Seperti yang telah diberitakan oleh rekan Dani di sini dan juga Pak Firstman di sini, pada hari sabtu minggu lalu, tanggal 9 Januari 2010, saya memperoleh kesempatan untuk mengisi acara di PoltekPos, Sarimanah, Bandung.
Acara MUGI Bandung untuk kali kedua ini (pertama kali dapat dilihat di sini) sekaligus meresmikan MUGI Kampus Politeknik Pos Indonesia oleh Pak Firstman.
Materi seminar yang dibawakan cukup mendapat perhatian serius dari peserta, materi-materi tersebut adalah :
- WPF - Ronald RajaGukguk dan Pudja (MIC ITB Leader)
- Robotik Studio – Narenda Wicaksono
- Windows 7 - Agam Fuja Kuniawan (MSP Cianjur) dan Billi MSP (Poltek Pos)
- MSDNAA – Dani R Taufani (MSP Unikom) dan Firstman Marpaung
- Imagine Cup - Wirawan (MSP IT Telkom)
- Hyper-V – Bobby Zulkarnain
Pada kesempatan itu saya membawakan materi Microsoft Hyper-V yang materinya sendiri tidak hanya fokus ke Hyper-V, tapi mendemokan bagaimana membangun Web Server dengan IIS 7.5 untuk menghosting aplikasi web, terutama ASP.NET.
Isi materi yang saya bawakan sebenarnya merupakan kupasan dari ebook yang saya susun, Membangun ASP.NET Application Server di Windows Server Core 2008 R2, hanya saja dengan menggunakan versi Windows Server 2008 R2 full installation.
Terimakasih kepada segenap civitas akademika Politeknik Pos Indonesia, kepada teman-teman MSP Poltek pos, seperti Billi, Roy Seyasa, ketua Himpunan Informatika Poltek Pos Ari Kuswanto dan juga Ketua Pelaksana Seminar, Rio Ardinata yang berperan penting dalam mensukseskan acara ini.
Semoga acara seminar ini menjadi pemicu untuk makin aktif lagi bagi rekan-rekan di MUGI Politeknik Pos Indonesia….!
Best Practices Analyzer (BPA) merupakan server management tool yang terdapat pada Windows Server 2008 R2 untuk beberapa server role berikut:
- Active Directory Domain Services (AD DS)
- Active Directory Certificate Services (AD CS)
- DNS Server
- Terminal Services
AD DS BPA dapat kita gunakan untuk mengimplementasikan best practices dalam konfigurasi Active Directory. Kita dapat menggunakannya untuk melakukan scanning server role AD DS yang telah terinstal pada domain controller Windows Server 2008 R2. Kita dapat melakukan pemfilteran; dari report AD DS BPA yang tidak ingin kita lihat. Kita dapat menjalankan AD DS BPA baik dengan menggunakan Server Manager graphical user interface (GUI) atau melalui penggunaan cmdlets di interface Windows PowerShell command-line. Informasi lebih lengkap bisa dilihat pada Running and Filtering Scans in Best Practices Analyzer ( http://go.microsoft.com/fwlink/?LinkId=134007).
Berikut ini contoh sederhana dalam melakukan scan AD DS BPA di Server Manager.
Catatan: Server Manager dapat digunakan untuk melakukan scan lokal komputer atau remote komputer. Untuk melakukan scan remote komputer, cukup gunakan pilihan Connect to Another Computer di Server Manager.
1. Logon ke domain controller Windows Server 2008 R2 sebagai Administrator.
2. Buka Server Manager.
3. Pada Server Manager, buka Roles, dan kemudian pilih role Active Directory Domain Services.
4. Geser ke bawah ke bagian Best Practice Analyzer.
5. Klik pada link Scan This Role. Lihat pada gambar berikut ini.
6. AD DS BPA scan akan melakukan scan terhadap lokal domain kita.
Hasilnya dapat kita lihat pada gambar berikut ini:
Dari hasil scan seperti yang ditunjukkan pada gambar di atas, terutama pada bagian Severity: Error dan Warning, dengan klik-ganda pada tiap hasilnya, kita dapat melakukan pemeriksaan dan koreksi lebih jauh.
Secara umum AD DS BPA menscan beberapa seting konfigurasi antara lain sebagai berikut:
1. Hal-hal yang terkait dengan DNS, antara lain:
- Apakah domain controller dapat terhubung ke server DNS dan memperoleh berbagai record yang terkait dengan domain controller.
- Apakah seluruh host (A atau AAAA) resource record untuk domain controller ini terregistrasi dalam DNS.
- Apakah seluruh host (A atau AAAA) resource record untuk domain controller ini diregistrasikan dengan alamat IP yang tepat.
- Apakah seluruh site-spesific dan global service(SRV) resource record untuk domain controller ini diregistrasi di DNS.
- Apakah resource record untuk alias (CNAME) untuk domain ini diregistrasikan dalam DNS.
2. Operations master role ownership rules, yang melakukan pemeriksaan kondisi berikut:
- Apakah schema master role dan domain naming master role dimiliki oleh domain controller yang sama pada forest tersebut.
- Apakah RID master role dan PDC emulator master role dimiliki oleh domain controller yang sama pada domain tersebut.
3. Operations master connectivity rules (yang dikenal juga sebagai flexible single master operations atau FSMO), yang melakukan pengecekan apakah domain controller dapat terhubung ke relative ID (RID) operations master dan primary domain controller (PDC) emulator operations master pada domain ini.
4. Jumlah dari domain controller di dalam suatu domain rule, yang memeriksa kondisi bahwa domain harus sedikitnya memiliki dua domain controller.
Dan masih banyak lagi yang lainnya.
Referensi :
http://technet.microsoft.com/en-us/library/dd378893(WS.10).aspx
Semoga dapat bermanfaat……………….
Melengkapi artikel sebelumnya di sini, penghapusan objek Active Directory secara tidak sengaja dapat terjadi untuk user-user Active Directory Domain Services (AD DS) dan Active Directory Lightweight Directory Services (AD LDS).
