Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Skenario penyebaran DirectAccess Remote Client Management menggunakan DirectAccess untuk mempertahankan klien melalui Internet. Bagian ini menjelaskan skenario, termasuk fase, peran, fitur, dan tautannya ke sumber daya tambahan.
Windows Server 2016 dan Windows Server 2012 menggabungkan DirectAccess dan layanan Routing dan Akses Jarak Jauh (RRAS) VPN menjadi satu peran Akses Jarak Jauh.
Catatan
Selain topik ini, topik manajemen Akses Jarak Jauh berikut ini tersedia.
Deskripsi Skenario
Komputer klien DirectAccess tersambung ke intranet setiap kali tersambung ke Internet, terlepas dari apakah pengguna telah masuk ke komputer. Mereka dapat dikelola sebagai sumber daya intranet dan tetap terkini dengan perubahan Kebijakan Grup, pembaruan sistem operasi, pembaruan antimalware, dan perubahan organisasi lainnya.
Dalam beberapa kasus, server intranet atau komputer harus memulai koneksi ke klien DirectAccess. Misalnya, teknisi bantuan dapat menggunakan koneksi desktop jarak jauh untuk terhubung dan memecahkan masalah pada klien DirectAccess jarak jauh. Skenario ini memungkinkan Anda menyimpan solusi akses jarak jauh yang ada untuk konektivitas pengguna, sambil menggunakan DirectAccess untuk manajemen jarak jauh.
DirectAccess menyediakan konfigurasi yang mendukung manajemen jarak jauh klien DirectAccess. Anda dapat menggunakan opsi wizard penyebaran yang membatasi pembuatan kebijakan hanya pada yang diperlukan untuk manajemen jarak jauh komputer klien.
Catatan
Dalam penyebaran ini, opsi konfigurasi tingkat pengguna seperti penerowongan paksa, integrasi Network Access Protection (NAP), dan autentikasi dua faktor tidak tersedia.
Dalam skenario ini
Skenario penyebaran Manajemen Klien Jarak Jauh DirectAccess mencakup langkah-langkah berikut untuk merencanakan dan mengonfigurasi.
Merencanakan penyebaran
Hanya ada beberapa persyaratan komputer dan jaringan untuk merencanakan skenario ini. Meliputi:
Topologi jaringan dan server: Dengan DirectAccess, Anda dapat menempatkan server Akses Jarak Jauh di tepi intranet Anda atau di belakang perangkat terjemahan alamat jaringan (NAT) atau firewall.
Server lokasi jaringan DirectAccess: Server lokasi jaringan digunakan oleh klien DirectAccess untuk menentukan apakah mereka terletak di jaringan internal. Server lokasi jaringan dapat diinstal pada server DirectAccess atau di server lain.
Klien DirectAccess: Memutuskan komputer terkelola mana yang akan dikonfigurasi sebagai klien DirectAccess.
Konfigurasikan penyebaran
Mengonfigurasi penerapan Anda melibatkan beberapa langkah. Ini termasuk:
Konfigurasikan infrastruktur: Konfigurasikan pengaturan DNS, gabungkan server dan komputer klien ke domain jika diperlukan, dan konfigurasikan grup keamanan Direktori Aktif.
Dalam skenario penyebaran ini, Objek Kebijakan Grup (GPO) dibuat secara otomatis oleh Akses Jarak Jauh. Untuk opsi GPO sertifikat tingkat lanjut, lihat Menerapkan Akses Jarak Jauh Tingkat Lanjut.
Mengonfigurasi server Akses Remote dan pengaturan jaringan: Mengonfigurasi adaptor jaringan, alamat IP, dan perutean.
Mengonfigurasi pengaturan sertifikat: Dalam skenario penyebaran ini, Wizard Memulai membuat sertifikat yang ditandatangani sendiri, sehingga tidak perlu mengonfigurasi infrastruktur sertifikat yang lebih canggih.
Konfigurasikan server lokasi jaringan: Dalam skenario ini, server lokasi jaringan diinstal pada server Akses Jarak Jauh.
Merencanakan server manajemen DirectAccess: Administrator dapat mengelola komputer klien DirectAccess dari jarak jauh yang terletak di luar jaringan perusahaan dengan menggunakan Internet. Server manajemen mencakup komputer yang digunakan selama manajemen klien jarak jauh (seperti server pembaruan).
Konfigurasikan server Akses Jarak Jauh: Instal peran Akses Jarak Jauh dan jalankan Wizard Memulai DirectAccess untuk mengonfigurasi DirectAccess.
Verifikasi penyebaran: Uji klien untuk memastikan klien dapat terhubung ke jaringan internal dan Internet dengan menggunakan DirectAccess.
Aplikasi praktis
Menyebarkan satu server Akses Jarak Jauh untuk mengelola klien DirectAccess menyediakan hal berikut:
Kemudahan akses: Komputer klien terkelola yang menjalankan Windows 8 atau Windows 7 dapat dikonfigurasi sebagai komputer klien DirectAccess. Klien ini dapat mengakses sumber daya jaringan internal melalui DirectAccess kapan saja mereka terhubung ke Internet tanpa perlu masuk ke koneksi VPN. Komputer klien yang tidak menjalankan salah satu sistem operasi ini dapat terhubung ke jaringan internal melalui VPN. DirectAccess dan VPN dikelola di konsol yang sama dan dengan serangkaian wizard yang sama.
Kemudahan manajemen: Komputer klien DirectAccess yang terhubung ke Internet dapat dikelola dari jarak jauh oleh administrator akses jarak jauh dengan menggunakan DirectAccess, bahkan ketika komputer klien tidak terletak di jaringan perusahaan internal. Komputer klien yang tidak memenuhi persyaratan perusahaan dapat diperbaiki secara otomatis oleh server manajemen. Satu atau beberapa server Akses Jarak Jauh dapat dikelola dari satu konsol Manajemen Akses Jarak Jauh.
