Dear Frens again,
Selamat siang, saya lagi mau sharing lagi, sudah lama tidak buat how to, terakhir di tahun 2010.
Ini saya preview dulu beberapa step nya secara garis besar di blogs saya ini,
1. Join Domain Windows Server 2012 sebagai Member Server.
2. Checking Healthy DC terlebih dahulu pada DC lamanya.
Terdapat beberapa command, bisa di ambil juga dari blogs saya yang sebelumnya. KLIK
3. Update Schema Forest Preparation & Domain Preparation.
Melakukan ADprep/forestprep dan adprep/domainprep, untuk pengupdate an schema.
4. Promote DC 2012 sebagai Additional DC di domain 2008 R2
5. Memindahkan Operations Master dari 2008 R2 ke DC 2012
6. Demote (buang Windows Server 2008 R2)
Detail File nya saya coba upload DISINI, silahkan ambil.
Mohon maaf sebelumnya tidak bisa upload di website wss-id, jadi saya taruh file nya di 4shared.com
Semoga Membantu.
Terima kasih.
Dear Friends,
Just want to share again untuk teman-teman diluar sana, yang ingin memenuhi compliance atau
paling tidak akan sedikit membantu meminimalisir gap (kekurangan) ketika suatu saat audit external
atau siapapun itu. Maka saya coba share apa yang saya pernah lakukan, ini ada requirement yang cukup
lumayan tapi kita pun harus mengetahui sedikit knowledge mengenai Microsoft Licensing (yg mana itu
sangat banyak sekali dan saya bukan expert di licensing)
Untuk Comply ke Microsoft software yang sudah kita pakai, baiknya kita check terlebih dahulu manually
dengan beberapa tools yang memang disarankan oleh MS sendiri, yaitu
1. MAPT (Microsoft Assessment Planning Toolkit) versi 8.0 adalah yg terakhir. (Gratis/Freeware)
2. SCCM (System Center Configuration Manager) versi 2012 adalah yg terakhir. (berbayar/License)
Kedua produk diatas merupakan produk punya Microsoft, sebenarnya tidak harus memakai kedua produk
tersebut pun tidak apa2, apabila memang sudah mempunyai produk Inventory lain nya.
Syarat (requirement) untuk installasi MAPT :
1. Butuh Active Directory(initiate installation) akan tetapi saya pernah dengar, bisa dilakukan tanpa ada AD
lewat network scanning.
2. Butuh beberapa ports yang perlu dibuka port TCP/ UDP 135(RPC) & 1024-65535.
3. Cukup persiapkan 1 PC Join to Domain, Windows 7 pun sudah cukup.
4. Local Admin / Domain admin account, untuk baca inventory / WMI.
Hasil nya akan mendapatkan semua software yang terinstall, total numbernya. dan teman-teman bisa banding
kan dengan yang sudah kita beli.
Semoga Membantu ya !!
Thank you.
All fren Wss-id,
Saya mau sharing untuk all Customer Microsoft yang sudah beli software MS dengan Enterprise
Agreement atau Pun Select Agreement with Software Assurance (SA). Hopefully can help everyone
around. :). Saya jelaskan secara singkat, kalau setiap pembelian Microsoft software dengan SA, biasa nya
kita akan mendapatkan 24x7 Resolution support dan embedded with Web Support with Unlimited Case
(selama ini saya pakai untuk customer EA saya) terdapat didalamnya.
WebSupport ini typical nya, sedikit berbeda dengan 24x7, tetapi cukup useful untuk non urgent case.
1. Severity C. (respond time 8 working hours)
2. Sifat nya collect data terlebih dahulu.
3. Kalau disuruh melakukan hal urgent kita bisa minta engineer nya untuk remote, biasa nya mereka tidak
langsung remote untuk Severity C, akan tetapi tergantung dari Engineer yang di assign adapun yang baik
mereka akan langsung remote dari awal.
4. Jikalau mau buka Case ActiveDirectory, harus ada pembelian Windows Server lewat EA, ataupun kalau mau
buka case Exchange Server harus ada pembelian Exchange server minimal 1 buah lewat EA.
Saya sudah open cukup banyak case, mulai dari AD, Tombstone, FRS, FS dan banyak yang lain lagi, so far so
good, dan cukup memuaskanlah :). With this, I hope I can help alot of people out there.
Dan kurang lebih ini adalah cara Open Case nya by email (jgn telepon, biasa nya *** Pingpong2)
Distribution List nya Untuk Orang MS nya :
To :
1. MSSolve Case Email : casemail@microsoft.com
2. APAC GCR Professional Support Team : gtscpro@microsoft.com
CC :
3. Fandy Rahardy : fandyra@microsoft.com (Orang Indonesia yang ada di Shanghai)
Body Email :
Dear Microsoft,
Good Evening!!
We would like to you to helping us to open the case with WebSupport Unlimited (from SA Benefit)
with SEVERITY C. SA Access ID = _________, Agreement Number = _________.
Problem : “Cannot do Video Call from Internal to Internet & Internet to Internal”
But Internal to Internal Okay, Internet to Internet Okay.
My Contact Details :
Name : Bobby Primasta
Phone Number : +6287884654442
E-mail Address : bobby.primasta@mastersystem.co.id
Thank you so much for your support Mr Fandy.
Notes :
a. SA Access ID adalah SA Benefit ID untuk 24x7 support yang sudah kita aktifkan.
b. Fandy adalah Orang Ms Indonesia yang based di shanghai, biasa nya dia selalu baik bantu FOllow up case.
c. Setelah kita email, paling lambat 8 jam kerja sudah dibalas atau kita akan di telpon, jadi jangan matikan
telpon kalian.
