Çekirdek Ağ Yardımcısı Kılavuzu: Bilgisayar ve kullanıcı sertifikalarını dağıtma
Uygulama Hedefi: Windows Server 2012
Windows Server® 2012 Çekirdek Ağ Kılavuzu planlama ve dağıtma tam olarak çalışan bir ağ ve yeni bir ormanda yeni bir Active Directory® etki alanı için gerekli bileşenleri için yönergeler sağlar.
Yardımcı bu kılavuz Çekirdek Ağ üzerinde Active Directory Sertifika Hizmetleri (AD CS) ile istemci bilgisayar ve kullanıcı sertifikalarını dağıtma için yönergeler sağlayarak nasıl oluşturulacağını açıklar.
Bu kılavuz aşağıdaki bölümlerden oluşur.
Bu kılavuzu kullanmak için önkoşullar
Bu kılavuz hakkında
Bu kılavuzda sunulmayanlar
Teknolojiye genel bakışlar
Bu kılavuzu kullanmak için önkoşullar
Bu, Windows Server 2012 Çekirdek Ağ Kılavuzuna yardımcı bir kılavuzdur. Bu kılavuz ile bilgisayar ve kullanıcı sertifikalarını dağıtmak için önce aşağıdakileri yapmanız gerekir.
Çekirdek Ağ Kılavuzu kullanarak Çekirdek Ağ dağıtabilir veya zaten yüklü ve ağınızdaki düzgün Çekirdek Ağ Kılavuzu'nda teknolojiler sağlamış. Bu teknolojiler TCP/IP v4, DHCP, Active Directory Etki Alanı Hizmetleri (AD DS), DNS, NPS ve Web Sunucusu’nu (IIS) içerir.
Not
Windows Server 2012 Çekirdek Ağ Kılavuzu kullanılabilir Windows Server 2012 Teknik Kitaplığı (https://go.microsoft.com/fwlink/?LinkId=154884).
Çekirdek Ağ Kılavuzu da adresindeki Microsoft TechNet Gallery Word biçiminde kullanılabilir (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea).
Bilgisayar sertifikalarını veya kullanıcı sertifikaları ağ erişimi kimlik doğrulaması için sertifika tabanlı kimlik doğrulama yöntemlerini kullanıyorsanız, NPS sunucuları, RRAS sunucuları veya Çekirdek Ağ Yardımcısı kılavuzu kullanarak hem de sunucu sertifikaları dağıtmanız gerekir: sunucu sertifika dağıtımı; veya ortak anahtar altyapısı (PKI) dağıtmış olmanız gerekir ve gereksinimlerini sunucu sertifikalarını ağ erişimi kimlik doğrulaması.
Not
Windows Server 2012 Çekirdek Ağ Yardımcısı Kılavuzu: sunucu sertifika dağıtımı kullanılabilir Windows Server 2012 Teknik Kitaplığı (https://go.microsoft.com/fwlink/p/?LinkId=251948).
Çekirdek Ağ Yardımcısı Kılavuzu: Sunucu sertifika dağıtımı da adresindeki Microsoft TechNet Gallery Word biçiminde kullanılabilir (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7).
Bu kılavuz hakkında
Bu kılavuz, AD CS kullanarak etki alanı üyesi bilgisayarlar ve etki alanı kullanıcıları için istemci bilgisayar ve kullanıcı sertifikalarını dağıtma için yönergeler sağlar.
Kullanıcıları ve bilgisayarları yetkilendirmede güçlü bir güvenlik sağladıkları ve daha az güvenli olan parola tabanlı kimlik doğrulama yöntemlerine duyulan ihtiyacı ortadan kaldırdıkları için ağ erişimi kimlik doğrulaması için sertifikalar kullanılır.
İstemci bilgisayarlar veya kullanıcılar için sırasında ağ bağlantısı aracılığıyla ağ erişim sunucuları gibi 802.1 X özellikli anahtarlar ve kablosuz erişim noktaları çalışır, sunucu kimlik doğrulaması için sertifikalar gereklidir ve Genişletilebilir Kimlik Doğrulama Protokolü Aktarım Katmanı Güvenliği (EAP-TLS) veya Korumalı EAP (PEAP-TLS) TLS ile dağıttığınızda, sanal özel ağ (VPN) sunucuları ve çalıştıran bilgisayarlar Windows Server 2012 ve Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) veya Windows Server 2008 ve Terminal Hizmetleri Ağ Geçidi (TH Ağ Geçidi).
