Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Catatan: Windows Server 2012 menggabungkan DirectAccess dan Routing dan Remote Access Service (RRAS) ke dalam satu peran Akses Jarak Jauh.
Topik ini menjelaskan cara mengonfigurasi infrastruktur yang diperlukan untuk penyebaran Akses Jarak Jauh tingkat lanjut menggunakan satu server Akses Jarak Jauh di lingkungan IPv4 dan IPv6 campuran. Sebelum memulai langkah-langkah penyebaran, pastikan Anda telah menyelesaikan langkah-langkah perencanaan yang dijelaskan di Langkah 1: Merencanakan Infrastruktur Akses Jarak Jauh.
| Tugas | Deskripsi |
|---|---|
| Mengonfigurasi pengaturan jaringan server | Konfigurasikan pengaturan jaringan server pada server Akses Jarak Jauh. |
| Mengonfigurasi perutean di jaringan perusahaan | Konfigurasikan perutean di jaringan perusahaan untuk memastikan lalu lintas dirutekan dengan tepat. |
| Mengonfigurasi firewall | Konfigurasikan firewall tambahan, jika diperlukan. |
| Mengonfigurasi CA dan sertifikat | Konfigurasikan otoritas sertifikasi (CA), jika diperlukan, dan templat sertifikat lain yang diperlukan dalam penyebaran. |
| Mengonfigurasi server DNS | Konfigurasikan pengaturan DNS untuk server Akses Jarak Jauh. |
| Mengonfigurasi Active Directory | Gabungkan komputer klien dan server Akses Jarak Jauh ke domain Direktori Aktif. |
| Mengonfigurasi Objek Kebijakan Grup (GPO) | Konfigurasikan Objek Kebijakan Grup (GPO) untuk penyebaran, jika diperlukan. |
| Mengonfigurasi kelompok keamanan | Konfigurasikan grup keamanan yang akan berisi komputer klien DirectAccess, dan grup keamanan lainnya yang diperlukan dalam penyebaran. |
| Mengonfigurasi server lokasi jaringan | Konfigurasikan server lokasi jaringan, termasuk menginstal sertifikat situs web server lokasi jaringan. |
Catatan
Topik ini mencakup contoh cmdlet Windows PowerShell yang dapat Anda gunakan untuk mengotomatiskan beberapa prosedur yang dijelaskan. Untuk informasi selengkapnya, lihat Menggunakan Cmdlet.
Mengonfigurasi pengaturan jaringan server
Bergantung pada apakah Anda memutuskan untuk menempatkan server Akses Jarak Jauh di tepi atau di belakang perangkat Network Address Translation (NAT), pengaturan alamat antarmuka jaringan berikut diperlukan untuk penyebaran server tunggal di lingkungan dengan IPv4 dan IPv6. Semua alamat IP dikonfigurasi dengan menggunakan Ubah pengaturan adaptor di Pusat Jaringan dan Berbagi Windows.
Topologi tepi:
Memerlukan hal berikut:
Dua alamat IPv4 atau IPv6 statis publik yang menghadap internet berturut-turut.
Catatan
Dua alamat IPv4 publik berturut-turut diperlukan untuk Teredo. Jika Anda tidak menggunakan Teredo, Anda dapat mengonfigurasi satu alamat IPv4 statis publik.
Satu buah alamat IPv4 atau IPv6 statis internal.
Di belakang perangkat NAT (dua adaptor jaringan):
Memerlukan satu alamat IPv4 atau IPv6 statis yang menghadap jaringan internal.
Di belakang perangkat NAT (satu adaptor jaringan):
Memerlukan satu alamat IPv4 atau IPv6 statis.
Jika server Akses Jarak Jauh memiliki dua adaptor jaringan (satu untuk profil domain dan yang lain untuk profil publik atau privat), tetapi Anda menggunakan topologi adaptor jaringan tunggal, rekomendasinya adalah sebagai berikut:
Pastikan adaptor jaringan kedua juga diklasifikasikan di profil domain.
Jika adaptor jaringan kedua tidak dapat dikonfigurasi untuk profil domain karena alasan apa pun, kebijakan DirectAccess IPsec harus dicakup secara manual ke semua profil dengan menggunakan perintah Windows PowerShell berikut:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionNama kebijakan IPsec yang akan digunakan dalam perintah ini adalah DirectAccess-DaServerToInfra dan DirectAccess-DaServerToCorp.
