bobby iskandar zulkarnain

Windows 7 Beta As Windows Server 2008 Virtual Private Network (VPN) Client

Dear rekan-rekan komunitas wss-id dan mugi, sejak keluarnya rilis beta Windows 7 beberapa waktu yang lalu, mendorong saya untuk sekedar ingin mencoba-coba bagaimana jadinya kalau Window 7 yang masih beta ini saya jadikan sebagai Virtual Private Network Client dari Windows Server 2008. Setelah dicoba, pada dasarnya sama saja dengan Windows Vista.

Berikut untuk sekedar berbagi info ke rekan-rekan, beberapa langkah dalam mengkonfigurasi Virtual Private Network dari mulai membangun domain controller, membangun VPN Server, dan menyediakan clientnya berupa Windows 7 beta build 7000, sehingga nantinya kita dapat menyediakan sarana koneksi ke jaringan LAN bagi remote user untuk mengakses resource jaringan internal, seperti halnya yang dapat dilakukan oleh user tersebut ketika berada di LAN.

Dalam artikel ini, kupasan tentang konfigurasi VPN yang saya bahas di sini terbatas untuk protokol PPTP dulu, sedangkan untuk protokol lainnya (L2TP dan SSTP) mungkin akan saya bahas di artikel lainnya nanti, atau barangkali rekan-rekan juga ada yang berminat mencoba dan kita bisa share pengalaman ngoprek di portal ini.

Secara umum, skenario ngoprek yang saya lakukan seperti pada gambar berikut.

Pada komputer domain controller, kita harus menyediakan satu domain user account dengan seting properti dari tab Dial-in-nya di set Allow untuk koneksi RRAS. yang nantinya akan kita gunakan untuk menguji koneksi VPN dari komputer Windows 7.

Lalu lakukan konfigurasi sedemikian rupa pada komputer Server VPN, dalam hal ini VPNSRV, berikan 2 alamat IP pada dua kartu jaringannya, masing-masing di-rename menjadi Private dan Public. Private mewakili alamat ke jaringan internal (LAN), sedangkan Public mewakili alamat network yang terkoneksi ke internet. Perlu diingat, alamat ini dalam best practice-nya merupakan alamat IP public, yang dapat diperoleh dari ISP yang menyediakan layanan koneksi internet dedicated line/leased line.

Kemudian setelah instalasi komponen RRAS dengan menambahkan role yang sesuai, konfigurasi Server VPN ini sebagai VPN server, konfigurasinya dapat dilakukan secara wizard, ataupun secara manual, bergantung selera aja.

Pastikan untuk VPN Connection, arahkan interface network card-nya ke arah network card yang mengarah ke ISP.

Pada seting konfigurasi Server VPN, pada IP Address Asigment, kita menggunakan pilihan From a specified range of addresses, untuk address pool saya gunakan pilihan static address pool,  seperti pada gambar berikut.

Kemudian pada komputer client, yang menjalankan Windows 7, buka Control Panel, kemudian pada bagian Network and Internet, klik Network and sharing center, dan kemudian klik Set up a new connection or network .

Kemudian pilih I’ll set up an internet connection later, lalu isikan alamat Internet dan berikan nama koneksi VPN-nya sebagai berikut.

Kemudian pada bagian Type your user name and password, selanjutnya, isikan user account domain administrator dan passwordnya seperti pada gambar berikut ini.

Beri nama vpn connection ini sebagai Koneksi VPN.

Untuk mencoba melakukan koneksi, dar Network and Sharing Center, klik Connect to a network beberapa saat kemudian, muncul panel baru di sisi kanannya menampilkan nama dari Virtual Private Connection yang sebelumnya telah kita buat, yaitu Koneksi VPN, lalu klik Koneksi VPN, dan muncul tombol Connect. Klik tombol ini untuk memproses koneksi VPN ke VPNSRV.

Pastikan pada properties dari koneksi VPN, untuk alamat VPN Server di set dengan tepat.

Pada tab Security, pada Type of VPN, Anda dapat memilih secara spesifik Point to Point Tunneling Protocol (PPTP) sebagai tipe VPNnya. Pada artikel ini, saya batasi pembahasan hanya untuk protokol PPTP dulu, jika ada waktu saya akan tuliskan kembali untuk jenis protokol lainnya, yaitu untuk tipe VPN dengan protokol L2TP dan SSTP.

Mengisikan account domain administrator untuk menguji koneksi VPN.

