bobby iskandar zulkarnain

Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part II)

2009-01-06T08:38:49Z

artikel berikut merupakan kelanjutan dari artikel sebelumnya di sini.

Membuat Firewall exemption untuk domain administrators

Pada bagian berikutnya, kita perlu untuk membuat sebuah firewall exemption untuk domain administrators. Exemption ini akan memastikan bahwa seluruh koneksi yang berasal dari goup komputer tertentu diizinkan, dan tidak terpengaruh oleh inbound firewall rules. Rule ini harus dikonfigurasi secara hati-hati, karena rule ini diproses sebelum rule-rule lain baik yang bersifat block maupun deny.

Kita bisa melihat bahwa saat kita memberikan tanda cek pada check box Override block rules kita perlu untuk menyediakan nama group dari komputer yang diizinkan dalam menggunakan rule ini.

Pada Group Policy Management Editor, pada menu Action, klik New Rule.
Buat sebuah inbound rule baru dengan parameter sebagai berikut, dan kemudian tutup Group Policy Management Editor.

Setting	Values
Rule Type	Custom
Program	All Programs
Protocol and Ports	Any
Scope	Any
Action	Allow the connection if it is secure: Override block rules
Users and Computers	*Wirecat*\High Security Workstations
Profile	Domain only
Name	Secure Workstation Override

Verifikasi apakah Roaming user policy telah sukses diterapkan.

Untuk mengecek apakah Roaming user policy telah sukses diterapkan, kita perlu memindahkan computer client account ke OU Roaming Computers.

Jalankan langkah berikut sebagai administrator pada komputer domain controller.

1. Klik Start, Administrative Tools, dan kemudian klik Active Directory Users and Computers.

2. Pada Active Directory Users and Computers, buka Wirecat, dan buka Computers.

3. Klik –kanan pada nama computer client, klik Move, dan pada kotak dialog Move, klik Roaming Computers, dan kemudian klik OK.

Langkah selanjutnya, kita melakukan beberapa langkah berikut dari komputer client. Jalankan perintah berikut dengan menggunakan account domain administrator.

4. Beralih ke komputer client (Vista01).

5. Log on ke domain sebagai Domain Administrator, Wirecat\Administrator.

6. Klik menu Start, dan pada Start Search box, ketikkan cmd kemudian ENTER.

7. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force

8. Klik Start, dan pada Start Search box, ketikkan WF.msc dan kemudian klik OK.

9. Pada Windows Firewall with Advanced Security, klik Monitoring.

10. Pastikan bahwa Domain Profile is Active ditampilkan pada bagian atas dari bagian Monitoring.

11. Klik View active firewall rules.

12. Pastikan bahwa Allow Management Application (Secure) and Secure Workstation Override rules telah ada dalam daftar, lihat gambar berikut.

13. Tutup Windows Firewall with Advanced Security.

Konfigurasi domain isolation menggunakan WFAS

Pada bagian berikut, kita akan mengkonfigurasi sebuah Windows Firewall with Advanced Security (WFAS) policy di default domain policy. Secara default, saat WFAS di-enable maka WFAS ini akan menahan fungsi inbound connections dalam jumlah yang banyak sekali. Ini artinya saat WFAS di-enable pada computer seperti domain controller, rule-rule yang mengizinkan inbound connections harus dibuat secara manual.

Jalankan langkah-langkah konfigurasi berikut pada komputer yang menjadi domain controller dengan log on sebagai domain Administrator.

1. Kembali ke komputer domain controller.

2. Buka Group Policy Management.

3. Pada Group Policy Management, dalam panel navigasi, klik Wirecat, dan kemudian klik Default Domain Policy.

4. Pada menu Action klik Edit.

5. Pada Group Policy Management Editor pada Computer Configuration, buka Policies, buka Windows Settings, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.

6. Klik Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian pada bagian Overview, klik Windows Firewall Properties.

7. Pada kotak dialog Windows Firewall with Advanced Security, pada tab Domain Profile , buatlah beberapa perubahan konfigurasi sebagai berikut (lihat table) dan kemudian pada bagian Settings, klik Customize.

Setting	Values
Firewall State	On (recommended)
Inbound connections	Block (default)
Outbound connections	Allow (default)

8. Pada pada kotak dialog Customize Settings for the Domain Profile, pada Rule merging, pada pilihan Apply local firewall rules, klik No, pada plihan Apply local connections security rules list, klik No, dan kemudian klik OK.

9. Klik OK untuk menutup kotak dialog Windows Firewall with Advanced Security – LDAP://<DN>.

10. Pada Group Policy Object Editor, buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik pada Inbound Rules.

11. Dari menu Action, klik New Rule.

12. Buatlah sebuah inbound rule baru dengan parameter sebagai berikut :

Setting	Values
Rule Type	Custom
Program	All programs
Protocol and Ports	Any
Scope	Any
Action	Allow the connection
Profile	Domain only
Name	Allow all traffic

13. Pada Group Policy Object Editor, dalam panel navigasi, klik Connection Security Rules.

14. Pada menu Action, klik New Rule.

15. Buatlah sebuah connection security rule baru dengan parameter sebagai berikut:

Setting	Values
Rule Type	Isolation
Requirements	Request authentication for inbound and outbound connections
Authentication Method	Default
Profile	Domain only
Name	Request connection security

16. Tutup Group Policy Management Editor.

17. Tutup Group Policy Management.

Penerapan seting-seting Group Policy baru

Pada bagian ini, kita lakukan refreshing Group Policy pada komputer domain controller secara manual.

1. Klik Start, dan kemudian klik Command Prompt.

2. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force

Pengujian domain isolation policy

Pada bagian ini, kita akan secara manual meakukan refreshing Group Policy pada komputer client. Kita kemudian menggunakan fungsi monitoring yang built-in dari WFAS management console untuk memverifikasi bahwa IPsec security associations sedang dibuat antara client dan DC.

