Bobby Primasta

Terkadang ini pun jadi pertanyaan dan masalah pada saat kita mengimplementasikan Active Directory, yaitu Port2 apa saja yang

dibutuhkan AD, agar dari user/computer bisa access dan replikasi antar server pun tetap berjalan dengan baik. Terkadang ini ber

tentangan dengan orang security biasanya kalau kita banyak membuka port-port tanpa alasan yang jelas. Nah kita bisa pakai

referensi dari Microsoft langsung berdasarkan link ini.

Adapun port port ini berjalan pada AD dengan Operating system 2003, 2008 dan 2008 R2. Ada port range besar juga yang harus kita

buka dari 1025-5000 untuk Windows 2003 dan Port 49152 - 65535 (TCP) untuk Windows Server 2008 dan 2008 R2. Port besar ini apabila

kita tidak buka, yang sering kali terjadi adalah failed replication, terkadang bisa terkadang gagal. sebaiknya adalah dibuka atau bisa

config restricted port(membatasi port-port yang dibuka pada AD bisa dilihat di link berikut ini).

Ini juga sering terjadi setelah Implementasi, user melakukan hardening, sehingga banyak sekali port

akan di tutup, sebelum itu ditutup, sebaiknya kita info terlebih dahulu.

Semoga Membantu ya Implementasi nya.

Terima kasih.

Share this post: | | | |

Mungkin untuk UAT ini, biasa nya test yang bisa dilakukan bermacam2, dan juga setiap company ataupun perusahaan

punya default (atau dasar) mereka masing-masing. UAT ini harus dilakukan untuk memastikan bahwa AD yang sudah kita

implementasikan berfungsi dengan baik.

Nah disini saya mau share sedikit fungsi - fungsi yang ada di dalam AD yang harusnya berjalan.

Selain test diatas, juga biasa dilakukan untuk test tambahan dibawah ini :

1. Join Domain Computer ( PC / Server ). Coba lakukan juga dari cabang2, karena kalau

    kita hanya melakukannya dari pusat, biasanya ada kemungkinan tidak bisa karena ada firewall

    dari pusat ke cabang atau cabang ke pusat yang harus di buka port2 nya.

2. Update DNS record. create host A, mx, atau test yang lainnya juga.

3. Biasa nya coba test juga untuk melakukan telnet 389 (LDAP), 3268 (global catalog),

53 (DNS), dan port AD lainnya.

4. Test juga group policy di client, pastikan juga semua berjalan sesuai dengan keinginan kita/user.

Semoga Membantu Teman - Teman Sekalian ya baseline dari saya.

Terima kasih.

Share this post: | | | |

Untuk Active Directory sendiri setelah kita bangun dengan baik, adapun tahapan maintenance nya,

terkadang kita lupa ataupun "let it be" istilahnya biarkan saja, toh semuanya telah berjalan dengan baik

baik saja, akan tetapi hal tersebut salah, karena AD kalau tidak di monitoring dengan baik maka apabila

terjadi sesuatu maka aplikasi yang ada di atas nya akan berpengaruh juga. Contoh aplikasi yang running

on top of AD, Exchange Server, Lync Server, File Server, Print Server, SQL Server, etc (yg join domain,

memakai user AD untuk setup aplikasi tesebut.

Istilahnya apabila AD nya kotor, jelek bahkan sampai mati (Down ataupun TombStone) maka kemungkinan

besar aplikasi yang berjalan diatas nya akan mengalami masalah.

Tools yang biasa saya pakai untuk Maintenance AD adalah sebagai berikut :

1. DCDIAG.exe ( untuk memonitor atau melihat healthy AD secara keseluruhan ). sebelum melakukan dcdiag,

biasanya saya akan membersihkan terlebih dahulu eventviewer yang ada pada system (Save and Close pada

tanggal kita melakukan clean up event ini)

2. Repadmin /showreps ( untuk memperlihatkan replikasi sukses terakhir kali ) (pastikan semuanya sukses)

    repadmin /replsummary ( menyimpulkan replikasi seluruh site secara keseluruhan ) (pastikan sukses)

3. Dnscmd tools ( untuk pengecekan DNS contohnya : terkadang apabila kita meremove suatu DC dikarena

kan tombstone / hardware crash, terkadang kita melakukan nya dengan cara meremove dgn tool NTDSutil.exe,

nah setelah itu kita juga masih harus melakukan pembersihan pada AD Site and Services, terhadap DC tersebut,

kemudian kita juga harus membersihkan DNS Server kita, karena terkadang Msdcs.contoso.com yang ada di DNS

server kita banyak sekali record2 yang seharusnya sudah hilang, akan tetapi masih ada di DNS kita. carefully check

1 by 1 (cek lah satu per satu).

4. Lakukanlah juga force replicate pada AD Sites and Services, agar semua DC ter-replikasi dengan baik dan meng-

hindari yang namanya TombStone ( salah satu DC tidak ter-replikasi dalam waktu 60 hari, sehingga dianggap DC

tersebut sudah tidak menjadi bagian dari AD yang ada, mau tidak mau harus kita buang.)

5. Lakukanlah juga backup berkala untuk server DC nya. bisa dilakukan dengan Windows Backup, SCDPM (backup

server apps dari Microsoft ) ataupun aplikasi backup server yang lainnya.

Untuk Manual Check, biasa nya hal ini saja sudah cukup, untuk lebih advance lagi sebenernya banyak hal lain yang

bisa kita lakukan, tapi yang diatas saya kira sudah mencukupi.

