可以使用此过程为运行 Windows XP 和 Windows Server 2003 的无线计算机配置受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS) 无线配置文件。

Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。

为运行 Windows XP 的计算机配置 PEAP-TLS 无线配置文件的步骤

  1. 打开“新建 XP 无线网络 (IEEE 802.11) 策略属性”对话框。

    “常规”选项卡上,执行下列操作:

    1. “XP 策略名称”中,键入无线策略的名称。

    2. “描述”中,键入策略的描述。

    3. “要访问的网络”中,选择“仅访问点(结构)网络”“任何可用的网络(首选访问点)”

    4. 选择“使用 Windows 配置客户端的无线网络设置”

  2. “首选网络”选项卡上,单击“添加”,然后选择“基础结构”。在“网络属性”选项卡上,执行下列操作:

    1. “网络名称(SSID)”中,键入您的网络的服务集标识符 (SSID)。

      注意

      此字段中输入的值必须与网络上部署的访问点上配置的值匹配。

    2. “描述”中,输入“新首选设置属性”的描述。

    3. “为此网络选择安全方法”“身份验证”中,选择 WPA2(首选)或 WPA。在“加密”中,指定 AESTKIP

      注意

      在 Windows XP 无线网络 (IEEE 802.11) 策略中,WPA2WPA 分别对应于 Windows Vista 无线网络 (IEEE 802.11) 策略“WPA2 - 企业”“WPA - 企业”设置。

      注意

      选择 WPA2 显示快速漫游的其他设置。快速漫游的默认设置能够满足大多数无线部署。

  3. 单击 IEEE 802.1X 选项卡。在“EAP 类型”中,默认情况下“受保护的 EAP (PEAP)”处于选中状态。

    IEEE 802.1X 选项卡上的其余默认设置能够满足大多数无线部署。

  4. 单击“设置”。在“受保护的 EAP 属性”对话框中,进行如下操作:

    1. 选择“验证服务器证书”

    2. 若要指定有线访问客户端必须用来进行身份验证和授权的远程身份验证拨入用户服务 (RADIUS) 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。

    3. “受信任的根证书颁发机构”中,选择向运行网络策略服务器 (NPS) 的服务器颁发服务器证书的受信任的根证书颁发机构 (CA)。

      注意

      此设置将客户端信任的受信任根 CA 限制为所选值。如果未选择任何受信任的根 CA,则客户端将信任其受信任根证书颁发机构存储中的所有受信任根 CA。

    4. 为提高安全性和获得更好的用户体验,请选择“不提示用户验证新服务器或受信任的证书授权机构”

    5. “选择身份验证方法”中,选择“智能卡或其他证书”

    6. 若要启用 PEAP 快速重新连接,请选择“启用快速重新连接”

    7. 若要指定网络访问保护 (NAP) 先在客户端上执行系统健康检查,确保它们满足健康要求后才允许连接到网络,请选择“强制执行网络访问保护”

    8. 若要求提供加密绑定的类型长度值 (TLV),请选择“如果服务器未提供加密绑定的 TLV 则断开连接”

    9. 若要配置客户端,以便在客户端验证 RADIUS 服务器之前不以明文形式发送其标识,请选择“启用标识隐私”,然后在“匿名标识”中键入一个名称或值,或者将该字段留空。

      例如,如果启用了“启用标识隐私”,并使用“guest”作为匿名标识值,则具有 alice@realm 标识的用户的标识响应为 guest@realm。如果选择了“启用标识隐私”,但未提供匿名标识值,则标识响应为 @realm。

    10. 若要配置 PEAP-TLS 属性,请单击“配置”,然后在“智能卡或其他证书属性”中,根据需要配置下列各项:

      • “连接时”中,选择“使用我的智能卡”或同时选择“在此计算机上使用证书”“使用简单证书选择(建议使用)”

      • 若要求访问客户端验证 NPS 服务器证书,请选择“验证服务器证书”

      • 若要指定有线访问客户端必须用来进行身份验证和授权的 RADIUS 服务器,在“连接到这些服务器”中,严格按照服务器证书的主题字段中显示的名称键入每台 RADIUS 服务器的名称。使用分号指定多个 RADIUS 服务器名称。

      • “受信任的根证书颁发机构”中,选择在您的网络中颁发 NPS 服务器证书的 CA。

      • 若要指定客户端使用替换名称进行访问尝试,请选择“为此连接使用一个不同的用户名”

      • 若要在证书的配置不正确或尚未被信任(或者同时满足这两种情况)时防止提示用户信任该服务器证书,请选择“不提示用户验证新服务器或受信任的证书授权机构”。(建议)

      • 单击“确定”关闭“智能卡或其他证书属性”对话框,然后再次单击“确定”关闭“受保护的 EAP (PEAP) 属性”对话框,返回“新建 Vista 有线网络策略属性”对话框。

目录