Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Topik ini menjelaskan cara mengonfigurasi infrastruktur yang diperlukan untuk penyebaran DirectAccess dasar menggunakan satu server DirectAccess di lingkungan IPv4 dan IPv6 campuran. Sebelum memulai langkah-langkah penyebaran, pastikan Anda telah menyelesaikan langkah-langkah perencanaan yang dijelaskan dalam Merencanakan Penyebaran DirectAccess Dasar.
| Tugas | Deskripsi |
|---|---|
| Mengonfigurasi pengaturan jaringan server | Konfigurasikan pengaturan jaringan server pada server DirectAccess. |
| Mengonfigurasi perutean di jaringan perusahaan | Konfigurasikan perutean di jaringan perusahaan untuk memastikan lalu lintas dirutekan dengan tepat. |
| Konfigurasi firewall | Konfigurasikan firewall tambahan, jika diperlukan. |
| Mengonfigurasi server DNS | Konfigurasikan pengaturan DNS untuk server DirectAccess. |
| Mengonfigurasi Active Directory | Gabungkan komputer klien dan server DirectAccess ke domain Direktori Aktif. |
| Mengonfigurasi GPO | Konfigurasikan GPO untuk penyebaran, jika diperlukan. |
| Mengonfigurasi kelompok keamanan | Konfigurasikan grup keamanan yang akan berisi komputer klien DirectAccess, dan grup keamanan lainnya yang diperlukan dalam penyebaran. |
Catatan
Topik ini mencakup contoh cmdlet Windows PowerShell yang dapat Anda gunakan untuk mengotomatiskan beberapa prosedur yang dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan Cmdlet.
Mengonfigurasi pengaturan jaringan server
Pengaturan antarmuka jaringan berikut diperlukan untuk penyebaran server tunggal di lingkungan dengan IPv4 dan IPv6. Semua alamat IP dikonfigurasi dengan menggunakan Ubah pengaturan adaptor di Pusat Jaringan dan Berbagi Windows.
Topologi tepi
Satu alamat IPv4 atau IPv6 statis publik yang menghadap internet.
Catatan
Dua alamat IPv4 publik berturut-turut diperlukan untuk Teredo. Jika Anda tidak menggunakan Teredo, Anda dapat mengonfigurasi satu alamat IPv4 statis publik.
Satu alamat IPv4 atau IPv6 statis internal tunggal.
Di belakang perangkat NAT (dua adaptor jaringan)
Satu alamat IPv4 atau IPv6 statis yang menghadap jaringan internal.
Satu alamat IPv4 atau IPv6 statis yang menghadap jaringan perimeter tunggal.
Di belakang perangkat NAT (satu adaptor jaringan)
- Satu alamat IPv4 atau IPv6 statis.
Catatan
Jika server DirectAccess memiliki dua atau beberapa adaptor jaringan (satu diklasifikasikan di profil domain dan yang lain di profil publik/privat), tetapi Anda ingin menggunakan topologi NIC tunggal, maka rekomendasinya adalah:
Pastikan bahwa NIC kedua, dan NIC tambahan apa pun, juga diklasifikasikan di profil domain.
Jika NIC kedua tidak dapat dikonfigurasi untuk profil domain karena alasan apa pun, maka kebijakan DirectAccess IPsec harus dicakup secara manual ke semua profil menggunakan perintah Windows PowerShell berikut:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionNama kebijakan IPsec adalah DirectAccess-DaServerToInfra dan DirectAccess-DaServerToCorp.
Mengonfigurasi perutean di jaringan perusahaan
Konfigurasikan perutean di jaringan perusahaan sebagai berikut:
Ketika IPv6 asli disebarkan di organisasi, tambahkan rute sehingga router pada jaringan internal merutekan lalu lintas IPv6 kembali melalui server Akses Jarak Jauh.
