Bobby Primasta

Step by Step Implementing AD - Part I – Fase Desain Cont….

Bobby Primasta — Sat, 22 Oct 2011 04:53:00 GMT

Berlanjut dengan yang sebelumnya

D. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.

1. Site : kita sudah mendapatkan KP & CBNGJKT berdasarkan penamaan yang kita pakai tadi. (site digunakan oleh

client/pc/server yang join domain untuk login (authentikasi) ke server yang ada pada site tersebut, site dibuat hanya

atau ketika pada site tersebut mempunyai Server AD(minimal RODC, ADC, ataupun DC).

2. Subnet : Masukkan semua subnet list yang ada pada masing-masing site.

Contoh : KP : 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 (apabila subnet nya bisa di simpulkan (summarize)

lebih baik di summarize apabila tidak bisa maka kita harus memasukkannya 1 per 1. CBNGJKT : 192.168.100.0/24

192.168.101.0/24, 192.168.102.0/24. (subnet akan di link pada masing-masing site, maka ketika pC atau klien login

DNS akan mengecek, PC tersebut harus nya login ke Server AD yang mana.).

3. Site Link : Sitelink seperti yg dijelaskan sebelumnya untuk menghubungkan antar masing-masing site. kita sudah

mendapatkan sitelink kita berdasarkan konvensi penamaan KP-CBNGJKT dengan cost 180 (gunakan default cost)

site link juga menentukan jarak terdekat dan waktu replikasi priority). Karena cabang kita hanya satu jadi kita tidak

perlu membuat beberapa site-link.

4. OU : kegunaan utama OU ada untuk pengelompokan Objek yang di dalam AD dan untuk memberikan Policy

specific kepada setiap objek .Untuk OU sendiri seperti yang saya jelaskan sebelumnya pada penamaan, OU best

practice dari Microsoft tidak lebih dari 3 level. kita akan untuk level 1, kita akan pakai Cabang atau wilayah masing-

masing untuk level 2 kita akan pakai account apa yang digunakan, level 3 kita akan pakai specific account, atau

detail untuk masing-masing account tersebut.

Contoh :

UserAccount

Employees

ComputerAccount

ServerAccount

Apps

ServiceAccount

AdminAccount

CBNGJKT

UserAccount

Employees

ComputerAccount

ServerAccount

Apps

ServiceAccount

AdminAccount

Biasa nya akan selalu ada pertanyaan, apabila semua user pada kantor pusat di letakkan pada OU Employees

bagaimana apabila kita akan membuat policy hanya untuk user marketing / helpdesk yang tidak bisa internetan ?

Penjelasannya, pada Group Policy AD, didalam masing-masing policy kita bisa bikin lebih specific lagi kepada siapa

policy itu digunakan, by default nya AD policy akan kena oleh semua user (authenticated users), nah kita tinggal

menremove default user tersebut menggantikannya dengan Group Marketing misalnya, jadi tiap group atau divisi

atau organisasi dalam suatu perusahaan akan tetap mendapatkan policy (aturan) sesuai dengan hak masing2.

5. Policy : policy sebaiknya di pecah-pecah menjadi beberapa bagian

a. Default Domain Policy (policy yang dikenakan untuk semua user, biasa nya password, wallpaper, dll)

b. Default Domain Controller Policy (Policy yang hanya dikenakan untuk Active Directory Servers, biasa nya siapa saja

yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)

c. Member Server Policy (policy yang dikenakan untuk setiap server ada, perlakuannya sedikit berbeda dengan

member komputer karena server lebih sedikit harus di lindungi seperti DC, biasa nya kurang lebih sama seperti DC

siapa saja yang boleh login pada server tersebut, audit log pada server AD tersebut, dll)

d. Spesifik cabang atau juga spesific divisi. Ada baiknya jangan terlalu banyak membuat masing-masing divisi, contoh

helpdesk, marketing, accounting, finance, system engineer, network engineer, dan lain lain, apabila sudah terlalu

banyak seperti ini, maka ketika mendapatkan suatu masalah / problem maka akan cukup rumit untuk melakukan

troubleshooting masalah tersebut.

Biasanya saya akan membuat hanya 4/5 policy

1. Default Domain Policy,

Password

- Complexity : enabled, history : 10, length : 8, changed : 1 month.

Account lockout

- duration : 30 minutes, wrong : 5x.

USB drives storage : disabled all users

USB device (printer, cd drive) tergantung policy perusahaan better close.

Wallpaper : sama semua user.

- Run Command : disabled (mencegah user untuk otak-atik system)

- CMD command : disabled (mencegah user untuk otak-atik system)

- Control Panel : disabled (mencegah user melakukan installasi program ilegal)

- folder sharing : disabled (menggunakan folder sharing yg ada di server)

Notes : biasa nya perlu di lakukan test apps, karena ada karena beberapa policy aplikasi tertentu tidak berjalan

dengan baik. ( the more secure = the less effectiveness <—harus di seimbangkan.)

2. Default Domain Controller Policy,

3. Member Server Policy,

4. specific policy sebaiknya hanya di gunakan untuk apabila di masing-masing cabang perlu setting an proxy yang

berbeda atau untuk level direksi yang memerlukan akses lebih, selain itu sebaiknya sama. karena akan amat sangat

kompleks.

Notes

~Untuk Detail policy masing-masing nya, belum bisa saya berikan saat ini, karena cukup banyak, apabila ada yang

membutuhkan, bisa email saya ke bobby_primasta@yahoo.com mungkin saya akan bantu kirim file nya.

~Desain ini merupakan desain simple AD, yang hanya di implementasikan pada 2 cabang, mungkin berikut nya saya

juga akan memberikan desain yang lebih advanced dari ini. Keep waiting & keep reading ya guys.

~Apabila ada pertanyaan just asking aja lewat wss-id.org mailing list, atau forum, atau melalui blogs ini juga boleh

untuk desain yang di atas, maka saya akan dengan senang hati membantu.

Semoga membantu ya.

Terima kasih.

Share this post: | | | |

Step by Step Implementing AD - Part I – Fase Desain

Bobby Primasta — Fri, 21 Oct 2011 10:28:01 GMT

Terakhir dalam satu tahun ini cukup banyak proyek Active Directory yang saya kerjakan.

Mau share sedikit dengan teman – teman sekalian,

Mulai dari :

1. Bangun Baru AD dari 0.

2. Upgrade AD dari 2003 to 2008 R2 atau 2008 ke 2008 R2.

3. Migrate AD Forest with Multiple domain 2003 R2 ke 2008 R2.

dan sebagai nya :).

Yang ingin saya share mungkin dari hal yang paling simple terlebih dahulu, seperti yang pada point 1

Membangun Active Directory dari 0

Terdapat lima fase ketika kita akan membangun AD :

1. Fase Desain. (penentuan Implementasi AD yang akan dilakukan pada server pusat)

2. Fase Testing Aplikasi. (pengetestan Apps dengan policy yang sudah kita buat)

3. Fase Implementasi (pembangunan Server Pusat).

4. Fase Staging untuk server yang di cabang.

5. Fase Piloting, dimana kita akan mencoba testing di salah satu cabang terlebih dahulu kemudian.

Kita akan bahas satu – satu untuk kelima fase ini, yang akan menentukan sukses tidak nya Active Directory

yang akan kita implementasi. Mulai dari tahap awal yang paling simple yaitu fase desain, simple akan tetapi

sangat menentukan kedepan nya.