Pada domain Windows Server 2008 Active Directory, kita dapat mengembalikan objek secara tidak sengaja terhapus ini dari backup AD DS yang diperoleh dari Windows Server Backup. Kita masih dapat menggunakan perintah ntdsutil authoritative restore untuk menandai objek secara authoritative untuk memastikan bahwa data yang direstore direplikasikan di domain. Kekurangan dari solusi authoritative restore adalah proses ini harus dilakukan pada Directory Services Restore Mode (DSRM). Selama proses DSRM berlangsung, domain controller (DC) yang direstore harus dalam status offline. Akibatnya DC ini tidak dapat melayani client.
Pada Windows Server 2003 Active Directory dan Windows Server 2008 AD DS, kita dapat melakukan recover objek Active Directory yang terhapus melalui tombstone reanimation. Di Windows Server 2003 dan Windows Server 2008, sebuah objek Active Directory yang terhapus tidak secara fisik dihapus dari database. Distinguished Name (DN) dari objek tersebut dihancurkan, hampir seluruh non-link-valued attributes dari objek dibersihkan, seluruh link-valued attributes dari objek secara fisik juga dihapus, dan objek dipindahkan ke kontainer khusus di dalam naming context (NC) dari objek yang disebut Deleted Objects. Objek tersebut kemudian disebut sebagai tombstone, karena menjadi tidak terlihat (invisible) terhadap aktivitas sistem yang normal. Tombstone dapat di reanimated kapan saja dalam kurun waktu tombstone lifetime dan menjadi objek Active Directory yang hidup dan aktif kembali. Default tombstone lifetime adalah 180 hari di Windows Server 2003 dan Windows Server 2008. Kita dapat menggunakan tombstone reanimation untuk melakukan penyelamatan objek-objek yang terhapus tanpa harus membuat offline domain controller atau instance dari AD LDS kita. Akan tetapi link-valued attributes dari objek-objek hasil proses reanimasi (sebagai contoh, keanggotaan group dari user account) yang secara fisik dihapus dan juga non-link-valued attributes dari objek tidak dapat di-recover. Oleh sebab itu, administrator tidak dapat menjadikan tombstone reanimation sebagai solusi yang terbaik dalam menyelamatkan objek-objek yang terhapus secara tidak sengaja.
Active Directory Recycle Bin di Windows Server 2008 R2 dibentuk berdasarkan infrastruktur tombstone reanimation dan juga peningkatan kemampuan pemeliharaan dan penyelamatan objek-objek yang terhapus secara tidak sengaja. Informasi lebih lengkap tentang tombstone reanimation, bisa di lihat pada Reanimating Active Directory Tombstone Objects (http://go.microsoft.com/fwlink/?LinkID=125452).
Windows Server 2008 R2 Active Directory Recycle Bin bermanfaat dalam meminimalkan directory service downtime melalui peningkatan dalam pemeliharaan dan penyelamatan objek Active Directory yang terhapus secara tidak sengaja dengan tanpa melakukan restoring Active Directory data dari backup, me-restart AD DS, atau rebooting domain controller.
Saat kita mengaktifkan Active Directory Recycle Bin, seluruh link-valued dan non-link-valued attributes dari objek-objek yang terhapus tetap disimpan dan dipelihara dan objek-objek diselamatkan kembali dalam kondisi yang lengkap seperti halnya sebelum dihapus. Sebagai contoh, sebuah user account yang diselamatkan akan kembali memiliki keanggotaan groupnya dan juga berbagai access right yang sebelumnya dimiliki sebelum dihapus. Active Directory Recycle Bin dapat difungsikan baik untuk lingkungan AD DS maupun AD LDS.
Mengaktifkan Active Directory Recycle Bin
Untuk dapat mengaktifkan Active Directory Recycle Bin kita harus melakukan dua hal:
- Meningkatkan (raising) forest functional level
- Mengaktifkan Active Directory Recycle Bin
Kita dapat mengaktifkan Active Directory Recycle Bin hanya jika forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2.
Setelah forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2, kita dapat mengaktifkan Active Directory Recycle Bin dengan menggunakan salah satu dari metode berikut ini:
- Enable-ADOptionalFeature Active Directory module cmdlet (Ini merupakan metode yang direkomendasikan)
- Menggunakan perintah Ldp.exe
Untuk mengaktifkan Active Directory Recycle Bin dengan menggunakan Enable-ADOptionalFeature cmdlet, yang kita dapat lakukan dengan tahapan sebagai berikut:
1. Pastikan logon sebagai Administrator
2. Klik Start>Administrative Tools>Active Directory Module for Windows PowerShell.
3. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter:
Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>
Sebagai contoh, untuk mengaktifkan Active Directory Recycle Bin untuk wirecat.com, ketikkan perintah berikut dan tekan Enter:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=wirecat,DC=com’ –Scope ForestOrConfigurationSet –Target ‘wirecat.com’
Setelah ditekan Enter, akan muncul kotak konfirmasi sebagai berikut, dan ketikkan “Y”
Untuk metode penggunaan perintah ldp.exe, kita dapat mereferensi ke sini http://technet.microsoft.com/en-us/library/dd379481(WS.10).aspx
Setelah Active Directory Recycle Bin diaktifkan, maka kita telah dapat menggunakannya untuk mengembalikan objek-objek Active Directory. Sebagai contoh dari langkah-langkah pengembalian objek ini, terlebih dahulu kita perlu membuat skenario objek tersebut berada pada suatu organizational unit tertentu dan juga merupakan anggota dari suatu group tertentu. Oleh karena itu penulis sengaja membuat langkah-langkah tambahan dari mulai membuat organizational unit, membuat domain user account dan juga membuat group serta menambahkan keanggotaan dari group dengan tahapan-tahapan sebagai berikut ini. Dan hasil dari langkah pengembalian objek user yang dihapus nantinya dari proses ini kita dapat membuktikan user tersebut masih memiliki keanggotaan dari group yang kita buat.
Membuat Organizational Unit, Domain User Account, dan Group
Tahapannya sebagai berikut:
1. Buka console Active Directory Users and Computers
2. Klik-kanan pada nama_domain, pilih New>Organizational Unit
3. Pada kotak dialog New Object=Organizational Unit, pada Name: ketikkan nama OU, misalkan Finances dan kemudian klik OK.
Membuat objek Domain User Account di dalam OU
1. Kemudian klik-kanan pada OU Finances tadi, kemudian pilih New>User
2. Lalu pada kotak isian New Object – User, isikan nama user yang dikehendaki, misalkan Finance01. Setelah itu klik Next.
