Site dan Replikasi

Pengertian Site

 

Reposting.....

Secara umum, kebanyakan administrator jaringan atau System Engineer akan menggambarkan site sebagai lokasi fisik jaringan yang tersebar secara geografis, sebagai contoh bisa jadi berupa Kantor Pusat di Bandung, Kantor Cabang di Jakarta dan Surabaya, atau bisa juga mereka secara umum menggambarkannya sebagai lokasi area jaringan beberapa kantor cabang dan satu kantor pusat, walau berada dalam satu kota. Site-site dihubungkan dengan network link, mulai dari yang dial-up hingga yang berkecepatan tinggi, seperti fiber optic link. Site-site dihubungkan dengan network link, membentuk infrastruktur jaringan. Pemahaman site seperti ini lebih tepat dikatakan sebagai network site.

Infrastruktur jaringan dalam Active Directory digambarkan dalam bentuk objek, juga berupa site dan site-link, walau istilahnya sama, tetapi pengertian site dalam hal ini berbeda dengan site seperti yang digambarkan oleh kebanyakan administrator jaringan di awal tadi. Site dan Site-link adalah objek dalam Active Directory memiliki properti dan role. Objek-objek ini digunakan untuk mencapai dua tugas manajemen service, yaitu:

1. Untuk mengatur Replication Traffic
2. Untuk memfasilitasi Service Localization

 

Replication Traffic

Replikasi terjadi saat terdapat perubahan dalam database pada Active Directory directory services, misalkan kita mereset password suatu user account, perubahan password tersebut terjadi pada database Active Directory directory services di satu domain controller, yang kemudian oleh domain controller tersebut direplikasikan ke domain controller lainnya dalam domain tersebut. Tentu saja secara konseptual, proses replikasi ini harus sesegera mungkin, secepat mungkin. Replikasi antar domain controller dalam satu site jelas lebih cepat, dibandingkan replikasi antar site. Dalam replikasi antar site, link yang menghubungkan antar site secara ideal harus memenuhi ketentuan seperti terdapatnya kecukupan bandwidth, agar prosesnya optimal, performanya bagus dan biayanya rendah. Replikasi antar site dapat dibuat berjadwal(scheduled) dan manageable.

 

Service Localization

Pada service ini contoh sederhananya adalah dukungan agar proses autentikasi pada sisi client terjadi dalam site dimana proses itu berlangsung, dengan memastikan domain controller di site tersebutlah yang melakukan proses autentikasi ketika terdapat proses logon ke domain. Demikian juga proses akses rsource ke Distributed File System Namespaces (DFS), user yang merupakan DFS client akan mengakses resource DFS yang 'last update' hasil replikasi berdasarkan Active Directory site.

Perencanaan Membuat Site

Karena site digunakan untuk optimasi replikasi dan mengaktifkan dukungan Service Localization, kita harus hati-hati dan cermat dalam mendesain site.

Skenario berikut menarik untuk disimak:

1. Kita memiliki dua lokasi kantor pada dua lokasi berbeda. Kita tempatkan satu domain controller di tiap lokasi. Antar lokasi terhubung dengan koneksi jaringan yang handal, kita bisa membuat kedua lokasi tersebut sebagai satu site.
2. Kita memiliki jaringan yang cukup besar, jaringannya berbentuk campus network (campus network adalah network yang berada pada berbagai bangunan gedung yang jaraknya berdekatan). Dari perspektif replikasi, network yang besar  ini dipertimbangkan menjadi satu site. Akan tetapi karena kita menginginkan para user utuk menggunakan distributed services di lokasi mereka masing-masing, kita desain banyak site untuk mendukung service localization.

 

Kecepatan Koneksi

Site dalam Active Diretory merupakan unit dari jaringan yang bercirikan : koneksi cepat, handal dan murah. Link speed tidak boleh kurang dari 512 kilobit persecond (kbps), paling tidak itulah yang disyaratkan oleh banyak dokumentasi yang ada, walau ada juga beberapa organisasi/perusahaan yang memiliki link speed 56 atau bahkan 28 kbps.

 

Penempatan Service

Kuncinya adalah ketersediaan domain controller atau service berbasis active directory lainnya, seperti replicated DFS resource. Jika suatu lokasi jaringan tidak memiliki salah satu dari kedua komponen tadi, tidak ada gunanya kita membuat site dilokasi tersebut.

 

Populasi User

Konsentrasi user juga berpengaruh secara tidak langsung pada desain site kita. Jika suatu lokasi jaringan memiliki sejumlah user yang berpotensi kesulitan dalam hal autentikasi, tempatkan domain controller dilokasi tersebut. Setelah itu kita dapat mengatur Active Directory replication ke lokasi tersebut atau melokalisasi penggunaan service dengan mengkonfigurasi suatu Active Directory site yang merepresentasikan lokasi itu.

