Übersicht über Always on VPN-TechnologieAlways On VPN technology overview

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016, Windows Server 2012 R2, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

Für diese Bereitstellung müssen Sie einen neuen RAS-Server installieren, auf dem Windows Server 2016 ausgeführt wird. Außerdem müssen Sie einen Teil der vorhandenen Infrastruktur für die Bereitstellung ändern.For this deployment, you must install a new Remote Access server that is running Windows Server 2016, as well as modify some of your existing infrastructure for the deployment.

Die folgende Abbildung zeigt die Infrastruktur, die für die Bereitstellung Always on VPN erforderlich ist.The following illustration shows the infrastructure that is required to deploy Always On VPN.

Always on VPN-Infrastruktur

Der in dieser Abbildung dargestellte Verbindungsprozess besteht aus den folgenden Schritten:The connection process depicted in this illustration is comprised of the following steps:

  1. Mit öffentlichen DNS-Servern führt der Windows 10-VPN-Client eine namens Auflösungs Abfrage für die IP-Adresse des VPN-Gateways aus.Using public DNS servers, the Windows 10 VPN client performs a name resolution query for the IP address of the VPN gateway.

  2. Mithilfe der von DNS zurückgegebenen IP-Adresse sendet der VPN-Client eine Verbindungsanforderung an das VPN-Gateway.Using the IP address returned by DNS, the VPN client sends a connection request to the VPN gateway.

  3. Das VPN-Gateway wird auch als Remote Authentication Dial-in User Service (RADIUS)-Client konfiguriert. der VPN-RADIUS-Client sendet die Verbindungsanforderung für die Verarbeitung von Verbindungsanforderungen an den NPS-Server der Organisation/des Unternehmens.The VPN gateway is also configured as a Remote Authentication Dial-In User Service (RADIUS) Client; the VPN RADIUS Client sends the connection request to the organization/corporate NPS server for connection request processing.

  4. Der NPS-Server verarbeitet die Verbindungsanforderung, einschließlich der Autorisierung und Authentifizierung, und bestimmt, ob die Verbindungsanforderung zugelassen oder verweigert wird.The NPS server processes the connection request, including performing authorization and authentication, and determines whether to allow or deny the connection request.

  5. Der NPS-Server leitet eine Access-Accept-oder Access-Deny-Antwort an das VPN-Gateway weiter.The NPS server forwards an Access-Accept or Access-Deny response to the VPN gateway.

  6. Die Verbindung wird basierend auf der Antwort, die der VPN-Server vom NPS-Server empfangen hat, initiiert oder beendet.The connection is initiated or terminated based on the response that the VPN server received from the NPS server.

Weitere Informationen zu den einzelnen Infrastrukturkomponenten, die in der obigen Abbildung dargestellt werden, finden Sie in den folgenden Abschnitten.For more information on each infrastructure component depicted in the illustration above, see the following sections.

Hinweis

Wenn Sie bereits einige dieser Technologien in Ihrem Netzwerk bereitgestellt haben, können Sie die Anweisungen in diesem Bereitstellungs Leit Faden verwenden, um eine zusätzliche Konfiguration der Technologien für diesen Bereitstellungs Zweck auszuführen.If you already have some of these technologies deployed on your network, you can use the instructions in this deployment guidance to perform additional configuration of the technologies for this deployment purpose.

Domänennamenserver (DNS)Domain Name System (DNS)

Sowohl interne als auch externe Domain Name System (DNS-Zonen) sind erforderlich. dabei wird davon ausgegangen, dass die interne Zone eine delegierte Unterdomäne der externen Zone ist (z. b. Corp.contoso.com und contoso.com).Both internal and external Domain Name System (DNS) zones are required, which assumes that the internal zone is a delegated subdomain of the external zone (for example, corp.contoso.com and contoso.com).

Erfahren Sie mehr über Domain Name System (DNS) oder das Haupt Netzwerk Handbuch.Learn more about Domain Name System (DNS) or Core Network Guide.