Peran dan fitur yang disertakan dalam skenario ini
Tabel berikut mencantumkan peran dan fitur yang diperlukan untuk skenario:
| Peran atau fitur | Cara mendukung skenario ini |
|---|---|
| Peran Akses Jarak Jauh | Peran ini diinstal dan dihapus instalannya dengan menggunakan konsol Manajer Server atau Windows PowerShell. Peran ini mencakup DirectAccess, yang sebelumnya merupakan fitur di Windows Server 2008 R2, dan Layanan Perutean dan Akses Jarak Jauh, yang sebelumnya merupakan layanan peran di bawah peran server Layanan Kebijakan Jaringan dan Akses (NPAS). Peran Akses Jarak Jauh terdiri dari dua komponen: 1. DirectAccess dan Routing dan Layanan Akses Jarak Jauh (RRAS) VPN: DirectAccess dan VPN dikelola di konsol Manajemen Akses Remote. Peran server Akses Jarak Jauh bergantung pada fitur berikut: - Peladen Web (IIS): Diperlukan untuk mengonfigurasi server penentu lokasi jaringan dan pemeriksaan web bawaan. |
| Fitur Alat Manajemen Akses Jarak Jauh | Fitur ini diinstal sebagai berikut: - Secara default pada server Akses Jarak Jauh saat peran Akses Jarak Jauh diinstal dan mendukung antarmuka pengguna konsol Manajemen Jarak Jauh. Fitur ini terdiri dari yang berikut: - GUI Akses Jarak Jauh dan alat baris perintah Dependensi meliputi: - Konsol Manajemen Kebijakan Grup |
Persyaratan perangkat keras
Persyaratan perangkat keras untuk skenario ini meliputi hal-hal berikut:
Persyaratan server
Komputer yang memenuhi persyaratan perangkat keras untuk Windows Server 2016. Untuk informasi selengkapnya, lihat Persyaratan Sistem Windows Server 2016.
Server harus memiliki setidaknya satu adaptor jaringan yang terinstal dan diaktifkan. Seharusnya hanya ada satu adaptor yang terhubung ke jaringan internal perusahaan, dan hanya satu yang terhubung ke jaringan eksternal (Internet).
Jika Teredo diperlukan sebagai protokol transisi IPv6 ke IPv4, adaptor eksternal server memerlukan dua alamat IPv4 publik berturut-turut. Jika adaptor jaringan tunggal tersedia, hanya IP-HTTPS yang dapat digunakan sebagai protokol transisi.
Setidaknya satu pengendali domain. Server Akses Jarak Jauh dan klien DirectAccess harus menjadi anggota domain.
Otoritas sertifikasi diperlukan di server jika Anda tidak ingin menggunakan sertifikat yang ditandatangani sendiri untuk IP-HTTPS atau server lokasi jaringan, atau jika Anda ingin menggunakan sertifikat klien untuk autentikasi IPsec klien.
Persyaratan klien
- Komputer klien harus menjalankan Windows 10 atau Windows 8 atau Windows 7.
Persyaratan server infrastruktur dan manajemen
Selama manajemen jarak jauh komputer klien DirectAccess, klien memulai komunikasi dengan server manajemen, seperti pengendali domain, Server Konfigurasi Pusat Sistem, dan server Otoritas Pendaftaran Kesehatan (HRA). Server ini menyediakan layanan yang mencakup pembaruan Windows dan antivirus dan kepatuhan klien Perlindungan Akses Jaringan (NAP). Anda harus menyebarkan server yang diperlukan sebelum memulai penyebaran Akses Jarak Jauh.
Server DNS yang menjalankan Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows Server 2008 R2, atau Windows Server 2008 dengan SP2 diperlukan.
Persyaratan perangkat lunak
Persyaratan perangkat lunak untuk skenario ini meliputi hal-hal berikut:
Persyaratan server
Server Akses Jarak Jauh harus menjadi anggota domain. Server dapat disebarkan di tepi jaringan internal, atau di belakang firewall tepi atau perangkat lain.
Jika server Akses Jarak Jauh terletak di belakang firewall tepi atau perangkat NAT, perangkat harus dikonfigurasi untuk memungkinkan lalu lintas ke dan dari server Akses Jarak Jauh.
Admin yang menyebarkan server Akses Jarak Jauh memerlukan izin administrator lokal pada server dan izin pengguna domain. Selain itu, administrator memerlukan izin atas GPO yang digunakan untuk penyebaran DirectAccess. Untuk memanfaatkan fitur yang membatasi penyebaran DirectAccess hanya ke komputer seluler, izin Admin Domain diperlukan pada pengendali domain untuk membuat filter WMI.
Jika server lokasi jaringan tidak terletak di server Akses Jarak Jauh, server terpisah untuk menjalankannya diperlukan.
Persyaratan klien akses jarak jauh
Klien DirectAccess harus menjadi anggota domain. Domain yang berisi klien bisa termasuk dalam hutan yang sama dengan server Akses Jarak Jauh, atau mereka bisa memiliki kepercayaan dua arah dengan hutan atau domain server Akses Jarak Jauh.
Grup keamanan Direktori Aktif diperlukan untuk memuat komputer yang akan dikonfigurasi sebagai klien DirectAccess. Komputer tidak boleh disertakan dalam lebih dari satu grup keamanan yang menyertakan klien DirectAccess. Jika klien disertakan dalam beberapa grup, resolusi nama untuk permintaan klien tidak akan berfungsi seperti yang diharapkan.