Dear Frens again,

Selamat siang, saya lagi mau sharing lagi, sudah lama tidak buat how to, terakhir di tahun 2010.

 

Ini saya preview dulu beberapa step nya secara garis besar di blogs saya ini,

1. Join Domain Windows Server 2012 sebagai Member Server.

2. Checking Healthy DC terlebih dahulu pada DC lamanya.

    Terdapat beberapa command, bisa di ambil juga dari blogs saya yang sebelumnya. KLIK

3. Update Schema Forest Preparation & Domain Preparation.

    Melakukan ADprep/forestprep dan adprep/domainprep, untuk pengupdate an schema.

4. Promote DC 2012 sebagai Additional DC di domain 2008 R2

5. Memindahkan Operations Master dari 2008 R2 ke DC 2012

6. Demote (buang Windows Server 2008 R2)

 

Detail File nya saya coba upload DISINI, silahkan ambil.

 

Mohon maaf sebelumnya tidak bisa upload di website wss-id, jadi saya taruh file nya di 4shared.com

 

Semoga Membantu.

 

Terima kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

Dear Friends,

 

Just want to share again untuk teman-teman diluar sana, yang ingin memenuhi compliance atau

paling tidak akan sedikit membantu meminimalisir gap (kekurangan) ketika suatu saat audit external

atau siapapun itu. Maka saya coba share apa yang saya pernah lakukan, ini ada requirement yang cukup

lumayan tapi kita pun harus mengetahui sedikit knowledge mengenai Microsoft Licensing (yg mana itu

sangat banyak sekali dan saya bukan expert di licensing)

 

Untuk Comply ke Microsoft software yang sudah kita pakai, baiknya kita check terlebih dahulu manually

dengan beberapa tools yang memang disarankan oleh MS sendiri, yaitu

1. MAPT (Microsoft Assessment Planning Toolkit) versi 8.0 adalah yg terakhir. (Gratis/Freeware)

2. SCCM (System Center Configuration Manager) versi 2012 adalah yg terakhir. (berbayar/License)

Kedua produk diatas merupakan produk punya Microsoft, sebenarnya tidak harus memakai kedua produk

tersebut pun tidak apa2, apabila memang sudah mempunyai produk Inventory lain nya.

 

Syarat (requirement) untuk installasi MAPT :

1. Butuh Active Directory(initiate installation) akan tetapi saya pernah dengar, bisa dilakukan tanpa ada AD

lewat network scanning.

2. Butuh beberapa ports yang perlu dibuka port TCP/ UDP 135(RPC) & 1024-65535.

3. Cukup persiapkan 1 PC Join to Domain, Windows 7 pun sudah cukup.

4. Local Admin / Domain admin account, untuk baca inventory / WMI.

Hasil nya akan mendapatkan semua software yang terinstall, total numbernya. dan teman-teman bisa banding

kan dengan yang sudah kita beli.

 

Semoga Membantu ya !!

 

Thank you.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

All fren Wss-id,

 

Saya mau sharing untuk all Customer Microsoft yang sudah beli software MS dengan Enterprise

Agreement atau Pun Select Agreement with Software Assurance (SA). Hopefully can help everyone

around. :). Saya jelaskan secara singkat, kalau setiap pembelian Microsoft software dengan SA, biasa nya

kita akan mendapatkan 24x7 Resolution support dan embedded with Web Support with Unlimited Case

(selama ini saya pakai untuk customer EA saya) terdapat didalamnya.

WebSupport ini typical nya, sedikit berbeda dengan 24x7, tetapi cukup useful untuk non urgent case.

1. Severity C. (respond time 8 working hours)

2. Sifat nya collect data terlebih dahulu.

3. Kalau disuruh melakukan hal urgent kita bisa minta engineer nya untuk remote, biasa nya mereka tidak

    langsung remote untuk Severity C, akan tetapi tergantung dari Engineer yang di assign adapun yang baik

    mereka akan langsung remote dari awal.

4. Jikalau mau buka Case ActiveDirectory, harus ada pembelian Windows Server lewat EA, ataupun kalau mau

buka case Exchange Server harus ada pembelian Exchange server minimal 1 buah lewat EA.

 

Saya sudah open cukup banyak case, mulai dari AD, Tombstone, FRS, FS dan banyak yang lain lagi, so far so

good, dan cukup memuaskanlah :). With this, I hope I can help alot of people out there.

 

Dan kurang lebih ini adalah cara Open Case nya by email (jgn telepon, biasa nya *** Pingpong2)

Distribution List nya Untuk Orang MS nya :


To :
1.    MSSolve Case Email : casemail@microsoft.com

2.    APAC GCR Professional Support Team : gtscpro@microsoft.com


CC :
3.    Fandy Rahardy : fandyra@microsoft.com (Orang Indonesia yang ada di Shanghai)

 

Body Email :

Dear Microsoft,


Good Evening!!
We would like to you to helping us to open the case with WebSupport Unlimited (from SA Benefit)

with SEVERITY C.  SA Access ID = _________, Agreement Number = _________.


Problem : “Cannot do Video Call from Internal to Internet & Internet to Internal”

But Internal to Internal Okay, Internet to Internet Okay.

 

My Contact Details :
Name : Bobby Primasta
Phone Number : +6287884654442
E-mail Address : bobby.primasta@mastersystem.co.id


Thank you so much for your support Mr Fandy.

Notes :

a. SA Access ID adalah SA Benefit ID untuk 24x7 support yang sudah kita aktifkan.

b. Fandy adalah Orang Ms Indonesia yang based di shanghai, biasa nya dia selalu baik bantu FOllow up case.

c. Setelah kita email, paling lambat 8 jam kerja sudah dibalas atau kita akan di telpon, jadi jangan matikan

telpon kalian.