1. Fase Desain (Design Phase).

Kurang lebih Fase desain meliputi sebagai berikut :

a. Assessment (survei).

b. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.

c. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.

d. Penentuan pemakaian Policy, Site, Subnet, Site-Link, OU, group etc.

A. Assessment.

Sebelum memulai desain biasa nya kita akan melakukan assessment (survei) pada kantor yang bersangkutan.

Untuk melihat keadaan yang ada di kantor (customer tersebut) misalnya Ada berapa cabang, ada berapa

komputer dan user, kemudian kira-kira pertumbuhan pegawai mereka berapa banyak setiap tahun nya. dan

lain sebagainya.

Kita akan ambil contoh simpel, terdapat 1 Perusahaan yang mempunyai sekitar 230 karyawan, terdapat 2 kantor,

1 kantor pusat dan kantor cabang, di kantor cabang kurang lebih terdapat 150 karyawan, sedangkan pada

kantor cabang terdapat kurang lebih 80 karyawan. Dan growth Perusahaan (perkembangan perusahaan nya)

kurang lebih 30 karyawan pertahunnya.

B. Penentuan server hardware, berapa banyak server yang di pakai dan penempatannya.

Setelah selesai fase awal, kita akan memulai hal berikut nya yaitu menentukan berapa banyak server yang kira2

kita butuhkan. Berdasarkan assessment kita paling sedikit kita membutuhkan 2 server untuk high availability AD

biasa nya minimum tersebut selalu saya pakai, untuk karyawan di bawah <1000 termasuk skala kecil, sehingga

kita juga tidak memerlukan spec server yang wah. Untuk Contoh ini saya akan memakai 3 server HP DL360 G7 8Gb

memory, harddisk 146gb x3 (RAID 5) untuk HA Server, 2 NIC 1Gbit, seharusnya ini sudah cukup. Bahkan untuk

perkembangan kedepannya. 3 server tersebut, akan kita lokasikan 2 di pusat untuk High Availability (HA) /

redundancy dan 1 server di cabang, karena best practice nya Microsoft untuk menempatkan 1 server lagi di cabang

minimum user >30 agar tidak mengganggu bandwidth dari cabang ke pusat ketika user melakukan login /

authentikasi.

C. Penentuan penamaan Policy, Site, Site-Link, OU, group, user, computer etc.

Untuk penamaan sendiri sebenarnya tergantung pada perusahaan yang bersangkutan, apakah mereka sudah

terdapat standarisasi penamaan (implement naming convention) ? apabila belum, maka kita bisa mengajukan /

memberi masukan ke mereka.

Contoh untuk penamaan (berdasarkan skenario kita diatas 2 cabang) :

1. Site Name : kita punya 2 site, yaitu kantor pusat dan kantor cabang. Apabila perusahaan tersebut perusahaan

asing bukan perusahaan lokal (mengutamakan bahasa inggris) kita bisa memberi nama HQ(HeadQuarters) &

BRCHJKT (Branch-Jakarta). Apabila perusahaan lokal, kita bisa memberi nama KP(kantor pusat) & CBNGJKT

(Cabang-Jakarta). Penamaan site sebaiknya sesuai dengan daerah masing-masing, karena ketika kita

troubleshooting lebih memudahkan kita untuk mencari akar permasalahannya.

2. Site-Link Name : site link singkat nya adalah penghubung antar 2 site, pada AD, ini harus di configure, karena

default konfigurasi dari Microsoft adalah Full-Mesh, apabila tidak configure maka apabila terdapat banyak cabang,

maka akan terkoneksi ke sembarang site, bukan terpusat (Star Topology). Untuk Site link biasanya kita akan

namakan sesuai dengan link yang terhubung, contohnya KP-CBNGJKT.

3. OU Name : best practice dari Microsoft adalah yang paling depan berdasarkan site masing-masing untuk

penamaan nya, contohnya ketika kita membangun AD pertama x akan terdapat default OU users, domain

controllers, computers dan lain-lain. Itu dinamakan level 1, untuk desain terbaik OU max 3 level di dalamnya.

Contoh :

UserAccount

Employees

ComputerAccount

ServerAccount

Apps

ServiceAccount

AdminAccount

CBNGJKT

UserAccount

Employees

ComputerAccount

ServerAccount

Apps

ServiceAccount

AdminAccount

4. Group Name : untuk penamaan Group biasa nya tergantung penggunaannya (pengelompokannya) di dalam AD

terdapat 2 jenis Group, Security Group dan Distribution Group. Security group (grup untuk kasih permisi di file

system dan untuk distribusi email), sedangkan distribution group (grup hanya untuk pendistribusian email).

biasa nya sistem penamaannya kurang lebih SG-<organization>-01, atau DG-<organization>-01, contohnya :

untuk Direksi SG-Direksi-01 atau untuk Helpdesk DG-Helpdesk-01.

5. Computer Name : untuk penamaan komputer biasa nya berdasarkan cabang yang bersangkutan, spesifikasi

pekerjaan / organisasi nya, kemudian penomoran. atau pun juga biasa nya ada yang memakai serial number / kode

kode untuk masing-masing cabang mereka. contoh nya : KP-Direksi-01 atau CBNGJKT-IT-01.

6. User Name : untuk penamaan user biasa nya berdasarkan user firstname.lastname (namaawal.namaakhir).

karena memudahkan user juga apabila email nya terintegrasi dengan Exchange-Server. atau pun juga bisa dengan

namaawal_namaakhir. Contoh nya : bobby.primasta atau bobby_primasta.

berlanjut keblogs berikut nya, karena yang akan didiskusi kemudian agak panjang mengenai desain AD nya.

Semoga Membantu teman2 ketika implementasi.

Terima kasih.

Share this post: | | | |

Rename Domain Controller and itS concern… …

Bobby Primasta — Wed, 15 Dec 2010 06:15:47 GMT

Dear all, and again saya mau share sesuatu about changing your Domain Controller name, Saya coba melakukan

rename ke domain controller, basically no error atau pun sesuatu hal yang membuat Active Directory kita tidak

berjalan / Group Policy dan sebagainya, things are just normal, tapi saya miss something, tidak mengganti SYSVOL

reference name yang masih mengacu ke nama yang lama, ini menyebabkan replikasi kurang berjalan dengan lancar

pada sisi SYSVOL nya(kurang terdeteksi dikarenakan kalau kita hanya menjalankan dcdiag via CMD(command line)

dcdiag/gambar dcdiag, kurang lengkap hasil nya dan akan memunculkan test Passed Reference test, sedangkan

kalau kita melakukan dcdiag /v >c:\dcdiag.txt / gambar dcdiag /v).

