U kunt deze procedure gebruiken als u een PEAP-MS-CHAP v2-profiel (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2) voor clientverificatie op basis van wachtwoorden wilt configureren.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators of een vergelijkbare groep.

Een profiel configureren voor bekabelde PEAP-MS-CHAP v2-verbindingen

  1. Voer de volgende handelingen uit op het tabblad Algemeen:

    1. Typ in Beleidsnaam een naam voor het beleid voor bekabelde netwerken.

    2. Typ in Beschrijving een korte beschrijving van het beleid.

    3. Controleer of het selectievakje Windows Wired Auto Config-service voor clients gebruiken is ingeschakeld.

    4. Selecteer Expliciete referenties inschakelen in Windows 7-beleidsinstellingen om gebruikers met computers waarop Windows 7 wordt uitgevoerd, toe te staan de domeinreferenties (gebruikersnaam en wachtwoord) in te voeren en op te slaan. Deze referenties kunnen vervolgens op de computer worden gebruikt voor aanmelding bij het netwerk (zelfs als de gebruiker niet actief is aangemeld).

    5. U kunt opgeven hoe lang met computers met Windows 7 geen automatische verbinding met het netwerk mag worden gemaakt. Hiervoor selecteert u Blokkeringsperiode inschakelen en voert u in Blokkeringsperiode (minuten) het aantal minuten in waarop de blokkeringsperiode van toepassing is. Het geldige bereik is 1 minuut tot en met 60 minuten.

      Opmerking

      Druk op F1 voor meer informatie over de instellingen op een tabblad.

  2. Voer de volgende handelingen uit op het tabblad Beveiliging:

    1. Schakel het selectievakje Gebruik van IEEE 802.1X-verificatie voor netwerktoegang inschakelen in.

    2. Selecteer in Selecteer een methode voor netwerkverificatie de optie Microsoft: Beveiligde EAP (PEAP).

    3. Selecteer in Verificatiemodus een van de volgende opties, afhankelijk van wat u precies wilt doen: Gebruikers- of computerverificatie (aanbevolen), Computerverificatie, Verificatie van de gebruiker, Gastverificatie. De optie Gebruikers- of computerverificatie is standaard geselecteerd.

    4. Geef bij Maximum aantal verificatiefouten aan hoeveel mislukte pogingen maximaal zijn toegestaan voordat de gebruiker een melding krijgt dat de verificatie is mislukt. Standaard is de waarde ingesteld op 1.

    5. Schakel het selectievakje Gebruikersgegevens in de cache opslaan voor volgende verbindingen met dit netwerk in als u gebruikersreferenties wilt opslaan in de cache.

  3. U kunt Eenmalige aanmelding of geavanceerde 802.1x-instellingen configureren door te klikken op Geavanceerd. Voer de volgende handelingen uit op het tabblad Geavanceerd:

    1. U kunt geavanceerde 802.1x-instellingen configureren door Geavanceerde instellingen voor 802.1X forceren te selecteren en indien nodig de instellingen te wijzigen voor Maximum aantal Eapol-startberichten, Wachttijd, Startperiode, Verificatieperiode en EAPOL-startbericht.

    2. U kunt Eenmalige aanmelding configureren door Eenmalige aanmelding inschakelen voor dit netwerk te selecteren en indien nodig de instellingen te wijzigen voor:

      • Direct vóór de aanmelding van de gebruiker uitvoeren

      • Direct na de aanmelding van de gebruiker uitvoeren

      • Maximale vertraging voor verbindingsmogelijkheden

      • Extra dialoogvensters weergeven tijdens eenmalige aanmelding

      • Dit netwerk gebruikt een ander VLAN voor verificatie op basis van computer- en gebruikersreferenties

  4. Klik op OK. Het dialoogvenster Geavanceerde beveiligingsinstellingen wordt gesloten en u keert terug naar het tabblad Beveiliging. Klik op het tabblad Beveiliging op Eigenschappen. Het dialoogvenster Beveiligde EAP-eigenschappen wordt geopend.

  5. Voer de volgende handelingen uit op het tabblad Beveiligde EAP-eigenschappen:

    1. Selecteer Servercertificaat verifiëren.

    2. Om aan te geven welke RADIUS-servers (Remote Authentication Dial-In User Service) de niet-draadloze toegangsclients moeten gebruiken voor verificatie en autorisatie, typt u in Verbinding maken met deze servers de namen van alle RADIUS-servers (exact zoals deze worden weergegeven in het veld Subject (Onderwerp) van het certificaat van elke server). Gebruik puntkomma's om meerdere RADIUS-servernamen van elkaar te scheiden.

    3. Selecteer bij Vertrouwde basiscertificeringsinstanties de vertrouwde basiscertificeringsinstantie die het servercertificaat aan uw NPS-server heeft verstrekt.

      Opmerking

      Met deze instelling beperkt u de vertrouwde basiscertificeringsinstanties tot de geselecteerde waarden. Als er geen vertrouwde basiscertificeringsinstanties zijn geselecteerd, worden alle basiscertificeringsinstanties in de opslaglocatie vertrouwd door clients.

    4. Selecteer Gebruiker niet vragen om nieuwe servers of vertrouwde certificeringsinstanties te autoriseren voor een betere beveiliging en een betere gebruikerservaring.

    5. Selecteer bij Selecteer een verificatiemethode de optie Beveiligd wachtwoord (EAP-MSCHAP v2).

    6. Als u wilt aangeven dat snel opnieuw verbinding maken voor PEAP is ingeschakeld, selecteert u Snel opnieuw verbinding maken inschakelen.

    7. U kunt aangeven dat met NAP (Network Access Protection) systeemstatuscontroles op clients moeten worden uitgevoerd om ervoor te zorgen dat ze aan de statusvereisten voldoen voordat netwerkverbindingen zijn toegestaan. Hiertoe selecteert u Beveiliging van netwerktoegang afdwingen.

    8. Selecteer Verbinding verbreken als server geen cryptobinding TLV aanbiedt als u het gebruik van cryptobinding TLV (Type-Length-Value) verplicht wilt stellen.

    9. Als u wilt instellen dat de identiteit van clients niet als niet-versleutelde tekst kan worden verzonden voordat de RADIUS-server is geverifieerd , selecteert u Identiteitsprivacy inschakelen. Typ vervolgens een naam of waarde in Anonieme identiteit of laat het veld leeg.

      Als Identiteitsprivacy inschakelen bijvoorbeeld is ingeschakeld en u 'gast' als waarde voor de anonieme identiteit gebruikt, is gast@realm het identiteitsantwoord voor een gebruiker met de identiteit alice@realm. Als u Identiteitsprivacy inschakelen selecteert maar geen waarde voor de anonieme identiteit invoert, is het antwoord @realm.

    10. Klik op OK om de instellingen voor Beveiligde EAP-eigenschappen op te slaan en klik nogmaals op OK om het beleid op te slaan.

Inhoudsopgave