Mithilfe dieses Verfahrens können Sie PEAP-TLS-Drahtlosprofile (Protected Extensible Authentication-Protokoll-Transport Layer Security) für Drahtloscomputer unter Windows XP und Windows Server 2003 konfigurieren.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können.

So konfigurieren Sie ein PEAP-TLS-Drahtlosprofil für Computer unter Windows XP

  1. Öffnen Sie das Eigenschaftendialogfeld Neue XP-Drahtlosnetzwerkrichtlinie (IEEE 802.11).

    Führen Sie auf der Registerkarte Allgemein die folgenden Aktionen aus:

    1. Geben Sie in das Feld XP-Richtlinienname einen Namen für die Drahtlosrichtlinie ein.

    2. Geben Sie in das Feld Beschreibung eine Beschreibung der Richtlinie ein.

    3. Wählen Sie in Netzwerke, auf die zugegriffen werden soll entweder Nur Zugriffspunktnetzwerke (Infrastruktur) oder Beliebiges verfügbares Netzwerk (Zugriffspunkt wird bevorzugt) aus.

    4. Wählen Sie Windows für die Drahtlosnetzwerkkonfiguration für Clients verwenden aus.

  2. Klicken Sie auf der Registerkarte Bevorzugte Netzwerke auf Hinzufügen, und wählen Sie dann Infrastruktur aus. Konfigurieren Sie auf der Registerkarte Netzwerkeigenschaften Folgendes:

    1. Geben Sie in das Feld Netzwerkname (SSID) die SSID (Service Set Identifier) für das Netzwerk ein.

      Hinweis

      Der in dieses Feld eingegebene Wert muss mit dem Wert übereinstimmen, der für die im Netzwerk bereitgestellten Zugriffspunkte konfiguriert ist.

    2. Geben Sie in das Feld Beschreibung eine Beschreibung für Neue bevorzugte Einstellung ein.

    3. Wählen Sie in Sicherheitsmethoden für dieses Netzwerk auswählen in Authentifizierung entweder WPA2 (bevorzugt) oder WPA aus. Unter Verschlüsselung geben Sie AES oder TKIP an.

      Hinweis

      In Windows XP-Drahtlosnetzwerkrichtlinien (IEEE 802.11) entsprechen WPA2 und WPA den Einstellungen WPA2-Enterprise bzw. Firmenweiter WPA für Windows Vista-Drahtlosnetzwerkrichtlinien (IEEE 802.11).

      Hinweis

      Wenn Sie WPA2 auswählen, werden zusätzliche Einstellungen für die schnelle Serverspeicherung verfügbar gemacht. Die Standardeinstellungen für die schnelle Serverspeicherung sind für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.

  3. Klicken Sie auf die Registerkarte IEEE 802.1X. In EAP-Typ ist standardmäßig die Option Geschütztes EAP (PEAP) ausgewählt.

    Die restlichen Standardeinstellungen auf der Registerkarte IEEE 802.1X sind für die meisten Bereitstellungen von Drahtlosnetzwerken ausreichend.

  4. Klicken Sie auf Einstellungen. Führen Sie im Dialogfeld Eigenschaften für geschütztes EAP die folgenden Aktionen aus:

    1. Wählen Sie Serverzertifikat überprüfen aus.

    2. Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server (Remote Authentication Dial-In User Service) genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.

    3. Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die vertrauenswürdige Stammzertifizierungsstelle (Certification Authority, CA) aus, von der das Serverzertifikat für den Netzwerkrichtlinienserver (Network Policy Server, NPS) ausgestellt wurde.

      Hinweis

      Mit dieser Einstellung werden die vertrauenswürdigen Stammzertifizierungsstellen, denen die Clients vertrauen, auf die ausgewählten Werte begrenzt. Wenn keine vertrauenswürdigen Stammzertifizierungsstellen ausgewählt sind, vertrauen die Clients allen vertrauenswürdigen Stammzertifizierungsstellen im Speicher vertrauenswürdiger Stammzertifizierungsstellen.