Konfigurasikan rute IPv4 dan IPv6 organisasi secara manual di server Akses Jarak Jauh. Tambahkan rute yang diterbitkan sehingga semua lalu lintas dengan awalan IPv6 organisasi (/48) diteruskan ke jaringan internal. Selain itu, untuk lalu lintas IPv4, tambahkan rute eksplisit sehingga lalu lintas IPv4 diteruskan ke jaringan internal.
Konfigurasi firewall
Saat menggunakan firewall tambahan dalam penyebaran Anda, terapkan pengecualian firewall yang terhubung ke Internet berikut untuk lalu lintas Akses Jarak Jauh saat server Akses Jarak Jauh berada di Internet IPv4:
Lalu lintas 6to4 - Protokol IP 41 masuk dan keluar.
IP-HTTPS -Transmission Control Protocol (TCP) port tujuan 443, dan port sumber TCP 443 keluar. Ketika server Akses Jarak Jauh memiliki adaptor jaringan tunggal, dan server lokasi jaringan berada di server Akses Jarak Jauh, maka port TCP 62000 juga diperlukan.
Catatan
Pengecualian ini harus dikonfigurasi pada server akses jarak jauh. Semua pengecualian lainnya harus dikonfigurasi pada firewall tepi.
Catatan
Untuk lalu lintas Teredo dan 6to4, pengecualian ini harus diterapkan untuk kedua alamat IPv4 publik berturut-turut yang terhubung ke Internet di server Akses Jarak Jauh. Untuk IP-HTTPS, pengecualian hanya perlu diterapkan untuk alamat tempat nama eksternal server diselesaikan.
Saat menggunakan firewall tambahan, terapkan pengecualian firewall yang terhubung ke Internet berikut untuk lalu lintas Akses Jarak Jauh saat server Akses Jarak Jauh berada di Internet IPv6:
Protokol IP 50
Port tujuan UDP 500 masuk, dan port sumber UDP 500 keluar.
Saat menggunakan firewall tambahan, terapkan pengecualian firewall jaringan internal berikut untuk lalu lintas Akses Jarak Jauh:
ISATAP - Protokol 41 masuk dan keluar
TCP/UDP untuk semua lalu lintas IPv4/IPv6
Mengonfigurasi server DNS
Anda harus mengonfigurasi entri DNS secara manual untuk situs web server lokasi jaringan untuk jaringan internal dalam penyebaran Anda.
Untuk membuat server lokasi jaringan dan catatan DNS uji coba NCSI
Di server DNS jaringan internal, jalankan dnsmgmt.msc lalu tekan ENTER.
Di panel kiri konsol DNS Manager , perluas zona pencarian maju untuk domain Anda. Klik kanan domain dan klik Host Baru (A atau AAAA).
Pada kotak dialog Host Baru, dalam kotak Nama (menggunakan nama domain induk jika kosong), masukkan nama DNS untuk situs web server lokasi jaringan (ini adalah nama yang digunakan klien DirectAccess untuk menyambungkan ke server lokasi jaringan). Dalam kotak alamat IP, masukkan alamat IPv4 server lokasi jaringan, lalu klik Tambahkan Host. Pada kotak dialog DNS , klik OK.
Pada kotak dialog Host Baru, dalam kotak Nama (menggunakan nama domain induk jika kosong), masukkan nama DNS untuk pemeriksaan web (nama untuk pemeriksaan web default adalah directaccess-webprobehost). Dalam kotak alamat IP, masukkan alamat IPv4 dari probe web, lalu klik Tambahkan Host. Ulangi proses ini untuk directaccess-corpconnectivityhost dan verifier konektivitas yang dibuat secara manual. Pada kotak dialog DNS , klik OK.
Klik Selesai.
Perintah setara Windows PowerShell
Cmdlet Windows PowerShell berikut ini menjalankan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul terpotong dalam beberapa baris di sini karena batasan pemformatan.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Anda juga harus mengonfigurasi entri DNS untuk hal berikut:
Server IP-HTTPS -Klien DirectAccess harus dapat menyelesaikan nama DNS server Akses Jarak Jauh dari Internet.
