eap-mschapv2

So definieren Sie die 802.1X-Authentifizierung für drahtlose Netzwerke in Gruppenrichtlinie

  1. Doppelklicken Sie unter Richtlinien für Drahtlosnetzwerke (IEEE 802.11) auf die Richtlinie für drahtlose Netzwerke, für die Sie die 802.1X-Authentifizierung konfigurieren möchten.

  2. Geben Sie auf der Registerkarte Bevorzugte Netzwerke unter Netzwerke an, ob die 802.1X-Authentifizierung für ein vorhandenes drahtloses Netzwerk oder für ein neues drahtloses Netzwerk konfiguriert werden soll:

    • Um die 802.1X-Authentifizierung für ein vorhandenes drahtloses Netzwerk zu konfigurieren, klicken Sie auf das drahtlose Netzwerk, für das die 802.1X-Authentifizierung konfiguriert werden soll, und klicken Sie anschließend auf Bearbeiten.

    • Um die 802.1X-Authentifizierung für ein neues drahtloses Netzwerk zu konfigurieren, klicken Sie auf Hinzufügen.

  3. Führen Sie auf der Registerkarte IEEE 802.1x eine der folgenden Aktionen aus:

    • Um die IEEE 802.1X-Authentifizierung für dieses drahtlose Netzwerk zu aktivieren, aktivieren Sie das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren. Dieses Kontrollkästchen ist standardmäßig aktiviert.

    • Um die IEEE 802.1X-Authentifizierung für dieses drahtlose Netzwerk zu deaktivieren, deaktivieren Sie das Kontrollkästchen Netzwerkzugriffsteuerung mit IEEE 802.1X aktivieren.

  4. Geben Sie in EAPOL-Startmeldung an, ob EAPOL-Startmeldungspakete (Extensible Authentication Protocol over LAN, Extensible Authentication-Protokoll über LAN) übertragen werden sollen und, falls ja, auf welche Weise dies geschehen soll.

  5. Geben Sie in Parameter (Sekunden) die Parameter für EAPOL-Startmeldungspakete an.

  6. Klicken Sie unter EAP-Typ auf den EAP -Typ für dieses drahtlose Netzwerk.

  7. Wenn Sie unter EAP -Typ die Option Smartcard oder anderes Zertifikat auswählen, klicken Sie auf Einstellungen und führen Sie unter Smartcard- oder andere Zertifikateigenschaften die folgende Aktion aus:

    • Um zur Authentifizierung drahtloser Clients das Zertifikat auf der Smartcard zu verwenden, klicken Sie auf Eigene Smartcard verwenden.

    • Um zur Authentifizierung von drahtlosen Clients das Zertifikat im Zertifikatspeicher des Computers zu verwenden, klicken Sie auf Zertifikat auf diesem Computer verwenden, und geben Sie dann an, ob die einfache Zertifikatauswahl verwendet werden soll.

    • Wenn Sie überprüfen möchten, ob das dem Clientcomputer präsentierte Serverzertifikat noch gültig ist, aktivieren Sie das Kontrollkästchen Serverzertifikat überprüfen und klicken Sie auf das Kontrollkästchen Verbindung mit diesen Servern herstellen. Geben Sie anschließend an, zu welchem Server bzw. welchen Servern der Clientcomputer automatisch eine Verbindung herstellt, und geben Sie dann die vertrauenswürdigen Stammzertifizierungsstellen an.

    • Wenn Benutzer ausführliche Informationen zur ausgewählten Stammzertifizierungsstelle anzeigen können sollen, klicken Sie auf Zertifikat anzeigen.

    • Wenn Benutzer einen anderen Benutzernamen verwenden können sollen, falls der Benutzername auf der Smartcard oder im Zertifikat nicht mit dem Benutzernamen in der Domäne übereinstimmt, an der sie sich anmelden, aktivieren Sie das Kontrollkästchen Anderen Benutzernamen für die Verbindung verwenden.

  8. Wenn Sie unter EAP -Typ die Option Geschütztes EAP (PEAP) ausgewählt haben, klicken Sie auf Einstellungen, und führen Sie dann eine der folgenden Aktionen aus:

    • Wenn Sie überprüfen möchten, ob das dem Clientcomputer präsentierte Serverzertifikat noch gültig ist, aktivieren Sie das Kontrollkästchen Serverzertifikat überprüfen, und klicken Sie auf das Kontrollkästchen Verbindung mit diesen Servern herstellen. Geben Sie anschließend an, zu welchem Server bzw. welchen Servern der Clientcomputer automatisch eine Verbindung herstellt, und geben Sie dann die vertrauenswürdige Stammzertifizierungsstelle an.

    • Klicken Sie im Feld Authentifizierungsmethode auswählen auf die Authentifizierungsmethode, die Clients in PEAP verwenden sollen, und klicken Sie anschließend auf Konfigurieren.

      • Wenn Sie die Option Sicheres Kennwort (EAP -MSCHAP v2) ausgewählt haben, geben Sie in EAP - MSCHAPv2-Eigenschaften an, ob der Benutzername und das Kennwort (und ggf. die Domäne) verwendet werden sollen, die Benutzer in den Windows-Anmeldebildschirm zur Authentifizierung eingeben, und klicken Sie dann auf OK.

      • Wenn Sie die Option Smartcard oder anderes Zertifikat ausgewählt haben, dann konfigurieren Sie in Smartcard- oder andere Zertifikateigenschaften die erforderlichen Einstellungen, indem Sie die Anweisungen in Schritt 7 befolgen, und klicken Sie anschließend auf OK.