Gambar DCDiag Console

Gambar DCDiag /v >C:\Dcdiag.txt

Buka ADSI Edit untuk lebih lengkap nya, ADSI Edit > Click Action > Connect To

Pada Halaman COnnection Settings, Under Select a well known Naming Context, pilih Configuration,

Klik OK

Kemudian Browse ke DC=Contoso,DC=COM > CN=System > CN=File Replication Service > CN=Domain System

Volume(SYSVOL), kita akan menemukan nama Server lama dari DC tersebut..

Untuk Solve masalah ini, kita harus melakukan perubahan pada nama tersebut, sesuai dengan nama DC

yang kita pakai sekarang ini, DC-SVR-01, klik pada nama server tersebut (tekan F2/rename).

Kemudian pada command line, kita lakukan lagi dcdiag /v > c:\dcdiag1.txt, kemudian kita check kembali

hasilnya pada Txt files. we have solved 1 problem.

Ada sedikit catatan tambahan, kemudian kita juga harus mencheck DNS Record yang ada, ternyata pada

DNS Manager > Contoso.com > _msdcs > masih terdapat Name Server yang mengacu pada nama lama,

ada beberapa cara mensolve ini, dengan cara flushdns, ataupun juga melakukan replikasi dari AD Site and

Services, ataupun manually seperti yang saya lakukan pada gambar di bawah ini :

Buka DNS Manager, Browse ke Contoso.com > _msdcs > Double click Name Server tersebut

Pada Halaman _msdcs Properties, pilih server name tersebut klik Edit

Pada Halaman Edit Name Server Record, masukkan nama DC Server nya DC-SVR-01.contoso.com, klik

Resolve

Pastikan bahwa sudah Resolve dengan IP yang benar.

then it is done, as picture below… ^_^

Notes :

1. bisa dilihat dari Kb Microsoft , bisa mengganggu replikasi, akan tetapi tidak mendisable replikasi

(mean sometimes okay, sometimes problem), saya sempat sulit melihat problem yang terjadi, karena

di dcdiag cmd it was OKAY :(.

2. ada tambahan juga merename DC dengan menggunakan netdom.exe, yang saya kerjakan ini dengan

cara rename system properties (click kanan computer > properties > Change Settings > Change > kemudian

rename computer name tersebut.

Semoga membantu

Terima Kasih.

Share this post: | | | |

Exchange Server 2010 Initialization Failed–WinRM client cannot process the request

Bobby Primasta — Fri, 10 Dec 2010 02:53:44 GMT

Another troubleshooting for today ^^.. hehehee.. Sudah lama saya mendapatkan error ini ketika

ngeLab, tapi belum sempat sharing. Now cuman ingin berbagi saja, so simple task, tapi kalau

nyari2 ngga ketemu juga lumayan memusingkan juga.^^.

Scenario nya, ketika kita setelah selesai Installasi Exchange Server 2010, dan akan membuka

EMC (Exchange Management Console), mendapatkan error seperti yang di bawah ini, WinRM

cannot process the request(terjadi corruption file pada WinRM, sehingga Exchange Management

Console tidak bisa melakukan inisialisasi pada pertama kalinya.

Setelah kita klik Okay akan memunculkan gambar lain seperti dibawah ini, huft… pusing,

puyeng, dan pusing. Mau testing dan lab, malah ruksak dahhh.^^

Like always, after googling, binging ^^.. hehehe. terus dapat lah beberapa forum dan blogs

sehingga mendapatkan sedikit titik terang untuk dicoba,

Notes : ngga perlu install Exchange Server yang sudah terinstall meskipun itu merupakan salah

satu solusi yang bisa menyelesaikan masalah ini. ^^.

Just do This thing :

Open Server Manager > Features > Remove Features

Pada halaman Select Features, Uncheck WinRM IIS Extension, klik Next

Pada Halaman Confirm Removal Selections, click Remove

Pada Halaman Removal Results, click Close

Kemudian coba restart server teman-teman sekalian, dan buka lagi EMC (Exchange Management

Console) hope this can solve ur problem guys,

Pada Intinya masalah ini disebabkan extension WinRM yang di install pada IIS, yang seharusnya

tidak dilakukan, sehingga menyebabkan inisialisasi gagal pada Exchange Management Console.

Semoga membantu.

Terima Kasih.

Share this post: | | | |

FCS–Error Code 0x80070422

Bobby Primasta — Thu, 09 Dec 2010 04:36:01 GMT

Ada di beberapa client mendapatkan error :

1. Masalah yang di timbulkan, ngga bisa update forefront definition, walaupun sudah di coba

Manually / Automatically

2. Tiap x kita click check update, selalu error… dan failed to check on update.

Saya coba testing dan cari-cari juga, apa masalah nya yang sebenarnya, dan ketemu root cause

nya. Forefront Client Security itu mendapatkan update nya melalui windows update, baik lgsg ke

microsoft update atau melalui WSUS.. Problem ini disebabkan Automatic update pada sisi client

tidak di enable / tidak dijalankan.

Step by step nya :

1. Change Automatic Update dari sisi client :

2. Atau bisa Change dari Group policy enable update untuk menggunakan WSUS / download

dari windows update.

Solved.. ^^

Status nya akan menjadi seperti ini :

Terima Kasih.

Semoga Membantu.

Share this post: | | | |

Forefront Client Security – Asking download new Version Program - Warning

Bobby Primasta — Thu, 09 Dec 2010 03:48:44 GMT

Hi Semua, apa kabar ? hehee…

Quite a long time, ngga nulis blogs, kebetulan mau berbagi tentang troubleshooting yang

based on Implementation saya di lapangan. (problem yang aneh, tapi effect nya hampir ke

user, quite annoying, meskipun bukan hal yang critical, saya sempat di marahin sama

customernya)

History nya, ketika sedang implementasi forefront d salah satu customer saya, ada beberapa

client yang status forefront Client security nya Warning, (Icon nya menunjukkan warna Orange).

Logo yang muncul seperti gambar di bawah ini :

kemudian big boss IT nya bertanya, “kenapa forefront nya minta install new Version, kalau saya

user biasa pasti terlihat sedikit mengganggu dengan ada nya warning tersebut” kemudian saya

check last forefront version, definition, critical update, semua sudah terinstall dengan baik seperti

yang ada pada gambar di bawah ini :

saya kemudian coba klik juga link Download, yang ada pada forefront clientnya, ternyata juga

sama, menunjukkan semua version terakhir yang ada.. ehmm quite confusing, saya sempat

menjelaskan ke customer “semua versi nya sudah terakhir, itu cuman bugging” tapi big boss

nya kurang mau tahu, karena kalau sebagai user, maka akan mengganggap “New Version” itu

sebuah program yang lebih update, kemudian saya coba search beberapa article, it took me

about 2 days, dan hasil nya cukup lumayan, saya mendapatkan hasil yang baik, here is the

resolve( kita butuh hotfix untuk fix problem nya, ada beberapa data yang corrupt, sehingga

forefront mengganggap data, bukan data yang terakhir.).

Hotfix nya ada disini :

http://support.microsoft.com/kb/938054

After install then fixed, most of all the clients. then the result should be like this :

Terima Kasih.

Semoga Membantu.