 

Semoga Membantu ya !! :)

Terima kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

 

Terkadang ini pun jadi pertanyaan dan masalah pada saat kita mengimplementasikan Active Directory, yaitu Port2 apa saja yang

dibutuhkan AD, agar dari user/computer bisa access dan replikasi antar server pun tetap berjalan dengan baik. Terkadang ini ber

tentangan dengan orang security biasanya kalau kita banyak membuka port-port tanpa alasan yang jelas. Nah kita bisa pakai

referensi dari Microsoft langsung berdasarkan link ini.

Adapun port port ini berjalan pada AD dengan Operating system 2003, 2008 dan 2008 R2. Ada port range besar juga yang harus kita

buka dari 1025-5000 untuk Windows 2003 dan Port 49152 - 65535 (TCP) untuk Windows Server 2008 dan 2008 R2. Port besar ini apabila

kita tidak buka, yang sering kali terjadi adalah failed replication, terkadang bisa terkadang gagal. sebaiknya adalah dibuka atau bisa

config restricted port(membatasi port-port yang dibuka pada AD bisa dilihat di link berikut ini).

 

No Protocol and Port AD and AD DS Usage Type of traffic
1 TCP and UDP 389 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP
2 TCP 636 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP SSL
3 TCP 3268 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP GC
4 TCP 3269 Directory, Replication, User and Computer Authentication, Group Policy, Trusts LDAP GC SSL
5 TCP and UDP 88 User and Computer Authentication, Forest Level Trusts Kerberos
6 TCP and UDP 53 User and Computer Authentication, Name Resolution, Trusts DNS
7 TCP and UDP 445 Replication, User and Computer Authentication, Group Policy, Trusts SMB,CIFS,SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
8 TCP 25 Replication SMTP
9 TCP 135 Replication RPC, EPM
10 TCP Dynamic Replication, User and Computer Authentication, Group Policy, Trusts RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS
11 TCP 5722 File Replication RPC, DFSR (SYSVOL)
12 UDP 123 Windows Time, Trusts Windows Time
13 TCP and UDP 464 Replication, User and Computer Authentication, Trusts Kerberos change/set password
14 UDP Dynamic Group Policy DCOM, RPC, EPM
15 UDP 138 DFS, Group Policy DFSN, NetLogon, NetBIOS Datagram Service
16 TCP 9389 AD DS Web Services SOAP
17 UDP 67 and UDP 2535 DHCP DHCP, MADCAP
18 UDP 137 User and Computer Authentication, NetLogon, NetBIOS Name Resolution
19 TCP 139 User and Computer Authentication, Replication DFSN, NetBIOS Session Service, NetLogon

Ini juga sering terjadi setelah Implementasi, user melakukan hardening, sehingga banyak sekali port

akan di tutup, sebelum itu ditutup, sebaiknya kita info terlebih dahulu.

 

Semoga Membantu ya Implementasi nya.

Terima kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments
Filed under:

Mungkin untuk UAT ini, biasa nya test yang bisa dilakukan bermacam2, dan juga setiap company ataupun perusahaan

punya default (atau dasar) mereka masing-masing. UAT ini harus dilakukan untuk memastikan bahwa AD yang sudah kita

implementasikan berfungsi dengan baik.

Nah disini saya mau share sedikit fungsi - fungsi yang ada di dalam AD yang harusnya berjalan.

 

Test Event

Test Steps

Hasil yang diharapkan

Test Schema Master Holder Go to run, type regsvr32 schmmgmt.dll > ENTER and Type mmc > file > add remove snap ins, ADSchema, right click domain name > Operations Master Pastikan bahwa pemegang Schema master menunjukan kesalah satu DC dan tidak terdapat ERROR
Test Domain Naming Holder Open ADDT(Active Directory Domain and Trust) right click domain name, click Operations Master Pastikan bahwa pemegang Domain Naming master menunjukan kesalah satu DC dan tidak terdapat ERROR

Test Fungsi RID

Open ADUC(active directory User computer), right click User OU, New > User, create Test01 bisa membuat Active Directory Objek (contohnya : create user, group, OU, dll.)

Test Fungsi PDC Emulator

Open ADUC(Active Directory User and computer), Go to User OU, right click Test01 users > change password bisa mengganti user password

Test Fungsi Infrastructure

Open ADUC(Active Directory User and computer), go to User OU, right click Test01 User > Add to group, choose Server Operators bisa menambahkan user ke group, ataupun bisa juga mengubah user group ke group yang lainnya.

Test Active Directory Diagnostic

Go to eventvwr, save and clear system logs.

Go to Command Prompt, type Dcdiag > ENTER

hasil dari DCDIAG test adalah lewat (atau passed semua)

Test Active Directory Replikasi

Go to Command Prompt, type Repadmin /showrepl > ENTER
type Repadmin /replsummary > ENTER
untuk Repadmin /showrepl hasilnya all successfull, sedangkan untuk repadmin /replsummary tidak ada juga yang failed.

 

Selain test diatas, juga biasa dilakukan untuk test tambahan dibawah ini :

1. Join Domain Computer ( PC / Server ). Coba lakukan juga dari cabang2, karena kalau

    kita hanya melakukannya dari pusat, biasanya ada kemungkinan tidak bisa karena ada firewall

    dari pusat ke cabang atau cabang ke pusat yang harus di buka port2 nya.

2. Update DNS record. create host A, mx, atau test yang lainnya juga.

3. Biasa nya coba test juga untuk melakukan telnet 389 (LDAP), 3268 (global catalog),

53 (DNS), dan port AD lainnya.