 

Rangkuman Kriteria Perencanaan Site

Tiap Active Directory forest paling tidak memiliki satu site. Site default tersebut dibuat saat kita membuat forest pada domain controller pertama yang namanya adalah Default-First-Site-Name. Kita mungkin ingin menambah site saat :

• Terdapat bagian dari jaringan yang dihubungkan oleh koneksi yang lambat
• Terdapat bagian dari jaringan yang memiliki sejumlah user yang memerlukan domain controller atau service berbasis active directory lainnya di lokasi tersebut.
• Kita ingin mengontrol service localization.
• Kita ingin mengontrol replikasi antar domain controller

Membuat Site

Site dan replikasi di kelola dengan menggunakan snap-in Active Directory Sites and Services. Untuk membuat suatu site Active Directory, pada dasarnya kita membuat objek dari class site. Objek site ini berupa kontainer yang mengelola replikasi untuk domain controller di dalam site. Kita juga membuat sedikitnya satu objek subnet di dalam site. Suatu objek site mendefinisikan suatu nilai jangkauan/range alamat IP dan dihubungkan ke dalam satu site.  Cukup dengan klik-kanan node dari Sites dalam Active Directory And Services dan pilih New Site. Di dalam kotak dialog New Object-Site, masukkan nama site dan pilih site link. Default site link, DEFAULTIPSITELINK adalah satu-satunya site link yang tersedia secara default, kita juga dapat menambahkan site yang kita buat sendiri, pembahasannya masih dalam artikel ini, dibagian "Konfigurasi Global Catalog dan Application Directory Partitions".

Gambar Kotak dialog New Object - Site

 

Setelah site kita buat, kita bisa mengganti nama site dengan klik-kanan lalu pilih Rename. Nama site default; Default-First-Site-Name juga dapat kita rename agar memberikan nilai deskriptif dengan topologi jaringan yang kita miliki.

Site baru berfungsi jika telah terdapat komputer client dan server yang didefinisikan di dalam site tersebut. Hal ini dapat dicapai dengan mengasosiasikan alamat IP system dengan suatu site dan objek-objek subnet. Untuk membuat objek subnet, klik-kanan node Subnet di dalam snap-in Active Directory Site and Services dan pilih New Subnet. Kotak dialog New Object - Subnet tampil seperti gambar berikut :

Gambar Kotak Dialog New Object - New Subnet

 

Objek Subnet didefinisikan sebagai nilai jangkauan alamat IP dinyatakan menggunakan notasi prefix network. Contohnya untuk jangkauan nilai alamat IP mulai dari 131.107.1.1 sampai dengan 131.107.1.254 dengan 24 bit subnet mask, prefixnya menjadi 131.107.1.0/24.

Setelah memasukkan network prefixnya, pilih objek site dengan subnet mana site tersebut diasosiasikan. Suatu subnet hanya dapat diasosiasikan dengan satu site, dan dalam satu site dapat terdiri atas banyak subnet.

 

Gambar Kotak Properti suatu Site

 

Gambar Kotak Dialog untuk suatu Subnet

 

Mengelola Domain Controller dalam Site

Ada saat dimana kita perlu untuk mengelola domain controller dalam Active Directory site:

• Kita membuat site baru dan memindahkan domain controller yang telah ada sebelumnya ke site baru tersebut
• Kita men-demote domain controller
• Kita mem-promote domain controller baru

Saat kita membuat Active Directory forest, domain controller pertama secara otomatis ditempakan pada objek site, yaitu Default-First-Site-Name. Kita dapat melihat domain controller SERVER01.contoso.com dalam gambar berikut. Domain controller tambahan akan ditambahkan ke site berdasarkan alamat IPnya. Sebagai contoh, suatu server dengan alamat IP 10.1.1.17 dipromosikan menjadi domain controller, server tersebut akan secara otomatis ditambahkan ke site BRANCHA.

 

Gambar Domain Controller dalam suatu site

Tiap site berisi kontainer Servers, dimana kontainer ini berisi objek berupa domain controller di dalam site. Kontainer ini hanya akan berisi server domain controller saja, tidak seluruh server. Saat kita mempromosikan suati domain controller baru, secara default dc ini akan menempati site sesuai dengan alamat IP-nya. Tetapi dengan menggunakan Active Directory Domain Installation Wizard dapat kita gunakan untuk menentukan site yang berbeda.

