March 2010 - Posts
Rekan-rekan, pada hari Sabtu lalu, tanggal 27 Maret 2010, saya membawakan materi tentang Microsoft Exchange 2010 – The Next Generation Messaging and Collaboration Tech di Universitas Pasundan, Bandung.
Setelah materi introduction to MUGI, dilanjutkan dengan IT Project Management / MSF Agile Development oleh Firstman Marpaung, Microsoft.NET Concept oleh Ronald Rajagukguk, Rich Application With Silverlight oleh Agam Fuja Kurniawan, MS Exchange 2010 oleh saya sendiri, dan Windows 7 oleh Andik Susilo
Presentasi yang sebelumnya diwarnai dengan materi-materi developer dari Ronald Rajagukguk, Agam Fuja Kurniawan, agak berbeda sendiri ketika saya membawakan materi MS Exchange 2010, karena umumnya peserta merasa asing dengan MS Exchange, namun setelah mengikuti beberapa contoh demo yang saya bawakan, rasa antusias peserta terhadap teknologi messaging mulai terlihat.
Berikut beberapa screenshot saat saya membawakan materi Exchange 2010.
Sejumlah MSP di Bandung dan dari Cianjur turut hadir dalam acara ini…
Semoga acara ini dapat memicu semangat para mahasiswa Unpas dalam mendalami teknologi messaging dan collaboration nantinya….
Rekans, disaat proses instalasi Exchange 2010 untuk instalasi tipikal di atas Windows Server 2008 R2 dengan Exchange 2010 RTM version, yang akan diinstal meliputi Hub Transport Server, Client Access Server dan Mailbox Server role, dengan menggunakan command line seperti pada gambar berikut ini:
Terdapat kemungkinan kita akan mengalami kegagalan dengan pesan kesalahan sbb:
Error: The execution of: “$error.Clear(); if ($RoleStartTransportService) { start-SetupService -ServiceName MSExchangeTransport }”, generated the following error: “Service ‘MSExchangeTransport’ failed to reach status ‘Running’ on this server.”
Hal ini umum terjadi jika kita mendisable IPv6 di Local Area Connection, solusinya hanya cukup enable IPv6, restart server dan jalankan kembali perintah untuk menginstal Hub Transport role-nya saja, karena role lainnya sudah pasti sukses terinstal.
Jalankan perintahnya, sbb: Setup /mode:install /roles:ht
Atau jika instalasinya menggunakan GUI, jalankan kembali setup untuk Hub Transport rolenya.
Demikian, semoga bermanfaat….
Dear Friends,
As we know, the last step in preparing the Active Directory is to prepare our domain which is going to host Exchange Server 2010.
We type the setup /PrepareDomain at command prompt
Do you know that during the preparation of the domain, there shall be a container created at the root of the domain called "Microsoft Exchange Security Groups" ?
This container holds the following Security Groups:
- Exchange all hosted organizations
- Exchange organization administrators
- Exchange Public Folder administrators
- Exchange Recipient Administrators
- Exchange Self-Service users
- Exchange Servers
- Exchange Trusted Subsystem
- Exchange view-only administrators.
- Exchange Windows permissions.
- ExchangeLegacyInterop.
Rekan-rekan, jika saat memulai instalasi MS Exchange 2010, untuk instalasi prerequisuite, kita menggunakan perintah berikut dari command prompt:
ServerManagerCmd -i RSAT-ADDS
Dan kemudian setelah merestart server, kita lanjutkan kembali dengan menjalankan perintah berikut:
ServerManagerCmd -i Web-Server
ServerManagerCmd -i Web-ISAPI-Ext
ServerManagerCmd -i Web-Metabase
ServerManagerCmd -i Web-Lgcy-Mgmt-Console
ServerManagerCmd -i Web-Basic-Auth
ServerManagerCmd -i Web-Digest-Auth
ServerManagerCmd -i Web-Windows-Auth
ServerManagerCmd -i Web-Dyn-Compression
ServerManagerCmd -i Web-Net-Ext
ServerManagerCmd -i RPC-over-HTTP-proxy (Jika menggunakan Outlook Anywhere)
ServerManagerCmd -i Net-HTTP-Activation
ServerManagerCmd -i Desktop-Experience (Saat UM role diperlukan)
Atau dapat dibuat lebih ringkas menjadi:
ServerManagerCmd -i Web-Server Web-ISAPI-Ext Web-Metabase Web-Lgcy-Mgmt-Console Web-Basic-Auth Web-Digest-Auth Web-Windows-Auth
Web-Dyn-Compression Web-Net-Ext RPC-over-HTTP-proxy Net-HTTP-Activation Desktop-Experience
Seluruh perintah di atas diketikkan manual, dan rawan akan kesalahan/kekeliruan mengetikkan perintah, walau dapat juga menggunakan script, harus dibuatkan dulu scriptnya.