Mengonfigurasi perutean di jaringan perusahaan
Konfigurasikan perutean di jaringan perusahaan sebagai berikut:
Ketika IPv6 asli disebarkan di organisasi, tambahkan rute sehingga router pada jaringan internal merutekan lalu lintas IPv6 kembali melalui server Akses Jarak Jauh.
Konfigurasikan rute IPv4 dan IPv6 organisasi secara manual di server Akses Jarak Jauh. Tambahkan rute yang diterbitkan sehingga semua lalu lintas dengan awalan IPv6 (/48) diteruskan ke jaringan internal. Selain itu, untuk lalu lintas IPv4, tambahkan rute eksplisit sehingga lalu lintas IPv4 diteruskan ke jaringan internal.
Mengonfigurasi firewall
Bergantung pada pengaturan jaringan yang Anda pilih, saat Anda menggunakan firewall tambahan dalam penyebaran Anda, terapkan pengecualian firewall berikut untuk lalu lintas Akses Jarak Jauh:
Server Akses Jarak Jauh di Internet IPv4
Terapkan pengecualian firewall yang terhubung ke Internet berikut untuk lalu lintas Akses Jarak Jauh saat server Akses Jarak Jauh berada di Internet IPv4:
Lalu lintas Teredo
Port tujuan Protokol Datagram Pengguna (UDP) 3544 masuk, dan port sumber UDP 3544 keluar. Terapkan pengecualian ini untuk kedua alamat IPv4 publik berturut-turut yang menghadap Internet pada server Akses Jarak Jauh.
Lalu lintas 6to4
Protokol IP 41 masuk dan keluar. Terapkan pengecualian ini untuk kedua alamat IPv4 publik berturut-turut yang menghadap Internet pada server Akses Jarak Jauh.
Lalu lintas IP-HTTPS
Port tujuan Protokol Kontrol Transmisi (TCP) 443 dan port sumber TCP 443 untuk lalu lintas keluar. Ketika server Akses Jarak Jauh memiliki adaptor jaringan tunggal, dan server lokasi jaringan berada di server Akses Jarak Jauh, maka port TCP 62000 juga diperlukan. Terapkan pengecualian ini hanya untuk alamat yang merupakan hasil penentuan nama eksternal server.
Catatan
Pengecualian ini dikonfigurasi pada server Akses Jarak Jauh. Semua pengecualian lainnya dikonfigurasi pada firewall tepi.
Server Akses Jarak Jauh di Internet IPv6
Terapkan pengecualian firewall yang terhubung ke Internet berikut untuk lalu lintas Akses Jarak Jauh saat server Akses Jarak Jauh berada di Internet IPv6:
Protokol IP 50
Port tujuan UDP 500 masuk, dan port sumber UDP 500 keluar.
Protokol Pesan Kontrol Internet untuk lalu lintas masuk dan keluar IPv6 (ICMPv6) - hanya untuk implementasi Teredo.
Lalu lintas Akses Jarak Jauh
Terapkan pengecualian firewall jaringan internal berikut untuk lalu lintas Akses Jarak Jauh:
ISATAP: Protokol 41 masuk dan keluar
TCP/UDP untuk semua lalu lintas IPv4 atau IPv6
ICMP untuk semua lalu lintas IPv4 atau IPv6
Mengonfigurasi CA dan sertifikat
Dengan Akses Jarak Jauh di Windows Server 2012 , Anda dapat memilih antara menggunakan sertifikat untuk autentikasi komputer atau menggunakan autentikasi Kerberos bawaan yang menggunakan nama pengguna dan kata sandi. Anda juga harus mengonfigurasi sertifikat IP-HTTPS di server Akses Jarak Jauh. Bagian ini menjelaskan cara mengonfigurasi sertifikat ini.
Untuk informasi tentang menyiapkan infrastruktur kunci umum (PKI), lihat Layanan Sertifikat Direktori Aktif.