Share this post: | | | |

SCVMM P2v untuk DC(primary) Guide Part 3… … …

Bobby Primasta — Thu, 26 Nov 2009 07:30:17 GMT

Cukup mudah untuk melakukan P2V ? hehehe… ^_^ it’s Windows Guys, everything they will make you easy ^_^

hhee. Sekarang setelah semua nya di pindahkan, saat nya untuk Turn Of Physical OS nya dan Turn ON Virtual.

dan kemudian kita periksa satu persatu, termasuk koneksi terhadap DC lain, replikasi da sebagai nya, berikut ini,

saya capture 1 persatu, yg terjadi setelah P2V untuk DC.

Status Turn OFf, pada saat sukses memindahkan, akan tetapi belum bisa di turn ON dikarenakan Physical server

masih ON.

Pada Halaman Windows Virtual Guest Login.(setelah kita mematikan Physical OS/Physical DC)

Pada saat saya melakukan P2V, yg terjadi adalah, saya kehilangan Network Adapter dan saya,

harus memasukkan manually untuk memakai IP Address static. sesuai dengan IP yg sebelum nya

agar bisa mengontak domain Controller yang laen (Additional Domain Controller )

Coba untuk Ping lagi, untuk memastikan bahwa network berjalan dengan baik (OK), terutama terhadap

domain controller yang lain.

Kemudian Check Operation master apakah sudah pindah ke VIrtual atau masih ada di Physical server nya.

dengan acara membuka Active Directory User and Computer.

Check Semua Operations Master, sudah berpindah ke Virtual yg tepat, RID,PDC, Infrastructure, Domain

Naming, dan juga Schema master.

Terakhir check juga dengan DCDIAG, click Start > Run > CMD > OK, ketik dcdiag dan enter

check all replikasi berjalan dengan baik tanpa error. Dan congratulation guys, ur P2V has been done

now, sudah selesai. ^_^. Selamat. untuk mengingatkan sekali lagi, sebelum melakukan P2V untuk

Primary domain Controller(DC with Operations Master tidak di sarankan, lebih baik pndahkan dlu ke

DC yg tanpa operations master).

Semoga bermanfaat.

Terima Kasih.

Share this post: | | | |

SCVMM P2v untuk DC(primary) Guide Part 2… … …

Bobby Primasta — Thu, 26 Nov 2009 06:24:20 GMT

Sekarang saya akan menunjukan Step by step how to move Physical DC(dengan Operations Master)

ke VIrtual Machine dengan menggunakan SCVMM 2008 R2, sukses ^_^, meskipun tidak disarankan

untuk live production.

Sebelum nya saya akan menjelaskan terlebih dahulu apa yg saya pakai dalem test ini, saya memakai

3 buah Notebook ACER 4540, dengan Memori 4Gb Support for Virtualisation(kebetulan notebook laen nya

milik orang filipine, sama2 orang kantor). jadi kita test bareng2 ^_^.

Computer A = Virtual Host(Win 2008 R2 + SCVMM + Hyper V), VM1(Win 2008 R2 + Exch 2010),

VM2(Win 2008 R2 + ADC)

Computer B = Virtual Host(Win 2008 R2 + Hyper V), VM1(Win 2008 R2 + Exch 2010 ),

VM2 (Win 2008 R2 + OCS 2007 R2)

Computer C = boot A = Windows Server 2008 R2 + DC(with operations Master), boot B = Windows 7

(DUAL BOOT)

Dan yang saya lakukan adalah saya akan mengconvert Computer C ke Virtual

Step by step nya adalah sebagai berikut.

1. Membuka SCVMM Admin COnsole, kemudian di navigasi sebelah kanan dibawah Actions, click Convert

Physical server(membuka VMM untuk melakukan P2V, karena p2v hanya bisa dilakukan dengan meng

gunakan SCVMM 2008

Pada Halaman Select Source, type :

Computer name or IP Address : ocs-server01.universal.com.bn(nama server yang akan di convert)

User name : administrator (admin right untuK SCVMM )

password : password

Domain or computer name : Universal (nama domain)

Kemudian click Next >

Pada Halaman Virtual Machine Identity, ketik

Virtual Machine name : ocs-server01 (menamakan virtual machine yg baru, bisa menggunakan nama yg beda)

Owner : Universal\administrator (kita menggunakan nama admin untuk SCVMM Account )

Pada halaman System Information, klik Scan System ( ini agar SCVMM agent untuk P2V bisa membaca

semua hardware dan software informasi yg ada di computer tersebut, yg kemudian akan di pakai untuk

perpindahan)

Setelah mendapatkan semua informasi yg ada, seperti Operating system, Hardrive, memory, Processor

dan Network Adapter yg ada, kemudian klik Next >

Pada Halaman Volume Configuration,

Disini saya hanya mengcapture system yg d C Drive, dikarenakan notebook saya cuman ada beberapa

Giga lagi, tidak cukup menampung semua nya, seandainya ada HD yg cukup bisa mencoba untuk

mengCHECK D drive juga, agar bisa mendapatkan dual boot dari Machine tersebut.

Pada halaman Virtual Machine Configuration, pilih

Number of Processor : 1

Memory : 600MB

Kita bisa memilih processor apa yg akan kita gunakan, dan memory yg kira2 bisa mensupport applikasi yg ada

(aplikasi yg saya pindahkan merupakan ADC, tdak memakan memory yg banyak, krn user nya sedikit, jadi saya

pilih 600mb memory), click Next >

Pada halaman Select Host, saya pilih Notebook saya MRBOBS-PC2.universal.com.bn (pilih host yg akan

menjadi target anda, sebaiknya sesuai dengan PRO, karena Recommended berdasarkan Virtual Host

Utilization

Pada Select Path, ketik

Virtual Machine Path : E:\VPC

Masukan drive dan folder dmana kita akan menyimpan Virtual Machine tersebut,

Pada halaman Select Networks, pilih

Network Adapter 1 : External

Network Adapter 2 : External(dmana akan terkoneksi ke NIC PC saya sebagai gateway untuk keluar)

Pada halaman Additional Properties, pilih

Action when physical server starts : Never automatically turn on the virtual machine, dikarenakan ketika

kita sudah memindahkan DC ke Virtual, kita harus mematikan Virtual Host nya, apabila kita tidak mematikan

terlebih dahulu maka akan terjadi konflik SID, Computer name dan replication juga akan terjadi error dalam

Active Directory kita.

Action when physical server stop : Turn Off Virtual Machine, click Next >

Pada halaman Conversion Information, terdapat warning yg menyebutkan tidak disarankan untuk

melakukan P2V pada Domain Controller(With Operations Masters), click Check Again, dan Next >

Pada Summary, kita bisa mengexport skrip yg ada, dan apabila kita ingin menjalankan P2V tanpa

menggunakan GUI kita juga menjalankannya dengan menggunakan Script. kemudian click Create

Pada halaman Jobs kita bisa melihat process perpindahan, d mulai pada 40%, itu lah yg saya lihat pertama x

Setelah selesai, ini memakan waktu sekitar 2jam, dengan kapasitas C drive 20.2 Gb, bisa di pakai

sebagai Referensi ketika kalian juga ingin melakukan P2V, da juga tergantung applikasi yg ada

Ketika selesai jgn di di nyalakan terlebih dahulu sebelum Virtual Host dimatikan.