3. Kemudian isikan passwordnya, dan pastikan tanda cek untuk pilihan User must change password at next logon dibersihkan. Klik Next.
4. Kemudian klik Finish untuk mengakhiri.
Membuat Group di dalam OU Finances
1. Klik-kanan OU Finances, pilih New>Group
2. Kemudian pada kotak isian New Object – Group, isikan nama group dan pilih juga Group scopenya Domain local. Misalkan nama groupnya adalah DL_Finances, dan kemudian klik OK.
Sehingga pada OU Finances telah terdapat dua objek, yaitu Domain User Account Finance01 dan Domain Local Group, DL_Finances.
Pada tahapan ini kita akan menjadikan User Account Finance01 sebagai member dari group DL_Finances.
Pada Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01, lalu pilih Add to a group...
Kemudian pada kotak dialog Select Groups, pada bagian Enter the object names to select, ketikkan DL_Finances, dan klik tombol Check Names, dan kemudian klik OK.
Kemudian akan muncul kotak konfirmasi sebagai berikut, klik OK.
Dengan demikian, user Finances01 telah menjadi member dari DL_Finances dan juga Domain Users (secara default). Bisa kita cek kembali dengan melihat properti dari user account Finance01, pada tab Member Of.
Sebelum kita mengembalikan objek yang terhapus, kita hapus dulu objeknya, dalam hal ini kita menghapus objek user account Finance01.
Tahapan menghapus user account
1. Pada console Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01 dan kemudian pilih Delete.
2. Kemudian pada kotak konfirmasi seperti berikut ini, klik Yes.
Dengan demikian user Finance01 telah terhapus.
Mengembalikan objek dengan menggunakan Active Directory Recycle Bin
Kita dapat menggunakan Get-ADObject and Restore-ADObject Active Directory module for Windows PowerShell cmdlets untuk mengembalikan objek yang terhapus.
Untuk mengembalikan satu objek yang terhapus dengan menggunakan cmdlet Get-ADObject dan Restore-ADObject.
Kita akan mengembalikan objek user Finance01 dengan menggunakan Active Directory Recycle Bin, dengan tahapan sebagai berikut:
1. Klik Start>Administrative Tools, kemudian klik-kanan Windows Powershell Modules dan pilih Run As Administrator.
2. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter: Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject. Sebagai contoh, jika kita ingin melakukan restore suatu objek user dengan nama Finance01, ketikkan perintah berikut ini dan kemudian tekan Enter: Get-ADObject -Filter {displayName -eq "Finance01"} -IncludeDeletedObjects | Restore-ADObject
Hasilnya, kita bisa cek pada Active Directory Users and Computers, pada OU Finances, setelah kita refresh, akan muncul kembali user account Finance01.
Demikian juga ketika kita periksa properti dari user Finance01, kita lihat pada tab Member Of: keanggotaan dari user Finance01 dari group DL_Finances tetap utuh seperti sebelum account ini dihapus.
Semoga dapat bermanfaat………………
Windows AppLocker merupakan fitur baru di Windows 7 dan Windows Server 2008 R2 yang menggantikan fitur Software Restriction Policies. AppLocker memiliki kemampuan baru dan juga extentions yang menurunkan administrative overhead dan membantu administrator untuk mengontrol user dalam mengakses dan menggunakan file-file seperti file .exe, scripts, Windows Installer files (.msi dan .msp files), dan DLL.
Dengan menggunakan AppLocker, kita dapat:
-
Mendefinisikan berbagai rule/aturan berdasarkan atribut-atribut file yang diperoleh dari digital signature, termasuk publisher, product name, file name, dan file version. Sebagai contorh kita dapat membuat aturan yang mentargetkan ke suatu file tertentu dengan versi tertentu ***. Catatan penting: AppLocker rules menentukan file-file mana yang diperbolehkan untuk dijalankan. File-file yang tidak termasuk di dalamnya tidak diperbolehkan untuk dijalankan.
-
Menerapkan aturan (rule) terhadap suatu security group atau user tertentu. Catatan: Kita tidak dapat menerapkan rule dalam AppLocker untuk zona Internet, komputer tertentu, atau berbagai registry path.
-
Membuat pengecualian untuk file-file .exe. Sebagai contoh, kita dapat membuat sebuah aturan yang mengizinkan seluruh proses Windows untuk berjalan kecuali Regedit.exe.
-
Menggunakan audit-only mode untuk mengindentifikasi file-file yang tidak diizinkan untuk dijalankan jika ternyata terdapat pengaruh dari policy.
- Melakukan impor dan ekspor aturan (Import and export rules).
Beberapa pertimbangan dalam penggunaan AppLocker ini antara lain:
-
Secara default, AppLocker rules tidak mengizinkan user untuk membuka atau menjalankan file-file yang tidak secara spesifik diizinkan. Administrator harus selalu melakukan update daftar dari berbagai aplikasi yang diizinkan.
-
Terdapat penurunan performa karena terdapat pengecekan secara run time.
-
Karena AppLocker mirip dengan mekanisme Group Policy, administrator harus juga memahami cara pembuatan Group Policy dan deployment-nya.
-
AppLocker rules tidak dapat digunakan untuk mengelola komputer-komputer yang menggunakan sistem operasi sebelum generasi Windows 7.
Jika AppLocker rules didefinisikan di dalam GPO, maka hanya rule/aturan tersebut saja yang akan diterapkan. Untuk memastikan interoperabilitas antara Software Restriction Policies rules dan AppLocker rules, maka definisikanlah Software Restriction Policies rules dan AppLocker rules pada GPO yang berbeda.
Saat terdapat AppLocker rule di-set ke Audit only, maka aturan tersebut tidak diberlakukan. Ketika terdapat user menjalankan aplikasi yang terdapat pada rule tersebut, aplikasi tersebut dibuka dan dapat dijalankan secara normal, dan informasi tentang aplikasi tersebut ditambahkan ke AppLocker event log.
Petunjuk Konfigurasi Applocker
Komputer yang digunakan
Pada artikel ini penulis menggunakan satu komputer dengan sistem operasi Windows Server 2008 R2 Enterprise Edition, yang dikonfigurasi menjadi domain controller dengan nama host: DC01 dan nama domain: wirecat.com.