Mengonfigurasi autentikasi IPsec
Sertifikat diperlukan di server Akses Jarak Jauh dan semua klien DirectAccess sehingga mereka dapat menggunakan autentikasi IPsec. Sertifikat harus dikeluarkan oleh otoritas sertifikasi internal (CA). Server Akses Jarak Jauh dan klien DirectAccess harus mempercayai CA yang mengeluarkan sertifikat akar dan menengah.
Untuk mengonfigurasi autentikasi IPsec
Pada CA internal, putuskan apakah Anda akan menggunakan templat sertifikat komputer default, atau jika Anda akan membuat templat sertifikat baru seperti yang dijelaskan dalam Membuat Templat Sertifikat.
Catatan
Jika Anda membuat templat baru, templat tersebut harus dikonfigurasi untuk autentikasi klien.
Sebarkan templat sertifikat jika diperlukan. Untuk informasi selengkapnya, lihat Menyebarkan Templat Sertifikat.
Konfigurasikan templat untuk pendaftaran otomatis jika diperlukan.
Konfigurasikan pendaftaran otomatis sertifikat jika diperlukan. Untuk informasi selengkapnya, lihat Mengonfigurasi Pendaftaran Otomatis Sertifikat.
Konfigurasi templat sertifikat
Saat Anda menggunakan CA internal untuk menerbitkan sertifikat, Anda harus mengonfigurasi templat sertifikat untuk sertifikat IP-HTTPS dan sertifikat situs web server lokasi jaringan.
Untuk mengonfigurasi templat sertifikat
Pada CA internal, buat templat sertifikat seperti yang dijelaskan dalam Membuat Templat Sertifikat.
Sebarkan templat sertifikat seperti yang dijelaskan dalam Menyebarkan Templat Sertifikat.
Setelah menyiapkan templat, Anda dapat menggunakannya untuk mengonfigurasi sertifikat. Lihat prosedur berikut untuk detailnya:
Mengonfigurasi sertifikat IP-HTTPS
Akses Jarak Jauh memerlukan sertifikat IP-HTTPS untuk mengautentikasi koneksi IP-HTTPS ke server Akses Jarak Jauh. Ada tiga opsi sertifikat untuk sertifikat IP-HTTPS:
Publik
Disediakan oleh pihak ketiga.
Privat
Sertifikat didasarkan pada templat sertifikat yang Anda buat dalam Mengonfigurasi templat sertifikat. Diperlukan titik distribusi daftar pencabutan sertifikat (CRL) yang dapat dijangkau dari FQDN yang dapat diakses secara publik.
Ditandatangani sendiri
Sertifikat ini memerlukan titik distribusi CRL yang dapat dijangkau melalui FQDN yang dapat dipecahkan secara publik.
Catatan
Sertifikat yang ditandatangani sendiri tidak dapat digunakan dalam penyebaran multisitus.
Pastikan bahwa sertifikat situs web yang digunakan untuk autentikasi IP-HTTPS memenuhi persyaratan berikut:
Nama subjek sertifikat harus menjadi nama domain yang sepenuhnya memenuhi syarat (FQDN) yang dapat diselesaikan secara eksternal dari URL IP-HTTPS (alamat ConnectTo) yang hanya digunakan untuk koneksi IP-HTTPS server Akses Jarak Jauh.
Nama umum sertifikat harus cocok dengan nama situs IP-HTTPS.
Pada kolom subjek, tentukan alamat IPv4 dari adaptor yang menghadap ke eksternal pada server Akses Jarak Jauh atau FQDN dari URL IP-HTTPS.
Untuk bidang Penggunaan Kunci yang Ditingkatkan, gunakan pengidentifikasi objek Autentikasi Server (OID).
Untuk bidang Titik Distribusi CRL, tentukan titik distribusi CRL yang dapat diakses oleh klien DirectAccess yang terhubung ke Internet.
Sertifikat IP-HTTPS harus memiliki kunci privat.
Sertifikat IP-HTTPS harus diimpor langsung ke toko pribadi.
Sertifikat IP-HTTPS dapat memiliki karakter wildcard dalam namanya.
Untuk menginstal sertifikat IP-HTTPS dari CA internal
Pada server Akses Jarak Jauh: Pada layar Mulai , ketikmmc.exe, lalu tekan ENTER.