Hinweis

Andere DNS-Entwürfe, z. b. Split-Brain-DNS (mit dem gleichen Domänen Namen intern und extern in separaten DNS-Zonen) oder nicht verknüpfte interne und externe Domänen (z. b. Conto. local und contoso.com) sind ebenfalls möglich.Other DNS designs, such as split-brain DNS (using the same domain name internally and externally in separate DNS zones) or unrelated internal and external domains (e.g., contoso.local and contoso.com) are also possible. Weitere Informationen zum Bereitstellen von Split-Brain-DNS finden Sie unter Verwenden der DNS-Richtlinie für Split-Brain-DNS-BereitstellungFor more information about deploying split-brain DNS, see Use DNS Policy for Split-Brain DNS Deployment.

FirewallsFirewalls

Stellen Sie sicher, dass die Firewalls zulassen, dass der Datenverkehr, der für die VPN-und RADIUS-Kommunikation erforderlich ist, richtig funktioniert.Make sure that your firewalls allow the traffic that is necessary for both VPN and RADIUS communications to function correctly.

Weitere Informationen finden Sie unter Konfigurieren von Firewalls für RADIUS-Datenverkehr.For more information, see Configure Firewalls for RADIUS Traffic.

Remote Zugriff als RAS-Gateway-VPN-ServerRemote Access as a RAS Gateway VPN Server

In Windows Server 2016 ist die Remote Zugriffs-Server Rolle so konzipiert, dass Sie sowohl einen Router als auch einen RAS-Server ausführt. Daher unterstützt es eine Vielzahl von Features.In Windows Server 2016, the Remote Access server role is designed to perform well as both a router and a remote access server; therefore, it supports a wide array of features. Für diese Anleitung für die Bereitstellung benötigen Sie nur eine kleine Teilmenge dieser Features: Unterstützung für IKEv2-VPN-Verbindungen und LAN-Routing.For this deployment guidance, you require only a small subset of these features: support for IKEv2 VPN connections and LAN routing.

IKEv2 ist ein VPN-Tunnelingprotokoll, das in Internet Engineering Task Force Request for Comments 7296 beschrieben wird.IKEv2 is a VPN tunneling protocol described in Internet Engineering Task Force Request for Comments 7296. Der Hauptvorteil von IKEv2 besteht darin, dass Unterbrechungen in der zugrunde liegenden Netzwerkverbindung toleriert werden.The primary advantage of IKEv2 is that it tolerates interruptions in the underlying network connection. Wenn beispielsweise die Verbindung vorübergehend unterbrochen wird oder ein Benutzer einen Client Computer von einem Netzwerk auf einen anderen verschiebt, stellt IKEv2 die VPN-Verbindung automatisch wieder her, wenn die Netzwerkverbindung wieder hergestellt wird – ohne Benutzereingriff.For example, if the connection is temporarily lost or if a user moves a client computer from one network to another, IKEv2 automatically restores the VPN connection when the network connection is reestablished—all without user intervention.

Mithilfe des RAS-Gateways können Sie VPN-Verbindungen bereitstellen, um Endbenutzern Remote Zugriff auf das Netzwerk und die Ressourcen Ihrer Organisation zu bieten.By using RAS Gateway, you can deploy VPN connections to provide end users with remote access to your organization's network and resources. Wenn Remote Computer mit dem Internet verbunden sind, wird bei der Bereitstellung Always on VPN eine permanente Verbindung zwischen Clients und Ihrem Organisations Netzwerk aufrechterhalten.Deploying Always On VPN maintains a persistent connection between clients and your organization network whenever remote computers are connected to the Internet. Mit dem RAS-Gateway können Sie auch eine Site-to-Site-VPN-Verbindung zwischen zwei Servern an unterschiedlichen Standorten erstellen, z. b. zwischen Ihrer primären Niederlassung und einer Zweigstelle, und die Netzwerk Adressübersetzung (Network Address Translation, NAT) verwenden, damit Benutzer im Netzwerk auf externe Ressourcen wie das Internet zugreifen können.With RAS Gateway, you can also create a site-to-site VPN connection between two servers at different locations, such as between your primary office and a branch office, and use Network Address Translation (NAT) so that users inside the network can access external resources, such as the Internet. Außerdem unterstützt das RAS-Gateway Border Gateway Protocol (BGP), das dynamische Routing Dienste bereitstellt, wenn Ihre Remote Niederlassungen auch Edge-Gateways aufweisen, die BGP unterstützen.Also, RAS Gateway supports Border Gateway Protocol (BGP), which provides dynamic routing services when your remote office locations also have edge gateways that support BGP.

