使用此程序設定使用智慧卡或其他憑證進行驗證的受保護的可延伸驗證通訊協定-傳輸層安全性 (TLS) 設定檔。

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。

針對執行 Windows 7 與 Windows Vista 的電腦設定 PEAP-TLS 無線設定檔
  1. 開啟 [新的無線網路 (IEEE 802.11) 原則內容] 對話方塊。

  2. [一般] 索引標籤的 [原則名稱] 中,輸入原則的新名稱或保留預設值。

  3. [描述] 中,輸入原則的描述。

  4. 選取 [使用 Windows 來設定用戶端的無線網路設定],指定使用 WLAN AutoConfig 設定無線網路介面卡設定。

  5. [一般] 索引標籤上,執行下列其中一項:

    • 若要新增和設定新設定檔,請按一下 [新增],然後選取 [基礎結構]

    • 若要編輯現有的設定檔,請選取要修改的設定檔,然後按一下 [編輯]

  6. 如果您要新增設定檔,請在 [連線] 索引標籤的 [設定檔名稱] 中,輸入設定檔的名稱。如果您要編輯已經新增的設定檔,請使用現有的設定檔名稱,或視需要修改名稱。

  7. [網路名稱 (SSID)] 中,輸入無線 AP 的服務組識別元 (SSID),然後按一下 [新增]

    如果您的部署使用多個 SSID,且每個無線 AP 都使用相同的無線安全性設定,請重複此步驟,為您要套用此設定檔的每個無線 AP 新增 SSID。

    如果您的部署使用多個 SSID,且每個 SSID 的安全性設定不相符,請為使用相同安全性設定的每一組 SSID 設定不同的設定檔。例如,如果您有一組無線 AP 設定使用 WPA2-Enterprise 與 AES,而另一組無線 AP 使用 WPA-Enterprise 與 TKIP,請為每一組無線 AP 設定一個設定檔。

  8. 若要指定無線用戶端自動連線到具備 [網路名稱 (SSID)] 指定之 SSID 的無線 AP,請選取 [當這個網路在範圍內時自動連線]

  9. 若要指定無線用戶端依喜好設定順序連線到網路,請選取 [如果有慣用網路,則連線到慣用網路]

  10. 如果您部署的無線存取點已設定為抑制廣播指標,請選取 [即使網路未廣播,還是進行連線]

    安全性 附註

    啟用此選項可能會產生安全性風險,因為無線用戶端將探測並嘗試連線到任何無線網路。根據預設值,此設定不會啟用。

  11. 按一下 [安全性] 索引標籤。如果無線 AP 與無線用戶端網路介面卡支援 WPA2-Enterprise,則可在 [對此網路選取安全性方法][驗證] 中,選取 [WPA2-Enterprise]。否則,選取 [WPA-Enterprise]

    附註

    選取 WPA2 會公開 [快速漫遊] 的設定 (若 WPA 已選取時不會顯示)。[快速漫遊] 的預設設定已足夠完成大多數的無線部署。

  12. 如果無線 AP 與無線用戶端網路介面卡支援 AES,請在 [加密] 中,選取 [AES]。否則,選取 [TKIP]

    附註

    [驗證][加密] 的設定都必須符合在無線 AP 所設定的設定。

  13. [選取網路驗證方法] 中,選取 [Microsoft: 受保護的 EAP (PEAP)]

  14. [驗證模式] 中,視您的需求選取下列項目:[使用者或電腦驗證][電腦驗證][使用者驗證][來賓驗證]。預設會選取 [使用者或電腦驗證]

  15. [驗證失敗的數目上限] 中,指定在通知使用者驗證失敗之前,允許的失敗嘗試數目上限。其值預設為 “1”。

  16. 若要指定在快取中保留使用者認證,請選取 [快取使用者資訊以供此網路的後續連線使用]

  17. 按一下 [進階],然後設定下列各項:

    1. 若要設定進階 802.1X 設定,請在 [IEEE 802.1X] 中,選取 [強制執行進階 802.1X 設定],然後視您的需求設定下列設定:[EAPOL-Start 訊息的上限數][保留週期][開始週期][驗證期間]

      強制執行進階 802.1X 設定時,預設值已足夠完成大多數的無線部署。

    2. 若要啟用單一登入,請選取 [對此網路啟用單一登入]

    3. 若要指定進行單一登入的時機,請視您的需求選取 [在使用者登入前立即執行][在使用者登入後立即執行]

      [單一登入] 中的其餘預設值,已足夠完成一般的無線部署。

    4. 若要指定 802.1X 驗證必須完成和授權網路存取的最長時間 (秒),請在 [連線的延遲上限 (秒)] 中,視您的需求輸入值。

    5. 若要允許單一登入期間的對話方塊,請選取 [單一登入期間允許顯示其他對話方塊]

