使用此程序,利用安全密碼為用戶端驗證設定受保護的可延伸驗證通訊協定-Microsoft Challenge Handshake 驗證通訊協定第 2 版 (PEAP-MS-CHAP v2) 設定檔。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。

設定 PEAP-MS-CHAP v2 有線連線的設定檔

  1. [一般] 索引標籤上,執行下列動作:

    1. [原則名稱] 中,輸入有線網路原則的名稱。

    2. [描述] 中,輸入原則的簡短描述。

    3. 確定已選取 [為用戶端使用 Windows 有線自動設定服務]

    4. 若要允許具備執行 Windows 7 之電腦的使用者輸入和儲存其網域認證 (使用者名稱與密碼),讓電腦能夠用以登入網路 (即使使用者並未主動登入),請在 [Windows 7 原則設定] 中,選取 [啟用明確宣告的認證]

    5. 若要指定禁止執行 Windows 7 之電腦嘗試自動連線到網路的期間,請選取 [啟用封鎖期],然後在 [封鎖期 (分鐘)] 中,指定要套用封鎖期的分鐘數。有效範圍是 1-60 分鐘。

      附註

      如需任何索引標籤設定的相關資訊,請在檢視該索引標籤時按 F1。

  2. [安全性] 索引標籤上,執行下列動作:

    1. 選取 [存取網路時啟用 IEEE 802.1X 驗證]

    2. [選取網路驗證方法] 中,選取 [Microsoft: 受保護的 EAP (PEAP)]

    3. [驗證模式] 中,視您的需求選取下列項目:[使用者或電腦驗證] (建議使用)、[電腦驗證][使用者驗證][來賓驗證]。預設會選取 [使用者或電腦驗證]

    4. [驗證失敗的數目上限] 中,指定在通知使用者驗證失敗之前,允許的失敗嘗試數目上限。其值預設為 “1”。

    5. 若要指定在快取中保留使用者認證,請選取 [快取使用者資訊以供此網路的後續連線使用]

  3. 若要設定單一登入或進階 802.1X 設定,請按一下 [進階]。在 [進階] 索引標籤上,執行下列動作:

    1. 若要設定進階 802.1X 設定,請選取 [強制執行進階 802.1X 設定],然後只在必要時修改以下設定:[EAPOL-Start 訊息的上限數][保留週期][開始週期][驗證期間][EAPOL-Start 訊息]

    2. 若要設定單一登入,請選取 [對此網路啟用單一登入],然後在必要時修改以下設定:

      • [在使用者登入前立即執行]

      • [在使用者登入後立即執行]

      • [連線的延遲上限]

      • [單一登入期間允許顯示其他對話方塊]

      • [此網路是使用不同的 VLAN 來驗證機器及使用者的認證]

  4. 按一下 [確定]。此時會關閉 [進階安全性設定] 對話方塊,並返回 [安全性] 索引標籤。在 [安全性] 索引標籤上,按一下 [內容]。此時會開啟 [受保護的 EAP 內容] 對話方塊。

  5. [受保護的 EAP 內容] 對話方塊中,執行下列各項:

    1. 選取 [確認伺服器憑證]

    2. 若要指定無線存取用戶端必須用於驗證與授權的遠端驗證撥號使用者服務 (RADIUS) 伺服器,請在 [連線到這些伺服器] 中,輸入每部 RADIUS 伺服器的名稱 (與出現在伺服器憑證之主體欄位中的名稱完全相同)。使用分號指定多個 RADIUS 伺服器名稱。

    3. [受信任的根憑證授權單位] 中,選取受信任的根憑證授權單位 (CA),此憑證授權單位簽發伺服器憑證給執行網路原則伺服器 (NPS) 的伺服器。

      附註

      這個設定會將用戶端所信任的信任根 CA 限制為選取值。如果沒有選取信任的根 CA,則用戶端會信任其受信任的根憑證授權單位存放區中所有信任的根 CA。

    4. 如需增強的安全性與較佳的使用者經驗,請選取 [不要提示使用者來授權新伺服器或信任的憑證授權單位]

    5. [選取驗證方法] 中,選取 [Secured password (EAP-MSCHAP v2)]

    6. 若要指定啟用 [PEAP 快速重新連線],請選取 [啟用快速重新連線]

    7. 若要指定網路存取保護 (NAP) 在允許連線到網路之前,對用戶端執行系統健康情況檢查以確保符合健康情況需求,請選取 [強制網路存取保護]

    8. 若要要求加密繫結「類型-長度-值」(TLV),請選取 [如果伺服器未顯示加密繫結的 TLV 就中斷連線]

    9. 若要設定用戶端,使其不會在驗證 RADIUS 伺服器之前以純文字傳送身分識別,請選取 [啟用識別隱私權],然後在 [匿名身分識別] 中輸入名稱或值,或是保留欄位空白。

      例如,如果已啟用 [啟用識別隱私權],而您用 guest 做為匿名身分識別值,則身分識別為 alice@realm 之使用者的身分識別回應就是 guest@realm。如果您選取 [啟用識別隱私權] 但不提供匿名身分識別值,則身分識別回應就是 @realm。

    10. 按一下 [確定] 以儲存 [受保護的 EAP 內容] 設定,然後按一下 [確定] 以儲存原則。

目錄