Vytváření profilů sítě VPN v nástroji Configuration Manager
Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Informace v tomto tématu se vztahují jenom na verze System Center 2012 R2 Configuration Manageru.
Pomocí následujících odkazů se dozvíte o postupu vytváření profilů sítě VPN v nástroji System Center 2012 Configuration Manager:
Krok 1: Spuštění Průvodce vytvořením profilu sítě VPN
Krok 2: Zadání obecných informací o profilu sítě VPN
Krok 3: Zadání informací o připojení pro profil sítě VPN
Krok 4: Konfigurace metody ověření pro profil sítě VPN
Krok 5: Konfigurace nastavení proxy serveru profilu sítě VPN
Krok 6: Konfigurace dalších nastavení DNS (je-li třeba)
Krok 7: Konfigurace podporovaných platforem profilu sítě VPN
Krok 8: Dokončení průvodce
Krok 1: Spuštění Průvodce vytvořením profilu sítě VPN
V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.
V pracovním prostoru Prostředky a dodržování předpisů v konzole Configuration Manager rozbalte Nastavení dodržování předpisů, poté rozbalte Přístup k prostředkům společnosti a klikněte na Profily sítě VPN.
Na kartě Domů ve skupině Vytvořit klikněte na možnost Vytvořit profil sítě VPN.
Krok 2: Zadání obecných informací o profilu sítě VPN
Na stránce Obecné v nástroji Průvodce vytvořením profilu sítě VPN zadejte následující informace:
Název – Zadejte jedinečný název profilu sítě VPN (až 256 znaků).
.jpeg "System_CAPS_important")
DůležitéV názvu profilu VPN nepoužívejte znaky \/:*?<>|, ani mezery, neboť profil sítě VPN systému Windows Server tyto znaky nepodporuje.
Popis – Zadejte popis, pomocí kterého budete moci profil v konzole Configuration Manager najít (až 256 znaků).
Importovat stávající položku profilu sítě VPN ze souboru – Po zvolení této možnosti se zobrazí stránka Importovat profil sítě VPN. Na této stránce můžete importovat informace o profilu sítě VPN, které se dřív exportovaly do souboru XML (jenom pro operační systémy Windows 8.1 a Windows RT).
Krok 3: Zadání informací o připojení pro profil sítě VPN
Na stránce Připojení v průvodci zadejte následující informace:
Typ připojení: V rozevíracím seznamu vyberte typ připojení pro tuto síť VPN. Dostupné typy připojení včetně podporovaných platforem najdete v následující tabulce.
DůležitéNež budete moci použít profily VPN nasazené v zařízení, je třeba nainstalovat případné aplikace VPN jiných výrobců. S nasazením aplikace pomocí nástroje Configuration Manager vám můžou pomoct informace z tématu Vytvoření aplikací v nástroji Configuration Manager.
Typ připojení
iOS
Android
Windows 8.1
Windows RT
Windows RT 8.1
Windows Phone 8.1
Cisco AnyConnect
Ano
Ano
Ne
Ne
Ne
Ne
Pulse Secure
Ano
Ano
Ano
Ne
Ano
Ano
F5 Edge Client
Ano
Ano
Ano
Ne
Ano
Ano
Dell SonicWALL Mobile Connect
Ano
Ano
Ano
Ne
Ano
Ano
Kontrolní bod – mobilní síť VPN
Ano
Ano
Ano
Ne
Ano
Ano
Protokol SSL společnosti Microsoft (SSTP)
Ne
Ne
Ano
Ano
Ano
Ne
Automaticky pomocí technologie Microsoft
Ne
Ne
Ano
Ano
Ano
Ne
IKEv2
Ne
Ne
Ano
Ano
Ano
Ano
PPTP
Ano
Ne
Ano
Ano
Ano
Ne
L2TP
Ano
Ne
Ano
Ano
Ano
Ne
Poznámka
Jako podporu Windows Phone 8.1 musíte nainstalovat volitelné rozšíření Windows Phone 8.1. Informace o tom, jak rozšíření nainstalovat, najdete v tématu Plánování, jak používat rozšíření v Configuration Manageru.Od verze System Center 2012 Configuration Manageru SP2 toto rozšíření je součástí nástroje Configuration Manager.
Seznam serverů: Kliknutím na tlačítko Přidat přidejte nový server určený pro připojení k síti VPN. V závislosti na typu připojení lze přidat jeden či více serverů VPN a rovněž určit, který server má být výchozí.
Poznámka
Zařízení používající systém iOS nepodporují více serverů VPN. Pokud nakonfigurujete více serverů VPN a potom nasadíte profil sítě VPN do zařízení se systémem iOS, bude použit pouze výchozí server.
Mohou být zobrazeny další možnosti uvedené v následující tabulce, což závisí na vybraném typu připojení. Další informace najdete v dokumentaci k serveru VPN.
Možnost
Další informace
Typ připojení
Sféra
Zadejte název sféry ověření, kterou chcete použít. Sféra ověření je seskupení prostředků ověření používaných typem připojení Pulse Secure.