Di konsol MMC, pada menu File , klik Tambahkan/Hapus Snap-in.
Dalam kotak dialog Tambahkan atau Hapus Snap-in , klik Sertifikat, klik Tambahkan, klik Akun komputer, klik Berikutnya, klik Komputer lokal, klik Selesai, lalu klik OK.
Di pohon konsol snap-in Sertifikat, buka Sertifikat (Komputer Lokal)\Pribadi\Sertifikat.
Klik kanan Sertifikat, arahkan ke Semua Tugas, klik Minta Sertifikat Baru, lalu klik Berikutnya dua kali..
Pada halaman Minta Sertifikat , pilih kotak centang untuk templat sertifikat yang Anda buat di Mengonfigurasi templat sertifikat, dan jika diperlukan, klik Informasi selengkapnya diperlukan untuk mendaftar untuk sertifikat ini.
Dalam kotak dialog Properti Sertifikat, pada tab Subjek, di area Nama Subjek, di Jenis, pilih Nama Umum.
Di Nilai, tentukan alamat IPv4 adaptor eksternal server Akses Jarak Jauh, atau FQDN URL IP-HTTPS, lalu klik Tambahkan.
Di area Nama alternatif, di Jenis, pilih DNS.
Di Nilai, tentukan alamat IPv4 adaptor eksternal server Akses Jarak Jauh, atau FQDN URL IP-HTTPS, lalu klik Tambahkan.
Pada tab Umum, di Nama yang mudah diingat, Anda dapat memasukkan nama yang akan membantu Anda mengidentifikasi sertifikat.
Pada tab Ekstensi, di samping Penggunaan Kunci yang Diperluas, klik panah, dan pastikan Autentikasi Server ada di daftar Opsi yang dipilih.
Klik OK, klik Daftar, lalu klik Selesai.
Di panel detail snap-in Sertifikat, verifikasi bahwa sertifikat baru terdaftar dengan tujuan autentikasi server yang dimaksudkan.
Mengonfigurasi server DNS
Anda harus secara manual mengonfigurasi entri DNS untuk situs web server lokasi jaringan pada jaringan internal dalam penerapan Anda.
Untuk menambahkan server lokasi jaringan dan uji web
Pada server DNS jaringan internal: Pada layar Mulai , ketikdnsmgmt.msc, lalu tekan ENTER.
Di panel kiri konsol DNS Manager , perluas zona pencarian maju untuk domain Anda. Klik kanan domain, dan klik Host Baru (A atau AAAA).
Dalam kotak dialog Host Baru, dalam kotak Nama (menggunakan nama domain induk jika kosong), masukkan nama DNS untuk situs web server lokasi jaringan (ini adalah nama yang digunakan klien DirectAccess untuk menyambungkan ke server lokasi jaringan). Dalam kotak alamat IP, masukkan alamat IPv4 server lokasi jaringan, dan klik Tambahkan Host, lalu klik OK.
Dalam kotak dialog Host Baru, dalam kotak Nama (menggunakan nama domain induk jika kosong), masukkan nama DNS untuk pemeriksaan web (nama untuk pemeriksaan web default adalah directaccess-webprobehost). Pada kotak alamat IP, masukkan alamat IPv4 dari uji coba web, lalu klik Tambahkan Host.
Ulangi proses ini untuk directaccess-corpconnectivityhost dan verifier konektivitas yang dibuat secara manual. Dalam kotak dialog DNS , klik OK.
Klik Selesai.
Perintah setara Windows PowerShell
Cmdlet atau beberapa cmdlet Windows PowerShell berikut menjalankan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin tampak terpotong di beberapa baris di sini karena keterbatasan format.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Anda juga harus mengonfigurasi entri DNS untuk hal berikut:
Server IP-HTTPS
Pengguna DirectAccess harus dapat memetakan nama DNS server Akses Jarak Jauh dari Internet.
Pemeriksaan pencabutan sertifikat (CRL)
DirectAccess menggunakan pemeriksaan pencabutan sertifikat untuk koneksi IP-HTTPS antara klien DirectAccess dan server Akses Jarak Jauh, dan untuk koneksi berbasis HTTPS antara klien DirectAccess dan server lokasi jaringan. Dalam kedua kasus, klien DirectAccess harus dapat menyelesaikan dan mengakses lokasi titik distribusi CRL.