Pemeriksaan pencabutan sertifikat CRL - DirectAccess menggunakan pemeriksaan pencabutan sertifikat untuk koneksi IP-HTTPS antara klien DirectAccess dan server Akses Jarak Jauh, serta untuk koneksi berbasis HTTPS antara klien DirectAccess dan server lokasi jaringan. Dalam kedua kasus, klien DirectAccess harus dapat menyelesaikan dan mengakses lokasi titik distribusi CRL.
Mengonfigurasi Active Directory
Server Akses Jarak Jauh dan semua komputer klien DirectAccess harus digabungkan ke domain Direktori Aktif. Komputer klien DirectAccess harus merupakan anggota dari salah satu jenis domain berikut:
Domain yang termasuk dalam forest yang sama dengan server Akses Jarak Jauh.
Domain milik forest dengan kepercayaan dua arah dengan forest server Akses Jarak Jauh.
Domain yang memiliki kepercayaan domain dua arah ke domain server Akses Jarak Jauh.
Untuk bergabung dengan server Akses Jarak Jauh ke domain
Di Manajer Server, klik Lokal Server. Di panel detail, klik tautan di samping Nama komputer.
Pada kotak dialog Properti Sistem, klik tab Nama Komputer. Pada tab Nama Komputer, klik Ubah.
Di Nama Komputer, ketik nama komputer jika Anda juga mengubah nama komputer saat menghubungkan server ke domain. Di bawah Anggota, klik Domain, lalu ketik nama domain tempat Anda ingin bergabung dengan server; misalnya, corp.contoso.com, lalu klik OK.
Ketika Anda dimintai nama pengguna dan kata sandi, masukkan nama pengguna dan kata sandi pengguna dengan hak untuk bergabung dengan komputer ke domain, lalu klik OK.
Saat Anda melihat kotak dialog yang menyambut Anda ke domain, klik OK.
Ketika Anda diminta untuk menghidupkan ulang komputer, klik OK.
Pada kotak dialog Properti Sistem, klik Tutup.
Ketika Anda diminta untuk menghidupkan ulang komputer, klik Mulai Ulang Sekarang.
Untuk menggabungkan komputer klien ke domain
Jalankan explorer.exe.
Klik kanan ikon Komputer, lalu klik Properti.
Pada halaman Sistem , klik Pengaturan sistem tingkat lanjut.
Pada kotak dialog Properti Sistem, pada tab Nama Komputer, klik Ubah.
Pada Nama Komputer, ketik nama komputer jika Anda juga mengubah nama komputer saat menghubungkan server ke domain. Di bawah Anggota, klik Domain, lalu ketik nama domain tempat Anda ingin bergabung dengan server; misalnya, corp.contoso.com, lalu klik OK.
Ketika Anda dimintai nama pengguna dan kata sandi, masukkan nama pengguna dan kata sandi pengguna dengan hak untuk bergabung dengan komputer ke domain, lalu klik OK.
Saat Anda melihat kotak dialog yang menyambut Anda ke domain, klik OK.
Ketika Anda diminta untuk menghidupkan ulang komputer, klik OK.
Pada kotak dialog Properti Sistem, klik Tutup. Klik Mulai Ulang Sekarang saat diminta.
Perintah setara Windows PowerShell
Cmdlet Windows PowerShell berikut ini menjalankan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul terpotong dalam beberapa baris di sini karena batasan pemformatan.
Perhatikan bahwa Anda harus menyediakan kredensial domain setelah memasukkan perintah Add-Computer di bawah ini.