Semoga Membantu ya !! :)
Terima kasih.
Terkadang ini pun jadi pertanyaan dan masalah pada saat kita mengimplementasikan Active Directory, yaitu Port2 apa saja yang
dibutuhkan AD, agar dari user/computer bisa access dan replikasi antar server pun tetap berjalan dengan baik. Terkadang ini ber
tentangan dengan orang security biasanya kalau kita banyak membuka port-port tanpa alasan yang jelas. Nah kita bisa pakai
referensi dari Microsoft langsung berdasarkan link ini.
Adapun port port ini berjalan pada AD dengan Operating system 2003, 2008 dan 2008 R2. Ada port range besar juga yang harus kita
buka dari 1025-5000 untuk Windows 2003 dan Port 49152 - 65535 (TCP) untuk Windows Server 2008 dan 2008 R2. Port besar ini apabila
kita tidak buka, yang sering kali terjadi adalah failed replication, terkadang bisa terkadang gagal. sebaiknya adalah dibuka atau bisa
config restricted port(membatasi port-port yang dibuka pada AD bisa dilihat di link berikut ini).
| No | Protocol and Port | AD and AD DS Usage | Type of traffic |
| 1 | TCP and UDP 389 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP |
| 2 | TCP 636 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP SSL |
| 3 | TCP 3268 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC |
| 4 | TCP 3269 | Directory, Replication, User and Computer Authentication, Group Policy, Trusts | LDAP GC SSL |
| 5 | TCP and UDP 88 | User and Computer Authentication, Forest Level Trusts | Kerberos |
| 6 | TCP and UDP 53 | User and Computer Authentication, Name Resolution, Trusts | DNS |
| 7 | TCP and UDP 445 | Replication, User and Computer Authentication, Group Policy, Trusts | SMB,CIFS,SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc |
| 8 | TCP 25 | Replication | SMTP |
| 9 | TCP 135 | Replication | RPC, EPM |
| 10 | TCP Dynamic | Replication, User and Computer Authentication, Group Policy, Trusts | RPC, DCOM, EPM, DRSUAPI, NetLogonR, SamR, FRS |
| 11 | TCP 5722 | File Replication | RPC, DFSR (SYSVOL) |
| 12 | UDP 123 | Windows Time, Trusts | Windows Time |
| 13 | TCP and UDP 464 | Replication, User and Computer Authentication, Trusts | Kerberos change/set password |
| 14 | UDP Dynamic | Group Policy | DCOM, RPC, EPM |
| 15 | UDP 138 | DFS, Group Policy | DFSN, NetLogon, NetBIOS Datagram Service |
| 16 | TCP 9389 | AD DS Web Services | SOAP |
| 17 | UDP 67 and UDP 2535 | DHCP | DHCP, MADCAP |
| 18 | UDP 137 | User and Computer Authentication, | NetLogon, NetBIOS Name Resolution |
| 19 | TCP 139 | User and Computer Authentication, Replication | DFSN, NetBIOS Session Service, NetLogon |
Ini juga sering terjadi setelah Implementasi, user melakukan hardening, sehingga banyak sekali port
akan di tutup, sebelum itu ditutup, sebaiknya kita info terlebih dahulu.
Semoga Membantu ya Implementasi nya.
Terima kasih.
Mungkin untuk UAT ini, biasa nya test yang bisa dilakukan bermacam2, dan juga setiap company ataupun perusahaan
punya default (atau dasar) mereka masing-masing. UAT ini harus dilakukan untuk memastikan bahwa AD yang sudah kita
implementasikan berfungsi dengan baik.
Nah disini saya mau share sedikit fungsi - fungsi yang ada di dalam AD yang harusnya berjalan.
| Test Event | Test Steps | Hasil yang diharapkan |
| Test Schema Master Holder | Go to run, type regsvr32 schmmgmt.dll > ENTER and Type mmc > file > add remove snap ins, ADSchema, right click domain name > Operations Master | Pastikan bahwa pemegang Schema master menunjukan kesalah satu DC dan tidak terdapat ERROR |
| Test Domain Naming Holder | Open ADDT(Active Directory Domain and Trust) right click domain name, click Operations Master | Pastikan bahwa pemegang Domain Naming master menunjukan kesalah satu DC dan tidak terdapat ERROR |
| Test Fungsi RID | Open ADUC(active directory User computer), right click User OU, New > User, create Test01 | bisa membuat Active Directory Objek (contohnya : create user, group, OU, dll.) |
| Test Fungsi PDC Emulator | Open ADUC(Active Directory User and computer), Go to User OU, right click Test01 users > change password | bisa mengganti user password |
| Test Fungsi Infrastructure | Open ADUC(Active Directory User and computer), go to User OU, right click Test01 User > Add to group, choose Server Operators | bisa menambahkan user ke group, ataupun bisa juga mengubah user group ke group yang lainnya. |
| Test Active Directory Diagnostic | Go to eventvwr, save and clear system logs. Go to Command Prompt, type Dcdiag > ENTER | hasil dari DCDIAG test adalah lewat (atau passed semua) |
| Test Active Directory Replikasi | Go to Command Prompt, type Repadmin /showrepl > ENTER
type Repadmin /replsummary > ENTER | untuk Repadmin /showrepl hasilnya all successfull, sedangkan untuk repadmin /replsummary tidak ada juga yang failed. |
Selain test diatas, juga biasa dilakukan untuk test tambahan dibawah ini :
1. Join Domain Computer ( PC / Server ). Coba lakukan juga dari cabang2, karena kalau
kita hanya melakukannya dari pusat, biasanya ada kemungkinan tidak bisa karena ada firewall
dari pusat ke cabang atau cabang ke pusat yang harus di buka port2 nya.