Sebelum kita melakukan konfigurasi Applocker, kita harus menjalankan service tertentu, yaitu service Application Identity yang secara default service ini tidak dalam kondisi start, kita lakukan dengan tahapan sebagai berikut.
1. Logon ke DC01 sebagai Administrator
2. Buka snap-in Services dengan cara klik Start> Administrative Tools, kemudian pilih Services. Lalu pada window Services, klik ganda pada Application Identity. Lihat pada gambar berikut ini.
3. Lalu pada kotak dialog Application Identity Properties (Local Computer), pada Startup type: pilih Automatic. Kemudian pada bagian Service status: klik Start, lalu klik Apply dan OK.
Dengan demikian service Application Identity telah berjalan.
Langkah selanjutnya adalah kita memerlukan satu user account sebagai pengujian Applocker ini nantinya, oleh karena itu kita buat user account dengan nama TestAppLocker, dan kita jadikan member dari group Backup Operators, agar user ini dapat melakukan logon ke domain controller secara interaktif (tanpa harus mengubah policy di level default domain controller policy untuk user right logon locally). User account baru ini kita buat di kontainer Users
1. Buka snap-in Active Directory Users and Computers, kemudian klik-kanan Users, pilih New User.
2. Lalu isikan pada bagian FirstName:TestAppLocker, dengan membiarkan Initials dan Lastnamenya dikosongkan.
3. Kemudian isikan passwordnya, dan bersihkan tanda cek pada pilihan User must change password at next logon. Kemudian klik Next.
4. Dan klik Finish untuk mengakhiri proses ini.
5. Selanjutnya kita bisa memeriksa user account yang baru saja kita buat tersebut pada snap-in Active Directory Users and Computers.
Tahapan selanjutnya adalah menjadikan user account tadi sebagai anggota dari group Backup Operators (hal ini ditujukan untuk pengujian saja, dimana user ini dapat melakukan logon locally ke domain controller, sebagai alternatif lainnya dari pengubahan Default Domain Controller Policy).
1. Masih dalam kondisi logon ke DC01 sebagai Administrator, klik-kanan user account TestAppLocker, kemudian pilih Add to a group…
2. Kemudian muncul kotak dialog Select Groups seperti berikut ini.
3. Kemudian klik tombol Advanced…, akan muncul kotak dialog seperti berikut ini. Kemudian klik Find Now.
4. Setelah kita klik Find Now, cari pada bagian Search results: Backup Operators. Kemudian klik OK.
5. Setelah itu, akan muncul kotak dialog Select Groups dengan isian pada bagian Enter the object names to select (examples): telah terisi Backup Operators. Kemudian klik OK.
6. Kemudian akan muncul konfirmasi berikut ini. Klik OK.
1. Buka snap-in Group Policy Management dengan cara klik Start>Administrative Tools>Group Policy Management.
2. Setelah window dari Group Policy Management muncul, pada bagian Domains, klik ganda pada nama_domain (wirecat.com) lalu buka kontainer Domain Controllers, dan klik-kanan pada Default Domain Controller Policy, kemudian pilih Edit….Perhatikan pada gambar berikut ini.
3. Kemudian pada Group Policy Management Editor, pada bagian Computer Configuration, buka Windows Settings, kemudian buka Security Settings, lalu buka Application Control Policies, dan buka Applocker. Perhatikan pada gambar berikut ini. Pada bagian Applocker, terdapat Executable rules, Windows Installer Rules, dan Script Rules.
4. Dan kalau kita periksa, telah terdapat 3 default rule yang diterapkan pada default domain policy ini.
5. Kita tambahkan satu role lagi. Klik-kanan pada Executable Rules, dan pilih New Rule…
6. Setelah itu akan muncul halaman wizard Before You Begin. Klik Next.
7. Kemudian pada halaman Permissions, pada bagian Action: pilih deny. Kemudian pada bagian User or group: klik tombol Select, dan pastikan pilih user account TestAppLocker. Kemudian klik Next.
8. Kemudian pada halaman Conditions, pilih Path dan bacalah deskripsi tentang Path ini, kemudian klik Next.
9. Kemudian pada halaman Path, pada bagian Path: arahkan ke file executable, misalkan pada contoh ini adalah file WINWORD.EXE dari aplikasi MS Office Professional 2007, untuk aplikasi MS Word. Lihat pada gambar berikut ini untuk lebih jelasnya. Kemudian klik Next.
10. Setelah itu, kita akan menjumpai halaman Exceptions. Kita tidak membuat pengecualian untuk rule ini, jadi kita lanjut saja dengan klik Next.
11. Kemudian pada halaman Name and Description, kita dapat menambahkan kata-kata pada bagian Description, dan hal ini bersifat optional, jadi bisa dikosongkan. Selanjutnya klik Create.
12. Hasilnya dapat kita lihat kembali pada window Group Policy Management Editor seperti tampak pada gambar berikut ini.
13. Kita tutup dulu window Group Policy Management Editor. Kemudian buka command prompt, dan jalankan perintah gpupdate /force untuk mempercepat proses update dari perubahan policy yang baru saja kita lakukan.
1. Log off sebagai Administrator, dan logon sebagai user TestAppLocker
2. Kemudian klik Start> All Programs> Microsoft Office> Microsoft Office Word 2007
3. Jika seting konfigurasi AppLokcer dilakukan dengan benar, maka akan muncul pesan error seperti tampak pada gambar berikut ini, yang menunjukkan bahwa user TestAppLocker tidak diizinkan untuk menggunakan aplikasi Microsoft Word. Klik OK.
Catatan: Untuk aplikasi client server, perlu diperhatikan masalah penentuan path (lihat pada langkah 8 pada tahapan Mengubah Policy pada Default Domain Controller Policy, dan pada langkah nomor 9, harus ditentukan path yang tepat yang mengarah pada lokasi dari aplikasi yang terpasang dan di-share pada application server.
