Создание профилей VPN в Configuration Manager
Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") Примечание |
|---|
Сведения в этом разделе относятся только к версиям System Center 2012 R2 Configuration Manager. |
Для ознакомления с процедурами создания профилей VPN в System Center 2012 Configuration Manager используйте следующие ссылки:
Шаг 1. Запуск мастера создания профилей VPN
Шаг 2. Указание общих сведении о профиле VPN
Шаг 3. Указание сведений о подключении для профиля VPN
Шаг 4. Настройка метода проверки подлинности для профиля VPN
Шаг 5. Настройка параметров прокси-сервера для профиля VPN
Шаг 6. Настройка дополнительных параметров DNS (при необходимости)
Шаг 7. Настройка поддерживаемых платформ для профиля VPN
Шаг 8. Завершение работы мастера.
Шаг 1. Запуск мастера создания профилей VPN
-
В консоли Configuration Manager щелкните элемент Активы и соответствие.
-
В рабочей области Активы и соответствие консоли Configuration Manager разверните узлы Параметры соответствия и Доступ к ресурсам компании, а затем выберите пункт Профили VPN.
-
На вкладке Главная в группе Создать щелкните пункт Создать профиль VPN.
Шаг 2. Указание общих сведении о профиле VPN
-
На странице Общиемастера создания профилей VPN укажите следующие сведения.
- **Имя** — введите уникальное имя для профиля VPN (до 256 символов). <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Важно</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Не используйте в имени профиля VPN символы \/:*?<>|, или пробел, поскольку они не поддерживаются профилем Windows Server VPN.</p></td> </tr> </tbody> </table> </div> - **Описание** — введите описание для поиска профиля на консоли Configuration Manager (до 256 символов). - **Импорт элемента существующего профиля VPN из файла**. При выборе этого параметра отображается страница **Импорт профиля VPN**. На этой странице можно импортировать сведения о профиле VPN, которые ранее были экспортированы в XML-файл (только для операционных систем Windows 8.1 и Windows RT).
Шаг 3. Указание сведений о подключении для профиля VPN
-
На странице Подключение мастера укажите приведенные ниже данные.
- **Тип подключения:** В раскрывающемся списке выберите тип подключения для VPN-подключения. Можно выбрать один из типов подключения, приведенных в следующей таблице, в которой перечислены поддерживаемые платформы. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh221339.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(SC.12).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Важно</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Прежде чем использовать профили VPN, развернутые на устройстве, необходимо убедиться, что установлены все требуемые приложения VPN сторонних производителей. Используйте сведения из раздела <a href="gg682159(v=technet.10).md">Создание приложений в Configuration Manager</a> при развертывании приложения с использованием Configuration Manager.</p></td> </tr> </tbody> </table> </div> <table style="width:100%;"> <colgroup> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> <col style="width: 14%" /> </colgroup> <thead> <tr class="header"> <th><p>Тип подключения</p></th> <th><p>iOS</p></th> <th><p>Android</p></th> <th><p>Windows 8.1</p></th> <th><p>Windows RT</p></th> <th><p>Windows RT 8.1</p></th> <th><p>Windows Phone 8.1</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>Cisco AnyConnect</strong></p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Нет</p></td> <td><p>Нет</p></td> <td><p>Нет</p></td> </tr> <tr class="even"> <td><p><strong>Pulse Secure</strong></p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> </tr> <tr class="odd"> <td><p><strong>F5 Edge Client</strong></p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> </tr> <tr class="even"> <td><p><strong>Dell SonicWALL Mobile Connect</strong></p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> </tr> <tr class="odd"> <td><p><strong>Check Point Mobile VPN</strong></p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> </tr> <tr class="even"> <td><p><strong>Microsoft SSL (SSTP)</strong></p></td> <td><p>Нет</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> </tr> <tr class="odd"> <td><p><strong>Microsoft