Akıllı kartlar veya diğer sertifikalar kullanarak istemci kimlik doğrulaması yapmak üzere Korumalı Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği (PEAP-TLS) profilini yapılandırmak için bu yordamı kullanın.
Domain Admins grubunun veya eşdeğer bir grubun üyesi olmak, bu yordamı tamamlamaya yönelik en düşük gerekliliktir.
 | PEAP-TLS kablolu bağlantıları için bir profil yapılandırmak için |
Genel sekmesinde aşağıdakileri yapın:
-
İlke Adı alanına kablolu ağ ilkesi için bir ad yazın.
-
Açıklama alanına, ilkenin kısa açıklamasını yazın.
-
İstemciler için Windows Kablolu Otomatik Yapılandırma Hizmeti'ni kullan'ın seçili olduğunu doğrulayın.
- Windows 7 çalışan bilgisayarları olan kullanıcıların bilgisayarın ağda oturum açmak için kullanabileceği (kullanıcı etkin olarak oturum açmamış olsa bile) etki alanı kimlik bilgilerini (kullanıcı adı ve parola) girmelerine ve depolamalarına izin vermek için, Windows 7 İlke Ayarları'nda Açık Kimlik Bilgilerini Etkinleştir'i seçin.
- Windows 7 çalışan bilgisayarların ağa otomatik bağlanma girişiminde bulunmalarının engelleneceği süreyi belirtmek için, Engelleme Süresini Etkinleştir'i seçin ve Engelleme Süresi (dakika) alanında, engellemenin uygulanacağı süreyi dakika olarak belirtin. Geçerli aralık, 1-60 dakikadır.
Not Sekmelerdeki ayarlar hakkında daha fazla bilgi için, ilgili sekmeyi görüntülerken F1 tuşuna basın.
-
İlke Adı alanına kablolu ağ ilkesi için bir ad yazın.
Güvenlik sekmesinde aşağıdakileri yapın:
-
Ağ erişimi için IEEE 802.1X kimlik doğrulamasını etkinleştir'i seçin.
-
Ağ kimlik doğrulama yöntemi seçin alanında, Microsoft: Korumalı EAP (PEAP) seçeneğini belirleyin.
-
Kimlik doğrulama modu alanında, gereksinimlerinize bağlı olarak aşağıdakiler arasından seçim yapın: Kullanıcı veya Bilgisayar kimlik doğrulaması, Bilgisayar kimlik doğrulaması, Kullanıcı kimlik doğrulaması, Konuk kimlik doğrulaması. Varsayılan olarak, Kullanıcı veya Bilgisayar kimlik doğrulaması seçilidir.
-
En Fazla Başarısız Kimlik Doğrulama altında, kullanıcıya kimlik doğrulama işleminin başarısız olduğu bildirilinceye kadar izin verilen en fazla başarısız girişim sayısını belirtin. Varsayılan olarak, bu değer “1”e ayarlanmıştır.
-
Kullanıcı kimlik bilgilerinin önbellekte saklanmasını belirtmek için, Bu ağa yönelik daha sonraki bağlantılar için kullanıcı bilgilerini önbelleğe al'ı seçin.
-
Ağ erişimi için IEEE 802.1X kimlik doğrulamasını etkinleştir'i seçin.
Çoklu Oturum Açma veya gelişmiş 802.1X ayarlarını yapılandırmak için, Gelişmiş'i tıklatın. Gelişmiş sekmesinde aşağıdakileri yapın:
-
Gelişmiş 802.1X ayarlarını yapılandırmak için, Gelişmiş 802.1X ayarları kullanmaya zorla'yı seçin ve sonra da yalnızca gerekliyse aşağıdaki ayarları değiştirin: En Fazla EAPOL-Başlatma İletisi, Bulunduğu Süre, Başlatma Süresi, Kimlik Den. Süresi, Eapol Başlatma İletisi.
-
Çoklu Oturum Açma'yı yapılandırmak için, Bu ağ için Çoklu Oturum Açmayı etkinleştir seçeneğini belirleyin ve sonra da yalnızca gerekliyse aşağıdaki ayarları değiştirin:
- Kullanıcı Oturum Açma işleminden hemen önce gerçekleştir
- Kullanıcı Oturum Açma işleminden hemen sonra gerçekleştir
- Bağlanabilirlik için en uzun gecikme
- Çoklu Oturum Açma sırasında ek iletişim kutularının görüntülenmesine izin ver
- Bu ağ, makine ve kullanıcı kimlik bilgileriyle kimlik doğrulama için farklı VLAN kullanır
- Kullanıcı Oturum Açma işleminden hemen önce gerçekleştir
-
Gelişmiş 802.1X ayarlarını yapılandırmak için, Gelişmiş 802.1X ayarları kullanmaya zorla'yı seçin ve sonra da yalnızca gerekliyse aşağıdaki ayarları değiştirin: En Fazla EAPOL-Başlatma İletisi, Bulunduğu Süre, Başlatma Süresi, Kimlik Den. Süresi, Eapol Başlatma İletisi.
Tamam'ı tıklatın. Gelişmiş Güvenlik Ayarları iletişim kutusu kapatılır ve Güvenlik sekmesine dönülür. Güvenlik sekmesinde Özellikler'i tıklatın. Korunan EAP Özellikleri iletişim kutusu açılır.
