可以使用此过程配置受保护的可扩展身份验证协议-传输层安全 (TLS) 配置文件,以便使用智能卡或其他证书进行身份验证。

Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。

为运行 Windows 7 和 Windows Vista 的计算机配置 PEAP-TLS 无线配置文件的步骤
  1. 打开“新建无线网络 (IEEE 802.11) 策略属性”对话框。

  2. “常规”选项卡的“策略名称”中,为您的策略键入新名称,或保留默认名称。

  3. “描述”中,键入策略的描述。

  4. 选择“用 Windows 来为客户端配置无线网络设置”指定使用 WLAN 自动配置来配置无线网络适配器设置。

  5. “常规”选项卡上,执行下列操作之一:

    • 若要添加和配置新的配置文件,请单击“添加”,然后选择“基础结构”

    • 若要编辑现有的配置文件,请选择要修改的配置文件,然后单击“编辑”

  6. 如果要添加新的配置文件,请在“连接”选项卡的“配置文件名”中,为该配置文件键入一个名称。如果要编辑已经添加的配置文件,请使用现有的配置文件名,或根据需要修改该名称。

  7. “网络名称(SSID)”中,为您的无线 AP 键入服务集标识符 (SSID),然后单击“添加”

    如果您的部署使用多个 SSID,并且每个无线 AP 都使用相同的无线安全设置,请为您希望应用此配置文件的每个无线 AP 重复此步骤来添加 SSID。

    如果您的部署使用多个 SSID,并且每个 SSID 的安全设置不匹配,请为使用相同安全设置的每组 SSID 配置单独的配置文件。例如,如果有一组无线 AP 被配置为使用 WPA2 - 企业和 AES,另一组无线 AP 被配置为使用 WPA - 企业和 TKIP,请分别为每组无线 AP 配置一个配置文件。

  8. 若要指定无线客户端自动连接到在“网络名称(SSID)”中为其指定 SSID 的无线 AP,请选择“当此网络在范围内时自动连接”

  9. 若要指定无线客户端按首选顺序连接到网络,请选择“连接到更适合的网络(如果可用)”

  10. 如果您部署的无线访问点被配置为取消广播信号,请选择“即使网络未进行广播也连接”

    安全 注意

    启用此选项会造成安全风险,因为无线客户端将探测并试图连接至任何无线网络。默认情况下不启用此设置。

  11. 单击“安全”选项卡。在“为此网络选择安全方法”中的“身份验证”中,选择“WPA2 - 企业”(如果它受无线 AP 和无线客户端网络适配器支持)。否则,选择“WPA - 企业”

    注意

    选择 WPA2 可显示在选择 WPA 时不显示的快速漫游的设置。快速漫游的默认设置能够满足大多数无线部署。

  12. “加密”中,选择 AES(如果它受无线 AP 和无线客户端网络适配器支持)。否则,选择 TKIP

    注意

    “身份验证”“加密”的设置必须与在无线 AP 上配置的设置匹配。

  13. “选择网络身份验证方法”中,选择“Microsoft: 受保护的 EAP (PEAP)”

  14. “身份验证模式”中,根据需要从下列各项中选择:“用户或计算机身份验证”“计算机身份验证”“用户身份验证”“来宾身份验证”。默认情况下,“用户或计算机身份验证”处于选中状态。

  15. “最大身份验证失败次数”中,指定通知用户身份验证失败前允许的尝试最多失败次数。默认情况下,该值设置为“1”。

  16. 若要指定将用户凭据保留在缓存中,请选中“缓存用户信息以便随后连接到该网络”

  17. 单击“高级”,然后配置下列各项:

    1. 若要配置高级 802.1X 设置,请在 IEEE 802.1X 中选择“强制高级 802.1X 设置”,然后根据需要配置以下设置:“最大 Eapol 启动消息数”“保持时间”“启动时间”“验证时间”

      当强制使用高级 802.1X 设置时,默认值能够满足大多数无线部署的需要。

    2. 若要启用单一登录,请选择“为此网络启用单一登录”

