U kunt deze procedure gebruiken als u een draadloos PEAP-MS-CHAP v2-profiel (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2) wilt configureren.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domain Admins of een vergelijkbare groep.

Een draadloos PEAP-MS-CHAP v2-profiel configureren voor computers met Windows 7 en Windows Vista
  1. Open het dialoogvenster Eigenschappen van Nieuw beleid voor draadloze netwerken (IEEE 802.11).

  2. Typ op het tabblad Algemeen in het vak Beleidsnaam een nieuwe naam voor het beleid of accepteer de standaardnaam.

  3. Typ in Beschrijving een beschrijving van het beleid.

  4. Selecteer de optie Windows dient clients voor draadloze netwerken te configureren om aan te geven dat de instellingen van de draadloze netwerkadapter moeten worden geconfigureerd door WLAN AutoConfig.

  5. Voer op het tabblad Algemeen een van de volgende handelingen uit:

    • Klik op Toevoegen en selecteer Infrastructuur als u een nieuw profiel wilt toevoegen en configureren.

    • U bewerkt een bestaand profiel door het profiel te selecteren dat u wilt wijzigen en vervolgens op Bewerken te klikken.

  6. Als u een nieuw profiel toevoegt, typt u een naam voor het profiel in het veld Profielnaam op het tabblad Verbinding. Als u een bestaand profiel bewerkt, kunt u de bestaande profielnaam gebruiken of de naam zo nodig wijzigen.

  7. Typ bij Netwerknamen (SSID) de SSID (serviceset-id) voor de draadloze toegangspunten en klik op Toevoegen.

    Als er meerdere SSID's zijn geïmplementeerd en voor elk draadloos toegangspunt dezelfde beveiligingsinstellingen voor draadloze netwerken worden gebruikt, herhaalt u deze stap om de SSID toe te voegen voor elk draadloos toegangspunt waarop u dit profiel wilt toepassen.

    Als er meerdere SSID's zijn geïmplementeerd en de beveiligingsinstellingen voor de verschillende SSID's niet overeenkomen, configureert u voor elke groep SSID's die dezelfde beveiligingsinstellingen gebruikt, een afzonderlijk profiel. Als u bijvoorbeeld een groep draadloze toegangspunten hebt die is geconfigureerd voor het gebruik van WPA2-Enterprise en AES en daarnaast een andere groep met draadloze toegangspunten hebt voor het gebruik van WPA-Enterprise en TKIP, configureert u voor elke groep draadloze toegangspunten een profiel.

  8. Om aan te geven dat draadloze clients automatisch verbinding moeten maken met draadloze toegangspunten waarvoor de SSID in Netwerknamen (SSID) is opgegeven, selecteert u de optie Automatisch verbinding maken wanneer dit netwerk binnen bereik is.

  9. Selecteer de optie Verbinding met een beschikbaar voorkeurnetwerk maken om aan te geven dat draadloze clients verbinding met netwerken in volgorde van voorkeur moeten maken.

  10. Selecteer Verbinding maken, zelfs wanneer het netwerk niet uitzendt als de draadloze toegangspunten zijn ingesteld op het onderdrukken van het uitzendingsbaken.

    Beveiliging Opmerking

    Het inschakelen van deze optie kan een beveiligingsrisico vormen, omdat draadloze clients zoeken naar en verbinding maken met alle draadloze netwerken. Standaard is deze instelling niet ingeschakeld.

  11. Klik op het tabblad Beveiliging. Selecteer WPA2-Enterprise voor Verificatie in Selecteer de beveiligingsmethoden voor dit netwerk als dit wordt ondersteund door uw draadloze toegangspunt en de draadloze clientnetwerkadapters. Selecteer anders WPA-Enterprise.

    Opmerking

    Als u WPA2 selecteert, worden aanvullende instellingen beschikbaar voor Roaming (snel) die niet worden weergegeven wanneer u WPA selecteert. De standaardinstellingen voor Roaming (snel) zijn geschikt voor de meeste draadloze configuraties.

  12. Selecteer AES bij Versleuteling als dit wordt ondersteund door uw draadloze toegangspunt en de draadloze clientnetwerkadapters. Selecteer anders TKIP.

    Opmerking

    De instellingen voor Verificatie en Versleuteling moeten overeenkomen met de instellingen die zijn geconfigureerd op het draadloze toegangspunt.

  13. Selecteer in Selecteer een methode voor netwerkverificatie de optie Microsoft: Beveiligde EAP (PEAP).

  14. Selecteer in Verificatiemodus een van de volgende opties, afhankelijk van wat u precies wilt doen: Gebruikers- of computerverificatie, Computerverificatie, Verificatie van de gebruiker, Gastverificatie. De optie Gebruikers- of computerverificatie is standaard geselecteerd.

  15. Geef bij Maximum aantal verificatiefouten aan hoeveel mislukte pogingen maximaal zijn toegestaan voordat de gebruiker een melding krijgt dat de verificatie is mislukt. Standaard is de waarde ingesteld op 1.

  16. Schakel het selectievakje Gebruikersgegevens in de cache opslaan voor volgende verbindingen met dit netwerk in als u gebruikersreferenties wilt opslaan in de cache.

  17. Klik op Geavanceerd en ga daarna als volgt te werk:

    1. U kunt geavanceerde 802.1x-instellingen configureren door Geavanceerde instellingen voor 802.1X forceren te selecteren bij IEEE 802.1X. Geef vervolgens de gewenste instellingen op voor Maximum aantal Eapol-startberichten, Wachttijd, Startperiode en Verificatieperiode.

      Wanneer de geavanceerde 802.1X-instellingen zijn geforceerd, zijn de standaardwaarden voldoende voor de meeste draadloze implementaties.