Microsoft mempermudah Exchange Administrator, dengan menyediakan sejumlah file XML (satu untuk tiap Server Role) yang mengautomatisasi instalasi seluruh software prerequisite yang terdapat pada folder Scripts di media instalasi Exchange 2010.
File-file tersebut misalkan Exchange-Hub.XML, Exchange-CAS.XML dan Exchange-MBX.XML. File-file ini dapat digunakan sebagai file input untuk aplikasi ServerManagerCmd.exe
Isi dari file Exchange-All.XML (file yang dapat digunakan untuk menginstal seluruh software prerequisite) seperti berikut:
Untuk menginstal software prerequisite untuk instalasi tipikal dari Exchange 2010, cukup gunakan perintah: ServerManagerCmd.exe -InputhPath Exchange-Typical.XML
Dengan demikian pekerjaan instalasi exchange menjadi lebih nyaman dan menyenangkan….:-))
Ok, semoga info sesaat ini dapat bermanfaat…..
Kita dapat menentukan role, services, dan feature yang terinstal di suatu server dengan mengetikkan servermanagercmd -query di command prompt. Tiap-tiap role, role service dan feature di-highlight dan diberikan tanda, seperti yang tampil dalam beberapa gambar berikut ini:
Untuk tujuan dokumentasi dari konfigurasi server, kita dapat menyimpannya ke sebuah dile text standar dengan menggunakan simbol redirection (>) seperti yang ditunjukkan berikut:
servermanagercmd -query > MyServerConf.txt
Atau bisa dalam bentuk format xml:
servermanagercmd -query > MyServerConf.xml
Ketika dibuka hasil dari file format txt tadi sebagai berikut:
Instalasi componen menggunakan ServerManagerCMd
Kita dapat menginstal role, role service, dan features dengan mengetikkan servermanagercmd -install ComponentName pada command prompt. Kita dapat menginstal subordinat component dengan memasukkan seluruh parameternya, contohnya sbb:
servermanagercmd -install fs-dfs –allsubfeatures
Perintah di atas untuk menginstal Distributed File System role service dan juga sekaligus subordinat DFS Namespaces dan DFS Replication role services.
Saat kita menginstal berbagai komponen seperti sebelumnya, ServerManagerCMD menuliskan extended logging info ke %SystemRoot%\Logs\Servermanager.log Log ini berisi info detail tiap operasi yang dijalankan oleh ServerManagerCmd. Kita dapat menuliskan info detail ke lokasi alternatif dengan menyertakan parameter -logPath atau -l. Contohnya, untuk menuliskan info ke C:\Logs\Install.log
servermanagercmd -install fs-dfs -allsubfeatures -logPath c:\logs\install.log
Removing Components
Untuk menghapus komponen yang diinstal sebelumnya, kita menggunakan perintah servermanagercmd -remove component_name
contohnya, untuk menghapus komponen DFS tadi, kita bisa menggunakan:
servermanagercmd -remove fs-dfs –allsubfeatures
Info lebih jauh tentang ServerManagerCMD ini dapat merujuk ke sini http://technet.microsoft.com/en-us/library/ee344834(WS.10).aspx
Demikian, semoga bermanfaat…
Setelah kita tambahkan inbound dan outbound rules dan menseting connection security rules for Windows Firewall, kita dapat memonitor semua itu. Buka console tree dibagian Windows Firewall with Advanced Security dan klik Monitoring.