    • Wenn Sie die schnelle Wiederherstellung der Verbindung für drahtlose Clients aktivieren möchten, aktivieren Sie das Kontrollkästchen Schnelle Wiederherstellung der Verbindung aktivieren. Weitere Informationen zur schnellen Wiederherstellung der Verbindung mit PEAP finden Sie unter "Hinweise".

  9. Führen Sie auf der Registerkarte IEEE 802.1x die folgenden Aktionen aus:

    • Um anzugeben, dass Clientcomputer die Authentifizierung am Netzwerk versuchen sollen, wenn Benutzer- oder Computerinformationen nicht verfügbar sind, aktivieren Sie das Kontrollkästchen Als Gast authentifizieren, wenn Benutzer- oder Computerinformationen nicht verfügbar sind.

    • Um anzugeben, dass Clientcomputer die Authentifizierung am Netzwerk versuchen sollen, wenn kein Benutzer angemeldet ist, aktivieren Sie das Kontrollkästchen Als Computer authentifizieren, wenn Computerinformationen verfügbar sind. Klicken Sie dann unter Computerauthentifizierung auf eine Option, um festzulegen, wie der Computer eine Authentifizierung versuchen soll. Informationen zu den einzelnen für Computerauthentifizierung verfügbaren Optionen finden Sie unter "Hinweise".

Wichtig

  • Es wird dringend empfohlen, 802.1X-Authentifizierung bei jeder Verbindung zu einem drahtlosen 802.11-Netzwerk zu verwenden. 802.1X ist ein IEEE-Standard, der zur Verbesserung der Sicherheit und Bereitstellung beiträgt, indem er Unterstützung für zentralisierte Benutzeridentifikation, Authentifizierung, dynamische Schlüsselverwaltung und Kontoführung bereitstellt.

  • Zur Erhöhung der Sicherheit steht im Windows XP Service Pack 1 und in der Windows Server 2003-Produktfamilie die 802.1X-Authentifizierung nur für Zugriffspunktnetzwerke (Infrastruktur) zur Verfügung, die die Verwendung eines Netzwerkschlüssels (WEP) erfordern. WEP gewährleistet Datenvertraulichkeit durch Verschlüsselung von Daten, die zwischen drahtlosen Clients und drahtlosen Zugriffspunkten versendet werden. Weitere Informationen zur Sicherheit für drahtlose Netzwerke finden Sie unter "Verwandte Themen".


Hinweise

  • Für die Durchführung dieses Verfahrens müssen Sie ein Mitglied der Gruppe Domänen-Admins in Active Directory sein, oder Sie müssen über die Berechtigung zum Bearbeiten von Gruppenrichtlinienobjekten verfügen. (Weitere Informationen finden Sie unter "Verwandte Themen".) Aus Sicherheitsgründen sollten Sie dieses Verfahren mithilfe von Ausführen als ausführen.

  • Zum Öffnen von Richtlinien für Drahtlosnetzwerke (IEEE 802.11) müssen Sie auf Active Directory-basierte Richtlinien für drahtlose Netzwerke zugreifen. Weitere Informationen finden Sie unter "Verwandte Themen".

  • Zur Definition der 802.1X-Authentifizierung müssen Sie ein vorhandenes bevorzugtes drahtloses Netzwerk auswählen oder ein neues bevorzugtes drahtloses Netzwerk definieren. Weitere Informationen zum Definieren von bevorzugten drahtlosen Netzwerken finden Sie unter "Verwandte Themen".

  • Mithilfe der schnellen Wiederherstellung der Verbindung mit PEAP können mobile Benutzer dauerhafte Konnektivität zum drahtlosen Netzwerk unterhalten, während sie zwischen unterschiedlichen drahtlosen Zugriffspunkten in einem Netzwerk wechseln, solange jeder drahtlose Zugriffspunkt als ein Client desselben IAS-Servers (RADIUS-Servers) konfiguriert ist. Zudem muss sowohl auf dem drahtlosen Client als auch dem RADIUS-Server die schnelle Wiederherstellung der Verbindung aktiviert sein.

  • Falls Sie das Kontrollkästchen Als Computer authentifizieren, wenn Computerinformationen verfügbar sind aktivieren, können Sie eine der folgenden Optionen auswählen:

    • Mit Benutzerauthentifizierung Wenn diese Option aktiviert ist und Benutzer nicht am Computer angemeldet sind, erfolgt die Authentifizierung mithilfe der Computeranmeldeinformationen. Nachdem sich ein Benutzer am Computer angemeldet hat, erfolgt die Authentifizierung weiterhin mithilfe der Computeranmeldeinformationen. Bewegt sich ein Benutzer zu einem neuen drahtlosen Zugriffspunkt, erfolgt die Authentifizierung mithilfe der Benutzeranmeldeinformationen.

    • Mit wiederholter Benutzerauthentifizierung (empfohlen) Wenn diese Option aktiviert ist und Benutzer nicht am Computer angemeldet sind, erfolgt die Authentifizierung mithilfe der Computeranmeldeinformationen. Nachdem sich ein Benutzer am Computer angemeldet hat, erfolgt die Authentifizierung mithilfe der Benutzeranmeldeinformationen. Nachdem sich ein Benutzer am Computer abgemeldet hat, erfolgt die Authentifizierung mithilfe der Computeranmeldeinformationen.

Nur Computer. Wenn diese Option aktiviert ist, wird die Authentifizierung immer mithilfe der Computeranmeldeinformationen ausgeführt. Es erfolgt keine Benutzerauthentifizierung