bobby iskandar zulkarnain

No measurement can be performed until something is observed

News



Locations of visitors to this page

January 2009 - Posts

Group Policy Architecture of Windows Server 2008/Vista -Multiple Local GPOs

Seperti kita ketahui bersama, pada Windows XP, windows 2000, dan windows 2003 hanya menawarkan satu Local Group Policy Object. Kita tidak dapat membuat multiple local GPO untuk Windows dengan versi-versi seperti ini.

Windows Vista dan Windows Server 2008 menyediakan fleksibitas baru, bukan hanya kita dapat membuat banyak GPO untuk per-user basis (hal ini sangat menarik hanya tidak ideal untuk diimplementasikan), tetapi juga kita dapat membuat GPO untuk local administrator, dan GPO lainnya untuk user lainnya (non local administrator).

Local GPO pada Windows Vista dapat dikonfigurasi untuk : berbagai local user account, Users yang merupakan member dari Group Local Administrators, Users yang bukan member dari Group Local Administrators. Dan tentu saja satu user account hanya dapat diseting oleh satu Local GPO saja.

Akan tetapi jika Windows Vista juga merupakan member dari domain Active Directory, Local GPO akan diproses dengan cara yang sama seperti yang berlaku pada Windows XP, Windows 2000/2003, yaitu pertama Local GPO diproses setelah komputer dinyalakan, kemudian Site GPO, Domain GPO, OU GPO dan terakhir Child OU GPO (jika ada).

Namun administrator dapat saja mengkonfigurasi Windows Vista untuk tidak memproses Local GPO sama sekali dengan meng-enable Active Directory GPO, yang akan menghalangi local administrator di windows Vista untuk menambahkan Local GPO mereka. Lebih jauh lagi, kita dapat men-disable Local GPO ini.

Cara membuat multiple Local GPO cukup mudah

Berikut contoh dari membuat Local GPO per-user basis. Dari Windows Vista, ketikkan mmc pada Start Search dan kemudian ENTER, akan muncul window Console1 dari snap-in Microsoft Management Console, pilih Add/Remove Snap-in...

clip_image002

 

Kemudian pada window Add or Remove Snap-ins, pada bagian Available snap-ins, scroll ke bawah dan temukan Group Policy Object Editor, dan klik Add.

clip_image002[4]

Selanjutnya, pada bagian Select Group Policy Object, pada bagian bawah dari Group Policy Object: , kita klik Browse...

clip_image004

Kemudian pada kotak dialog Browse for a Group Policy Object, pilih tab Users untuk membuat local GPO baik per-user basis ataupun per-group.

Dapat kita lihat pada gambar berikut, sejumlah user account akan tampil pada list, tapi hanya ada dua group saja yang tampil, yaitu Administrators Group dan Non-Administrators. Ini artinya kita tidak dapat membuat Local GPO untuk group-group lainnya selain dua group tersebut.

clip_image006

Setelah kita klik OK, maka tampilan dialog selanjutnya  klik Finish.

Klik OK pada window Add or Remove snap-ins untuk menutup window ini.

Dan akhirnya, local GPO telah siap dikonfigurasi untuk user tertentu.

clip_image006[4]

 

Semoga dapat bermanfaat…..

Share this post: | | | |
Group Policy Architecture of Windows Server 2008/Vista -Central Store Management

Rekan-rekan, seperti telah kita ketahui bersama, file-file format ADM dapat berada di berbagai tempat di jaringan, dan jika kita lihat pada seting Group Policy belum tentu dapat kita temukan semua file ini terlihat. Bahkan pada Windows Vista, kita dapat memiliki sekumpulan file ADMX pada hard disk lokal kita.

File-file ADM disimpan sebagai bagian dari GPO itu sendiri. Saat kita mengedit GPO yang menggunakan administrative template dalam format ADM, GPME akan me-load ADM tersebut dari GPMC untuk menghasilkan user interface. Ketika file-file ADMX/ADML digunakan sebagai administrative template, GPO hanya berisi data yang diperlukan client untuk memproses Group Policy, dan ketika kita mengedit GPO, GPME menarik file-file ADMX dan ADML dari local workstation.

Hal ini bisa jadi tidak berpengaruh untuk organisasi/perusahaan kecil, tapi untuk lingkungan jaringan yang kompleks yang berisi custom administrative template atau yang memerlukan centralized control, kita harus menggunakan central store. Windows Server 2008 memperkenalkan central store. Central store merupakan folder pada SYSVOL yang menyimpan file-file ADMX dan ADML yang dibutuhkan. Setelah kita melakukan seting untuk central store, GPME akan mengenalinya dan me-load seluruh administrative template dari central store bukan lagi dari lokal komputer.

Local ADMX store

Gambar 1. Local ADMX store pada Windows Vista.

Pada GPO berbasis domain, Windows Server 2008 dan Vista menggunakan central store untuk menyimpan seluruh file ADMX, yaitu pada domain controller, pada folder sysvol\policies\policydefinitions. Selesai kita lakukan konfigurasi untuk central store ini, GPOE dan Group Policy Management console akan menggunakannya sebagai pengganti local store.

Untuk membuat central store, kita cukup buat folder, beri nama PolicyDefinitions dalam \\FQDN\SYSVOL\FQDN\Policies. Sebagai contoh, central store untuk domain microsoft.com akan menjadi \\microsoft.com\SYSVOL\microsoft.com\Policies\PolicyDefintions.

Kemudian kita copy seluruh file dari folder %SystemRoot%\PolicyDefinitions di Windows Server 2008 ke folder SYSVOL\microsoft.com\Policies\PolicyDefintions. Peng-copy-an ini termasuk file-file .admx dan .adml dalam subfolder yang spesifik language tertentu. Sebagai contoh, file-file ADML untuk English (United States) terletak pada %SystemRoot%\PolicyDefinitions\en-us akan di copy ke \\FQDN\SYSVOL\FQDN\Policy\PolicyDefinitions\en-us. Jika terdapat tambahan language yang dibutuhkan lagi, lakukan hal yang sama.