RAS-Gateways können mithilfe von Windows PowerShell-Befehlen und der Microsoft Management Console (MMC) für den Remote Zugriff verwaltet werden.You can manage Remote Access Service (RAS) Gateways by using Windows PowerShell commands and the Remote Access Microsoft Management Console (MMC).

Netzwerkrichtlinienserver (NPS)Network Policy Server (NPS)

Mit NPS können Sie Organisations weite Netzwerk Zugriffsrichtlinien für die Authentifizierung und Autorisierung von Verbindungsanforderungen erstellen und erzwingen.NPS allows you to create and enforce organization-wide network access policies for connection request authentication and authorization. Wenn Sie NPS als RADIUS-Server (Remote Authentication Dial-in User Service) verwenden, konfigurieren Sie Netzwerk Zugriffs Server, z. b. VPN-Server, als RADIUS-Clients in NPS.When you use NPS as a Remote Authentication Dial-In User Service (RADIUS) server, you configure network access servers, such as VPN servers, as RADIUS clients in NPS.

Sie können auch Netzwerkrichtlinien konfigurieren, mit denen NPS Verbindungsanforderungen autorisiert, und Sie können die RADIUS-Kontoführung so konfigurieren, dass NPS Kontoführungsinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank protokolliert.You also configure network policies that NPS uses to authorize connection requests, and you can configure RADIUS accounting so that NPS logs accounting information to log files on the local hard disk or in a Microsoft SQL Server database.

Weitere Informationen finden Sie unter Network Policy Server (NPS) (Netzwerkrichtlinienserver).For more information, see Network Policy Server (NPS).

Active Directory-ZertifikatdiensteActive Directory Certificate Services

Der Server der Zertifizierungsstelle (Certification Authority, ca) ist eine Zertifizierungsstelle, die Active Directory Zertifikat Dienste ausgeführt wird.The Certification Authority (CA) Server is a certification authority that is running Active Directory Certificate Services. Für die VPN-Konfiguration ist eine Active Directory basierte Public Key-Infrastruktur (PKI) erforderlich.The VPN configuration requires an Active Directory-based public key infrastructure (PKI).

Organisationen können AD CS verwenden, um die Sicherheit zu erhöhen, indem Sie die Identität einer Person, eines Geräts oder Diensts an einen entsprechenden öffentlichen Schlüssel binden.Organizations can use AD CS to enhance security by binding the identity of a person, device, or service to a corresponding public key. AD CS umfasst auch Features, mit denen Sie die Zertifikat Registrierung und die Sperrung in einer Vielzahl von skalierbaren Umgebungen verwalten können.AD CS also includes features that allow you to manage certificate enrollment and revocation in a variety of scalable environments. Weitere Informationen finden Sie unter Übersicht über Active Directory Zertifikat Dienste und Entwurfs Leit Fäden für die Public Key-Infrastruktur.For more information, see Active Directory Certificate Services Overview and Public Key Infrastructure Design Guidance.

Während der Fertigstellung der Bereitstellung konfigurieren Sie die folgenden Zertifikat Vorlagen für die Zertifizierungsstelle.During completion of the deployment, you will configure the following certificate templates on the CA.

  • Die Zertifikat Vorlage für die BenutzerauthentifizierungThe User Authentication certificate template

  • Die Zertifikat Vorlage für die VPN-Server AuthentifizierungThe VPN Server Authentication certificate template

  • Die Zertifikat Vorlage für die NPS-Server AuthentifizierungThe NPS Server Authentication certificate template

ZertifikatvorlagenCertificate Templates

Zertifikat Vorlagen können die Verwaltung einer Zertifizierungsstelle (Certification Authority, ca) erheblich vereinfachen, da Sie Zertifikate ausstellen können, die für ausgewählte Tasks vorkonfiguriert sind.Certificate templates can greatly simplify the task of administering a certification authority (CA) by allowing you to issue certificates that are preconfigured for selected tasks. Mit dem MMC-Snap-in "Zertifikat Vorlagen" können Sie die nachfolgend aufgeführten Aufgaben ausführen.The Certificate Templates MMC snap-in allows you to perform the following tasks.

  • Anzeigen der Eigenschaften für jede Zertifikat Vorlage.View properties for each certificate template.

  • Kopieren und ändern Sie Zertifikat Vorlagen.Copy and modify certificate templates.