Not
RADIUS sunucuları bağlantı isteklerini ve diğer RADIUS iletileri göndermek için RADIUS protokolü kullandıkları için ağ erişim sunucuların tümü uzak kimlik doğrulama arama kullanıcı hizmeti (RADIUS) istemcileri de denir. RADIUS sunucusu bağlantı isteklerini işlemek ve kimlik doğrulama ve yetkilendirme gerçekleştirin. RADIUS sunucusu ve proxy Windows Server 2012 Ağ İlkesi Sunucusu (NPS).
AD CS EAP ve PEAP sertifika tabanlı kimlik doğrulama yöntemleri ile sertifikalarını dağıtma aşağıdaki faydaları sağlar:
NPS, RRAS sunucusu, kullanıcı veya istemci bilgisayar için bir özel anahtar çalıştıran sunucunun bağlayan sertifika tabanlı kimlik doğrulama ile sağlanan güvenlik
Otomatik olarak kaydetmesine izin vererek sertifikaların yönetilmesi için düşük maliyetli ve güvenli bir yöntem yenileyin ve etki alanı üyesi bilgisayarlar ve etki alanı kullanıcıları için sertifikaları iptal
Sertifika yetkilisi (CA) yönetmek için verimli bir yöntemi
Bilgisayar, kullanıcı veya sunucu kimlik doğrulaması dışında amaçlar için kullanılan sertifikaları diğer türleri dağıtma yeteneği. Örneğin, kullanıcıların e-posta dijital olarak imzalamak için erişmelerini sağlayan sertifikalar dağıtabilir veya yazılım kod imzalama için kullanılan sertifikaları verebilir.
Bu Kılavuzu'ndaki yönergeleri izlediğinizden ağ ve sistem yöneticileri için tasarlanmıştır Windows Server 2012 bir ağ dağıtmak için Çekirdek Ağ Kılavuzu veya için daha önce çekirdek ağa dahil teknolojilerini dağıtan, Active Directory etki alanı Hizmetleri (AD DS), etki alanı adı sistemi (DNS), Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP), TCP/IP, ağ ilkesi sunucusu (NPS) ve Web sunucusu (IIS) dahil olmak üzere.
Bu dağıtım senaryosunda kullanılan teknolojilerin her biri için tasarım ve dağıtım kılavuzlarını gözden geçirmeniz önerilir. Bu kılavuzlar bu dağıtım senaryosu kuruluş ağınız için gereken yapılandırma ve hizmetleri sağlayan belirlemenize yardımcı olabilir.
Bilgisayar ve kullanıcı sertifikalarını dağıtma gereksinimleri
Otomatik kayıt kullanarak istemci bilgisayar ve kullanıcı sertifikalarını dağıtma gereksinimleri aşağıda verilmiştir:
AD DS yüklü diğer ağ teknolojileri gibi yönergeleri göre Windows Server 2012 Çekirdek Ağ Kılavuzu.
İstemci bilgisayar ve kullanıcı sertifikalarını otomatik kaydını gerçekleştirmek için CA'nız çalışmalıdır Windows Server 2008 veya Windows Server® 2008 R2 Enterprise veya Datacenter işletim sistemini ve gereken olabilir; bir sertifika veren CA'dan veya CA'nız çalıştırıyor olmanız gerekir Windows Server 2012 işletim sistemi Standard, Enterprise veya Datacenter ve bir sertifika veren CA'dan olmalıdır. AD CS tek bir sunucu üzerinde dağıtılabilir olsa da, birçok dağıtımında iki katmanı ortak anahtar altyapısı alt CA'lar yapılandırılmış birden çok sunucuyla kullanın.
EAP-TLS veya PEAP-TLS dağıtmak için NPS sunucularını sunucu sertifikalarını kaydetmek ve sanal özel ağ (VPN) sunucuları, çalıştıran bilgisayarlara olarak RRAS sunucuları kullanıyorsanız Windows Server 2008, Windows Server® 2008 R2, veya Windows Server 2012 ve Yönlendirme ve Uzaktan Erişim hizmeti (RRAS). Bu kılavuz, otomatik kayıtlı sunucu sertifikaları ile uyumlu olarak varsayar Windows Server 2012 Çekirdek Ağ Yardımcısı Kılavuzu: dağıtma sunucu HTML biçiminde kullanılabilir olan sertifikaları Windows Server 2012 Teknik Kitaplığı (https://technet.microsoft.com/en-us/library/jj125379).
