配置 802.1X 有线访问客户端以进行 PEAP-TLS 身份验证

在“常规”选项卡上，执行下列操作：

1. 在“策略名称”中，键入有线网络策略的名称。
   
   
2. 在“描述”中，键入策略的简短描述。
   
   
3. 确保选中“客户端使用 Windows 有线网络自动配置服务”。
   
   
4. 若要允许运行 Windows 7 的计算机的用户输入和存储其域凭据（用户名和密码），以便该计算机可以用来登录到网络（即使该用户没有主动登录），请在“Windows 7 策略设置”中选择“启用显式凭据”。
   
   
5. 若要指定禁止运行 Windows 7 的计算机自动进行网络连接尝试的持续时间，请选择“启用阻止时间段”，并在“阻止时间段(分钟)”中指定希望应用阻止时段的分钟数。分钟数的有效范围为 1 - 60。
   
   

   	注意
   	有关任何选项卡上设置的详细信息，请在查看该选项卡时按 F1。

在“安全”选项卡上，执行下列操作：

1. 选中“对网络访问启用 IEEE 802.1X 身份验证”。
   
   
2. 在“选择网络身份验证方法”中，选择“Microsoft: 受保护的 EAP (PEAP)”。
   
   
3. 在“身份验证模式”中，根据需要从下列各项中选择：“用户或计算机身份验证”、“计算机身份验证”、“用户身份验证”和“来宾身份验证”。默认情况下，“用户或计算机身份验证”处于选中状态。
   
   
4. 在“最大身份验证失败次数”中，指定通知用户身份验证失败前允许的尝试最多失败次数。默认情况下，该值设置为“1”。
   
   
5. 若要指定将用户凭据保留在缓存中，请选中“缓存用户信息以便随后连接到该网络”。
   
   

若要配置单一登录或高级 802.1X 设置，请单击“高级”。在“高级”选项卡上，执行下列操作：

1. 若要配置高级 802.1X 设置，请选择“强制高级 802.1X 设置”，然后修改（仅在必要时）下列各项的设置：“最大 Eapol 启动消息数”、“保持时间”、“启动时间”、“验证时间”和“Eapol 启动消息”。
   
   
2. 若要配置单一登录，请选中“为此网络启用单一登录”，然后修改（仅在必要时）下列各项的设置：
   
   
   • 用户登录前立即执行
     
     
   • 用户登录后立即执行
     
     
   • 连接的最长延迟
     
     
   • 允许在单一登录期间显示其他对话框
     
     
   • 此网络使用不同的 VLAN 对计算机和用户凭据进行身份验证
     
     

单击“确定”。此时将关闭“高级安全设置”对话框，返回到“安全”选项卡。在“安全”选项卡上，单击“属性”。此时将打开“受保护的 EAP 属性”对话框。

在“受保护的 EAP 属性”对话框中，进行如下操作：

1. 选择“验证服务器证书”。
   
   
2. 若要指定有线访问客户端必须用来进行身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器，在“连接到这些服务器”中，严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。
   
   
3. 在“受信任的根证书颁发机构”中，选择向运行网络策略服务器 (NPS) 的服务器颁发服务器证书的受信任的根证书颁发机构 (CA)。
   
   

   	注意
   	此设置将客户端信任的受信任根 CA 限制为所选值。如果未选择任何受信任的根 CA，则客户端将信任其受信任根证书颁发机构存储中的所有受信任根 CA。

4. 为提高安全性和获得更好的用户体验，请选择“不提示用户验证新服务器或受信任的证书授权机构”。
   
   
5. 在“选择身份验证方法”中，选择“智能卡或其他证书”。
   
   
6. 若要启用 PEAP 快速重新连接，请选择“启用快速重新连接”。
   
   
7. 若要指定网络访问保护 (NAP) 先在客户端上执行系统健康检查，确保它们满足健康要求后才允许连接到网络，请选择“强制执行网络访问保护”。
   
   
8. 若要求提供加密绑定的类型长度值 (TLV)，请选择“如果服务器未提供加密绑定的 TLV 则断开连接”。
   
   
9. 若要配置客户端，以便在客户端验证 RADIUS 服务器之前不以明文形式发送其标识，请选择“启用标识隐私”，然后在“匿名标识”中键入一个名称或值，或者将该字段留空。
   
   例如，如果启用了“启用标识隐私”，并使用“guest”作为匿名标识值，则具有 alice@realm 标识的用户的标识响应为 guest@realm。如果选择了“启用标识隐私”，但未提供匿名标识值，则标识响应为 @realm。
   
   
10. 若要配置 PEAP-TLS 属性，请单击“配置”，然后在“智能卡或其他证书属性”中，根据需要配置下列各项：
    
    
    • 在“连接时”中，选择“使用我的智能卡”或同时选择“在此计算机上使用证书”和“使用简单证书选择(建议使用)”。
      
      
    • 若要求访问客户端验证 NPS 服务器证书，请选择“验证服务器证书”。
      
      
    • 若要指定有线访问客户端必须用来进行身份验证和授权的 RADIUS 服务器，在“连接到这些服务器”中，严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。
      
      
    • 在“受信任的根证书颁发机构”中，选择在您的网络中颁发 NPS 服务器证书的 CA。
      
      
    • 若要指定客户端使用替换名称进行访问尝试，请选择“为此连接使用一个不同的用户名”。
      
      
    • 若要在证书的配置不正确或尚未被信任（或者同时满足这两种情况）时防止提示用户信任该服务器证书，请选择“不提示用户验证新服务器或受信任的证书授权机构”。（建议）
      
      
    • 单击“确定”关闭“智能卡或其他证书属性”对话框，然后再次单击“确定”关闭“受保护的 EAP (PEAP) 属性”对话框。此时将返回“新建有线网络策略属性”对话框。