    2. Selecteer Eenmalige aanmelding inschakelen voor dit netwerk als u eenmalige aanmelding wilt inschakelen.

    3. U kunt Eenmalige aanmelding configureren door Direct vóór de aanmelding van de gebruiker uitvoeren of Direct na de aanmelding van de gebruiker uitvoeren te selecteren, afhankelijk van uw behoeften.

      De overige standaardwaarden in Eenmalige aanmelding zijn voldoende voor de meeste draadloze implementaties.

    4. Voer een waarde in bij Maximale vertraging voor verbindingsmogelijkheden (seconden) als u de maximale tijd (in seconden) wilt opgeven waarbinnen de 802.1X-verificatie moet zijn voltooid en de netwerktoegang moet zijn geautoriseerd.

    5. Selecteer de optie Extra dialoogvensters weergeven tijdens eenmalige aanmelding als u extra dialoogvensters wilt weergeven tijdens eenmalige aanmelding.

    6. Selecteer de optie Dit netwerk gebruikt een ander VLAN voor verificatie op basis van computer- en gebruikersreferenties om op te geven dat draadloze computers bij het opstarten in een bepaald virtueel LAN (VLAN) worden gezet en vervolgens op basis van de gebruikersmachtigingen worden overgezet op een ander VLAN-netwerk nadat de gebruiker zich heeft aangemeld bij de computer.

    7. Als u roaming (snel) wilt inschakelen, selecteert u In PMK-cache opslaan (Pairwise Master Key) inschakelen in Roaming (snel). De standaardwaarden voor PMK-levensduur (minuten) en Aantal vermeldingen in PMK-cache zijn in de meeste gevallen geschikt voor roaming (snel).

    8. Selecteer Dit netwerk gebruikt verificatie vooraf als het draadloze toegangspunt is geconfigureerd voor verificatie vooraf. De standaardwaarde (3) is geschikt voor Maximum aantal pogingen voor verificatie vooraf.

    9. Selecteer Cryptografie uitvoeren in modus FIPS 140-2-certificering om aan te geven dat voor cryptografie de modus FIPS 140-2-certificering wordt gebruikt.

  18. Klik op OK om de instellingen op te slaan en terug te keren naar het tabblad Beveiliging.

  19. Klik op Eigenschappen. Het dialoogvenster Beveiligde EAP-eigenschappen wordt geopend.

  20. Zorg dat Servercertificaat verifiëren in het dialoogvenster Beveiligde EAP-eigenschappen is geselecteerd.

  21. Selecteer bij Vertrouwde basiscertificeringsinstanties de vertrouwde basiscertificeringsinstantie die het servercertificaat aan uw NPS-server heeft verstrekt.

    Opmerking

    Met deze instelling beperkt u de vertrouwde basiscertificeringsinstanties tot de geselecteerde CA's. Als er geen vertrouwde basiscertificeringsinstanties zijn geselecteerd, worden alle basiscertificeringsinstanties in de opslaglocatie vertrouwd door clients.

  22. Om aan te geven welke RADIUS-servers (Remote Authentication Dial-In User Service) de niet-draadloze toegangsclients moeten gebruiken voor verificatie en autorisatie, typt u in Verbinding maken met deze servers de namen van alle RADIUS-servers (exact zoals deze worden weergegeven in het veld Subject (Onderwerp) van het certificaat van elke server). Gebruik puntkomma's om meerdere RADIUS-servernamen van elkaar te scheiden.

  23. Selecteer Gebruiker niet vragen om nieuwe servers of vertrouwde certificeringsinstanties te autoriseren voor een betere beveiliging en een betere gebruikerservaring.

  24. Selecteer bij Selecteer een verificatiemethode de optie Beveiligd wachtwoord (EAP-MS-CHAP v2).

  25. Selecteer Snel opnieuw verbinding maken inschakelen als u snel opnieuw een PEAP-verbinding wilt kunnen maken.

  26. U kunt aangeven dat met NAP (Network Access Protection) systeemstatuscontroles op clients moeten worden uitgevoerd om ervoor te zorgen dat ze aan de statusvereisten voldoen voordat netwerkverbindingen zijn toegestaan. Hiertoe selecteert u Beveiliging van netwerktoegang afdwingen.

  27. Selecteer Verbinding verbreken als server geen cryptobinding TLV aanbiedt als u het gebruik van cryptobinding TLV (Type-Length-Value) verplicht wilt stellen.

  28. U kunt instellen dat de identiteit van clients niet als niet-versleutelde tekst kan worden verzonden voordat de RADIUS-server is geverifieerd. Hiertoe selecteert u Identiteitsprivacy inschakelen en typt u vervolgens een naam of waarde in Anonieme identiteit of laat u het veld leeg.

    Als Identiteitsprivacy inschakelen bijvoorbeeld is ingeschakeld en u 'gast' als waarde voor de anonieme identiteit gebruikt, is gast@realm het identiteitsantwoord voor een gebruiker met de identiteit alice@realm. Als u Identiteitsprivacy inschakelen selecteert maar geen waarde voor de anonieme identiteit invoert, is het antwoord @realm.

  29. Klik op Configureren. Controleer in het dialoogvenster Eigenschappen voor EAP MSCHAPv2 of Automatisch mijn Windows-aanmeldingsnaam en -wachtwoord gebruiken (en domein indien nodig) is geselecteerd, klik op OK en klik nogmaals op OK om Beveiligde EAP-eigenschappen te sluiten.

  30. Klik op OK om de instellingen op te slaan en het tabblad Beveiliging te sluiten. Klik vervolgens nogmaals op OK om Vista-beleid voor draadloze netwerken te sluiten.


Inhoudsopgave