Verwenden Sie dieses Verfahren, um ein EAP-TLS-Profil (Extensible Authentication-Protokoll-Transport Layer Security) für die Authentifizierung mit Smartcards oder anderen Zertifikaten zu konfigurieren.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.
So konfigurieren Sie ein EAP-TLS-Drahtlosprofil für Computer unter Windows Vista |
Öffnen Sie das Eigenschaftendialogfeld der neuen Drahtlosnetzwerkrichtlinie (IEEE 802.11).
Geben Sie auf der Registerkarte Allgemein in das Feld Richtlinienname einen neuen Namen für die Richtlinie ein, oder übernehmen Sie den Standardnamen.
Geben Sie in das Feld Beschreibung eine Beschreibung der Richtlinie ein.
Wählen Sie Windows für die Drahtlosnetzwerkkonfiguration für Clients verwenden aus, um anzugeben, dass zum Konfigurieren der Einstellungen des Drahtlosnetzwerkadapters die automatische WLAN-Konfiguration verwendet wird.
Führen Sie auf der Registerkarte Allgemein eine der folgenden Aktionen aus:
Zum Hinzufügen und Konfigurieren eines neuen Profils klicken Sie auf Hinzufügen, und wählen Sie dann Infrastruktur aus.
Zum Bearbeiten eines vorhandenen Profils wählen Sie das zu ändernde Profil aus, und klicken Sie dann auf Bearbeiten.
Wenn Sie ein neues Profil hinzufügen, geben Sie auf der Registerkarte Verbindung in das Feld Profilname einen Namen für das Profil ein. Wenn Sie ein bereits hinzugefügtes Profil bearbeiten, verwenden Sie den vorhanden Profilnamen, oder ändern Sie den Namen nach Bedarf.
Geben Sie in Netzwerkname(n) (SSID) die SSID (Service Set Identifier) für die Drahtloszugriffspunkte ein, und klicken Sie dann auf Hinzufügen.
Wenn in der Bereitstellung mehrere SSIDs verwendet werden und für alle Drahtloszugriffspunkte die gleichen Drahtlossicherheitseinstellungen verwendet werden, wiederholen Sie diesen Schritt, um die SSIDs aller Drahtloszugriffspunkte hinzuzufügen, auf die dieses Profil angewendet werden soll.
Wenn in der Bereitstellung mehrere SSIDs verwendet werden und die Sicherheitseinstellungen der einzelnen SSIDs nicht übereinstimmen, konfigurieren Sie für jede SSID-Gruppe, in der die gleichen Sicherheitseinstellungen verwendet werden, ein separates Profil. Wenn beispielsweise eine Gruppe von Drahtloszugriffspunkten vorhanden ist, die für die Verwendung von WPA2-Enterprise und AES konfiguriert sind, und eine andere Gruppe von Drahtloszugriffspunkten, die für die Verwendung von Firmenweiter WPA und TKIP konfiguriert ist, konfigurieren Sie für jede Gruppe von Drahtloszugriffspunkten ein Profil.
Wählen Sie Automatisch verbinden, wenn das Netzwerk in Reichweite ist, um anzugeben, dass Drahtlosclients automatisch Verbindungen mit Drahtloszugriffspunkten herstellen sollen, deren SSID in Netzwerkname(n) (SSID) angegeben ist.
Wählen Sie Mit einem verfügbaren bevorzugteren Netzwerk verbinden aus, um anzugeben, dass Drahtlosclients Verbindungen mit Netzwerken in der Reihenfolge der Priorität herstellen.
Wenn Sie Drahtloszugriffspunkte bereitgestellt haben, bei denen die Unterdrückung des Broadcastsignals konfiguriert ist, wählen Sie Verbinden, selbst wenn das Netzwerk keine Kennung aussendet aus.
Sicherheit Hinweis Das Aktivieren dieser Option kann ein Sicherheitsrisiko darstellen, da Drahtlosclients nach Verbindungen mit Drahtlosnetzwerken suchen bzw. mit Drahtlosnetzwerken eine Verbindung herzustellen versuchen. Standardmäßig ist diese Einstellung nicht aktiviert.
Klicken Sie auf die Registerkarte Sicherheit. Wählen Sie unter Sicherheitsmethoden für dieses Netzwerk auswählen für Authentifizierung die Option WPA2-Enterprise aus, falls dies vom Drahtloszugriffspunkt und den Netzwerkadaptern der Drahtlosclients unterstützt wird. Wählen Sie anderenfalls Firmenweiter WPA aus.
Hinweis Wenn Sie WPA2 auswählen, werden Einstellungen für die schnelle Serverspeicherung verfügbar gemacht, die nicht angezeigt werden, wenn WPA ausgewählt ist. Die Standardeinstellungen für die schnelle Serverspeicherung sind für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.
Wählen Sie unter Verschlüsselung die Option AES aus, falls dies vom Drahtloszugriffspunkt und den Netzwerkadaptern der Drahtlosclients unterstützt wird. Wählen Sie anderenfalls TKIP aus.