Semoga membantu untuk User yang biasa nya maintenance Windows Environmentnya sendiri. Hopefully dengan ini

AD nya terjaga, apabila ada yang ingin kalian tanyakan blast ke forum / mailing list wss-id saja, saya akan coba bantu

disana, misalnya adalah masalah ketika DCdiag ataupun repadmin, ataupun yang lainnya.

Please feel free to ask, I would love to help anytime :).

Terima Kasih.

Share this post: | | | |

Setelah Fisikal servernya tersedia, kemudian kita melakukan setting pada :

Note : semua dibuat berdasarkan desain yang telah kita buat sebelumnya

1. Site, subnet dan sitelink

2. Organizational Unit (OU).

3. Group dan User.

4. Group Policy, yang mana ini pun di pecah menjadi Default DOmain Policy, Default Domain Controller Policy,

Member Server Policy, dan juga User Policy. User policy biasanya kita buat berdasarkan organization Structure.

5. buatlah DNS Reverse Lookup berdasarkan subnet yang telah kita bagi2 juga, disini untuk Lookup DNS terbalik

atau query ip yang akan solved nama dari sebuah host.

6. biasanya setelah itu saya akan melakukan Checking setelah mengkonfigurasi atau setting semuanya pada

command prompt dcdiag, repadmin /showreps, repadmin /replsummary.

7. terakhir yang kita lakukan adalah tahapan Join Domain semua PC yang ada pada perusahaan kita atau customer

tersebut.

Adapun tahapan2 yang perlu kita siapkan sebelum melakukan join domain ke klien adalah sebagai berikut.

1. persiapkan SOP (standard operation Procedure) ataupun checklist ketika kita akan melakukan join domain tersebut

untuk copy profile dll.

2. surat tugas untuk jalan ke masing-masing klien (PC user)

3. Installer Program yang di butuhkan, seandainya ada program tambahan yang akan kita install di masing2 pc user

berdasarkan instruksi IT departemen.

4. Surat serah terima Pekerjaan, ketika engineer kita telah mengerjakan semua pekerjaan di satu wilayah tersebut.

Ini saya buat berdasarkan yang ada di lapangan dan saya sudah melakukan implementasi AD lebih dari 10 x..

Semoga bisa membantu teman2 sekalian.

Terima kasih.

Share this post: | | | |

Selanjutnya adalah membangun ADC, kurang lebih step by step nya sama dengan ketika kita membangun DC.

B.  Active Directory Additional DC Installation - (Non FSMO Holder)

1. Installation Active Directory Server ( Additional DC )

• On Windows Page, Click and Hold Windows+R

Type dcpromo, click OK

On ADDS Installation Welcome Page, Check Use advance mode installation, click Next >

On ADDS Installation Wizard Operating System Compatibilty Page, click Next >

On ADDS Installation Wizard – Choose a Deployment Configuration Page, Choose Existing Forest > Add a domain controller to an existing domain, click Next >

On ADDS Installation Wizard – Network Credentials Page, type contoso.com, on the Alternate credentials, click Set type contoso\administrator, click Next >

On ADDS Installation Wizard – Select a Domain Page, click Next >

On ADDS Installation Wizard – Select a Site Page, choose Jakarta Site, click Next >

On ADDS Installation Wizard – Additional Domain Controller Options Page, checked DNS Server and Global Catalog, click Next >

On ADDS Installation Wzard Warning Page, click Yes.

On ADDS Installation Wizard – Install from Media Page, Choose Replicate data over the network from an existing domain controller, click Next >

On ADDS Installation Wizard – Source Domain Controller Page, Choose Let the wizard choose an appropriate domain controller, click Next >

On ADDS Installation Wizard – Location for Database, Log Files and SYSVOL Page,

Database folder : C:\Windows\NTDS

Log files folder : C:\Windows\NTDS

SYSVOL folder : C:\Windows\SYSVOL, click Next >

On ADDS Installation Wizard – Directory Services Restore Mode Administrator Password Page, type

Password : P@ssw0rd (your password)

Confirm Password : P@ssw0rd (your password), click Next >

On ADDS Installation Wizard – Summary Page, click Next

On ADDS Installation Wizard Page, checked on Reboot on completion.

Setelah membangun kedua DC tersebut, kemudian kita mulai melakukan konfigurasi dari awal start dari yang paling major, ke yang terkecil.

saya akan lanjutkan ke tahap berikutnya.

Terima Kasih.

Share this post: | | | |

Selanjutnya adalah fase implementasi dimana fase ini yang akan menampilkan kita secara langsung apa yang telah kita buat

pada fase sebelumnya yaitu, fase design dan fase testing. Sebenarnya fase ini tidak begitu sulit apabila yang kita buat adalah

membangun AD baru, dikarenakan sangat banyak petunjuk cara installasi dari AD itu sendiri, dan tinggal kita aplikasikan

ataupun kalau terkadang kita kurang "pede" kita bisa melakukan lab (virtual lab) terlebih dahulu ataupun juga kita melakukan

training di berbagai institusi yang menyediakan hal tersebut (kalau saran saya "pede aja, you guys can do it ").

Best Practice AD minimum untuk implementasi nya adalah 2 DC, satu sebagai DC utama, dinamakan DC( Domain Controller),

dan satu lagi sebagai ADC ( Additional DOmain Controller / Domain Controller tambahan ). DC itu adalah pemegang Operations

Master Roles, sedangkan ADC bukan pemegang Operation Master(FSMO), bisa dilihat juga dari blog saya yang sebelumnya

mengenai pengenalan tentang Active Directory.