Barulah kemudian Anda klik tombol Connect pada Koneksi VPN. Tunggu beberapa saat akan muncul  proses koneksi yang terjadi sebagai berikut.

Hingga tampak pada Koneksi VPN, status Connected seperti pada gambar berikut ini.

Anda dapat memerika hasil perolehan alamat IP dari koneksi VPN dengan menggunakan perintah ipconfig dari command line di Windows 7 sebagai berikut.

Pada gambar berikut, Anda dapat melihat perolehan alamat IP dari VPNSRV, tiap kali Anda membuka koneksi baru, kemungkinan Anda mendapat alamat IP yang berbeda, sesuai dengan nilai jangkauan alamat IP yang Anda set untuk client VPN ini.

Kita bisa menggunakan account domain administrator untuk menguji koneksi VPN, sebelum kita gunakan user account biasa untuk mengakses resource berupa shared folder yang sebelumnya pada langkah awal telah kita sediakan.

Setelah selesai, putus/disconnect koneksi VPN, kembali pada Network Connection, klik ganda Koneksi VPN.

Saatnya kita menggunakan sebuah domain user account non administrators member untuk mengakses resource jaringan, sebelumnya kita harus menyediakan acount seperti ini dengan seting propertiesnya, pada tab Dial-in, di set Allow untuk koneksi ke RRAS.

Setelah sukses melakukan koneksi dengan VPN, dari komputer client, klik Start dan isikan alamat IP dari DC01 dengan nama shared foldernya .

Akses ke resource jaringan berupa sebuah shared folder dengan file text di dalamnya seperti tampak pada gambar berikut.

Demikianlah tulisan sederhana ini, semoga dapat bermanfaat.

Managing Network Bandwidth Using Windows Quality of Service (QOS)

Rekan-rekan, pada artikel berikut  saya mencoba untuk menuliskan kembali tentang bagaimana pemanfaatan Windows Quality of Service dalam mengidentifikasi seberapa banyak bandwidth yang dikonsumsi oleh suatu NetBIOS Client ketika melakukan transfer file. Kemudian dibahas juga tentang penggunaan Windows Vista™ QoS Policy Wizard untuk membuat suatu policy untuk membatasi jumlah bandwidth yang digunakan client ketika melakukan uploading ke file server.

Tentu kita mengaitkan policy ini ke suatu Active Directory organizational unit yang berisi client computer account tersbut. Kita kemudian menjalankan pengujian upload data lagi dan melihat hasil dari penerapan policy tersebut ke client NetBIOS yang melakukan transfer file.

Artikel ini juga saya telah sediakan dalam bentuk hands-on lab berupa file pdf, dan dapat diunduh langsung ke sini.

Persyaratan hardware dan software

Dalam pembahasan berikut, saya menggunakan:

1. Satu komputer running Windows Server 2008 standar edition/enterprise edition (x86 atau x64), berperan sebagai domain controller sekaligus DNS Server dari domain wirecat.com, dengan nama komputer DC01, dengan IP Address: 192.168.100.1/24
2. Satu komputer running Windows Vista Ultimate, menjadi workstation dari domain wirecat.com, memiliki IP Address 192.168.100.2/24.

Kedua komputer tersebut bisa saja dalam bentuk virtual PC.

Membuat Custom Administrative Tool untuk me-monitor efek dari QoS

Kita awali  dengan membuat suatu custom MMC console yang berisi sejumlah network monitoring tools. Kita kemudian menambahkan snap-in baru, yaitu Reliability and Performance monitoring snap-in. Kita kemudian menggunakan tool ini untuk memonitor total bytes/sec yang dikirimkan antara DC01 dan Vista01 baik sebelum maupun setelah policy untuk QoS diterapkan.

Jalankan perintah berikut dari DC01 sebagai Administrator.

1. Gunakan komputer DC01.

2. Klik Start, pada kotak Start Search, ketikkan MMC dan kemudian tekan ENTER.

3. Pada menu File, klik Add/Remove Snap-in.

4. Pada Add or Remove Snap-ins, pada Available snap-ins list, klik Reliability and Performance Monitor, klik Add, dan kemudian klik OK.

5. Pada Console1 – [Console Root], buka Reliability and Performance (Local), buka Monitoring Tools, dan kemudian klik Performance Monitor.

6. Pada panel contents, klik-kanan area grafik putih, dan kemudian klik Add Counters.

7. Pada kotak dialog Add Counters, pada list Available Counters, buka Network Interface, dan kemudian klik Bytes Total/sec, klik Add, dan kemudian klik OK.