Not
RRAS sunucusu bir veya daha fazla VPN sunucusu olarak dağıtmak ve NPS yüklü olmayan, ağ ilkeleri ve bu ilkelerinde kimlik doğrulama yöntemlerini ayrı ayrı her zaman alabilir ve yapılandırma hataları Fırsatları oluşturabilmeniz için RRAS sunucusu yapılandırılır. NPS yüklediğinizde, RRAS sunucularını RADIUS istemcileri olarak olarak yapılandırın ve ardından NPS tüm ilkeler ve ilke kullanılan kimlik doğrulama yöntemleri merkezi olarak yönetmek için kullanın.
VPN için PEAP veya EAP dağıtmak için Yönlendirme ve Uzaktan erişim VPN sunucusu olarak yapılandırılmış dağıtmanız gerekir. NPS kullanımı isteğe bağlıdır; birden fazla VPN sunucusu varsa, ancak, NPS kullanarak NPS sağlayan RADIUS Hesap Hizmetleri ve yönetim kolaylığı için önerilir.
TH Ağ geçidi için PEAP veya EAP dağıtmak için Windows Server 2008 veya RD Ağ Geçidi Windows Server 2012, TH Ağ geçidi ve NPS veya RD Ağ geçidi ve NPS, sırasıyla dağıtmanız gerekir.
802.1 X güvenli PEAP veya EAP dağıtmak için kablolu veya kablosuz, NPS ve 802.1 X özellikli anahtarlar veya kablosuz erişim noktaları gibi ek donanım dağıtmanız gerekir.
Bu kılavuzda sunulmayanlar
Bu kılavuz hakkında bilgi sağlamaz:
Akıllı kart ile istemci bilgisayar ve kullanıcı sertifikalarını dağıtma konusunda.
Otomatik kayıt ile sunucu sertifikaları dağıtma konusunda.
Nasıl tasarım ve AD CS kullanarak ortak anahtar altyapısı (PKI) dağıtın. Bu kılavuzda teknolojileri dağıtmadan önce AD CS tasarım ve dağıtım belgelerini gözden geçirin önerilir. Daha fazla bilgi için bkz: ek kaynaklar.
Sunucu için sertifikalar kullanılabilir ağ erişim teknolojileri dağıtmak nasıl. Diğer Yardımcısı Kılavuzu, bu ağ erişim çözümlerini dağıtmak için talimatları sağlamak kullanılabilir olabilir. Bu bilgi için NPS belgelerine gözden isteyebilirsiniz.
Teknolojiye genel bakışlar
Teknoloji genel bakış için istemci bilgisayar ve kullanıcı sertifikaları, EAP, PEAP ve AD CS verilmiştir.
AD CS
AD CS içinde Windows Server 2012 oluşturmak ve genel anahtar teknolojisi uygulayan yazılım güvenliği sistemlerinde kullanılan X.509 sertifikaları yönetmek için özelleştirilebilir hizmetler sağlar. Kuruluşlar, AD CS karşılık gelen bir ortak anahtar için bir kişi, aygıt ya da hizmet kimliğini bağlayarak güvenliği geliştirmek için kullanabilir. AD CS Ayrıca, sertifika kayıt ve iptal ölçeklenebilir ortamları çeşitli yönetmenizi sağlayan özellikler içerir.
İstemci bilgisayar ve kullanıcı sertifikalarını
EAP-TLS veya PEAP-TLS dağıttığınızda, istemci bilgisayar kimlik doğrulaması, kullanıcı sertifikaları için kullanıcı kimlik doğrulaması veya her ikisi için bilgisayar sertifikaları dağıtabilirsiniz.
Not
EAP çift kimlik doğrulaması gerçekleştirmesini mekanizmaları sağlamaz — diğer bir deyişle, her iki bilgisayarın ağ ve bağlanmaya kullanıcının erişmek için kullanılan kimlik doğrulaması. Bu nedenle, sertifika tabanlı kimlik doğrulama türü ile EAP ve PEAP dağıttığınızda bilgisayar ve kullanıcı sertifikaları gerekmez.