Automatic</strong></p></td> <td><p>Нет</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> </tr> <tr class="even"> <td><p><strong>IKEv2</strong></p></td> <td><p>Нет</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> </tr> <tr class="odd"> <td><p><strong>PPTP</strong></p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> </tr> <tr class="even"> <td><p><strong>L2TP</strong></p></td> <td><p>Да</p></td> <td><p>Нет</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Да</p></td> <td><p>Нет</p></td> </tr> </tbody> </table> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Для поддержки Windows Phone 8.1 необходимо установить необязательное расширение Windows Phone 8.1. Сведения о том, как установить это расширение, см. в разделе <a href="dn574730(v=technet.10).md">Планирование использования расширений в Configuration Manager</a>.Начиная с System Center 2012 Configuration Manager с пакетом обновления 2 (SP2) это расширение является частью Configuration Manager.</p></td> </tr> </tbody> </table> </div> - **Список серверов.** Нажмите кнопку **Добавить**, чтобы добавить новый сервер для VPN-подключения. В зависимости от типа подключения можно добавить один или несколько VPN-серверов, а также выбрать сервер по умолчанию. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Устройства, работающие под управлением iOS, не поддерживают использование нескольких VPN-серверов. Если настроить несколько VPN-серверов, а затем развернуть профиль VPN на устройстве iOS, будет использоваться только сервер по умолчанию.</p></td> </tr> </tbody> </table> </div>Дополнительные параметры, приведенные в следующей таблице, могут отображаться в зависимости от выбранного типа подключения. Дополнительные сведения см. в вашей документации сервера VPN.
Параметр
Дополнительные сведения
Тип подключения
Область
Укажите имя области проверки подлинности, которую следует использовать. Область проверки подлинности — это группа ресурсов проверки подлинности, используется для типа подключения Pulse Secure.
Pulse Secure
Роль
Укажите имя роли пользователя, имеющего доступ к этому подключению.
Pulse Secure
Группа или домен входа
Укажите имя группы входа или домен, к которому следует подключиться.
Dell SonicWALL Mobile Connect
Отпечаток
Укажите строку, например "Код отпечатка Contoso", которая будет использоваться для проверки доверия VPN-сервера.
Отпечаток пальца можно:
отправлять клиенту, чтобы он доверял любому серверу, представившему этот же отпечаток при подключении.
Если на устройстве еще нет отпечатка, пользователь получит запрос на доверие к VPN-серверу, к которому осуществляется подключение, с отображением отпечатка (пользователь должен вручную проверить отпечаток и нажать кнопку «Доверять» для подключения).
Check Point Mobile VPN
Отправлять весь сетевой трафик через VPN-подключение
Если этот параметр не выбран, можно указать дополнительные маршруты для подключения (для типов подключения Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP и L2TP ), которое называется раздельным или VPN-туннелированием.
Только подключения к локальной сети отправляются через туннель VPN. VPN-туннелирование не используется при подключении к ресурсам в Интернете.
Все
DNS-суффикс этого подключения
При необходимости можно указать DNS-суффикс для подключения.
Microsoft SSL (SSTP)
Microsoft Automatic
IKEv2
PPTP
L2TP
Обход VPN при подключении к корпоративной сети Wi-Fi
Указывает, что VPN-подключение не будет использоваться, когда устройство подключено к локальной сети Wi-Fi.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Check Point Mobile VPN
Microsoft SSL (SSTP)
Microsoft Automatic
IKEv2
L2TP
Обход VPN при подключении к домашней сети Wi-Fi
Указывает, что VPN-подключение не будет использоваться, когда устройство подключено к домашней сети Wi-Fi.
Все
VPN на приложение (iOS 7 и более поздней версии, Mac OS X 10.9 и более поздней версии)
Выберите этот параметр, если требуется связать VPN-подключение с приложением iOS, чтобы устанавливать подключение при запуске приложения. Профиль VPN можно связать с приложением при развертывании последнего.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Check Point Mobile VPN
Настраиваемые XML-данные (необязательно)
Позволяет указать пользовательские команды XML, настраивающие VPN-подключение.