2. Update DNS record. create host A, mx, atau test yang lainnya juga.
3. Biasa nya coba test juga untuk melakukan telnet 389 (LDAP), 3268 (global catalog),
53 (DNS), dan port AD lainnya.
4. Test juga group policy di client, pastikan juga semua berjalan sesuai dengan keinginan kita/user.
Semoga Membantu Teman - Teman Sekalian ya baseline dari saya.
Terima kasih.
Untuk Active Directory sendiri setelah kita bangun dengan baik, adapun tahapan maintenance nya,
terkadang kita lupa ataupun "let it be" istilahnya biarkan saja, toh semuanya telah berjalan dengan baik
baik saja, akan tetapi hal tersebut salah, karena AD kalau tidak di monitoring dengan baik maka apabila
terjadi sesuatu maka aplikasi yang ada di atas nya akan berpengaruh juga. Contoh aplikasi yang running
on top of AD, Exchange Server, Lync Server, File Server, Print Server, SQL Server, etc (yg join domain,
memakai user AD untuk setup aplikasi tesebut.
Istilahnya apabila AD nya kotor, jelek bahkan sampai mati (Down ataupun TombStone) maka kemungkinan
besar aplikasi yang berjalan diatas nya akan mengalami masalah.
Tools yang biasa saya pakai untuk Maintenance AD adalah sebagai berikut :
1. DCDIAG.exe ( untuk memonitor atau melihat healthy AD secara keseluruhan ). sebelum melakukan dcdiag,
biasanya saya akan membersihkan terlebih dahulu eventviewer yang ada pada system (Save and Close pada
tanggal kita melakukan clean up event ini)
2. Repadmin /showreps ( untuk memperlihatkan replikasi sukses terakhir kali ) (pastikan semuanya sukses)
repadmin /replsummary ( menyimpulkan replikasi seluruh site secara keseluruhan ) (pastikan sukses)
3. Dnscmd tools ( untuk pengecekan DNS contohnya : terkadang apabila kita meremove suatu DC dikarena
kan tombstone / hardware crash, terkadang kita melakukan nya dengan cara meremove dgn tool NTDSutil.exe,
nah setelah itu kita juga masih harus melakukan pembersihan pada AD Site and Services, terhadap DC tersebut,
kemudian kita juga harus membersihkan DNS Server kita, karena terkadang Msdcs.contoso.com yang ada di DNS
server kita banyak sekali record2 yang seharusnya sudah hilang, akan tetapi masih ada di DNS kita. carefully check
1 by 1 (cek lah satu per satu).
4. Lakukanlah juga force replicate pada AD Sites and Services, agar semua DC ter-replikasi dengan baik dan meng-
hindari yang namanya TombStone ( salah satu DC tidak ter-replikasi dalam waktu 60 hari, sehingga dianggap DC
tersebut sudah tidak menjadi bagian dari AD yang ada, mau tidak mau harus kita buang.)
5. Lakukanlah juga backup berkala untuk server DC nya. bisa dilakukan dengan Windows Backup, SCDPM (backup
server apps dari Microsoft ) ataupun aplikasi backup server yang lainnya.
Untuk Manual Check, biasa nya hal ini saja sudah cukup, untuk lebih advance lagi sebenernya banyak hal lain yang
bisa kita lakukan, tapi yang diatas saya kira sudah mencukupi.
Semoga membantu untuk User yang biasa nya maintenance Windows Environmentnya sendiri. Hopefully dengan ini
AD nya terjaga, apabila ada yang ingin kalian tanyakan blast ke forum / mailing list wss-id saja, saya akan coba bantu
disana, misalnya adalah masalah ketika DCdiag ataupun repadmin, ataupun yang lainnya.
Please feel free to ask, I would love to help anytime :).
Terima Kasih.
Setelah Fisikal servernya tersedia, kemudian kita melakukan setting pada :
Note : semua dibuat berdasarkan desain yang telah kita buat sebelumnya
1. Site, subnet dan sitelink
2. Organizational Unit (OU).
3. Group dan User.
4. Group Policy, yang mana ini pun di pecah menjadi Default DOmain Policy, Default Domain Controller Policy,
Member Server Policy, dan juga User Policy. User policy biasanya kita buat berdasarkan organization Structure.
5. buatlah DNS Reverse Lookup berdasarkan subnet yang telah kita bagi2 juga, disini untuk Lookup DNS terbalik
atau query ip yang akan solved nama dari sebuah host.
6. biasanya setelah itu saya akan melakukan Checking setelah mengkonfigurasi atau setting semuanya pada
command prompt dcdiag, repadmin /showreps, repadmin /replsummary.
7. terakhir yang kita lakukan adalah tahapan Join Domain semua PC yang ada pada perusahaan kita atau customer
tersebut.
Adapun tahapan2 yang perlu kita siapkan sebelum melakukan join domain ke klien adalah sebagai berikut.
1. persiapkan SOP (standard operation Procedure) ataupun checklist ketika kita akan melakukan join domain tersebut
untuk copy profile dll.
