Använd den här proceduren när du vill konfigurera en PEAP-TLS-profil (Protected Extensible Authentication Protocol–Transport Layer Security) för autentisering med smartkort och andra certifikat.
Minimikravet för att kunna slutföra proceduren är att du är medlem i gruppen Domänadministratörer eller motsvarande.
Så här konfigurerar du en trådlös PEAP-TLS-profil för datorer som kör Windows 7 och Windows Vista |
Öppna egenskapsdialogrutan för principer för trådlösa nätverk (IEEE 802.11).
Skriv antingen in ett nytt namn eller behåll standardnamnet i Principnamn på fliken Allmänt.
Ange en beskrivning av principen i Beskrivning.
Markera Använd Windows för att konfigurera klienternas inställningar om du vill ange att WLAN AutoConfig används för att konfigurera inställningar för trådlösa nätverkskort.
Gör något av följande på fliken Allmänt:
Om du vill lägga till och konfigurera en ny profil klickar du på Lägg till och markerar sedan Infrastruktur.
Om du vill redigera en befintlig profil markerar du önskad profil och klickar sedan på Redigera.
Ange namnet på profilen i Profilnamn på fliken Anslutning om du lägger till en ny profil. Om du redigerar en profil som redan har lagts till använder du det befintliga profilnamnet eller ändrar namnet vid behov.
Ange nätverksnamnet (SSID) för de trådlösa åtkomstpunkterna i Nätverksnamn (SSID) och klicka sedan på Lägg till.
Om flera nätverksnamn används i distributionen och varje trådlös åtkomstpunkt använder samma inställningar för trådlös säkerhet, upprepar du det här steget för att lägga till nätverksnamnet för varje trådlös åtkomstpunkt som den här profilen ska användas för.
Om flera nätverksnamn används i distributionen och olika säkerhetsinställningarna används för nätverksnamnen, konfigurerar du en separat profil för varje grupp med nätverksnamn som använder samma säkerhetsinställningar. Om du t.ex. har en grupp trådlösa åtkomstpunkter som har konfigurerats att använda WPA2-Enterprise och AES och en annan grupp trådlösa åtkomstpunkter som har konfigurerats att använda WPA-Enterprise och TKIP, konfigurerar du en profil för varje grupp med trådlösa åtkomstpunkter.
Om du vill ange att trådlösa klienter automatiskt ansluter till trådlösa åtkomstpunkter för vilka nätverksnamnet har angetts i Nätverksnamn (SSID), markerar du Anslut automatiskt när det här nätverket är inom räckhåll.
Om du vill ange att trådlösa klienter ansluter till nätverk efter prioritet, markerar du Anslut till ett mer prioriterat nätverk om det kan nås.
Om du har distribuerat trådlösa åtkomstpunkten konfigurerade att neka sändnings-beacon markerar du Anslut även om nätverket inte är aktivt.
SäkerhetsOBS Det här alternativet kan utgöra en säkerhetsrisk om det är aktiverat eftersom trådlösa klienter då söker efter och försöker ansluta till alla trådlösa nätverk. Som standard är den här inställningen inaktiverad.
Klicka på fliken Säkerhet. Markera WPA2-Enterprise som Autentisering i Välj säkerhetsmetoder för det här nätverket om det stöds av den trådlösa åtkomstpunkten och de trådlösa klienternas nätverkskort. Annars markerar du WPA-Enterprise.
OBS När du markerar WPA2 visas inställningar för snabb växling som inte markeras när WPA väljs. Standardinställningarna för snabb växling är tillräckliga för de flesta distributioner av trådlösa nätverk.
Markera AES i Kryptering om det stöds av den trådlösa åtkomstpunkten och de trådlösa klienternas nätverkskort. Annars markerar du TKIP.
OBS Inställningarna för både Autentisering och Kryptering måste stämma överens med de inställningar som har konfigurerats på din trådlösa åtkomstpunkt.
Markera Microsoft: Skyddad EAP (PEAP) i Välj autentiseringsmetod för nätverket.
Välj bland följande i Autentiseringsläge, beroende på vad som krävs: Användar- eller datorautentisering, Datorautentisering, Användarautentisering, Gästautentisering. Som standard är Användar- eller datorautentisering valt.
I Högsta antal autentiseringsfel anger du hur många anslutningsförsök som får misslyckas innan användaren får ett meddelande om att autentiseringen har misslyckats. Som standard används värdet 1.
Markera Cachelagra användarinformation för framtida anslutningar till det här nätverket när användarautentiseringsuppgifter sparas i cacheminnet.
Klicka på Avancerad och konfigurera sedan följande:
Om du vill konfigurera avancerade 802.1X-inställningar markerar du Framtvinga avancerade 802.1X-inställningar i IEEE 802.1X och konfigurerar sedan följande, beroende på vad som krävs: Högsta antal Eapol-startmeddelanden, Kvarhållning, Startperiod och Autentiseringsperiod.
När de avancerade 802.1X-inställningarna framtvingas är standardvärdena tillräckliga för de flesta trådlösa distributioner.
Om du vill aktivera enkel inloggning markerar du Aktivera enkel inloggning för det här nätverket.
Om du vill ange när enkel inloggning sker markerar du antingen Utför omedelbart innan inloggning av användare eller Utför omedelbart efter inloggning av användare, beroende på vad som krävs:
Återstående standardvärdena i Enkel inloggning är tillräckliga för de flesta trådlösa distributioner.