Memiliki central store untuk ADMX template jelas menguntungkan, karena administrator hanya perlu melakukan update untuk template-template cukup satu kali, dan selanjutnya replikasi pada Active Directory akan mengambil peranan dalam menyebarkan update tersebut ke seluruh domain controller di jaringan.

 

Semoga dapat bermanfaat……..

Share this post: | | | |
Group Policy Architecture of Windows Server 2008/Vista -New Migration /Editing Utility (ADMX Migrator)

Sebelum kita melangkah lebih jauh tentang apa saja yang ditawarkan dengan adanya file ADMX, seperti pada pembahasan artikel saya sebelumnya  , Windows Server 2008 dan Vista tetap memberikan support untuk backward compatibility terhadap format file ADM. Sebagai contoh, jika organisasi/perusahaan kita membuat beberapa ADM templates dengan seting-seting custom Registry, kita tetap dapat mengimportnya ke GPO yang kita miliki, dengan menggunakan Administrative Templates node pada Group Policy Object Editor (GPOE). Tetapi bisa jadi kita menginginkan untuk mengkonversikannya ke dalam format yang baru, misalkan kita ingin memperoleh manfaat dari central store management, dynamic loading/unloading, dan Multilanguage support.

Tool yang dapat kita gunakan untuk melakukan migrasi dari format .ADM ke .ADMX adalah ADMXMigrator.MSI, yang dapat kita peroleh dari sini.

clip_image002

Gambar 1. ADMX migration tool yang membantu kita selama masa transisi ke Windows server 2008.

Untuk mendownload tool ini, kita wajib melewati proses validasi keaslian dari sistem operasi windows kita (the genuine Microsoft Windows program). Setelah didownload, kita cukup lakukan instalasi hingga selesai.

clip_image004

Gambar 2. Instalasi ADMX Migration tool

clip_image006

Gambar 3. Finishing instalasi ADMX Migration tool

Tool ini dapat mengkonversi lusinan ADM ke ADMX dalam satu waktu. Hanya kita perlu hati-hati karena kita akan kehilangan bubuhan komentar (comments) yang kita berikan pada file ADM saat kita mengkonversinya.

Share this post: | | | |
Group Policy Architecture of Windows Server 2008/Vista - New Source File Format (ADMX/ADML)

 

Untuk rekan-rekan yang pernah berkecimpung dengan Windows NT pastilah masih ingat dengan file .ADM, sebagai bagian dari Arsitektur System Policy lama (POLEDIT). Walau group policy Windows XP/2000/2003 jauh lebih memuaskan dibandingkan dengan Windows NT, file format .ADM ini tetap dipertahankan, dengan menyediakan file-file berbasis text yang bertindak seperti “source code” untuk dikonsumsi oleh Group Policy console. Dengan kata lain, file-file ADM ini menyusun/mempersiapkan Registry Key serta valuenya untuk di ubah.

File-file .ADM ini penting untuk membangun Administrative templates. File–file Administrative template digunakan untuk menyediakan informasi seting-seting policy untuk tiap item yang ada pada Administrative Templates node. Windows XP/2000/2003 menggunakan beberapa file .ADM untuk meng-ekspose berbagai seting-seting konfigurasi berbasis registry. By default, file-file ini terletak di folder %SystemRoot%\Inf.

clip_image002

Berita bagusnya adalah file-file ADM ini menyediakan ekstensibilitas ke arsitektur Group Policy. Bila kita ingin menggunakan GPO untuk mengontrol Microsoft Office, kita butuh file-file ADM.

Berita buruknya adalah file-file .ADM ini harus diimport ke tiap GPO, menyebabkan ukuran dari GPO menjadi tambah besar, ingat kembali bahwa mereka harus direplikasikan antar domain controller. Dan terakhir, jika kita ingin menyediakan kapabilitas multilanguage, ADM tidak dapat menyediakannya.

Windows Server 2008 dan Windows Vista memperkenalkan template baru berbasis XML yaitu template ADMX template yang menggantikan template-template ADM yang digunakan pada versi windows sebelumnya, dengan tetap menyediakan sarana dukungan terhadap format ADM.

ADMX templates menyediakan perbaikan-perbaikan yang terkait dengan template management dan development, seperti terdapatnya language localization capabilities.

ADMX templates pada dasarnya terdiri atas dua komponen utama yang digunakan untuk menampilkan seting-seting registry pada Group Policy Management Editor:

  • File-file ADMX, yang merupakan primary language-neutral files yang digunakan untuk menyediakan akses ke seting-seting policy berbasis registry dari GPMC. File-file ini berada pada folder %SystemRoot%\PolicyDefinitions.
  • File-file ADML, yang merupakan language-specific files digunakan untuk menyediakan kemampuan bagi tools Group Policy Management untuk melakukan adjustment terhadap localized language dari GUI interface based pada language yang dikonfigurasi oleh administrator. Tiap file ADMX dapat memiliki satu atau lebih file-file ADM untuk tiap language yang diperlukan oleh Group Policy administrators. File-file ADML terdapat pada folder %SystemRoot%\PolicyDefinitions\[MUIculture].

Gambar berikut menunjukkan folder PolicyDefinitions pada Windows Server 2008. Terdapat banyak file-file spesifik ADMX untuk banyak komponen Windows. Juga di dalamnya terdapat folder en-US yang berkorespondensi dengan file-file ADML berbasis English.

clip_image004

Saat kita mengedit GPO berbasis domain baik pada Windows Server 2008 maupun Windows Vista, editor secara otomatis membaca seluruh kategori policy dan seting-setingnya pada Policies\Administrative Templates node untuk bagian baik pada Computer Configuration maupun User Configuration dari policy.