1. Kembali gunakan komputer Vista01.

2. Klik Start menu, dan pada Start Search box, ketikkan cmd dan kemudian ENTER.

3. Pada command prompt, ketikkan perintah berikut dan tekan ENTER. Gpupdate /force. Log off, dan kemudian log on sebagai Wirecat\JohnD.

4. Pada Start menu, pada Start Search, ketikkan WF.msc dan kemudian tekan ENTER.

5. Pada kotak dialog User Account Control, klik Continue.

6. Pada Windows Firewall with Advanced Security, klik Inbound Rules. Verifikasi bahwa Allow all traffic adalah rule yang paling pertama ada pada daftar.

7. Pada Windows Firewall with Advanced Security, klik Connection Security Rules. Verifikasi bahwa Request connection security merupakan satu-satunya rule yang terdaftar.

8. Klik Start, dan pada Start Search box, ketikkan \\DC01\sysvol dan kemudian tekan ENTER.

9. Kembali buka Windows Firewall with Advanced Security, dan pada panel navigasi buka Monitoring, buka Security Associations, dan kemudian klik Quick Mode.

10. Lakukan review terhadap content dari panel Quick Mode. Klik-ganda pada quick mode security association yang terlihat untuk melihat detailnya.

----------------Semoga bermanfaat-----------------------------

Share this post: | | | |

Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part I)

2009-01-06T08:20:37Z

Jika kita ingin mengimplementasikan fitur-fitur security dan control baru yang ada di Windows Server 2008 untuk mengamankan komunikasi antara application server dengan workstation, atau antara sekelompok user ketika berada di corporate network untuk mengakses suatu application management dimana aplikasi ini menggunakan port number tertentu. User-user ini harus dapat mengakses application management tersebut baik ketika berada di corporate network maupun ketika berada di client site. Untuk keperluan seperti ini kita dapat menggunakan WFAS.

Penggunaan Windows Firewall with Advanced Security dapat kita manfaatkan untuk mengamankan komunikasi bagi user yang mengakses suatu aplikasi di corporate network dan juga menyediakan sarana untuk user yang sama ketika user tersebut berada di client site.

Bayangkan jika perusahaan /organisasi kita menggunakan suatu aplikasi yang terhubung ke port 3432 pada tiap komputer client. Kita harus memastikan bahwa aplikasi ini berfungsi saat user berada pada corporate network dan dimana server-server yang menjalankan aplikasi ini yang dapat data diakses melalui port number tersebut, dan dapat diakses ketika user berada pada client site. Kita juga harus memastikan tidak semua computer client dapat mengakses, hanyalah suatu group computer saja yang dapat melakukan koneksi ke server aplikasi tersebut.

Dalam artikel berikut, saya menggunakan:

Satu PC running Windows Server 2008 Standard edition, yang juga berfungsi sebagai domain controller dan dns server, dengan nama komputer : DC01.
Satu PC running windows Vista Ultimate, sebagai workstation dari domain, dengan nama komputer : Vista01
Nama domain yang digunakan: wirecat.com
Dua Global Group, yaitu High Security Server dan High Security Workstations dimana masing-masing memiliki member DC01 dan Vista01
Satu Domain User Account, yaitu John Doe, dengan logon name: Johnd

Membuat Public Policy untuk Roaming Users

Dari computer domain controller, dengan menggunakan Group Policy Management Editor, buat OU baru dengan nama Roaming Computers, kemudian membuat GPO dengan nama Roaming Computers WFAS Policy.

Mengkonfigurasi Windows Firewall with Advanced Security (WFAS)

Pada bagian ini, saya melakukan konfigurasi seting untuk WFAS untuk tiga profile berbeda—Domain, Private, and Public. Dengan mengkonfigurasi Block (default) baik pada profile Domain dan Private, kita dapat memastikan bahwa hanya protocol-protocol infrastruktur jaringan saja seperti ICMP yang akan diterima oleh komputer-komputer ini. Ini artinya juga semua aplikasi lainnya tidak dapat berfungsi. Dengan mengkonfigurasi Block all connections pada profile public, kita memastikan tidak ada koneksi yang diizinkan, termasuk protocol infrastruktur seperti ICMP, terhadap komputer-komputer ini. User masih dapat memilih profile mana yang akan mereka pakai nantinya.

Caranya :

1. Dari komputer domain controller, buka kembali Group Policy Editor, pada bagian Computer Configuration, buka Policies, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.

2. Klik Windows Firewall with Advanced Security - LDAP://<DN>,dan kemudian pada bagian Overview, klik Windows Firewall Properties.

3. Kemudian, pada tab Domain Profile, untuk seting State sebagai berikut: (Firewall state: On(recommended), Inbound connections: Block (default), Outbound connections (Allow (default)).

Kemudian pada tab Private Profile, setingnya sebagai berikut:

Pada tab Public Profile, setingnya sebagai berikut:

Membuat inbound rule untuk management application pada domain profile

Pada tahapan berikutnya, kita akan membuat suatu inbound rule untuk mengizinkan management application melakukan koneksi ke komputer-komputer. Rule ini diterapkan hanya pada domain profile, untuk memastikan bahwa management application diproteksi saat komputer ini dikoneksikan ke private atau public network.

