Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Windows Server 2016 dan Windows Server 2012 menggabungkan VPN DirectAccess dan Remote Access Service (RAS) ke dalam satu peran Akses Jarak Jauh. Akses Jarak Jauh dapat disebarkan dalam sejumlah skenario perusahaan. Gambaran umum ini memberikan pengenalan skenario perusahaan untuk menyebarkan server Akses Jarak Jauh dalam konfigurasi multisitus.
Deskripsi Skenario
Dalam penyebaran multisitus dua atau beberapa server Akses Jarak Jauh atau kluster server disebarkan dan dikonfigurasi sebagai titik masuk yang berbeda dalam satu lokasi, atau di lokasi geografis yang tersebar. Menyebarkan beberapa titik masuk dalam satu lokasi memungkinkan redundansi server, atau untuk penyelarasan server Akses Jarak Jauh dengan arsitektur jaringan yang ada. Penyebaran berdasarkan lokasi geografis memastikan penggunaan sumber daya yang efisien, karena komputer klien jarak jauh dapat terhubung ke sumber daya jaringan internal menggunakan titik masuk yang paling dekat dengan mereka. Lalu lintas di seluruh penyebaran multisitus dapat didistribusikan dan diseimbangkan dengan load balancer global eksternal.
Penyebaran multisitus mendukung komputer klien yang menjalankan Windows 10, Windows 8, atau Windows 7 . Komputer klien yang menjalankan Windows 10 atau Windows 8 secara otomatis mengidentifikasi titik masuk, atau pengguna dapat memilih titik masuk secara manual. Penugasan otomatis terjadi dalam urutan prioritas berikut:
Gunakan titik masuk yang dipilih secara manual oleh pengguna.
Gunakan titik masuk yang diidentifikasi oleh load balancer global eksternal jika tersedia.
Gunakan titik masuk terdekat yang diidentifikasi oleh komputer klien menggunakan mekanisme pemeriksaan otomatis.
Dukungan untuk klien yang menjalankan Windows 7 harus diaktifkan secara manual pada setiap titik masuk, dan pemilihan titik masuk oleh klien ini tidak didukung.
Prasyarat
Sebelum Anda mulai menyebarkan skenario ini, tinjau daftar ini untuk persyaratan penting:
Sebarkan Server Single DirectAccess dengan Pengaturan Tingkat Lanjut sebelum penyebaran multisitus.
Klien Windows 7 akan selalu tersambung ke situs tertentu. Mereka tidak akan dapat terhubung ke situs terdekat berdasarkan lokasi klien (tidak seperti klien Windows 10, 8, atau 8.1).
Mengubah kebijakan di luar konsol manajemen DirectAccess atau cmdlet PowerShell tidak didukung.
Infrastruktur Kunci Publik harus diimplementasikan.
Untuk informasi selengkapnya lihat: Modul Mini Panduan Lab Pengujian: PKI Dasar untuk Windows Server 2012.
Jaringan perusahaan harus diaktifkan IPv6. Jika Anda menggunakan ISATAP, Anda harus menghapusnya dan menggunakan IPv6 asli.
Dalam skenario ini
Skenario penyebaran multisitus mencakup sejumlah langkah:
Sebarkan satu server DirectAccess dengan pengaturan tingkat lanjut. Satu server Akses Jarak Jauh dengan pengaturan tingkat lanjut harus disebarkan sebelum menyiapkan penyebaran multisitus.
Rencanakan Penyebaran Multisitus. Untuk membangun penyebaran multisitus dari satu server, diperlukan sejumlah langkah perencanaan tambahan, termasuk kepatuhan terhadap prasyarat multisitus, dan perencanaan untuk grup keamanan Direktori Aktif, Objek Kebijakan Grup (GPO), DNS, dan pengaturan klien.
Mengonfigurasi Implementasi Multisitus. Ini terdiri dari sejumlah langkah konfigurasi, termasuk persiapan infrastruktur Direktori Aktif, konfigurasi server Akses Jarak Jauh yang ada, dan penambahan beberapa server Akses Jarak Jauh sebagai titik masuk ke penyebaran multisitus.
Memecahkan Masalah pada Penyebaran Multisitus. Bagian pemecahan masalah ini menjelaskan sejumlah kesalahan paling umum yang dapat terjadi saat menyebarkan Akses Jarak Jauh dalam penyebaran multisitus.
Aplikasi praktis
Penyebaran multisitus menyediakan fitur berikut:
Penyebaran multisitus yang sudah ditingkatkan performanya memungkinkan komputer klien mengakses sumber daya internal melalui Akses Jarak Jauh dengan menghubungkan ke titik masuk yang terdekat dan paling sesuai. Klien mengakses sumber daya internal dengan efisien, dan kecepatan permintaan Internet klien yang dirutekan melalui DirectAccess meningkat. Lalu lintas di seluruh titik masuk dapat diseimbangkan menggunakan load balancer global eksternal.