Примеры:
Для Pulse Secure:
-
На странице Метод проверки подлинности мастера укажите следующие сведения.
- **Метод проверки подлинности** В раскрывающемся списке выберите метод проверки подлинности, который будет использоваться VPN-подключением. Элементы раскрывающегося списка могут различаться в зависимости от выбранного ранее типа подключения. Доступные методы проверки подлинности и поддерживаемые типы подключений перечислены в следующей таблице. <table> <colgroup> <col style="width: 50%" /> <col style="width: 50%" /> </colgroup> <thead> <tr class="header"> <th><p>Метод проверки подлинности</p></th> <th><p>Поддерживаемые типы подключений</p></th> </tr> </thead> <tbody> <tr class="odd"> <td><p><strong>Сертификаты</strong></p> <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Gg696046.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-tip(SC.12).jpeg" title="System_CAPS_tip" alt="System_CAPS_tip" />Совет</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Если сертификат клиента используется для проверки подлинности на сервере RADIUS, как, например, на сервере политики сети, в поле "Альтернативное имя субъекта" в сертификате должно быть указано имя участника-пользователя.</p></td> </tr> </tbody> </table> </div></td> <td><ul> <li><p>Cisco AnyConnect</p></li> <li><p>Pulse Secure</p></li> <li><p>F5 Edge Client</p></li> <li><p>Dell SonicWALL Mobile Connect</p></li> <li><p>Check Point Mobile VPN</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Имя пользователя и пароль</strong></p></td> <td><ul> <li><p>Pulse Secure</p></li> <li><p>F5 Edge Client</p></li> <li><p>Dell SonicWALL Mobile Connect</p></li> <li><p>Check Point Mobile VPN</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Microsoft EAP-TTLS</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Microsoft PEAP</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Защищенный пароль Майкрософт (EAP-MSCHAP v2)</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>Смарт-карта или иной сертификат</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>MSCHAP v2</strong></p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>IKEv2</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="even"> <td><p><strong>RSA SecurID</strong> (только iOS)</p></td> <td><ul> <li><p>Microsoft SSL (SSTP)</p></li> <li><p>Microsoft Automatic</p></li> <li><p>PPTP</p></li> <li><p>L2TP</p></li> </ul></td> </tr> <tr class="odd"> <td><p><strong>Использовать сертификаты компьютера</strong></p></td> <td><ul> <li><p>IKEv2</p></li> </ul></td> </tr> </tbody> </table> В зависимости от выбранных параметров, может быть предложено ввести дополнительные сведения, такие как: - **Запоминать учетные данные пользователя при каждом входе**. Выберите этот параметр для запоминания учетных данных пользователя, чтобы пользователю не нужно было вводить учетные данные при каждом подключении. - **Выберите сертификат клиента для проверки подлинности клиента** — выберите созданный ранее сертификат SCEP клиента, который будет использоваться для проверки подлинности VPN-подключения. Дополнительные сведения об использовании профилей сертификатов в Configuration Manager см. в разделе [Профили сертификатов в Configuration Manager](dn261202\(v=technet.10\).md). <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Для устройств iOS выбранный вами профиль SCEP будет встроен в профиль VPN. Для других платформ добавляется правило применимости, чтобы убедиться, что профиль VPN не будет установлен, если сертификат отсутствует или несовместим.</p> <p>Если указанный сертификат SCEP несовместим или не был развернут, профиль VPN не будет установлен на устройстве.</p></td> </tr> </tbody> </table> </div> - Для некоторых методов проверки подлинности можно нажать кнопку **Настройка** чтобы открыть диалоговое окно свойств Windows (если версия Windows, в среде которой запускается консоль Configuration Manager, поддерживает этот метод проверки подлинности), где можно настроить свойства метода проверки подлинности. <div class="alert"> <table> <colgroup> <col style="width: 100%" /> </colgroup> <thead> <tr class="header"> <th><img src="images/Hh709023.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Примечание</th> </tr> </thead> <tbody> <tr class="odd"> <td><p>Устройства под управлением iOS поддерживают только <strong>RSA SecurID</strong> и <strong>MSCHAP v2</strong> в качестве способа проверки подлинности, если тип соединения <strong>PPTP</strong>. Чтобы избежать ошибок, разверните отдельный профиль PPTP VPN на устройствах под управлением iOS.</p></td> </tr> </tbody> </table> </div> -
Если VPN-подключение использует прокси-сервер, на странице Параметры прокси-сервера в мастере создания профилей VPN установите флажок Укажите расширенные параметры для этого профиля VPN.