Secara default, halaman monitoring ini menampilkan profile yang sedang aktif.
Saat kita mengekspansi console tree, kita temukan beberapa pilihan untuk monitoring :
- Firewall: Memonitor seluruh rule firewall yang aktif untuk profile-profile yang aktif . Juga memonitor firewall rule yang didistribusikan oleh GPO.
- Connection Security Rules: Memonitor seluruh connection rule yang di-enable. Juga menyediakan informasi detail tentang connection tersebut.
- Security Associations (SA): Memonitor komunikasi dari sender dan receiver, berdasarkan pada security connections rule yang didefinisikan pada saat membuat SA tersebut.
Terdapat dua tipe dalam monitoring SA : Main Mode dan Quick Mode. Keduanya menyediakan view dari tiap IP address dari tiap endpoint.
Catatan penting : Policy-policy yang dibuat dengan menggunakan snap -in IPsec Security Policy tidak dapat dimonitor dengan tool ini.
Demikianlah, sekilas info tentang Monitoring Windows Firewall and Advanced Security ini, semoga bermanfaat...
Dengan Windows Firewall rules, kita dapat menseting connection security rules. Buka console tree Windows Firewall and Advanced Security dan lihat Connection Security Rules. Pada menu Action, kita dapat mem-filter berbagai rule yang ada dengan menggunakan profile dan dengan state.
Untuk membuat connection security rule yang baru, langkah-langkahnya sebagai berikut:
1. Pilih Action, New Rule. Terdapat lima tipe connection security rule yang berbeda untuk dipilih:
· Isolation: Membatasi koneksi berdasarkan pada authentication prerequisites (sebagai contoh, health status, domain membership).
· Authentication Exemption: Tidak melakukan proses autentikasi koneksi yang berasal dari komputer tertentu.
· Server-to-Server: Mengautentikasi koneksi antar Server-server tertentu.
· Tunnel: Mengautentikasi koneksi antar komputer-komputer gateway.
· Custom: Membuat custom authentication dan endpoint criteria untuk connection security.
Pilih Custom untuk membuat custom rule dan klik Next.
2. Pilih endpoints untuk koneksi yang lebih aman. Dalam hal ini diset sebagai endpoint 1 dan endpoint 2. (Untuk tunnel endpoint, kita perlu menyediakan IP address untuk tunnel computers yang terdekat ke endpoint 1 dan endpoint 2.) Kita juga dapat mengkustomisasi tipe interface, kemudian pilihan untuk menerapkan rule ke seluruh interfaces atau ke local area network tertentu, remote access, atau wireless. Pilih seting endpoint untuk rule yang diinginkan dan klik Next.
3. Pada halaman Requirements, pilih satu dari empat pilihan:
· Request Authentication for Inbound and Outbound Connections: Autentikasi dilakukan disaat yang memungkinkan, tapi autentikasi sebenarnya tidak diperlukan.
· Require Authentication for Inbound Connections and Request for Outbound Connections: Inbound connections harus diautentikasi. Outbound connections diautentikasi ketika memungkinkan, tapi autentikasi sebenarnya tidak diperlukan.
· Require Authentication for Inbound and Outbound Connections: Baikinbound dan outbound connection harus diautentikasi.
· Do Not Authenticate: Tidak diperlukan autentikasi untuk connection.
Klik Next.
4. Pada halaman Authentication methods, pilih satu dari lima pilihan:
· Default: Menggunakan metode yang ditentukan di dalam halaman profile properties.
· Computer and User (Kerberos V5): Membatasi komunikasi untuk koneksi-koneksi yang berasal dari user dan computer yang telah join domain.
· Computer (Kerberos V5): Membatasi komunikasi untuk koneksi yang berasal dari komputer yang join domain.
· Computer Certificate: Membatasi komunikasi untuk koneksi yang berasal dari komputer yang memiliki sertifikat dari CA tertentu.