Pulse Secure
Role
Zadejte název role uživatele, který má přístup k tomuto připojení.
Pulse Secure
Doména nebo skupina přihlášení
Zadejte název domény nebo skupiny přihlášení, k níž se chcete připojit.
Dell SonicWALL Mobile Connect
Otisk prstu
Zadejte řetězec, například Kód otisku prstu Contoso, který bude použit k ověření, že je možné serveru VPN důvěřovat.
Otisk prstu:
Otisk prstu se může odeslat klientovi, aby věděl, že může důvěřovat jakémukoli serveru, který při připojování nabízí ten samý otisk.
Pokud zařízení ještě otisk prstu nemá, vyzve uživatele, aby důvěřoval serveru VPN, ke kterému se připojuje. Současně přitom zobrazuje otisk prstu (uživatel ho ručně ověří a klikne na možnost důvěřovat připojení).
Kontrolní bod – mobilní síť VPN
Odesílat veškerý přenos v síti prostřednictvím připojení VPN
Pokud tato možnost není vybraná, můžete pro připojení určit dodatečné trasy (pro typy spojení Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP a L2TP), což se označuje jako tunelování VPN nebo dělení.
Prostřednictvím tunelu VPN se odesílají pouze připojení k firemní síti. Tunelové propojení VPN se nepoužívá při připojení k prostředkům na Internetu.
Všechny
Přípona DNS podle připojení
Volitelně zadejte pro dané připojení příponu DNS (Domain Name System) podle připojení.
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
PPTP
L2TP
Nepoužívat připojení VPN při připojení k podnikové síti Wi-Fi
Určuje, že se připojení VPN nebude používat při připojení zařízení k podnikové síti Wi-Fi.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Kontrolní bod – mobilní síť VPN
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
L2TP
Nepoužívat připojení VPN při připojení k domácí síti Wi-Fi
Určuje, že se připojení VPN nebude používat při připojení zařízení k domácí síti Wi-Fi.
Všechny
VPN pro aplikaci (iOS 7 nebo novější, Mac OS X 10.9 nebo novější)
Tuto možnost vyberte, pokud chcete toto připojení VPN přidružit k aplikaci pro iOS tak, aby se připojení otevřelo při spuštění aplikace. Profil VPN je možné přidružit k aplikaci při jejím nasazení.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Kontrolní bod – mobilní síť VPN
Vlastní XML (volitelné):
Umožňuje zadat vlastní příkazy XML, které konfigurují připojení VPN.
Příklady:
Pro Pulse Secure:
<pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>
Pro Mobilní síť VPN kontrolního bodu:
<CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />
Pro Dell SonicWALL Mobile Connect:
<MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>
Pro F5 Edge Client:
<f5-vpn-conf><single-sign-on-credential /></f5-vpn-conf>
Další informace o tom, jak psát vlastní příkazy XML, najdete v dokumentaci k síti VPN jednotlivých výrobců.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Kontrolní bod – mobilní síť VPN
Krok 4: Konfigurace metody ověření pro profil sítě VPN
Na stránce Metoda ověření v průvodci zadejte následující informace:
Metoda ověřování: V rozevíracím seznamu vyberte metodu ověření, kterou bude připojení k síti VPN používat. Položky v rozevíracím seznamu se mohou lišit, závisí totiž na dříve vybraném typu připojení. Dostupné metody ověření a podporované typy připojení jsou uvedeny v následující tabulce.
Metoda ověření
Podporované typy připojení
Certifikáty
Tip
Pokud certifikát klienta slouží k ověření na serveru RADIUS, například na serveru používajícím server NPS (Network Policy Server), je nutné nastavit alternativní název předmětu v certifikátu na hlavní název uživatele.
Cisco AnyConnect
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Kontrolní bod – mobilní síť VPN
Uživatelské jméno a heslo
Pulse Secure
F5 Edge Client
Dell SonicWALL Mobile Connect
Kontrolní bod – mobilní síť VPN
Microsoft EAP-TTLS
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
PPTP
L2TP
Protokol Protected EAP (PEAP)
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
PPTP
L2TP
Heslo zabezpečené technologií Microsoft (EAP-MSCHAP v2)
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
PPTP
L2TP
Čipová karta nebo jiný certifikát
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
PPTP
L2TP
MSCHAP v2
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
IKEv2
PPTP
L2TP
RSA SecurID (jenom iOS)
Protokol SSL společnosti Microsoft (SSTP)
Automaticky pomocí technologie Microsoft
PPTP
L2TP
Použít certifikáty počítače
IKEv2
V závislosti na vybraných možnostech bude možná třeba zadat další informace, například:
Zapamatovat si přihlašovací údaje uživatele při každém přihlašování: Výběrem této možnosti zajistíte, že se přihlašovací údaje uživatele uloží, takže je uživatel nebude muset zadávat při každém navázání připojení.
Vyberte klientský certifikát pro ověřování klientů – Vyberte certifikát klienta SCEP, který jste dříve vytvořili a který se použije k ověření připojení VPN. Další informace o používání profilů certifikátů v Configuration Manager najdete v části Profily certifikátů v nástroji Configuration Manager.