8. Pada Performance Monitor, klik ganda active counter.

9. Pada kotak dialog Performance Monitor Properties, pada list Scale, klik 0.001 dan kemudian klik OK.

10. Pada Console1 – [Console Root], klik File, dan kemudian klik Save As.

11. Pada kotak dialog Save in, pilih Desktop, pad File Name, ketikkan Network Activity dan kemudian klik Save.

12. Biarkan Network Activity terbuka dan di-maximized.

Membuat dan men-share folder baru pada DC01

Pada tahapan HOT Lab selanjutnya adalah kita membuat sebuah shared folder pada DC01.

Jalankan perintah berikut pada computer DC01 sebagai Wirecat\administrator.

1. Beralih ke DC01.

2. Log on ke DC01 sebagai wirecat\administrator.

3. Klik Start, dan kemudian klik Computer.

4. Pada panel Folders, klik-ganda Local Disk (C:).

5. Pada menu File, pilih New, dan kemudian klik Folder.

6. Ketikkan Public dan kemudian tekan ENTER.

7. Klik-kanan Public, dan kemudian klik Share.

8. Pada dialog File Sharing, ketikkan Everyone dan klik Add.

9. Klik Share, dan kemudian klik Done.

Melakukan tes upload

Pada tahapan ini, kita menjalankan tes upload NetBIOS ke file share yang kita telah buat pada tahapan sebelumnya, dan dengan menggunakan monitoring tools kita dapat melakukan observasi network utilization. Agar dapat melakukan monitoring network utilization dengan efektif, kita harus dengan cepat berpindah antara dari DC01 ke Vista01.

Jalankan perintah berikut pada Vista01 sebagai Administrator.

1. Jalankan computer Vista01.

2. Buka Command Prompt.

3. Pada window Command Prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Saat telah selesai dilakukan, biarkan window command prompt tetap terbuka.

copy /y C:\Windows\*.* \\DC01\Public

4. Beralih ke computer DC01.

5. Gunakan kembali Network Activity, dan pilih Performance Monitor untuk mengobservasi Last dan Maximum number dari Bytes Sent/sec yang dilaporkan, dan lebih baik jika pada pilihan grafik garis (line) diubah menjaadi Histogram bar, seperti pada gambar berikut.

Catatan: Bergantung pada kondisi jaringan yang kita miliki, kecepatan transfer dapat bervariasi.

Membuat sebuah QOS Policy untuk managed desktops

Pada latihan berikutnya, kita akan membuat sebuah QoS rule. Kita juga akan mebuat sebuah Organizational Unit baru dan mengkorespondensikannya dengan Group Policy object. Kita juga akan mengkonfigurasi Group Policy object baru untuk melakukan deploying sebuah policy-based QoS rule yang membatasi pengiriman lalulintas data yang dikirim ke 445 pada komputer yang spesifik sebesar 64KBPS. Policy ini digunakan hanya untuk keperluan latihan saja.

Pembatasan terhadap Port 445 secara umum dapat menyebabkan penurunan performa yang signifikan saat terjadi akses ke resource jaringan. Sebagai tambahan, pada latihan ini terdapat pembatasan komunikasi data hanya ke satu alamat IP yang spesifik saja. Pada deployment yang aktual, kita dapat melakukannya terhadap satu group alamat IP, seperti subnet, dengan memasukkan nilai alamat networknya.

Jalankan langkah-langkah berikut pada komputer DC01 sebagai Administrator.

1. Beralih ke komputer DC01.

2. Klik Start> Administrative Tools, dan kemudian klik Group Policy Management.

3. Pada Group Policy Management, buka Forest: Wirecat.com, buka Domains, klik-kanan pada Wirecat.com, dan pilih New Organizational Units seperti pada gambar berikut, beri nama Organizational Units (OU) tersebut: QOS Clients.

Kemudian klik-kanan OU QOS Clients, pilih Create a GPO in this domain, and Link it here... Beri nama GPO tersebut: QOS Clients Policy

4. Klik-kanan QOS Clients Policy, lalu pilih Edit, seperti pada gambar berikut.

5. Pada Group Policy Management Editor, buka Computer Configuration, buka Policies, buka Windows Settings, dan kemudian klik Policy-based QoS.

