对话框:自定义高级身份验证方法

应用到: Windows 7, Windows Server 2008 R2

使用这些设置可以配置您环境中所需的身份验证。可以依次配置每个规则的高级身份验证,或默认应用于所有连接安全规则。

如何打开此对话框
  • 若要获取此对话框以配置计算机的默认设置,请执行以下步骤。这些设置应用于选择“默认值”作为身份验证方法的任何连接安全规则。

    1. 在高级安全 Windows 防火墙 MMC 管理单元页的“概述”中,单击“Windows 防火墙属性”

    2. 单击“IPsec 设置”选项卡。

    3. “IPsec 默认值”下,单击“自定义”

    4. “身份验证方法”下选择“高级”,然后单击“自定义”

  • 若要在创建新连接安全规则时获取此对话框,请执行以下步骤。这些设置仅应用于您正在编辑其属性的连接安全规则。

    1. 在高级安全 Windows 防火墙 MMC 管理单元页的导航窗格中,右键单击“连接安全规则”,然后单击“新建规则”

    2. 选择除“免除身份验证”之外的任意规则类型。

    3. 在向导中单击“下一步”,直到到达“身份验证方法”页。

    4. 选择“高级”,然后单击“自定义”

  • 若要获取此对话框以配置现有连接安全规则的设置,请执行以下步骤。这些设置仅应用于您正在编辑其属性的连接安全规则。

    1. 在高级安全 Windows 防火墙 MMC 管理单元页的导航窗格中,单击“连接安全规则”

    2. 双击要修改的规则。

    3. 单击“身份验证”选项卡。

    4. “方法”下选择“高级”,然后单击“自定义”

第一身份验证

第一身份验证方法是在 Internet 协议安全 (IPSec) 协商的主模式阶段期间执行的。在此身份验证中,可以指定对等计算机身份验证的方式。

可以指定多种方法以用于此身份验证。将按所指定的顺序尝试这些方法;将使用第一个成功的方法。

  • 若要向列表中添加方法,请单击“添加”

  • 若要修改列表中已存在的方法,请选择方法,然后单击“编辑”

  • 若要从列表中删除某个方法,请选择该方法,然后单击“删除”

  • 若要重新排序列表,请选择某个方法,然后单击向上和向下箭头。

有关可用的第一身份验证方法的详细信息,请参阅对话框:添加或编辑第一身份验证方法

第一身份验证可选

可以选择此选项,以使用匿名凭据执行第一身份验证。当第二身份验证提供主要的必需身份验证方法时,此选项将十分有用,且仅当两个对等方都支持第一身份验证时,才会执行该验证。例如,如果要请求基于用户的 Kerberos 版本 5 身份验证(只能作为第二身份验证使用),可以选择“第一身份验证可选”,然后选择“第二身份验证方法”中的“用户(Kerberos V5)”

Caution小心
请不要同时将第一身份验证和第二身份验证配置为可选。否则,这样的配置等同于关闭身份验证。

第二身份验证

使用第二身份验证,可以指定对登录到对等计算机的用户进行身份验证的方式。还可以指定来自指定证书颁发机构 (CA) 的计算机健康证书。

将按所指定的顺序尝试这些方法;将使用第一个成功的方法。

可以指定多种方法以用于此身份验证。

  • 若要向列表中添加方法,请单击“添加”

  • 若要修改列表中已存在的方法,请选择方法,然后单击“编辑”

  • 若要从列表中删除某个方法,请选择该方法,然后单击“删除”

  • 若要重新排序列表,请选择某个方法,然后单击向上和向下箭头。

note注意
必须使用所有基于用户的身份验证方法或所有基于计算机的身份验证方法。

无论其在列表中的显示位置如何,如果您正在使用第一身份验证的预共享密钥,均无法使用第二身份验证方法。

有关可用的第二身份验证方法的详细信息,请参阅对话框:添加或编辑第二身份验证方法

第二身份验证可选

可以选择此选项指示如果可能应执行第二身份验证,但如果第二身份验证失败,不应阻止该连接。当第一身份验证提供主要的必需身份验证方法时,此选项将十分有用,且当两个对等方都支持第一身份验证时,第二身份验证可选,但是为首选身份验证。例如,如果要请求基于计算机的 Kerberos 版本 5 身份验证,并且希望可能时使用基于用户的 Kerberos 版本 5 身份验证,则可以选择“计算机(Kerberos V5)”作为第一身份验证,然后在选中“第二身份验证可选”时选择“用户(Kerberos V5)”作为第二身份验证。

Caution小心
请不要同时将第一身份验证和第二身份验证配置为可选。否则,这样的配置等同于关闭身份验证。

Important重要
在隧道模式规则中,如果选择“第二身份验证可选”,则仅作为 IKE 实施结果 IPsec 策略,而不使用已验证 Internet 协议 (AuthIP)。忽略“第二身份验证”中指定的所有身份验证方法。

在传输模式规则中,仍然按预期使用第二身份验证方法。

请参阅

社区附加资源

添加
显示: