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol (PEAP-MS-CHAP v2).

Domain Admins eller motsvarande är det medlemskap som minst krävs för att slutföra den här proceduren.

Konfigurera en trådlös PEAP-MS-CHAP v2-profil för datorer som kör Windows 7 och Windows Vista

  1. Öppna dialogrutan med egenskaper för Ny princip för trådlöst nätverk (IEEE 802.11)

  2. På fliken Allmänt skriver du antingen in ett nytt namn på principen i Principnamn eller också behåller du standardnamnet.

  3. Skriv en kort beskrivning av principen i Beskrivning.

  4. Välj Använd Windows för att konfigurera klienternas inställningar för att ange att WLAN AutoConfig ska användas för att konfigurera inställningar för trådlösa nätverkskort.

  5. Gör något av följande på fliken Allmänt:

    • När du vill lägga till och konfigurera en ny profil klickar du på Lägg till och markerar sedan Infrastruktur.

    • När du vill ändra en befintlig profil markerar du profilen och klickar sedan på Redigera.

  6. Om du lägger till en ny profil skriver du ett namn på profilen på fliken Anslutning i Profilnamn. Om du redigerar en profil som redan har lagts till använder du det befintliga profilnamnet eller ändrar namnet efter behov.

  7. Skriv SSID:t för den trådlösa åtkomstpunkten i Nätverksnamn (SSID) och klicka sedan på Lägg till.

    Om distributionen använder flera SSID:er och varje trådlös åtkomstpunkt använder samma trådlösa säkerhetsinställningar, upprepar du det här steget för att lägga till SSID:t för varje trådlös åtkomstpunkt som du vill att den här profilen ska tillämpas.

    Om distributionen använder flera SSID:er och säkerhetsinställningarna för varje SSID inte överensstämmer, konfigurerar du en separat profil för varje grupp av SSID:er som använder samma säkerhetsinställningar. Om du t.ex. har en grupp med trådlösa åtkomstpunkter som har konfigurerats att använda WPA2-Enterprise och AES och en annan grupp med trådlösa åtkomstpunkter som har konfigurerats att använda WPA-Enterprise och TKIP, konfigurerar du en profil för varje grupp med trådlösa åtkomstpunkter.

  8. När du vill ange att trådlösa klienter automatiskt ska ansluta till trådlösa åtkomstpunkter som SSID:t är angivet för i Nätverksnamn (SSID), väljer du Anslut automatiskt till detta nätverk när det kan nås.

  9. När du vill ange att trådlösa klienter ansluts till nätverken i prioriteringsordning, väljer du Anslut till ett mer önskat nätverk vid tillgänglighet.

  10. Om du har distribuerat trådlösa åtkomstpunkter som har konfigurerats för att inte skicka ut signaler markerar du Anslut även om nätverket inte skickar data.

    SäkerhetsOBS

    Om det här alternativet är aktiverat kan det utgöra en säkerhetsrisk eftersom trådlösa klienter då söker efter och försöker ansluta till alla trådlösa nätverk. Som standard är den här inställningen inaktiverad.

  11. Klicka på fliken Säkerhet. Markera WPA2-Enterprise som Autentisering i Välj säkerhetsmetoder för det här nätverket om det stöds av den trådlösa åtkomstpunkten och de trådlösa klienternas nätverkskort. Markera i annat fall WPA-Enterprise.

    OBS

    När du markerar WPA2 visas inställningar för snabb växling som inte visas om WPA väljs. Standardinställningarna för snabb växling är tillräckliga för de flesta distributioner av trådlösa nätverk.

  12. Markera AES i Kryptering om det stöds av den trådlösa åtkomstpunkten och de trådlösa klienternas nätverkskort. Markera i annat fall TKIP.

    OBS

    Inställningarna för både Autentisering och Kryptering måste stämma överens med de inställningar som konfigurerats på den trådlösa åtkomstpunkten.

  13. Välj Microsoft: Skyddad EAP (PEAP) under Välj hur nätverksautentisering ska ske.

  14. Välj bland följande efter behov, i Autentiseringsläge: Användar- eller datorautentisering, Datorautentisering, Användarautentisering, Gästautentisering. Som standard är Användar- eller datorautentisering markerat.

  15. Ange hur många anslutningsförsök som får misslyckas innan användaren får ett meddelande om att autentiseringen har misslyckats i Högsta antal autentiseringsfel. Som standard är värdet "1".

  16. Markera Cachelagra användarinformation för framtida anslutningar till det här nätverket när användarautentiseringsuppgifter ska sparas i cacheminnet.

  17. Klicka på Avancerat och konfigurera därefter följande:

    1. Konfigurera avancerade 802.1X-inställningar genom att välja Använd avancerade 802.1X-inställningar i IEEE 802.1X och sedan konfigurera följande inställningar efter dina behov: Högsta antal Eapol-startmeddelanden, Kvarhållning, Startperiod och Autentiseringsperiod.