6. Pada menu Action, klik Create new policy.

7. Lengkapi wizard Policy-based QoS dengan menggunakan informasi dari tabel berikut.

Dalam gambar, langkah-langkah setingnya sebagai berikut:

8. Dan jangan lupa untuk memindahkan (move) komputer Vista01 dari default kontainernya di container Computers ke OU QOS Clients

9. Jalankan perintah gpupdate /force dari command line di komputer DC01.

Menjalankan test upload untuk bandwidth throttling policy baru

Pada tahapan ini, kita akan menerapkan bandwidth throttling policy dan melakukan kembali tes transfer file, dan membandingkan hasil dengan tes sebelumnya. Kita juga jangan lupa untuk menggunakan perintah GPUPDATE untuk menerapkan policy tanpa harus me-restart komputer Vista01. Agar dapat meng-update computer policy pada Vista01, kita memerlukan command prompt pada level Administrator. Command prompt standard tidak memiliki autoritas untuk menjalankan perintah ini, sekalipun kita log on sebagai user yang merupakan member dari Administrators local group.

Jalankan langkah-langkah berikut pada Vista01 sebagai Administrator.

1. Kembali gunakan Vista01.

2. Pada Command Prompt, ketikkan perintah berikut dan kemudian tekan ENTER.

gpupdate /force /target:computer

3. Pada Command Prompt, ketikkan perintah berikut dan kemudian tekan ENTER.

copy /y C:\Windows\*.* \\DC01\Public

4. Dengan cepat buka kembali Network Activity, dan pilih Performance Monitor untuk mengobervasi Last dan Maximum number dari Bytes Sent/sec yang dilaporkan. Jangan lupa untuk menampilkan grafik dalam histogram bar, seperti pada gambar di bawah ini.

5. Pada Network Activity, pilih Reliability and Performance (Local), dan kemudian klik Network graph.

Tips: Kita tidak harus menunggu hingga proses copy seluruh file selesai. Pada window Command prompt pada Vista01, tekan CTRL+C untuk meng-cancel operasi copy jika kita telah dapatkan hasil observasinya.

6. Tutup seluruh program.

------Semoga bermanfaat------

Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part II)

artikel berikut merupakan kelanjutan dari artikel sebelumnya di sini.

Membuat Firewall exemption untuk domain administrators

Pada bagian berikutnya, kita perlu untuk membuat sebuah firewall exemption untuk domain administrators. Exemption ini akan memastikan bahwa seluruh koneksi yang berasal dari goup komputer tertentu diizinkan, dan tidak terpengaruh oleh inbound firewall rules. Rule ini harus dikonfigurasi secara hati-hati, karena rule ini diproses sebelum rule-rule lain baik yang bersifat block maupun deny.

Kita bisa melihat bahwa saat kita memberikan tanda cek pada check box Override block rules kita perlu untuk menyediakan nama group dari komputer yang diizinkan dalam menggunakan rule ini.

1. Pada Group Policy Management Editor, pada menu Action, klik New Rule.
2. Buat sebuah inbound rule baru dengan parameter sebagai berikut, dan kemudian tutup Group Policy Management Editor.

Verifikasi apakah Roaming user policy telah sukses diterapkan.

Untuk mengecek apakah Roaming user policy telah sukses diterapkan, kita perlu memindahkan computer client account ke OU Roaming Computers.

Jalankan langkah berikut sebagai administrator pada komputer domain controller.

1. Klik Start, Administrative Tools, dan kemudian klik Active Directory Users and Computers.

2. Pada Active Directory Users and Computers, buka Wirecat, dan buka Computers.

3. Klik –kanan pada nama computer client, klik Move, dan pada kotak dialog Move, klik Roaming Computers, dan kemudian klik OK.

Langkah selanjutnya, kita melakukan beberapa langkah berikut dari komputer client. Jalankan perintah berikut dengan menggunakan account domain administrator.

4. Beralih ke komputer client (Vista01).

5. Log on ke domain sebagai Domain Administrator, Wirecat\Administrator.

6. Klik menu Start, dan pada Start Search box, ketikkan cmd kemudian ENTER.

7. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force

8. Klik Start, dan pada Start Search box, ketikkan WF.msc dan kemudian klik OK.

9. Pada Windows Firewall with Advanced Security, klik Monitoring.

10. Pastikan bahwa Domain Profile is Active ditampilkan pada bagian atas dari bagian Monitoring.

11. Klik View active firewall rules.

12. Pastikan bahwa Allow Management Application (Secure) and Secure Workstation Override rules telah ada dalam daftar, lihat gambar berikut.

