June 2010 - Posts
Salah satu hal menarik saat kita jalankan setup MS Exchange Server 2010 SP1 adalah terdapatnya option Automatically instal Windows Roles and Features required for Exchange Server.
Saat menginstal Exchange Server 2010 SP1, aplikasi setup juga langsung mengubah seting dari Net.TCP port sharing service dari 'manual' menjadi 'automatic', satu hal yang sering terlupakan oleh kita pada saat kita menginstal Exchange Server 2010 RTM. Lihat kembali artikel saya pada http://wss-id.org/blogs/bobby/archive/2009/11/11/quot-the-start-mode-for-the-net-tcp-port-sharing-service-must-be-set-to-automatic-before-setup-can-continue-quot.aspx
Ok, semoga bermanfaat….
Rekan-rekan, Read Only Domain Controller (RODC) seperti halnya Domain Controller /DC (yang tidak Read Only) berpeluang terhadap pemuatan lingering object. Sebelumnya, ada baiknya saya introduksi dulu beberapa terminologi bagi rekan-rekan yang belum memahami apa yang disebut sebagai lingering object, akan lebih tepat kalau saya awali dengan pengertian Tombstone object.
Definisi Tombstone Object
(Tombstone=batu nisan). Saat terdapat objek yang dihapus pada Active Directory domain services (AD DS), AD DS akan mereplikasikan penghapusan objek ke seluruh domain dan forest, dan objek yang dihapus ini disebut sebagai tombstone objects, dimana pada objek ini berisi tambahan atribut yang terdapat pada suatu subset (small subset) dari objek tersebut. Dengan terdapatnya replikasi maka domain controller lain di domain dan forest menjadi tahu tentang penghapusan objek ini, dan tombstone objects disimpan di AD DS untuk periode waktu tertentu atau umurnya, yang disebut sebagai tombstone lifetime. Pada masa akhir dari tombstone lifetime, tombstone object ini dihapus secara permanen dari directory.
Default value dari tombstone lifetime bergantung pada versi sistem operasi yang digunakan pada first domain controller yang diinstal di forest, sebagai berikut:
- Windows 2000 Server atau Windows Server 2003: Default value-nya 60 hari.
- Windows Server 2003 with Service Pack 1 (SP1), Windows Server 2003 with Service Pack 2 (SP2), Windows Server 2003 R2, Windows Server 2008: Default value-nya 180 hari.
Definisi Lingering Object
Pada saat terjadi kondisi tertentu dimana terdapat satu atau beberapa domain controller yang terputus dari replication topology untuk masa periode waktu tertentu yang lebih lama dari tombstone lifetime, satu atau lebih objek yang dihapus dari AD DS ke semua domain controller lainnya bisa jadi tetap ada pada domain controller yang mengalami kondisi yang terputus ini, nah objek-objek yang tetap ada inilah yang disebut sebagai lingering objects.
Pengertian terputus dari replication topology tidak selalu terputus jaringan secara fisik, sebagai contoh misalkan bridgehead server mengalami overloaded, dan proses replikasi menjadi backlogged, atau domain controller tersebut aktif dan terhubung ke corporate intranet, tapi mengalami inboud replication failure sebagai akibat dari name resolution failure, atau authentication failure yang menyebabkan gangguan pada proses replikasi.
![clip_image002[9]](http://mugi.or.id/cfs-file.ashx/__key/CommunityServer.Blogs.Components.WeblogFiles/bobby/clip_5F00_image0029_5F00_thumb_5F00_1C5F54F9.png "clip_image002[9]")
Lingering Object Pada RODC
Pendeteksian lingering object pada suatu DC selalu dilakukan dengan replikasi dari partner DC saat partner DC tersebut menerima update dari DC lain. Nah karena RODC tidak memiliki kemampuan untuk melakukan outbound replication, tidak akan pernah terjadi complain dari DC lain atas lingering object yang terdapat pada RODC tersebut.
Kita dapat menggunakan perintah command line berikut: REPADMIN /REMOVELINGERINGOBJECTS pada RODC untuk mengecek keberadaan lingering object dan kemudian membersihkannya.
Okay, selamat melakukan housekeeping…..
Thanks untuk bro Jorge de Almeida Pinto yang menginspirasi artikel ini.
Reliability Monitor merupakan tool/perkakas untuk mengevaluasi dampak dari instalasi dan uninstall software. Perkakas ini cukup sulit untuk ditemukan, cara menemukan perkakas ini dengan membuka Action Center yang dapat kita temukan pada System notification area di taskbar (perkakas ini tidak pernah ditemukan dalam Computer Management Console). Buka Action Center, klik bar Maintenance untuk melihat semua isinya yang tersembunyi, dan kemudian buka View Reliability History.
Window dari Reliability Monitor seperti tampak pada gambar berikut:
Kita dapat memilih untuk dapat melihat berbagai rangkuman berbagai event mulai dari har demi hari (Days) , minggu demi minggu (Weeks) bahkan dalam kurun waktu tahunan dalam bentuk grafik.
Gambar berikut menunjukkan event yang sukses dilakukan dalam rangkuman mingu demi minggu:
Dan pada gambar berikut kita dapat melihat informasi lebih detail dari tiap event yang terdaftar pada bagian Reliability details for: week of mm/dd/yyyy.