Yang perlu kita lakukan pada saat installasi adalah capture ( dokumentasi ), sehingga kita bisa mengetahui apa saja yang telah

kita lakukan apabila suatu saat kita akan meninjau ulang (review) dan juga kita bisa mentransfer atau memberikan kepada rekan

kita yang lain apa saja yang kita lakukan, biasakanlah untuk melakukan hal ini, karena bisa memudahkan segala sesuatu setelah

nya, dalam lingkungan Production (live) kita harus melakukan Documentation apapun yang kita lakukan, installasi ataupun

ada perubahan setting.

Kurang lebih seperti ini tahapan installasi nya : pembuatan DC dan ADC. :

A.     Active Directory Root Installation - (FSMO Holder)

1. Installation Active Directory Server

• On Windows Page, Click and Hold Windows+R

On Run Page, Type dcpromo, click OK

• On ADDS Installation - Welcome Page, Check Use advance mode installation, click Next >

• On ADDS Installation Wizard Operating System Compatibilty Page, click Next >

• On ADDS Installation Wizard – Choose a Deployment Configuration Page, choose Create a new domain in a new forest, click Next >

• On ADDS Installation Wizard – Name the Forest Root Domain Page, type contoso.com, click Next >

• On ADDS Installation Wizard – Domain NetBIOS Name Page, Type CONTOSO, click Next >

• On ADDS Installation Wizard – Set Forest Functional Level Page, choose Windows Server 2008 R2, click Next >

• On ADDS Installation Wizard – Additional Domain Controller Options Page, checked DNS Server, click Next >

• On ADDS Installation Wzard Warning Page, click Yes.

• On ADDS Installation Wizard – Location for Database, Log Files and SYSVOL Page,

Database folder : C:\Windows\NTDS

Log files folder : C:\Windows\NTDS

SYSVOL folder : C:\Windows\SYSVOL, click Next

• On ADDS Installation Wizard – Directory Services Restore Mode Administrator Password Page, type

Password : P@ssw0rd (your password)

Confirm Password : P@ssw0rd (your password), click Next >

• On ADDS Installation Wizard – Summary Page, click Next>

Demikian Kurang lebih tahapan Installasi DC (Domain Controller with FSMO), next akan berlanjut dengan ADC.

Terima Kasih.

Share this post: | | | |

Hi all,

Saya akan coba lanjutkan tahap selanjut nya, setelah lumayan lama tidak blogging saya akan menyelesaikan tahapan

Implementasi AD dari awal yang telah saya buat. Biasa nya setelah kita lakukan design penamaan dan structure dari

Group Policy, Group, User dan computer, kita kemudian akan membuat atau menyiapkan fase testing, ini biasa nya

untuk Scenario bangun baru AD( Build New AD Infrastructure ) ataupun dengan Scenario perpindahan Forest / Domain.

Mungkin teman2 sekalian akan bertanya2 tahapan testing ini untuk apa ? biasanya saya akan lakukan untuk masing2 PC

terlebih biasanya PC2 punya masing2 Aplikasi, ketika kita bangun AD baru, maka akan terjadi perpindahan Profile dari

profile user local ke user domain (user AD), terkadang ada aplikasi tidak berjalan ketika kita melakukan hal tersebut.

Baik dari workgroup atau perpindahan domain, sangat disarankan untuk melakukan testing terlebih dahulu sebelum

kita melakukan perpindahan ke semua PC.

Step by Step nya sebagai berikut untuk AD baru.

1. Siapkan list aplikasi yang akan ditest. (baiknya semua aplikasi yang user sering pakai saat ini. (baik webapps ataupun

    client server apps).

2. SIapkan PC, yang telah di install windows client yang tidak join domain sesuai dengan kondisi saat ini.

3. Kemudian Scenario testnya adalah, coba aplikasi tersebut dengan 3 kondisi

    a. Windows Client tidak join domain

    b. Windows Client Join Domain ( tidak ada Policy )

    c. Windows Client Join domain ( dengan Policy )

ketiga scenario tersebut harus bisa sukses apabila tidak sukses maka kita harus sertakan juga biasa nya team developer

sebagai pembuat aplikasi, dan kita duduk bersama2 untuk menyelesaikan masalah tersebut. Contoh masalah yang sering

muncul dan how to solved nya :

a. Aplikasi yang membutuhkan local admin : biasanya saya akan jalankan ACT, dan coba mengubah aplikasi tersebut agar

bisa berjalan sebagai admin local akan tetapi user login domain nya tidak diberikan sebagai admin local.

b. Compatibility dengan OS yang terbaru : ada pun beberapa perusahaan yang ingin mengupgrade juga OS client nya,

misalnya dari XP ke 7, sedangkan terkadang di Win 7 tidak support beberapa apps, untuk case ini harus menghubungi

vendor aplikasi tersebut apakah sudah support dengan win 7 atau tidak.

c. Java Version : biasa nya pemprograman java harus di install beberapa versi, dan satu java belum tentu mendukung

versi, meskipun yang kita install yang paling baru, contoh : yang kita install adalah versi 1.7, sedangkan apps yang bersang-

kutan membutuhkan 1.3, maka ketika client menjalankan apps tersebut tidak akan berjalan. solusinya adalah kita harus install

semua versi yang dibutuhkan dan harus berurutan dari versi yang terkecil sampai yang terbesar. 1.3, 1.4, 1.5 etc.

dan banyak lagi masalah lain yang mungkin akan kita temukan ketika proses testing aplikasi berlangsung.

Tahapan selanjut nya adalah Implementasi yang bisa sebenernya tinggal kita lakukan sesuai dengan design yang telah kita buat.