Pada Group Policy Management Editor, pada bagian navigasi , buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik Inbound Rules.
Pada menu Action, klik New Rule.
Buat sebuah inbound rule baru dengan parameter sebagai berikut:

Setting	Values
Rule Type	Port
Protocol and Ports	TCP 3432
Action	Allow the connection if it is secure
Users and Computers	Only allow connections from these computers: Wirecat\High Security Servers
Profile	Domain only
Name	Allow Management Application (Secure)

Sebelumnya, pada domain controller kita bisa membuat sebuah group (global group) yang berisi komputer-komputer yang menjalankan management application. Dalam kasus ini, saya menggunakan nama group-nya High Security Servers, seperti ketika diisikan pada bagian User and Computers seperti pada gambar berikut:

…to be continued………………………………………………………….

Share this post: | | | |

Replication- Time Synchronization

2008-12-22T09:21:42Z

Sejumlah artikel yang terkait dengan replication akan saya rencanakan hadir dalam blog saya. Berikut adalah artikel pertama dari replication, tentang Time synchronization.

Agar replikasi dapat berlangsung secara baik, penting untuk seluruh domain controller pada suatu domain / forest untuk memiliki sistem waktu yang sama. Alasannya adalah untuk Kerberos, jika terdapat domain controller yang tidak sinkron dalam waktu lebih dari 5 menit saja, autentikasi akan gagal dilakukan.

Windows Time Service merupakan tool yang disediakan Microsoft untuk menjaga konsistensi keseluruhan domain atau forest agar tetap berada momen waktu yang sama. Windows Time Services menggunakan sistem keanggotaan yang hirarki untuk member dari domain AD DS dan forest, dengan mesin yang menjadi PDC Emulator Master role sebagai lokasi utama untuk informasi waktu. Sistem waktu yang digunakan pada top level tidak perlu disinkronisasi dari manapun- sinkronisasi hanya penting dilakukan di dalam domain, seluruh membernya memiliki kesamaan dalam persepsi waktu, tidak peduli apakah waktu yang dipakai itu waktu yang aktual atau tidak.

Dari bawah ke atas, hirarki tersebut terlihat seperti berikut:

Workstation dan server-server yang bukan domain controllers akan mensinkronisasikan waktunya dengan domain controller saat logon ke domain.
Domain controllers akan mengontak domain controller yang berperan sebagai PDC Emulator operation master role untuk domain mereka masing-masing untuk rujukan waktu yang digunakan (current time).
Tiap domain dalam forest dengan multiple domains akan merujuk ke PDC emulator operations master- yang menjadi domain controller pada root forest.

Kita dapat melakukan domain controller yang menjadi PDC emulator operations master role dalam beberapa cara melalui command line. Pertama, kita harus memilih sumber waktu yang akan digunakan. Microsoft menyediakan host time.windows.com , yang disinkronisasikan ke U.S. Army's Atomic Clock, salah satu pilihan yang bagus. Begitu kita telah tentukan sumber waktunya, jalankan perintah berikut dari command line pada PDC emulator domain controller:

net time /setsntp: <TIMESOURCE>

Ganti <TIMESOURCE> dengan nama lengkap DNS dari sumber waktu yang kita gunakan. Sebagai contoh, jika kita menggunakan time.windows.com sebagai sumber waktu, perintah yang diketikkan menjadi :

net time /setsntp:time.windows.com

Dengan mengkonfigurasi sumber waktu untuk PDC emulator domain controller, komputer ini akan melakukan sinkronisasi dengan sumber waktunya, dia akan terus mencoba setiap 45 menit sampai sinkronisasi sukses dilakukan hingga 3 kali. Untuk selanjutnya, dia melakukan ping ke time server hanya sekali saja tiap 8 jam. Jika kita ingin memicu terjadinya time synchronization secara manual, jalankan:

w32tm /resync

Windows Time Service memerlukan outbound UDP port 123 dibuka pada firewall agar time synchronizations dapat terjadi.

--- Semoga bermanfaat ---

Share this post: | | | |

Scavenging Process

2008-12-22T08:15:28Z

Seringkali di jaringan yang menggunakan dynamic DNS, dimana user terutama yang menggunakan notebook, datang ke kantor melakukan docking notebooknya ke jaringan, Server DHCP memberikan alamat IP, dan Server DNS meregistrasikan record-nya dalam zone dns database-nya, tidak lama kemudian si user melakukan undocking notebooknya dari jaringan misalkan untuk melakukan tugas-tugas mobile keluar kantor, record notebook si user yang sebenarnya telah expired ini di DNS tidak langsung terhapus. Kita perlu melakukan penghapusan informasi yang expired ini, agar tidak menumpuk banyak seiring dengan perkembangan waktu.

Di Windows Server 2008 (dan juga pada edisi Windows 2000 dan 2003) terdapat proses scavenging yang berfungsi untuk menemukan berbagai informasi resource record DNS dinamis yang belum di update dalam kurun waktu tertentu ini dan kemudian menghapus yang telah basi (stale resource recod) untuk memastikan informasi zone DNS yang di propagasi pada interval berikutnya berisi data-data yang terkini.

Terjemahan bebas scavenging itu sendiri berarti mengais-ngais barang, sedangkan Scavenger adalah pemulung. Proses scavenging pada DNS bertujuan untuk memilah-milah resource record yang basi untuk kemudian dihapus.

Untuk mengontrol scavenging untuk seluruh zona pada server tertentu, klik-kanan nama server dari DNS Management snap-in dan pilih Set Aging/Scavenging for All Zones. Properti dari Aging/Scavenging muncul seperti pada gambar berikut.