2. surat tugas untuk jalan ke masing-masing klien (PC user)
3. Installer Program yang di butuhkan, seandainya ada program tambahan yang akan kita install di masing2 pc user
berdasarkan instruksi IT departemen.
4. Surat serah terima Pekerjaan, ketika engineer kita telah mengerjakan semua pekerjaan di satu wilayah tersebut.
Ini saya buat berdasarkan yang ada di lapangan dan saya sudah melakukan implementasi AD lebih dari 10 x..
Semoga bisa membantu teman2 sekalian.
Terima kasih.
Selanjutnya adalah membangun ADC, kurang lebih step by step nya sama dengan ketika kita membangun DC.
B. Active Directory Additional DC Installation - (Non FSMO Holder)
- Installation Active Directory Server ( Additional DC )
- On Windows Page, Click and Hold Windows+R
Type dcpromo, click OK
On ADDS Installation Welcome Page, Check Use advance mode installation, click Next >
On ADDS Installation Wizard Operating System Compatibilty Page, click Next >
On ADDS Installation Wizard – Choose a Deployment Configuration Page, Choose Existing Forest > Add a domain controller to an existing domain, click Next >
On ADDS Installation Wizard – Network Credentials Page, type contoso.com, on the Alternate credentials, click Set type contoso\administrator, click Next >
On ADDS Installation Wizard – Select a Domain Page, click Next >
On ADDS Installation Wizard – Select a Site Page, choose Jakarta Site, click Next >
On ADDS Installation Wizard – Additional Domain Controller Options Page, checked DNS Server and Global Catalog, click Next >
On ADDS Installation Wzard Warning Page, click Yes.
On ADDS Installation Wizard – Install from Media Page, Choose Replicate data over the network from an existing domain controller, click Next >
On ADDS Installation Wizard – Source Domain Controller Page, Choose Let the wizard choose an appropriate domain controller, click Next >
On ADDS Installation Wizard – Location for Database, Log Files and SYSVOL Page,
Database folder : C:\Windows\NTDS
Log files folder : C:\Windows\NTDS
SYSVOL folder : C:\Windows\SYSVOL, click Next >
On ADDS Installation Wizard – Directory Services Restore Mode Administrator Password Page, type
Password : P@ssw0rd (your password)
Confirm Password : P@ssw0rd (your password), click Next >
On ADDS Installation Wizard – Summary Page, click Next
On ADDS Installation Wizard Page, checked on Reboot on completion.
Setelah membangun kedua DC tersebut, kemudian kita mulai melakukan konfigurasi dari awal start dari yang paling major, ke yang terkecil.
saya akan lanjutkan ke tahap berikutnya.
Terima Kasih.
Selanjutnya adalah fase implementasi dimana fase ini yang akan menampilkan kita secara langsung apa yang telah kita buat
pada fase sebelumnya yaitu, fase design dan fase testing. Sebenarnya fase ini tidak begitu sulit apabila yang kita buat adalah
membangun AD baru, dikarenakan sangat banyak petunjuk cara installasi dari AD itu sendiri, dan tinggal kita aplikasikan
ataupun kalau terkadang kita kurang "pede" kita bisa melakukan lab (virtual lab) terlebih dahulu ataupun juga kita melakukan
training di berbagai institusi yang menyediakan hal tersebut (kalau saran saya "pede aja, you guys can do it ").
Best Practice AD minimum untuk implementasi nya adalah 2 DC, satu sebagai DC utama, dinamakan DC( Domain Controller),
dan satu lagi sebagai ADC ( Additional DOmain Controller / Domain Controller tambahan ). DC itu adalah pemegang Operations
Master Roles, sedangkan ADC bukan pemegang Operation Master(FSMO), bisa dilihat juga dari blog saya yang sebelumnya
mengenai pengenalan tentang Active Directory.
Yang perlu kita lakukan pada saat installasi adalah capture ( dokumentasi ), sehingga kita bisa mengetahui apa saja yang telah
kita lakukan apabila suatu saat kita akan meninjau ulang (review) dan juga kita bisa mentransfer atau memberikan kepada rekan
kita yang lain apa saja yang kita lakukan, biasakanlah untuk melakukan hal ini, karena bisa memudahkan segala sesuatu setelah
nya, dalam lingkungan Production (live) kita harus melakukan Documentation apapun yang kita lakukan, installasi ataupun
ada perubahan setting.
Kurang lebih seperti ini tahapan installasi nya : pembuatan DC dan ADC. :
A. Active Directory Root Installation - (FSMO Holder)
- Installation Active Directory Server
- On Windows Page, Click and Hold Windows+R
On Run Page, Type dcpromo, click OK
- On ADDS Installation - Welcome Page, Check Use advance mode installation, click Next >
- On ADDS Installation Wizard Operating System Compatibilty Page, click Next >
- On ADDS Installation Wizard – Choose a Deployment Configuration Page, choose Create a new domain in a new forest, click Next >
- On ADDS Installation Wizard – Name the Forest Root Domain Page, type contoso.com, click Next >
- On ADDS Installation Wizard – Domain NetBIOS Name Page, Type CONTOSO, click Next >
- On ADDS Installation Wizard – Set Forest Functional Level Page, choose Windows Server 2008 R2, click Next >
- On ADDS Installation Wizard – Additional Domain Controller Options Page, checked DNS Server, click Next >
- On ADDS Installation Wzard Warning Page, click Yes.