Demikian Artikel kedua untuk step by step P2V, sudah berhasil memindahkan DC, akan tetapi saya

harus memastikan dengan benar, bahwa semua DC baik dan terkoneksi dengan DC yg laen nya.

Semoga Bermanfaat. ^_^

Share this post: | | | |

SCVMM P2v untuk DC(primary) Guide Part 1… … …

Bobby Primasta — Thu, 26 Nov 2009 05:06:03 GMT

hi All, sudah lumayan lama ngga ngeblogs di Wss-ID, hehehehe. kata2 pembuka yg sama ^_^, want to share

something, dan semoga bermanfaat, Saya lagi mencoba2 bermain dengan SCVMM lagi, sudah lama sekali ngga

testing, maklum karena hardware ngga ada dan juga belum ada temen2 buat share, dan kerja bareng, sekarang

kebetulan lagi ada, dan siap untuk testing dan sharing lagi,

Saya sedang mencoba testing menarik yg pertama.. untuk SCVMM, dlu saya dan temen saya Arfan (MVP OCS)

pernah bikin e-book mengenai Hyper dan SCVMM 2008 Beta, sekarang SCVMM sudah ada versi terakhir nya, yaitu

SCVMM 2008 R2, it’s Amazing ^_^, kalo di bandingkan dengan Beta yg sama kerjakan dlu .hehehhe bugs dmana2

hehee. sekarang sangat2 stabil, mulai dari menambahkan host yg akan di manage, create new VM, deploy agent dan

lain2, kalau dahulu untuk menambahkan host saja, sudah error sana sini, sekarang benar2 stabil dan reliable, GUI

nya juga bikin saya, want to try moreEEE and MorEEE ^_^ hehehhe.

Go GO go…

Okay, dan saya akan memulai pertualangan kita hari ini, dengan merincikan apa2 saja yg harus dipikirkan sebelum

kita memindahkan DC dari Physical to Virtual.

Ini beberapa pertimbangan nya, (dari hasil baca2 microsoft and blogs,

beberapa hari sebelum test sendiri) hehehe :

Install semua minimum patch untuk Virtual DC
Install Integration components pada virtual Domain Controllers(memudahkan untuk memanage Virtual DC)
Menyediakan Synchronisasi waktu antara ADC ke Primary DC(DC yg memegang PDC Emulator).
Jangan pernah pause atau menSTOP virtual Domain Controller, dikarenakan pertimbangan Replikasi antara
DC dan ADC nya, akan berpengaruh besar.
Jangan menggunakan undo disks, differencing disks atau snapshots pada virtual Domain Controllers
Backup and restore Domain Controllers dengan cara yang benar(lihat backup dan restore yg di support oleh
MS)
Gunakan Fixed-Sized VHDs Untuk virtual Domain Controllers.(untuk Kestabilan DC di virtualisasi nya)
Gunakan disks yg berbeda dari system disk kita untuk menyimpan Active Directory Files

Kalau semua nya sudah siap, kita sudah bisa melakukan perpindahan, Adapun beberapa saran dari Microsoft yg

perlu kita take Note :

1. Untuk operations masters lebih baik di pegang oleh Virtual Host, jgn gunakan VIrtual Guest untuk Operation

master

2. Untuk failover domain controller, jgn menggunakan Failover clustering, akan tetapi lebih baik dengan Cara DC

dan ADC, kalau dengan failover cluster, ketika node active down dan di pindahkan ke VM yg lain (passive node

ON), maka ada jeda waktu ketika failover akan menyebabkan masalah ketika replikasi, maka lebih baik dengan

cara DC dan ADC, apabila ada masalah dengan DC, kita bisa melakukan seize terhadap operations master nya.

Dan membersihkan database AD dengan NTDSUtil, tanpa membuat replikasi AD bermasalah.

3. Perlu di ingat juga, jgn menempatkan 2 mesin DC d dalam 1 Virtual Host yg sama.

Ini adalah beberapa saran yg harus di pertimbangkan sebelum melakukan perpindahan DC dari Physical to Virtual

Dibagian 2 saya akan memberikan semua print screen how to do it ^_^ Cheers Guys, feel good to do blogging

again ^_^… hehehe

Semoga Bermanfaat.

Share this post: | | | |

SoUveNir from MVP SummiT 2009 .. .. ..

Bobby Primasta — Sun, 15 Mar 2009 11:57:00 GMT

Hi semua nyaa .. sudah lama sekali saya tidak ngeblogs .. so sorry, karena di kejer2 gawe he4. tapi kali ini disempet2 in d buat berbagi apa yg ada dan saya dapat di MVP sUmmit 2009.. 1 kata pertama adalah terkesan dengan Microsoft HQ en yg kedua adalah cape banget eui perjalanan nya, 28 jam termasuk dengan transit nya.. bener2 capek .. untuk MVP Summit 2009 ini yg datang wakil dari Indonesia adalah saya( Bobby Primasta / Directory Services ) dan temen saya Arfan Arlanda (MVP - OCS). kurang lebih acara nya ok banget lah :D good.. 1 hari untuk registrasi dan Pembukaan, 2 hari session buat Specialty masing-masing, kemudian 1 hari untuk penutupan kurang lebih begitu rangkaian acara nya . so far so great di sana. ^_^

Dari session kuw, karena lebih cenderung ke directory services maka lebih banyak di feature - feature update untuk windows server 2008 R2 banyak yg menarik dsini, d dalamnya terdapat diskusi tentang apa yg sudah ada dan laen - laen, tapi seperti nya belum bisa di share saat ini di karenakan masih NDA(alias masih untuk MVP saja) kalau sudah boleh ak akan coba untuk sharing apa aja fitur fitur nya dan bagaimana cara implemetnya nya ( how to ) semoga ada waktu buat nulis again ... :D

Untuk Semua yg expert, keep bloging y, semoga ketemu di mvp next year, meskipun g jauh, tapi tetep cinta negara sendiri eui, tidak mau mewakili negara laen kalo emang mungkin, kesana bawa bendera indo lagi tahun depan :D, next semoga akan nyusul blogs mengenai Directory Services dan feature - feature yg ada di vista R2 dan WS2008 R2 thx for u all guys .

Sehabis Registrasi, orang-orang agak sepi, karena datang nya kesiangan :D

Opening : kumpul-kumpul di tempat MVP lead masing-masing ..

Opening : MVP Asia Tenggara yg hadir untuk MVP Summit kali ini

Session : MS Campus arfan, saya dan ada bendera kita, "hIdup Indonesia" :D

Salah satu dari Session yg ada...

Session Belanja di Microsoft Store, mungkin om ray and om Faisal juga kesana tahun kmrn :D

Closing : MVP Singapore, represent South East Asia naek panggung di acara penutupan

Keren eui, nyobain Microsoft Surface, kek yg di filem2 :D hehehe, semoga cepat launch d ini.

