Delen via

  • Artikel

VPN-profielen maken in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is alleen van toepassing op versies van System Center 2012 R2 Configuration Manager.

Gebruik de volgende koppelingen voor meer informatie over de stappen voor het maken van VPN-profielen in System Center 2012 Configuration Manager:

  • Stap 1: De wizard VPN-profiel maken starten

  • Stap 2: Algemene informatie over het VPN-profiel opgeven

  • Stap 3: Verbindingsgegevens voor het VPN-profiel opgeven

  • Stap 4: De verificatiemethode voor het VPN-profiel configureren

  • Stap 5: Proxy-instellingen voor het VPN-profiel configureren

  • Stap 6: Overige DNS-instellingen configureren (indien nodig)

  • Stap 7: Ondersteunde platforms configureren voor het VPN-profiel

  • Stap 8: De wizard voltooien

Stap 1: De wizard VPN-profiel maken starten

  1. Klik in de Configuration Manager-console op Activa en naleving.

  2. Vouw in de werkruimte Activa en naleving van de Configuration Manager-console de knooppunten Instellingen voor naleving en Toegang tot bedrijfsbronnen uit en klik op VPN-profielen.

  3. Klik op het tabblad Start in de groep Maken op VPN-profiel maken.

Stap 2: Algemene informatie over het VPN-profiel opgeven

  1. Geef op de pagina Algemeen van de wizard VPN-profiel maken de volgende informatie op:

    - **Naam**: voer een unieke naam in voor het VPN-profiel (maximaal 256 tekens).

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Mt131422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Belangrijk</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Gebruik in de naam van het VPN-profiel geen \/:*?&lt;&gt;|, of spatie, aangezien deze tekens niet worden ondersteund door het VPN-profiel voor Windows Server.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

- **Beschrijving**: voer een beschrijving waarmee u het profiel in de Configuration Manager- console kunt vinden (maximaal 256 tekens).

- **Een bestaand VPN-profielitem uit een bestand importeren**: Selecteer deze optie om de pagina **VPN-profiel importeren** weer te geven. Op deze pagina kunt u gegevens van VPN-profielen importeren die eerder zijn geëxporteerd naar een XML-bestand (alleen besturingssystemen Windows 8.1 en Windows RT).

Stap 3: Verbindingsgegevens voor het VPN-profiel opgeven

  1. Geef op de pagina Verbinding van de wizard de volgende informatie op:

    - **Type verbinding:** Selecteer het type verbinding voor de VPN-verbinding in de vervolgkeuzelijst. U kunt kiezen uit de verbindingstypen in de volgende tabel met de ondersteunde platforms.

  <div class="alert">

  <table>
  <colgroup>
  <col style="width: 100%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><img src="images/Mt131422.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-important(TechNet.10).jpeg" title="System_CAPS_important" alt="System_CAPS_important" />Belangrijk</th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p>Voordat u een VPN-profiel kunt gebruiken dat is geïmplementeerd op een apparaat, moet u ervoor zorgen dat u eventueel benodigde VPN-apps van derden hebt geïnstalleerd. U kunt de informatie in het onderwerp <a href="gg682159(v=technet.10).md">Toepassingen maken in Configuration Manager</a> gebruiken bij het implementeren van de app met behulp van Configuration Manager.</p></td>
  </tr>
  </tbody>
  </table>

  </div>

  <table style="width:100%;">
  <colgroup>
  <col style="width: 14%" />
  <col style="width: 14%" />
  <col style="width: 14%" />
  <col style="width: 14%" />
  <col style="width: 14%" />
  <col style="width: 14%" />
  <col style="width: 14%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><p>Type verbinding</p></th>
  <th><p>iOS</p></th>
  <th><p>Android</p></th>
  <th><p>Windows 8.1</p></th>
  <th><p>Windows RT</p></th>
  <th><p>Windows RT 8.1</p></th>
  <th><p>Windows Phone 8,1</p></th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p><strong>Cisco AnyConnect</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Nee</p></td>
  <td><p>Nee</p></td>
  <td><p>Nee</p></td>
  </tr>
  <tr class="even">
  <td><p><strong>Pulse Secure</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  </tr>
  <tr class="odd">
  <td><p><strong>F5 Edge Client</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  </tr>
  <tr class="even">
  <td><p><strong>Dell SonicWALL Mobile Connect</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  </tr>
  <tr class="odd">
  <td><p><strong>Check Point Mobile VPN</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  </tr>
  <tr class="even">
  <td><p><strong>Microsoft SSL (SSTP)</strong></p></td>
  <td><p>Nee</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  </tr>
  <tr class="odd">
  <td><p><strong>Microsoft Automatic</strong></p></td>
  <td><p>Nee</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  </tr>
  <tr class="even">
  <td><p><strong>IKEv2</strong></p></td>
  <td><p>Nee</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  </tr>
  <tr class="odd">
  <td><p><strong>PPTP</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  </tr>
  <tr class="even">
  <td><p><strong>L2TP</strong></p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Ja</p></td>
  <td><p>Nee</p></td>
  </tr>
  </tbody>
  </table>