4. Test juga group policy di client, pastikan juga semua berjalan sesuai dengan keinginan kita/user.

 

Semoga Membantu Teman - Teman Sekalian ya baseline dari saya.

 

Terima kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

Untuk Active Directory sendiri setelah kita bangun dengan baik, adapun tahapan maintenance nya,

terkadang kita lupa ataupun "let it be" istilahnya biarkan saja, toh semuanya telah berjalan dengan baik

baik saja, akan tetapi hal tersebut salah, karena AD kalau tidak di monitoring dengan baik maka apabila

terjadi sesuatu maka aplikasi yang ada di atas nya akan berpengaruh juga. Contoh aplikasi yang running

on top of AD, Exchange Server, Lync Server, File Server, Print Server, SQL Server, etc (yg join domain,

memakai user AD untuk setup aplikasi tesebut.

Istilahnya apabila AD nya kotor, jelek bahkan sampai mati (Down ataupun TombStone) maka kemungkinan

besar aplikasi yang berjalan diatas nya akan mengalami masalah.

 

Tools yang biasa saya pakai untuk Maintenance AD adalah sebagai berikut :

1. DCDIAG.exe ( untuk memonitor atau melihat healthy AD secara keseluruhan ). sebelum melakukan dcdiag,

biasanya saya akan membersihkan terlebih dahulu eventviewer yang ada pada system (Save and Close pada

tanggal kita melakukan clean up event ini)

2. Repadmin /showreps ( untuk memperlihatkan replikasi sukses terakhir kali ) (pastikan semuanya sukses)

    repadmin /replsummary ( menyimpulkan replikasi seluruh site secara keseluruhan ) (pastikan sukses)

3. Dnscmd tools ( untuk pengecekan DNS contohnya : terkadang apabila kita meremove suatu DC dikarena

kan tombstone / hardware crash, terkadang kita melakukan nya dengan cara meremove dgn tool NTDSutil.exe,

nah setelah itu kita juga masih harus melakukan pembersihan pada AD Site and Services, terhadap DC tersebut,

kemudian kita juga harus membersihkan DNS Server kita, karena terkadang Msdcs.contoso.com yang ada di DNS

server kita banyak sekali record2 yang seharusnya sudah hilang, akan tetapi masih ada di DNS kita. carefully check

1 by 1 (cek lah satu per satu).

4. Lakukanlah juga force replicate pada AD Sites and Services, agar semua DC ter-replikasi dengan baik dan meng-

hindari yang namanya TombStone ( salah satu DC tidak ter-replikasi dalam waktu 60 hari, sehingga dianggap DC

tersebut sudah tidak menjadi bagian dari AD yang ada, mau tidak mau harus kita buang.)

5. Lakukanlah juga backup berkala untuk server DC nya. bisa dilakukan dengan Windows Backup, SCDPM (backup

server apps dari Microsoft ) ataupun aplikasi backup server yang lainnya.

 

Untuk Manual Check, biasa nya hal ini saja sudah cukup, untuk lebih advance lagi sebenernya banyak hal lain yang

bisa kita lakukan, tapi yang diatas saya kira sudah mencukupi.

 

Semoga membantu untuk User yang biasa nya maintenance Windows Environmentnya sendiri. Hopefully dengan ini

AD nya terjaga, apabila ada yang ingin kalian tanyakan blast ke forum / mailing list wss-id saja, saya akan coba bantu

disana, misalnya adalah masalah ketika DCdiag ataupun repadmin, ataupun yang lainnya.

 

Please feel free to ask, I would love to help anytime :).

 

Terima Kasih.

Share this post: | | | |

Setelah Fisikal servernya tersedia, kemudian kita melakukan setting pada :

Note : semua dibuat berdasarkan desain yang telah kita buat sebelumnya

1. Site, subnet dan sitelink

2. Organizational Unit (OU).

3. Group dan User.

4. Group Policy, yang mana ini pun di pecah menjadi Default DOmain Policy, Default Domain Controller Policy,

Member Server Policy, dan juga User Policy. User policy biasanya kita buat berdasarkan organization Structure.

5. buatlah DNS Reverse Lookup berdasarkan subnet yang telah kita bagi2 juga, disini untuk Lookup DNS terbalik

atau query ip yang akan solved nama dari sebuah host.

6. biasanya setelah itu saya akan melakukan Checking setelah mengkonfigurasi atau setting semuanya pada

command prompt dcdiag, repadmin /showreps, repadmin /replsummary.

7. terakhir yang kita lakukan adalah tahapan Join Domain semua PC yang ada pada perusahaan kita atau customer

tersebut.

Adapun tahapan2 yang perlu kita siapkan sebelum melakukan join domain ke klien adalah sebagai berikut.

1. persiapkan SOP (standard operation Procedure) ataupun checklist ketika kita akan melakukan join domain tersebut

untuk copy profile dll.

2. surat tugas untuk jalan ke masing-masing klien (PC user)

3. Installer Program yang di butuhkan, seandainya ada program tambahan yang akan kita install di masing2 pc user

berdasarkan instruksi IT departemen.

4. Surat serah terima Pekerjaan, ketika engineer kita telah mengerjakan semua pekerjaan di satu wilayah tersebut.

 

Ini saya buat berdasarkan yang ada di lapangan dan saya sudah melakukan implementasi AD lebih dari 10 x..

 

Semoga bisa membantu teman2 sekalian.

Terima kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

 

Selanjutnya adalah membangun ADC, kurang lebih step by step nya sama dengan ketika kita membangun DC.