İstemci bilgisayar ve kullanıcı sertifikalarını dağıtma için iki yöntem vardır:
Akıllı kart kullanarak. Akıllı kart kullanarak sertifikaları dağıttığınızda, kullanıcı kimliği sertifikalar veya çalışanlarınızın ağa oturum açmak için kullandığınız diğer kartlar basar için ek donanım satın almanız gerekir. Ayrıca, kullanıcılar oturum açtıklarında, akıllı kartta mühürlenmiş sertifika okumak için kullanılan akıllı kart okuyucusu ile sağlanmalıdır.
Önemli
Bu kılavuz, akıllı kart ile istemci bilgisayar ve kullanıcı sertifikalarını dağıtma hakkında bilgi sağlamaz.
Otomatik kaydı kullanarak. Otomatik kayıt kullanarak sertifikaları dağıttığınızda, CA'yı otomatik olarak sertifika etki alanı bilgisayarları grubunun üyeleri olan bilgisayarlar ve etki alanı kullanıcıları grubunun üyesi olan kullanıcılar için kaydetmek üzere yapılandırın. Sertifikaları ağa bağlanmasını bilgisayarda depolandığından otomatik kayıt sertifikaları için ek donanım gereklidir. Bir bilgisayar CA'dan bir bilgisayar veya kullanıcı sertifika aldığında, sertifika yerel olarak sertifika deposunu adlı bir veri deposunda saklanır.
Önemli
Yalnızca aracılığıyla RADIUS istemcileri ağ erişim izni vermek istediğiniz kullanıcıları ve bilgisayarlar için sertifikaları kaydetmek. Etki alanı kullanıcılarını ve etki alanı bilgisayarları grubunun tüm üyeleri için otomatik kayıt sertifikaları gerekmez. Bunun yerine, etki alanı kullanıcılarını ve etki alanı bilgisayarlarını grupları kümelerine gibi satış ekibi veya muhasebe departmanı sertifika. Diğer gruplar için sertifikaları kaydetmek için grupları oluşturmak ve sonra Active Directory Kullanıcıları ve bilgisayarları gruplara üye ekleyebilirsiniz. Sertifika Şablonları ek bileşeninde etki alanı kullanıcıları veya etki alanı bilgisayarlarını gruplarının sertifika şablonlarında erişim denetimi listesini (ACL) kaldırın (kullanıcı şablonu ve iş istasyonu kimlik doğrulama şablonu sırasıyla), ve ardından oluşturduğunuz gruplarının şablonuna ekleyin.
Sertifika deposu
Windows işletim sistemi çalıştıran bilgisayarlarda, bilgisayarda yüklü olan sertifika adlı bir depolama alanında tutulur sertifika deposu. Sertifika deposuna sertifikalar Microsoft Yönetim Konsolu (MMC) ek bileşeni kullanılarak erişilebilir.
Bu depolama farklı türlerde sertifikaların depolandığı birden çok klasör içerir. Örneğin, sertifika deposuna tüm güvenilen kök CA sertifikaları saklandığı bir güvenilen kök sertifika yetkilileri klasörüne içerir.
Kuruluşunuz bir PKI dağıtır ve kullanarak bir özel güvenilen kök CA yükleyen AD CS, CA'yı otomatik olarak gönderir sertifikasını kuruluştaki tüm etki alanı üyesi bilgisayarlar için. İstemci ve sunucu etki alanı üyesi bilgisayarların CA sertifikasının geçerli kullanıcı ve yerel bilgisayar sertifikası depolarına güvenilen kök sertifika yetkilileri klasörüne depolar. Bu gerçekleştikten sonra etki alanı üyesi bilgisayarların güvenilen kök CA tarafından verilen sertifikaların güven.
Benzer şekilde, zaman, etki alanı üyesi istemci bilgisayarlar için bilgisayar sertifikalarını otomatik kayıt, sertifikayı yerel bilgisayarın kişisel sertifika deposunda tutulur. Ne zaman, kullanıcılar için otomatik kayıt sertifikaları, kullanıcı sertifikası geçerli kullanıcı için kişisel sertifika deposunda kalır.
EAP
Genişletilebilir Kimlik Doğrulama Protokolü (EAP), rastgele uzunlukta kimlik bilgisi ve bilgi alışverişleri kullanan rastgele kimlik doğrulama yöntemlerine olanak sağlayarak Noktadan Noktaya Protokolü (PPP) genişletir. EAP yanıt akıllı kartlar, belirteç kartları ve şifre hesaplayıcılar gibi güvenlik aygıtlarını kullanan kimlik doğrulama yöntemleri için isteğe bağlı olarak geliştirilmiştir. EAP, PPP içinde ek kimlik doğrulama yöntemlerini desteklemek için sektör standardı bir mimari sağlar.