Share this post: | | | |
Empowering Network Infrastructure with Windows Server 2008 – My presentation at UPI Bandung with MUGI Bandung

Dear rekan-rekan, pada hari sabtu lalu, tanggal 24 Januari 2009, bertempat di gedung JICA, lingkungan kampus Universitas Pendidikan Indonesia (UPI) Bandung di adakan acara seminar dalam rangka Microsoft Technology Update yang diselenggarakan MUGI Bandung bekerjasama dengan UPI (Universitas Pendidikan Indonesia) dan juga Microsoft Indonesia. Acara ini yang oleh rekan-rekan mahasiswa penyelenggara diberi nama SMILE (Sharing Multimedia Innovative Learning and Entertaining) ini dikhususkan untuk civitas akademika UPI, namun untuk umum dan para guru disediakan kursi sebanyak 50.

Hadir dalam acara tersebut Julius Fenata, Academic Developer Advisor Microsoft Indonesia,  yang membawakan materi MSDNAA, Imagine Cup, and Dream Spark, serta hadir juga Narenda Wicaksono, IT Pro Advisor Microsoft Indonesia.

Sedangkan dari rekan-rekan MUGI Bandung, hadir 3 orang MVP, Rully Yulian MF yang membawakan materi Data Access Using LINQ, Andri Yadi dengan materi ASP.NET Dynamic Data, serta Ronald Rajaguguk dengan materi Silverlight and WPF.


Materi lain adalah Microsoft Certification oleh Aris Lesmana, MSF for Agile Software Development oleh Firstman Marpaung (Ketua MUGI Bandung), Exploring MS SQL Server 2008's Features oleh Luki Iswara.

Saya dengan rekan Bobby Nurhasyim Halik membawakan materi bertajuk Empowering Network Infrastucture with Windows Server 2008

Materi yang saya bawakan terkait dengan Hyper-V dan Active Directory Services yang ada pada Windows Server 2008.

Saat presentasi materi bersama dengan Bobby NH…..

image

image

image

 

Para peserta acara SMILE di Gedung JICA, UPI Bandung….

image

image

image

 

Rekan-rekan MUGI Bandung….

image 

Sempat hadir, Narenda Wicaksono…

image

dan Julius Fenata….

image

 

 

======================0000===========================

Share this post: | | | |
Group Policy Architecture of Windows Server 2008/Vista - Log File Viewing Much Better

Pada versi Windows sebelum Vista dan windows Server 2008, jika kita ingin menjalankan logging secara detail dari event-event Group Policy lebih dari yang kita dapat peroleh dari console RSOP (Resultant Set of Policy), kita harus mengaktifkan fitur debug dalam modul USERENV.DLL, yang akan men-generate file USERENV.LOG pada folder \windows\debug\usermode.

Dengan windows Server 2008, System event log langsung dapat berisi event-event Group Policy yang lebih “actionable”, hal ini salah satu efek dari Group Policy yang dijadikan service). Event-event ini lebih English-like dan lebih informatif. Source dari Group Policy Service pada event log juga sudah terdapat link dari help yang langsung menuju ke online support Microsoft, seperti technet dan online knowledge base articles.

clip_image002

Gambar 1. Event Log Online Help.

 

clip_image002[5]

Gambar 2. Group Policy muncul sebagai source dari System event log di Event Viewer.

Kita dapat menggunakan tool berupa GPLogView.MSI yang dapat langsung didownload dari situs Microsoft yang bermanfaat untuk mengumpulkan informasi event yang terkait dengan Group Policy dan mengeksporenya ke dalam format TXT, HTML, atau XML.

Share this post: | | | |
Group Policy Architecture of Windows Server 2008/Vista - NLA (Network Location Awareness) capabilities

Pada Windows XP, windows 2000 dan 2003, Group Policy agent pada client tidak memiliki kemampuan untuk mengecek apakah komputer dimana si agent ini running terhubung ke jaringan atau tidak. Jika terdapat kegagalan dalam suatu “policy refresh cycle”, sebagai contoh ada laptop yang diputus dari network atau tidak terdapat domain controller, Windows cukup menunggu cycle yang berikutnya (90 menit plus random value antara 0 sampai 30 menit) dan kemudian mencoba lagi.

Windows Server 2008 dan Vista lebih memiliki kepedulian (network-aware) saat harus melakukan proses policy. Jika terdapat kondisi yang telah disebutkan diatas terjadi, Vista tidak menunggu, tetapi mencoba untuk menjalankan policy refresh sesegera mungkin yang dapat dia lakukan. Versi dari windows ini juga menggunakan mekanisme yang berbeda dengan apa yang terdapat pada versi Windows sebelum windows 2008 dan Vista yang menggunakan ping untuk menentukan kecepatan koneksi jaringan (lihat pada http://support.microsoft.com/kb/227260), yaitu dengan menggunakan NLA, Network Location Awareness.

clip_image002

Gambar 1. Slow link detection tidak lagi bergantung pada PING

Semoga bermanfaat….

Share this post: | | | |
Group Policy Architecture of Windows Server 2008/Vista - Group Policy As A Service

Pada versi windows sebelum Windows Server 2008, Group Policy berjalan dalam proses winlogon. Pada Vista dan Windows Server 2008, Group Policy merupakan service pada sistem operasi sendiri yang berjalan pada SVCHOST. Kalau memang demikian apa implikasinya?

Pertama, security pada Group Policy terdapat perbaikan. Kita harus memiliki administrative right untuk menghentikan/men-stop service ini.