B.  Active Directory Additional DC Installation - (Non FSMO Holder)

  1. Installation Active Directory Server ( Additional DC )
  • On Windows Page, Click and Hold Windows+R

Type dcpromo, click OK

clip_image001

On ADDS Installation Welcome Page, Check Use advance mode installation, click Next >

clip_image002

On ADDS Installation Wizard Operating System Compatibilty Page, click Next >

clip_image003

On ADDS Installation Wizard – Choose a Deployment Configuration Page, Choose Existing Forest > Add a domain controller to an existing domain, click Next >

clip_image004

On ADDS Installation Wizard – Network Credentials Page, type contoso.com, on the Alternate credentials, click Set type contoso\administrator, click Next >

clip_image005

On ADDS Installation Wizard – Select a Domain Page, click Next >

clip_image006

On ADDS Installation Wizard – Select a Site Page, choose Jakarta Site, click Next >

clip_image007

On ADDS Installation Wizard – Additional Domain Controller Options Page, checked DNS Server and Global Catalog, click Next >

clip_image008

On ADDS Installation Wzard Warning Page, click Yes.

clip_image009

On ADDS Installation Wizard – Install from Media Page, Choose Replicate data over the network from an existing domain controller, click Next >

clip_image010

On ADDS Installation Wizard – Source Domain Controller Page, Choose Let the wizard choose an appropriate domain controller, click Next >

clip_image011

On ADDS Installation Wizard – Location for Database, Log Files and SYSVOL Page,

Database folder : C:\Windows\NTDS

Log files folder : C:\Windows\NTDS

SYSVOL folder : C:\Windows\SYSVOL, click Next >

clip_image012

On ADDS Installation Wizard – Directory Services Restore Mode Administrator Password Page, type

Password : P@ssw0rd (your password)

Confirm Password : P@ssw0rd (your password), click Next >

clip_image013

On ADDS Installation Wizard – Summary Page, click Next

clip_image014

On ADDS Installation Wizard Page, checked on Reboot on completion.

clip_image015

Setelah membangun kedua DC tersebut, kemudian kita mulai melakukan konfigurasi dari awal start dari yang paling major, ke yang terkecil.

saya akan lanjutkan ke tahap berikutnya.

Terima Kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

Selanjutnya adalah fase implementasi dimana fase ini yang akan menampilkan kita secara langsung apa yang telah kita buat

pada fase sebelumnya yaitu, fase design dan fase testing. Sebenarnya fase ini tidak begitu sulit apabila yang kita buat adalah

membangun AD baru, dikarenakan sangat banyak petunjuk cara installasi dari AD itu sendiri, dan tinggal kita aplikasikan

ataupun kalau terkadang kita kurang "pede" kita bisa melakukan lab (virtual lab) terlebih dahulu ataupun juga kita melakukan

training di berbagai institusi yang menyediakan hal tersebut (kalau saran saya "pede aja, you guys can do it ").

 

Best Practice AD minimum untuk implementasi nya adalah 2 DC, satu sebagai DC utama, dinamakan DC( Domain Controller),

dan satu lagi sebagai ADC ( Additional DOmain Controller / Domain Controller tambahan ). DC itu adalah pemegang Operations

Master Roles, sedangkan ADC bukan pemegang Operation Master(FSMO), bisa dilihat juga dari blog saya yang sebelumnya

mengenai pengenalan tentang Active Directory.

 

Yang perlu kita lakukan pada saat installasi adalah capture ( dokumentasi ), sehingga kita bisa mengetahui apa saja yang telah

kita lakukan apabila suatu saat kita akan meninjau ulang (review) dan juga kita bisa mentransfer atau memberikan kepada rekan

kita yang lain apa saja yang kita lakukan, biasakanlah untuk melakukan hal ini, karena bisa memudahkan segala sesuatu setelah

nya, dalam lingkungan Production (live) kita harus melakukan Documentation apapun yang kita lakukan, installasi ataupun

ada perubahan setting.

 

Kurang lebih seperti ini tahapan installasi nya : pembuatan DC dan ADC. :

A.     Active Directory Root Installation - (FSMO Holder)

  1. Installation Active Directory Server
  • On Windows Page, Click and Hold Windows+R

On Run Page, Type dcpromo, click OK

clip_image001

  • On ADDS Installation - Welcome Page, Check Use advance mode installation, click Next >

clip_image002

  • On ADDS Installation Wizard Operating System Compatibilty Page, click Next >

clip_image003 

  • On ADDS Installation Wizard – Choose a Deployment Configuration Page, choose Create a new domain in a new forest, click Next >

clip_image004 

  • On ADDS Installation Wizard – Name the Forest Root Domain Page, type contoso.com, click Next >

clip_image005 

  • On ADDS Installation Wizard – Domain NetBIOS Name Page, Type CONTOSO, click Next >

clip_image006 

  • On ADDS Installation Wizard – Set Forest Functional Level Page, choose Windows Server 2008 R2, click Next >

clip_image007 

  • On ADDS Installation Wizard – Additional Domain Controller Options Page, checked DNS Server, click Next >

clip_image008 

  • On ADDS Installation Wzard Warning Page, click Yes.

clip_image009 

  • On ADDS Installation Wizard – Location for Database, Log Files and SYSVOL Page,

Database folder : C:\Windows\NTDS

Log files folder : C:\Windows\NTDS

SYSVOL folder : C:\Windows\SYSVOL, click Next

clip_image010 

  • On ADDS Installation Wizard – Directory Services Restore Mode Administrator Password Page, type

Password : P@ssw0rd (your password)

Confirm Password : P@ssw0rd (your password), click Next >

clip_image011 

  • On ADDS Installation Wizard – Summary Page, click Next>

clip_image012

 

Demikian Kurang lebih tahapan Installasi DC (Domain Controller with FSMO), next akan berlanjut dengan ADC.