  <div class="alert">


  > [!NOTE]
  > <P>Als u Windows Phone 8.1 wilt ondersteunen, moet u de optionele uitbreiding voor Windows Phone 8.1 installeren. Zie <A href="dn574730(v=technet.10).md">Plannen voor het gebruik van uitbreidingen in Configuration Manager</A> voor meer informatie over het installeren van de uitbreiding.Beginnen met System Center 2012 Configuration Manager SP2 deze extensie is opgenomen in Configuration Manager.</P>


  </div>

- **Serverlijst:** Klik op **Toevoegen** om een nieuwe server toe te voegen voor de VPN-verbinding. Afhankelijk van het verbindingstype, kunt u een of meer VPN-servers toevoegen en opgeven welke server de standaardserver moet zijn.

  <div class="alert">


  > [!NOTE]
  > <P>iOS-apparaten bieden geen ondersteuning voor het gebruik van meerdere VPN-servers. Als u meerdere VPN-servers configureert en vervolgens het VPN-profiel implementeert op een iOS-apparaat, wordt alleen de standaardserver gebruikt.</P>


  </div>

    Welke van de opties in de onderstaande tabel worden weergegeven, is afhankelijk van het door u geselecteerde verbindingstype. Raadpleeg de documentatie van de VPN-server voor meer informatie.

    Optie

    Meer informatie

    Type verbinding

    Realm

    Geef de naam op van de verificatierealm die u wilt gebruiken. Een verificatierealm is een groepering van verificatiebronnen die worden gebruikt door het verbindingstype Pulse Secure.

    • Pulse Secure

    Rol

    Geef de naam op van de gebruikersrol die toegang tot deze verbinding heeft.

    • Pulse Secure

    Aanmeldingsgroep of -domein

    Geef de naam op van de aanmeldingsgroep of het aanmeldingsdomein waarmee u verbinding wilt maken.

    • Dell SonicWALL Mobile Connect

    Vingerafdruk

    Geef een tekenreeks op, bijvoorbeeld 'Contoso-vingerafdrukcode' die wordt gebruikt om te controleren of de VPN-server kan worden vertrouwd.

    Een vingerafdruk kan:

    • worden verzonden naar de client zodat deze alle servers vertrouwt die dezelfde vingerafdruk presenteren bij het maken van verbinding.

    • Als het apparaat nog niet over de vingerafdruk beschikt, wordt de gebruiker gevraagd om de VPN-server waarmee deze verbinding maakt te vertrouwen terwijl de vingerafdruk wordt weergegeven (de gebruiker controleert de vingerafdruk handmatig en klikt op Vertrouwen om verbinding te maken).

    Check Point Mobile VPN

    Alle netwerkverkeer via de VPN-verbinding verzenden

    Als deze optie niet is ingeschakeld, kunt u aanvullende routes opgeven voor verbinding opgeven (voor de verbindingstypen Microsoft SSL (SSTP), Microsoft Automatic, IKEv2, PPTP en L2TP). Dit wordt wel split of VPN-tunneling genoemd.

    Alleen verbindingen met het bedrijfsnetwerk worden verzonden via een VPN-tunnel. VPN-tunneling wordt niet gebruikt wanneer u verbinding maakt met resources op internet.

    • Alle

    Verbindingsspecifiek DNS-achtervoegsel

    U kunt desgewenst het verbindingsspecifieke DNS-achtervoegsel (Domain Name System) voor de verbinding opgeven.