Pada bagian pojok kanan dari gambar ini, ada pilihan untuk mengaktifkan/menon-aktifkan scavenging. Sebagai tambahan, kita juga melihat dua pilihan yang salah satunya adalah no-refresh interval, artinya adalah waktu dimana registrasi secara dinamis di set untuk read only sebelum dilakukan pemeriksaan oleh proses scavenger. Ini artinya komputer client tidak dapat melakukan registrasi ulang (re-registration) dirinya selama masa periode ini berlangsung. Pilihan lainnya adalah refresh interval, yang menyatakan jumlah waktu dari suatu record untuk tetap ada dan diizinkan untuk di refresh setelah melewati masa no-refresh interval sebelum proses scavenger menghapusnya. Secara esensial, scavenger process tidak dizinkan untuk “menyentuh” suatu record kecuali setelah kedua interval ini (no-refresh dan refresh intervals) terlewati secara penuh.

Untuk mengaktifkan scavenging, beri tanda cek pada checkbox dan klik OK. Jika kita menggunakan Active Directory-integrated zones, kita akan diminta untuk konfirmasi pilihan tersebut. Klik OK sekali lagi, dan scavenging akan diaktifkan. Seperti pada gambar berikut ini:

Satu langkah lagi, kita tetap perlu untuk mengaktifkan scavenging pada nameserver, yang dapat kita lakukan dengan cara klik-kanan nama - server dalam DNS Management, pilih Properties, dan klik tab Advanced.

Pada bagian bawah, beri tanda cek pada checkbox "Enable automatic scavenging of stale records," dan kemudian masukkan periode waktunya.

Jika kita ingin mengontrol scavenging dan intervalnya untuk tiap-tiap zone, bias kita lakukan dengan cara klik-kanan zone dalam zone dalam DNS Management dan pilih Properties. Kemudian lakukan navigasi ke tab General dan klik tombol Aging.

Kita dapat melihat timestamp dalam format yang mudah dibaca dengan cara klik-kanan suatu record dalam DNS Management snap-in dan pilih Properties. Field timestamp record tersebut menunjukkan tanggal dan waktu record tersebut dibuat dalam DNS.

Untuk melihat record timestamp, pilih Advanced dari menu View dari console.

----- Semoga bermanfaat -----

Share this post: | | | |

Windows 7 Desktop At A Glance (Windows 7 Pre-beta Build 6801)

2008-12-16T08:48:00Z

Folks, I have delivered a presentation on MS Windows 7 on December 14 2008 on MUGI Bandung event at IMT Telkom Bandung. In that event, I spent only about 30 minutes for introducing the “Welcome to Windows 7 Desktop” to audiences.

The agenda made some important points, such as a brief history of the Windows desktop, areas for improvement and goals, showing functionality and how to explain to our users the new features using the best practices and the “coolest” way to do it.

Thanks a lot to Mr Naren and Mr Wely for their great contributions to support me with Windows 7 build 6801 pre-beta version and some presentation on MS Power Point files from PDC which is very useful and helpful.

The What and the Why…

The philosophy for Windows products is: Early and Often. If the customer’s experience is positive even the very first time they open or try a product, they will like it. That means: Customer satisfaction.

How can we use early and often to delight our customers (users)?

Back to the Future…

It is very important to look to the past—especially when it has very cool ideas that will be very practical (resurrected).

The presentation started with Windows 1.01 (1985) which showed a very rudimentary taskbar and large icons that represented minimized windows. Each window had its own toolbar, its own identity. As the first goal since the beginning was multitasking, W7 will continue having this functionality. W1.0 was not able to overlap windows; each window had to be tiled.

After some years, Windows 3.0 (1990) was released. In this version, windows were minimized to the desktop and we were able to see them at the bottom of the screen. Overlapping windows were introduced.

At last Windows 95 (1995) gave us a real taskbar with a Start Menu and notification area. Caption controls (minimize, restore, and close buttons) and the quick launch were introduced as well.

In Windows XP (2001) we were introduced to taskbar grouping, Start Menu MFU, and balloon tips.

Finally, last year an enormous change came in the form of Windows VISTA (2007) which introduced windows switching and managing, a much better searching experience, programs in a list, thumbnails, gadgets and window grouping, etc.

Areas for Improvement

Currently there are too many launch surfaces, too much redundancy, too much noise, and arranging windows involves acrobatics. Some pools showed that just the 0.21 percent of users use the taskbar on the right side of the screen!

Key Goals

The top goals are to make it easier to get to the programs and destinations we use all the time, and being able to switch to the right window quickly, without mistakes. Also, personalizing and organizing the desktop and choosing what is important should be key features. We all want to make sure that our environment is organized and comfortable.

Large, more beautiful, and dynamics Icons:

Now we can enjoy large icons of the applications we want to use. We just drag the program to the toolbar and now we can open it from this point. We can switch and launch from the icon.

Thumbnails are much better. They are bigger and we cannot just see them, but “touch them.” We can see a group of documents we have open from a program in a horizontal way and switch from the same thumbnail. We can peak at the one we want and even close from this very place. The programs from the toolbar can be rearranged as we prefer.
UI tabs in IE as TDI/MDI are now normal windows and we just go to the taskbar, one place, to launch and switch.
Jump list: We have a mini Start Menu for each application. At the bottom of the thumbnail of the Media Player is a toolbar. We just have to go to one place.

Some of Windows 7 new exciting features:

Icon

Are you excited with these beautiful icons?

Task Bar changes

There are many changes in taskbar of Windows 7. We can pin programs in task bar for easy launch, and there are no more redundant buttons from taskbar that launch applications.

The “Side Bar” is gone

Do you love sidebar? It comes in Windows Vista. Sidebar displays on right side of the desktop and carries different gadgets. The sidebar is gone in windows 7, but for anyone who loves gadgets, you can have them and they roam free across the desktop.

Calculator, WordPad and Paint are better

Calculator is equipped with some options that are useful in real life, it has several exciting features:

New user interface
Calculation history
Unit conversion
Calculation templates
Date calculations
Controls that are optimized for touch

In Windows 7 Wordpad and Paint have got office ribbons installed….