ISATAP
Protokol Alamat Terowongan Otomatis Intrasite (ISATAP) menggunakan terowongan untuk memungkinkan klien DirectAccess terhubung ke server Akses Jarak Jauh melalui Internet IPv4, merangkum paket IPv6 dalam header IPv4. Ini digunakan oleh Akses Jarak Jauh untuk menyediakan konektivitas IPv6 ke host ISATAP di seluruh intranet. Di lingkungan jaringan IPv6 non-asli, server Akses Jarak Jauh mengonfigurasi dirinya secara otomatis sebagai router ISATAP. Dukungan resolusi untuk nama ISATAP diperlukan.
Mengonfigurasi Active Directory
Server Akses Jarak Jauh dan semua komputer klien DirectAccess harus digabungkan ke domain Direktori Aktif. Komputer klien DirectAccess harus merupakan anggota dari salah satu jenis domain berikut:
Domain yang berada di forest yang sama dengan server Akses Jarak Jauh.
Domain yang dimiliki oleh hutan yang memiliki kepercayaan dua arah dengan hutan server Akses Jarak Jauh.
Domain yang memiliki kepercayaan dua arah dengan domain server Akses Jarak Jauh.
Untuk bergabung dengan server Akses Jarak Jauh ke domain
Di Manajer Server, klik Server Lokal. Di panel detail, klik tautan di samping Nama komputer.
Dalam kotak dialog Properti Sistem, klik tab Nama Komputer, lalu klik Ubah.
Dalam kotak Nama Komputer, ketik nama komputer jika Anda juga mengubah nama komputer saat menggabungkan server ke domain. Di bawah Anggota, klik Domain, lalu ketik nama domain tempat Anda ingin bergabung dengan server, (misalnya, corp.contoso.com), lalu klik OK.
Ketika Anda dimintai nama pengguna dan kata sandi, masukkan nama pengguna dan kata sandi pengguna dengan izin untuk bergabung dengan komputer ke domain, lalu klik OK.
Saat Anda melihat kotak dialog yang menyambut Anda ke domain, klik OK.
Ketika Anda diminta untuk menghidupkan ulang komputer, klik OK.
Dalam kotak dialog Properti Sistem, klik Tutup.
Ketika Anda diminta untuk menghidupkan ulang komputer, klik Mulai Ulang Sekarang.
Untuk menggabungkan komputer klien ke domain
Pada layar Mulai, ketikexplorer.exe, lalu tekan ENTER.
Klik kanan ikon Komputer, lalu klik Properti.
Pada halaman Sistem , klik Pengaturan sistem tingkat lanjut.
Dalam kotak dialog Properti Sistem, pada tab Nama Komputer, klik Ubah.
Dalam kotak Nama komputer, ketik nama komputer jika Anda juga mengubah nama komputer saat menggabungkan server ke domain. Di bawah Anggota, klik Domain, lalu ketik nama domain tempat Anda ingin bergabung dengan server (misalnya, corp.contoso.com), lalu klik OK.
Ketika Anda dimintai nama pengguna dan kata sandi, masukkan nama pengguna dan kata sandi pengguna dengan izin untuk bergabung dengan komputer ke domain, lalu klik OK.
Saat Anda melihat kotak dialog yang menyambut Anda ke domain, klik OK.
Ketika Anda diminta untuk menghidupkan ulang komputer, klik OK.
Dalam kotak dialog Sistem Properti, klik Tutup.
Klik Mulai Ulang Sekarang saat diminta.
Perintah setara Windows PowerShell
Cmdlet atau beberapa cmdlet Windows PowerShell berikut menjalankan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin tampak terpotong di beberapa baris di sini karena keterbatasan format.
Catatan
Anda harus memberikan kredensial domain setelah memasukkan perintah berikut.
