Menyebarkan Server DirectAccess Tunggal dengan Pengaturan Tingkat Lanjut

2023-06-21
Berlaku untuk: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Penting

Microsoft sangat menyarankan Agar Anda menggunakan AlwaysOn VPN alih-alih DirectAccess untuk penyebaran baru. Untuk informasi selengkapnya, lihat Selalu di VPN.

Topik ini menyediakan pengenalan skenario DirectAccess yang menggunakan satu server DirectAccess, dan memungkinkan Anda untuk menyebarkan DirectAccess dengan pengaturan tingkat lanjut.

Sebelum Anda mulai menyebarkan, lihat daftar konfigurasi yang tidak didukung, masalah yang diketahui, dan prasyarat

Anda dapat menggunakan topik berikut untuk meninjau prasyarat dan informasi lainnya sebelum Anda menyebarkan DirectAccess.

Deskripsi Skenario

Dalam skenario ini, satu komputer yang menjalankan Windows Server 2016, Windows Server 2012 R2 atau Windows Server 2012, dikonfigurasi sebagai server DirectAccess dengan pengaturan tingkat lanjut.

Catatan

Jika Anda ingin mengonfigurasi penyebaran dasar dengan hanya pengaturan sederhana, lihat Menyebarkan Server DirectAccess Tunggal Menggunakan Wizard Memulai. Dalam skenario sederhana, DirectAccess dikonfigurasi dengan pengaturan default dengan menggunakan wizard, tanpa perlu mengonfigurasi pengaturan infrastruktur seperti otoritas sertifikasi (CA) atau grup keamanan Direktori Aktif.

Dalam skenario ini

Untuk menyiapkan satu server DirectAccess dengan pengaturan tingkat lanjut, Anda harus menyelesaikan beberapa langkah perencanaan dan penyebaran.

Prasyarat

Sebelum memulai, Anda dapat meninjau persyaratan berikut.

Tembok api Windows harus diaktifkan pada semua profil.
Server DirectAccess adalah server lokasi jaringan.
Anda ingin semua komputer nirkabel di domain tempat Anda menginstal server DirectAccess agar diaktifkan DirectAccess. Saat Anda menyebarkan DirectAccess, DirectAccess secara otomatis diaktifkan di semua komputer seluler di domain saat ini.

Penting

Beberapa teknologi dan konfigurasi tidak didukung saat Anda menyebarkan DirectAccess.

Protokol Alamat Terowongan Otomatis Intra-Site (ISATAP) di jaringan perusahaan tidak didukung. Jika Anda menggunakan ISATAP, Anda harus menghapusnya dan menggunakan IPv6 asli.

Langkah-langkah perencanaan

Perencanaan dibagi menjadi dua fase:

Merencanakan infrastruktur DirectAccess. Fase ini menjelaskan perencanaan yang diperlukan untuk menyiapkan infrastruktur jaringan sebelum memulai penyebaran DirectAccess. Ini termasuk merencanakan topologi jaringan dan server, perencanaan sertifikat, DNS, Direktori Aktif dan konfigurasi objek Kebijakan Grup (GPO), dan server lokasi jaringan DirectAccess.
Merencanakan penyebaran DirectAccess. Fase ini menjelaskan langkah-langkah perencanaan yang diperlukan untuk mempersiapkan penyebaran DirectAccess. Ini termasuk perencanaan untuk komputer klien DirectAccess, persyaratan autentikasi server dan klien, pengaturan VPN, server infrastruktur, dan server manajemen dan aplikasi.

Langkah-langkah penyebaran

Penyebaran dibagi menjadi tiga fase:

Mengkonfigurasi infrastruktur DirectAccess. Fase ini termasuk mengonfigurasi jaringan dan perutean, mengonfigurasi pengaturan firewall jika diperlukan, mengonfigurasi sertifikat, server DNS, pengaturan Direktori Aktif dan GPO, dan server lokasi jaringan DirectAccess.
Mengonfigurasi pengaturan server DirectAccess. Fase ini mencakup langkah-langkah untuk mengonfigurasi komputer klien DirectAccess, server DirectAccess, server infrastruktur, manajemen, dan server aplikasi.
Memverifikasi penyebaran. Fase ini mencakup langkah-langkah untuk memverifikasi penyebaran DirectAccess.

Untuk langkah-langkah penyebaran terperinci, lihat Menginstal dan Mengonfigurasi DirectAccess Tingkat Lanjut.