Pinning

You can still pin programs to the taskbar by dragging them or via a context menu, just like you have always done with Quick Launch. Destinations can also be pinned via a drag/drop, but they are designed to be surfaced differently as we’ll see under the Jump List section.

Jump Lists

Jump List is another feature that is also part of both the new Windows Taskbar (also in the Start Menu). Every program in Windows 7 has a jump list. It's a quick way to access files and recently opened documents or Web sites. To get a “Jump List” we can use right-click on an application on the new Windows Taskbar in Windows 7. In the pre-beta Build 6801, this feature can be found as follow, look at the picture below:

Overall a “Jump List” :

Mini Start Menu for your program
Surface key destinations and tasks
Customizable
Accessible via right-click and via drag

Thumbnail Toolbars

The new taskbar exposes a feature called Thumbnail Toolbars that surface up to seven window controls right in context of taskbar buttons. Unlike a Jump List that applies globally to a program, this toolbar is contextual to just a specific window. By embracing this new feature, Media Player can now reach a majority of people. Thumbnail Toolbars leave the taskbar uncluttered and allow relevant tasks to be conveniently accessible directly from a taskbar thumbnail. Surfacing tasks reduces the need to switch to a window.

Unfortunately, this feature is not for pre-beta build 6801, at least with toolbar thumbnail, we can use it as Remote-control for a window.

Taskbar's New Look

Opened programs reside on the Taskbar as graphic thumbnails. This feature is also not found on pre-beta version Win7 build 6801.

Remote-control for a window
Surface key commands
Up to seven buttons
Accessible from taskbar thumbnail

Custom Switchers

Automatic Arrangement

Two windows can be viewed side-by-side by dragging each window to the far left or far right of the desktop. Dragging a window to the top auto-maximizes it. This feature is also not found on this pre-beta version Win7.

New Look For Devices

Devices are now represented by photo icons.

Libraries

Libraries can be used to store and search across a variety of data. Windows explorer has a new feature of libraries. These are virtual folders that remain across different folders and even multiple networks PCs. Default libraries are for music, videos, pictures etc. So if you’re on your work laptop and you bring it home, you can play music that lives on a home PC’s drive from the laptop.

Conclusion

Windows Seven offers many improvements such as icons, jump lists, and thumbnail toolbars. Quick launch has been removed (so it will not be necessary to add shortcuts), notification icons will not be visible by default, and gadgets may be programmatically launched.

References:

“Welcome to the Windows 7 Desktop”, PDC 2008, Chaitanya Sareen, Senior Program Manager Microsoft Corporation

Share this post: | | | |

Creating Database Snapshot and Reverting From A Database Snapshot on MS SQL Server 2008

2008-11-04T07:44:00Z

Beberapa waktu lalu, ketika di acara MUGI Bandung bertempat di MIC ITB, saya memperoleh MS SQL Server 2008 versi evaluasi. Begitu dapet, belum sempat dipakai, baru sekarang ini setelah ada waktu senggang, saya mencoba menginstal edisi developer di atas Vista Ultimate. Langsung saya instal 2 instance, biar bias ngoprek seputaran infrastruktur database yang bisa dicoba-coba pada laptop saya yang hanya bermemori 2 GB saja.

Percobaan pertama adalah membuat database snapshot, untuk sekedar ingin mengetahui bagaimana implementasi database snapshot pada MS SQL Server 2008, yang sama sekali belum saya ketahui kecuali pada MS SQL Server 2005 saja.

Pada dasarnya yang dimaksud dengan database snapshot, ya sesuai dengan namanya, snapshot (jepretan kamera), yaitu database yang merupakan snapshot dari database yang riil, dengan tujuan menyediakan high availability, karena apabila diinginkan original database kembali pada kondisi tertentu yang diinginkan sesuai dengan waktu pembuatan database snapshotnya. Misalkan saya membuat database snapshot pada waktu dua hari yang lalu tepat jam 12.00 siang. Dan original database terus menerus mengalami perubahan hingga saat ini, ternyata karena satu dan lain hal, diharuskan content dari database dikembalikan kondisinya seperti saat dua hari yang lalu persis sama dengan database snapshotnya, maka saya bisa melakukan revert back to a specific time dengan modal punya database snapshotnya. Tentu saja teknik-teknik lainnya selain database snapshot juga tersedia.

Database snapshot bersifat read-only, point-in-time dan static view dari database kita. Snapshot bekerja pada level data-page, ini berarti bahwa ketika terjadi perubahan data page, original page di-copykan ke snapshot. Jika kemudian data page dimodifikasi lagi di saat yang berbeda, snapshotnya tidak mengalami perubahan, tidak aware lagi terhadap perubahan pada data page yang baru.

Gambar Database Snapshot.

Contoh manfaat database snapshot lainnya misalkan ketika kita diharuskan menyediakan database untuk diakses publik/anonymous user, dan bersifat read-only, kita bisa menyediakan database snapshot, kemudian publik mengakses database snapshot ini, tentu saja hal ini bermanfaat dalam meningkatkan aspek keamanan, karena original database-nya tidak pernah diekspos untuk publik, yang diakses hanyalah snapshotnya saja, dan itu pun readonly database.

Membangun Database Snapshot

Saya melakukan koneksi ke Default Instance, dengan autentikasi Windows, seperti gambar berikut:

Lalu saya buat database baru, saya menggunakan MS SQL Management Studio aja, lalu database ini saya beri nama Healthcare.

Database baru telah jadi, seperti pada gambar berikut:

Kemudian saya buat table baru, table yang sangat sederhana aja, terdiri atas dua kolom, dan saya beri nama ‘doctors’.