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • PPTP

    • L2TP

    VPN overslaan bij verbinding met Wi-Fi-bedrijfsnetwerk

    Hiermee wordt aangegeven dat de VPN-verbinding niet wordt gebruikt wanneer het apparaat is verbonden met het Wi-Fi-netwerk van het bedrijf.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • Check Point Mobile VPN

    • Microsoft SSL (SSTP)

    • Microsoft Automatic

    • IKEv2

    • L2TP

    VPN overslaan bij verbinding met Wi-Fi-thuisnetwerk

    Hiermee wordt aangegeven dat de VPN-verbinding niet wordt gebruikt wanneer het apparaat is verbonden met een Wi-Fi-netwerk thuis.

    • Alle

    Per app-VPN (iOS 7 en hoger, Mac OS X 10.9 en hoger)

    Selecteer deze optie als u deze VPN-verbinding wilt koppelen aan een iOS-app zodat de verbinding wordt geopend wanneer de app wordt uitgevoerd. U kunt het VPN-profiel aan een app koppelen bij het implementeren.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • Check Point Mobile VPN

    Aangepaste XML (optioneel)

    Hiermee kunt u aangepaste XML-opdrachten opgeven waarmee de VPN-verbinding wordt geconfigureerd.

    Voorbeelden:

    • Voor Pulse Secure:

      <pulse-schema><isSingleSignOnCredential>true</isSingleSignOnCredential></pulse-schema>

    • Voor CheckPoint Mobile VPN:

      <CheckPointVPN port="443" name="CheckPointSelfhost" sso="true" debug="3" />

    • Voor Dell SonicWALL Mobile Connect:

      <MobileConnect><Compression>false</Compression><debugLogging>True</debugLogging><packetCapture>False</packetCapture></MobileConnect>

    • Voor F5 Edge Client:

      <f5-vpn-conf><referentie-voor-eenmalige-aanmelding /></f5-vpn-conf>

    Raadpleeg de VPN-documentatie van elke fabrikant voor meer informatie over het schrijven van aangepaste XML-opdrachten.

    • Cisco AnyConnect

    • Pulse Secure

    • F5 Edge Client

    • Dell SonicWALL Mobile Connect

    • Check Point Mobile VPN

Stap 4: De verificatiemethode voor het VPN-profiel configureren

  1. Geef op de pagina Verificatiemethode van de wizard de volgende gegevens op:

    - **Verificatiemethode** Selecteer de verificatiemethode voor de VPN-verbinding in de vervolgkeuzelijst. Welke items beschikbaar zijn in de vervolgkeuzelijst, is afhankelijk van het verbindingstype dat u hebt geselecteerd. De beschikbare verificatiemethoden en ondersteunde verbindingstypen worden weergegeven in de volgende tabel.

  <table>
  <colgroup>
  <col style="width: 50%" />
  <col style="width: 50%" />
  </colgroup>
  <thead>
  <tr class="header">
  <th><p>Verificatiemethode</p></th>
  <th><p>Ondersteunde verbindingstypen</p></th>
  </tr>
  </thead>
  <tbody>
  <tr class="odd">
  <td><p><strong>Certificaten</strong></p>
  <div class="alert">

  > [!TIP]
  > <P>Als het clientcertificaat wordt gebruikt voor de verificatie van een RADIUS-server, bijvoorbeeld een server met Network Policy Server, moet u Alternatieve naam voor onderwerp instellen op Principalnaam van gebruiker.</P>