Meskipun cape banget, tapi seneng banget dengan semua pengalaman dan pengetahuan yg didapet disana, " can't buy experiences with money " thx again for naren, raymond, faisal, pak tutang, arfan en all wss-id people, bisa jadi wakil indo kesana d tahun ini :D, yg mana tahun kemaren yg pergi raymond(Exchange MVP) sama om faisal(Exchange MVP) ...

Semoga bermanfaat dan bikin semangat semua nya ^_^ d

Share this post: | | | |

Pengalaman Hyper-V di Production Part I

Bobby Primasta — Thu, 20 Nov 2008 12:03:00 GMT

HaloO Wss-id, udah lama banget eui ga posting-posting disini.hehehe...

Lagi ga ada en ga punya setup apa-apa saat ini yg bisa di bagi, baru but kalau ak ada pasti langsung

di publish, maklum ga posting, ada beberapa kerjaan yg baru en assignment yg aneh, jd ga sempet

buat bikin step by step eui, padahal ada beberapa yg menarik juga. ^_^..

Ak ada design internal kantor yg sekarang, kebetulan ak yg bangun berdua sama temen yang satu,

lagi dia fokus di bagian sharepoint nya, sisa nya ak, coz ak juga kebagian ngerjain sharepoint di

project, hiks. orang infra disuruh bikin web, sedih... ^_^. Yup Mari kita mulai cerita gambar dibawah ini

ya ga bagus2 amad seh, tapi ini udah running semenjak ak baru masuk dan langsung recommend ke

Boss, ak Mau MICROSOFT HyPER-V, kebetulan perusahaannya vendor and microsoft partner juga, so

License jd seolah-olah unlimited .. .. hehehe ( Enterprise Semua boo00 ) ^_^ .

Di Internal kita cuman punya 3 server, sudah di sebutkan juga merk nya, maklum cari yg murah,

karena kebetulan orang nya juga dikit, ehmmm dengan server yg di wss-id masih bagusan itu kale :P

coz pernah liat eui.. ^_^. Naksir hYpeR-V gara-gara udah ngoprek en bikin bukunya, setelah itu

pokok nya punya en implement di production nya, so the real experience come out now...

Existing kantor sebelumnya hanya 2 server, 1 untuk production dan 1 lagi untuk development

kira-kira begini isi server nya:

Server 1 : Windows Server 2003 Standard Edition SP2

Exchange Server 2003 SP2

Windows Sharepoint Services 3.0

Active Directory 2003 (global catalog, 5 Operations Master)

Server 2 : bahan percobaan tok, sempet ga dipakai 2 bln dan ak coba2 untuk install CRM 4.0

En setelah itu, datang lah server baru yg gambar paling atas(yg paling gede :P) ak mau cerita

bagaimana cara ak sedikit mengubah 2 server itu jd seperti yg diatas, mungkin tidak the best way,

untuk yang laen tapi menurut ak sudah ckup memuaskan dikarenakan hardware yg agak terbatas,

sebelum ak jelasin lebih jauh mengapa tertarik banget untuk implement hyPer-V coz boss minta nya

banyak banget aplikasi, dari mulai exchange 2007, sharepoint 2007, CRM yg paling baru (CRM 4.0),

OCS dan dia mau coba2 yang lain juga kalau masih, kemudian saran kuw cuman 1, HYPER-V, gara2

ngoprek ma naren, faisal, remon en om arfan ne, jd keranjingan mau implement and manage di

production.. berhasil BRO .. hehehe

Yang ak lakuin pertama x di Exchange-Server :

Install Server 2008, Install Hyper-V , install Exchange Server( Ngoprek2 RPC-Outlook

Anywhere, ActiveSync, OWA, OOO, Autodiscover), nah disini ada masalah di server lama

(belum pernah ada certificate services(owa yg lama masih http), ga bisa request cert error nya

ngga jelas, terus ak ga pikir panjang lagi karena DC nya juga cuman 1, langsung bangun satu

Virtual Machine diatas hyper-v nya kemudian Install DC( ADC-Server / mikirin failover

juga ^_^) yg baru kemudian ak install Active Directory Certificate Services nya yg 2008 punya.

ehmm. kebetulan saat installasi exch nya liat referensi dr ebook na om raymond (thx bro ^_^) yg

ada di wss-id, yg agak ribet waktu bikin RPC dll, coz IIS 7.0 banyak perbedaan dr segi tampilan, y

pertama2 agak pusing eui, once it beres, langsung cool d.. heheehee .. ada sedikit bugs juga

waktu kita mau ngejalanin RPC(outlook anywhere) di atas windows server 2008(ehmm coba

ak masih puny doc nya eui, mungkin lebih mantep lagi ya.hehehe. ^_^.

Kemudian ak bangun satu virtual machine lagi Install Sharepoint 2007 + SQL 2005 diatasnya

nah yg ini yg main-main dengan content nya temen kuw, banyak eui ribet... mayan menarik juga

sharepoint, hiks, asal jgn coding :P ....

ehmm kek nya kebanyakan cerita nie malah gag ada step by step sama sekali, hope Next will be, step

by step dari real implementasi ak, ak coba bikin lagi d virtual nya kalau emang bisa di jalan in di

notebook, en ak bakal publish again di wss-id.

Lanjut ke Part 2 yak, alias yg kedua. hehehe.. .. .. ..

Semoga ada pelajaran yg bisa diambil, en kalau mau tanya2 juga boleh, ak akan balas d or mau design

yg seperti apa ??

Share this post: | | | |

Review "UC in The box at Jakarta" - Active Directory 2003 + 2008

Bobby Primasta — Mon, 21 Jul 2008 16:11:00 GMT

Pada waktu kemarin kita mengadakan UC in the box at Jakarta (Auditorium MS Indo), kebetulan saya membawakan mengenai

Active Directory dan kemarin harus agak cepat-cepat dan sedikit kaku, maka ada satu kesalahan dalam settingan saya, disini saya

akan masukkan jelaskan dan jadi pembelajaran untuk yang lain juga.^_^. Dont do the same thing like I did before.

Saya review ulang lagi role kita berlima kemarin,Pembukaan dilakukan oleh Sesepuh Agus R(pendiri wss-id) pertama Bos

Narenda (membawakan mengenai Hyper-v), Saya sendiri membawakan Active Directory (penjelasan AD yang ada pada windows

Server 2008/installasi UC nya masih memakai AD 2003), Om Raymond ( Exchange Server 2007), Om Arfan ( OCS 2007), Om

Faisal ( Integrasi antara OCS 2007 dan Exchange Server 2007/UC). Rekan kita om Faisal juga sudah share review nya kemarin

bisa dilihat disini. Saya akan bahas ulang yg di event kemarin belum lengkap saya jelaskan, disini saya akan jelaskan lebih detail

lagi untuk semuanya Mungkin sebagian rekan sudah mendengar yang namanya IDA(Identity and Access) yang di gunakan untuk

pengaksesan dan perlindungan data kita dari akses luar yang tidak bertanggung jawab, en how we do it? bagaimana cara kita setup

IDA ini? Sebelum saya jelaskan itu lebih jauh mungkin akan saya jelaskan mengenai sejarah IDA sendiri, IDA itu sebenarnya

pengintegrasian beberapa component atau roles yang ada di Microsoft Windows Server, jadi bukan merupakan satu aplikasi atau

server yang baru digunakan.