- On ADDS Installation Wizard – Location for Database, Log Files and SYSVOL Page,
Database folder : C:\Windows\NTDS
Log files folder : C:\Windows\NTDS
SYSVOL folder : C:\Windows\SYSVOL, click Next
- On ADDS Installation Wizard – Directory Services Restore Mode Administrator Password Page, type
Password : P@ssw0rd (your password)
Confirm Password : P@ssw0rd (your password), click Next >
- On ADDS Installation Wizard – Summary Page, click Next>
Demikian Kurang lebih tahapan Installasi DC (Domain Controller with FSMO), next akan berlanjut dengan ADC.
Terima Kasih.
Hi all,
Saya akan coba lanjutkan tahap selanjut nya, setelah lumayan lama tidak blogging saya akan menyelesaikan tahapan
Implementasi AD dari awal yang telah saya buat. Biasa nya setelah kita lakukan design penamaan dan structure dari
Group Policy, Group, User dan computer, kita kemudian akan membuat atau menyiapkan fase testing, ini biasa nya
untuk Scenario bangun baru AD( Build New AD Infrastructure ) ataupun dengan Scenario perpindahan Forest / Domain.
Mungkin teman2 sekalian akan bertanya2 tahapan testing ini untuk apa ? biasanya saya akan lakukan untuk masing2 PC
terlebih biasanya PC2 punya masing2 Aplikasi, ketika kita bangun AD baru, maka akan terjadi perpindahan Profile dari
profile user local ke user domain (user AD), terkadang ada aplikasi tidak berjalan ketika kita melakukan hal tersebut.
Baik dari workgroup atau perpindahan domain, sangat disarankan untuk melakukan testing terlebih dahulu sebelum
kita melakukan perpindahan ke semua PC.
Step by Step nya sebagai berikut untuk AD baru.
1. Siapkan list aplikasi yang akan ditest. (baiknya semua aplikasi yang user sering pakai saat ini. (baik webapps ataupun
client server apps).
2. SIapkan PC, yang telah di install windows client yang tidak join domain sesuai dengan kondisi saat ini.
3. Kemudian Scenario testnya adalah, coba aplikasi tersebut dengan 3 kondisi
a. Windows Client tidak join domain
b. Windows Client Join Domain ( tidak ada Policy )
c. Windows Client Join domain ( dengan Policy )
ketiga scenario tersebut harus bisa sukses apabila tidak sukses maka kita harus sertakan juga biasa nya team developer
sebagai pembuat aplikasi, dan kita duduk bersama2 untuk menyelesaikan masalah tersebut. Contoh masalah yang sering
muncul dan how to solved nya :
a. Aplikasi yang membutuhkan local admin : biasanya saya akan jalankan ACT, dan coba mengubah aplikasi tersebut agar
bisa berjalan sebagai admin local akan tetapi user login domain nya tidak diberikan sebagai admin local.
b. Compatibility dengan OS yang terbaru : ada pun beberapa perusahaan yang ingin mengupgrade juga OS client nya,
misalnya dari XP ke 7, sedangkan terkadang di Win 7 tidak support beberapa apps, untuk case ini harus menghubungi
vendor aplikasi tersebut apakah sudah support dengan win 7 atau tidak.
c. Java Version : biasa nya pemprograman java harus di install beberapa versi, dan satu java belum tentu mendukung
versi, meskipun yang kita install yang paling baru, contoh : yang kita install adalah versi 1.7, sedangkan apps yang bersang-
kutan membutuhkan 1.3, maka ketika client menjalankan apps tersebut tidak akan berjalan. solusinya adalah kita harus install
semua versi yang dibutuhkan dan harus berurutan dari versi yang terkecil sampai yang terbesar. 1.3, 1.4, 1.5 etc.
dan banyak lagi masalah lain yang mungkin akan kita temukan ketika proses testing aplikasi berlangsung.
Tahapan selanjut nya adalah Implementasi yang bisa sebenernya tinggal kita lakukan sesuai dengan design yang telah kita buat.
Terima kasih.
Berlanjut dengan yang sebelumnya
D. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.
1. Site : kita sudah mendapatkan KP & CBNGJKT berdasarkan penamaan yang kita pakai tadi. (site digunakan oleh
client/pc/server yang join domain untuk login (authentikasi) ke server yang ada pada site tersebut, site dibuat hanya
atau ketika pada site tersebut mempunyai Server AD(minimal RODC, ADC, ataupun DC).
2. Subnet : Masukkan semua subnet list yang ada pada masing-masing site.
Contoh : KP : 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 (apabila subnet nya bisa di simpulkan (summarize)
lebih baik di summarize apabila tidak bisa maka kita harus memasukkannya 1 per 1. CBNGJKT : 192.168.100.0/24
192.168.101.0/24, 192.168.102.0/24. (subnet akan di link pada masing-masing site, maka ketika pC atau klien login
DNS akan mengecek, PC tersebut harus nya login ke Server AD yang mana.).
3. Site Link : Sitelink seperti yg dijelaskan sebelumnya untuk menghubungkan antar masing-masing site. kita sudah
mendapatkan sitelink kita berdasarkan konvensi penamaan KP-CBNGJKT dengan cost 180 (gunakan default cost)
site link juga menentukan jarak terdekat dan waktu replikasi priority). Karena cabang kita hanya satu jadi kita tidak
perlu membuat beberapa site-link.