    6. 若要指定無線電腦在啟動時放在某個虛擬區域網路 (VLAN) 上,並在使用者登入電腦之後轉換到不同的網路,請選取 [此網路是使用不同的 VLAN 來驗證機器及使用者的認證]

    7. 若要啟用 [快速漫遊],請在 [快速漫遊] 中,選取 [啟用成對主鑰 (PMK) 快取][PMK 存留時間 (分)][PMK 快取中的項目數] 的預設值通常已足夠完成 [快速漫遊]。

    8. 如果無線 AP 設定為預先驗證,請選取 [此網路使用預先驗證]。預設值 3 通常已足夠完成 [預先驗證嘗試的上限]

    9. 若要指定加密編譯遵循 FIPS 140-2 檢定模式,請選取 [在 FIPS 140-2 檢定的模式執行加密編譯]

  18. 按一下 [確定] 以儲存您的設定,並返回 [安全性] 索引標籤。

  19. 按一下 [內容]。此時會開啟 [受保護的 EAP 內容] 對話方塊。

  20. [受保護的 EAP 內容] 中,確認已選取 [確認伺服器憑證]

  21. [受信任的根憑證授權單位] 中,選取受信任的根憑證授權單位 (CA),此憑證授權單位簽發伺服器憑證給執行網路原則伺服器 (NPS) 的伺服器。

    附註

    這個設定會將用戶端所信任的信任根 CA 限制為選取的 CA。如果沒有選取信任的根 CA,則用戶端會信任其受信任的根憑證授權單位存放區列出的所有根 CA。

  22. 若要指定無線存取用戶端必須用於驗證與授權的遠端驗證撥號使用者服務 (RADIUS) 伺服器,請在 [連線到這些伺服器] 中,輸入每部 RADIUS 伺服器的名稱 (與出現在伺服器憑證之主體欄位中的名稱完全相同)。使用分號指定多個 RADIUS 伺服器名稱。

  23. 如需增強的安全性與較佳的使用者經驗,請選取 [不要提示使用者來授權新伺服器或信任的憑證授權單位]

  24. [選取驗證方法] 中,選取 [智慧卡或其他憑證]

  25. 若要啟用 [PEAP 快速重新連線],請選取 [啟用快速重新連線]

  26. 若要指定網路存取保護 (NAP) 在允許連線到網路之前,對用戶端執行系統健康情況檢查以確保符合健康情況需求,請選取 [強制網路存取保護]

  27. 若要要求加密繫結「類型-長度-值」(TLV),請選取 [如果伺服器未顯示加密繫結的 TLV 就中斷連線]

  28. 若要設定用戶端,使其不會在驗證 RADIUS 伺服器之前以純文字傳送身分識別,請選取 [啟用識別隱私權],然後在 [匿名身分識別] 中輸入名稱或值,或是保留欄位空白。

    例如,如果已啟用 [啟用識別隱私權],而您用 guest 做為匿名身分識別值,則身分識別為 alice@realm 之使用者的身分識別回應就是 guest@realm。如果您選取 [啟用識別隱私權] 但不提供匿名身分識別值,則身分識別回應就是 @realm。

  29. 按一下 [設定]。在 [智慧卡或其他憑證內容] 對話方塊中的 [連線時],選取 [使用我的智慧卡],或是同時選取 [使用這台電腦上的憑證][使用簡單憑證選取 (建議使用)]

  30. 若要要求存取用戶端驗證 NPS 伺服器憑證,請選取 [確認伺服器憑證]

  31. 若要指定無線存取用戶端必須用於驗證與授權的 RADIUS 伺服器,請在 [連線到這些伺服器] 中,輸入每部 RADIUS 伺服器的名稱 (與出現在伺服器憑證之主體欄位中的名稱完全相同)。使用分號指定多個 RADIUS 伺服器名稱。

  32. [受信任的根憑證授權單位] 中,選取簽發憑證給 NPS 伺服器的 CA。

  33. 若要指定用戶端在嘗試存取時使用替代名稱,請選取 [連線使用不同的使用者名稱]

  34. 若要在憑證設定不正確、尚未獲得信任或兩者皆是的情況下避免提示使用者信任伺服器憑證,請選取 [不要提示使用者來授權新伺服器或信任的憑證授權單位]。(建議選項)

  35. 按一下 [確定] 關閉 [智慧卡或其他憑證內容] 對話方塊,然後再按一下 [確定] 關閉 [受保護的 EAP (PEAP) 內容] 對話方塊,即可返回 [新的無線網路原則內容]


目錄