    3. 若要指定何时发生“单一登录”,请根据需要选择“用户登录前立即执行”“用户登录后立即执行”

      “单一登录”中的其余默认值可以满足典型无线部署的需要。

    4. 若要指定 802.1X 身份验证必须完成和授权网络访问的最大时间限制(以秒为单位),请根据需要在“连接最大延迟(秒)”中输入一个值。

    5. 若要在单一登录期间允许显示对话框,请选择“允许单一登录期间显示其他对话框”

    6. 若要指定无线计算机在启动时置于一个虚拟局域网 (VLAN) 中,然后在用户登录到计算机之后切换到其他网络,请选择“此网络使用不同的 VLAN 对计算机和用户凭据进行身份验证”

    7. 若要启用快速漫游,请在“快速漫游”中选择“启用成对主密钥(PMK)缓存”“PMK 生存时间(分钟)”“PMK 缓存中的项目数”的默认值一般可以满足快速漫游的需要。

    8. 如果将无线 AP 配置为执行预身份验证,请选择“此网络使用预身份验证”。默认值 3 一般可以满足“最大预先身份验证次数”的需要。

    9. 若要指定加密遵从 FIPS 140-2 验证的模式,请选择“在 FIPS 140-2 验证的模式下执行加密”

  18. 单击“确定”保存设置并返回“安全”选项卡。

  19. 单击“属性”。此时将打开“受保护的 EAP 属性”对话框。

  20. “受保护的 EAP 属性”中,确认已选择“验证服务器证书”

  21. “受信任的根证书颁发机构”中,选择向运行网络策略服务器 (NPS) 的服务器颁发服务器证书的受信任的根证书颁发机构 (CA)。

    注意

    此设置将客户端信任的受信任根 CA 限制为所选的 CA。如果未选择任何受信任的根 CA,则客户端将信任其受信任根证书颁发机构存储中列出的所有根 CA。

  22. 若要指定有线访问客户端必须用来进行身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。

  23. 为提高安全性和获得更好的用户体验,请选择“不提示用户验证新服务器或受信任的证书授权机构”

  24. “选择身份验证方法”中,选择“智能卡或其他证书”

  25. 若要启用 PEAP 快速重新连接,请选择“启用快速重新连接”

  26. 若要指定网络访问保护 (NAP) 先在客户端上执行系统健康检查,确保它们满足健康要求后才允许连接到网络,请选择“强制执行网络访问保护”

  27. 若要求加密绑定的类型长度值 (TLV),请选择“如果服务器不在 cryptobinding TLV 上则断开连接”

  28. 若要配置客户端,以便在客户端验证 RADIUS 服务器之前不以明文形式发送其标识,请选择“启用标识隐私”,然后在“匿名标识”中键入一个名称或值,或者将该字段留空。

    例如,如果启用了“启用标识隐私”,并使用“guest”作为匿名标识值,则具有 alice@realm 标识的用户的标识响应为 guest@realm。如果选择了“启用标识隐私”,但未提供匿名标识值,则标识响应为 @realm。

  29. 单击“配置”。在“智能卡或其他证书属性”对话框的“连接时”中,选择“使用我的智能卡”,或者同时选择“在此计算机上使用证书”“使用简单证书选择(建议使用)”

  30. 若要求访问客户端验证 NPS 服务器证书,请选择“验证服务器证书”

  31. 若要指定有线访问客户端必须用来进行身份验证和授权的 RADIUS 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。

  32. “受信任的根证书颁发机构”中,选择向您的 NPS 服务器颁发证书的 CA。

  33. 若要指定客户端使用替换名称进行访问尝试,请选择“为此连接使用一个不同的用户名”

  34. 若要在证书的配置不正确或尚未被信任(或者同时满足这两种情况)时防止提示用户信任该服务器证书,请选择“不提示用户验证新服务器或受信任的证书授权机构”。(建议)

  35. 单击“确定”关闭“智能卡或其他证书属性”对话框,然后再次单击“确定”关闭“受保护的 EAP (PEAP) 属性”对话框,返回“新建无线网络策略属性”


目录