13. Tutup Windows Firewall with Advanced Security.

Konfigurasi domain isolation menggunakan WFAS

Pada bagian berikut, kita akan mengkonfigurasi sebuah Windows Firewall with Advanced Security (WFAS) policy di default domain policy. Secara default, saat WFAS di-enable maka WFAS ini akan menahan fungsi inbound connections dalam jumlah yang banyak sekali. Ini artinya saat WFAS di-enable pada computer seperti domain controller, rule-rule yang mengizinkan inbound connections harus dibuat secara manual.

Jalankan langkah-langkah konfigurasi berikut pada komputer yang menjadi domain controller dengan log on sebagai domain Administrator.

1. Kembali ke komputer domain controller.

2. Buka Group Policy Management.

3. Pada Group Policy Management, dalam panel navigasi, klik Wirecat, dan kemudian klik Default Domain Policy.

4. Pada menu Action klik Edit.

5. Pada Group Policy Management Editor pada Computer Configuration, buka Policies, buka Windows Settings, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.

6. Klik Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian pada bagian Overview, klik Windows Firewall Properties.

7. Pada kotak dialog Windows Firewall with Advanced Security, pada tab Domain Profile , buatlah beberapa perubahan konfigurasi sebagai berikut (lihat table) dan kemudian pada bagian Settings, klik Customize.

8. Pada pada kotak dialog Customize Settings for the Domain Profile, pada Rule merging, pada pilihan Apply local firewall rules, klik No, pada plihan Apply local connections security rules list, klik No, dan kemudian klik OK.

9. Klik OK untuk menutup kotak dialog Windows Firewall with Advanced Security – LDAP://<DN>.

10. Pada Group Policy Object Editor, buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik pada Inbound Rules.

11. Dari menu Action, klik New Rule.

12. Buatlah sebuah inbound rule baru dengan parameter sebagai berikut :

13. Pada Group Policy Object Editor, dalam panel navigasi, klik Connection Security Rules.

14. Pada menu Action, klik New Rule.

15. Buatlah sebuah connection security rule baru dengan parameter sebagai berikut:

16. Tutup Group Policy Management Editor.

17. Tutup Group Policy Management.

Penerapan seting-seting Group Policy baru

Pada bagian ini, kita lakukan refreshing Group Policy pada komputer domain controller secara manual.

1. Klik Start, dan kemudian klik Command Prompt.

2. Pada command prompt, ketikkan perintah berikut dan kemudian tekan ENTER. Gpupdate /force

Pengujian domain isolation policy

Pada bagian ini, kita akan secara manual meakukan refreshing Group Policy pada komputer client. Kita kemudian menggunakan fungsi monitoring yang built-in dari WFAS management console untuk memverifikasi bahwa IPsec security associations sedang dibuat antara client dan DC.

1. Kembali gunakan komputer Vista01.

2. Klik Start menu, dan pada Start Search box, ketikkan cmd dan kemudian ENTER.

3. Pada command prompt, ketikkan perintah berikut dan tekan ENTER. Gpupdate /force. Log off, dan kemudian log on sebagai Wirecat\JohnD.

4. Pada Start menu, pada Start Search, ketikkan WF.msc dan kemudian tekan ENTER.

5. Pada kotak dialog User Account Control, klik Continue.

6. Pada Windows Firewall with Advanced Security, klik Inbound Rules. Verifikasi bahwa Allow all traffic adalah rule yang paling pertama ada pada daftar.

7. Pada Windows Firewall with Advanced Security, klik Connection Security Rules. Verifikasi bahwa Request connection security merupakan satu-satunya rule yang terdaftar.

8. Klik Start, dan pada Start Search box, ketikkan \\DC01\sysvol dan kemudian tekan ENTER.

9. Kembali buka Windows Firewall with Advanced Security, dan pada panel navigasi buka Monitoring, buka Security Associations, dan kemudian klik Quick Mode.

10. Lakukan review terhadap content dari panel Quick Mode. Klik-ganda pada quick mode security association yang terlihat untuk melihat detailnya.