Yang lainnya, adalah seperti halnya service-service lainnya, kita dapat mengkonfigurasi bagaimana jadinya jika Group Policy ternyata berada dalam situasi yang gagal dijalankan (failure scenario). Sebagai contoh kita dapat menentukan service tersebut harus restart secara otomatis.

clip_image002

Gambar 1. Group Policy terdapat pada Services list

Dan terakhir, proses shutdowns lebih “smooth”. Windows' Service Control Manager (SCM) menyediakan service khusus (termasuk Group Policy) berupa “pre-shutdown notification” sehingga provides certain services (including Group Policy) with a "pre-shutdown notification" sehingga service-service ini dapat menyelesaikan tugas-tugasnya sebelum windows memproses shutdown. Sepanjang service-service ini tetap merespon dalam menyelesaikan tugasnya, SCM akan menunggu hingga selesai.

Share this post: | | | |
Windows 7 Beta As Windows Server 2008 Virtual Private Network (VPN) Client

Dear rekan-rekan komunitas wss-id dan mugi, sejak keluarnya rilis beta Windows 7 beberapa waktu yang lalu, mendorong saya untuk sekedar ingin mencoba-coba bagaimana jadinya kalau Window 7 yang masih beta ini saya jadikan sebagai Virtual Private Network Client dari Windows Server 2008. Setelah dicoba, pada dasarnya sama saja dengan Windows Vista.

Berikut untuk sekedar berbagi info ke rekan-rekan, beberapa langkah dalam mengkonfigurasi Virtual Private Network dari mulai membangun domain controller, membangun VPN Server, dan menyediakan clientnya berupa Windows 7 beta build 7000, sehingga nantinya kita dapat menyediakan sarana koneksi ke jaringan LAN bagi remote user untuk mengakses resource jaringan internal, seperti halnya yang dapat dilakukan oleh user tersebut ketika berada di LAN.

Dalam artikel ini, kupasan tentang konfigurasi VPN yang saya bahas di sini terbatas untuk protokol PPTP dulu, sedangkan untuk protokol lainnya (L2TP dan SSTP) mungkin akan saya bahas di artikel lainnya nanti, atau barangkali rekan-rekan juga ada yang berminat mencoba dan kita bisa share pengalaman ngoprek di portal ini.

Secara umum, skenario ngoprek yang saya lakukan seperti pada gambar berikut.

VPN Configuration scenario

Pada komputer domain controller, kita harus menyediakan satu domain user account dengan seting properti dari tab Dial-in-nya di set Allow untuk koneksi RRAS. yang nantinya akan kita gunakan untuk menguji koneksi VPN dari komputer Windows 7.

Lalu lakukan konfigurasi sedemikian rupa pada komputer Server VPN, dalam hal ini VPNSRV, berikan 2 alamat IP pada dua kartu jaringannya, masing-masing di-rename menjadi Private dan Public. Private mewakili alamat ke jaringan internal (LAN), sedangkan Public mewakili alamat network yang terkoneksi ke internet. Perlu diingat, alamat ini dalam best practice-nya merupakan alamat IP public, yang dapat diperoleh dari ISP yang menyediakan layanan koneksi internet dedicated line/leased line.

Kemudian setelah instalasi komponen RRAS dengan menambahkan role yang sesuai, konfigurasi Server VPN ini sebagai VPN server, konfigurasinya dapat dilakukan secara wizard, ataupun secara manual, bergantung selera aja.

VPN Configuration6 

VPN Configuration7

 

VPN Configuration8

Pastikan untuk VPN Connection, arahkan interface network card-nya ke arah network card yang mengarah ke ISP.

Pada seting konfigurasi Server VPN, pada IP Address Asigment, kita menggunakan pilihan From a specified range of addresses, untuk address pool saya gunakan pilihan static address pool,  seperti pada gambar berikut.

VPN Configuration12 

Kemudian pada komputer client, yang menjalankan Windows 7, buka Control Panel, kemudian pada bagian Network and Internet, klik Network and sharing center, dan kemudian klik Set up a new connection or network .

clip_image002

 

clip_image002[5]

clip_image002[7]

 

clip_image002[9]

Kemudian pilih I’ll set up an internet connection later, lalu isikan alamat Internet dan berikan nama koneksi VPN-nya sebagai berikut.

clip_image002[13]

Kemudian pada bagian Type your user name and password, selanjutnya, isikan user account domain administrator dan passwordnya seperti pada gambar berikut ini.

clip_image002[15]

clip_image002[17]

Beri nama vpn connection ini sebagai Koneksi VPN.

clip_image002[19]

Untuk mencoba melakukan koneksi, dar Network and Sharing Center, klik Connect to a network beberapa saat kemudian, muncul panel baru di sisi kanannya menampilkan nama dari Virtual Private Connection yang sebelumnya telah kita buat, yaitu Koneksi VPN, lalu klik Koneksi VPN, dan muncul tombol Connect. Klik tombol ini untuk memproses koneksi VPN ke VPNSRV.

Pastikan pada properties dari koneksi VPN, untuk alamat VPN Server di set dengan tepat.

Pada tab Security, pada Type of VPN, Anda dapat memilih secara spesifik Point to Point Tunneling Protocol (PPTP) sebagai tipe VPNnya. Pada artikel ini, saya batasi pembahasan hanya untuk protokol PPTP dulu, jika ada waktu saya akan tuliskan kembali untuk jenis protokol lainnya, yaitu untuk tipe VPN dengan protokol L2TP dan SSTP.

clip_image002[29]

clip_image002[21]

Mengisikan account domain administrator untuk menguji koneksi VPN.

clip_image002[23]

 

Barulah kemudian Anda klik tombol Connect pada Koneksi VPN. Tunggu beberapa saat akan muncul  proses koneksi yang terjadi sebagai berikut.

clip_image002[35]

Hingga tampak pada Koneksi VPN, status Connected seperti pada gambar berikut ini.

clip_image008

Anda dapat memerika hasil perolehan alamat IP dari koneksi VPN dengan menggunakan perintah ipconfig dari command line di Windows 7 sebagai berikut.

clip_image010

Pada gambar berikut, Anda dapat melihat perolehan alamat IP dari VPNSRV, tiap kali Anda membuka koneksi baru, kemungkinan Anda mendapat alamat IP yang berbeda, sesuai dengan nilai jangkauan alamat IP yang Anda set untuk client VPN ini.

clip_image014

Kita bisa menggunakan account domain administrator untuk menguji koneksi VPN, sebelum kita gunakan user account biasa untuk mengakses resource berupa shared folder yang sebelumnya pada langkah awal telah kita sediakan.

clip_image002[41]

Setelah selesai, putus/disconnect koneksi VPN, kembali pada Network Connection, klik ganda Koneksi VPN.