……Semoga dapat memberikan manfaat……
Pendahuluan – Pada versi Windows Server sebelumnya
Pada Microsoft Windows 2000 dan Windows Server 2003 Active Directory domains, kita hanya dapat menerapkan satu password dan account lockout policy saja, yang ditentukan dalam Default Domain Policy dari suatu domain, ke seluruh users di domain tersebut. Jika kita menginginkan seting password dan account lockout yang berbeda untuk sekumpulan dari user, maka kita harus membuat password filter atau membuat multiple domain.
Fine-Grained Passwords in Windows Server 2008
Pada Windows Server 2008, kita dapat menggunakan fine-grained password policy untuk menentukan multi password policy dan menerapkan berbagai policy untuk password dan account lockout terhadap sejumlah user yang berbeda dalam satu domain. Sebagai contoh, untuk meningkatkan security dari privileged accounts, kita dapat menerapkan seting-seting yang ketat ke privileged accounts tersebut dan menerapkan seting yang kurang ketat ke account dari user lainnya.
Konfigurasi langkah demi langkah Fine-Grained Passwords di Windows Server 2008
Kita asumsikan bahwa kita memiliki sejumlah user yang merupakan Special Administrators dan memerlukan password group policy yang lebih kuat/kompleks daripada user biasa. Kita berikan nama dari group ini: SpecialAdmins
Kita akan mengkonfigurasi sebuah fine-grained password policy di Windows Server 2008 dengan seting-seting sebagai berikut:
Table 1: Password Policy
| Policy Name | Policy Setting |
| Enforce password history | 24 passwords remembered |
| Maximum password age | 30 days |
| Minimum password age | 1 day |
| Minimum password length | 12 characters |
| Passwords must meet complexity requirements | Disabled |
| Account lockout duration | 0 |
| Account lockout threshold | 3 |
| Reset account lockout counter after | 30 minutes |
Note: nama_domain_Anda pada langkah-langkah berikut harus diganti dengan nama NETBIOS dari domain Anda.
- Logon ke Windows Server 2008 domain controller dengan menggunakan account yang memiliki keanggotaan di dalam group Domain Admins , atau permission yang ekivalen.
- Klik Start, Administrative Tools, dan kemudian pilih Active Directory Users and Computers
- Buka nama_domain_Anda.com, klik-kanan kontainer Users, pilih New, dan kemudian pilih Group.
- Pada window New Object - Group, masukkan SpecialAdmins kedalam isian Group Name, dan kemudian klik OK
- Tutup Active Directory Users and Computers
- Klik Start, klik RUN, ketikkan ADSIEDIT.MSC, dan kemudian klik OK
- Di dalam snap-in ADSI Edit, klik-kanan ADSI Edit, dan kemudian klik Connect to
- Di dalam isian Name, masukkan nama_domain_Anda.com, dan kemudian klik OK
- Klik ganda nama_domain_Anda.<topleveldomain> pada console tree, klik ganda DC=nama_domain_Anda,DC=com, klik ganda CN=System, dan kemudian klik CN=Password Settings Container
- Klik-kanan CN=Password Settings Container di dalam console tree, klik New, dan kemudian klik Object
- Di dalam kotak dialog Create Object, di bawah Select a class, klik msDC-PasswordSettings, dan kemudian klik Next.
- Di dalam kotak dialog Create Object, masukkan SpecialAdmins pada isian Value, dan kemudian klik Next.
- Untuk Value dari msDS-PasswordSettingsPrecedence, masukkan 1, dan kemudian klik Next
- Untuk value dari msDS-PasswordReversibleEncryptionEnabled, masukkan false, dan kemudian klik Next
- Untuk value dari msDS-PasswordHistoryLength, masukkan 24, dan kemudian klik Next
- Untuk value dari msDS-PasswordComplexityEnabled, masukkan false, dan kemudian klik Next
- Untuk value dari msDS-MinimumPasswordLength, masukkan 12, dan kemudian klik Next
- Untuk value msDS-MinimumPasswordAge, masukkan 1:00:00:00, dan kemudian klik Next
- Untuk value msDS-MaximumPasswordAge, masukkan 30:00:00:00, dan kemudian klik Next
- Untuk value msDS-LockoutThreshold, masukkan 3, dan kemudian klik Next
- Untuk value msDS-LockoutObservationWindow, masukkan 0:00:30:00, dan kemudian klik Next
- Untuk value msDS-LockoutDuration, ketikkan (never), dan kemudian klik Next, kemudian klik Finish
- Klik-kanan pada CN=SpecialAdmins di dalam console tree, dan kemudian pilih Properties
- Pada window CN=SpecialAdmins Properties, pilih atribut msDS-PSOAppliesTo, dan kemudian klik tombol Edit
- Pada window Multi-valued Distinguished Name With Security Principal Editor, klik tombol Add Windows Account
- Pada window Select Users, Computers, or Groups, masukkan SpecialAdmins di dalam isian Enter the object names to select, dan kemudian klik OK
- Klik OK pada window Multi-valued Distinguished Name With Security Principal Editor
- Klik OK pada window CN=SpecialAdmins Properties
Kesimpulan
Pedoman konfigurasi langkah demi langkah ini menunjukkan proses dalam bagaimana mengkonfigurasi fine-grained passwords di Windows Server 2008. Kita dapat mendefinsikan sejumlah seting password yang berbeda dan menerapkannya ke sebuah group Active Directory. Ketika semua itu telah dilakukan maka seluruh anggota dari group tersebut terkena dampak dari penerapan password policy yang kita definisikan.
Referensi
AD DS Fine-Grained Password and Account Lockout Policy
http://technet.microsoft.com/en-us/library/cc770842.aspx
Active Directory Domain Services
http://technet.microsoft.com/en-us/library/cc770357.aspx
Windows Domain Password Policies
http://technet.microsoft.com/en-us/magazine/cc137749.aspx
Melanjutkan sejumlah tulisan berseri tentang security sebelumnya di sini dan juga di sini, kali ini saya mencoba untuk mengungkap cara yang efektif dalam membuat sebuah group dimana group ini berisi sejumlah user yang bertugas menjadi Desktop Support Technician. Group ini memegang peranan penting dalam membantu network administrator dalam sejumlah tugas-tugasnya.
Rights dari group ini tentu saja harus dibatasi, misalkan group ini harus memiliki administrative rights untuk seluruh member computers di domain, tetapi tidak boleh memiliki rights ke domain controller. Apa saja yang harus kita lakukan agar group ini menjadi menjadi member dari local administrator group pada seluruh komputer yang bukan domain controller?