Add-Computer -DomainName <domain_name>
Restart-Computer
Mengonfigurasi Objek Kebijakan Grup (GPO)
Untuk menyebarkan Akses Jarak Jauh, Anda memerlukan minimal dua Objek Kebijakan Grup. Satu Objek Kebijakan Grup berisi pengaturan untuk server Akses Jarak Jauh, dan satu berisi pengaturan untuk komputer klien DirectAccess. Saat Anda mengonfigurasi Akses Jarak Jauh, wizard secara otomatis membuat Objek Kebijakan Grup yang diperlukan. Namun, jika organisasi Anda menerapkan konvensi penamaan, atau Anda tidak memiliki izin yang diperlukan untuk membuat atau mengedit Objek Kebijakan Grup, mereka harus dibuat sebelum mengonfigurasi Akses Jarak Jauh.
Untuk membuat Objek Kebijakan Grup, lihat Membuat dan Mengedit Objek Kebijakan Grup.
Administrator dapat menautkan Objek Kebijakan Grup DirectAccess secara manual ke unit organisasi (OU). Pertimbangkan hal berikut:
Hubungkan GPO yang sudah dibuat ke OU terkait sebelum mengonfigurasi DirectAccess.
Saat Anda mengonfigurasi DirectAccess, tentukan grup keamanan untuk komputer klien.
GPO dikonfigurasi secara otomatis, terlepas dari apakah administrator memiliki izin untuk menautkan GPO ke domain.
Jika GPO sudah ditautkan ke unit organisasi, tautan tidak akan dihapus, tetapi tidak ditautkan ke domain.
Untuk GPO server, OU harus berisi objek komputer server - jika tidak, GPO akan ditautkan ke akar domain.
Jika unit organisasi belum ditautkan sebelumnya dengan menjalankan Wizard Penyiapan DirectAccess, setelah konfigurasi selesai, administrator dapat menautkan GPO DirectAccess ke OU yang diperlukan, dan menghapus tautan ke domain.
Untuk informasi selengkapnya, lihat Menautkan Objek Kebijakan Grup.
Catatan
Jika Objek Kebijakan Grup dibuat secara manual, ada kemungkinan Objek Kebijakan Grup tidak akan tersedia selama konfigurasi DirectAccess. Objek Kebijakan Grup mungkin belum direplikasi ke pengendali domain yang paling dekat dengan komputer manajemen. Administrator dapat menunggu replikasi selesai atau memaksa replikasi.
Mengonfigurasi kelompok keamanan
Pengaturan DirectAccess yang terkandung dalam komputer klien Objek Kebijakan Grup hanya diterapkan ke komputer yang merupakan anggota grup keamanan yang Anda tentukan saat mengonfigurasi Akses Jarak Jauh.
Untuk membuat grup keamanan untuk klien DirectAccess
Pada layar Mulai, ketikdsa.msc, lalu tekan ENTER.
Di konsol Active Directory Users and Computers, di panel kiri, perluas domain yang akan berisi grup keamanan, klik kanan Pengguna, arahkan ke Baru, lalu klik Grup.
Dalam kotak dialog Objek Baru - Grup , di bawah Nama grup, masukkan nama untuk grup keamanan.
Di bawah Lingkup grup, klik Global, dan di bawah Jenis grup, klik Keamanan, lalu klik OK.
Klik dua kali pada grup keamanan komputer klien DirectAccess, dan di kotak dialog Properti, klik tab Anggota.
Pada tab Anggota , klik Tambahkan.
Dalam kotak dialog Pilih Pengguna, Kontak, Komputer, atau Akun Layanan, pilih komputer klien yang ingin Anda aktifkan untuk DirectAccess, lalu klik OK.
Perintah setara Windows PowerShell
Cmdlet atau beberapa cmdlet Windows PowerShell berikut menjalankan fungsi yang sama dengan prosedur sebelumnya. Masukkan setiap cmdlet pada satu baris, meskipun mungkin tampak terpotong di beberapa baris di sini karena keterbatasan format.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
Mengonfigurasi server lokasi jaringan
Server lokasi jaringan harus berada di server dengan ketersediaan tinggi, dan memerlukan sertifikat Secure Sockets Layer (SSL) yang valid yang dipercaya oleh klien DirectAccess.
Catatan
Jika situs web server lokasi jaringan terletak di server Akses Jarak Jauh, situs web akan dibuat secara otomatis ketika Anda mengonfigurasi Akses Jarak Jauh dan terikat ke sertifikat server yang Anda sediakan.
