可以使用此过程为运行 Windows XP 和 Windows Server 2003 的无线计算机配置受保护的可扩展身份验证协议-Microsoft 质询握手身份验证协议版本 2 (PEAP-MS-CHAP v2) 无线配置文件。

Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。

为运行 Windows XP 的计算机配置 PEAP-MS-CHAP v2 无线配置文件的步骤
  1. 打开“Windows XP 无线网络 (IEEE 802.11) 策略属性”对话框。

    “常规”选项卡上,执行下列操作:

    1. “XP 策略名称”中,键入无线策略的名称。

    2. “描述”中,键入策略的描述。

    3. “要访问的网络”中,选择“任何可用的网络(首选访问点)”“仅访问点(结构)网络”

    4. 选择“客户端使用 Windows 无线局域网自动配置服务”

  2. “首选网络”选项卡上,单击“添加”,然后选择“基础结构”。在“网络属性”选项卡上,执行下列操作:

    1. “网络名称(SSID)”中,键入您的网络的服务集标识符 (SSID)。

      注意

      此字段中输入的值必须与网络上部署的访问点上配置的值匹配。

    2. “描述”中,输入“新首选设置属性”的描述。

    3. 如果您部署的无线访问点被配置为取消广播信号,请选择“即使网络未进行广播也连接”

      安全 注意

      启用此选项会造成安全风险,因为无线客户端将探测并试图连接至任何无线网络。默认情况下不启用此设置。

    4. “为此网络选择安全方法”“身份验证”中,选择 WPA2(首选)或 WPA。在“加密”中,指定 AESTKIP

      注意

      在 Windows XP 无线网络 (IEEE 802.11) 策略中,WPA2WPA 分别对应于 Windows Vista 无线网络 (IEEE 802.11) 策略“WPA2 - 企业”“WPA - 企业”设置。WPA-PSK 和 WPA2-PSK 用于不使用 802.1X 身份验证的网络。不要将它们用于 802.1X 身份验证无线访问部署。

      注意

      选择 WPA2 可显示在选择 WPA 时不显示的快速漫游的设置。快速漫游的默认设置能够满足大多数无线部署。

  3. 单击 IEEE 802.1X 选项卡。在“EAP 类型”中,默认情况下“受保护的 EAP (PEAP)”处于选中状态。

    IEEE 802.1X 选项卡上的其余默认设置能够满足大多数无线部署。

  4. 单击“设置”。在“受保护的 EAP 属性”对话框中,进行如下操作:

    1. 选择“验证服务器证书”

    2. 若要指定有线访问客户端必须用来进行身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。

    3. “受信任的根证书颁发机构”中,选择向运行网络策略服务器 (NPS) 的服务器颁发服务器证书的受信任的根证书颁发机构 (CA)。

      注意

      此设置将客户端信任的受信任根 CA 限制为所选值。如果未选择任何受信任的根 CA,则客户端将信任其受信任根证书颁发机构存储中的所有受信任根 CA。

    4. 为提高安全性和获得更好的用户体验,请选择“不提示用户验证新服务器或受信任的证书授权机构”

    5. “选择身份验证方法”中,选择“安全密码(EAP-MSCHAP v2)”

    6. 若要启用 PEAP 快速重新连接,请选择“启用快速重新连接”

    7. 若要指定网络访问保护 (NAP) 先在客户端上执行系统健康检查,确保它们满足健康要求后才允许连接到网络,请选择“强制执行网络访问保护”

    8. 若要求加密绑定的类型长度值 (TLV),请选择“如果服务器不在 cryptobinding TLV 上则断开连接”

    9. 若要配置客户端,以便在客户端验证 RADIUS 服务器之前不以明文形式发送其标识,请选择“启用标识隐私”,然后在“匿名标识”中键入一个名称或值,或者将该字段留空。

      例如,如果启用了“启用标识隐私”,并使用“guest”作为匿名标识值,则具有 alice@realm 标识的用户的标识响应为 guest@realm。如果选择了“启用标识隐私”,但未提供匿名标识值,则标识响应为 @realm。

  5. 单击“确定”保存“受保护的 EAP 属性”设置,然后再次单击“确定”保存策略。


目录