Pada awalnya IDA 2000(Windows Server 2000 Advanced Server, AD / Certificate Services) pada waktu windows server

2000, antara active directory dan certificate service belum terintegrasi sama sekali(belum ada encrypsi di user-user dan objek2 yang

ada di AD, kemudian pada IDA 2003(Windows Server 2003) sudah ada pengintegrasian antara AD, AD Federation Services

(baru ada pada Windows Server 2003 R2), Windows Right Management Services( harus di installer separate, tidak terdapat dalam

services windowsnya), dan Certificate Services. Semua server role jalan diatas AD untuk pengintegrasiannya, karena database

yang diambil dari AD (menggunakan protocol LDAP), sedangkan ADAM(Active Directory Application Mode, terdapat dalam Windows

Server 2003 R2) terpisah database nya, biasa digunakan untuk query di AD langsung(pada Exchange 2007 Edge Server). Sedangkan

di Windows Server 2008 semua disatukan diatas Active Directory(dan langsung dimasukan dalam server role pada windows Server

2008 nya) IDA 2008(di dalam AD, dengan nama AD Domain Services(AD), AD Right Management Services(AD RMS),

AD Federation Services(AD FS), AD Lightweight Directory Services(AD LDS/ADAM pada Windows Server 2003),

AD Certificate Services(AD CS) )

Intinya dari IDA merupakan gabungan dari semuanya Server role tersebut yang akan menjadikan memudahkan kita untuk

melakukan semua fungsi yang ada di masing-masing server role, misalnya single sign on(SSO) dibeberapa aplikasi dalam domain

dengan menggunakan AD FS(untuk single sign on), sebelumnya saya sudah membuat beberapa blogs mengenai

Active Directory Windows Server 2008, Summarize IDA merupakan penggabungan beberapa server role yang ada dalam Windows

dengan Active Directory. Saya akan coba test lab untuk IDA terutama di bagian RMS dan akan saya coba publish di download an

diportal tercinta kita wss-id ini. Untuk slide persentasi IDA dan Active Directory pada Windows Server 2008 pada Technet Event

kemarin sampai disini.

Sekarang saya akan menjelaskan role saya dalam pengimplementasian UC in the box kemarin, yaitu installasi Active Directory,

DNS, Certificate Services, Untuk installasi Active Directory kita lakukan secara biasa, dcpromo kemudian buat yang new domain in

the new forest karena pada saat itu, kita membuat semuanya dari awal termasuk AD nya, kemudian set up install DNS Server nya

Windows Component > Networking > DNS(disini saya membuat sedikit kesalahan) dan membuat Primary DNS Server, Reverse

Lookup dan Pointer ke server itu sendiri, kemudian installasi certificate servicesnya pada Windows Component > Certificate

Services, just as a human being, doing a mistake.^_^.

Ketika itu saya membuat DNS Server terlebih dahulu, kemudian saya buat dengan nama dc.wss-id.org(wss-id.org merupakan

nama domain yang akan kita buat, dc merupakan nama server host nya), setelah itu saya buat AD nya dengan dcpromo dengan

nama wss-id.org, ketika itu kita stuck beberapa menit untuk troubleshooting, karena ada beberapa komputer client tidak bisa join

domain, dan ada installasi yang tidak bisa berjalan. ini disebabkan oleh tidak adanya pengintegrasian antara AD dan DNS Server

nya. _mcdcs yang biasa terbentuk pada DNS Server setelah kita buat AD, tidak ada, everything was bad that time, en at last kita

menemukan kesalahan yang saya lakukan yaitu penamaan antara domain(AD) nya berbeda dengan DNS Server,

wss-id.org(AD) sedangkan dc.wss-id.org(DNS Server).

So how did we solve this problem that time? jadi gmana? yupz, just simple siy sebenarnya, no need to restart walaupun saat

itu, sebelum ketemu masalahnya kita sempat restart beberapa kali, en malah sempat ingin install ulang AD dan membuat satu

persatu setiap komponen hasil integrasi antara AD dan DNS Server. yup caranya buat primary DNS Server baru dengan nama

wss-id.org, kemudian ketik netdiag fix pada cmd prompt untuk reload semua komponen integrasi antara AD dan DNS Server,

en then masalah resolve tanpa harus restart, cukup simple tapi lumayan membuat kita cukup pusing beberapa saat.^_^.s o be

careful fren.^_^..

And mungkin inilha yang bisa saya report untuk acara UC in the box kemarin. and I hope ini bisa berguna untuk teman-teman

sekalian. See you guys in the next Microsoft Event.^_^.

Semoga Bermanfaat.

Share this post: | | | |

New Challenge, New Life, New Environment, all everything will be NEW, Hope its rite Decision.....

Bobby Primasta — Wed, 09 Jul 2008 14:06:00 GMT

Semoga apa yang menjadi pilihan di hari ini adalah yg terbaik untuk hari ini dan masa depan.. !!! ^_^.

It is a hard choice, but I have to make a rite decision. Semenjak pertama kali bergabung dengan

community ini, everything is great, kebetulan saya orang yang memang *** kerja sama, saling bantu,

saling sharing satu sama lain, learn about everything we have together.

Dengan melihat om Tutang en Bos Naren disini, desire en passion jadi lebih untuk berbagi dengan

yang lain, walaupun skill belum cukup(seperti bos Remon Engel en bos Faisal S/Artis ne ^_^, ma Om Arfan),

setelah implementasi something or testing something yang terpikir cuman ingin berbagi dengan yang lain

agar yang lain juga bisa implement dan mengerti what I was doing, just for sharing to each others.

So Where ever I go, mungkin akan ganti kapal seperti yang pernah beberapa temen-temen disini

posting juga, ikut-ikut aja ne kesan nya. Tapi satu hal yang gak akan saya tinggalkan adalah

community wss-id, coz disini lha saya bisa sharing dan berbagi dengan yang lain, di ujung dunia manapun

Saya pergi, akan tetap sharing disini dan membantu semua nya disini,

So Let's Keep Sharing bro, Learn together, Share about everything together and Help other together too

Share this post: | | | |

Belajar VPN SSL dengan Microsoft Intelligent Gateway(IAG) 2007 Part 1

Bobby Primasta — Sun, 15 Jun 2008 00:34:00 GMT

After demo IAG 2007 di salah satu Bank terbesar di Indonesia dan dapat tanggapan positif juga dari pihak

customer tersebut dengan menyatakan ingin membeli product ini, saya langsung mau berbagi ke teman-teman

sekalian benefit dari IAG 2007 dibandingkan dengan product-product lainnya dan kita juga bisa liat kemudahan

dari sisi IT untuk mengkonfigure atau mendeploy IAG 2007 di enviroment kita, sangat mudah sama sepert windows

pada umumnya.