· Advanced: Memungkinkan kita dalam menentukan pilihan satu dari dua metode autentikasi. Kita juga memiliki pilihan dalam menentukan apakah metode autentikasi pertama atau yang kedua yang menjadi metode autentikasi yang bersifat pilihan (optional).
Klik Next.
5. Menentukan saat connection security rule ini diterapkan dengan memilih profile. Sekali lagi, tipe profile yang tersedia adalah Domain, Private, dan Public. Klik Next.
6. Dalam langkah terakhir, berikan nama untuk connection security rule ini dan berikan description yang berfungsi membantu dalam mengidentifikasi inbound rule ini di jaringan kita nantinya.Klik Finish.
Ketika connection security rule ini telah terbentuk, kita dapat mengubah berbagai seting yang telah kita konfigurasi sebelumna dengan cara meng-klik halaman properties di dalam panel Actions. Kita dapat juga men- disable connection security rule ini dari menu Action.
Demikianlah, semoga bermanfaat…
Jika kita membuka console tree dari Windows Firewall and Advanced Security dan memperhatikan Inbound or Outbound Rules, kita akan melihat bahwa Windows Server 2008 telah memiliki predefined rules untuk Windows Firewall. Jumlah dari rules yang didefinisikan bergantung pada role mana saja yang diinstal. Dari menu Action, kita dapat memfilter hasil berdasarkan profile, state, dan group.
Berikut langkah-langkah cara membuat inbound dan outbound rules:
1. Untuk membuat firewall rule baru, klik New Rule.
2. Saat wizard dari New Inbound/Outbound Rule muncul, pilih tipe dari rule yang akan dibuat:
- Program: rule yang mengontrol berbagai koneksi untuk suatu program
- Port: rule yang mengontrol berbagai koneksi untuk port TCP atau UDP
- Predefined: rule yang mengontrol berbagai koneksi untuk Windows experience
- Custom: rule yang dikustomisasi berdasarkan pada seluruh atau sebagian tiga tipe di atas tadi.
Pilih tipe dari custom rule (hal ini akan membuat kita dapat melihat berbagai pilihan untuk semua tipe rule yang disebutkan di awal) dan klik Next.
3. Pada tampilan selanjutnya, pilhannya adalah : terapkan (apply) rule tersebut ke seluruh program, terapkan (apply) rule tersebut ke program path (sebagai contoh : <d:\path\executable>), atau terapkan (apply) rule tersebut ke sebuah service. Kita dapat mengkustomisasi service rule dalam hal menerapkannya ke seluruh program dan services, ke service-service tertentu, atau hanya ke sebuah service tertentu saja.
Setelah kita pilih tentang apa saja yang kita inginkan untuk diterapkan ke rule ini, klik Next.
4. Pada tampilan Protocol and Ports, pilih protocol type, local port, dan remote port. (Jika kita pilih ICMP, kita dapat mengkustomisasi tipe ICMP ) Klik Next.
5. Kemudian pilih cakupan/ scope untuk rule ini. Kita dapat memilih untuk menerapkan rule tersebut ke IP address manapun, ke satu IP address,ke suatu subnet, atau ke sebuah range dari IP address. Cakupan/ scope merupakan sekumpulan untuk koneksi-koneksi yang bersifat local ataupun remote. Kita dapat juga mengkustomisasi tipe interface, memilih untuk menerapkanrule ini ke seluruh interface atau ke local area network tertentu saja, ke remote access, atau wireless. Pilih cakupan/ scope seting untuk rule yang kita miliki dan klik Next.
6. Pada tampilan berikutnya, perhatikan bahwa kita memiliki berbagai pilihan sebagai berikut:
- Allow the Connection: Mengizinkan koneksi, tidak peduli apakah koneksi ini diproteksi oleh IPSec atau tidak.