    4. Wenn Sie die Sicherheit und die Benutzerfreundlichkeit verbessern möchten, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus.

    5. Wählen Sie in Authentifizierungsmethode auswählen die Option Smartcard- oder anderes Zertifikat aus.

    6. Zum Aktivieren der schnellen PEAP-Wiederherstellung wählen Sie Schnelle Wiederherstellung der Verbindung aktivieren aus.

    7. Wählen Sie Netzwerkzugriffsschutz erzwingen aus, um anzugeben, dass durch den Netzwerkzugriffsschutz (Network Access Protection, NAP) Systemintegritätsprüfungen auf Clients ausgeführt werden, bevor Verbindungen mit dem Netzwerk zugelassen werden. Dadurch soll sichergestellt werden, dass die Clients den die Integritätsanforderungen erfüllen.

    8. Wählen Sie Verbindung trennen, wenn Server kein Kryptografiebindungs-TLV vorweist aus, um Kryptografiebindungs-TLV erforderlich zu machen.

    9. Wählen Sie Identitätsdatenschutz aktivieren aus, und geben Sie in Anonyme Identität einen Namen oder Wert ein, oder lassen Sie das Feld leer, um die Clients so zu konfigurieren, dass diese nicht ihre Identität als Klartext senden, bevor der RADIUS-Server vom Client authentifiziert wurde.

      Wenn beispielsweise Identitätsdatenschutz aktivieren aktiviert ist und Sie den Wert guest für die anonyme Identität verwenden, wird für einen Benutzer mit der Identität alice@realm die Identitätsantwort guest@realm verwendet. Wenn Sie Identitätsdatenschutz aktivieren auswählen, ohne einen Wert für die anonyme Identität bereitzustellen, lautet die Identitätsantwort @realm.

    10. Zum Konfigurieren von PEAP-TLS-Eigenschaften klicken Sie auf Konfigurieren, und konfigurieren Sie dann in Smartcard- oder andere Zertifikateigenschaften die folgenden Elemente gemäß Ihren Anforderungen:

      • Wählen Sie in Beim Herstellen der Verbindung entweder Eigene Smartcard verwenden oder Zertifikat auf diesem Computer verwenden und Einfache Zertifikatauswahl verwenden (empfohlen) aus.

      • Wählen Sie Serverzertifikat überprüfen aus, damit Zugriffsclients das NPS-Serverzertifikat überprüfen müssen.

      • Geben Sie in Verbindung mit diesen Servern herstellen die Namen der einzelnen RADIUS-Server genau so ein, wie sie im Feld für den Antragsteller des Serverzertifikats angezeigt werden, um anzugeben, welche RADIUS-Server von den verkabelten Zugriffsclients für Authentifizierung und Autorisierung verwendet werden müssen. Verwenden Sie Semikolons, um mehrere RADIUS-Servernamen anzugeben.

      • Wählen Sie unter Vertrauenswürdige Stammzertifizierungsstellen die Zertifizierungsstelle aus, von der NPS-Serverzertifikate im Netzwerk ausgestellt werden.

      • Wenn Sie angeben möchten, dass Clients für den Zugriffsversuch einen alternativen Namen verwenden, wählen Sie Anderen Benutzernamen für die Verbindung verwenden aus.

      • Wenn Sie verhindern möchten, dass Benutzer aufgefordert werden, einem Serverzertifikat zu vertrauen, wenn dieses Zertifikat nicht richtig konfiguriert ist und/oder nicht bereits vertrauenswürdig ist, wählen Sie Keine Benutzeraufforderung zur Autorisierung neuer Server oder vertrauenswürdiger Zertifizierungsstellen aus. (Empfohlen)

      • Klicken Sie auf OK, um das Dialogfeld Smartcard- oder andere Zertifikateigenschaften zu schließen, und klicken Sie dann erneut auf OK, um das Dialogfeld Eigenschaften für geschütztes EAP (PEAP) zu schließen und zu den Eigenschaften der neuen Vista-Richtlinie für verkabelte Netzwerke zurückzukehren.

Inhaltsverzeichnis