Terakhir, kita dapat memindahkan domain controller ke site yang tepat setelah instalasi selesai dilakukan dengan klik-kanan server tersebut, dan pilih Move. Dalam kotak dialog Move Server, pilih new site dan klik OK. Domain controller akan berpindah. Jika suatu domain controller berupa multihomed computer, dc ini hanya dapat dimiliki satu site saja. Untuk menghapus domain controller, klik-kanan objek dc dan pilih Delete.

 

Pemahaman Lokasi Domain Controller

Pada bagian ini, kita mengkaji bagaimana service localization berfungsi, dalam kasus bagaimana bisa suatu client dari Active Directory menjadi tahu tentang sitenya dan menemukan domain controller di dalam site-site mereka. Pengetahuan ini berguna dalam troubelshooting proses autentikasi baik komputer maupun user.

Service Locator Records

Saat domain controller ditambahkan ke dalam domain, maka dc tersebut akan menyebarkan informasi (advertises services) dengan cara membuat record-record Service Locator (SRV records), biasa juga disebut sebagai locator records, di dalam DNS. Tidak seperti Host Records (A records) yang memetakan nama host ke alamat IP, SRV records memetakan service ke host name.

Domain Controller men-advertise kemampuannya dalam meyediakan autentikasi dan directory access dengan cara meregistrasi Kerberos dan LDAP SRV records. SRV records ini ditambahkan ke beberapa folder dalam DNS Zones untuk forest tersebut. Folder pertama berada dalam domain zone. Namanya adalah _tcp dan berisi SRV records untuk semua domain controller yang ada dalam domain. Folder kedua bersifat spesifik ke site, dimana domain controller tersebut berada, dengan path _sites\sitename\_tcp, dimana sitename adalah nama dari sitenya. Pada gambar berikut kita bisa melihat Kerberos dan LDAP SRV records untuk SERVER02.contoso.com di dalam sitenya, _site\BRANCHA\_tcp. Kita juga dapat melihat folder _tcp pada level pertama di bawah zonenya.

Gambar SRV records untuk SERVER02 di dalam site BARNCHA

Record-record yang sama diregistrasikan dalam beberapa tempat dalam zone _mcds.domainName, sebagai contoh _mcds.contoso.com dalam gambar di atas. Zone ini berisi record-record untuk Microsoft Domain Controller Services. Karakter garis bawah (underscore) adalah requirement dalam RFC 2052.

Record-record Locator berisi:

• Nama Service dan port Bagian dari record SRV yang mengindikasikan suatu service dengan port yang tetap(fix). Nomor portnya tidak harus menggunakan nomor port yang populer. Record-record SRV dalam windows Server 2008 berupa LDAP (port 389), Kerberos (port 88), Kerberos Password protocol (KPASSWD, port 464) dan GC services(port 3268)
• Protocol TCP dan UDP mengindikasikan transport protocol untuk service tersebut. Service yang sama dapat menggunakan kedua protocol tersebut, dalam record-record SRV. Record SRV, sebagai contoh, diregistrasikan baik untuk TCP maupun UDP. Client Microsoft hanay menggunakan TCP, tapi Client UNIX dapat menggunakan TCP.
• Host Name Nama yang berkorespondensi dengan A(Host) record untuk server yang menghosting service. Saat client meng-query suatu service, DNS server mengembalikan record SRV dan mengasosiasi ke suatu record A, sehingga client tidak perlu melakukan query terpisah untuk me-resolve alamat IP dari service.

Nama service dalam SRV record mengikuti standard DNS hierarchy, dengan komponen yang dipisahkan oleh titik. sebagai contoh, Kerberos service dari suatu domain controller diregistrasikan sebagai: kerberos._tcp.siteName._sites.domainName

Membaca nama SRV record ini dari kanan ke kiri seperti halnya  record-record DNS lainnya, diartikan sebagai berikut:

• domainName: domain atau zone, contohnya, contoso.com
• _sites: semua  site yang diregistrasi dengan  DNS
• siteName: site dari domain controller yang meregistrasi service
• _tcp: berbagai services berbasis TCP dalam site
• kerberos: sebuah Kerberos Key Distribution Center (KDC) menggunakan TCP sebagai transport protocolnya

Bagaimana Client Menemukan Domain Controller 

Bayangkan jika suatu Windows client baru saja di-joinkan ke domain. Komputer ini direstart, menerima alamat IP dari DHCP server, dan siap melakukan proses autentikasi ke domain. Bagaimana si client tahu dimana mencari domain controller? Client ini tidak melakukan hal seperti ini. client ini melakukan query ke domain untuk mengenal domain controller dengan cara meng-query folder _tcp yang berisi SRV records untuk semua domain controller di dalam domain. DNS mengembalikan daftar DC-DC yang cocok, client mengontak seluruh DC dalam daftar ini saat startup pertama kali. Domain controller pertama yang merespon komputer client memeriksa alamat IP client, dan menginformasikan ke client tentang site mana si komputer client ini berada. Client ini menyimpan nama site dalam registrynya, kemudian meng-query  domain controller yang berada dalan  site-specific folder _tcp.
DNS mengembalikan daftar dari seluruh DC dalam site tersebut. Komputer client melakukan binding ke semua dc tersebut, dan dc yang merespon akan meng-autentikasi client.