  • Steuern Sie, welche Benutzer und Computer Vorlagen lesen und für Zertifikate registrieren können.Control which users and computers can read templates and enroll for certificates.

  • Ausführen weiterer Verwaltungsaufgaben im Zusammenhang mit Zertifikat VorlagenPerform other administrative tasks relating to certificate templates.

Zertifikat Vorlagen sind ein wesentlicher Bestandteil einer Unternehmens Zertifizierungsstelle (Certification Authority, ca).Certificate templates are an integral part of an enterprise certification authority (CA). Sie sind ein wichtiges Element der Zertifikat Richtlinie für eine-Umgebung, die den Satz von Regeln und Formaten für die Zertifikat Registrierung,-Verwendung und-Verwaltung ist.They are an important element of the certificate policy for an environment, which is the set of rules and formats for certificate enrollment, use, and management.

Weitere Informationen finden Sie unter Zertifikat Vorlagen.For more information, see Certificate Templates.

Zertifikate für digitale ServerDigital Server Certificates

Dieser Leitfaden zur Bereitstellung enthält Anweisungen für die Verwendung von Active Directory Zertifikat Diensten (AD CS) zum Registrieren und automatischen Registrieren von Zertifikaten für RAS-und NPS-Infrastruktur Server.This deployment guidance provides instructions for using Active Directory Certificate Services (AD CS) to both enroll and automatically enroll certificates to Remote Access and NPS infrastructure servers. AD CS ermöglicht Ihnen das Erstellen einer Public Key-Infrastruktur (PKI) und die Bereitstellung von Kryptografie mit öffentlichem Schlüssel, digitalen Zertifikaten und Funktionen für digitale Signaturen in Ihrer Organisation.AD CS allows you to build a public key infrastructure (PKI) and provide public key cryptography, digital certificates, and digital signature capabilities for your organization.

Wenn Sie Zertifikate für digitale Server für die Authentifizierung zwischen Computern im Netzwerk verwenden, stellen die Zertifikate Folgendes bereit:When you use digital server certificates for authentication between computers on your network, the certificates provide:

  1. Vertraulichkeit durch Verschlüsselung.Confidentiality through encryption.

  2. Integrität durch digitale Signaturen.Integrity through digital signatures.

  3. Authentifizierung durch Zuordnen von Zertifikat Schlüsseln zu Computern, Benutzern oder Geräte Konten in einem Computernetzwerk.Authentication by associating certificate keys with a computer, user, or device accounts on a computer network.

Weitere Informationen finden Sie unter Active Directory-Zertifikatdienste (Übersicht).For more information, see Active Directory Certificate Services Overview.

Active Directory Domain Services (AD DS)Active Directory Domain Services (AD DS)

Mit AD DS wird eine verteilte Datenbank bereitgestellt, in der Informationen zu Netzwerkressourcen und anwendungsspezifische Daten aus AD-fähigen Anwendungen gespeichert und verwaltet werden.AD DS provides a distributed database that stores and manages information about network resources and application-specific data from directory-enabled applications. Administratoren können AD DS verwenden, um die Elemente eines Netzwerks (z. B. Benutzer, Computer und andere Geräte) in einer hierarchischen Struktur aus Einschlussbeziehungen zu organisieren.Administrators can use AD DS to organize elements of a network, such as users, computers, and other devices, into a hierarchical containment structure. Diese hierarchische Struktur umfasst die Active Directory-Gesamtstruktur, Domänen in der Gesamtstruktur sowie die Organisationseinheiten in den einzelnen Domänen.The hierarchical containment structure includes the Active Directory forest, domains in the forest, and organizational units (OUs) in each domain. Ein Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.A server that is running AD DS is called a domain controller.

AD DS enthält die Benutzerkonten, Computer Konten und Konto Eigenschaften, die für die Authentifizierung von Benutzer Anmelde Informationen und das Auswerten der Autorisierung von VPN-Verbindungsanforderungen für das Protected Extensible Authentication-Protokoll (PAP) erforderlich sind.AD DS contains the user accounts, computer accounts, and account properties that are required by Protected Extensible Authentication Protocol (PEAP) to authenticate user credentials and to evaluate authorization for VPN connection requests. Weitere Informationen zum Bereitstellen von AD DS finden Sie im Windows Server 2016- Kern Netzwerk Handbuch.For information about deploying AD DS, see the Windows Server 2016 Core Network Guide.