Terima kasih.

Share this post: | | | |

Berlanjut dengan yang sebelumnya 

D. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.

1. Site : kita sudah mendapatkan KP & CBNGJKT berdasarkan penamaan yang kita pakai tadi. (site digunakan oleh

client/pc/server yang join domain untuk login (authentikasi) ke server yang ada pada site tersebut, site dibuat hanya

atau ketika pada site tersebut mempunyai Server AD(minimal RODC, ADC, ataupun DC).

2. Subnet : Masukkan semua subnet list yang ada pada masing-masing site.

Contoh : KP : 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 (apabila subnet nya bisa di simpulkan (summarize)

lebih baik di summarize apabila tidak bisa maka kita harus memasukkannya 1 per 1. CBNGJKT : 192.168.100.0/24

192.168.101.0/24, 192.168.102.0/24. (subnet akan di link pada masing-masing site, maka ketika pC atau klien login

DNS akan mengecek, PC tersebut harus nya login ke Server AD yang mana.).

3. Site Link : Sitelink seperti yg dijelaskan sebelumnya untuk menghubungkan antar masing-masing site. kita sudah

mendapatkan sitelink kita berdasarkan konvensi penamaan KP-CBNGJKT dengan cost 180 (gunakan default cost)

site link juga menentukan jarak terdekat dan waktu replikasi priority). Karena cabang kita hanya satu jadi kita tidak

perlu membuat beberapa site-link.

4. OU : kegunaan utama OU ada untuk pengelompokan Objek yang di dalam AD dan untuk memberikan Policy

specific kepada setiap objek .Untuk OU sendiri seperti yang saya jelaskan sebelumnya pada penamaan, OU best

practice dari Microsoft tidak lebih dari 3 level. kita akan untuk level 1, kita akan pakai Cabang atau wilayah masing-

masing untuk level 2 kita akan pakai account apa yang digunakan, level 3 kita akan pakai specific account, atau

detail untuk masing-masing account tersebut.

Contoh :

KP

UserAccount

    Employees

ComputerAccount

ServerAccount

    Apps

ServiceAccount

AdminAccount

CBNGJKT

UserAccount

    Employees

ComputerAccount

ServerAccount

    Apps

ServiceAccount

AdminAccount

Biasa nya akan selalu ada pertanyaan, apabila semua user pada kantor pusat di letakkan pada OU Employees

bagaimana apabila kita akan membuat policy hanya untuk user marketing / helpdesk yang tidak bisa internetan ?

Penjelasannya, pada Group Policy AD, didalam masing-masing policy kita bisa bikin lebih specific lagi kepada siapa

policy itu digunakan, by default nya AD policy akan kena oleh semua user (authenticated users), nah kita tinggal

menremove default user tersebut menggantikannya dengan Group Marketing misalnya, jadi tiap group atau divisi

atau organisasi dalam suatu perusahaan akan tetap mendapatkan policy (aturan) sesuai dengan hak masing2.

5. Policy : policy sebaiknya di pecah-pecah menjadi beberapa bagian

a. Default Domain Policy (policy yang dikenakan untuk semua user, biasa nya password, wallpaper, dll)

b. Default Domain Controller Policy (Policy yang hanya dikenakan untuk Active Directory Servers, biasa nya siapa saja

yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)

c. Member Server Policy (policy yang dikenakan untuk setiap server ada, perlakuannya sedikit berbeda dengan

member komputer karena server lebih sedikit harus di lindungi seperti DC, biasa nya kurang lebih sama seperti DC

siapa saja yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)

d. Spesifik cabang atau juga spesific divisi. Ada baiknya jangan terlalu banyak membuat masing-masing divisi, contoh

helpdesk, marketing, accounting, finance, system engineer, network engineer, dan lain lain, apabila sudah terlalu

banyak seperti ini, maka ketika mendapatkan suatu masalah / problem maka akan cukup rumit untuk melakukan

troubleshooting masalah tersebut.

Biasanya saya akan membuat hanya 4/5 policy

1. Default Domain Policy,

Password

- Complexity : enabled, history : 10, length : 8, changed : 1 month.

Account lockout

- duration : 30 minutes, wrong : 5x.

USB drives storage : disabled all users

USB device (printer, cd drive) tergantung policy perusahaan better close.

Wallpaper : sama semua user.

- Run Command : disabled (mencegah user untuk otak-atik system)

- CMD command : disabled (mencegah user untuk otak-atik system)

- Control Panel : disabled (mencegah user melakukan installasi program ilegal)

- folder sharing : disabled (menggunakan folder sharing yg ada di server)

Notes : biasa nya perlu di lakukan test apps, karena ada karena beberapa policy aplikasi tertentu tidak berjalan

dengan baik. ( the more secure = the less effectiveness <—harus di seimbangkan.)

2. Default Domain Controller Policy,

3. Member Server Policy,

4. specific policy sebaiknya hanya di gunakan untuk apabila di masing-masing cabang perlu setting an proxy yang

berbeda atau untuk level direksi yang memerlukan akses lebih, selain itu sebaiknya sama. karena akan amat sangat

kompleks.

Notes

~Untuk Detail policy masing-masing nya, belum bisa saya berikan saat ini, karena cukup banyak, apabila ada yang

membutuhkan, bisa email saya ke bobby_primasta@yahoo.com mungkin saya akan bantu kirim file nya.

~Desain ini merupakan desain simple AD, yang hanya di implementasikan pada 2 cabang, mungkin berikut nya saya

juga akan memberikan desain yang lebih advanced dari ini. Keep waiting & keep reading ya guys.