Terima Kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

Hi all,

Saya akan coba lanjutkan tahap selanjut nya, setelah lumayan lama tidak blogging saya akan menyelesaikan tahapan

Implementasi AD dari awal yang telah saya buat. Biasa nya setelah kita lakukan design penamaan dan structure dari

Group Policy, Group, User dan computer, kita kemudian akan membuat atau menyiapkan fase testing, ini biasa nya

untuk Scenario bangun baru AD( Build New AD Infrastructure ) ataupun dengan Scenario perpindahan Forest / Domain.

Mungkin teman2 sekalian akan bertanya2 tahapan testing ini untuk apa ? biasanya saya akan lakukan untuk masing2 PC

terlebih biasanya PC2 punya masing2 Aplikasi, ketika kita bangun AD baru, maka akan terjadi perpindahan Profile dari

profile user local ke user domain (user AD), terkadang ada aplikasi tidak berjalan ketika kita melakukan hal tersebut.

Baik dari workgroup atau perpindahan domain, sangat disarankan untuk melakukan testing terlebih dahulu sebelum

kita melakukan perpindahan ke semua PC.

Step by Step nya sebagai berikut untuk AD baru.

1. Siapkan list aplikasi yang akan ditest. (baiknya semua aplikasi yang user sering pakai saat ini. (baik webapps ataupun

    client server apps).

2. SIapkan PC, yang telah di install windows client yang tidak join domain sesuai dengan kondisi saat ini.

3. Kemudian Scenario testnya adalah, coba aplikasi tersebut dengan 3 kondisi

    a. Windows Client tidak join domain

    b. Windows Client Join Domain ( tidak ada Policy )

    c. Windows Client Join domain ( dengan Policy )

ketiga scenario tersebut harus bisa sukses apabila tidak sukses maka kita harus sertakan juga biasa nya team developer

sebagai pembuat aplikasi, dan kita duduk bersama2 untuk menyelesaikan masalah tersebut. Contoh masalah yang sering

muncul dan how to solved nya :

a. Aplikasi yang membutuhkan local admin : biasanya saya akan jalankan ACT, dan coba mengubah aplikasi tersebut agar

bisa berjalan sebagai admin local akan tetapi user login domain nya tidak diberikan sebagai admin local.

b. Compatibility dengan OS yang terbaru : ada pun beberapa perusahaan yang ingin mengupgrade juga OS client nya,

misalnya dari XP ke 7, sedangkan terkadang di Win 7 tidak support beberapa apps, untuk case ini harus menghubungi

vendor aplikasi tersebut apakah sudah support dengan win 7 atau tidak.

c. Java Version : biasa nya pemprograman java harus di install beberapa versi, dan satu java belum tentu mendukung

versi, meskipun yang kita install yang paling baru, contoh : yang kita install adalah versi 1.7, sedangkan apps yang bersang-

kutan membutuhkan 1.3, maka ketika client menjalankan apps tersebut tidak akan berjalan. solusinya adalah kita harus install

semua versi yang dibutuhkan dan harus berurutan dari versi yang terkecil sampai yang terbesar. 1.3, 1.4, 1.5 etc.

dan banyak lagi masalah lain yang mungkin akan kita temukan ketika proses testing aplikasi berlangsung.

Tahapan selanjut nya adalah Implementasi yang bisa sebenernya tinggal kita lakukan sesuai dengan design yang telah kita buat.

Terima kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

Berlanjut dengan yang sebelumnya 

D. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.

1. Site : kita sudah mendapatkan KP & CBNGJKT berdasarkan penamaan yang kita pakai tadi. (site digunakan oleh

client/pc/server yang join domain untuk login (authentikasi) ke server yang ada pada site tersebut, site dibuat hanya

atau ketika pada site tersebut mempunyai Server AD(minimal RODC, ADC, ataupun DC).

2. Subnet : Masukkan semua subnet list yang ada pada masing-masing site.

Contoh : KP : 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 (apabila subnet nya bisa di simpulkan (summarize)

lebih baik di summarize apabila tidak bisa maka kita harus memasukkannya 1 per 1. CBNGJKT : 192.168.100.0/24

192.168.101.0/24, 192.168.102.0/24. (subnet akan di link pada masing-masing site, maka ketika pC atau klien login

DNS akan mengecek, PC tersebut harus nya login ke Server AD yang mana.).

3. Site Link : Sitelink seperti yg dijelaskan sebelumnya untuk menghubungkan antar masing-masing site. kita sudah

mendapatkan sitelink kita berdasarkan konvensi penamaan KP-CBNGJKT dengan cost 180 (gunakan default cost)

site link juga menentukan jarak terdekat dan waktu replikasi priority). Karena cabang kita hanya satu jadi kita tidak

perlu membuat beberapa site-link.

4. OU : kegunaan utama OU ada untuk pengelompokan Objek yang di dalam AD dan untuk memberikan Policy

specific kepada setiap objek .Untuk OU sendiri seperti yang saya jelaskan sebelumnya pada penamaan, OU best

practice dari Microsoft tidak lebih dari 3 level. kita akan untuk level 1, kita akan pakai Cabang atau wilayah masing-

masing untuk level 2 kita akan pakai account apa yang digunakan, level 3 kita akan pakai specific account, atau

detail untuk masing-masing account tersebut.