      När de avancerade 802.1X-inställningarna används är standardvärdena tillräckliga för de flesta trådlösa distributioner.

    2. När du vill aktivera enkel inloggning markerar du Aktivera enkel inloggning för det här nätverket.

    3. När du vill ange när Enkel inloggning ska ske markerar du antingen Utför omedelbart innan inloggning av användare eller Utför omedelbart efter inloggning av användare, efter behov.

      Återstående standardvärden i Enkel inloggning är tillräckliga för trådlösa distributioner.

    4. När du vill ange den högsta tiden i sekunder som det får ta att slutföra 802.1X-autentisering och auktorisera nätverksåtkomst, anger du ett värde i Maximal fördröjning för anslutning (sekunder) efter dina behov.

    5. När du vill tillåta att dialogrutor visas under Enkel inloggning, markerar du Tillåt att ytterligare dialogrutor visas under enkel inloggning.

    6. När du vill ange att trådlösa datorer placeras i ett virtuellt lokalt nätverk (VLAN) vid start och att de sedan överförs till ett annat nätverk när användaren har loggat in på datorn, markerar du Det här nätverket använder ett annat virtuell lokalt nätverk för autentisering med autentiseringsuppgifter för dator och användare.

    7. När du vill aktivera snabb växling väljer du Aktivera cachelagring av PMK (Pairwise Master Key) i Snabb växling. Standardvärdena för PMK-livstid (minuter) och Antal poster i PMK-cachen är vanligtvis tillräckligt för snabb växling.

    8. Markera Det här nätverket använder förautentisering om den trådlösa åtkomstpunkten har konfigurerats för förautentisering. Standardvärdet 3 är vanligtvis tillräckligt för Högsta antal förautentiseringsförsök.

    9. När du vill ange att kryptografi ska följa det FIPS 140-2-certifierade läget markerar du Utför kryptografi i certifierat FIPS 140-2-läge.

  18. Klicka på OK för att spara inställningarna och återgå till fliken Säkerhet.

  19. Klicka på Egenskaper. Dialogrutan Skyddade EAP-egenskaper öppnas.

  20. Kontrollera att Bekräfta servercertifikat har markerats i Skyddade EAP-egenskaper. .

  21. Markera den betrodda rotcertifikatutfärdare (CA) som har utfärdat servercertifikatet för din server som kör Network Policy Server (NPS), i Betrodda rotcertifikatutfärdare.

    OBS

    Inställningen begränsar antalet betrodda rotcertifikatutfärdare till de valda certifikatutfärdarna. Om inga betrodda rotcertifikatutfärdare markeras har klienterna förtroende för alla rotcertifikatutfärdare i arkivet med betrodda rotcertifikat.

  22. När du vill ange vilka Remote Authentication Dial-In User Service (RADIUS)-servrar som kabelanslutna klienter måste använda för autentisering och auktorisering, skriver du namnet på varje RADIUS-server i Anslut till följande servrar, exakt som det visas i ämnesfältet för servercertifikatet. Använd semikolon för att ange flera RADIUS-servernamn.

  23. Markera Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare för att förbättra säkerheten och underlätta användandet.

  24. Markera Skyddat lösenord (EAP-MS-CHAP v2) i Välj autentiseringsmetod.

  25. När du vill aktivera snabb PEAP-återanslutning markerar du Aktivera snabb återanslutning.

  26. När du vill ange att Network Access Protection (NAP) ska utföra systemhälsokontroller på klienter för att säkerställa att de uppfyller hälsokraven innan anslutningar till nätverket tillåts, markerar du Använd NAP (Network Access Protection).

  27. När du vill kräva att kryptografibindnings-TLV (Type-Length-Value) är aktiverat markerar du Koppla ifrån om servern inte erbjuder TLV.

  28. När du vill konfigurera klienter så att de inte skickar sin identitet i textformat innan klienten har autentiserat RADIUS-servern, markerar du Aktivera identitetsskydd och skriver sedan ett namn eller värde i Anonym identitet eller lämnar fältet tomt.

    Om exempelvis Aktivera identitetsskydd är aktiverat och du använder "guest" som värde på anonym identitet, blir identitetens svar för en användare med identiteten alice@realm guest@realm. Om du väljer Aktivera identitetsskydd men inte anger något värde för anonym identitet, blir identitetssvaret @realm.

  29. Klicka på Konfigurera. Kontrollera att Använd mitt Windows-inloggningsnamn och lösenord (och eventuell domän) automatiskt valts i dialogrutan Egenskaper för EAP MSCHAPv2. Klicka på OK och sedan på OK igen om du vill stänga Skyddade EAP-egenskaper.

  30. Klicka på OK om du vill spara inställningarna och stänga fliken Säkerhet och klicka sedan på OK igen för att stänga fönstret med Vista-princip för trådlöst nätverk.

Innehåll