Saatnya kita menggunakan sebuah domain user account non administrators member untuk mengakses resource jaringan, sebelumnya kita harus menyediakan acount seperti ini dengan seting propertiesnya, pada tab Dial-in, di set Allow untuk koneksi ke RRAS.

koneksi2 

Setelah sukses melakukan koneksi dengan VPN, dari komputer client, klik Start dan isikan alamat IP dari DC01 dengan nama shared foldernya .

koneksi3

Akses ke resource jaringan berupa sebuah shared folder dengan file text di dalamnya seperti tampak pada gambar berikut.

koneksi4

 

Demikianlah tulisan sederhana ini, semoga dapat bermanfaat.

Share this post: | | | |
Managing Network Bandwidth Using Windows Quality of Service (QOS)

 

Rekan-rekan, pada artikel berikut  saya mencoba untuk menuliskan kembali tentang bagaimana pemanfaatan Windows Quality of Service dalam mengidentifikasi seberapa banyak bandwidth yang dikonsumsi oleh suatu NetBIOS Client ketika melakukan transfer file. Kemudian dibahas juga tentang penggunaan Windows Vista™ QoS Policy Wizard untuk membuat suatu policy untuk membatasi jumlah bandwidth yang digunakan client ketika melakukan uploading ke file server.

Tentu kita mengaitkan policy ini ke suatu Active Directory organizational unit yang berisi client computer account tersbut. Kita kemudian menjalankan pengujian upload data lagi dan melihat hasil dari penerapan policy tersebut ke client NetBIOS yang melakukan transfer file.

Artikel ini juga saya telah sediakan dalam bentuk hands-on lab berupa file pdf, dan dapat diunduh langsung ke sini.

Persyaratan hardware dan software

Dalam pembahasan berikut, saya menggunakan:

  1. Satu komputer running Windows Server 2008 standar edition/enterprise edition (x86 atau x64), berperan sebagai domain controller sekaligus DNS Server dari domain wirecat.com, dengan nama komputer DC01, dengan IP Address: 192.168.100.1/24
  2. Satu komputer running Windows Vista Ultimate, menjadi workstation dari domain wirecat.com, memiliki IP Address 192.168.100.2/24.

Kedua komputer tersebut bisa saja dalam bentuk virtual PC.

 

Membuat Custom Administrative Tool untuk me-monitor efek dari QoS

Kita awali  dengan membuat suatu custom MMC console yang berisi sejumlah network monitoring tools. Kita kemudian menambahkan snap-in baru, yaitu Reliability and Performance monitoring snap-in. Kita kemudian menggunakan tool ini untuk memonitor total bytes/sec yang dikirimkan antara DC01 dan Vista01 baik sebelum maupun setelah policy untuk QoS diterapkan.

Jalankan perintah berikut dari DC01 sebagai Administrator.

1. Gunakan komputer DC01.

2. Klik Start, pada kotak Start Search, ketikkan MMC dan kemudian tekan ENTER.

3. Pada menu File, klik Add/Remove Snap-in.

4. Pada Add or Remove Snap-ins, pada Available snap-ins list, klik Reliability and Performance Monitor, klik Add, dan kemudian klik OK.

clip_image002

5. Pada Console1 – [Console Root], buka Reliability and Performance (Local), buka Monitoring Tools, dan kemudian klik Performance Monitor.

clip_image004

6. Pada panel contents, klik-kanan area grafik putih, dan kemudian klik Add Counters.

clip_image006

7. Pada kotak dialog Add Counters, pada list Available Counters, buka Network Interface, dan kemudian klik Bytes Total/sec, klik Add, dan kemudian klik OK.

clip_image008

8. Pada Performance Monitor, klik ganda active counter.

9. Pada kotak dialog Performance Monitor Properties, pada list Scale, klik 0.001 dan kemudian klik OK.

10. Pada Console1 – [Console Root], klik File, dan kemudian klik Save As.

11. Pada kotak dialog Save in, pilih Desktop, pad File Name, ketikkan Network Activity dan kemudian klik Save.

12. Biarkan Network Activity terbuka dan di-maximized.

Membuat dan men-share folder baru pada DC01

Pada tahapan HOT Lab selanjutnya adalah kita membuat sebuah shared folder pada DC01.

Jalankan perintah berikut pada computer DC01 sebagai Wirecat\administrator.

1. Beralih ke DC01.

2. Log on ke DC01 sebagai wirecat\administrator.

3. Klik Start, dan kemudian klik Computer.

4. Pada panel Folders, klik-ganda Local Disk (C:).

5. Pada menu File, pilih New, dan kemudian klik Folder.

6. Ketikkan Public dan kemudian tekan ENTER.

7. Klik-kanan Public, dan kemudian klik Share.

8. Pada dialog File Sharing, ketikkan Everyone dan klik Add.

9. Klik Share, dan kemudian klik Done.

 

Melakukan tes upload

Pada tahapan ini, kita menjalankan tes upload NetBIOS ke file share yang kita telah buat pada tahapan sebelumnya, dan dengan menggunakan monitoring tools kita dapat melakukan observasi network utilization. Agar dapat melakukan monitoring network utilization dengan efektif, kita harus dengan cepat berpindah antara dari DC01 ke Vista01.