 

Konfigurasi Global Catalog dan Application Directory Partition

Review Active Directory Partition

Active Directory Directory Services (ADDS) memiliki tempat penyimpanan data untuk mengidentifikasi dan melakukan pengelolaan, khususnya database directory, yaitu Ntds.dit. Di dalam file ini terdapat directory partition, yang di sebut juga sebagai naming context, yang berisi objek-objek untuk scope tertentu dan juga tujuan tertentu.

Terdapat tiga naming context yang dibahas dalam artikel ini:

• Domain Domain naming context (NC) berisi seluruh objek yang tersimpan dalam suatu domain, termasuk user, group, komputer dan Group Policy container (GPC)
• Configuration Configuration partition berisi objek-objek yang merepresentasikan strukur logical dari forest, termasuk domain, dan juga topologi fisik seperti site, subnet dan service
• Schema schema mendefinisikan class-class objek dan atribut-atributnya untuk keseluruhan directory.

 

Tiap domain controller memelihara copy atau replika dari beberapa naming context. Configuration direplikasikan ke setiap domain controller dalam forest. Domain naming context untuk suatu domain direplikasikan ke seluruh domain controller dalam domain tapi tidak ke seluruh domain controller di domain yang berbeda, jadi tiap domain controller memiliki sedikitnya tiga replika: domain NC untuk domainnya, configuration dan schema.

Pada versi sebelum Windows Server 2008, replika yang ada merupakan replika yang lengkap,  berisi setiap objek dari atribut dan bersifat dapat diubah(writable) pada semua DC. Mulai pada Widows Server 2008, terdapat RODC (Read Only Domain Controller). RODC memelihara replika yang bersifat read-only dari seluruh objek dalam Configuration. schema dan domain NC dari domainnya. Akan tetapi terdapat sjumlah atribut yang tidak direplikasikan ke RODC, misalkan password dari user, kecuali password policy dari RODC diizinkan untuk direplikasikan. 

 

Tentang Global Catalog

Global Catalog (GC) merupakan pusat penyimpanan informasi objek di forest. Dengan adanya Global Catalog, maka query atas objek yang berasal dari domain yang berbeda, misalkan terdapat user dari domain B meng-query objek yang berada pada domain A, maka Global Catalog dapat memberikan result-nya. Untuk efisiensi, GC tidak berisi seluruh atribut dari tiap objek di dalam forest, melainkan sebagian saja yang berguna dalam pencarian, itulah mengapa GC disebut juga sebagai partial attribute set (PAS). Dalam peranannya dalam proses pencarian, GC dapat kita pandang sebagai sebuah index dari AD DS data store.

GC meningkatkan efisiensi dari directory service dan jelas diperlukan untuk aplikasi-aplikasi seperti Microsoft Exchange Server dan Microsoft Office Outlook. GC hanya dapat disediakan oleh domain controller, idealnya tiap server DC juga server GC. Namun terdapat potensi menurunnya performa jika semua server DC juga menjadi server GC, karena GC merupakan partisi yang berbeda yang juga harus direplikasikan. Pada forest yang hanya memiliki satu domain saja, akan terdapat overhead yang sangat kecil jika seluruh DC juga dijadikan server GC karena seluruh DC telah lengkap berisi seluruh atribut dari objek yang ada di domain tersebut, namun akan berbeda jika terdapat banyak domain dalam satu forest jika seluruh DC dijadikan server GC. 

Sangat disarankan untuk mengkonfigurasi server GC pada domain controller dalam suatu site dimana salah satu dari beberapa point berikut bernilai benar:

• Secara umum menggunakan aplikasi untuk melakukan query directory menggunakan port 3268, ya GC itu sendiri
• Koneksi ke server GC lambat dan tidak handal
• Site berisi komputer yang menjalankan MS Exchange Server

Untuk konfigurasi GC, saat kita membuat domain controller pertama di domain pertama di dalam forest, maka secara default DC tersebut juga sekaligus server GC. Active Directory Domain Services Installation Wizard dan perintah dcpromo.exe masing-masing dapat kita pakai untuk mengkonfigurasi GC saat kita mempromosikan komputer menjadi DC. Kita juga dapat menambah atau menghapus GC dari domain controller dengan menggunakan snap-in Active Directory sites And services.Buka site, dan kontainer Server di dalam site, dan juga objek domain controller. Klik-kanan NTDS Settings dan pilih Properties. Pada tab General, pilih kotak cek Global Catalog. Untuk menghilangkan peranan GC, tinggal di-uncheck tanda ceknya.