EAP ile rasgele kimlik doğrulama mekanizmasını istemci ve sunucu bir ağ erişim bağlantı kurmasını kimliklerini doğrulamak için kullanılır. Kullanılacak kimlik doğrulama düzeni erişim istemcisi ve doğrulayıcı (ağ erişim sunucusu veya RADIUS sunucusu) tarafından belirlenir.
Başarılı kimlik doğrulamasının gerçekleşmesi için ağ erişim istemcisi ve doğrulayıcı (örneğin, NPS sunucusunu) aynı EAP türünü desteklemesi gerekir.
Önemli
Güçlü EAP türleri (örneğin, sertifika tabanlı) yanılma saldırılarına, sözlük saldırıları ve parola saldırılarını parola tabanlı kimlik doğrulama protokolleri (örneğin, CHAP veya MS-CHAP, sürüm 1) daha tahmin karşı daha iyi koruması sunar.
EAP içinde Windows Server 2012
Windows Server 2012 bir EAP altyapısı, iki EAP türleri ve NPS gibi bir RADIUS sunucusuna (EAP-RADIUS) EAP iletilerini aktarma özelliğini içerir.
EAP kullanarak EAP türleri olarak bilinen ek kimlik doğrulama düzenlerini destekleyebilirsiniz. Tarafından desteklenen EAP türleri Windows Server 2012 şunlardır:
Aktarım Katmanı Güvenliği (TLS). EAP-TLS bilgisayar sertifikalarını veya NPS çalıştıran bilgisayarlar için kaydedilen sunucu sertifikalarını yanı sıra kullanıcı sertifikaları kullanılmasını gerektirir.
Microsoft Karşılıklı Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2). Bu EAP türü bir parola tabanlı kimlik doğrulama protokolüdür. Kullanıcılar bir kullanıcı adı ve parola ile kanıtlamak sağlarken içinde EAP kimlik doğrulama yöntemi olarak EAP-MS-CHAP v2 kullanıldığında, NPS ve RRAS sunucuları bir sunucu sertifikası istemci bilgisayarlara, kimlik kanıtı olarak sağlar.
Aktarım Katmanı Güvenliği (TTLS) tünel. EAP-TTLS yenidir Windows Server 2012 ve diğer Windows Server'ın sürümlerinde kullanılabilir değildir. EAP-TTLS, karşılıklı kimlik doğrulamayı destekleyen, standartlara dayalı bir EAP tünelleme yöntemidir. EAP-TTLS; EAP yöntemlerini ve diğer eski protokolleri kullanarak istemci kimlik doğrulaması için güvenli bir tünel sağlar. EAP-TTLS ayrıca, kimlik doğrulama için EAP-TTLS'yi destekleyen Microsoft Dışı Uzak Kimlik Denetimi İçeri Arama Kullanıcı Hizmeti (RADIUS) sunucularının kullanıldığı ağ erişim çözümleri için istemci bilgisayarlarda EAP-TTLS'yi yapılandırmanıza da olanak sağlar.
Ayrıca, diğer Microsoft EAP modülleri diğer EAP kimlik doğrulama türlerini sağlamak için NPS veya Yönlendirme ve Uzaktan Erişim çalıştıran sunucuda yükleyebilirsiniz. Ek EAP türleri sunucularında yüklerseniz, böylece istemci ve sunucu bağlantı istekleri için kullanılacak bir kimlik doğrulama yöntemi başarıyla anlaşabileceği çoğu durumda, ayrıca eşleşen EAP istemci kimlik doğrulaması bileşenleri istemci bilgisayarlarda yüklemeniz gerekir.
PEAP
PEAP TLS kablosuz bir bilgisayar ve NPS veya başka bir RADIUS sunucusuna çalıştıran bir sunucu gibi bir PEAP doğrulayıcısı gibi bir kimlik doğrulama PEAP istemci arasında şifrelenmiş bir kanal oluşturmak için kullanır.