~Apabila ada pertanyaan just asking aja lewat wss-id.org mailing list, atau forum, atau melalui blogs ini juga boleh

untuk desain yang di atas, maka saya akan dengan senang hati membantu.

Semoga membantu ya.

Terima kasih.

Share this post: | | | |

Terakhir dalam satu tahun ini cukup banyak proyek Active Directory yang saya kerjakan.

Mau share sedikit dengan teman – teman sekalian,

Mulai dari :

1. Bangun Baru AD dari 0.

2. Upgrade AD dari 2003 to 2008 R2 atau 2008 ke 2008 R2.

3. Migrate AD Forest with Multiple domain 2003 R2 ke 2008 R2.

dan sebagai nya :).

Yang ingin saya share mungkin dari hal yang paling simple terlebih dahulu, seperti yang pada point 1

Membangun Active Directory dari 0

Terdapat lima fase ketika kita akan membangun AD :

1. Fase Desain. (penentuan Implementasi AD yang akan dilakukan pada server pusat)

2. Fase Testing Aplikasi. (pengetestan Apps dengan policy  yang sudah kita buat)

3. Fase Implementasi (pembangunan Server Pusat).

4. Fase Staging untuk server yang di cabang.

5. Fase Piloting, dimana kita akan mencoba testing di salah satu cabang terlebih dahulu kemudian.

Kita akan bahas satu – satu untuk kelima fase ini, yang akan menentukan sukses tidak nya Active Directory

yang akan kita implementasi. Mulai dari tahap awal yang paling simple yaitu fase desain, simple akan tetapi

sangat menentukan kedepan nya.

1. Fase Desain (Design Phase).

Kurang lebih Fase desain meliputi sebagai berikut :

a. Assessment (survei).

b. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.

c. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.

d. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.

A. Assessment.

Sebelum memulai desain biasa nya kita akan melakukan assessment (survei) pada kantor yang bersangkutan.

Untuk melihat keadaan yang ada di kantor (customer tersebut) misalnya Ada berapa cabang, ada berapa

komputer dan user, kemudian kira-kira pertumbuhan pegawai mereka berapa banyak setiap tahun nya. dan

lain sebagainya.

Kita akan ambil contoh simpel, terdapat 1 Perusahaan yang mempunyai sekitar 230 karyawan, terdapat 2 kantor,

1 kantor pusat dan kantor cabang, di kantor cabang kurang lebih terdapat 150 karyawan, sedangkan pada

kantor cabang terdapat kurang lebih 80 karyawan. Dan growth Perusahaan (perkembangan perusahaan nya)

kurang lebih 30 karyawan pertahunnya.

B. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.

Setelah selesai fase awal, kita akan memulai hal berikut nya yaitu menentukan berapa banyak server yang kira2

kita butuhkan. Berdasarkan assessment kita paling sedikit kita membutuhkan 2 server untuk high availability AD

biasa nya minimum tersebut selalu saya pakai, untuk karyawan di bawah <1000 termasuk skala kecil, sehingga

kita juga tidak memerlukan spec server yang wah. Untuk Contoh ini saya akan memakai 3 server HP DL360 G7 8Gb

memory, harddisk 146gb x3 (RAID 5) untuk HA Server, 2 NIC 1Gbit, seharusnya ini sudah cukup. Bahkan untuk

perkembangan kedepannya. 3 server tersebut, akan kita lokasikan 2 di pusat untuk High Availability (HA) /

redundancy dan 1 server di cabang, karena best practice nya Microsoft untuk menempatkan 1 server lagi di cabang

minimum user >30 agar tidak mengganggu bandwidth dari cabang ke pusat ketika user melakukan login /

authentikasi.

C. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.

Untuk penamaan sendiri sebenarnya tergantung pada perusahaan yang bersangkutan, apakah mereka sudah

terdapat standarisasi penamaan (implement naming convention) ? apabila belum, maka kita bisa mengajukan /

memberi masukan ke mereka.

Contoh untuk penamaan (berdasarkan skenario kita diatas 2 cabang) :

1. Site Name : kita punya 2 site, yaitu kantor pusat dan kantor cabang. Apabila perusahaan tersebut perusahaan

asing bukan perusahaan lokal (mengutamakan bahasa inggris) kita bisa memberi nama HQ(HeadQuarters) &

BRCHJKT (Branch-Jakarta). Apabila perusahaan lokal, kita bisa memberi nama KP(kantor pusat) & CBNGJKT

(Cabang-Jakarta). Penamaan site sebaiknya sesuai dengan daerah masing-masing, karena ketika kita

troubleshooting lebih memudahkan kita untuk mencari akar permasalahannya.

2. Site-Link Name : site link singkat nya adalah penghubung antar 2 site, pada AD, ini harus di configure, karena

default konfigurasi dari Microsoft adalah Full-Mesh, apabila tidak configure maka apabila terdapat banyak cabang,

maka akan terkoneksi ke sembarang site, bukan terpusat (Star Topology). Untuk Site link biasanya kita akan

namakan sesuai dengan link yang terhubung, contohnya KP-CBNGJKT.

3. OU Name : best practice dari Microsoft adalah yang paling depan berdasarkan site masing-masing untuk

penamaan nya, contohnya ketika kita membangun AD pertama x akan terdapat default OU users, domain

controllers, computers dan lain-lain. Itu dinamakan level 1, untuk desain terbaik OU max 3 level di dalamnya.