Korunan EAP Özellikleri iletişim kutusunda şunları yapın:
-
Sunucu sertifikasını doğrula'yı seçin.
- Kablolu erişim istemcilerinizin kimlik doğrulama ve yetkilendirme için hangi Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS) sunucularını kullanması gerektiğini belirtmek için, Bu sunuculara bağlan alanına, her bir RADIUS sunucusu için sunucu sertifikasının konu alanında göründüğü şekilde bir ad yazın. Birden çok RADIUS sunucusu adı belirtmek için noktalı virgül kullanın.
-
Güvenilen Kök Sertifika Yetkilileri altında, sunucu sertifikasını Ağ İlkesi Sunucusu (NPS) çalışan sunucularınıza yayımlayan güvenilen kök sertifika yetkilisini (CA) seçin.
Not Bu ayar, istemcilerin güvendiği güvenilen kök CA'ları seçilen değerlerle sınırlar. Güvenilen bir kök CA seçili değilse, istemciler güvenilen kök sertifika yetkilisi depolarındaki tüm güvenilen kök CA'lara güvenilir.
- Gelişmiş güvenlik ve daha iyi kullanıcı deneyimi için, Yeni sunuculara veya güvenilen sertifika yetkililerine yetki verirken kullanıcıya sorma'yı seçin.
- Kimlik Doğrulama Yöntemi Seç alanında, Akıllı Kart veya diğer sertifika seçeneğini belirleyin.
- PEAP hızlı yeniden bağlanmayı etkinleştirmek için, Hızlı Yeniden Bağlanmayı Etkinleştir'i seçin.
-
İstemcilerin sistem durumu gereksinimlerini karşıladığından emin olmak üzere ağ bağlantılarına izin vermeden önce Ağ Erişim Koruması'nın (NPS) sistem durumu denetimlerini gerçekleştirmesini belirtmek için, Ağ Erişim Korumasını Zorla'yı seçin.
- Şifre bağlamalı Tür Uzunluk Değeri'ni (TLV) zorunlu kılmak için, Sunucu TLV şifre tabanlı bağlama sunmuyorsa, bağlantıyı kes'i seçin.
- İstemcilerinizi RADIUS sunucusunun kimliğini doğrulamadan önce kimliklerini düz metin olarak göndermeyecekleri şekilde yapılandırmak için, Kimlik Gizliliğini Etkinleştir'i seçin ve sonra Adsız Kimlik alanına bir ad veya değer yazın veya alanı boş bırakın.
Örneğin, Kimlik Gizliliğini Etkinleştir etkinse ve adsız kimlik değeri olarak “konuk” değerini kullanırsanız, kimliği ali@bölge olan bir kullanıcı için kimlik yanıtı konuk@bölge olur. Kimlik Gizliliğini Etkinleştir'i seçerseniz ama bir adsız kimlik değeri sağlamazsanız, kimlik yanıtı @bölge olur. - PEAP-TLS özelliklerini yapılandırmak için, Yapılandır'ı tıklatın ve sonra Akıllı Kart veya Diğer Sertifika Özellikleri alanında, aşağıdaki öğeleri gereksinimlerinize göre yapılandırın:
- Bağlanırken alanında, Akıllı kartımı kullan'ı seçin veya hem Bu bilgisayarda bir sertifika kullan hem de Basit sertifika seçimini kullan (Önerilen) seçeneğini belirleyin.
- Erişim istemcilerinin NPS sunucusu sertifikasını doğrulamasını zorunlu kılmak için, Sunucu sertifikasını doğrula'yı seçin.
- Kablolu erişim istemcilerinizin kimlik doğrulama ve yetkilendirme için hangi RADIUS sunucularını kullanması gerektiğini belirtmek için, Bu sunuculara bağlan alanına, her bir RADIUS sunucusu için sunucu sertifikasının konu alanında göründüğü şekilde bir ad yazın. Birden çok RADIUS sunucusu adı belirtmek için noktalı virgül kullanın.
- Güvenilen Kök Sertifika Yetkilileri alanında, ağınızda NPS sunucusu sertifikalarını yayımlayan CA'yı seçin.
- İstemcilerin erişim denemesi için başka bir ad kullanmalarını belirtmek için, Bağlantı için farklı bir kullanıcı adı kullan'ı seçin.
- Sertifika hatalı yapılandırıldıysa, sertifikaya önceden güvenilmediyse veya her iki durum da geçerliyse kullanıcılardan bu sunucu sertifikasına güvenmelerinin istenmesini engellemek için, Yeni sunuculara veya güvenilen sertifika yetkililerine yetki verirken kullanıcıya sorma'yı seçin. (Önerilir)
- Tamam'ı tıklatarak Akıllı kart veya diğer Sertifika Özellikleri iletişim kutusunu kapatın ve sonra yeniden Tamam'ı tıklatarak Korumalı EAP (PEAP) Özellikleri iletişim kutusunu kapatın. Yeni Kablolu Ağ İlkesi Özellikleri iletişim kutusuna geri dönersiniz.
- Bağlanırken alanında, Akıllı kartımı kullan'ı seçin veya hem Bu bilgisayarda bir sertifika kullan hem de Basit sertifika seçimini kullan (Önerilen) seçeneğini belirleyin.
-
Sunucu sertifikasını doğrula'yı seçin.