  </div></td>
  <td><ul>
  <li><p>Cisco AnyConnect</p></li>
  <li><p>Pulse Secure</p></li>
  <li><p>F5 Edge Client</p></li>
  <li><p>Dell SonicWALL Mobile Connect</p></li>
  <li><p>Check Point Mobile VPN</p></li>
  </ul></td>
  </tr>
  <tr class="even">
  <td><p><strong>Gebruikersnaam en wachtwoord</strong></p></td>
  <td><ul>
  <li><p>Pulse Secure</p></li>
  <li><p>F5 Edge Client</p></li>
  <li><p>Dell SonicWALL Mobile Connect</p></li>
  <li><p>Check Point Mobile VPN</p></li>
  </ul></td>
  </tr>
  <tr class="odd">
  <td><p><strong>Microsoft EAP-TTLS</strong></p></td>
  <td><ul>
  <li><p>Microsoft SSL (SSTP)</p></li>
  <li><p>Microsoft Automatic</p></li>
  <li><p>IKEv2</p></li>
  <li><p>PPTP</p></li>
  <li><p>L2TP</p></li>
  </ul></td>
  </tr>
  <tr class="even">
  <td><p><strong>Door Microsoft beveiligd EAP (PEAP)</strong></p></td>
  <td><ul>
  <li><p>Microsoft SSL (SSTP)</p></li>
  <li><p>Microsoft Automatic</p></li>
  <li><p>IKEv2</p></li>
  <li><p>PPTP</p></li>
  <li><p>L2TP</p></li>
  </ul></td>
  </tr>
  <tr class="odd">
  <td><p><strong>Beveiligd Microsoft-wachtwoord (EAP-MSCHAP v2)</strong></p></td>
  <td><ul>
  <li><p>Microsoft SSL (SSTP)</p></li>
  <li><p>Microsoft Automatic</p></li>
  <li><p>IKEv2</p></li>
  <li><p>PPTP</p></li>
  <li><p>L2TP</p></li>
  </ul></td>
  </tr>
  <tr class="even">
  <td><p><strong>Smartcard of ander certificaat</strong></p></td>
  <td><ul>
  <li><p>Microsoft SSL (SSTP)</p></li>
  <li><p>Microsoft Automatic</p></li>
  <li><p>IKEv2</p></li>
  <li><p>PPTP</p></li>
  <li><p>L2TP</p></li>
  </ul></td>
  </tr>
  <tr class="odd">
  <td><p><strong>MSCHAP v2</strong></p></td>
  <td><ul>
  <li><p>Microsoft SSL (SSTP)</p></li>
  <li><p>Microsoft Automatic</p></li>
  <li><p>IKEv2</p></li>
  <li><p>PPTP</p></li>
  <li><p>L2TP</p></li>
  </ul></td>
  </tr>
  <tr class="even">
  <td><p><strong>RSA SecurID</strong> (alleen iOS)</p></td>
  <td><ul>
  <li><p>Microsoft SSL (SSTP)</p></li>
  <li><p>Microsoft Automatic</p></li>
  <li><p>PPTP</p></li>
  <li><p>L2TP</p></li>
  </ul></td>
  </tr>
  <tr class="odd">
  <td><p><strong>Computercertificaten gebruiken</strong></p></td>
  <td><ul>
  <li><p>IKEv2</p></li>
  </ul></td>
  </tr>
  </tbody>
  </table>

  Afhankelijk van de opties die u selecteert, wordt u mogelijk gevraagd om meer informatie op te geven, zoals:

    - **De gebruikersreferenties onthouden bij elke aanmelding**: Selecteer deze optie om ervoor te zorgen dat de gebruikersreferenties worden onthouden zodat de gebruiker geen referenties hoeft in te voeren telkens wanneer een verbinding tot stand wordt gebracht.

    - **Een clientcertificaat voor clientverificatie selecteren:**Selecteer het SCEP-clientcertificaat dat u eerder hebt gemaakt en dat wordt gebruikt voor het verifiëren van de VPN-verbinding. Voor meer informatie over het gebruiken van certificaatprofielen in Configuration Manager raadpleegt u [Certificaatprofielen in Configuration Manager](dn261202\(v=technet.10\).md).

      <div class="alert">


      > [!NOTE]
      > <P>Voor iOS-apparaten wordt het door u geselecteerde SCEP-profiel ingesloten in het VPN-profiel. Voor andere platforms wordt een toepassingsregel toegevoegd om ervoor te zorgen dat het VPN-profiel niet wordt geïnstalleerd als het certificaat niet aanwezig of niet compatibel is.</P>
      > <P>Als de SCEP-certificaat dat u opgeeft niet compatibel is of niet is geïmplementeerd, wordt het VPN-profiel niet op het apparaat geïnstalleerd.</P>


      </div>

    - Voor sommige verificatiemethoden kunt u op **Configureren** klikken om het dialoogvenster Windows-eigenschappen te openen (als de versie van Windows waarop u de Configuration Manager-console uitvoert ondersteuning biedt voor deze verificatiemethode) waar u de eigenschappen van de verificatiemethode kunt configureren.

