使用此程序,針對執行 Windows XP 與 Windows Server 2003 的無線電腦,設定受保護的可延伸驗證通訊協定- Microsoft Challenge Handshake 驗證通訊協定第 2 版 (PEAP-MS-CHAP v2) 無線設定檔。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。

針對執行 Windows XP 的電腦設定 PEAP-MS-CHAP v2 無線設定檔
  1. 開啟 [Windows XP 無線網路 (IEEE 802.11) 原則內容] 對話方塊。

    [一般] 索引標籤上,執行下列動作:

    1. [XP 原則名稱] 中,輸入無線原則的名稱。

    2. [描述] 中,輸入原則的描述。

    3. [存取的網路] 中,選取 [任何可用的網路 (偏好是存取點)][只給存取點 (基礎結構) 的網路]

    4. 選取 [用戶端使用 Windows WLAN 自動設定服務]

  2. [慣用網路] 索引標籤上,按一下 [新增],然後選取 [基礎結構]。在 [網路內容] 索引標籤上,設定下列各項:

    1. [網路名稱 (SSID)] 中,輸入網路的服務組識別元 (SSID)。

      附註

      您在此欄位輸入的值必須符合已部署在網路中之存取點上所設定的值。

    2. [描述] 中,輸入 [新增慣用設定內容] 的描述。

    3. 如果您部署的無線存取點已設定為抑制廣播指標,請選取 [即使網路未廣播,還是進行連線]

      安全性 附註

      啟用此選項可能會產生安全性風險,因為無線用戶端將探測並嘗試連線到任何無線網路。根據預設值,此設定不會啟用。

    4. [對此網路選取安全性方法][驗證] 中,選取 [WPA2] (偏好) 或 [WPA]。在 [加密] 中,指定 [AES][TKIP]

      附註

      在 Windows XP 無線網路 (IEEE 802.11) 原則中,[WPA2][WPA] 分別對應至 Windows Vista 無線網路 (IEEE 802.11) 原則 [WPA2-Enterprise][WPA-Enterprise] 設定。WPA-PSK 與 WPA2-PSK 適合不使用 802.1X 驗證的網路。請勿將其用於 802.1X 驗證的無線存取部署。

      附註

      選取 WPA2 會公開 [快速漫遊] 的設定 (若 WPA 已選取時不會顯示)。[快速漫遊] 的預設設定已足夠完成大多數的無線部署。

  3. 按一下 [IEEE 802.1X] 索引標籤。根據預設值,會在 [EAP 類型] 中選取 [受保護的 EAP (PEAP)]

    IEEE 802.1X 索引標籤上的其餘預設設定,已足夠完成大多數的無線部署。

  4. 按一下 [設定]。在 [受保護的 EAP 內容] 對話方塊中,執行下列各項:

    1. 選取 [確認伺服器憑證]

    2. 若要指定無線存取用戶端必須用於驗證與授權的遠端驗證撥號使用者服務 (RADIUS) 伺服器,請在 [連線到這些伺服器] 中,輸入每部 RADIUS 伺服器的名稱 (與出現在伺服器憑證之主體欄位中的名稱完全相同)。使用分號指定多個 RADIUS 伺服器名稱。

    3. [受信任的根憑證授權單位] 中,選取受信任的根憑證授權單位 (CA),此憑證授權單位簽發伺服器憑證給執行網路原則伺服器 (NPS) 的伺服器。

      附註

      這個設定會將用戶端所信任的信任根 CA 限制為選取值。如果沒有選取信任的根 CA,則用戶端會信任其受信任的根憑證授權單位存放區中所有信任的根 CA。

    4. 如需增強的安全性與較佳的使用者經驗,請選取 [不要提示使用者來授權新伺服器或信任的憑證授權單位]

    5. [選取驗證方法] 中,選取 [Secured password (EAP-MSCHAP v2)]

    6. 若要啟用 [PEAP 快速重新連線],請選取 [啟用快速重新連線]

    7. 若要指定網路存取保護 (NAP) 在允許連線到網路之前,對用戶端執行系統健康情況檢查以確保符合健康情況需求,請選取 [強制網路存取保護]

    8. 若要要求加密繫結「類型-長度-值」(TLV),請選取 [如果伺服器未顯示加密繫結的 TLV 就中斷連線]

    9. 若要設定用戶端,使其不會在驗證 RADIUS 伺服器之前以純文字傳送身分識別,請選取 [啟用識別隱私權],然後在 [匿名身分識別] 中輸入名稱或值,或是保留欄位空白。

      例如,如果已啟用 [啟用識別隱私權],而您用 guest 做為匿名身分識別值,則身分識別為 alice@realm 之使用者的身分識別回應就是 guest@realm。如果您選取 [啟用識別隱私權] 但不提供匿名身分識別值,則身分識別回應就是 @realm。

  5. 按一下 [確定] 以儲存 [受保護的 EAP 內容] 設定,然後按一下 [確定] 以儲存原則。


目錄