- Allow the Connection if It Is Secure: Hanya mengizinkan koneksi yang telah diautentikasi dan diproteksi oleh IPSec. Sebagai tambahan, kita dapat memilih untuk penggunaan enkripsi jika memang diperlukan. Kita juga dapat melakukan override block rules (hanya untuk inbound rules saja). Jika kita pilih Allow the Connection if It Is Secure, kita juga perlu menentukan authorized computers atau computer groups untuk inbound rules. Sebagai tambahan, kita perlu untuk memilih authorized computers jika dipilih untuk outbound rule.
- Block the Connection: Tidak menerima koneksi untuk port, service, atau program.
Pada kasus ini, pilih Allow the Connection if It Is Secure dan klik Next.
7. Pilih computer atau user yang akan diizinkan untuk melakukan koneksi ke komputer ini menggunakan inbound rule ini dan klik Next.
8. Kemudian dilanjutkan dengan pemilihan profile. Sekali lagi, tipe profile adalah Domain, Private, dan Public. Pilih profile sesuai dengan kebutuhan, klik Next.
9. Beri nama inbound rule ini dan berikan deksripsi (bersifat optioanal) yang akan membantu kita untuk mengidentifikasi inbound rule ini di jaringan kita nantinya. Klik Finish.
Setelah rule ini dibuat, kita dapat mengubah berbagai seting yang telah kita konfigurasi sebelumnya dengan cara klik halaman properties pada panel Actions. Kita dapat juga menseting pilihan yang tidak tersedia saat kita membuat rule tersebut, yaitu: Allow edge traversal. Kita dapat juga men-disable this inbound rule dari menu Action.
Semoga bermanfaat…..
Pembahasan tentang Windows Firewall with Advanced Security sudah sering diulas di blog ini, rekan-rekan dapat melihatnya banyak artikel yang membahas tentang WFAS di portal ini , dan mungkin tidak ada salahnya jika saya ulas kembali secara mendasar.
Windows Firewall terinstal dan aktif secara default. Dapatkah kita mengkonfigurasi Windows Firewall untuk meningkatkan keamanan, dan bagaimana cara melakukan kustomisasi Windows Firewall untuk dapat difungsikan di organisasi kita?
Windows Firewall with Advanced Security sangat terintegrasi secara penuh dan merupakan solusi keamanan yang dapat dikonfigurasi sesuai dengan kebutuhan. Pada dasarnya firewall ini merupakan dua solusi keamanan yang dikombinasikan: host based firewall dan IPSec. Keuntungan kedua dari Windows Firewall adalah proteksi dari serangan yang berasal dari jaringan internal. Karena semua inbound request yang menuju ke server memerlukan baik firewall maupun connection rule, sehingga server kita aman dari serangan yang berasal dari dalam jaringan.
Windows Firewall merupakan statefull firewall, yang artinya bahwa tiap paket diinspeksi dan kemudian diizinkan atau tidak diizinkan berdasarkan pada status dari paket tersebut. Hal ini ditentukan oleh Firewall rule dan Connection Security rule yang diimplementasikan oleh Windows Firewall.
Windows Firewall with Advanced Security hadir dalam bentuk preconfigured, tapi dapatkah kita menambahkan rule tambahan untuk firewall dan untuk connection ke server ? Untuk mengkonfigurasi Windows Firewall with Advanced Security, lakukan langkah-langkah berikut:
1. Dari Server Manager, pada Security Information, klik Go to Windows Firewall. (Alternatif lain kita dapat mengekspansi configuration tree di Server Manager dan pilih Windows Firewall, atau bisa juga dengan cara klik Start>Administrative Tools>Windows Firewall)
2. Pada screen overview yang menunjukkan seting-seting untuk Domain, Private dan Public profiles, klik Windows Firewall Properties.
3. Perhatikan pada bagian Properties-nya ini, Windows Firewall with Advanced Security memiliki 4 tab:
Domain Profile: Pada tab ini, kita dapat menentukan firewall behavior untuk saat komputer terkoneksi ke domain. Kita dapat mengubah firewall state (On atau Off) dan mensetting bagaimana firewall menangani koneksi inbound atau outbound (Block, Allow, atau Block All Connections). Kita dapat melakukan kustomisasi seting untuk firewall profile, termasuk dalam hal menampilkan notifikasi, perizinan respon unicast, dan merging rules. Kita dapat juga melakukan kustomisasi logging untuk profile, seting nama dan lokasi untuk log, pemilihan log size, dan pemilihan untuk logging paket-paket yang drop dan/atau yang sukses.