Lalu saya buat table, dengan kolom-kolomnya: docID dan Full Name, seperti pada gambar berikut:

Dan saya simpan sebagai table doctors, seperti tampak pada gambar berikut:

Kemudian agar ada isinya, table doctors ini saya isikan sejumlah data baru dengan menggunakan query dari SQL Server Management Studio.

Setelah selesai, saatnya kita membuat database snapshot dari database Healthcare ini.

Kembali pada query di SQL Server Management Studio kita bisa menggunakan sintak berikut:

CREATE DATABASE Healthcare_Snapshot
ON
(
Name = Healthcare,
FILENAME = 'C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\DATA\Test_Snapshot.mdf'
)
AS SNAPSHOT OF Healthcare

.csharpcode, .csharpcode pre { font-size: small; color: black; font-family: consolas, "Courier New", courier, monospace; background-color: #ffffff; /*white-space: pre;*/ } .csharpcode pre { margin: 0em; } .csharpcode .rem { color: #008000; } .csharpcode .kwrd { color: #0000ff; } .csharpcode .str { color: #006080; } .csharpcode .op { color: #0000c0; } .csharpcode .preproc { color: #cc6633; } .csharpcode .asp { background-color: #ffff00; } .csharpcode .html { color: #800000; } .csharpcode .attr { color: #ff0000; } .csharpcode .alt { background-color: #f4f4f4; width: 100%; margin: 0em; } .csharpcode .lnum { color: #606060; }

Hasilnya, bisa langsung kita lihat pada container Database Snapshots berikut.

Untuk memastikan apakah benar database snaphot Healthcare_Snaphot ini ReadOnly, mari kita lakukan langkah-langkah pengisian entri baru ke table doctors pada riil databasenya, yaitu database Healthcare.

Kembali pada Query di SQL Server Management Studio kita eksekusi perintah SQL berikut:

USE Healthcare

Insert into doctors values(4, 'Ananias')

Dan cek pada database Healthcare_Snapshot

Use Healthcare_Snapshot
GO
Select * from doctors

Untuk lengkapnya dapat dilihat pada gambar berikut:

Entri yang barusan kita isikan ke table doctors pada database Healthcare tidak ditemukan pada database Healthcare_Snapshot.

Reverting From A Database Snapshot

Untuk mengembalikan original database ke kondisi yang sama dengan snapshotnya, kita cukup jalankan perintah berikut:

USE Master
GO
RESTORE DATABASE Healthcare
FROM DATABASE_SNAPSHOT = 'Healthcare_Snapshot'

Setelah selesai mengeksekusi perintah di atas, kita bisa cek kembali dengan menjalankan perintah berikut (lihat pada gambar di bawah ini) untuk memastikan bahwa original database telah kembali ke kondisi semula, sama dengan database snapshotnya:

Dropping Database Snapshot

Dropping cukup dilakukan dengan perintah DROP DATABASE nama_database_snaphot

Dalam hal ini, cukup diketikkan perintah berikut:

USE master
GO
DROP DATABASE Healthcare_Snapshot
GO

Keterbatasan Dari Database Snapshot

Pertama, Database snapshot hanya bisa diimplementasikan pada Edisi Enterprise dan Developer saja dari sejumlah edisi yang ada pada SQL Server 2008.

Kedua, original database dan snapshotnya harus berada pada satu instance, jadi tidak bisa kita membuat snapshot database pada instance yang berbeda dari original databasenya. Juga kita tidak dapat membuat database snapshot untuk database master, tempdb ataupun database model.

Ketiga, kita tidak bisa melakukan drop, detach atau restore original database. Harus dilakukan penghapusan snapshot database terlebih dahulu baru dapat dilakukan sejumlah operasi tersebut.

Keempat, untuk snapshot database itu sendiri perlu diingat lagi bahwa database ini bersifat read-only, dengan isinya yang merefleksikan kondisi dari original database pada saat snapshotnya dibuat. Permission yang di-inherits dari original database ke snapshot sama sekali tidak dapat diubah, jadi jika kita melakukan perubahan permission pada original database, perubahan tersebut tidak terjadi pada database snapshotnya.

Kelima, snapshot database tidak dapat dibackup atau direstore, juga tidak dapat di-attach atau di-detach. Kita juga tidak dapat membuat snapshot database pada partisi FAT32.

Ke-enam, snaphot database tidak mendukung Full-Text Indexing, dan berbagai full-text catalog yang ada pada original database tidak akan ada pada database snapshotnya.

--------Semoga Bermanfaat--------

Share this post: | | | |

Mengaktifkan DHCP dan automatic DNS update untuk non-Windows (Linux,FreeBSD) client pada Windows Server 2003

2008-10-27T02:40:00Z

Pada jaringan berbasis Microsoft Windows, khusus sejak Windows 2000 Server hingga Windows Server 2008, peranan DHCP yang secara otomatis mengupdate entri –entri DNS untuk setiap client DHCP yang baru adalah hal biasa dalam dynamic DNS sepanjang setiap client-nya merupakan bagian dari objek Active Directory karena setiap client secara default memiliki “rights” untuk memberitahu ke DNS server tentang alamat IP baru serta hostname-nya.

Sekedar review, Right adalah action on system, berbeda dengan Permission yang berarti action on object. Contoh dari Right yang sederhana adalah Logon secara interaktif di domain controller, mengubah system waktu computer, men-shut down computer dll. Contoh sederhana dari Permission misalkan mengakses suatu shared folder, mengakses printer, dll.

Lalu bagaimana jika jaringan kita heterogenous? Terdapat beberapa client yang menggunakan system operasi non-Microsoft Windows, seperti Linux, FreeBSD atau embedded device seperti JetPrint dan lain sebagainya yang juga membutuhkan DHCP dan kita menginginkan terdapatnya automatic DNS update? Hal seperti ini tentu saja tidak dapat dilakukan karena client-client non-MS Windows ini tidak memiliki “right” untuk menulis ke dalam DNS records list.