Contoh :

KP

UserAccount

       Employees

ComputerAccount

ServerAccount

       Apps

ServiceAccount

AdminAccount

CBNGJKT

UserAccount

        Employees

ComputerAccount

ServerAccount

        Apps

ServiceAccount

AdminAccount

4. Group Name : untuk penamaan Group biasa nya tergantung penggunaannya (pengelompokannya) di dalam AD

terdapat 2 jenis Group, Security Group dan Distribution Group. Security group (grup untuk kasih permisi di file

system dan untuk distribusi email), sedangkan distribution group (grup hanya untuk pendistribusian email).

biasa nya sistem penamaannya kurang lebih SG-<organization>-01, atau DG-<organization>-01, contohnya :

untuk Direksi SG-Direksi-01 atau untuk Helpdesk DG-Helpdesk-01.

5. Computer Name : untuk penamaan komputer biasa nya berdasarkan cabang yang bersangkutan, spesifikasi

pekerjaan / organisasi nya, kemudian penomoran. atau pun juga biasa nya ada yang memakai serial number / kode

kode untuk masing-masing cabang mereka. contoh nya : KP-Direksi-01 atau CBNGJKT-IT-01.

6. User Name : untuk penamaan user biasa nya berdasarkan user firstname.lastname (namaawal.namaakhir).

karena memudahkan user juga apabila email nya terintegrasi dengan Exchange-Server. atau pun juga bisa dengan

namaawal_namaakhir. Contoh nya : bobby.primasta atau bobby_primasta.

berlanjut keblogs berikut nya, karena yang akan didiskusi kemudian agak panjang mengenai desain AD nya.

Semoga Membantu teman2 ketika implementasi.

Terima kasih.

Share this post: | | | |

Dear all, and again saya mau share sesuatu about changing your Domain Controller name, Saya coba melakukan

rename ke domain controller, basically no error atau pun sesuatu hal yang membuat Active Directory kita tidak

berjalan / Group Policy dan sebagainya, things are just normal, tapi saya miss something, tidak mengganti SYSVOL

reference name yang masih mengacu ke nama yang lama, ini menyebabkan replikasi kurang berjalan dengan lancar

pada sisi SYSVOL nya(kurang terdeteksi dikarenakan kalau kita hanya menjalankan dcdiag via CMD(command line)

dcdiag/gambar dcdiag, kurang lengkap hasil nya dan akan memunculkan test Passed Reference test, sedangkan

kalau kita melakukan dcdiag /v >c:\dcdiag.txt / gambar dcdiag /v).

Gambar DCDiag Console

Gambar DCDiag /v >C:\Dcdiag.txt

Buka ADSI Edit untuk lebih lengkap nya, ADSI Edit > Click Action > Connect To

Pada Halaman COnnection Settings, Under Select a well known Naming Context, pilih Configuration,

Klik OK

Kemudian Browse ke DC=Contoso,DC=COM > CN=System > CN=File Replication Service > CN=Domain System

Volume(SYSVOL), kita akan menemukan nama Server lama dari DC tersebut..

Untuk Solve masalah ini, kita harus melakukan perubahan pada nama tersebut, sesuai dengan nama DC

yang kita pakai sekarang ini, DC-SVR-01, klik pada nama server tersebut (tekan F2/rename).

Kemudian pada command line, kita lakukan lagi dcdiag /v > c:\dcdiag1.txt, kemudian kita check kembali

hasilnya pada Txt files. we have solved 1 problem.

Ada sedikit catatan tambahan, kemudian kita juga harus mencheck DNS Record yang ada, ternyata pada

DNS Manager > Contoso.com > _msdcs > masih terdapat Name Server yang mengacu pada nama lama,

ada beberapa cara mensolve ini, dengan cara flushdns, ataupun juga melakukan replikasi dari AD Site and

Services, ataupun manually seperti yang saya lakukan pada gambar di bawah ini :

Buka DNS Manager, Browse ke Contoso.com > _msdcs > Double click Name Server tersebut

Pada Halaman _msdcs Properties, pilih server name tersebut klik Edit

Pada Halaman Edit Name Server Record, masukkan nama DC Server nya DC-SVR-01.contoso.com,  klik

Resolve

Pastikan bahwa sudah Resolve dengan IP yang benar.

then it is done, as picture below… ^_^

Notes :

1. bisa dilihat dari Kb Microsoft , bisa mengganggu replikasi, akan tetapi tidak mendisable replikasi

(mean sometimes okay, sometimes problem), saya sempat sulit melihat problem yang terjadi, karena

di dcdiag cmd it was OKAY :(.

2. ada tambahan juga merename DC dengan menggunakan netdom.exe, yang saya kerjakan ini dengan

cara rename system properties (click kanan computer > properties > Change Settings > Change > kemudian

rename computer name tersebut.

Semoga membantu

Terima Kasih.

Share this post: | | | |

Another troubleshooting for today ^^.. hehehee.. Sudah lama saya mendapatkan error ini ketika

ngeLab, tapi belum sempat sharing. Now cuman ingin berbagi saja, so simple task, tapi kalau

nyari2 ngga ketemu juga lumayan memusingkan juga.^^.

Scenario nya, ketika kita setelah selesai Installasi Exchange Server 2010, dan akan membuka

EMC (Exchange Management Console), mendapatkan error seperti yang di bawah ini, WinRM

cannot process the request(terjadi corruption file pada WinRM, sehingga Exchange Management

Console tidak bisa melakukan inisialisasi pada pertama kalinya.