Jalankan perintah berikut pada Vista01 sebagai Administrator.

1. Jalankan computer Vista01.

2. Buka Command Prompt.

3. Pada window Command Prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Saat telah selesai dilakukan, biarkan window command prompt tetap terbuka.

copy /y C:\Windows\*.* \\DC01\Public

4. Beralih ke computer DC01.

5. Gunakan kembali Network Activity, dan pilih Performance Monitor untuk mengobservasi Last dan Maximum number dari Bytes Sent/sec yang dilaporkan, dan lebih baik jika pada pilihan grafik garis (line) diubah menjaadi Histogram bar, seperti pada gambar berikut.

clip_image010

clip_image012

Catatan: Bergantung pada kondisi jaringan yang kita miliki, kecepatan transfer dapat bervariasi.

Membuat sebuah QOS Policy untuk managed desktops

Pada latihan berikutnya, kita akan membuat sebuah QoS rule. Kita juga akan mebuat sebuah Organizational Unit baru dan mengkorespondensikannya dengan Group Policy object. Kita juga akan mengkonfigurasi Group Policy object baru untuk melakukan deploying sebuah policy-based QoS rule yang membatasi pengiriman lalulintas data yang dikirim ke 445 pada komputer yang spesifik sebesar 64KBPS. Policy ini digunakan hanya untuk keperluan latihan saja.

Pembatasan terhadap Port 445 secara umum dapat menyebabkan penurunan performa yang signifikan saat terjadi akses ke resource jaringan. Sebagai tambahan, pada latihan ini terdapat pembatasan komunikasi data hanya ke satu alamat IP yang spesifik saja. Pada deployment yang aktual, kita dapat melakukannya terhadap satu group alamat IP, seperti subnet, dengan memasukkan nilai alamat networknya.

Jalankan langkah-langkah berikut pada komputer DC01 sebagai Administrator.

1. Beralih ke komputer DC01.

2. Klik Start> Administrative Tools, dan kemudian klik Group Policy Management.

3. Pada Group Policy Management, buka Forest: Wirecat.com, buka Domains, klik-kanan pada Wirecat.com, dan pilih New Organizational Units seperti pada gambar berikut, beri nama Organizational Units (OU) tersebut: QOS Clients.

clip_image014

Kemudian klik-kanan OU QOS Clients, pilih Create a GPO in this domain, and Link it here... Beri nama GPO tersebut: QOS Clients Policy

clip_image016

4. Klik-kanan QOS Clients Policy, lalu pilih Edit, seperti pada gambar berikut.

clip_image018

5. Pada Group Policy Management Editor, buka Computer Configuration, buka Policies, buka Windows Settings, dan kemudian klik Policy-based QoS.

6. Pada menu Action, klik Create new policy.

clip_image020

7. Lengkapi wizard Policy-based QoS dengan menggunakan informasi dari tabel berikut.

Setting

Value

Policy name:

File Transfer Bandwidth Throttling

Specify DSCP Value

Unchecked

Specify Throttle Rate:

Checked

Throttle Rate:

64KBps

Applications:

All applications

Source IP Address

Any source IP address

Destination IP Address

192.168.100.1

Protocol

TCP

Source Port

Any source port

Destination

Port 445

 

Dalam gambar, langkah-langkah setingnya sebagai berikut:

clip_image022

clip_image024

clip_image026

clip_image028

8. Dan jangan lupa untuk memindahkan (move) komputer Vista01 dari default kontainernya di container Computers ke OU QOS Clients

9. Jalankan perintah gpupdate /force dari command line di komputer DC01.

Menjalankan test upload untuk bandwidth throttling policy baru

Pada tahapan ini, kita akan menerapkan bandwidth throttling policy dan melakukan kembali tes transfer file, dan membandingkan hasil dengan tes sebelumnya. Kita juga jangan lupa untuk menggunakan perintah GPUPDATE untuk menerapkan policy tanpa harus me-restart komputer Vista01. Agar dapat meng-update computer policy pada Vista01, kita memerlukan command prompt pada level Administrator. Command prompt standard tidak memiliki autoritas untuk menjalankan perintah ini, sekalipun kita log on sebagai user yang merupakan member dari Administrators local group.

Jalankan langkah-langkah berikut pada Vista01 sebagai Administrator.

1. Kembali gunakan Vista01.

2. Pada Command Prompt, ketikkan perintah berikut dan kemudian tekan ENTER.

gpupdate /force /target:computer

3. Pada Command Prompt, ketikkan perintah berikut dan kemudian tekan ENTER.

copy /y C:\Windows\*.* \\DC01\Public

4. Dengan cepat buka kembali Network Activity, dan pilih Performance Monitor untuk mengobervasi Last dan Maximum number dari Bytes Sent/sec yang dilaporkan. Jangan lupa untuk menampilkan grafik dalam histogram bar, seperti pada gambar di bawah ini.

clip_image030

5. Pada Network Activity, pilih Reliability and Performance (Local), dan kemudian klik Network graph.

Tips: Kita tidak harus menunggu hingga proses copy seluruh file selesai. Pada window Command prompt pada Vista01, tekan CTRL+C untuk meng-cancel operasi copy jika kita telah dapatkan hasil observasinya.

6. Tutup seluruh program.

------Semoga bermanfaat------

Share this post: | | | |
Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part II)

artikel berikut merupakan kelanjutan dari artikel sebelumnya di sini.

Membuat Firewall exemption untuk domain administrators

Pada bagian berikutnya, kita perlu untuk membuat sebuah firewall exemption untuk domain administrators. Exemption ini akan memastikan bahwa seluruh koneksi yang berasal dari goup komputer tertentu diizinkan, dan tidak terpengaruh oleh inbound firewall rules. Rule ini harus dikonfigurasi secara hati-hati, karena rule ini diproses sebelum rule-rule lain baik yang bersifat block maupun deny.