Während der Ausführung der Schritte in dieser Bereitstellung konfigurieren Sie die folgenden Elemente auf dem Domänen Controller.During completion of the steps in this deployment, you will configure the following items on the domain controller.

  • Aktivieren der automatischen Registrierung von Zertifikaten in Gruppenrichtlinie für Computer und BenutzerEnable certificate autoenrollment in Group Policy for computers and users

  • Erstellen der Gruppe "VPN-Benutzer"Create the VPN Users Group

  • Erstellen der VPN-Server GruppeCreate the VPN Servers Group

  • Erstellen der NPS-Server GruppeCreate the NPS Servers Group

Active Directory-Benutzer und -ComputerActive Directory Users and Computers

Active Directory Benutzer und Computer ist eine Komponente von AD DS, die Konten enthält, die physische Entitäten darstellen, z. b. einen Computer, eine Person oder eine Sicherheitsgruppe.Active Directory Users and Computers is a component of AD DS that contains accounts that represent physical entities, such as a computer, a person, or a security group. Bei einer Sicherheitsgruppe handelt es sich um eine Sammlung von Benutzer-oder Computer Konten, die von Administratoren als einzelne Einheit verwaltet werden können.A security group is a collection of user or computer accounts that administrators can manage as a single unit. Benutzer-und Computer Konten, die einer bestimmten Gruppe angehören, werden als Gruppenmitglieder bezeichnet.User and computer accounts that belong to a particular group are referred to as group members.

Benutzerkonten in Active Directory Benutzern und Computern verfügen über DFÜ-Eigenschaften, die NPS während der Autorisierung auswertet, es sei denn, die Eigenschaft Netzwerk Zugriffsberechtigung des Benutzerkontos ist so festgelegt, dass der Zugriff über die NPS-Netzwerk Richtlinie gesteuertwird.User accounts in Active Directory Users and Computers have dial-in properties that NPS evaluates during the authorization process - unless the Network Access Permission property of the user account is set to Control access through NPS Network Policy. Dies ist die Standardeinstellung für alle Benutzerkonten.This is the default setting for all user accounts. In einigen Fällen kann diese Einstellung jedoch eine andere Konfiguration aufweisen, die den Benutzer daran hindert, eine VPN-Verbindung herzustellen.In some cases, however, this setting might have a different configuration that blocks the user from connecting using VPN. Um diese Möglichkeit zu schützen, können Sie den NPS-Server so konfigurieren, dass Benutzerkonto-Einwähleigenschaften ignoriert werden.To protect against this possibility, you can configure the NPS server to ignore user account dial-in properties.

Weitere Informationen finden Sie unter Konfigurieren von NPS zum Ignorieren von Benutzerkonto-DFÜ-Eigenschaften.For more information, see Configure NPS to Ignore User Account Dial-in Properties.

GruppenrichtlinienverwaltungGroup Policy Management

Gruppenrichtlinie Management ermöglicht die Verzeichnis basierte Änderungs-und Konfigurations Verwaltung von Benutzer-und Computereinstellungen, einschließlich Sicherheits-und Benutzerinformationen.Group Policy Management enables directory-based change and configuration management of user and computer settings, including security and user information. Mit Gruppenrichtlinie können Sie Konfigurationen für Gruppen von Benutzern und Computern definieren.You use Group Policy to define configurations for groups of users and computers.

Mit Gruppenrichtlinie können Sie Einstellungen für Registrierungseinträge, Sicherheit, Software Installation, Skripts, Ordner Umleitung, Remoteinstallations Dienste und Internet Explorer-Wartung angeben.With Group Policy, you can specify settings for registry entries, security, software installation, scripts, folder redirection, remote installation services, and Internet Explorer maintenance. Die Gruppenrichtlinie Einstellungen, die Sie erstellen, sind in einem Gruppenrichtlinie Objekt (GPO) enthalten.The Group Policy settings that you create are contained in a Group Policy object (GPO). Durch Zuordnen eines Gruppenrichtlinien Objekts zu ausgewählten Active Directory System Containern – Websites, Domänen und Organisationseinheiten – können Sie die Einstellungen des GPO auf die Benutzer und Computer in diesen Active Directory Containern anwenden.By associating a GPO with selected Active Directory system containers — sites, domains, and OUs — you can apply the GPO's settings to the users and computers in those Active Directory containers. Zum Verwalten von Gruppenrichtlinie Objekten in einem Unternehmen können Sie die Gruppenrichtlinienverwaltungs-Editor Microsoft Management Console (MMC) verwenden.To manage Group Policy objects across an enterprise, you can use the Group Policy Management Editor Microsoft Management Console (MMC).