4. OU : kegunaan utama OU ada untuk pengelompokan Objek yang di dalam AD dan untuk memberikan Policy
specific kepada setiap objek .Untuk OU sendiri seperti yang saya jelaskan sebelumnya pada penamaan, OU best
practice dari Microsoft tidak lebih dari 3 level. kita akan untuk level 1, kita akan pakai Cabang atau wilayah masing-
masing untuk level 2 kita akan pakai account apa yang digunakan, level 3 kita akan pakai specific account, atau
detail untuk masing-masing account tersebut.
Contoh :
KP
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
CBNGJKT
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
Biasa nya akan selalu ada pertanyaan, apabila semua user pada kantor pusat di letakkan pada OU Employees
bagaimana apabila kita akan membuat policy hanya untuk user marketing / helpdesk yang tidak bisa internetan ?
Penjelasannya, pada Group Policy AD, didalam masing-masing policy kita bisa bikin lebih specific lagi kepada siapa
policy itu digunakan, by default nya AD policy akan kena oleh semua user (authenticated users), nah kita tinggal
menremove default user tersebut menggantikannya dengan Group Marketing misalnya, jadi tiap group atau divisi
atau organisasi dalam suatu perusahaan akan tetap mendapatkan policy (aturan) sesuai dengan hak masing2.
5. Policy : policy sebaiknya di pecah-pecah menjadi beberapa bagian
a. Default Domain Policy (policy yang dikenakan untuk semua user, biasa nya password, wallpaper, dll)
b. Default Domain Controller Policy (Policy yang hanya dikenakan untuk Active Directory Servers, biasa nya siapa saja
yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)
c. Member Server Policy (policy yang dikenakan untuk setiap server ada, perlakuannya sedikit berbeda dengan
member komputer karena server lebih sedikit harus di lindungi seperti DC, biasa nya kurang lebih sama seperti DC
siapa saja yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)
d. Spesifik cabang atau juga spesific divisi. Ada baiknya jangan terlalu banyak membuat masing-masing divisi, contoh
helpdesk, marketing, accounting, finance, system engineer, network engineer, dan lain lain, apabila sudah terlalu
banyak seperti ini, maka ketika mendapatkan suatu masalah / problem maka akan cukup rumit untuk melakukan
troubleshooting masalah tersebut.
Biasanya saya akan membuat hanya 4/5 policy
1. Default Domain Policy,
Password
- Complexity : enabled, history : 10, length : 8, changed : 1 month.
Account lockout
- duration : 30 minutes, wrong : 5x.
USB drives storage : disabled all users
USB device (printer, cd drive) tergantung policy perusahaan better close.
Wallpaper : sama semua user.
- Run Command : disabled (mencegah user untuk otak-atik system)
- CMD command : disabled (mencegah user untuk otak-atik system)
- Control Panel : disabled (mencegah user melakukan installasi program ilegal)
- folder sharing : disabled (menggunakan folder sharing yg ada di server)
Notes : biasa nya perlu di lakukan test apps, karena ada karena beberapa policy aplikasi tertentu tidak berjalan
dengan baik. ( the more secure = the less effectiveness <—harus di seimbangkan.)
2. Default Domain Controller Policy,
3. Member Server Policy,
4. specific policy sebaiknya hanya di gunakan untuk apabila di masing-masing cabang perlu setting an proxy yang
berbeda atau untuk level direksi yang memerlukan akses lebih, selain itu sebaiknya sama. karena akan amat sangat
kompleks.
Notes
~Untuk Detail policy masing-masing nya, belum bisa saya berikan saat ini, karena cukup banyak, apabila ada yang
membutuhkan, bisa email saya ke bobby_primasta@yahoo.com mungkin saya akan bantu kirim file nya.
~Desain ini merupakan desain simple AD, yang hanya di implementasikan pada 2 cabang, mungkin berikut nya saya
juga akan memberikan desain yang lebih advanced dari ini. Keep waiting & keep reading ya guys.
~Apabila ada pertanyaan just asking aja lewat wss-id.org mailing list, atau forum, atau melalui blogs ini juga boleh
untuk desain yang di atas, maka saya akan dengan senang hati membantu.
Semoga membantu ya.
Terima kasih.
Terakhir dalam satu tahun ini cukup banyak proyek Active Directory yang saya kerjakan.
Mau share sedikit dengan teman – teman sekalian,
Mulai dari :
1. Bangun Baru AD dari 0.
2. Upgrade AD dari 2003 to 2008 R2 atau 2008 ke 2008 R2.
3. Migrate AD Forest with Multiple domain 2003 R2 ke 2008 R2.
dan sebagai nya :).
Yang ingin saya share mungkin dari hal yang paling simple terlebih dahulu, seperti yang pada point 1
Membangun Active Directory dari 0
Terdapat lima fase ketika kita akan membangun AD :
1. Fase Desain. (penentuan Implementasi AD yang akan dilakukan pada server pusat)
2. Fase Testing Aplikasi. (pengetestan Apps dengan policy yang sudah kita buat)
3. Fase Implementasi (pembangunan Server Pusat).
4. Fase Staging untuk server yang di cabang.
5. Fase Piloting, dimana kita akan mencoba testing di salah satu cabang terlebih dahulu kemudian.
Kita akan bahas satu – satu untuk kelima fase ini, yang akan menentukan sukses tidak nya Active Directory
yang akan kita implementasi. Mulai dari tahap awal yang paling simple yaitu fase desain, simple akan tetapi
sangat menentukan kedepan nya.
1. Fase Desain (Design Phase).
Kurang lebih Fase desain meliputi sebagai berikut :
a. Assessment (survei).
b. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.
c. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.
d. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.