PEAP kimlik doğrulama yöntemi belirtmez, ancak PEAP tarafından sağlanan TLS şifreli kanalı üzerinden çalışabilir (EAP-MSCHAP v2 gibi) diğer EAP kimlik doğrulama protokolleri için ek güvenlik sağlar. PEAP kimlik doğrulama yöntemi aşağıdaki ağ erişim sunucuları türleri ile kuruluşunuzun ağa bağlanan erişim istemcileri için kullanılır:
802.1 X özellikli kablosuz erişim noktaları
802.1 X özellikli kimlik doğrulama anahtarı
Çalıştıran bilgisayarlar Windows Server 2012 veya Windows Server 2008 R2 ve VPN sunucuları olarak yapılandırılmış RRAS
Çalıştıran bilgisayarlar Windows Server 2012 veya Windows Server 2008 R2 ve RD Ağ Geçidi
PEAP özellikleri
EAP protokolleri ve ağ güvenliği geliştirmek için PEAP sağlar:
İstemci ve sunucu arasında oluşan EAP yöntemi görüşmesi için koruma sağlayan bir TLS kanalı. Bu TLS kanalı daha az güvenli bir EAP türünün anlaşma neden için istemci ve ağ erişim sunucusu arasında paketleri ekleme öğesinden bir saldırganın önlemeye yardımcı olur. Şifrelenmiş TLS kanalı NPS sunucusunu karşı hizmet saldırısı reddi önlemeye yardımcı olur.
Parçalanmasına ve bu işlevselliği sağlamaz EAP türleri kullanımına izin verir, iletileri yeniden için destek.
NPS veya başka bir RADIUS sunucusuna kimlik doğrulama yeteneği istemciler. Sunucu ayrıca istemcinin kimliğini doğruladığından, karşılıklı kimlik doğrulaması gerçekleşir.
Yetkisiz bir kablosuz erişim dağıtımı karşı koruma noktası şu anda ne zaman NPS çalıştıran sunucu tarafından sağlanan sertifika EAP istemci kimlik doğrulamasını yapar. Ayrıca, PEAP doğrulayıcısı ve istemci tarafından oluşturulan TLS ana sırrı erişim noktası ile paylaşılmaz. Bu nedenle, erişim noktası PEAP tarafından korunan iletilerin şifresini çözemez.
PEAP hızlı yeniden bağlanma, istemci tarafından bir kimlik doğrulama isteği ve yanıt NPS veya başka bir RADIUS sunucusuna arasındaki gecikme; azalır. Hızlı yeniden bağlanma ayrıca kablosuz istemcilerin RADIUS istemcileri kimlik doğrulaması için yinelenen istekleri olmadan aynı RADIUS sunucusu olarak yapılandırılmış olan erişim noktaları arasında taşımasına olanak sağlar. Bu istemci ve sunucu için kaynak gereksinimlerini azaltır ve sayısı, kullanıcılardan kimlik bilgilerini en aza indirir.
EAP-TLS ve PEAP-TLS dağıtımına genel bakış
EAP-TLS veya PEAP-TLS dağıtımı için genel adımlar şunlardır:
EAP ve RADIUS uyumlu olan ağ erişim sunucularıdır (RADIUS istemcileri) dağıtın.
Otomatik kayıt sertifikaları NPS çalıştıran sunucuları ve, varsa, Yönlendirme ve Uzaktan erişim VPN sunucusu.
Otomatik kayıt bilgisayar, kullanıcı sertifikaları veya her ikisi de etki alanı üyesi bilgisayarlara ve kullanıcılara, sırasıyla veya oluşturduğunuz diğer grupları için sertifikalar.
Ağ erişim sunucuları RADIUS istemcileri olarak yapılandırın.
EAP kimlik doğrulaması, ağ ilkesi NPS veya RRAS yapılandırın.
İstemci bilgisayarları EAP desteklemek emin olun. Varsayılan olarak, Windows® 8, Windows® 7, ve Windows Vista® EAP destekler.
Grup İlkesi
Windows Server 2012 içinde Grup İlkesi, istenen bir veya daha fazla yapılandırmayı veya ilke ayarlarını, bir Active Directory ortamındaki hedeflenmiş kullanıcılar ve bilgisayarlar kümesine teslim etmek ve uygulamak için kullanılan bir altyapıdır. Bu altyapı, bir Grup İlkesi altyapısından ve hedef istemci bilgisayarlarda ilke ayarlarını okumaktan sorumlu birden çok istemci-tarafı uzantısından (CSE'ler) oluşur. Grup İlkesi bu senaryoda kaydetmek ve kullanıcılar, bilgisayarlar ya da her ikisini de sertifika dağıtmak için kullanılır.