Kita bisa melihat bahwa saat kita memberikan tanda cek pada check box Override block rules kita perlu untuk menyediakan nama group dari komputer yang diizinkan dalam menggunakan rule ini.

  1. Pada Group Policy Management Editor, pada menu Action, klik New Rule.
  2. Buat sebuah inbound rule baru dengan parameter sebagai berikut, dan kemudian tutup Group Policy Management Editor.

Setting

Values

Rule Type

Custom

Program

All Programs

Protocol and Ports

Any

Scope

Any

Action

Allow the connection if it is secure: Override block rules

Users and Computers

Wirecat\High Security Workstations

Profile

Domain only

Name

Secure Workstation Override

 

Verifikasi apakah Roaming user policy telah sukses diterapkan.

Untuk mengecek apakah Roaming user policy telah sukses diterapkan, kita perlu memindahkan computer client account ke OU Roaming Computers.

Jalankan langkah berikut sebagai administrator pada komputer domain controller.

1. Klik Start, Administrative Tools, dan kemudian klik Active Directory Users and Computers.

2. Pada Active Directory Users and Computers, buka Wirecat, dan buka Computers.

3. Klik –kanan pada nama computer client, klik Move, dan pada kotak dialog Move, klik Roaming Computers, dan kemudian klik OK.

Langkah selanjutnya, kita melakukan beberapa langkah berikut dari komputer client. Jalankan perintah berikut dengan menggunakan account domain administrator.

4. Beralih ke komputer client (Vista01).

5. Log on ke domain sebagai Domain Administrator, Wirecat\Administrator.

6. Klik menu Start, dan pada Start Search box, ketikkan cmd kemudian ENTER.

7. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force

clip_image002

8. Klik Start, dan pada Start Search box, ketikkan WF.msc dan kemudian klik OK.

9. Pada Windows Firewall with Advanced Security, klik Monitoring.

10. Pastikan bahwa Domain Profile is Active ditampilkan pada bagian atas dari bagian Monitoring.

clip_image004

11. Klik View active firewall rules.

clip_image006

12. Pastikan bahwa Allow Management Application (Secure) and Secure Workstation Override rules telah ada dalam daftar, lihat gambar berikut.

clip_image008

clip_image010

13. Tutup Windows Firewall with Advanced Security.

 

Konfigurasi domain isolation menggunakan WFAS

Pada bagian berikut, kita akan mengkonfigurasi sebuah Windows Firewall with Advanced Security (WFAS) policy di default domain policy. Secara default, saat WFAS di-enable maka WFAS ini akan menahan fungsi inbound connections dalam jumlah yang banyak sekali. Ini artinya saat WFAS di-enable pada computer seperti domain controller, rule-rule yang mengizinkan inbound connections harus dibuat secara manual.

Jalankan langkah-langkah konfigurasi berikut pada komputer yang menjadi domain controller dengan log on sebagai domain Administrator.

1. Kembali ke komputer domain controller.

2. Buka Group Policy Management.

3. Pada Group Policy Management, dalam panel navigasi, klik Wirecat, dan kemudian klik Default Domain Policy.

4. Pada menu Action klik Edit.

5. Pada Group Policy Management Editor pada Computer Configuration, buka Policies, buka Windows Settings, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.

6. Klik Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian pada bagian Overview, klik Windows Firewall Properties.

clip_image012

7. Pada kotak dialog Windows Firewall with Advanced Security, pada tab Domain Profile , buatlah beberapa perubahan konfigurasi sebagai berikut (lihat table) dan kemudian pada bagian Settings, klik Customize.

Setting

Values

Firewall State

On (recommended)

Inbound connections

Block (default)

Outbound connections

Allow (default)

clip_image014

8. Pada pada kotak dialog Customize Settings for the Domain Profile, pada Rule merging, pada pilihan Apply local firewall rules, klik No, pada plihan Apply local connections security rules list, klik No, dan kemudian klik OK.

clip_image016

9. Klik OK untuk menutup kotak dialog Windows Firewall with Advanced Security – LDAP://<DN>.

10. Pada Group Policy Object Editor, buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik pada Inbound Rules.

11. Dari menu Action, klik New Rule.

12. Buatlah sebuah inbound rule baru dengan parameter sebagai berikut :

Setting

Values

Rule Type

Custom

Program

All programs

Protocol and Ports

Any

Scope

Any

Action

Allow the connection

Profile

Domain only

Name

Allow all traffic

13. Pada Group Policy Object Editor, dalam panel navigasi, klik Connection Security Rules.

14. Pada menu Action, klik New Rule.

15. Buatlah sebuah connection security rule baru dengan parameter sebagai berikut:

Setting

Values

Rule Type

Isolation

Requirements

Request authentication for inbound and outbound connections

Authentication Method

Default

Profile

Domain only

Name

Request connection security

16. Tutup Group Policy Management Editor.

17. Tutup Group Policy Management.

 

Penerapan seting-seting Group Policy baru

Pada bagian ini, kita lakukan refreshing Group Policy pada komputer domain controller secara manual.

1. Klik Start, dan kemudian klik Command Prompt.

2. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force

 

Pengujian domain isolation policy

Pada bagian ini, kita akan secara manual meakukan refreshing Group Policy pada komputer client. Kita kemudian menggunakan fungsi monitoring yang built-in dari WFAS management console untuk memverifikasi bahwa IPsec security associations sedang dibuat antara client dan DC.

1. Kembali gunakan komputer Vista01.

2. Klik Start menu, dan pada Start Search box, ketikkan cmd dan kemudian ENTER.

3. Pada command prompt, ketikkan perintah berikut dan tekan ENTER. Gpupdate /force. Log off, dan kemudian log on sebagai Wirecat\JohnD.