A. Assessment.
Sebelum memulai desain biasa nya kita akan melakukan assessment (survei) pada kantor yang bersangkutan.
Untuk melihat keadaan yang ada di kantor (customer tersebut) misalnya Ada berapa cabang, ada berapa
komputer dan user, kemudian kira-kira pertumbuhan pegawai mereka berapa banyak setiap tahun nya. dan
lain sebagainya.
Kita akan ambil contoh simpel, terdapat 1 Perusahaan yang mempunyai sekitar 230 karyawan, terdapat 2 kantor,
1 kantor pusat dan kantor cabang, di kantor cabang kurang lebih terdapat 150 karyawan, sedangkan pada
kantor cabang terdapat kurang lebih 80 karyawan. Dan growth Perusahaan (perkembangan perusahaan nya)
kurang lebih 30 karyawan pertahunnya.
B. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.
Setelah selesai fase awal, kita akan memulai hal berikut nya yaitu menentukan berapa banyak server yang kira2
kita butuhkan. Berdasarkan assessment kita paling sedikit kita membutuhkan 2 server untuk high availability AD
biasa nya minimum tersebut selalu saya pakai, untuk karyawan di bawah <1000 termasuk skala kecil, sehingga
kita juga tidak memerlukan spec server yang wah. Untuk Contoh ini saya akan memakai 3 server HP DL360 G7 8Gb
memory, harddisk 146gb x3 (RAID 5) untuk HA Server, 2 NIC 1Gbit, seharusnya ini sudah cukup. Bahkan untuk
perkembangan kedepannya. 3 server tersebut, akan kita lokasikan 2 di pusat untuk High Availability (HA) /
redundancy dan 1 server di cabang, karena best practice nya Microsoft untuk menempatkan 1 server lagi di cabang
minimum user >30 agar tidak mengganggu bandwidth dari cabang ke pusat ketika user melakukan login /
authentikasi.
C. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.
Untuk penamaan sendiri sebenarnya tergantung pada perusahaan yang bersangkutan, apakah mereka sudah
terdapat standarisasi penamaan (implement naming convention) ? apabila belum, maka kita bisa mengajukan /
memberi masukan ke mereka.
Contoh untuk penamaan (berdasarkan skenario kita diatas 2 cabang) :
1. Site Name : kita punya 2 site, yaitu kantor pusat dan kantor cabang. Apabila perusahaan tersebut perusahaan
asing bukan perusahaan lokal (mengutamakan bahasa inggris) kita bisa memberi nama HQ(HeadQuarters) &
BRCHJKT (Branch-Jakarta). Apabila perusahaan lokal, kita bisa memberi nama KP(kantor pusat) & CBNGJKT
(Cabang-Jakarta). Penamaan site sebaiknya sesuai dengan daerah masing-masing, karena ketika kita
troubleshooting lebih memudahkan kita untuk mencari akar permasalahannya.
2. Site-Link Name : site link singkat nya adalah penghubung antar 2 site, pada AD, ini harus di configure, karena
default konfigurasi dari Microsoft adalah Full-Mesh, apabila tidak configure maka apabila terdapat banyak cabang,
maka akan terkoneksi ke sembarang site, bukan terpusat (Star Topology). Untuk Site link biasanya kita akan
namakan sesuai dengan link yang terhubung, contohnya KP-CBNGJKT.
3. OU Name : best practice dari Microsoft adalah yang paling depan berdasarkan site masing-masing untuk
penamaan nya, contohnya ketika kita membangun AD pertama x akan terdapat default OU users, domain
controllers, computers dan lain-lain. Itu dinamakan level 1, untuk desain terbaik OU max 3 level di dalamnya.
Contoh :
KP
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
CBNGJKT
UserAccount
Employees
ComputerAccount
ServerAccount
Apps
ServiceAccount
AdminAccount
4. Group Name : untuk penamaan Group biasa nya tergantung penggunaannya (pengelompokannya) di dalam AD
terdapat 2 jenis Group, Security Group dan Distribution Group. Security group (grup untuk kasih permisi di file
system dan untuk distribusi email), sedangkan distribution group (grup hanya untuk pendistribusian email).
biasa nya sistem penamaannya kurang lebih SG-<organization>-01, atau DG-<organization>-01, contohnya :
untuk Direksi SG-Direksi-01 atau untuk Helpdesk DG-Helpdesk-01.
5. Computer Name : untuk penamaan komputer biasa nya berdasarkan cabang yang bersangkutan, spesifikasi
pekerjaan / organisasi nya, kemudian penomoran. atau pun juga biasa nya ada yang memakai serial number / kode
kode untuk masing-masing cabang mereka. contoh nya : KP-Direksi-01 atau CBNGJKT-IT-01.
6. User Name : untuk penamaan user biasa nya berdasarkan user firstname.lastname (namaawal.namaakhir).
karena memudahkan user juga apabila email nya terintegrasi dengan Exchange-Server. atau pun juga bisa dengan
namaawal_namaakhir. Contoh nya : bobby.primasta atau bobby_primasta.
berlanjut keblogs berikut nya, karena yang akan didiskusi kemudian agak panjang mengenai desain AD nya.
Semoga Membantu teman2 ketika implementasi.
Terima kasih.