-
Укажите сведения о прокси-сервере и его параметры. Дополнительные сведения см. в документации по Windows Server.
Включить VPN по запросу — выберите этот параметр, если на этой странице мастера нужно настроить дополнительные параметры DNS для устройств Windows Phone 8.1.
Список DNS-суффиксов (только для устройств Windows Phone 8.1 ) — позволяет указать домены, которые будут устанавливать VPN-подключение. Для каждого указанного домена добавьте DNS-суффикс, адрес DNS-сервера и одно из следующих действий по запросу:
Никогда не устанавливать — никогда не открывать VPN-подключение.
Устанавливать при необходимости — открывать VPN-подключение только в том случае, если устройству необходимо подключиться к ресурсам.
Всегда устанавливать — всегда открывать VPN-подключение.
Слияние — копирует все настроенные DN-суффиксы в список доверенных сетей.
Список доверенных сетей (только для устройств Windows Phone 8.1) — введите один DNS-суффикс в каждой строке. Если устройство находится в доверенной сети, VPN-подключение не будет открыто.
Список поиска суффиксов (только для устройств Windows Phone 8.1) — введите один DNS-суффикс в каждой строке. При подключении к веб-сайту с использованием короткого имени будет выполнен поиск каждого указанного DNS-суффикса.
Например, укажите DNS-суффиксы domain1.contoso.com и domain2.contoso.com, а затем перейдите по URL-адресу http://mywebsite. Будет выполнен поиск по следующим адресам:
-
На странице Поддерживаемые платформы в мастере создания профилей VPN выберите операционные системы, в которых будет установлен профиль VPN, или щелкните пункт Выбрать все, чтобы установить профиль VPN во всех доступных операционных системах.
Шаг 4. Настройка метода проверки подлинности для профиля VPN
Шаг 5. Настройка параметров прокси-сервера для профиля VPN
Процедура настройки параметров прокси-сервера для профиля VPN
Шаг 6. Настройка дополнительных параметров DNS (при необходимости)
На странице Настройка автоматического подключения VPN мастера можно настроить следующие параметры:
ПримечаниеТолько для устройств Windows Phone 8.1
Если выбран параметр Отправлять весь сетевой трафик через подключение VPN и VPN-подключение использует полное туннелирование, для первого настроенного профиля на устройстве будет автоматически открыто VPN-подключение. Если требуется, чтобы подключение автоматически открывалось другим профилем, его необходимо сделать на устройстве профилем по умолчанию.
Если параметр Отправлять весь сетевой трафик через подключение VPN не выбран и VPN-подключение использует раздельное туннелирование, VPN-подключение может автоматически открываться при настройке маршрутов или конкретного DNS-суффикса для подключения.
Шаг 7. Настройка поддерживаемых платформ для профиля VPN
Используйте следующую процедуру, чтобы указать поддерживаемые платформы для профиля VPN.
Поддерживаемыми платформами являются операционные системы, в которых будет установлен профиль VPN.
Процедура указания поддерживаемых платформ для профиля VPN
Шаг 8. Завершение работы мастера.
На странице мастера Сводка просмотрите список необходимых действий и завершите работу мастера. Новый профиль VPN отобразится в узле Профили VPN рабочей области Активы и соответствие.
Дополнительные сведения о развертывании профиля удаленного подключения см. в разделе Развертывание профилей VPN в Configuration Manager.