Windows 10-VPN-ClientsWindows 10 VPN Clients

Stellen Sie zusätzlich zu den Serverkomponenten sicher, dass auf den Client Computern, die Sie für die Verwendung von VPN konfigurieren, Windows 10 Anniversary Update (Version 1607) ausgeführt wird.In addition to the server components, ensure that the client computers you configure to use VPN are running Windows 10 Anniversary Update (version 1607). Die Windows 10-VPN-Clients müssen Ihrer Active Directory Domäne beitreten.The Windows 10 VPN clients must be domain-joined to your Active Directory domain.

Der Windows 10-VPN-Client ist sehr konfigurierbar und bietet viele Optionen.The Windows 10 VPN client is highly configurable and offers many options. Um die spezifischen Features dieses Szenarios besser zu veranschaulichen, identifiziert Tabelle 1 die VPN-Funktions Kategorien und die spezifischen Konfigurationen, auf die diese Bereitstellung verweist.To better illustrate the specific features this scenario uses, Table 1 identifies the VPN feature categories and specific configurations that this deployment references. Sie konfigurieren die einzelnen Einstellungen für diese Features mithilfe des VPNv2-Konfigurations Dienstanbieters (CSP), der später in dieser Bereitstellung beschrieben wird.You'll configure the individual settings for these features by using the VPNv2 configuration service provider (CSP) discussed later in this deployment.

Tabelle 1.Table 1. In dieser Bereitstellung erörterte VPN-Features und-KonfigurationenVPN Features and Configurations Discussed in this Deployment

VPN-FeatureVPN feature Konfiguration der Bereitstellungs SzenarienDeployment scenario configuration
Connection type (Verbindungstyp)Connection type Native IKEv2Native IKEv2
RoutingRouting Tunnelung aufteilenSplit tunneling
NamensauflösungName resolution Domänen Namen-Informationsliste und DNS-SuffixDomain Name Information List and DNS suffix
ÄngsteTriggering Erkennung von Always on und vertrauenswürdigen NetzwerkenAlways On and Trusted Network Detection
AuthentifizierungAuthentication Peer-TLS mit TPM – geschützte BenutzerzertifikatePEAP-TLS with TPM–protected user certificates

Hinweis

"Peer-TLS" und "TPM" sind "geschütztes Extensible Authentication Protocol with Transport Layer Security" und "Trusted Platform Module".PEAP-TLS and TPM are "Protected Extensible Authentication Protocol with Transport Layer Security" and "Trusted Platform Module," respectively.

VPNv2-CSP-KnotenVPNv2 CSP Nodes

In dieser Bereitstellung verwenden Sie den Knoten profileXML VPNv2 CSP, um das VPN-Profil zu erstellen, das an Windows 10-Client Computer übermittelt wird.In this deployment, you use the ProfileXML VPNv2 CSP node to create the VPN profile that is delivered to Windows 10 client computers. Konfigurations Dienstanbieter (CSPs) sind Schnittstellen, die verschiedene Verwaltungsfunktionen innerhalb des Windows-Clients verfügbar machen. konzeptionell funktionieren CSPs ähnlich wie Gruppenrichtlinie.Configuration Service Providers (CSPs) are interfaces that expose various management capabilities within the Windows client; conceptually, CSPs work similar to how Group Policy works. Jeder CSP verfügt über Konfigurations Knoten, die einzelne Einstellungen darstellen.Each CSP has configuration nodes that represent individual settings. Ebenso wie Gruppenrichtlinie Einstellungen können Sie CSP-Einstellungen mit Registrierungs Schlüsseln, Dateien, Berechtigungen usw. verknüpfen.Also like Group Policy settings, you can tie CSP settings to registry keys, files, permissions, and so on. Ähnlich wie bei der Verwendung des Gruppenrichtlinienverwaltungs-Editor zum Konfigurieren von Gruppenrichtlinie Objekten (GPOs) konfigurieren Sie die CSP-Knoten mithilfe einer MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte), wie z. b. Microsoft InTune.Similar to how you use the Group Policy Management Editor to configure Group Policy objects (GPOs), you configure CSP nodes by using a mobile device management (MDM) solution such as Microsoft Intune. MDM-Produkte wie InTune bieten eine benutzerfreundliche Konfigurationsoption, mit der der CSP im Betriebssystem konfiguriert wird.MDM products like Intune offer a user-friendly configuration option that configures the CSP in the operating system.