Contoh :

KP

UserAccount

    Employees

ComputerAccount

ServerAccount

    Apps

ServiceAccount

AdminAccount

CBNGJKT

UserAccount

    Employees

ComputerAccount

ServerAccount

    Apps

ServiceAccount

AdminAccount

Biasa nya akan selalu ada pertanyaan, apabila semua user pada kantor pusat di letakkan pada OU Employees

bagaimana apabila kita akan membuat policy hanya untuk user marketing / helpdesk yang tidak bisa internetan ?

Penjelasannya, pada Group Policy AD, didalam masing-masing policy kita bisa bikin lebih specific lagi kepada siapa

policy itu digunakan, by default nya AD policy akan kena oleh semua user (authenticated users), nah kita tinggal

menremove default user tersebut menggantikannya dengan Group Marketing misalnya, jadi tiap group atau divisi

atau organisasi dalam suatu perusahaan akan tetap mendapatkan policy (aturan) sesuai dengan hak masing2.

5. Policy : policy sebaiknya di pecah-pecah menjadi beberapa bagian

a. Default Domain Policy (policy yang dikenakan untuk semua user, biasa nya password, wallpaper, dll)

b. Default Domain Controller Policy (Policy yang hanya dikenakan untuk Active Directory Servers, biasa nya siapa saja

yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)

c. Member Server Policy (policy yang dikenakan untuk setiap server ada, perlakuannya sedikit berbeda dengan

member komputer karena server lebih sedikit harus di lindungi seperti DC, biasa nya kurang lebih sama seperti DC

siapa saja yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)

d. Spesifik cabang atau juga spesific divisi. Ada baiknya jangan terlalu banyak membuat masing-masing divisi, contoh

helpdesk, marketing, accounting, finance, system engineer, network engineer, dan lain lain, apabila sudah terlalu

banyak seperti ini, maka ketika mendapatkan suatu masalah / problem maka akan cukup rumit untuk melakukan

troubleshooting masalah tersebut.

Biasanya saya akan membuat hanya 4/5 policy

1. Default Domain Policy,

Password

- Complexity : enabled, history : 10, length : 8, changed : 1 month.

Account lockout

- duration : 30 minutes, wrong : 5x.

USB drives storage : disabled all users

USB device (printer, cd drive) tergantung policy perusahaan better close.

Wallpaper : sama semua user.

- Run Command : disabled (mencegah user untuk otak-atik system)

- CMD command : disabled (mencegah user untuk otak-atik system)

- Control Panel : disabled (mencegah user melakukan installasi program ilegal)

- folder sharing : disabled (menggunakan folder sharing yg ada di server)

Notes : biasa nya perlu di lakukan test apps, karena ada karena beberapa policy aplikasi tertentu tidak berjalan

dengan baik. ( the more secure = the less effectiveness <—harus di seimbangkan.)

2. Default Domain Controller Policy,

3. Member Server Policy,

4. specific policy sebaiknya hanya di gunakan untuk apabila di masing-masing cabang perlu setting an proxy yang

berbeda atau untuk level direksi yang memerlukan akses lebih, selain itu sebaiknya sama. karena akan amat sangat

kompleks.

Notes

~Untuk Detail policy masing-masing nya, belum bisa saya berikan saat ini, karena cukup banyak, apabila ada yang

membutuhkan, bisa email saya ke bobby_primasta@yahoo.com mungkin saya akan bantu kirim file nya.

~Desain ini merupakan desain simple AD, yang hanya di implementasikan pada 2 cabang, mungkin berikut nya saya

juga akan memberikan desain yang lebih advanced dari ini. Keep waiting & keep reading ya guys.

~Apabila ada pertanyaan just asking aja lewat wss-id.org mailing list, atau forum, atau melalui blogs ini juga boleh

untuk desain yang di atas, maka saya akan dengan senang hati membantu.

Semoga membantu ya.

Terima kasih.

Share this post: | | | |

 

Terakhir dalam satu tahun ini cukup banyak proyek Active Directory yang saya kerjakan.

Mau share sedikit dengan teman – teman sekalian,

Mulai dari :

1. Bangun Baru AD dari 0.

2. Upgrade AD dari 2003 to 2008 R2 atau 2008 ke 2008 R2.

3. Migrate AD Forest with Multiple domain 2003 R2 ke 2008 R2.

dan sebagai nya :).

 

Yang ingin saya share mungkin dari hal yang paling simple terlebih dahulu, seperti yang pada point 1

Membangun Active Directory dari 0

Terdapat lima fase ketika kita akan membangun AD :

1. Fase Desain. (penentuan Implementasi AD yang akan dilakukan pada server pusat)

2. Fase Testing Aplikasi. (pengetestan Apps dengan policy  yang sudah kita buat)

3. Fase Implementasi (pembangunan Server Pusat).

4. Fase Staging untuk server yang di cabang.

5. Fase Piloting, dimana kita akan mencoba testing di salah satu cabang terlebih dahulu kemudian.

 

Kita akan bahas satu – satu untuk kelima fase ini, yang akan menentukan sukses tidak nya Active Directory

yang akan kita implementasi. Mulai dari tahap awal yang paling simple yaitu fase desain, simple akan tetapi

sangat menentukan kedepan nya.

 

1. Fase Desain (Design Phase).

Kurang lebih Fase desain meliputi sebagai berikut :

a. Assessment (survei).

b. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.

c. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.

d. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.

 

A. Assessment.

Sebelum memulai desain biasa nya kita akan melakukan assessment (survei) pada kantor yang bersangkutan.

Untuk melihat keadaan yang ada di kantor (customer tersebut) misalnya Ada berapa cabang, ada berapa

komputer dan user, kemudian kira-kira pertumbuhan pegawai mereka berapa banyak setiap tahun nya. dan

lain sebagainya.