Poznámka
Pro zařízení iOS bude vybraný profil SCEP vložený do profilu VPN. Pro jiné platformy se použije pravidlo použitelnosti, které zajistí, že profil VPN nebude nainstalován, pokud certifikát není přítomen nebo pokud není vyhovující.
Pokud zadaný certifikát SCEP není vyhovující nebo pokud nebyl nasazen, profil VPN se do zařízení nenainstaluje.
U některých metod ověřování můžete kliknutím na Konfigurovat otevřít dialogové okno vlastností (pokud verze Windows, na které spouštíte konzolu Configuration Manager, podporuje tuto metodu ověření), kde můžete konfigurovat vlastnosti metody ověření.
Poznámka
Pokud je typem připojení PPTP, zařízení, která používají iOS, podporují jako metodu ověřování jenom RSA SecurID a MSCHAP v2. Abyste předešli zprávám o chybách, nasaďte na zařízení, která používají iOS, oddělený profil PPTP VPN.
Krok 5: Konfigurace nastavení proxy serveru profilu sítě VPN
Konfigurace nastavení proxy serveru profilu sítě VPN
Používá-li vaše připojení k síti VPN proxy server, zaškrtněte na stránce Nastavení proxy serveru v nástroji Průvodce vytvořením profilu sítě VPN políčko volby Konfigurovat nastavení proxy serveru pro tento profil sítě VPN.
Zadejte podrobnosti o proxy serveru a jeho nastavení. Další informace naleznete v dokumentaci k systému Windows Server.
Krok 6: Konfigurace dalších nastavení DNS (je-li třeba)
Na stránce Konfigurace automatického připojení VPN v průvodci můžete určit následující nastavení:
Povolit síť VPN na vyžádání – Tuto možnost vyberte, chcete-li na této stránce průvodce konfigurovat další nastavení DNS pro zařízení Windows Phone 8.1.
Seznam přípon DNS (jenom pro zařízení Windows Phone 8.1) – konfigurace domén pro navázání připojení VPN. Pro každou zadanou doménu určete příponu DNS, adresu serveru DNS a jednu z následujících akcí na vyžádání:
Nikdy nevytvořit – Nikdy neotvírat připojení VPN
Vytvořit, je-li třeba – Otevřít připojení VPN jenom pokud se zařízení potřebuje připojit k prostředkům
Vždy vytvořit – Připojení VPN se otevře vždy
Sloučit – Zkopíruje veškeré přípony DNS nastavené v seznamu Důvěryhodné sítě.
Seznam důvěryhodných sítí (jenom pro zařízení Windows Phone 8.1) – Zadejte vždy jednu příponu DNS na řádek. Pokud je zařízení v důvěryhodné síti, připojení VPN se neotevře.
Seznam hledání přípon (jenom pro zařízení Windows Phone 8.1) – Zadejte vždy jednu příponu DNS na řádek. Každá zadaná přípona DNS se bude vyhledávat při připojení k webu pomocí krátkého názvu.
Zadáte třeba přípony DNS domain1.contoso.com a domain2.contoso.com a přejdete na adresu URL http://mywebsite. Budou se vyhledávat následující adresy:
Poznámka
Jenom pro zařízení se systémem Windows Phone 8.1
Je-li vybraná volba Odesílat veškerý přenos v síti prostřednictvím připojení VPN a připojení VPN používá plné tunelování, připojení VPN se automaticky otevře pro první profil zřízený v zařízení. Pokud chcete připojení otvírat automaticky pro jiný profil, musíte ho v zařízení nastavit jako výchozí.
Pokud volba Odesílat veškerý přenos v síti prostřednictvím připojení VPN vybraná není a připojení VPN používá dělené tunelování, může se připojení VPN otevřít automaticky, pokud nastavíte trasy nebo příponu DNS specifickou pro připojení.
Krok 7: Konfigurace podporovaných platforem profilu sítě VPN
Pomocí následujícího postupu určíte podporované platformy profilu sítě VPN.
Podporované platformy jsou operační systémy, v nichž bude instalován profil sítě VPN.
Postup při určení podporovaných platforem profilu sítě VPN
- Na stránce Podporované platformy v nástroji Průvodce vytvořením profilu sítě VPN vyberte operační systémy, v nichž bude instalován profil sítě VPN, nebo kliknutím na tlačítko Vybrat vše instalujte profil sítě VPN do všech dostupných operačních systémů.
Krok 8: Dokončení průvodce
Na stránce Souhrn v průvodci zkontrolujte akce, které budou provedeny a pak dokončete průvodce. Nový profil sítě VPN se zobrazí v uzlu Profily sítě VPN v pracovním prostoru Prostředky a kompatibilita.
Informace o nasazení profilu sítě VPN naleznete v tématu Jak nasadit profily sítě VPN ve Správci konfigurace.
Viz také
Operace a správa profilů sítě VPN v nástroji Configuration Manager