Tutorial ini dapat diunduh langsung ke link berikut:
http://cid-878aff2ea30d9624.skydrive.live.com/self.aspx/.Public/Seri%20Tutorial%20Keamanan%20Windows/Pemanfaatan%20Restricted%20Group.pdf
Semoga dapat bermanfaat….
Melanjutkan seri tutorial Keamanan Windows yang sebelumnya saya tulis di sini, kali ini saya lanjutkan dengan tutorial lain yang mudah-mudahan juga dapat bermanfaat untuk rekan-rekan.
Tutorial ini membahas tentang cara mengidentifikasi seberapa banyak bandwidth yang dikonsumsi oleh suatu NetBIOS Client ketika melakukan transfer file. Kemudian kita menggunakan Windows Vista QoS Policy Wizard/Windows 7 untuk membuat suatu policy untuk membatasi jumlah bandwidth yang digunakan client ketika melakukan uploading ke file server. Kita kaitkan policy ini ke suatu Active Directory organizational unit yang berisi client computer account tersebut. Kita kemudian menjalankan pengujian upload data lagi dan melihat hasil dari penerapan policy tersebut ke client NetBIOS yang melakukan transfer file.
Untuk informasi lebih lanjut, silakan mengunduh tutorial ini di sini:
http://cid-878aff2ea30d9624.skydrive.live.com/self.aspx/.Public/Seri%20Tutorial%20Keamanan%20Windows/Managing%20Network%20Bandwidth%20Using%20Windows%20Quality%20of%20Service%20%5E_QOS%5E_.pdf
Jika kita ingin mengimplementasikan fitur-fitur security dan control baru yang ada di windows Server 2008 untuk mengamankan komunikasi antara sekelompok user ketika berada di corporate network untuk mengakses suatu application management dimana aplikasi ini menggunakan port number tertentu. User-user ini harus dapat mengakses application management tersebut baik ketika berada di corporate network maupun ketika berada di client site. Untuk keperluan seperti ini kita dapat menggunakan WFAS.
Penggunaan Windows Firewall with Advanced Security dapat kita manfaatkan untuk mengamankan komunikasi bagi user yang mengakses suatu aplikasi di corporate network dan juga menyediakan sarana untuk user yang sama ketika user tersebut berada di client site.
Bayangkan jika perusahaan /organisasi kita menggunakan suatu aplikasi yang terhubung ke port 3432 pada tiap komputer client. Kita harus memastikan bahwa aplikasi ini berfungsi saat user berada pada corporate network dan dimana server-server yang menjalankan aplikasi ini yang dapat data diakses melalui port number tersebut, dan dapat diakses ketika user berada pada client site. Kita juga harus memastikan tidak semua computer client dapat mengakses, hanyalah suatu group computer saja yang dapat melakukan koneksi ke server aplikasi tersebut.
Lebih lanjut, bagi rekan-rekan yang ingin mendapatkan tutorialnya, dapat langsung mengunduhnya ke link berikut:
http://cid-878aff2ea30d9624.skydrive.live.com/self.aspx/.Public/Seri%20Tutorial%20Keamanan%20Windows/Konfigurasi%20Windows%20Firewall%20with%20Advanced%20Security%20%5E5WFAS%5E6%20untuk%20Roaming%20Users.pdf
Semoga dapat bermanfaat…..
Rekan-rekan, sekedar untuk berbagi, ada ebook gratis yang saya susun dan semoga dapat bermanfaat. Ebook ini berisi langkah-langkah dalam memanfaatkan Windows Server Core untuk dijadikan sebagai ASP.NET Application Server. Mohon untuk memaklumi jika banyak kekurangan dalam ebook ini :))
Jika berminat untuk mengunduhnya dapat langsung ke sini
http://wss-id.org/files/folders/bobby_iskandar/entry38123.aspx
Terimakasih untuk bro Mike Volodarsky yang telah menginspirasi pembuatan ebook ini dan juga untuk bro Aris Lesmana, Narenda Wicaksono dan Ronald Rajagukguk……thx alot….
Tulisan ini mudah-mudahan bermanfaat bagi yang memperoleh kesempatan untuk mencoba virtual private server di vpsmsxx.lalampa.com pada waktu menghadiri acara training khusus (internal update) untuk MUGI Bandung, Most Valuable Professional (MVP), dan Microsoft Student Partner (MSP) tentang Windows Web Server 2008, DNS, IIS7, Web PI 2.0 dan BlogEngine.
Training ini diadakan pada hari Senin malam (jam 18.00-21.00) di Microsoft Innovation Center (MIC) Institut Teknologi Bandung (ITB). Beritanya ada di sini http://wss-id.org/blogs/narenda/archive/2009/12/24/40-step-membuat-blog-gratis-dengan-iis7-dan-blogengine-net.aspx
Tentu saja tidak semua hal sempat dibahas pada acara tersebut mengingat waktunya juga amat terbatas. Salah satu hal yang mudah-mudahan dapat bermanfaat dalam blog saya kali ini tentang bagaimana menyediakan account bagi user agar dapat memanfaatkan service ftp dalam melakukan upload file-file web mereka ke website tertentu. Pembahasan serupa mungkin pernah dituliskan juga oleh rekan-rekan lainnya.
Beberapa hari lalu beberapa rekan menanyakan bagaimana cara menggunakan layanan ftp untuk mengupload file-file ke website, lebih jauh lagi, ftp yang dimaksud dapat digunakan oleh user-user berbeda yang memang secara riil nantinya dalam lingkungan produksi untuk website yang berbeda. Ok, virtual private server ini menggunakan Windows Server 2008 Web edition, jadi IIS-nya menggunakan IIS versi 7.5. sedangkan FTP Servicenya masih menggunakan versi 6.0.
Tentang Windows Users FTP Authentication
Tipe dari autentikasi ini memungkinkan FTP site untuk menggunakan local Server user account/group untuk mengakses FTP site.
Dengan asumsi kita telah memiliki user account untuk mengakses direktori ftp, misalkan nama user accountnya : user01. User01 ini nantinya dalam bahasan berikut akan dapat mengupload file-file ke website http://windowsmagic.co.cc.