Kita akan ambil contoh simpel, terdapat 1 Perusahaan yang mempunyai sekitar 230 karyawan, terdapat 2 kantor,

1 kantor pusat dan kantor cabang, di kantor cabang kurang lebih terdapat 150 karyawan, sedangkan pada

kantor cabang terdapat kurang lebih 80 karyawan. Dan growth Perusahaan (perkembangan perusahaan nya)

kurang lebih 30 karyawan pertahunnya.

 

B. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.

Setelah selesai fase awal, kita akan memulai hal berikut nya yaitu menentukan berapa banyak server yang kira2

kita butuhkan. Berdasarkan assessment kita paling sedikit kita membutuhkan 2 server untuk high availability AD

biasa nya minimum tersebut selalu saya pakai, untuk karyawan di bawah <1000 termasuk skala kecil, sehingga

kita juga tidak memerlukan spec server yang wah. Untuk Contoh ini saya akan memakai 3 server HP DL360 G7 8Gb

memory, harddisk 146gb x3 (RAID 5) untuk HA Server, 2 NIC 1Gbit, seharusnya ini sudah cukup. Bahkan untuk

perkembangan kedepannya. 3 server tersebut, akan kita lokasikan 2 di pusat untuk High Availability (HA) /

redundancy dan 1 server di cabang, karena best practice nya Microsoft untuk menempatkan 1 server lagi di cabang

minimum user >30 agar tidak mengganggu bandwidth dari cabang ke pusat ketika user melakukan login /

authentikasi.

 

C. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.

Untuk penamaan sendiri sebenarnya tergantung pada perusahaan yang bersangkutan, apakah mereka sudah

terdapat standarisasi penamaan (implement naming convention) ? apabila belum, maka kita bisa mengajukan /

memberi masukan ke mereka.

Contoh untuk penamaan (berdasarkan skenario kita diatas 2 cabang) :

1. Site Name : kita punya 2 site, yaitu kantor pusat dan kantor cabang. Apabila perusahaan tersebut perusahaan

asing bukan perusahaan lokal (mengutamakan bahasa inggris) kita bisa memberi nama HQ(HeadQuarters) &

BRCHJKT (Branch-Jakarta). Apabila perusahaan lokal, kita bisa memberi nama KP(kantor pusat) & CBNGJKT

(Cabang-Jakarta). Penamaan site sebaiknya sesuai dengan daerah masing-masing, karena ketika kita

troubleshooting lebih memudahkan kita untuk mencari akar permasalahannya.

2. Site-Link Name : site link singkat nya adalah penghubung antar 2 site, pada AD, ini harus di configure, karena

default konfigurasi dari Microsoft adalah Full-Mesh, apabila tidak configure maka apabila terdapat banyak cabang,

maka akan terkoneksi ke sembarang site, bukan terpusat (Star Topology). Untuk Site link biasanya kita akan

namakan sesuai dengan link yang terhubung, contohnya KP-CBNGJKT.

3. OU Name : best practice dari Microsoft adalah yang paling depan berdasarkan site masing-masing untuk

penamaan nya, contohnya ketika kita membangun AD pertama x akan terdapat default OU users, domain

controllers, computers dan lain-lain. Itu dinamakan level 1, untuk desain terbaik OU max 3 level di dalamnya.

Contoh :

KP

UserAccount

       Employees

ComputerAccount

ServerAccount

       Apps

ServiceAccount

AdminAccount

CBNGJKT

UserAccount

        Employees

ComputerAccount

ServerAccount

        Apps

ServiceAccount

AdminAccount

4. Group Name : untuk penamaan Group biasa nya tergantung penggunaannya (pengelompokannya) di dalam AD

terdapat 2 jenis Group, Security Group dan Distribution Group. Security group (grup untuk kasih permisi di file

system dan untuk distribusi email), sedangkan distribution group (grup hanya untuk pendistribusian email).

biasa nya sistem penamaannya kurang lebih SG-<organization>-01, atau DG-<organization>-01, contohnya :

untuk Direksi SG-Direksi-01 atau untuk Helpdesk DG-Helpdesk-01.

5. Computer Name : untuk penamaan komputer biasa nya berdasarkan cabang yang bersangkutan, spesifikasi

pekerjaan / organisasi nya, kemudian penomoran. atau pun juga biasa nya ada yang memakai serial number / kode

kode untuk masing-masing cabang mereka. contoh nya : KP-Direksi-01 atau CBNGJKT-IT-01.

6. User Name : untuk penamaan user biasa nya berdasarkan user firstname.lastname (namaawal.namaakhir).

karena memudahkan user juga apabila email nya terintegrasi dengan Exchange-Server. atau pun juga bisa dengan

namaawal_namaakhir. Contoh nya : bobby.primasta atau bobby_primasta.

 

berlanjut keblogs berikut nya, karena yang akan didiskusi kemudian agak panjang mengenai desain AD nya.

 

Semoga Membantu teman2 ketika implementasi.

 

Terima kasih.