Aplikasi praktis

Menyebarkan satu server DirectAccess menyediakan hal berikut:

Kemudahan akses. Komputer klien terkelola yang menjalankan Windows 10, Windows 8.1, Windows 8, dan Windows 7 dapat dikonfigurasi sebagai komputer klien DirectAccess. Klien ini dapat mengakses sumber daya jaringan internal melalui DirectAccess kapan saja mereka berada di Internet tanpa perlu masuk ke koneksi VPN. Komputer klien yang tidak menjalankan salah satu sistem operasi ini dapat terhubung ke jaringan internal melalui VPN.
Kemudahan manajemen. Komputer klien DirectAccess yang terletak di Internet dapat dikelola dari jarak jauh oleh administrator Akses Jarak Jauh melalui DirectAccess, bahkan ketika komputer klien tidak terletak di jaringan perusahaan internal. Komputer klien yang tidak memenuhi persyaratan perusahaan dapat diperbaiki secara otomatis oleh server manajemen. DirectAccess dan VPN dikelola di konsol yang sama dan dengan serangkaian wizard yang sama. Selain itu, satu atau beberapa server DirectAccess dapat dikelola dari satu konsol Manajemen Akses Jarak Jauh

Peran dan fitur yang diperlukan untuk skenario ini

Tabel berikut mencantumkan peran dan fitur yang diperlukan untuk skenario ini:

Peran/fitur	Cara mendukung skenario ini
Peran Akses Jarak Jauh	Peran diinstal dan dihapus menggunakan konsol Server Manager atau Windows PowerShell. Peran ini mencakup DirectAccess dan Layanan Routing dan Akses Jarak Jauh (RRAS). Peran Akses Jarak Jauh terdiri dari dua komponen: 1. DirectAccess dan RRAS VPN. DirectAccess dan VPN dikelola bersama-sama di konsol Manajemen Akses Jarak Jauh. 2. Perutean RRAS. Fitur perutean RRAS dikelola di konsol Perutean dan Akses Jarak Jauh warisan. Peran server Akses Jarak Jauh bergantung pada peran/fitur server berikut: - Server Web Layanan Informasi Internet (IIS) - Fitur ini diperlukan untuk mengonfigurasi server lokasi jaringan di server DirectAccess, dan pemeriksaan web bawaan. - Database Internal Windows Digunakan untuk akuntansi lokal di server DirectAccess.
Fitur Alat Manajemen Akses Jarak Jauh	Fitur ini diinstal sebagai berikut: - Ini diinstal secara default pada server DirectAccess ketika peran Akses Jarak Jauh diinstal, dan mendukung antarmuka pengguna konsol Manajemen Jarak Jauh dan cmdlet Windows PowerShell. - Ini dapat diinstal secara opsional pada server yang tidak menjalankan peran server DirectAccess. Dalam hal ini digunakan untuk manajemen jarak jauh komputer Akses Jarak Jauh yang menjalankan DirectAccess dan VPN. Fitur Alat Manajemen Akses Jarak Jauh terdiri dari yang berikut ini: - Antarmuka pengguna grafis Akses Jarak Jauh (GUI) - Modul Akses Jarak Jauh untuk Windows PowerShell Dependensi meliputi: - Konsol Manajemen Kebijakan Grup - Kit Administrasi Pengelola Sambungan RAS (CMAK) - Windows PowerShell 3.0 - Alat dan Infrastruktur Manajemen Grafis

Peran/fitur

Cara mendukung skenario ini

Peran Akses Jarak Jauh

Peran diinstal dan dihapus menggunakan konsol Server Manager atau Windows PowerShell. Peran ini mencakup DirectAccess dan Layanan Routing dan Akses Jarak Jauh (RRAS). Peran Akses Jarak Jauh terdiri dari dua komponen:

1. DirectAccess dan RRAS VPN. DirectAccess dan VPN dikelola bersama-sama di konsol Manajemen Akses Jarak Jauh.
2. Perutean RRAS. Fitur perutean RRAS dikelola di konsol Perutean dan Akses Jarak Jauh warisan.

Peran server Akses Jarak Jauh bergantung pada peran/fitur server berikut:

- Server Web Layanan Informasi Internet (IIS) - Fitur ini diperlukan untuk mengonfigurasi server lokasi jaringan di server DirectAccess, dan pemeriksaan web bawaan.
- Database Internal Windows Digunakan untuk akuntansi lokal di server DirectAccess.

Fitur Alat Manajemen Akses Jarak Jauh

Fitur ini diinstal sebagai berikut:

- Ini diinstal secara default pada server DirectAccess ketika peran Akses Jarak Jauh diinstal, dan mendukung antarmuka pengguna konsol Manajemen Jarak Jauh dan cmdlet Windows PowerShell.
- Ini dapat diinstal secara opsional pada server yang tidak menjalankan peran server DirectAccess. Dalam hal ini digunakan untuk manajemen jarak jauh komputer Akses Jarak Jauh yang menjalankan DirectAccess dan VPN.

Fitur Alat Manajemen Akses Jarak Jauh terdiri dari yang berikut ini:

- Antarmuka pengguna grafis Akses Jarak Jauh (GUI)
- Modul Akses Jarak Jauh untuk Windows PowerShell

Dependensi meliputi:

- Konsol Manajemen Kebijakan Grup
- Kit Administrasi Pengelola Sambungan RAS (CMAK)
- Windows PowerShell 3.0
- Alat dan Infrastruktur Manajemen Grafis

Persyaratan perangkat keras

Persyaratan perangkat keras untuk skenario ini meliputi hal-hal berikut:

Persyaratan server:
- Komputer yang memenuhi persyaratan perangkat keras untuk Windows Server 2016, Windows Server 2012 R2 atau Windows Server 2012 .
- Server harus memiliki setidaknya satu adaptor jaringan yang terinstal, diaktifkan, dan tersambung ke jaringan internal. Ketika dua adaptor digunakan, harus ada satu adaptor yang terhubung ke jaringan perusahaan internal, dan satu terhubung ke jaringan eksternal (Internet, atau jaringan privat).
- Jika Teredo diperlukan sebagai protokol transisi IPv4 ke IPv6, adaptor eksternal server memerlukan dua alamat IPv4 publik berturut-turut. Jika satu alamat IP tersedia, maka hanya IP-HTTPS yang dapat digunakan sebagai protokol transisi.
- Setidaknya satu pengendali domain. Server DirectAccess dan klien DirectAccess harus menjadi anggota domain.
- Otoritas sertifikasi (CA) diperlukan jika Anda tidak ingin menggunakan sertifikat yang ditandatangani sendiri untuk IP-HTTPS atau server lokasi jaringan, atau jika Anda ingin menggunakan sertifikat klien untuk autentikasi IPsec klien. Atau, Anda dapat meminta sertifikat dari CA publik.
- Jika server lokasi jaringan tidak terletak di server DirectAccess, server web terpisah diperlukan untuk menjalankannya.
Persyaratan klien:
- Komputer klien harus menjalankan Windows 10, Windows 8, atau Windows 7.
  
  Catatan
  
  Sistem operasi berikut dapat digunakan sebagai klien DirectAccess: Windows 10, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows 7 Enterprise, atau Windows 7 Ultimate.
Persyaratan server infrastruktur dan manajemen:
- Selama manajemen jarak jauh komputer klien DirectAccess, klien memulai komunikasi dengan server manajemen seperti pengendali domain, Server Konfigurasi Pusat Sistem, dan server Otoritas Pendaftaran Kesehatan (HRA) untuk layanan yang mencakup pembaruan Windows dan antivirus dan kepatuhan klien Perlindungan Akses Jaringan (NAP). Server yang diperlukan harus disebarkan sebelum memulai penyebaran Akses Jarak Jauh.
- Jika Akses Jarak Jauh memerlukan kepatuhan NAP klien, server NPS dan HRS harus disebarkan sebelum memulai penyebaran akses jarak jauh
- Jika VPN diaktifkan, server DHCP diperlukan untuk mengalokasikan alamat IP secara otomatis ke klien VPN, jika kumpulan alamat statis tidak digunakan.

Persyaratan perangkat lunak

Ada sejumlah persyaratan untuk skenario ini:

Persyaratan server:
- Server DirectAccess harus menjadi anggota domain. Server dapat disebarkan di tepi jaringan internal, atau di belakang firewall tepi atau perangkat lain.
- Jika server DirectAccess terletak di belakang firewall tepi atau perangkat NAT, perangkat harus dikonfigurasi untuk mengizinkan lalu lintas ke dan dari server DirectAccess.
- Orang yang menyebarkan akses jarak jauh di server memerlukan izin administrator lokal di server, dan izin pengguna domain. Selain itu, administrator memerlukan izin untuk GPO yang digunakan dalam penyebaran DirectAccess. Untuk memanfaatkan fitur yang membatasi penyebaran DirectAccess ke komputer seluler saja, izin untuk membuat filter WMI pada pengontrol domain diperlukan.
Persyaratan klien Akses Jarak Jauh:
- Klien DirectAccess harus menjadi anggota domain. Domain yang berisi klien dapat termasuk dalam forest yang sama dengan server DirectAccess, atau memiliki kepercayaan dua arah dengan forest atau domain server DirectAccess.
- Grup keamanan Direktori Aktif diperlukan untuk memuat komputer yang akan dikonfigurasi sebagai klien DirectAccess. Jika grup keamanan tidak ditentukan saat mengonfigurasi pengaturan klien DirectAccess, secara default GPO klien diterapkan pada semua komputer laptop di grup keamanan Komputer Domain.
  
  Catatan
  
  Disarankan agar Anda membuat grup keamanan untuk setiap domain yang berisi komputer klien DirectAccess.
  
  Penting
  
  Jika Anda telah mengaktifkan Teredo dalam penyebaran DirectAccess Anda, dan Anda ingin menyediakan akses ke klien Windows 7, pastikan bahwa klien ditingkatkan ke Windows 7 dengan SP1. Klien yang menggunakan Windows 7 RTM tidak akan dapat terhubung melalui Teredo. Namun, klien ini masih akan dapat terhubung ke jaringan perusahaan melalui IP-HTTPS.

Lihat juga

Tabel berikut ini menyediakan tautan ke sumber daya tambahan.

Jenis konten	Referensi
Penyebaran	Jalur Penyebaran DirectAccess di Windows Server Menyebarkan Server DirectAccess Tunggal Menggunakan Wizard Memulai
Alat dan pengaturan	Cmdlet PowerShell Akses Jarak Jauh
Sumber daya komunitas	Panduan Kelangsungan Hidup DirectAccess Entri Wiki DirectAccess
Teknologi terkait	Cara kerja IPv6

Bagikan melalui