Add-Computer -DomainName <domain_name>
Restart-Computer
Mengonfigurasi GPO
Untuk menyebarkan Akses Jarak Jauh, Anda memerlukan minimal dua objek kebijakan Grup: satu objek kebijakan Grup berisi pengaturan untuk server Akses Jarak Jauh dan satu berisi pengaturan untuk komputer klien DirectAccess. Saat Anda mengonfigurasi Akses Jarak Jauh, wizard secara otomatis membuat objek kebijakan Grup yang diperlukan. Namun, jika organisasi Anda menerapkan konvensi penamaan, atau Anda tidak memiliki izin yang diperlukan untuk membuat atau mengedit objek kebijakan Grup, mereka harus dibuat sebelum mengonfigurasi Akses Jarak Jauh.
Untuk membuat objek kebijakan Grup, lihat Membuat dan Mengedit Objek Kebijakan Grup.
Penting
Administrator dapat menautkan objek kebijakan Grup DirectAccess secara manual ke Unit Organisasi menggunakan langkah-langkah berikut:
- Sebelum mengonfigurasi DirectAccess, tautkan GPO yang dibuat ke Unit Organisasi masing-masing.
- Mengonfigurasi DirectAccess, menentukan grup keamanan untuk komputer klien.
- Administrator mungkin atau mungkin tidak memiliki izin untuk menautkan Objek Kebijakan Grup ke domain. Dalam kedua kasus, Objek Kebijakan Grup akan dikonfigurasi secara otomatis. Jika GPO sudah ditautkan ke unit organisasi, tautan tidak akan dihapus. GPO juga tidak akan ditautkan ke domain. Untuk GPO server, OU harus berisi objek komputer pada server, jika tidak demikian, GPO akan ditautkan ke akar domain.
- Jika penautan ke OU belum dilakukan sebelum menjalankan wizard DirectAccess, setelah konfigurasi selesai, administrator dapat menautkan Objek Kebijakan Grup DirectAccess ke Unit Organisasi yang diperlukan. Tautan ke domain dapat dihapus. Langkah-langkah untuk menautkan objek kebijakan Grup ke Unit Organisasi dapat ditemukan di sini
Catatan
Jika objek kebijakan Grup dibuat secara manual, dimungkinkan selama konfigurasi DirectAccess bahwa objek kebijakan Grup tidak akan tersedia. Objek kebijakan Grup mungkin belum direplikasi ke Pengendali Domain terdekat dengan komputer manajemen. Dalam kejadian ini, administrator dapat menunggu replikasi selesai, atau memaksa replikasi.
Peringatan
Menggunakan cara apa pun selain Wizard Penyiapan DirectAccess untuk mengonfigurasi DirectAccess, seperti memodifikasi Objek Kebijakan Grup DirectAccess secara langsung atau memodifikasi pengaturan kebijakan default secara manual di server atau klien, tidak didukung.
Mengonfigurasi kelompok keamanan
Pengaturan DirectAccess yang terkandung dalam objek kebijakan Grup komputer klien hanya diterapkan ke komputer yang merupakan anggota grup keamanan yang Anda tentukan saat mengonfigurasi Akses Jarak Jauh.
Untuk membuat grup keamanan untuk klien DirectAccess
Jalankan dsa.msc. Di konsol Pengguna dan Komputer Direktori Aktif, di panel kiri, perluas domain yang akan berisi grup keamanan, klik kanan Pengguna, arahkan ke Baru, lalu klik Grup.
Pada kotak dialog Objek Baru - Grup , di bawah Nama grup, masukkan nama untuk grup keamanan.
Di bawah Lingkup grup, klik Global, di bawah Jenis grup, klik Keamanan, lalu klik OK.
Klik ganda grup keamanan komputer klien DirectAccess, dan pada kotak dialog properti, klik tab Anggota .
Pada tab Anggota , klik Tambahkan.
Pada kotak dialog Pilih Pengguna, Kontak, Komputer, atau Akun Layanan, pilih komputer klien yang ingin Anda aktifkan untuk DirectAccess, lalu klik OK.
Perintah setara Windows PowerShell
Cmdlet Windows PowerShell berikut ini menjalankan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin muncul terpotong dalam beberapa baris di sini karena batasan pemformatan.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>