Setelah kita klik Okay akan memunculkan gambar lain seperti dibawah ini, huft… pusing,

puyeng, dan pusing. Mau testing dan lab, malah ruksak dahhh.^^

Like always, after googling, binging ^^.. hehehe. terus dapat lah beberapa forum dan blogs

sehingga mendapatkan sedikit titik terang untuk dicoba,

Notes : ngga perlu install Exchange Server yang sudah terinstall meskipun itu merupakan salah

satu solusi yang bisa menyelesaikan masalah ini. ^^.

Just do This thing :

Open Server Manager > Features > Remove Features

Pada halaman Select Features, Uncheck WinRM IIS Extension, klik Next

Pada Halaman Confirm Removal Selections, click Remove

Pada Halaman Removal Results, click Close

Kemudian coba restart server teman-teman sekalian, dan buka lagi EMC (Exchange Management

Console) hope this can solve ur problem guys,

Pada Intinya masalah ini disebabkan extension WinRM yang di install pada IIS, yang seharusnya

tidak dilakukan, sehingga menyebabkan inisialisasi gagal pada Exchange Management Console.

Semoga membantu.

Terima Kasih.

Share this post: | | | |

Ada di beberapa client mendapatkan error :

1. Masalah yang di timbulkan, ngga bisa update forefront definition, walaupun sudah di coba

    Manually / Automatically

2. Tiap x kita click check update, selalu error… dan failed to check on update.

Saya coba testing dan cari-cari juga, apa masalah nya yang sebenarnya, dan ketemu root cause

nya. Forefront Client Security itu mendapatkan update nya melalui windows update, baik lgsg ke

microsoft update atau melalui WSUS.. Problem ini disebabkan Automatic update pada sisi client

tidak di enable / tidak dijalankan.

Step by step nya :

1. Change Automatic Update dari sisi client :

2. Atau bisa Change dari Group policy enable update untuk menggunakan WSUS / download

    dari windows update.

Solved.. ^^

Status nya akan menjadi seperti ini :

Terima Kasih.

Semoga Membantu.

Share this post: | | | |

Hi Semua, apa kabar ? hehee…

Quite a long time, ngga nulis blogs, kebetulan mau berbagi tentang troubleshooting yang

based on Implementation saya di lapangan. (problem yang aneh, tapi effect nya hampir ke

user, quite annoying, meskipun bukan hal yang critical, saya sempat di marahin sama

customernya)

History nya, ketika sedang implementasi forefront d salah satu customer saya, ada beberapa

client yang status forefront Client security nya Warning, (Icon nya menunjukkan warna Orange).

Logo yang muncul seperti gambar di bawah ini :

kemudian big boss IT nya bertanya, “kenapa forefront nya minta install new Version, kalau saya

user biasa pasti terlihat sedikit mengganggu dengan ada nya warning tersebut” kemudian saya

check last forefront version, definition, critical update, semua sudah terinstall dengan baik seperti

yang ada pada gambar di bawah ini :

saya kemudian coba klik juga link Download, yang ada pada forefront clientnya, ternyata juga

sama, menunjukkan semua version terakhir yang ada.. ehmm quite confusing, saya sempat

menjelaskan ke customer “semua versi nya sudah terakhir, itu cuman bugging” tapi big boss

nya kurang mau tahu, karena kalau sebagai user, maka akan mengganggap “New Version” itu

sebuah program yang lebih update, kemudian saya coba search beberapa article, it took me

about 2 days, dan hasil nya cukup lumayan, saya mendapatkan hasil yang baik, here is the

resolve( kita butuh hotfix untuk fix problem nya, ada beberapa data yang corrupt, sehingga

forefront mengganggap data, bukan data yang terakhir.).

Hotfix nya ada disini :

http://support.microsoft.com/kb/938054

After install then fixed, most of all the clients. then the result should be like this :

Terima Kasih.

Semoga Membantu.

Share this post: | | | |

Cukup mudah untuk melakukan P2V ? hehehe… ^_^ it’s Windows Guys, everything they will make you easy ^_^

hhee. Sekarang setelah semua nya di pindahkan, saat nya untuk Turn Of Physical OS nya dan Turn ON Virtual.

dan kemudian kita periksa satu persatu, termasuk koneksi terhadap DC lain, replikasi da sebagai nya, berikut ini,

saya capture 1 persatu, yg terjadi setelah P2V untuk DC.

Status Turn OFf, pada saat sukses memindahkan, akan tetapi belum bisa di turn ON dikarenakan Physical server

masih ON.

Pada Halaman Windows Virtual Guest Login.(setelah kita mematikan Physical OS/Physical DC)

Pada saat saya melakukan P2V, yg terjadi adalah, saya kehilangan Network Adapter dan saya,

harus memasukkan manually untuk memakai IP Address static. sesuai dengan IP yg sebelum nya

agar bisa mengontak domain Controller yang laen (Additional Domain Controller )

Coba untuk Ping lagi, untuk memastikan bahwa network berjalan dengan baik (OK), terutama terhadap

domain controller yang lain.

Kemudian Check Operation master apakah sudah pindah ke VIrtual atau masih ada di Physical server nya.

dengan acara membuka Active Directory User and Computer.

Check Semua Operations Master, sudah berpindah ke Virtual yg tepat, RID,PDC, Infrastructure, Domain

Naming, dan juga Schema master.

Terakhir check juga dengan DCDIAG, click Start > Run > CMD > OK, ketik dcdiag dan enter

check all replikasi berjalan dengan baik tanpa error. Dan congratulation guys, ur P2V has been done

now, sudah selesai. ^_^. Selamat. untuk mengingatkan sekali lagi, sebelum melakukan P2V untuk

Primary domain Controller(DC with Operations Master tidak di sarankan, lebih baik pndahkan dlu ke

DC yg tanpa operations master).