4. Pada Start menu, pada Start Search, ketikkan WF.msc dan kemudian tekan ENTER.

5. Pada kotak dialog User Account Control, klik Continue.

6. Pada Windows Firewall with Advanced Security, klik Inbound Rules. Verifikasi bahwa Allow all traffic adalah rule yang paling pertama ada pada daftar.

7. Pada Windows Firewall with Advanced Security, klik Connection Security Rules. Verifikasi bahwa Request connection security merupakan satu-satunya rule yang terdaftar.

8. Klik Start, dan pada Start Search box, ketikkan \\DC01\sysvol dan kemudian tekan ENTER.

9. Kembali buka Windows Firewall with Advanced Security, dan pada panel navigasi buka Monitoring, buka Security Associations, dan kemudian klik Quick Mode.

10. Lakukan review terhadap content dari panel Quick Mode. Klik-ganda pada quick mode security association yang terlihat untuk melihat detailnya.

 

 

----------------Semoga bermanfaat-----------------------------

Share this post: | | | |
Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part I)

Jika kita ingin mengimplementasikan fitur-fitur security dan control baru yang ada di Windows Server 2008 untuk mengamankan komunikasi antara application server dengan workstation, atau antara sekelompok user ketika berada di corporate network untuk mengakses suatu application management dimana aplikasi ini menggunakan port number tertentu. User-user ini harus dapat mengakses application management tersebut baik ketika berada di corporate network maupun ketika berada di client site. Untuk keperluan seperti ini kita dapat menggunakan WFAS.

Penggunaan Windows Firewall with Advanced Security dapat kita manfaatkan untuk mengamankan komunikasi bagi user yang mengakses suatu aplikasi di corporate network dan juga menyediakan sarana untuk user yang sama ketika user tersebut berada di client site.

Bayangkan jika perusahaan /organisasi kita menggunakan suatu aplikasi yang terhubung ke port 3432 pada tiap komputer client. Kita harus memastikan bahwa aplikasi ini berfungsi saat user berada pada corporate network dan dimana server-server yang menjalankan aplikasi ini yang dapat data diakses melalui port number tersebut, dan dapat diakses ketika user berada pada client site. Kita juga harus memastikan tidak semua computer client dapat mengakses, hanyalah suatu group computer saja yang dapat melakukan koneksi ke server aplikasi tersebut.

Dalam artikel berikut, saya menggunakan:

  • Satu PC running Windows Server 2008 Standard edition, yang juga berfungsi sebagai domain controller dan dns server, dengan nama komputer : DC01.
  • Satu PC running windows Vista Ultimate, sebagai workstation dari domain, dengan nama komputer : Vista01
  • Nama domain yang digunakan: wirecat.com
  • Dua Global Group, yaitu High Security Server dan High Security Workstations dimana masing-masing memiliki member DC01 dan Vista01
  • Satu Domain User Account, yaitu John Doe, dengan logon name: Johnd

Membuat Public Policy untuk Roaming Users

Dari computer domain controller, dengan menggunakan Group Policy Management Editor, buat OU baru dengan nama Roaming Computers, kemudian membuat GPO dengan nama Roaming Computers WFAS Policy.

clip_image002

Mengkonfigurasi Windows Firewall with Advanced Security (WFAS)

Pada bagian ini, saya melakukan konfigurasi seting untuk WFAS untuk tiga profile berbeda—Domain, Private, and Public. Dengan mengkonfigurasi Block (default) baik pada profile Domain dan Private, kita dapat memastikan bahwa hanya protocol-protocol infrastruktur jaringan saja seperti ICMP yang akan diterima oleh komputer-komputer ini. Ini artinya juga semua aplikasi lainnya tidak dapat berfungsi. Dengan mengkonfigurasi Block all connections pada profile public, kita memastikan tidak ada koneksi yang diizinkan, termasuk protocol infrastruktur seperti ICMP, terhadap komputer-komputer ini. User masih dapat memilih profile mana yang akan mereka pakai nantinya.

Caranya :

1. Dari komputer domain controller, buka kembali Group Policy Editor, pada bagian Computer Configuration, buka Policies, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.

2. Klik Windows Firewall with Advanced Security - LDAP://<DN>,dan kemudian pada bagian Overview, klik Windows Firewall Properties.

clip_image004

3. Kemudian, pada tab Domain Profile, untuk seting State sebagai berikut: (Firewall state: On(recommended), Inbound connections: Block (default), Outbound connections (Allow (default)).

clip_image006

Kemudian pada tab Private Profile, setingnya sebagai berikut:

clip_image008

Pada tab Public Profile, setingnya sebagai berikut:

clip_image010

Membuat inbound rule untuk management application pada domain profile

Pada tahapan berikutnya, kita akan membuat suatu inbound rule untuk mengizinkan management application melakukan koneksi ke komputer-komputer. Rule ini diterapkan hanya pada domain profile, untuk memastikan bahwa management application diproteksi saat komputer ini dikoneksikan ke private atau public network.

  1. Pada Group Policy Management Editor, pada bagian navigasi , buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik Inbound Rules.
  2. Pada menu Action, klik New Rule.
  3. Buat sebuah inbound rule baru dengan parameter sebagai berikut:

Setting

Values

Rule Type

Port

Protocol and Ports

TCP 3432

Action

Allow the connection if it is secure

Users and Computers

Only allow connections from these computers: Wirecat\High Security Servers

Profile

Domain only

Name

Allow Management Application (Secure)

Sebelumnya, pada domain controller kita bisa membuat sebuah group (global group) yang berisi komputer-komputer yang menjalankan management application. Dalam kasus ini, saya menggunakan nama group-nya High Security Servers, seperti ketika diisikan pada bagian User and Computers seperti pada gambar berikut:

clip_image012

 

…to be continued………………………………………………………….

Share this post: | | | |