Multisitus yang mudah dikelola memungkinkan administrator untuk menyelaraskan penyebaran Akses Jarak Jauh dengan penyebaran situs Active Directory, menyediakan arsitektur yang lebih sederhana. Pengaturan bersama dapat dengan mudah diatur di seluruh server titik masuk atau kluster. Pengaturan Akses Jarak Jauh dapat dikelola dari salah satu server dalam penyebaran, atau dari jarak jauh menggunakan Remote Server Administration Tools (RSAT). Selain itu, seluruh penyebaran multisitus dapat dipantau dari satu konsol Manajemen Akses Jarak Jauh.
Peran dan fitur yang disertakan dalam skenario ini
Tabel berikut mencantumkan peran dan fitur yang digunakan dalam skenario ini.
| Peran/fitur | Cara mendukung skenario ini |
|---|---|
| Peran Akses Jarak Jauh | Peran diinstal dan dihapus instalasinya menggunakan konsol Manajer Server. Ini mencakup DirectAccess, yang sebelumnya merupakan fitur di Windows Server 2008 R2, dan Layanan Routing dan Akses Jarak Jauh (RRAS), yang sebelumnya merupakan layanan peran di bawah peran server Kebijakan Jaringan dan Layanan Akses (NPAS). Peran Akses Jarak Jauh terdiri dari dua komponen: - DirectAccess dan Routing dan Remote Layanan Access (RRAS) VPN-DirectAccess dan VPN dikelola bersama di konsol Manajemen Akses Jarak Jauh. Dependensinya adalah sebagai berikut: - Server Web Layanan Informasi Internet (IIS) - Fitur ini diperlukan untuk mengonfigurasi server lokasi jaringan dan pemeriksaan web default. |
| Fitur Alat Manajemen Akses Jarak Jauh | Fitur ini diinstal sebagai berikut: - Ini diinstal secara default pada server Akses Jarak Jauh ketika peran Akses Jarak Jauh diinstal, dan mendukung antarmuka pengguna konsol Manajemen Jarak Jauh. Fitur Alat Manajemen Akses Jarak Jauh terdiri dari yang berikut ini: - Antarmuka Pengguna Grafis (GUI) dan Alat Baris Perintah untuk Akses Jarak Jauh Dependensi meliputi: - Konsol Manajemen Kebijakan Grup |
Persyaratan perangkat keras
Persyaratan perangkat keras untuk skenario ini meliputi hal-hal berikut:
Setidaknya dua komputer untuk Akses Jarak Jauh harus digabungkan dalam penyebaran multisitus.
Untuk menguji skenario, setidaknya satu komputer yang menjalankan Windows 8 dan dikonfigurasi sebagai klien DirectAccess diperlukan. Untuk menguji skenario bagi klien yang menjalankan Windows 7 setidaknya satu komputer yang menjalankan Windows 7 diperlukan.
Untuk mengalokasikan lalu lintas melalui server titik masuk, diperlukan load balancer global eksternal pihak ketiga.
Persyaratan perangkat lunak
Persyaratan perangkat lunak untuk skenario ini meliputi hal-hal berikut:
Persyaratan perangkat lunak untuk penyebaran server tunggal.
Selain persyaratan perangkat lunak untuk satu server ada sejumlah persyaratan khusus multisitus:
Persyaratan autentikasi IPsec-Dalam penyebaran multisitus DirectAccess harus disebarkan menggunakan autentikasi sertifikat mesin IPsec. Opsi untuk melakukan autentikasi IPsec menggunakan server Akses Jarak Jauh sebagai proksi Kerberos tidak didukung. CA internal diperlukan untuk menyebarkan sertifikat IPsec.
IP-HTTPS dan persyaratan server lokasi jaringan-Sertifikat yang diperlukan untuk IP-HTTPS dan server lokasi jaringan harus dikeluarkan oleh CA. Opsi untuk menggunakan sertifikat yang secara otomatis dikeluarkan dan ditandatangani sendiri oleh server Akses Jarak Jauh tidak didukung. Sertifikat dapat dikeluarkan oleh CA internal atau oleh CA eksternal pihak ketiga.
Persyaratan Direktori Aktif-Setidaknya satu situs Direktori Aktif diperlukan. Server Akses Jarak Jauh harus terletak di situs. Untuk waktu pembaruan yang lebih cepat, disarankan agar setiap situs memiliki pengendali domain yang dapat ditulis, meskipun ini tidak wajib.
Persyaratan kelompok keamanan-Persyaratan adalah sebagai berikut:
Satu grup keamanan diperlukan untuk semua komputer klien Windows 8 dari semua domain. Disarankan untuk membuat kelompok keamanan unik klien ini untuk setiap domain.
Grup keamanan unik yang berisi komputer Windows 7 diperlukan untuk setiap titik masuk yang dikonfigurasi untuk mendukung klien Windows 7. Disarankan untuk memiliki grup keamanan unik untuk setiap titik masuk di setiap domain.