Ada dua opsi sertifikat untuk sertifikat server lokasi jaringan:
Privat
Catatan
Sertifikat didasarkan pada templat sertifikat yang Anda buat dalam Mengonfigurasi templat sertifikat.
Ditandatangani sendiri
Catatan
Sertifikat yang ditandatangani sendiri tidak dapat digunakan dalam penyebaran multisitus.
Baik Anda menggunakan sertifikat privat atau sertifikat yang ditandatangani sendiri, sertifikat tersebut memerlukan hal berikut:
Sertifikat situs web yang digunakan untuk server lokasi jaringan. Subjek sertifikat harus menjadi URL server lokasi jaringan.
Titik distribusi CRL yang memiliki ketersediaan tinggi di jaringan internal.
Untuk menginstal sertifikat server lokasi jaringan dari CA internal
Pada server yang akan menghosting situs web server lokasi jaringan: Pada layar Mulai , ketikmmc.exe, lalu tekan ENTER.
Di konsol MMC, pada menu File , klik Tambahkan/Hapus Snap-in.
Dalam kotak dialog Tambahkan atau Hapus Snap-in , klik Sertifikat, klik Tambahkan, klik Akun komputer, klik Berikutnya, klik Komputer lokal, klik Selesai, lalu klik OK.
Di pohon konsol snap-in Sertifikat, buka Sertifikat (Komputer Lokal)\Pribadi\Sertifikat.
Klik kanan Sertifikat, arahkan ke Semua Tugas, klik Minta Sertifikat Baru, lalu klik Berikutnya dua kali.
Pada halaman Minta Sertifikat , pilih kotak centang untuk templat sertifikat yang Anda buat di Mengonfigurasi templat sertifikat, dan jika diperlukan, klik Informasi selengkapnya diperlukan untuk mendaftar untuk sertifikat ini.
Dalam kotak dialog Properti Sertifikat, pada tab Subjek, di area Nama Subjek, di Jenis, pilih Nama Umum.
Di Nilai, masukkan FQDN situs web server lokasi jaringan, lalu klik Tambahkan.
Di area Nama alternatif, di Jenis, pilih DNS.
Di Nilai, masukkan FQDN situs web server lokasi jaringan, lalu klik Tambahkan.
Pada tab Umum, di Nama yang mudah diingat, Anda dapat memasukkan nama yang akan membantu Anda mengidentifikasi sertifikat.
Klik OK, klik Daftar, lalu klik Selesai.
Di panel detail snap-in Sertifikat, verifikasi bahwa sertifikat baru terdaftar dengan tujuan otentikasi server yang diinginkan.
Untuk mengonfigurasi server lokasi jaringan
Siapkan situs web di server ketersediaan tinggi. Situs web tidak memerlukan konten apa pun, tetapi ketika Anda mengujinya, Anda mungkin menentukan halaman default yang menyediakan pesan saat klien terhubung.
Langkah ini tidak diperlukan jika situs web server lokasi jaringan dihosting di server Akses Jarak Jauh.
Ikat sertifikat server HTTPS ke situs web. Nama umum sertifikat harus cocok dengan nama situs server lokasi jaringan. Pastikan bahwa klien DirectAccess mempercayai CA yang menerbitkan.
Langkah ini tidak diperlukan jika situs web server lokasi jaringan dihosting di server Akses Jarak Jauh.
Siapkan situs CRL yang memiliki ketersediaan tinggi di jaringan internal.
Titik distribusi CRL dapat diakses melalui:
Server web yang menggunakan URL berbasis HTTP, seperti:
https://crl.corp.contoso.com/crld/corp-APP1-CA.crlServer file yang diakses melalui jalur konvensi penamaan universal (UNC), seperti \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Jika titik distribusi CRL internal hanya dapat dijangkau melalui IPv6, Anda harus mengonfigurasi Windows Firewall dengan aturan keamanan koneksi tingkat lanjut. Ini mengecualikan perlindungan IPsec dari ruang alamat IPv6 intranet Anda ke alamat IPv6 titik distribusi CRL Anda.
Pastikan bahwa klien DirectAccess di jaringan internal dapat menguraikan nama server lokasi jaringan, dan klien DirectAccess yang berada di Internet tidak dapat menguraikan nama tersebut.