Konfigurieren von verkabelten 802.1X-Zugriffsclients für EAP-TLS-Authentifizierung

Führen Sie auf der Registerkarte Allgemein die folgenden Aktionen aus:

1. Geben Sie in das Feld Richtlinienname einen Namen für die Richtlinie für verkabelte Netzwerke ein.
   
   
2. Geben Sie in das Feld Beschreibung eine kurze Beschreibung der Richtlinie ein.
   
   
3. Stellen Sie sicher, dass die Option Windows-Dienst für automatische Konfiguration verkabelter Netzwerke für Clients verwenden aktiviert ist.
   
   
4. Wenn Sie zulassen möchten, dass Benutzer mit Computern unter Windows 7 Domänenanmeldeinformationen (Benutzername und Kennwort) eingeben und speichern, die dann vom Computer für die Anmeldung am Netzwerk verwendet werden können (obwohl der Benutzer nicht aktiv angemeldet ist), wählen Sie in Windows 7-Richtlinieneinstellungen die Option Explizite Anmeldeinformationen aktivieren aus.
   
   
5. Zum Angeben des Zeitraums, in dem Computer unter Windows 7 keine automatischen Verbindungsversuche mit dem Netzwerk ausführen dürfen, wählen Sie Blockierungszeitraum aktivieren aus. Geben Sie dann in Blockierungszeitraum (Minuten) die Anzahl der Minuten an, auf die der Blockierungszeitraum angewendet werden soll. Gültig sind Minuten im Bereich 1 - 60.
   
   

   	Hinweis
   	Weitere Informationen zu den Einstellungen auf einer Registerkarte erhalten Sie, wenn Sie F1 drücken, während die entsprechende Registerkarte angezeigt wird.

Führen Sie auf der Registerkarte Sicherheit die folgenden Aktionen aus:

1. Wählen Sie IEEE 802.1X-Authentifizierung für Netzwerkzugriff aktivieren aus.
   
   
2. Wählen Sie unter Netzwerkauthentifizierungsmethode auswählen die Option Smartcard oder anderes Zertifikat aus.
   
   
3. Wählen Sie unter Authentifizierungsmodus abhängig von den Anforderungen eine der folgenden Optionen aus: Benutzer- oder Computerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung. Standardmäßig ist Benutzer- oder Computerauthentifizierung ausgewählt.
   
   
4. Geben Sie unter Max. Authentifizierungsfehler an, nach wie vielen Authentifizierungsfehlern der Benutzer benachrichtigt wird, dass bei der Authentifizierung ein Fehler aufgetreten ist. Standardmäßig ist der Wert auf 1 festgelegt.
   
   
5. Wählen Sie Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern aus, um anzugeben, dass Benutzeranmeldeinformationen im Cache gespeichert werden.
   
   

Klicken Sie auf Erweitert, um das einmalige Anmelden oder erweiterte 802.1X-Einstellungen zu konfigurieren. Führen Sie auf der Registerkarte Erweitert die folgenden Aktionen aus:

1. Zum Konfigurieren erweiterter 802.1X-Einstellungen wählen Sie Erweiterte 802.1X-Einstellungen erzwingen aus, und ändern Sie dann gegebenenfalls die Einstellungen für: Max. EAPOL-Start-Meld., Wartezeitraum, Startzeitraum, Authentifizierungszeitraum und EAPOL-Startmeldung
   
   
2. Zum Konfigurieren des einmaligen Anmeldens wählen Sie Einmaliges Anmelden für dieses Netzwerk aktivieren aus, und ändern Sie dann gegebenenfalls die Einstellungen für:
   
   
   • Unmittelbar vor der Benutzeranmeldung ausführen
     
     
   • Unmittelbar nach der Benutzeranmeldung ausführen
     
     
   • Max. Verzögerung der Konnektivität
     
     
   • Anzeige zusätzlicher Dialoge während der Einzelanmeldung zulassen
     
     
   • Netzwerk verwendet ein anderes VLAN zur Authentifizierung mit Computer- und Benutzeranmeldeinformationen
     
     

Klicken Sie auf OK. Das Dialogfeld Erweiterte Sicherheitseinstellungen wird geschlossen, und die Registerkarte Sicherheit wird wieder angezeigt. Klicken Sie auf der Registerkarte Sicherheit auf Eigenschaften. Das Dialogfeld Smartcard- oder andere Zertifikateigenschaften wird geöffnet.

Führen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften die folgenden Aktionen aus:

1. Wählen Sie in Beim Herstellen der Verbindung entweder Eigene Smartcard verwenden oder Zertifikat auf diesem Computer verwenden und Einfache Zertifikatauswahl verwenden (empfohlen) aus.
   
   
2. Wählen Sie Serverzertifikat überprüfen aus.
   
   
3. Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server (Remote Authentication Dial-In User Service) genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.
   
   
4. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die vertrauenswürdige Stammzertifizierungsstelle (Certification Authority, CA) aus, von der das Serverzertifikat für den Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgestellt wurde.
   
   

   	Hinweis
   	Mit dieser Einstellung werden die vertrauenswürdigen Stammzertifizierungsstellen, denen die Clients vertrauen, auf die ausgewählten Werte begrenzt. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, vertrauen die Clients allen vertrauenswürdigen Stammzertifizierungsstellen im Speicher vertrauenswürdiger Stammzertifizierungsstellen.

5. Wenn Sie angeben möchten, dass Clients für den Zugriffsversuch einen alternativen Namen verwenden, wählen Sie Anderen Benutzernamen für die Verbindung verwenden aus.
   
   
6. Wenn Sie die Sicherheit und die Benutzerfreundlichkeit verbessern möchten, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus.
   
   
7. Klicken Sie auf OK, um die Einstellungen in Smartcard- oder andere Zertifikateigenschaften zu speichern. Klicken Sie erneut auf OK, um zum Dialogfeld Eigenschaften von Neue Richtlinie für verkabelte Netzwerke zurückzukehren.