Verwenden Sie dieses Verfahren, um ein PEAP-TLS-Profil (Protected Extensible Authentication-Protokoll-Transport Layer Security) für die Clientauthentifizierung mit Smartcards oder anderen Zertifikaten zu konfigurieren.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

So konfigurieren Sie ein Profil für verkabelte PEAP-TLS-Verbindungen
  1. Führen Sie auf der Registerkarte Allgemein die folgenden Aktionen aus:

    1. Geben Sie in das Feld Richtlinienname einen Namen für die Richtlinie für verkabelte Netzwerke ein.

    2. Geben Sie in das Feld Beschreibung eine kurze Beschreibung der Richtlinie ein.

    3. Stellen Sie sicher, dass die Option Windows-Dienst für automatische Konfiguration verkabelter Netzwerke für Clients verwenden aktiviert ist.

    4. Wenn Sie zulassen möchten, dass Benutzer mit Computern unter Windows 7 Domänenanmeldeinformationen (Benutzername und Kennwort) eingeben und speichern, die dann vom Computer für die Anmeldung am Netzwerk verwendet werden können (obwohl der Benutzer nicht aktiv angemeldet ist), wählen Sie in Windows 7-Richtlinieneinstellungen die Option Explizite Anmeldeinformationen aktivieren aus.

    5. Zum Angeben des Zeitraums, in dem Computer unter Windows 7 keine automatischen Verbindungsversuche mit dem Netzwerk ausführen dürfen, wählen Sie Blockierungszeitraum aktivieren aus. Geben Sie dann in Blockierungszeitraum (Minuten) die Anzahl der Minuten an, auf die der Blockierungszeitraum angewendet werden soll. Gültig sind Minuten im Bereich 1 - 60.

      Hinweis

      Weitere Informationen zu den Einstellungen auf einer Registerkarte erhalten Sie, wenn Sie F1 drücken, während die entsprechende Registerkarte angezeigt wird.

  2. Führen Sie auf der Registerkarte Sicherheit die folgenden Aktionen aus:

    1. Wählen Sie IEEE 802.1X-Authentifizierung für Netzwerkzugriff aktivieren aus.

    2. Wählen Sie unter Netzwerkauthentifizierungsmethode auswählen die Option Microsoft: Geschütztes EAP (PEAP) aus.

    3. Wählen Sie unter Authentifizierungsmodus abhängig von den Anforderungen eine der folgenden Optionen aus: Benutzer- oder Computerauthentifizierung, Computerauthentifizierung, Benutzerauthentifizierung oder Gastauthentifizierung. Standardmäßig ist Benutzer- oder Computerauthentifizierung ausgewählt.

    4. Geben Sie unter Max. Authentifizierungsfehler an, nach wie vielen Authentifizierungsfehlern der Benutzer benachrichtigt wird, dass bei der Authentifizierung ein Fehler aufgetreten ist. Standardmäßig ist der Wert auf 1 festgelegt.

    5. Wählen Sie Benutzerinformationen für zukünftige Verbindungen mit diesem Netzwerk zwischenspeichern aus, um anzugeben, dass Benutzeranmeldeinformationen im Cache gespeichert werden.

  3. Klicken Sie auf Erweitert, um das einmalige Anmelden oder erweiterte 802.1X-Einstellungen zu konfigurieren. Führen Sie auf der Registerkarte Erweitert die folgenden Aktionen aus:

    1. Zum Konfigurieren erweiterter 802.1X-Einstellungen wählen Sie Erweiterte 802.1X-Einstellungen erzwingen aus, und ändern Sie dann gegebenenfalls die Einstellungen für: Max. EAPOL-Start-Meld., Wartezeitraum, Startzeitraum, Authentifizierungszeitraum und EAPOL-Startmeldung

    2. Zum Konfigurieren des einmaligen Anmeldens wählen Sie Einmaliges Anmelden für dieses Netzwerk aktivieren aus, und ändern Sie dann gegebenenfalls die Einstellungen für:

      • Unmittelbar vor der Benutzeranmeldung ausführen

      • Unmittelbar nach der Benutzeranmeldung ausführen

      • Max. Verzögerung der Konnektivität

      • Anzeige zusätzlicher Dialoge während der Einzelanmeldung zulassen

      • Netzwerk verwendet ein anderes VLAN zur Authentifizierung mit Computer- und Benutzeranmeldeinformationen

  4. Klicken Sie auf OK. Das Dialogfeld Erweiterte Sicherheitseinstellungen wird geschlossen, und die Registerkarte Sicherheit wird wieder angezeigt. Klicken Sie auf der Registerkarte Sicherheit auf Eigenschaften. Das Dialogfeld Eigenschaften für geschütztes EAP wird geöffnet.