Private Profile: Pada tab ini, kita dapat menentukan firewall behavior untuk saat komputer terkoneksi ke private network. Kita dapat mengubah firewall state (On atau Off) dan menseting bagaimana firewall akan menangani koneksi inbound ataupun aoutbound (Block, Allow, atau Block All Connections). Kita dapat melakukan kustomisasi seting untuk firewall profile, termasuk menampilkan notifikasi, perizinan respon paket unicast, dan merging rule. Kita juga dapat melakukan kustomisasi logging untuk profile tersebut, melakukan seting nama dan lokasi untuk log tersebut, pemilihan log size, dan pemilihan untuk logging paket yang di drop dan/atau yang sukses.
Public Profile: Pada tab ini, kita dapat menentukan firewall behavior untuk saat komputer terkoneksi ke public network. Kita dapat mengubah firewall state (On atau Off) dan menseting bagaimana firewall akan menangani koneksi inbound ataupun aoutbound (Block, Allow, atau Block All Connections). Kita dapat melakukan kustomisasi seting untuk firewall profile, termasuk menampilkan notifikasi, perizinan respon paket unicast, dan merging rule. Kita juga dapat melakukan kustomisasi logging untuk profile tersebut, melakukan seting nama dan lokasi untuk log tersebut, pemilihan log size, dan pemilihan untuk logging paket yang di drop dan/atau yang sukses.
IPSec Settings: Pada tab ini, kita dapat melakukan kustomisasi IPSec default. Kita dapat mengubah dan mengkustomisasi key exchange, data protection dan authentication method. Kita bahkan dapat menseting IPSec exemptions.
Kustomisasi seting dilakukan di sini sebatas yang diperlukan saja.
Semoga bermanfaat….
Rekan-rekan, auditing merupakan satu hal penting bagi network administrator, apalagi jika dalam suatu organisasi yang cukup besar dimana terdapat sejumlah group yang menjadi Admin Branch, yang diberi tugas dalam mengelola account.
Aktivitas siapa yang melakukan create user atau delete user dalam auditing sebenarnya hal yang klasik tapi seringkali terlupakan.
Ok, dalam tulisan berikut, just to reminds for anyone who are interested in auditing, especially auditing account management, berikut langkah-langkahnya.
Kita awali dengan mengaktifkan Audit Account Management untuk level domain policy, dengan membuka snap-in Group Policy Management.
Kemudian kita lakukan sedikit editing…
Dengan membuka Properties-nya.
Dan kemudian mengaktifkan baik Success maupun Failure-nya.
Setelah klik OK, dan menutup snapi-in Group Policy Management, jalankan gpupdate /force untuk merefresh policy….as usual :))
Setelah itu kita dapat lakukan pengujian, misalkan login dengan user account lain dengan privilege Domain Admin atau Enterprise Admin, dan lakukan aktivitas pengelolaan Account, seperti melakukan pembuatan account baru dan penghapusan Account…..
…..dan kemudian kita dapat melihat rekaman/ log di Event Viewer….
Sejumlah event yang terkait dengan kategori User Account Management terlihat seperti pada gambar berikut…
Untuk mempermudah dalam melihat log yang terkait dengan Account Management, kita dapat lakukan Filtering…..
Berikut contoh event user account dibuat oleh account tertentu….
Kalau mau di copy dan di-paste ke notepad juga bisa….
Berikut contoh event terjadinya penghapusan account oleh user account tertentu…
Dan jika mau di-copy dan paste ke notepad bisa juga…
Dengan demikian mengaudit aktivitas group admin menjadi lebih mudah dan juga murah, karena tanpa harus membeli third party tools….
Semoga bermanfaat….