Konfiguration der Verwaltung mobiler Geräte in CSP

Einige CSP-Knoten können jedoch nicht direkt über eine Benutzeroberfläche (UI) wie die Intune-Verwaltungskonsole konfiguriert werden.However, you can't configure some CSP nodes directly through a user interface (UI) like the Intune Admin Console. In diesen Fällen müssen Sie die Oma-URI-Einstellungen (Open Mobile Alliance Uniform Resource Identifier) manuell konfigurieren.In these cases, you must configure the Open Mobile Alliance Uniform Resource Identifier (OMA-URI) settings manually. Sie konfigurieren Oma-URIs mithilfe des Oma-Geräte Verwaltungs Protokolls (OMA-DM), einer universellen Geräte Verwaltungs Spezifikation, die von den meisten modernen Apple-, Android-und Windows-Geräten unterstützt wird.You configure OMA-URIs by using the OMA Device Management protocol (OMA-DM), a universal device management specification that most modern Apple, Android, and Windows devices support. Solange Sie der OMA-DM-Spezifikation entsprechen, sollten alle MDM-Produkte auf die gleiche Weise mit diesen Betriebssystemen interagieren.As long as they adhere to the OMA-DM specification, all MDM products should interact with these operating systems in the same way.

Windows 10 bietet viele CSPs, aber bei dieser Bereitstellung liegt der Schwerpunkt auf der Verwendung von VPNv2 CSP zum Konfigurieren des VPN-Clients.Windows 10 offers many CSPs, but this deployment focuses on using the VPNv2 CSP to configure the VPN client. Der VPNv2 CSP ermöglicht die Konfiguration der einzelnen VPN-Profileinstellungen in Windows 10 über einen eindeutigen CSP-Knoten.The VPNv2 CSP allows configuration of each VPN profile setting in Windows 10 through a unique CSP node. Außerdem ist der VPNv2-CSP ein Knoten namens profileXML, der es Ihnen ermöglicht, alle Einstellungen in einem Knoten anstatt einzeln zu konfigurieren.Also contained in the VPNv2 CSP is a node called ProfileXML, which allows you to configure all the settings in one node rather than individually. Weitere Informationen zu profileXML finden Sie im Abschnitt "Übersicht über profileXML" weiter unten in dieser Bereitstellung.For more information about ProfileXML, see the section "ProfileXML overview" later in this deployment. Ausführliche Informationen zu den einzelnen VPNv2-CSP-Knoten finden Sie unter VPNv2 CSP.For details about each VPNv2 CSP node, see the VPNv2 CSP.

Nächste SchritteNext steps

  • Microsoft-Server Softwareunterstützung für Microsoft Azure Virtual Machines: in diesem Artikel wird die Unterstützungs Richtlinie für die Ausführung von Microsoft-Server Software in der Microsoft Azure-Umgebung für virtuelle Maschinen (Infrastructure-as-a-Service) erläutert.Microsoft server software support for Microsoft Azure virtual machines: This article discusses the support policy for running Microsoft server software in the Microsoft Azure virtual machine environment (infrastructure-as-a-service).

  • Remote Zugriff: dieses Thema enthält eine Übersicht über die Remote Zugriffs-Server Rolle in Windows Server 2016.Remote Access: This topic provides an overview of the Remote Access server role in Windows Server 2016.

  • Technische Anleitung für das Windows 10-VPN: Dieses Handbuch führt Sie durch die Entscheidungen, die Sie für Windows 10-Clients in Ihrer Enterprise-VPN-Lösung treffen und wie Sie die Bereitstellung konfigurieren.Windows 10 VPN Technical Guide: This guide walks you through the decisions you will make for Windows 10 clients in your enterprise VPN solution and how to configure your deployment. Dieses Handbuch verweist auf den VPNv2-Konfigurationsdienstanbieter (CSP) und enthält Konfigurationsanweisungen für die Verwaltung mobiler Geräte (MDM) unter Verwendung von Microsoft Intune und der VPN-Profilvorlage für Windows 10.This guide references the VPNv2 Configuration Service Provider (CSP) and provides mobile device management (MDM) configuration instructions using Microsoft Intune and the VPN Profile template for Windows 10.