Semoga bermanfaat.

Terima Kasih.

Share this post: | | | |

Sekarang saya akan menunjukan Step by step how to move Physical DC(dengan Operations Master)

ke VIrtual Machine dengan menggunakan SCVMM 2008 R2, sukses ^_^, meskipun tidak disarankan

untuk live production.

Sebelum nya saya akan menjelaskan terlebih dahulu apa yg saya pakai dalem test ini, saya memakai

3 buah Notebook ACER 4540, dengan Memori 4Gb Support for Virtualisation(kebetulan notebook laen nya

milik orang filipine, sama2 orang kantor). jadi kita test bareng2 ^_^.

Computer A = Virtual Host(Win 2008 R2 + SCVMM + Hyper  V), VM1(Win 2008 R2 + Exch 2010),

VM2(Win 2008 R2 + ADC)

Computer B = Virtual Host(Win 2008 R2 + Hyper V), VM1(Win 2008 R2 + Exch 2010 ),

VM2 (Win 2008 R2 + OCS 2007 R2)

Computer C = boot A = Windows Server 2008 R2 + DC(with operations Master),  boot B = Windows 7

(DUAL BOOT)

Dan yang saya lakukan adalah saya akan mengconvert Computer C ke Virtual

Step by step nya adalah sebagai berikut.

1. Membuka SCVMM Admin COnsole, kemudian di navigasi sebelah kanan dibawah Actions, click Convert

    Physical server(membuka VMM untuk melakukan P2V, karena p2v hanya bisa dilakukan dengan meng

    gunakan SCVMM 2008

Pada Halaman Select Source, type :

Computer name or IP Address : ocs-server01.universal.com.bn(nama server yang akan di convert)

User name : administrator (admin right untuK SCVMM )

password  : password

Domain or computer name : Universal (nama domain)

Kemudian click Next >

Pada Halaman Virtual Machine Identity, ketik

Virtual Machine name : ocs-server01 (menamakan virtual machine yg baru, bisa menggunakan nama yg beda)

Owner : Universal\administrator (kita menggunakan nama admin untuk SCVMM Account )

Pada halaman System Information, klik Scan System ( ini agar SCVMM agent untuk P2V bisa membaca

semua hardware dan software informasi yg ada di computer tersebut, yg kemudian akan di pakai untuk

perpindahan)

Setelah mendapatkan semua informasi yg ada, seperti Operating system, Hardrive, memory, Processor

dan Network Adapter yg ada, kemudian klik Next >

Pada Halaman Volume Configuration,

Disini saya hanya mengcapture system yg d C Drive, dikarenakan notebook saya cuman ada beberapa

Giga lagi, tidak cukup menampung semua nya, seandainya ada HD yg cukup bisa mencoba untuk

mengCHECK D drive juga, agar bisa mendapatkan dual boot dari Machine tersebut.

Pada halaman Virtual Machine Configuration, pilih

Number of Processor : 1

Memory : 600MB

Kita bisa memilih processor apa yg akan kita gunakan, dan memory yg kira2 bisa mensupport applikasi yg ada

(aplikasi yg saya pindahkan merupakan ADC, tdak memakan memory yg banyak, krn user nya sedikit, jadi saya

pilih 600mb memory), click Next >

Pada halaman Select Host, saya pilih Notebook saya MRBOBS-PC2.universal.com.bn (pilih host yg akan

menjadi target anda, sebaiknya sesuai dengan PRO, karena Recommended berdasarkan Virtual Host

Utilization

Pada Select Path, ketik

Virtual Machine Path : E:\VPC

Masukan drive dan folder dmana kita akan menyimpan Virtual Machine tersebut,

Pada halaman Select Networks, pilih

Network Adapter 1 : External

Network Adapter 2 : External(dmana akan terkoneksi ke NIC PC saya sebagai gateway untuk keluar)

Pada halaman Additional Properties, pilih

Action when physical server starts : Never automatically turn on the virtual machine, dikarenakan ketika

kita sudah memindahkan DC ke Virtual, kita harus mematikan Virtual Host nya, apabila kita tidak mematikan

terlebih dahulu maka akan terjadi konflik SID, Computer name dan replication juga akan terjadi error dalam

Active Directory kita.

Action when physical server stop : Turn Off Virtual Machine, click Next >

Pada halaman Conversion Information, terdapat warning yg menyebutkan tidak disarankan untuk

melakukan P2V pada Domain Controller(With Operations Masters), click Check Again, dan Next >

Pada Summary, kita bisa mengexport skrip yg ada, dan apabila kita ingin menjalankan P2V tanpa

menggunakan GUI kita juga menjalankannya dengan menggunakan Script. kemudian click Create

Pada halaman Jobs kita bisa melihat process perpindahan, d mulai pada 40%, itu lah yg saya lihat pertama x

Setelah selesai, ini memakan waktu sekitar 2jam, dengan kapasitas C drive 20.2 Gb, bisa di pakai

sebagai Referensi ketika kalian juga ingin melakukan P2V, da juga tergantung applikasi yg ada

Ketika selesai jgn di di nyalakan terlebih dahulu sebelum Virtual Host dimatikan.

Demikian Artikel kedua untuk step by step P2V, sudah berhasil memindahkan DC, akan tetapi saya

harus memastikan dengan benar, bahwa semua DC baik dan terkoneksi dengan DC yg laen nya.

Semoga Bermanfaat. ^_^

Share this post: | | | |