Om du vill ange maximalt antal sekunder inom vilken 802.1X-autentisering måste slutföras och nätverksåtkomst auktoriseras, anger du ett värde i Maximal fördröjning för anslutning (sek), enligt aktuella krav.
Om du vill tillåta dialogrutor under enkel inloggning markerar du Tillåt att ytterligare dialogrutor visas under enkel inloggning.
Om du vill ange att trådlösa datorer placeras i ett VLAN (Virtual Local Area Network) vid start och sedan överförs till ett annat nätverk när användaren har loggat in på datorn, markerar du Det här nätverket använder ett annat virtuellt lokalt nätverk för autentisering med autentiseringsuppgifter för dator och användare.
Om du vill aktivera snabb växling markerar du Aktivera cachelagring av PMK (Pairwise Master Key) i Snabb växling. Standardvärdena för PMK-livstid (minuter): och Antal poster i PMK-cachen är normalt tillräckliga för snabb växling.
Markera Det här nätverket använder förautentisering om den trådlösa åtkomstpunkten har konfigurerats för förautentisering. Standardvärdet är 3 vilket normalt är tillräckligt för Högsta antal förautentiseringsförsök:.
Om du vill ange att kryptografi följer certifierat FIPS 140-2-läge markerar du Utför kryptografi i certifierat FIPS 140-2-läge.
Klicka på OK för att spara inställningarna och återgå till fliken Säkerhet.
Klicka på Egenskaper. Dialogrutan Skyddade EAP-egenskaper öppnas.
Kontrollera att Bekräfta servercertifikat är markerat i Skyddade EAP-egenskaper.
Markera den betrodda rotcertifikatutfärdare som har utfärdat servercertifikatet för servern som kör en nätverksprincipserver (NPS), i Betrodda rotcertifikatutfärdare.
OBS Inställningen begränsar antalet betrodda rotcertifikatutfärdare till de valda certifikatutfärdarna. Om inga betrodda rotcertifikatutfärdare markeras har klienterna förtroende för alla rotcertifikatutfärdare i arkivet med betrodda rotcertifikatutfärdare.
Om du vill ange vilka RADIUS-servrar (Remote Authentication Dial-In User Service) de kabelanslutna klienterna måste använda för autentisering och auktorisering anger du namnet på varje RADIUS-server i Anslut till följande servrar exakt så som det visas i servercertifikatets ämnesfält. Använd semikolon för att avgränsa flera RADIUS-servernamn.
För förbättrad säkerhet och användarupplevelse markerar du Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare.
Markera Smartkort eller annat certifikat i Välj autentiseringsmetod.
Om du vill aktivera snabb återanslutning för PEAP markerar du Aktivera snabb återanslutning.
Om du vill ange att NAP (Network Access Protection) utför systemhälsokontroller på klientdatorer för att garantera att de uppfyller hälsokraven innan de får ansluta till nätverket, markerar du Framtvinga NAP (Network Access Protection).
Om du vill att kryptografibindnings-TLV (Type-Length-Value) ska användas markerar du Koppla ifrån om servern inte erbjuder TLV.
Om du vill konfigurera klienterna så att de inte skickar sin identitet i klartext innan klienten har autentiserat RADIUS-servern markerar du Aktivera identitetssekretess och anger sedan ett namn eller värde i Anonym identitet. Du kan också lämna det här fältet tomt.
Om t.ex. Aktivera identitetssekretess är aktiverat och du använder gäst som värde för anonym identitet, får en användare med identiteten alice@realm ID-svaret gäst@realm. Om du markerar Aktivera identitetssekretess utan att ange något värde för anonym identitet, är ID-svaret @realm.
Klicka på Konfigurera. I När jag ansluter i dialogrutan Egenskaper för smartkort eller annat certifikat markerar du antingen Använd mitt smartkort eller både Använd ett certifikat på den här datorn och Använd enkelt certifikatval (rekommenderas).
Om du vill kräva att åtkomstklienter validerar NPS-servercertifikatet markerar du Bekräfta servercertifikat.
Om du vill ange vilka RADIUS-servrar de kabelanslutna klienterna måste använda för autentisering och auktorisering anger du namnet på varje RADIUS-server i Anslut till följande servrar exakt så som det visas i servercertifikatets ämnesfält. Använd semikolon för att avgränsa flera RADIUS-servernamn.
I Betrodda rotcertifikatutfärdare väljer du certifikatutfärdaren som utfärdade certifikat till dina NPS-servrar.
Om du vill ange att klienter använder ett alternativt namn för åtkomstförsöken markerar du Använd ett annat användarnamn för anslutningen.
Om du vill hindra användare från att bli tillfrågade om de litar på ett servercertifikat om certifikatet är felaktigt konfigurerat, om det inte redan är betrott eller både och, markerar du Fråga inte om användaren vill auktorisera nya servrar eller betrodda certifikatutfärdare. (Rekommenderas.)
Klicka på OK för att stänga dialogrutan Egenskaper för smartkort eller annat certifikat och sedan på OK igen för att stänga dialogrutan Skyddade EAP-egenskaper, så att du återgår till Egenskaper för Ny princip för trådlöst nätverk.