  5. Führen Sie im Dialogfeld Eigenschaften für geschütztes EAP die folgenden Aktionen aus:

    1. Wählen Sie Serverzertifikat überprüfen aus.

    2. Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server (Remote Authentication Dial-In User Service) genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.

    3. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die vertrauenswürdige Stammzertifizierungsstelle (Certification Authority, CA) aus, von der das Serverzertifikat für die Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgestellt wurde.

      Hinweis

      Mit dieser Einstellung werden die vertrauenswürdigen Stammzertifizierungsstellen, denen die Clients vertrauen, auf die ausgewählten Werte begrenzt. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, vertrauen die Clients allen vertrauenswürdigen Stammzertifizierungsstellen im Speicher vertrauenswürdiger Stammzertifizierungsstellen.

    4. Wenn Sie die Sicherheit und die Benutzerfreundlichkeit verbessern möchten, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus.

    5. Wählen Sie in Authentifizierungsmethode auswählen die Option Smartcard- oder anderes Zertifikat aus.

    6. Zum Aktivieren der schnellen PEAP-Wiederherstellung wählen Sie Schnelle Wiederherstellung der Verbindung aktivieren aus.

    7. Wählen Sie Netzwerkzugriffsschutz erzwingen aus, um anzugeben, dass durch den Netzwerkzugriffsschutz (Network Access Protection, NAP) Systemintegritätsprüfungen auf Clients ausgeführt werden, bevor Verbindungen mit dem Netzwerk zugelassen werden. Dadurch soll sichergestellt werden, dass die Clients den die Integritätsanforderungen erfüllen.

    8. Wählen Sie Verbindung trennen, wenn Server kein Kryptografiebindungs-TLV vorweist aus, um Kryptografiebindungs-TLV erforderlich zu machen.

    9. Wählen Sie Identitätsdatenschutz aktivieren aus, und geben Sie dann in Anonyme Identität einen Namen oder Wert ein, oder lassen Sie das Feld leer, um die Clients so zu konfigurieren, dass diese nicht ihre Identität als Klartext senden, bevor der RADIUS-Server vom Client authentifiziert wurde.

      Wenn beispielsweise Identitätsdatenschutz aktivieren aktiviert ist und Sie den Wert guest für die anonyme Identität verwenden, wird für einen Benutzer mit der Identität alice@realm die Identitätsantwort guest@realm verwendet. Wenn Sie Identitätsdatenschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität bereitzustellen, lautet die Identitätsantwort @realm.

    10. Zum Konfigurieren von PEAP-TLS-Eigenschaften klicken Sie auf Konfigurieren, und konfigurieren Sie dann in Smartcard- oder andere Zertifikateigenschaften die folgenden Elemente gemäß Ihren Anforderungen:

      • Wählen Sie in Beim Herstellen der Verbindung entweder Eigene Smartcard verwenden oder Zertifikat auf diesem Computer verwenden und Einfache Zertifikatauswahl verwenden (empfohlen) aus.

      • Wählen Sie Serverzertifikat überprüfen aus, damit Zugriffsclients das NPS-Serverzertifikat überprüfen müssen.

      • Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.

      • Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die Zertifizierungsstelle aus, von der NPS-Serverzertifikate im Netzwerk ausgestellt werden.

      • Wenn Sie angeben möchten, dass Clients für den Zugriffsversuch einen alternativen Namen verwenden, wählen Sie Anderen Benutzernamen für die Verbindung verwenden aus.

      • Wenn Sie verhindern möchten, dass Benutzer aufgefordert werden, einem Serverzertifikat zu vertrauen, wenn dieses Zertifikat nicht richtig konfiguriert ist und/oder nicht bereits vertrauenswürdig ist, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus. (Empfohlen)

      • Klicken Sie auf OK, um das Dialogfeld Smartcard- oder andere Zertifikateigenschaften zu schließen, und klicken Sie dann erneut auf OK, um das Dialogfeld Eigenschaften für geschütztes EAP (PEAP) zu schließen. Daraufhin wird wieder das Dialogfeld Eigenschaften von Neue Richtlinie für verkabelte Netzwerke angezeigt.


Inhaltsverzeichnis