  • Handbuchzum Hauptnetzwerk: Dieses Handbuch enthält Anweisungen zum Planen und Bereitstellen der Kernkomponenten, die für ein voll funktionsfähiges Netzwerk und eine neue Active Directory Domäne in einer neuen Gesamtstruktur erforderlich sind.Core Network Guide: This guide provides instructions on how to plan and deploy the core components required for a fully functioning network and a new Active Directory domain in a new forest.

  • Domain Name System (DNS): dieses Thema enthält eine Übersicht über DNS (Domain Name Systems).Domain Name System (DNS): This topic provides an overview of Domain Name Systems (DNS). In Windows Server 2016 ist DNS eine Server Rolle, die Sie mithilfe von Server-Manager oder Windows PowerShell-Befehlen installieren können.In Windows Server 2016, DNS is a server role that you can install by using Server Manager or Windows PowerShell commands. Wenn Sie eine neue Active Directory Gesamtstruktur und Domäne installieren, wird DNS automatisch mit Active Directory als globaler Katalogserver für die Gesamtstruktur und Domäne installiert.If you are installing a new Active Directory forest and domain, DNS is automatically installed with Active Directory as the Global Catalogue server for the forest and domain.

  • Übersicht über Active Directory Zertifikat Dienste: Dieses Dokument bietet eine Übersicht über die Active Directory Zertifikat Dienste (AD CS) in Windows Server ® 2012.Active Directory Certificate Services Overview: This document provides an overview of Active Directory Certificate Services (AD CS) in Windows Server® 2012. AD CS ist die Serverrolle, die es Ihnen ermöglicht, eine Public Key Infrastructure (PKI) zu erstellen und Verschlüsselung für öffentliche Schlüssel, digitale Zertifikate und Funktionen für digitale Signaturen in Ihrer Organisation bereitzustellen.AD CS is the Server Role that allows you to build a public key infrastructure (PKI) and provide public key cryptography, digital certificates, and digital signature capabilities for your organization.

  • Entwurfs Leit Faden für die Public Key-Infrastruktur: Dieses Forum enthält Anleitungen zum Entwerfen von Public Key-Infrastrukturen (PKIs).Public Key Infrastructure Design Guidance: This forum provides guidance on designing Public Key Infrastructures (PKIs). Bevor Sie eine PKI-und Zertifizierungsstellen Hierarchie konfigurieren, sollten Sie die Sicherheitsrichtlinie und die CPS-Anweisung (Certificate Practice Statement) Ihrer Organisation kennen.Before you configure a PKI and certification authority (CA) hierarchy, you should be aware of your organization's security policy and certificate practice statement (CPS).

  • Übersicht über Active Directory Zertifikat Dienste: in dieser Schritt-für-Schritt-Anleitung werden die Schritte beschrieben, die erforderlich sind, um eine grundlegende Konfiguration von Active Directory ® Zertifikat Diensten (AD CS) in einer Lab-Umgebung einzurichten.Active Directory Certificate Services Overview: This step-by-step guide describes the steps needed to set up a basic configuration of Active Directory® Certificate Services (AD CS) in a lab environment. AD CS in Windows Server ® 2008 R2 bietet anpassbare Dienste zum Erstellen und Verwalten von Zertifikaten für öffentliche Schlüssel, die in Software Sicherheitssystemen verwendet werden, die Public Key-Technologien einsetzen.AD CS in Windows Server® 2008 R2 provides customizable services for creating and managing public key certificates used in software security systems employing public key technologies.

  • Netzwerk Richtlinien Server (Network Policy Server, NPS): dieses Thema enthält eine Übersicht über den Netzwerk Richtlinien Server unter Windows Server 2016.Network Policy Server (NPS): This topic provides an overview of Network Policy Server in Windows Server 2016. Mit dem Netzwerk Richtlinien Server (Network Policy Server, NPS) können Sie Organisations weite Netzwerk Zugriffsrichtlinien für die Authentifizierung und Autorisierung von Verbindungsanforderungen erstellen und erzwingen.Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for connection request authentication and authorization.