Hinweis Die Einstellungen für Authentifizierung und Verschlüsselung müssen mit den für den Drahtloszugriffspunkt konfigurierten Einstellungen übereinstimmen.
Wählen Sie unter Netzwerkauthentifizierungsmethode auswählen die Option Microsoft: Smartcard- oder anderes Zertifikat aus.
Wählen Sie unter Authentifizierungsmodus abhängig von den Anforderungen eine der folgenden Optionen aus: Benutzer- oder Computerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung. Standardmäßig ist Benutzer- oder Computerauthentifizierung ausgewählt.
Geben Sie unter Max. Authentifizierungsfehler an, nach wie vielen Authentifizierungsfehlern der Benutzer benachrichtigt wird, dass bei der Authentifizierung ein Fehler aufgetreten ist. Standardmäßig ist der Wert auf 1 festgelegt.
Wählen Sie Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern aus, um anzugeben, dass Benutzeranmeldeinformationen im Cache gespeichert werden.
Klicken Sie auf Erweitert, und konfigurieren Sie dann Folgendes:
Zum Konfigurieren erweiterter 802.1X-Einstellungen wählen Sie in IEEE 802.1X die Option Erweiterte 802.1X-Einstellungen erzwingen aus, und konfigurieren Sie dann abhängig von den Anforderungen die folgenden Einstellungen: Max. EAPOL-Start-Meld., Wartezeitraum, Startzeitraum und Authentifizierungszeitraum
Wenn die erweiterten 802.1X-Einstellungen erzwungen werden, sind die Standardwerte für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.
Zum Aktivieren des einmaligen Anmeldens wählen Sie Einmaliges Anmelden für dieses Netzwerk aktivieren aus.
Wählen Sie abhängig von den Anforderungen Unmittelbar vor der Benutzeranmeldung ausführen oder Unmittelbar nach der Benutzeranmeldung ausführen aus, um anzugeben, wann einmaliges Anmelden ausgeführt werden soll.
Die restlichen Standardwerte in Einmaliges Anmelden sind für typische Bereitstellungen von Drahtlosnetzwerken ausreichend.
Geben Sie in Max. Verzögerung der Konnektivität (Sekunden) einen den Anforderungen entsprechenden Wert ein, um anzugeben, nach maximal wie vielen Sekunden die 802.1X-Authentifizierung abgeschlossen und der Netzwerkzugriff autorisiert sein muss.
Wählen Sie Anzeige zusätzlicher Dialoge während der Einzelanmeldung zulassen aus, um Dialoge während der einmaligen Anmeldung zuzulassen.
Wählen Sie Netzwerk verwendet ein anderes VLAN zur Authentifizierung mit Computer- und Benutzeranmeldeinformationen aus, um anzugeben, dass Drahtloscomputer beim Start in einem virtuellen LAN (VLAN) platziert werden und dann nach der Anmeldung des Benutzers beim Computer in ein anderes Netzwerk übertragen werden.
Zum Aktivieren der schnellen Serverspeicherung wählen Sie in Schnelle Serverspeicherung die Option PMK-Zwischenspeicherung aktivieren aus. Die Standardwerte für Gültigkeitsdauer des PMK (Minuten) und Anzahl von Einträgen im PMK-Cache sind normalerweise ausreichend für die schnelle Serverspeicherung.
Wählen Sie Netzwerk verwendet Vorauthentifizierung aus, falls für den Drahtloszugriffspunkt die Vorauthentifizierung konfiguriert ist. Der Standardwert 3 für Max. Vorauthentifizierungsversuche ist normalerweise ausreichend.
Wählen Sie Kryptografie im FIPS 140-2-zertifizierten Modus ausführen aus, um anzugeben, dass für Kryptografie der FIPS 140-2-zertifizierte Modus verwendet wird.
Klicken Sie auf Eigenschaften. Wählen Sie im Dialogfeld Smartcard- oder andere Zertifikateigenschaften in Beim Herstellen der Verbindung entweder Eigene Smartcard verwenden oder Zertifikat auf diesem Computer verwenden und Einfache Zertifikatauswahl verwenden (empfohlen) aus.
Wählen Sie Serverzertifikat überprüfen aus, damit Zugriffsclients das NPS-Serverzertifikat (Network Policy Server, Netzwerkrichtlinienserver), überprüfen müssen.
Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server (Remote Authentication Dial-In User Service) genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.
Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die Zertifizierungsstelle aus, von der Zertifikate für die Netzwerkrichtlinienserver ausgestellt werden.
Wenn Sie angeben möchten, dass Clients für den Zugriffsversuch einen alternativen Namen verwenden, wählen Sie Anderen Benutzernamen für die Verbindung verwenden aus.
Wenn Sie die Sicherheit und die Benutzerfreundlichkeit verbessern möchten, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus.
Klicken Sie auf OK, um das Dialogfeld Smartcard- oder andere Zertifikateigenschaften zu schließen und zu den Eigenschaften der neuen Drahtlosnetzwerkrichtlinie zurückzukehren.