Komputer tidak boleh disertakan dalam lebih dari satu grup keamanan yang menyertakan klien DirectAccess. Jika klien disertakan dalam beberapa grup, resolusi nama untuk permintaan klien tidak akan berfungsi seperti yang diharapkan.
Persyaratan GPO-GPO dapat dibuat secara manual sebelum mengonfigurasi Akses Jarak Jauh, atau dibuat secara otomatis selama penyebaran Akses Jarak Jauh. Persyaratannya adalah sebagai berikut:
GPO klien unik diperlukan untuk setiap domain.
GPO server diperlukan untuk setiap titik masuk, di domain tempat titik masuk berada. Jadi jika beberapa titik masuk terletak di domain yang sama, akan ada beberapa GPO server (satu untuk setiap titik masuk) di domain.
GPO unik untuk klien Windows 7 diperlukan untuk setiap titik akses yang diaktifkan untuk mendukung klien Windows 7, dalam setiap domain.
Masalah umum
Berikut ini adalah masalah yang diketahui saat mengonfigurasi skenario multisitus:
Beberapa titik entri dalam subnet IPv4 yang sama. Menambahkan beberapa titik entri dalam subnet IPv4 yang sama akan mengakibatkan pesan konflik alamat IP, dan alamat DNS64 untuk titik masuk tidak akan dikonfigurasi seperti yang diharapkan. Masalah ini terjadi ketika IPv6 belum disebarkan pada antarmuka internal server di jaringan perusahaan. Untuk mencegah masalah ini, jalankan perintah Windows PowerShell berikut ini pada semua server Akses Jarak Jauh saat ini dan yang akan datang:
Set-NetIPInterface -InterfaceAlias <InternalInterfaceName> -AddressFamily IPv6 -DadTransmits 0Jika alamat publik yang ditentukan untuk klien DirectAccess untuk terhubung dengan server Akses Jarak Jauh memiliki akhiran yang disertakan dalam NRPT, DirectAccess mungkin tidak berfungsi sebagaimana mestinya. Pastikan bahwa NRPT memiliki pengecualian untuk nama publik. Dalam implementasi multisitus, pengecualian harus ditambahkan untuk nama umum semua titik masuk. Perhatikan bahwa jika penerowongan paksa diaktifkan, pengecualian ini ditambahkan secara otomatis. Mereka dihapus jika penerowongan paksa dinonaktifkan.
Saat menggunakan cmdlet Windows PowerShell Disable-DAMultiSite, parameter WhatIf dan Confirm tidak berpengaruh, dan Multisitus akan dinonaktifkan dan GPO Windows 7 akan dihapus.
Ketika klien Windows 7 yang menggunakan DCA dalam penyebaran Multisitus ditingkatkan ke Windows 8, Asisten Konektivitas Jaringan tidak akan berfungsi. Masalah ini dapat diatasi sebelum peningkatan klien dengan memodifikasi GPO Windows 7 menggunakan cmdlet Windows PowerShell berikut:
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"Jika klien telah dimutakhirkan, maka pindahkan komputer klien ke grup keamanan Windows 8.
Saat memodifikasi pengaturan pengendali domain menggunakan cmdlet Windows PowerShell Set-DAEntryPointDC, jika parameter ComputerName yang ditentukan adalah server Akses Jarak Jauh di titik entri selain yang terakhir ditambahkan ke penyebaran Multisitus, peringatan akan ditampilkan yang menunjukkan bahwa server yang ditentukan tidak akan diperbarui sampai refresh kebijakan berikutnya. Server yang tidak diperbarui dapat dilihat menggunakan Status Konfigurasi di DASBOR dari Konsol Manajemen Akses Jarak Jauh. Namun, ini tidak akan menyebabkan masalah fungsional, Anda dapat menjalankan gpupdate /force pada server yang tidak diperbarui untuk segera memperbarui status konfigurasi.
Ketika multisitus disebarkan di jaringan perusahaan yang hanya IPv4, mengubah awalan IPv6 jaringan internal juga mengubah alamat DNS64, tetapi tidak memperbarui alamat pada aturan firewall yang memungkinkan permintaan DNS untuk layanan DNS64. Untuk mengatasi masalah ini, jalankan perintah Windows PowerShell berikut setelah mengubah awalan IPv6 jaringan internal:
$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} | Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSessionJika DirectAccess disebarkan saat terdapat infrastruktur ISATAP yang ada, ketika menghapus titik masuk yang merupakan host ISATAP, alamat IPv6 dari layanan DNS64 akan dihapus dari alamat server DNS semua akhiran DNS di NRPT.
Untuk mengatasi masalah ini, dalam wizard Penyiapan Server Infrastruktur, pada halaman DNS , hapus akhiran DNS yang dimodifikasi dan tambahkan lagi dengan alamat server DNS yang benar, dengan mengklik kotak dialog Deteksi pada Alamat Server DNS.