Mungkin sebelumnya saya sudah sedikit overview mengenai Microsoft IAG 2007, akan tetapi sekarang saya

akan sedikit membagi kepada rekan-rekan semua cara setup VPN SSL dengan IAG 2007 dan sedikit ilmu mengenai

VPN itu sendiri dan perbedaan VPN dengan VPN SSL, mengapa sebagian perusahaan lebih memilih VPN SSL

ketimbang dengan VPN biasa, serta beberapa hal lain juga di dalamnya.

Beberapa pertimbangan mengapa kita beralih dari VPN ke VPN SSL :

1. VPN client yang harus di install dan di konfigure dengan benar terlebih dahulu sebelum kita bisa menggunakannya,

dan juga kita harus mengklik atau menjalankan terlebih dahulu VPN client nya ketika kita akan menggunakan aplikasi

di internal.

2. Koneksi VPN yang terdahalu bisa membuat complete network akses ketika VPN connection dibangun, VPN connection

secara efektif sebagai universal firewall bypass port dimana user dari luar bisa membagi virus, worms dan bisa membuka semua

akses dalam satu perusahaan.

3. VPN Client harus mempunyai network ID yang berbeda dengan Network ID yang dituju(VPN Server yg dipublish), apabila

VPN client mempunyai network ID yang sama dengan network yang dituju, maka paket tidak bisa di ro uted melalui VPN.

VPN SSL merupakan VPN dengan menggunakan Secure Socket Layer(https/443), dimana kita tidak memerlukan VPN

client untuk membuat koneksi tersebut, kita hanya menjalankan pada Internet Explorer atau browser dengan mengetikan nama

atau ip external dari VPN yang sudah di publish tersebut misalnya https://www.contoso.com/ kita akan langsung masuk ke tampilan

dimana kita akan diminta login dan lain sebagainya.

Dari gambar dibawah ini, ada beberapa fungsi yang memang disediakan oleh VPN SSL yang beredar saat ini :

1. Tunneling, yaitu sama seperti VPN umumnya ketika kita akan melakukan koneksi VPN maka kita akan membuat tunnel

ke server yang dituju, tunnel yang jalan di VPN SSL bisa juga berjalan di aplikasi web dan non web via SSL.

2. Security, ada beberapa VPN SSL yang sudah menyediakan endpoint detection(pengecekan healthy PC, baik virus, anti

virus, OS last update dll). endpoint detection yang ada di IAG 2007 sangat menarik dan sangat mudah di setup karena saya

sudah mencobanya. Cara kerjanya mirip dengan NAP(Network Access Protection) pada Windows Server 2008

3. Authentication, harus di authentikasi terlebih dahulu ketika akan melakukan VPN ke dalam perusahaan. Beberapa vendor VPN

SSL juga sudah menyediakan authentikasi dengan beberapa third party, seperti token, smart card, dan lain-lain

4. Authorization, setelah kita melakukan authentikasi maka kita akan diberikan hak akses(authorize) ke beberapa aplikasi, ada

juga aplikasi yang diberikan akses untuk kita.

5. Portal, ketika kita mengakses VPN SSL pertama kali dengan memasukkan alamat tertentu(https://www.contoso.com) ini disebut

halaman portal untuk IAG 2007, sama seperti VPN SSL untuk alat yang lainnya juga.

Semoga Bermanfaat.

Terima Kasih.

Share this post: | | | |

Active Directory Federation Services(ADFS)

Bobby Primasta — Fri, 13 Jun 2008 02:49:00 GMT

Active Directory Federation Services(ADFS) juga terdapat pada Windows Server 2003 R2, yang ada

Add Remove/Program > Add/Remove Windows Component > Active Directory Service > Active

Directory Federation Services(ADFS), dari segi fungsi sudah hampir sama dengan yang ADFS pada

Windows Server 2003 juga sebagai web Single Sign On. Adapun beberapa fungsi baru yang ada pada

ADFS Windows Server 2008 yang sedikit berbeda dengan Windows Server 2003 R2,

1. Dari Segi Installasi lebih mudah, kalau di Windows Server 2003 kita harus install satu satu requirement

sebelum installasi ADFS, akan tetapi kalau di WindowS Server 2008 kita tinggal jalankan ADFS nya

dan prerequisitesnya akan muncul dan di install langsung oleh Server Manager Wizardsnya.

2. Integrasi dengan beberapa aplikasi tambahan, seperti Microsoft Office Sharepoint Server(MOSS) 2007

dan ADRMS(Active Directory Right Management Services)

3. Pengadministrasian lebih mudah, karena terdapat trust policy yang bisa di export dan di import untuk

memperkecil konfigurasi federation isu.

ADFS dibuat juga agar 2 company yang berbeda untuk bisa secara selektif berbagi insfrastruktur ke

company lain atau ke customer mereka. Adapun beberapa fungsi pokok dari ADFS, yaitu Extranet

Authentication(authentikasi antar perusahaan yang berbeda infrastruktur(perusahaan gabungan, Web

single Sign On(beberapa aplikasi web, bisa memakai ADFS untuk single sign On nya, dan Identity

Federation Services for IIS-Based Web Applications(untuk IIS).

ADFS didesain untuk perusahaan yang berskala menengah dan besar(karena masalah kompleksitas

dan ada kemudahan dengan adanya ADFS itu sendiri, dengan environment yang ada di perusahaan itu

sebagai berikut :

- Minumum terdapat 1(satu) Directory Services : AD DS atau AD LDS.

- Komputer yang join domain

- Beberapa komputer yang menjalankan beberapa Sistem Operasi yang berbeda-beda

- Komputer yang terhubung ke internet

- Punya beberapa aplikasi Web-Based

Semua koneksi yang berjalan antara Active Directory ke ADFS terenkripsi dan semua komunikasi

antara komputer klien ke ADFS juga terenkripsi dengan SSL. ADFS sendiri tidak bisa berjalan diatas

Server Core karena Server Core tidak mendukung ASP.Net

Beberapa Roles yang terdapat dalam ADFS :

1. Federation Service, bisa digunakan oleh beberapa federation server untuk sharing trust policy,

Federation service digunakan untuk route authentication request dari user account dalam

organisasi lain atau dari client yang mungkin ada di Internet.

2. Federation Service Proxy, merupakan sebuah proxy untuk Federation services yang terletak pada

DMZ network, dengan menggunakan WS-Federation Passive Requestor (WS-F PRP)

3. Claims-aware agent, merupakan aplikasi Microsoft ASP.NET atau aplikasi standard seperti MOSS

2007 terinstall pada web server yang ada claims aware application. Dibutuhkan untuk query ADFS

security token claims.

4. Windows token-based agent, merupakan Windows aplikasi NT Token-Based yang aplikasinya

digunakan berdasarkan Windows Based Authorization mechanisms. Bisa diinstall pada web server

yang berjalan pada diatas aplikasi NT Token-based, dibutuhkan untuk support konversi dari ADFS

Security token ke Impersonation level.

Adapun Rekomendasi bacaan lainnya dari saya, yaitu Technet atau dari WindowsNetworking.com

Semoga membantu.

Terima Kasih.

Share this post: | | | |