Verwenden Sie dieses Verfahren, um ein PEAP-MS-CHAP v2-Drahtloskonfigurationsprofil (Protected Extensible Authentication-Protokoll-Microsoft Challenge Handshake Authentication-Protokoll, Version 2) für Drahtloscomputer unter Windows XP und Windows Server 2003 zu konfigurieren.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

So konfigurieren Sie ein PEAP-MS-CHAP v2-Drahtlosprofil für Computer unter Windows XP
  1. Öffnen Sie das Dialogfeld Windows XP-Richtlinien für Drahtlosnetzwerke (IEEE 802.11).

    Führen Sie auf der Registerkarte Allgemein die folgenden Aktionen aus:

    1. Geben Sie in das Feld XP-Richtlinienname einen Namen für die Drahtlosrichtlinie ein.

    2. Geben Sie in das Feld Beschreibung eine Beschreibung der Richtlinie ein.

    3. Wählen Sie in Netzwerke, auf die zugegriffen werden soll entweder Beliebiges verfügbares Netzwerk (Zugriffspunkt wird bevorzugt) oder Nur Zugriffspunktnetzwerke (Infrastruktur) aus.

    4. Wählen Sie Automat. Windows-WLAN-Konfigurationsdienst für Clients verwenden aus.

  2. Klicken Sie auf der Registerkarte Bevorzugte Netzwerke auf Hinzufügen, und wählen Sie dann Infrastruktur aus. Konfigurieren Sie auf der Registerkarte Netzwerkeigenschaften Folgendes:

    1. Geben Sie in das Feld Netzwerkname (SSID) die SSID (Service Set Identifier) für das Netzwerk ein.

      Hinweis

      Der in dieses Feld eingegebene Wert muss mit dem Wert übereinstimmen, der für die im Netzwerk bereitgestellten Zugriffspunkte konfiguriert ist.

    2. Geben Sie in das Feld Beschreibung eine Beschreibung für Neue bevorzugte Einstellung ein.

    3. Wenn Sie Drahtloszugriffspunkte bereitgestellt haben, bei denen die Unterdrückung des Broadcastsignals konfiguriert ist, wählen Sie Verbinden, selbst wenn das Netzwerk keine Kennung aussendet aus.

      Sicherheit Hinweis

      Das Aktivieren dieser Option kann ein Sicherheitsrisiko darstellen, da Drahtlosclients nach Verbindungen mit Drahtlosnetzwerken suchen bzw. mit Drahtlosnetzwerken eine Verbindung herzustellen versuchen. Standardmäßig ist diese Einstellung nicht aktiviert.

    4. Wählen Sie in Sicherheitsmethoden für dieses Netzwerk auswählen in Authentifizierung entweder WPA2 (bevorzugt) oder WPA aus. Unter Verschlüsselung geben Sie AES oder TKIP an.

      Hinweis

      In Windows XP-Drahtlosnetzwerkrichtlinien (IEEE 802.11) entsprechen WPA2 und WPA den Einstellungen WPA2-Enterprise bzw. Firmenweiter WPA für Windows Vista-Drahtlosnetzwerkrichtlinien (IEEE 802.11). WPA-PSK und WPA2-PSK sind für Netzwerke gedacht, in denen keine 802.1X-Authentifizierung verwendet wird. Verwenden Sie diese Optionen nicht für 802.1X-authentifizierte Bereitstellungen von Drahtloszugriff.

      Hinweis

      Wenn Sie WPA2 auswählen, werden Einstellungen für die schnelle Serverspeicherung verfügbar gemacht, die nicht angezeigt werden, wenn WPA ausgewählt ist. Die Standardeinstellungen für die schnelle Serverspeicherung sind für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.

  3. Klicken Sie auf die Registerkarte IEEE 802.1X. In EAP-Typ ist standardmäßig die Option Geschütztes EAP (PEAP) ausgewählt.

    Die restlichen Standardeinstellungen auf der Registerkarte IEEE 802.1X sind für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.

  4. Klicken Sie auf Einstellungen. Führen Sie im Dialogfeld Eigenschaften für geschütztes EAP die folgenden Aktionen aus:

    1. Wählen Sie Serverzertifikat überprüfen aus.

    2. Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server (Remote Authentication Dial-In User Service) genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.

    3. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die vertrauenswürdige Stammzertifizierungsstelle (Certification Authority, CA) aus, von der das Serverzertifikat für den Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgestellt wurde.

      Hinweis

      Mit dieser Einstellung werden die vertrauenswürdigen Stammzertifizierungsstellen, denen die Clients vertrauen, auf die ausgewählten Werte begrenzt. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, vertrauen die Clients allen vertrauenswürdigen Stammzertifizierungsstellen im Speicher vertrauenswürdiger Stammzertifizierungsstellen.

    4. Wenn Sie die Sicherheit und die Benutzerfreundlichkeit verbessern möchten, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus.

    5. Wählen Sie unter Authentifizierungsmethode auswählen die Option Gesichertes Kennwort (EAP-MSCHAP v2) aus.

    6. Zum Aktivieren der schnellen PEAP-Wiederherstellung wählen Sie Schnelle Wiederherstellung der Verbindung aktivieren aus.

    7. Wählen Sie Netzwerkzugriffsschutz erzwingen aus, um anzugeben, dass durch den Netzwerkzugriffsschutz (Network Access Protection, NAP) Systemintegritätsprüfungen auf Clients ausgeführt werden, bevor Verbindungen mit dem Netzwerk zugelassen werden. Dadurch soll sichergestellt werden, dass die Clients den die Integritätsanforderungen erfüllen.

    8. Wählen Sie Verbindung trennen, wenn Server kein Kryptografiebindungs-TLV vorweist aus, um Kryptografiebindungs-TLV erforderlich zu machen.

    9. Wählen Sie Identitätsdatenschutz aktivieren aus, und geben Sie in Anonyme Identität einen Namen oder Wert ein, oder lassen Sie das Feld leer, um die Clients so zu konfigurieren, dass diese nicht ihre Identität als Klartext senden, bevor der RADIUS-Server vom Client authentifiziert wurde.

      Wenn beispielsweise Identitätsdatenschutz aktivieren aktiviert ist und Sie den Wert guest für die anonyme Identität verwenden, wird für einen Benutzer mit der Identität alice@realm die Identitätsantwort guest@realm verwendet. Wenn Sie Identitätsdatenschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität bereitzustellen, lautet die Identitätsantwort @realm.

  5. Klicken Sie auf OK, um die Einstellungen für Eigenschaften für geschütztes EAP zu speichern, und klicken Sie dann erneut auf OK, um die Richtlinie zu speichern.


Inhaltsverzeichnis