Untuk mengatasi masalah ini, update yang diinginkan dapat terjadi dapat dilakukan pada server DHCP itu sendiri dengan menggunakan prosedur berikut:

1. Buka AD user management snap-in

2. Buat user account baru, sebagai contoh katakanlah namanya dhcpdns dan jadikan account ini sebagai member dari group DnsUpdateProxy.

3. Jangan lupa beri password ke user dhcpdns tentu saja.

4. Buka DHCP snap-in,dan pilih server yang ingin kita konfigurasi

5. Klik-kanan pada <server name /address> , dan pilih Properties

6. Kemudian pilih tab DNS

7. Beri tanda cek pada Enable DNS dynamic updates checkbox

8. Pilih Always dynamically update DNS A and PTR records

9. Kemudian pilih tab Advanced dan klik tombol Credentials

10. Kemudian berikan credentials untuk user dhcpdns yang telah kita buat pada langkah 1 sebelumnya.

------------Semoga bermanfaat------------

Share this post: | | | |

Menonaktifkan Media Sensing pada Ethernet adapter di Windows

2008-10-27T02:34:00Z

Fitur Media Sensing adalah fitur yang digunakan bagi Windows untuk melakukan sensing/pendeteksian apakah komputer terkoneksi ke jaringan yang aktif atau tidak. Hal seperti ini mulai kita temukan sejak Windows 2000, sampai dengan edisi Windows sekarang.

Dengan fitur ini, Windows melakukan “sensing” atau pengamatan status dari link sebagai “UP” atau “DOWN” sesuai dengan ketersediaan koneksi jaringan. Saat Windows mendeteksi status sebagai status “down”, maka sejumlah protocol akan di- remove dari adapter hingga terdeteksi statusnya sebagai “up” kembali.

Fitur Media Sensing berstatus aktif (enabled) secara default pada Windows kecuali pada Windows Server 2003. Tapi jika terdapat kondisi dimana kita tidak menginginkan Windows untuk tidak melakukan sensing status dari link kita dapat menonaktifkan fitur ini dari Windows Registry. Hal ini dapat dilakukan pada Windows Server 2008, Windows Vista, Windows XP, Windows Server 2003 (jika enabled) dan Windows 2000.

Prosedur berikut untuk melakukan editing Windows Registry dalam menonaktifkan fitur Media Sensing.

1. Klik Start - Search dan ketikkan “regedit” [Pada Windows XP/2003, Klik Start - RUN dan ketikkan “regedit”]. Window Windows Registry muncul.

2. Pada registry, lakukan navigasi ke registry key berikut:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters

3. Pada bagian kanan, klik-kanan dan pilih New - DWORD (32-bit value) dan set namanya menjadi “DisableDHCPMediaSense” serta berikan nilai (value) “1″. Nilai “1″ akan menonaktifkan fitur Media Sensing. Jika kita ingin aktifkan kembali, beri nilai “0” atau cukup hapus saja key ini.

------------Semoga bermanfaat------------

Share this post: | | | |

Mengaktifkan/menonaktifkan respon terhadap ICMP Type 17 address request messages pada jaringan lokal

2008-10-27T02:30:00Z

Bagaimana komputer dijaringan dapat mengetahui nilai subnet mask? Pada dasarnya komputer-komputer pada jaringan dapat mengirimkan pesan berupa ICMP Type 17 messages untuk mengetahui nilai subnet mask dari jaringan lokal. Hanya host-host yang telah dikonfigurasi untuk menjadi router atau gateway yang dapat merespon ke pesan-pesan ini.

Secara default Windows hosts tidak merespon ICMP Type 17 (Address request) messages sebagaimana yang ada dalam batasan dalam RFC 1122.

Jika kita menginginkan Windows Server kita merespon pesan-pesan ini dapat kita lakukan perubahan registry pada Windows Registry.

Perubahan registry ini berlaku untuk Windows Server 2008, Windows Vista, Windows XP, Windows Server 2003 (jika enabled) dan Windows 2000.

Prosedur berikut untuk melakukan perubahan registry agar Windows merespon ICMP Type 17 messages.

1. Klik Start - Search dan ketikkan “regedit”. Window Windows Registry muncul.

2. Pada registry, lakukan navigasi ke registry key berikut:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters

3. Pada sisi kanan, klik-kanan dan pilih New - DWORD (32-bit value) dan set namanya menjadi “EnableAddrMaskReply” kemudian set nilai (value) nya menjadi “1″ untuk mengaktifkan respon ke ICMP Type 17 Address request messages. Jika kita ingin menonaktifkan respon ini, set kembali nilai (value)-nya menjadi “0″ (default) atau hapus key ini.

------------Semoga bermanfaat------------

Share this post: | | | |

Bagaimana Menggganti Nama Windows Server 2008 Domain Controller

2008-10-27T02:26:00Z

Maaf jika pernah terdapat artikel yang membahas hal ini. Jika belum, mudah-mudahan dapat bermanfaat bagi rekan-rekan yang memerlukan info ini.

Pernahkan diantara rekan-rekan menemukan kondisi harus merubah nama domain controller? Jika kita ingin mengganti nama domain controller windows server 2008 setelah migrasi server kita dapat melakukannya dengan menggunakan utility netdom.exe. Kita perlu memastikan bahwa kita memiliki domain controller tambahan sebelum melakukan prosedur berikut. Utiliti ini merupakan builtin utility pada Windows Server 2008.

Penggantian nama domain controller (DC) hanya bisa dilakukan jika DC tidak menjalankan Microsoft’s Certificate Authority services (CA).