Share this post: | | | |

 

Dear all, and again saya mau share sesuatu about changing your Domain Controller name, Saya coba melakukan

rename ke domain controller, basically no error atau pun sesuatu hal yang membuat Active Directory kita tidak

berjalan / Group Policy dan sebagainya, things are just normal, tapi saya miss something, tidak mengganti SYSVOL

reference name yang masih mengacu ke nama yang lama, ini menyebabkan replikasi kurang berjalan dengan lancar

pada sisi SYSVOL nya(kurang terdeteksi dikarenakan kalau kita hanya menjalankan dcdiag via CMD(command line)

dcdiag/gambar dcdiag, kurang lengkap hasil nya dan akan memunculkan test Passed Reference test, sedangkan

kalau kita melakukan dcdiag /v >c:\dcdiag.txt / gambar dcdiag /v).

dcdiag

Gambar DCDiag Console

DcdiagV

Gambar DCDiag /v >C:\Dcdiag.txt

 

Buka ADSI Edit untuk lebih lengkap nya, ADSI Edit > Click Action > Connect To

image

Pada Halaman COnnection Settings, Under Select a well known Naming Context, pilih Configuration,

Klik OK

image

Kemudian Browse ke DC=Contoso,DC=COM > CN=System > CN=File Replication Service > CN=Domain System

Volume(SYSVOL), kita akan menemukan nama Server lama dari DC tersebut..

clip_image004

Untuk Solve masalah ini, kita harus melakukan perubahan pada nama tersebut, sesuai dengan nama DC

yang kita pakai sekarang ini, DC-SVR-01, klik pada nama server tersebut (tekan F2/rename).

clip_image006

Kemudian pada command line, kita lakukan lagi dcdiag /v > c:\dcdiag1.txt, kemudian kita check kembali

hasilnya pada Txt files. we have solved 1 problem.

dcdiag1

Ada sedikit catatan tambahan, kemudian kita juga harus mencheck DNS Record yang ada, ternyata pada

DNS Manager > Contoso.com > _msdcs > masih terdapat Name Server yang mengacu pada nama lama,

ada beberapa cara mensolve ini, dengan cara flushdns, ataupun juga melakukan replikasi dari AD Site and

Services, ataupun manually seperti yang saya lakukan pada gambar di bawah ini :

Buka DNS Manager, Browse ke Contoso.com > _msdcs > Double click Name Server tersebut

clip_image011

Pada Halaman _msdcs Properties, pilih server name tersebut klik Edit

clip_image013

Pada Halaman Edit Name Server Record, masukkan nama DC Server nya DC-SVR-01.contoso.com,  klik

Resolve

clip_image015

Pastikan bahwa sudah Resolve dengan IP yang benar.

clip_image017

then it is done, as picture below… ^_^

clip_image019

Notes :

1. bisa dilihat dari Kb Microsoft , bisa mengganggu replikasi, akan tetapi tidak mendisable replikasi

(mean sometimes okay, sometimes problem), saya sempat sulit melihat problem yang terjadi, karena

di dcdiag cmd it was OKAY :(.

2. ada tambahan juga merename DC dengan menggunakan netdom.exe, yang saya kerjakan ini dengan

cara rename system properties (click kanan computer > properties > Change Settings > Change > kemudian

rename computer name tersebut.

 

Semoga membantu

 

 

Terima Kasih.

Share this post: | | | |

 

Another troubleshooting for today ^^.. hehehee.. Sudah lama saya mendapatkan error ini ketika

ngeLab, tapi belum sempat sharing. Now cuman ingin berbagi saja, so simple task, tapi kalau

nyari2 ngga ketemu juga lumayan memusingkan juga.^^.

Scenario nya, ketika kita setelah selesai Installasi Exchange Server 2010, dan akan membuka

EMC (Exchange Management Console), mendapatkan error seperti yang di bawah ini, WinRM

cannot process the request(terjadi corruption file pada WinRM, sehingga Exchange Management

Console tidak bisa melakukan inisialisasi pada pertama kalinya.

image

Setelah kita klik Okay akan memunculkan gambar lain seperti dibawah ini, huft… pusing,

puyeng, dan pusing. Mau testing dan lab, malah ruksak dahhh.^^

image

Like always, after googling, binging ^^.. hehehe. terus dapat lah beberapa forum dan blogs

sehingga mendapatkan sedikit titik terang untuk dicoba,

Notes : ngga perlu install Exchange Server yang sudah terinstall meskipun itu merupakan salah

satu solusi yang bisa menyelesaikan masalah ini. ^^.

Just do This thing :

Open Server Manager > Features > Remove Features

clip_image002

Pada halaman Select Features, Uncheck WinRM IIS Extension, klik Next

clip_image004

Pada Halaman Confirm Removal Selections, click Remove

clip_image006

Pada Halaman Removal Results, click Close

clip_image008

Kemudian coba restart server teman-teman sekalian, dan buka lagi EMC (Exchange Management

Console) hope this can solve ur problem guys,

Pada Intinya masalah ini disebabkan extension WinRM yang di install pada IIS, yang seharusnya

tidak dilakukan, sehingga menyebabkan inisialisasi gagal pada Exchange Management Console.

 

Semoga membantu.

 

Terima Kasih.

Share this post: | | | |
Posted by Bobby Primasta | with no comments

Ada di beberapa client mendapatkan error :

1. Masalah yang di timbulkan, ngga bisa update forefront definition, walaupun sudah di coba

    Manually / Automatically

2. Tiap x kita click check update, selalu error… dan failed to check on update.

FCS Check Update

Saya coba testing dan cari-cari juga, apa masalah nya yang sebenarnya, dan ketemu root cause

nya. Forefront Client Security itu mendapatkan update nya melalui windows update, baik lgsg ke

microsoft update atau melalui WSUS.. Problem ini disebabkan Automatic update pada sisi client

tidak di enable / tidak dijalankan.

Step by step nya :

1. Change Automatic Update dari sisi client :

image

2. Atau bisa Change dari Group policy enable update untuk menggunakan WSUS / download

    dari windows update.

Solved.. ^^

Status nya akan menjadi seperti ini :

Forefront OK Status

Terima Kasih.

 

Semoga Membantu.

Share this post: | | | |
More Posts Next page »