Dear all, and again saya mau share sesuatu about changing your Domain Controller name, Saya coba melakukan
rename ke domain controller, basically no error atau pun sesuatu hal yang membuat Active Directory kita tidak
berjalan / Group Policy dan sebagainya, things are just normal, tapi saya miss something, tidak mengganti SYSVOL
reference name yang masih mengacu ke nama yang lama, ini menyebabkan replikasi kurang berjalan dengan lancar
pada sisi SYSVOL nya(kurang terdeteksi dikarenakan kalau kita hanya menjalankan dcdiag via CMD(command line)
dcdiag/gambar dcdiag, kurang lengkap hasil nya dan akan memunculkan test Passed Reference test, sedangkan
kalau kita melakukan dcdiag /v >c:\dcdiag.txt / gambar dcdiag /v).
Gambar DCDiag Console
Gambar DCDiag /v >C:\Dcdiag.txt
Buka ADSI Edit untuk lebih lengkap nya, ADSI Edit > Click Action > Connect To
Pada Halaman COnnection Settings, Under Select a well known Naming Context, pilih Configuration,
Klik OK
Kemudian Browse ke DC=Contoso,DC=COM > CN=System > CN=File Replication Service > CN=Domain System
Volume(SYSVOL), kita akan menemukan nama Server lama dari DC tersebut..
Untuk Solve masalah ini, kita harus melakukan perubahan pada nama tersebut, sesuai dengan nama DC
yang kita pakai sekarang ini, DC-SVR-01, klik pada nama server tersebut (tekan F2/rename).
Kemudian pada command line, kita lakukan lagi dcdiag /v > c:\dcdiag1.txt, kemudian kita check kembali
hasilnya pada Txt files. we have solved 1 problem.
Ada sedikit catatan tambahan, kemudian kita juga harus mencheck DNS Record yang ada, ternyata pada
DNS Manager > Contoso.com > _msdcs > masih terdapat Name Server yang mengacu pada nama lama,
ada beberapa cara mensolve ini, dengan cara flushdns, ataupun juga melakukan replikasi dari AD Site and
Services, ataupun manually seperti yang saya lakukan pada gambar di bawah ini :
Buka DNS Manager, Browse ke Contoso.com > _msdcs > Double click Name Server tersebut
Pada Halaman _msdcs Properties, pilih server name tersebut klik Edit
Pada Halaman Edit Name Server Record, masukkan nama DC Server nya DC-SVR-01.contoso.com, klik
Resolve
Pastikan bahwa sudah Resolve dengan IP yang benar.
then it is done, as picture below… ^_^
Notes :
1. bisa dilihat dari Kb Microsoft , bisa mengganggu replikasi, akan tetapi tidak mendisable replikasi
(mean sometimes okay, sometimes problem), saya sempat sulit melihat problem yang terjadi, karena
di dcdiag cmd it was OKAY :(.
2. ada tambahan juga merename DC dengan menggunakan netdom.exe, yang saya kerjakan ini dengan
cara rename system properties (click kanan computer > properties > Change Settings > Change > kemudian
rename computer name tersebut.
Semoga membantu
Terima Kasih.
Another troubleshooting for today ^^.. hehehee.. Sudah lama saya mendapatkan error ini ketika
ngeLab, tapi belum sempat sharing. Now cuman ingin berbagi saja, so simple task, tapi kalau
nyari2 ngga ketemu juga lumayan memusingkan juga.^^.
Scenario nya, ketika kita setelah selesai Installasi Exchange Server 2010, dan akan membuka
EMC (Exchange Management Console), mendapatkan error seperti yang di bawah ini, WinRM
cannot process the request(terjadi corruption file pada WinRM, sehingga Exchange Management
Console tidak bisa melakukan inisialisasi pada pertama kalinya.
Setelah kita klik Okay akan memunculkan gambar lain seperti dibawah ini, huft… pusing,
puyeng, dan pusing. Mau testing dan lab, malah ruksak dahhh.^^
Like always, after googling, binging ^^.. hehehe. terus dapat lah beberapa forum dan blogs
sehingga mendapatkan sedikit titik terang untuk dicoba,
Notes : ngga perlu install Exchange Server yang sudah terinstall meskipun itu merupakan salah
satu solusi yang bisa menyelesaikan masalah ini. ^^.
Just do This thing :
Open Server Manager > Features > Remove Features
Pada halaman Select Features, Uncheck WinRM IIS Extension, klik Next
Pada Halaman Confirm Removal Selections, click Remove
Pada Halaman Removal Results, click Close
Kemudian coba restart server teman-teman sekalian, dan buka lagi EMC (Exchange Management
Console) hope this can solve ur problem guys,
Pada Intinya masalah ini disebabkan extension WinRM yang di install pada IIS, yang seharusnya
tidak dilakukan, sehingga menyebabkan inisialisasi gagal pada Exchange Management Console.
Semoga membantu.
Terima Kasih.
Ada di beberapa client mendapatkan error :
1. Masalah yang di timbulkan, ngga bisa update forefront definition, walaupun sudah di coba
Manually / Automatically
2. Tiap x kita click check update, selalu error… dan failed to check on update.
Saya coba testing dan cari-cari juga, apa masalah nya yang sebenarnya, dan ketemu root cause
nya. Forefront Client Security itu mendapatkan update nya melalui windows update, baik lgsg ke
microsoft update atau melalui WSUS.. Problem ini disebabkan Automatic update pada sisi client
tidak di enable / tidak dijalankan.
Step by step nya :
1. Change Automatic Update dari sisi client :
2. Atau bisa Change dari Group policy enable update untuk menggunakan WSUS / download
dari windows update.
Solved.. ^^
Status nya akan menjadi seperti ini :
Terima Kasih.
Semoga Membantu.
More Posts
Next page »