----------------Semoga bermanfaat-----------------------------

Configuring Windows Firewall with Advanced Security (WFAS) For Roaming Users (Part I)

Jika kita ingin mengimplementasikan fitur-fitur security dan control baru yang ada di Windows Server 2008 untuk mengamankan komunikasi antara application server dengan workstation, atau antara sekelompok user ketika berada di corporate network untuk mengakses suatu application management dimana aplikasi ini menggunakan port number tertentu. User-user ini harus dapat mengakses application management tersebut baik ketika berada di corporate network maupun ketika berada di client site. Untuk keperluan seperti ini kita dapat menggunakan WFAS.

Penggunaan Windows Firewall with Advanced Security dapat kita manfaatkan untuk mengamankan komunikasi bagi user yang mengakses suatu aplikasi di corporate network dan juga menyediakan sarana untuk user yang sama ketika user tersebut berada di client site.

Bayangkan jika perusahaan /organisasi kita menggunakan suatu aplikasi yang terhubung ke port 3432 pada tiap komputer client. Kita harus memastikan bahwa aplikasi ini berfungsi saat user berada pada corporate network dan dimana server-server yang menjalankan aplikasi ini yang dapat data diakses melalui port number tersebut, dan dapat diakses ketika user berada pada client site. Kita juga harus memastikan tidak semua computer client dapat mengakses, hanyalah suatu group computer saja yang dapat melakukan koneksi ke server aplikasi tersebut.

Dalam artikel berikut, saya menggunakan:

• Satu PC running Windows Server 2008 Standard edition, yang juga berfungsi sebagai domain controller dan dns server, dengan nama komputer : DC01.
• Satu PC running windows Vista Ultimate, sebagai workstation dari domain, dengan nama komputer : Vista01
• Nama domain yang digunakan: wirecat.com
• Dua Global Group, yaitu High Security Server dan High Security Workstations dimana masing-masing memiliki member DC01 dan Vista01
• Satu Domain User Account, yaitu John Doe, dengan logon name: Johnd

Membuat Public Policy untuk Roaming Users

Dari computer domain controller, dengan menggunakan Group Policy Management Editor, buat OU baru dengan nama Roaming Computers, kemudian membuat GPO dengan nama Roaming Computers WFAS Policy.

Mengkonfigurasi Windows Firewall with Advanced Security (WFAS)

Pada bagian ini, saya melakukan konfigurasi seting untuk WFAS untuk tiga profile berbeda—Domain, Private, and Public. Dengan mengkonfigurasi Block (default) baik pada profile Domain dan Private, kita dapat memastikan bahwa hanya protocol-protocol infrastruktur jaringan saja seperti ICMP yang akan diterima oleh komputer-komputer ini. Ini artinya juga semua aplikasi lainnya tidak dapat berfungsi. Dengan mengkonfigurasi Block all connections pada profile public, kita memastikan tidak ada koneksi yang diizinkan, termasuk protocol infrastruktur seperti ICMP, terhadap komputer-komputer ini. User masih dapat memilih profile mana yang akan mereka pakai nantinya.

Caranya :

1. Dari komputer domain controller, buka kembali Group Policy Editor, pada bagian Computer Configuration, buka Policies, buka Security Settings, dan kemudian buka Windows Firewall with Advanced Security.

2. Klik Windows Firewall with Advanced Security - LDAP://<DN>,dan kemudian pada bagian Overview, klik Windows Firewall Properties.

3. Kemudian, pada tab Domain Profile, untuk seting State sebagai berikut: (Firewall state: On(recommended), Inbound connections: Block (default), Outbound connections (Allow (default)).

Kemudian pada tab Private Profile, setingnya sebagai berikut:

Pada tab Public Profile, setingnya sebagai berikut:

Membuat inbound rule untuk management application pada domain profile

Pada tahapan berikutnya, kita akan membuat suatu inbound rule untuk mengizinkan management application melakukan koneksi ke komputer-komputer. Rule ini diterapkan hanya pada domain profile, untuk memastikan bahwa management application diproteksi saat komputer ini dikoneksikan ke private atau public network.

1. Pada Group Policy Management Editor, pada bagian navigasi , buka Windows Firewall with Advanced Security – LDAP://<DN>, dan kemudian klik Inbound Rules.
2. Pada menu Action, klik New Rule.
3. Buat sebuah inbound rule baru dengan parameter sebagai berikut:

Sebelumnya, pada domain controller kita bisa membuat sebuah group (global group) yang berisi komputer-komputer yang menjalankan management application. Dalam kasus ini, saya menggunakan nama group-nya High Security Servers, seperti ketika diisikan pada bagian User and Computers seperti pada gambar berikut:

…to be continued………………………………………………………….