Langkah-langkah seting layanan FTP
Langkah-langkahnya sbb:
Kalau belum ada, ya buat dulu user accountnya di Server Manager> Configuration>Local Users and Groups seperti pada gambar berikut:
Jangan lupa, setelah user accountnya ada, FTP Servicenya pun harus telah diinstal dulu. Caranya, buka Administrative Tools> Server Manager> Roles kemudian klik Add Role Services.
Kemudian pada halaman Select Role Services, pada komponen FTP Publishing Service, pilih FTP Server.
Jangan lupa juga untuk menjalankan service FTP Publishing Service, karena secara default servicenya masih Stop.
Langkah selanjutnya, kita buka IIS Manager.
Klik pada FTP Sites, kita dapat lihat di sini FTP management disediakan oleh IIS 6.0 Manager. Klik pada link Click here to lunch.
Kemudian buka nama_komputer (local computer), buka FTP Sites, dan klik kanan pada FTP Site, pilih New > FTP Site
Klik Next pada wizard berikut.
Kemudian isi pada Description, kata-kata yang cukup intuitif (gak perlu diisi juga gak masalah) klik Next.
Kemudian isikan alamat IP dari VPS, biarkan port number 21 default ftp, klik Next.
Kemudian pilih Do not isolate users, klik Next.
Kemudian pada halaman FTP Site Home Directory, pada bagian Path, klik Browse untuk menentukan lokasi folder dimana website tertentu yang kita inginkan dapat diakses oleh user.
Jangan lupa menambahkan Write Access Permission, klik Next.
Kemudian klik Finish.
Setelah klik Finish, kita kembali ke IIS 6.0 Manager, pada bagian FTP Sites, klik kanan dari ftpsite yang ingin kita atur permission untuk user01. Klik kanan pada website windowsmagic.co.cc lalu pilih Permissions.
Kemudian klik Edit
Lalu klik Add
Masukkan User01, kemudian klik OK.
Pastikan permission Modify juga ditambahkan ke User01 ini. Kemudian klik OK dan klik OK lagi untuk menutup window Permission.
Ok, mari kita coba dengan menggunakan command line dari Windows pada komputer yang kita gunakan:
c:>ftp nama_domain
kemudian ketikkan nama user (dalam kasus ini user01) dan passwordnya
kemudian dari ftp> ketikkan dir
Seperti pada gambar berikut:
Di coba dengan menggunakan software aplikasi FTP, misalkan dengan menggunakan Core FTP LE, terlihat pada gambar berikut ini.
Jadi dengan mudah kita dapat mengupload berbagai file tambahan untuk website di atas, misalkan menambahkan file/folder untuk theme atau plugin.
Ok, semoga bermanfaat.
Rekan-rekan, saya baru saja merampungkan ebook gratis dengan judul “Mengenal Windows Server 2008 R2 – VPN Reconnect”.
VPN Reconnect merupakan fitur baru dari Routing dan Remote Access Services (RRAS) pada Windows Server 2008 R2 dan Windows 7 yang mampu menyediakan pengguna konektivitas VPN yang handal dan konsisten.
Ebook ini berisi penjelasan langkah-langkah dalam mengkonfigurasi VPN Reconnect dalam tes laboratorium dengan tiga komputer dan kemudian terus-menerus menunjukkan konektivitas melalui perubahan dalam koneksi jaringan yang digunakan untuk mengakses Internet.
VPN Reconnect terkait dengan dukungan dalam Routing dan Remote Access Services (RRAS) untuk protokol tunneling yang baru, yaitu IPSec Mode with Internet Key Exchange version 2 (IKEv2).
Bagi yang berminat untuk membacanya dapat mengunduhnya pada link berikut:
http://wss-id.org/files/folders/buku/entry37826.aspx
Terimakasih untuk Narenda yang telah membantu upload ebook ini di wss-id.org
Semoga dapat bermanfaat….
Judul di atas adalah pesan kesalahan yang muncul saat saya mencoba menginstal MS Exchange 2010 RTM pada Windows Server 2008 R2.
Dalam menginstal Exchange 2010 Client Access Server role pada Windows Server 2008 R2, salah satu prasyaratnya adalah mengubah startup mode untuk service Net. TCP Port Sharing yang harus diset ke Automatic sebelum proses setup dapat dilanjutkan.
Untuk mengatasinya, kita jalankan perintah berikut di PowerShell:
Set-Service NetTcpPortSharing -StartupType Automatic
![clip_image002[4]](http://wss-id.org/blogs/bobby/clip_image0024_thumb_3310FDFA.jpg "clip_image002[4]")
Semoga info sederhana ini dapat bermanfaat….
Konsep server role diperkenalkan sejak generasi Exchange Server 2007 dalam pengertian untuk memisahkan fungsi-fungsi yang dijalankan oleh Exchange Server.
Tiap server role menyediakan sejumlah fungsi yang spesifik. Server role dapat di-deploy pada sedikitnya 2 server atau didistribusikan ke banyak server. Server role- server role ini yang merupakan bagian dari Exchange Server 2010 adalah :
Hub Transport Server Role
Adalah server role yang bertanggung jawab dalam message routing. Hub Transport server menjalankan message categorization dan routing, dan menangani seluruh messages yang ditujukan ke suatu organisasi. Kita harus mengkonfigurasi satu Hub Transport server dalam tiap Active Directory site yang berisi Mailbox server, dan server tersebut yang menjalankan Hub Transport server role harus menjadi member dari Active Directory Domain Services (AD DS).
Mailbox Server Role
Mailbox server role bertanggung jawab dalam mengelola mailbox dan public-folder databases. Mailboxes dan public folders berada pada Mailbox servers. Mailbox servers berisi mailbox dan public folder databases, dan menyediakan pilihan-pilihan dalam meningkatkan kehandalan dan high availability.
Penting untuk rekan-rekan ketahui bahwa dalam Exchange Server 2007, kita tidak dapat menginstal suatu clustered Mailbox server dengan server role lain pada komputer yang sama. Pada Exchange Server 2010, kita memiliki pilihan untuk deploying high availability untuk mailbox servers yang memungkinkan kita untuk men-deploy multi role pada satu server.
