使用此程序,針對執行 Windows XP 與 Windows Server 2003 的無線電腦設定受保護的可延伸驗證通訊協定-傳輸層安全性 (PEAP-TLS) 無線設定檔。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。

針對執行 Windows XP 的電腦設定 PEAP-TLS 無線設定檔

  1. 開啟 [新的 XP 無線網路 (IEEE 802.11) 原則內容] 對話方塊。

    [一般] 索引標籤上,執行下列動作:

    1. [XP 原則名稱] 中,輸入無線原則的名稱。

    2. [描述] 中,輸入原則的描述。

    3. [存取的網路] 中,選取 [只給存取點 (基礎結構) 的網路][任何可用的網路 (偏好是存取點)]

    4. 選取 [使用 Windows 來設定用戶端的無線網路設定]

  2. [慣用網路] 索引標籤上,按一下 [新增],然後選取 [基礎結構]。在 [網路內容] 索引標籤上,設定下列各項:

    1. [網路名稱 (SSID)] 中,輸入網路的服務組識別元 (SSID)。

      附註

      您在此欄位輸入的值必須符合已部署在網路中之存取點上所設定的值。

    2. [描述] 中,輸入 [新增慣用設定內容] 的描述。

    3. [對此網路選取安全性方法][驗證] 中,選取 [WPA2] (偏好) 或 [WPA]。在 [加密] 中,指定 [AES][TKIP]

      附註

      在 Windows XP 無線網路 (IEEE 802.11) 原則中,[WPA2][WPA] 分別對應至 Windows Vista 無線網路 (IEEE 802.11) 原則 [WPA2-Enterprise][WPA-Enterprise] 設定。

      附註

      選取 WPA2 會公開「快速漫遊」的額外設定。[快速漫遊] 的預設設定已足夠完成大多數的無線部署。

  3. 按一下 [IEEE 802.1X] 索引標籤。根據預設值,會在 [EAP 類型] 中選取 [受保護的 EAP (PEAP)]

    IEEE 802.1X 索引標籤上的其餘預設設定,已足夠完成大多數的無線部署。

  4. 按一下 [設定]。在 [受保護的 EAP 內容] 對話方塊中,執行下列各項:

    1. 選取 [確認伺服器憑證]

    2. 若要指定無線存取用戶端必須用於驗證與授權的遠端驗證撥號使用者服務 (RADIUS) 伺服器,請在 [連線到這些伺服器] 中,輸入每部 RADIUS 伺服器的名稱 (與出現在伺服器憑證之主體欄位中的名稱完全相同)。使用分號指定多個 RADIUS 伺服器名稱。

    3. [受信任的根憑證授權單位] 中,選取受信任的根憑證授權單位 (CA),此憑證授權單位簽發伺服器憑證給執行網路原則伺服器 (NPS) 的伺服器。

      附註

      這個設定會將用戶端所信任的信任根 CA 限制為選取值。如果沒有選取信任的根 CA,用戶端會信任其受信任的根憑證授權單位存放區中所有信任的根 CA。

    4. 如需增強的安全性與較佳的使用者經驗,請選取 [不要提示使用者來授權新伺服器或信任的憑證授權單位]

    5. [選取驗證方法] 中,選取 [智慧卡或其他憑證]

    6. 若要啟用 [PEAP 快速重新連線],請選取 [啟用快速重新連線]

    7. 若要指定網路存取保護 (NAP) 在允許連線到網路之前,對用戶端執行系統健康情況檢查以確保符合健康情況需求,請選取 [強制網路存取保護]

    8. 若要要求加密繫結「類型-長度值」(TLV),請選取 [如果伺服器未顯示加密繫結的 TLV 就中斷連線]

    9. 若要設定用戶端,使其不會在驗證 RADIUS 伺服器之前以純文字傳送身分識別,請選取 [啟用識別隱私權],然後在 [匿名身分識別] 中輸入名稱或值,或是保留欄位空白。

      例如,如果已啟用 [啟用識別隱私權],而您用 guest 做為匿名身分識別值,則身分識別為 alice@realm 之使用者的身分識別回應就是 guest@realm。如果您選取 [啟用識別隱私權] 但不提供匿名身分識別值,則身分識別回應就是 @realm。

    10. 若要設定 PEAP-TLS 內容,請按一下 [設定],然後在 [智慧卡或其他憑證內容] 中,視您的需求設定下列項目:

      • [連線時] 中,選取 [使用我的智慧卡],或是同時選取 [使用這台電腦上的憑證][使用簡單憑證選取 (建議使用)]

      • 若要要求存取用戶端驗證 NPS 伺服器憑證,請選取 [確認伺服器憑證]

      • 若要指定無線存取用戶端必須用於驗證與授權的 RADIUS 伺服器,請在 [連線到這些伺服器] 中,輸入每部 RADIUS 伺服器的名稱 (與出現在伺服器憑證之主體欄位中的名稱完全相同)。使用分號指定多個 RADIUS 伺服器名稱。

      • [受信任的根憑證授權單位] 中,選取網路上簽發 NPS 伺服器憑證的 CA。

      • 若要指定用戶端在嘗試存取時使用替代名稱,請選取 [連線使用不同的使用者名稱]

      • 若要在憑證設定不正確、尚未獲得信任或兩者皆是的情況下避免提示使用者信任伺服器憑證,請選取 [不要提示使用者來授權新伺服器或信任的憑證授權單位]。(建議選項)

      • 按一下 [確定] 關閉 [智慧卡或其他憑證內容] 對話方塊,然後再按一下 [確定] 關閉 [受保護的 EAP (PEAP) 內容] 對話方塊,即可返回 [新的 Vista 有線網路原則內容] 對話方塊。

目錄