Gambar kotak dialog NTDS Settings Properties

Universal Group Membership Caching

Universal Group seperti yang kita kenal adalah group yang didesain untuk dapat berisi user dan group dari berbagai domain dalam satu forest. Membership dari Universal Group direplikasikan dalam Global Catalog. Saat user melakukan logon, maka Universal Group membership dari si user ini diperoleh dari server GC. Jika server GC tidak tersedia, maka universal group membershipnya pun tidak tersedia. Jika setiap server DC juga merupakan server GC maka hal seperti itu tidak terjadi. Tapi jika kita tidak menginginkan setiap server DC untuk menjadi server GC misalkan karena faktor overhead pada proses replikasi, maka kita dapat mengaktifkan Universal Group Membership Caching (UGMC). Dengan demikian, maka domain controller dari site yang tidak terdapat GC, akan memperoleh informasi unversal group membership dari GC untuk suatu user saat si user pertama kali logon di dalam site tersebut, dan domain controller akan meng-cache informasi tersebut, DC melakukan update informasi unversal group membership tiap 8 jam. Dengan cara ini, saat user tersebut logon kembali dan server GC tidak dapat dihubungi, DC dapat menggunakan cache yang dimilikinya untuk mengizinkan logon user.

Untuk mengkonfigurasi UGMC, buka snap-in Active Directory Sites And Services dan pilih site. Klik-kanan NTDS Site Settings dan pilih Properties. Kita tinggal berikan tanda cek pada bagian Enabel Universal Group Membership Caching.

Gambar Kotak dialog NTDS Site Settings Properties dengan pilihan Enabel Universal Group Membership Caching

Memahami Application Directory Partition

Jika domain, configuration dan schema partition dari directory direplikasikan ke seluruh DC di dalam suatu domain, configuration dan schema lebih lanjut direplikasikan ke seluruh DC dalam forest, Active Driectory juga mendukung apa yang disebut sebagai application directory partitions. Application directory partitions merupakan bagian dari data store yang berisi objek-objek yang diperlukan oleh application atau service yang berada diluar dari core AD DS service. Tidak seperti partition lain, application  partitions dapat diarahkan untuk direplikasikan ke domain controller tertentu saja, tidak ke seluruh DC yang ada.

Application directory partitions di desain untuk mendukung directory-enabled applications dan services. Partitions ini dapat berisi berbagai tipe objek kecuali security principals seperti users, computers, atau security groups. Karena partitions ini direplikasikan sebatas diperlukan saja, application directory partitions menyediakan keuntungan dari terdapatnya fault tolerance, availability dan performa saat mengoptimalkan trafic replikasi.

Bisa bisa melihat contoh dari application directory partitions yang di maintain oleh Microsoft DNS Server. Saat kita membuat Active Directory integrated zone, record-record DNS direplikasikan di antara server-server DNS dengan menggunakan application directory patition. Partition dan objek-objek record DNS-nya tidak direplikasikan ke setiap domain controller, melainkan hanya ke server-server DNS saja.

Kita lebih lanjut dapat melihat application directory partitions dalam forest dengan membuka ADSI Edit. Klik-kanan root dari snap-in, ADSI Edit dan pilih Connect To. Dalam drop down list Select A Well Known Naming Context, pilih Configuration dan klik OK. Buka Configuration dan folder yang merepresentasikan configuration partition, kemudian pilih folder Partitions,CN=Partitions. Pada bagian detail, kita bisa melihat partitions dalam AD DS data store kita, lihat gambar berikut:

Kita bisa melihat dua application partitions pada gambar di atas, ForestDnsZones dan DomainDnsZones. Kebanyakan application partitions dibuat oleh application yang memerlukannya. Contohnya adalah DNS, sementara contoh lainnya adalah Telephony Application Programming Interface (TAPI). Anggota dari group Enterprise Admins juga dapat membuat application directory partitions secara manual dengan menggunakan Ntdsutil.exe.

Lebih jauh tentang application directory partitions, bisa dilihat di http://technet2.microsoft.com/WindowsServer/en/library/ed363e83-c043-4a50-9233-763e6f4af1f21033.mspx  .