  <div class="alert">


  > [!NOTE]
  > <P>Apparaten met iOS ondersteunen alleen <STRONG>RSA SecurID</STRONG> en <STRONG>MSCHAP v2</STRONG> als authenticatiemethode bij het verbindingstype <STRONG>PPTP</STRONG>. Voorkom melding van fouten door een afzonderlijk PPTP VPN-profiel te implementeren voor apparaten met iOS.</P>


  </div>

Stap 5: Proxy-instellingen voor het VPN-profiel configureren

Proxy-instellingen voor het VPN-profiel configureren

  1. Schakel op de pagina Proxy-instellingen van de wizard VPN-profiel maken het selectievakje Proxy-instellingen voor dit VPN-profiel configureren in als uw VPN-verbinding gebruikmaakt van een proxyserver.

  2. Geef details over de proxyserver en de instellingen op. Raadpleeg de Windows Server-documentatie voor meer informatie.

Stap 6: Overige DNS-instellingen configureren (indien nodig)

Op de pagina Automatische VPN-verbinding configureren van de wizard kunt u de volgende instellingen configureren:

  • VPN op aanvraag inschakelen: selecteer deze optie als u op deze pagina of in de wizard voor Windows Phone 8.1-apparaten meer DNS-instellingen wilt configureren.

  • Lijst met DNS-achtervoegsels (alleen voor apparaten met Windows Phone 8.1): hiermee configureert u domeinen die een VPN-verbinding maken. Voeg voor elk domein dat u opgeeft het DNS-achtervoegsel, het DNS-serveradres en een van de volgende acties toe die op aanvraag wordt uitgevoerd:

    • Nooit verbinding maken: nooit een VPN-verbinding openen

    • Verbinding maken indien nodig: alleen een VPN-verbinding openen als het apparaat verbinding moet maken met bronnen

    • Altijd verbinding maken: altijd de VPN-verbinding openen

  • Samenvoegen: maakt kopieën van DNS-achtervoegsels die u hebt geconfigureerd in de lijst met vertrouwde netwerken.

  • Lijst met vertrouwde netwerken (alleen voor apparaten met Windows Phone 8.1): geef per regel één DNS-achtervoegsel op. Als het apparaat zich in een vertrouwd netwerk bevindt, wordt de VPN-verbinding niet geopend.

  • Zoeklijst met achtervoegsels (alleen voor apparaten met Windows Phone 8.1): geef per regel één DNS-achtervoegsel op. Elke DNS-achtervoegsel dat u opgeeft, wordt doorzocht wanneer met behulp van een korte naam verbinding met een website wordt gemaakt.

    U geeft bijvoorbeeld de DNS-achtervoegsels domain1.contoso.com en domain2.contoso.com op en gaat vervolgens naar de URL http://mywebsite. De volgende adressen worden doorzocht:

Notitie

Alleen voor apparaten met Windows Phone 8.1

Als de optie Alle netwerkverkeer via de VPN-verbinding verzenden is ingeschakeld, en de VPN-verbinding volledige tunneling gebruikt, wordt voor het eerste profiel dat is ingericht op het apparaat de VPN-verbinding automatisch geopend. Als u wilt dat een ander profiel automatisch een verbinding opent, moet hiervan op het apparaat het standaardprofiel maken.

Als de optie Alle netwerkverkeer via de VPN-verbinding verzenden niet is ingeschakeld, en de VPN-verbinding split-tunneling gebruikt, kan een VPN-verbinding automatisch worden geopend als u routes of een verbindingsspecifiek DNS-achtervoegsel configureert.

Stap 7: Ondersteunde platforms configureren voor het VPN-profiel

Gebruik de volgende procedure om de ondersteunde platforms voor het VPN-profiel op te geven.

Ondersteunde platforms zijn de besturingssystemen waarop het VPN-profiel wordt geïnstalleerd.

Ondersteunde platforms voor het VPN-profiel opgeven

  1. Selecteer op de pagina Ondersteunde platforms van de wizard VPN-profiel maken de besturingssystemen waarop het VPN-profiel wordt geïnstalleerd of klik op Alles selecteren om het VPN-profiel op alle beschikbare besturingssystemen te installeren.

Stap 8: De wizard voltooien

Controleer welke acties moeten worden ondernomen op de pagina Overzicht van de wizard en voltooi de wizard. Het nieuwe WPN-profiel wordt weergegeven in het knooppunt VPN-profielen van de werkruimte Activa en naleving.

Zie VPN-profielen implementeren in Configuration Manager voor informatie over het implementeren van het VPN-profiel.