Prosedur yang dilakukan

Prosedurnya sebagai berikut :

Buka Command Prompt dari Start- Search>cmd dan ketikkan perintah berikut :

netdom computername CurrentComputerName/add:NewComputerName

Perintah ini akan mengupdate atribut-atribut service principal name (SPN) di Active Directory untuk komputer account ini dan me-register DNS resource records untuk nama komputer yang baru. SPN value dari komputer account tersebut harus direplikasikan ke seluruh domain controller untuk domain dan DNS resource records untuk nama komputer baru harus didistribuasikan ke seluruh DNS servers yang authoritative untuk nama domain yang terkait. Jika update dan registrasi tidak berhasil dalam menghapus nama komputer yang lama, maka komputer client tidak dapat menemukan komputer ini baik nama yang baru maupun nama yang lama.

Pastikan update untuk komputer account dan registrasi DNS sukses dilakukan kemudian ketikkan :

netdom computername CurrentComputerName/makeprimary:NewComputerName

Dan lakukan restart windows server 2008 kita.

Buka Command Prompt dari Start Search>cmd ketikkan perintah berikut :

netdom computername NewComputerName/remove:OldComputerName

Keterangan sintak perintah:

CurrentComputerName :- Nama komputer atau alamat IP dari komputer yang akan diubah namanya.
NewComputerName :- Nama baru dari komputer yang diubah namanya NewComputerName haruslah merupakan fully qualified domain name (FQDN).
OldComputerName :- Nama lama dari komputer yang diubah namanya.

------------Semoga bermanfaat------------

Share this post: | | | |

Merubah Default Time TO Live (TTL) pada Windows Server 2008 & Windows Vista

2008-10-27T02:24:46Z

Maaf bila artikel berikut berisi informasi yang sudah diketahui secara dalam oleh rekan-rekan. Semoga dapat bermanfaat bagi yang belum mengetahuinya.

Sebagaimana kita semua mengetahui, Nilai dari Time To Live (TTL) pada paket IPv4 menentukan jumlah maksimum dari link atau hop yang dapat dilewati oleh paket IPv4 sebelum ditolak. Hop merupakan jumlah dari router yang harus dilalui suatu paket yang dikirim dari host pengirim ke host penerima.

Nilai default TTL pada Windows Server 2008 dan Windows Vista adalah 128. Nilai ini pasti selalu kita temui dari hasil respon protokol ICMP saat kita sukses melakukan ping ke suatu host.

Nilai default ini sudah cukup baik dan umunya tidak diubah, namun demikian jika kita berkeinginan untuk merubahnya bisa kita lakukan melalui editing Windows Registry.

Untuk mengubah default TTL pada Windows Server 2008 dan Windows Vista,

1. Klik Start Search dan ketikkan “regedit”. Windows Registry akan muncul.

2. Dalam registry, lakukan navigasi ke registry key berikut

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

HKEY_LOCAL_MACHINE
     \SYSTEM
          \CurrentControlSet
               \Services
                    \Tcpip
                         \Parameters

3. Di sisi kanan, , klik-kanan dan pilih New - DWORD (32-bit value) dan set namanya menjadi “DefaultTTL” dan set value berapa pun antara “0″dan “255″. Set nilai dari value merupakan jumlah dari Hops atau link yang dapat dilalui paket data sebelum ditolak.

------------Semoga bermanfaat------------

Share this post: | | | |

Mengaktifkan/menonaktifkan beberapa atau seluruh kapabilitas IPv6 di Windows Vista atau Windows Server 2008

2008-10-27T02:16:35Z

Secara default seluruh fitur yang didukung oleh IPv6 berstatus aktif (enabled) dalam Windows Vista dan Windows Server 2008. Tetapi jika kita tidak menggunakan IPv6 kita tentu saja tidak perlu mengaktifkannya semua, atau bisa jadi kita hanya mengaktifkan beberapa fitur saja sehingga beberapa komponen kita non-aktifkan. Hal ini bisa kita lakukan melalui Windows Registry.

Fitur-fitur/komponen yang dapat kita kontrol dalam IPv6 dari Windows Registry berupa:

IPv6 over all non-tunnel interfaces, including LAN interfaces and Point-to-Point Protocol (PPP)-based interfaces
Default prefix policy table to prefer IPv4 to IPv6 when attempting connections
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
6to4 based interfaces
Teredo-based interfaces

Prosedur berikut untuk mengedit Windows Registry dapat kita manfaatkan untuk mengontrol kapabilitas IPv6 dalam Windows Server 2008 dan Windows Vista.

Click Start - Search dan ketikkan “regedit”. Windows Registry akan muncul.
Dalam registry, navigasi ke registry key berikut

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 \Parameters]

   HKEY_LOCAL_MACHINE
      \SYSTEM
           \CurrentControlSet
                \Services
                     \Tcpip6
                          \Parameters

3. Pada bagian kanan, klik-kanan dan pilih New - DWORD (32-bit value) dan set namanya menjadi “DisabledComponents” dan set value menjadi nilai berikut berdasarkan kebutuhan

“0″ - Enable All IPv6 Interfaces (Default)

“FF” (equivalent binary value is 11111111) - Disable All IPv6 interfaces

“2″ (equivalent binary value is 00000001)- Disable All 6to4 Interfaces

“4″ (equivalent binary value is 00000010) - Disable all ISATAP interfaces

“8″ (equivalent binary value is 00000100)- Disable all Teredo based interfaces

“10″ (equivalent binary value is 00001000)- Disable IPv6 over all non-tunnel based interfaces including LAN & PPP

“20″ (equivalent binary value is 00010000) - Default prefix policy table to prefer IPv4 over IPv6

------------Semoga bermanfaat------------

Share this post: | | | |