Client Access Server Role
Client Access server role memungkinkan koneksi dari client yang menggunakan berbagai protokol berbeda ke Exchange Server mailboxes. Kita harus membuat sedikitnya satu Client Access server pada tiap AD DS site yang berisi suatu Mailbox server. Di dalam Exchange Server 2010, seluruh koneksi client menggunakan Client Access server role. Sebagai tambahan, Client Access server role juga menyediakan Web Services, Availability service, dan Autodiscover service untuk Microsoft Office Outlook 2007 atau versi yang lebih baru, Exchange ActiveSync dan Microsoft Office Outlook Web Access for Exchange Server clients.
Penting juga untuk diketahui bahwa dalam Exchange Server 2007, Messaging Application Programming Interface (MAPI)-based clients, seperti Office Outlook 2007 atau versi yang lebih baru, melakukan koneksi secara langsung ke Mailbox servers. Pada Exchange Server 2010, seluruh clients melakukan koneksi ke Client Access server.
Unified Messaging Server Role
Unified Messaging server role menyediakan service dasar yang mengintegrasikan voice dan fax messages ke infrastruktur messaging dari organisasi kita. Unified Messaging server menyediakan akses ke voice messages dan fax.
Edge Transport Server Role
Edge Transport server role merupakan server gateway Simple Mail Transport Protocol (SMTP) antara organisasi kita dengan Internet. Untuk memastikan keamanan, kita harus men-deploy komputer yang menjalankan Edge Transport server role di dalam perimeter network, dan kita tidak boleh menginstalnya pada member server dari internal Active Directory forest. Edge Transport server menyediakan anti-spam control yang menggunakan berbagai fitur-fitur deteksi spam dan antivirus control (dengan menggunakan Microsoft Forefront Security for Exchange Server atau software dari pihak ketiga).
Dan satu hal penting untuk diketahui bahwa kita tidak dapat mengkombinasikan Edge Transport server role dengan role lainnya pada komputer yang sama.
Ok, demikian sekilas info tentang Exchange Server 2010 Server Role Overview, semoga bermanfaat…..
Rekan-rekan, coretan berikut hanya mengupas contoh sederhana dan sekaligus menjawab pertanyaan beberapa rekan lain. Pada MS Exchange 2007, dalam mengkonfigurasi sebuah administrative role dengan menggunakan Exchange Management Shell, kita dapat menggunakan perintah berikut: Add-ExchangeAdministrator -Role Role –Identity Domain\User.
Sebagai contoh, untuk menambahkan user account John Doe dengan logon name : JohnD di dalam domain zulkarnain sebagai Exchange Organization Administrator, kita gunakan perintah berikut :
Add-ExchangeAdministrator –Role OrgAdmin -Identity zulkarnain\johnd
seperti yang ditunjukkan pada gambar berikut.
Untuk menghapus user atau group yang telah dikonfigurasi dengan sebuah Exchange administrative role, kita dapat lakukan juga dengan menggunakan Exchange Management Shell dengan menggunakan perintah berikut :
Remove-ExchangeAdministrator -Role Role -Identity Domain\User.
Dalam kasus di atas, perintahnya menjadi:
Add-ExchangeAdministrator –Role OrgAdmin -Identity zulkarnain\johnd
bisa dilihat pada gambar berikut ini:
Dan kita cukup ketikkan “Y” untuk mengkonfirmasikan bahwa kita menjalankan perintah remove di atas.
-----Semoga bermanfaat ----
Presentation Virtualization merupakan tipe dari virtualisasi yang disediakan oleh RemoteApp dari Remote Desktop Services.
Terminal Services yang selama ini kita gunakan untuk menjalankan aplikasi secara remote lokasi lain. Microsoft mengganti nama dari Terminal Services menjadi Remote Desktop Services (RDS) agar lebih dapat merefleksikan fitur-fitur baru dan juga kemampuan yang dimilikinya. Tujuan dari RDS adalah menyediakan baik pengguna maupun administrator fitur-fitur dan fleksibilitas dalam membangun sarana akses yang handal.
Dalam memperluas kemampuan dari RDS ini, Microsoft telah menyediakan Virtual Desktop Infrastructure, atau VDI, dalam kerjasamanya dengan berbagai partner, yaitu Citrix, Unisys, HP, Quest, Ericom dan yang lainnya. VDI merupakan centralized desktop delivery architecture, yang memungkinkan para pengguna dalam memusatkan peyimpanan, mengeksekusi dan mengelola Windows desktop di data center. Fitur-fitur dari RDD dan VDI sebagai berikut:
Peningkatan dari sisi User Experience
Versi dari VDI dan remote desktop services di Windows Server 2008 meningkatkan user experience melalui kapabilitas dari Remote Desktop Protocol yang baru. Kapabilitas ini terdapat pada Windows Server 2008 R2 yang dikombinasikan dengan Windows 7, yang membuat user experience untuk pengguna yang melakukan akses secara remote hampir identik dengan pengguna lokal.
Penyempurnaan RemoteApp and Desktop Connection (RAD)
Penyempurnaan untuk RemoteApp and Desktop Connection yang terdapat pada Windows Server 2008 R2 dan Windows 7 meliputi beberapa hal berikut:
- Perluasan Remote Desktop Services untuk menyediakan tools untuk mengaktifkan VDI
- Menyediakan kemudahan dalam melakukan publikasi dan kemudahan akses terhadap remote dekstop dan aplikasi-aplikasi.
- Peningkatan integrasi dengan Windows 7 user interface
- Multimedia Redirection
- Dukungan multiple monitor
- Audio Input & Recording
- Dukungan untuk Aero Glass
- Peningkatan sinkronisasi untuk audio/video
- Language Bar Redirection
- Task Scheduler
Penyempurnaan RemoteApp and Desktop Deploymemt
Administrator yang dihadapkan dengan skenario deployment RAD yang lebih kompleks juga akan dapat memanfaatkan tambahan fitur manajemen pada Remote Desktop Services yang ditujukan untuk meningkatkan kemampuan manajemen untuk berbagai skenario yang sudah ada sebelumnya ditangani oleh Terminal Services dan juga skenario baru tersedia melalui RAD. Fitur manajemen yang disempurnakan tersebut meliputi:
More Posts
Next page »