Contoh dari informasi detail dengan mengklik salah satu dari source di atas seperti tampak pada gambar berikut:
Kemudian untuk event yang gagal dijalankan kita dapat melihatnya cukup dengan memilih area hari kejadian dan kemudian klik tanda silang merah (
) dan berbagai Critical Events langsung tampil, lihat pada gambar berikut ini:
Demikian *** untuk Warning Event, kita dapat melakukannya dengan cara yang sama.
Semoga bermanfaat….
Bagaimana cara memeriksa kesehatan sejumlah mesin domain controller di jaringan? Cara sederhana berikut dapat kita lakukan jika kita tidak memiliki application server khusus seperti Microsoft System Center Operation Manager atau third party tools untuk memeriksanya.
Selalu lakukan pengecekan di Event Viewer, dan lihat beberapa event yang terkait dengan domain controller, replikasi, dns, dan lain-lain.
Dan juga lakukan pengecekan kesehatan di mesin domain controller, buatlah folder Health_Check di C:\ atau lokasi lain yang Anda sukai untuk menampung report hasil pengecekan. Pengecekan kesehatan domain controller dengan menjalankan:
- Dcdiag.exe /v >> c:\Health_Check\pre_dcdiag.txt
Perintah ini wajib dilakukan dan akan memberitahukan kalau terdapat masalah dengan DC dan/atau service yang terkait dengan domain controller.
- Netdiag.exe /v >> c:\Health_Check\pre_Netdiag.txt
Perintah ini memberitahukan jika terdapat isu-isu dengan komponen jaringan pada domain controller.
- Netsh dhcp show server >> c:\Health_Check\pre_dhcp.txt
Perintah ini untuk menguji kembali keberadaan dhcp server yang authorized.
- Repadmin /showreps >> c:\Health_Check\pre_rep_partners.txt
Perintah ini menampilkan semua replikasi baik yang sukses maupun yang gagal dilakukan. Informasi yang diperoleh akan lebih banyak jika mesinnya juga sekaligus Global Catalog.
- repadmin /replsum /errorsonly >> c:\Health_Check\pre_repadmin_err.txt
Perintah ini untuk mendapatkan summary dari proses replikasi untuk memastikan terdapat isu-isu tertentu.
Demikianlah tips sederhana ini semoga dapat bermanfaat…..
Rekan-rekan, dalam menyediakan resources bagi satu atau lebih group user yang terletak di kantor-kantor cabang yang tersebar secara geografis cukup jauh, kita tetap dapat menyediakan resource tersebut asalkan koneksi WAN yang menghubungkan lokasi kantor pusat dengan cabang memenuhi persyaratan handal/reliable.
Salah satu contoh dalam bahasan penyediaan resource yang dimaksud adalah menyediakan mapping drive untuk tiap-tiap user yang menjadi member dari suatu group untuk tiap lokasi mereka berada dimana pada lokasi tersebut terdapat file server.
Contoh desain sederhana dalam menggambarkan kasus ini adalah sbb:
Ok, langkah awal kita membuat dulu folder di masing-masing server cabang, kemudian di share dan diberikan permission yang tepat, demikian juga pada NTFS Shared folder permissionnya diberikan permission yang tepat bagi group yang akan memperoleh drive letter Z di masing-masing komputer mereka saat mereka melakukan logon ke domain.
Tips:
- selalu gunakan hidden shared folder dengan membubuhkan tanda dollar($) pada nama shared foldernya.
- Buang Group Everyone dari NTFS Permissions, dan kemudian tambahkan hanya pada group security yang memerlukan akses ke folder ini saja.
Langkah selanjutnya, membuat Group Policy Object (GPO) untuk menerapkan mapping drive yang diterapkan ke semua server yang telah memiliki shared folder tadi.
Kita buat GPO baru, klik-kanan New…
Kemudian beri nama misalkan Regional Head Drive Mapping seperti pada gambar berikut:
Kemudian lakukan editing GPO ini untuk melakukan beberapa setting yang diperlukan
Pada bagian User Configuration, pada bagian Preferences, Windows Settings, lakukan klik-kanan pada Drive Maps, pilih New> Mapped Drive.
Kemudian pada tab General di kotak dialog New Drive Properties, pada bagian Action: pilih Replace. Mengapa kita pilih Replace? karena tiap mapped drive pada server yang berbeda-beda di akses oleh user yang berbeda *** tapi dengan semua user yang memperoleh mapped drive ini membershipnya dari Group yang sama.
Pada Location: isikan path dari lokasi shared folder pada tiap server yang telah kita buat di awal, lalu pilih Reconnect dan berikan nama labelnya agar shared folder yang di-share dengan menggunakan tanda ($) atau di hidden ini tetap muncul dengan nama labelnya di sisi user. Untuk Drive Letter: pilih drive letter yang ditetapkan misalkan Z.
Lalu pada New Drive Properties, klik tab Common, dan pilih Item-level targetting dan klik tombol Targetting…
Kemudian pilih Security Group
Dan kemudian pada bagian Targetting Editor, pada bagian Group, isikan group security yang ditetapkan dalam policy ini. Prosesnya dalam contoh berikut adalah security group Regional Manager, secara berturut-turut dalam gambar sebagai berikut:
Dan selanjutnya adalah memperbanyak pendefinisian mapping drive untuk semua server yang diperlukan di kantor-kantor cabang, cukup dengan mengcopy yang ada dan mengubah nama servernya saja.
Dan hasilnya sebagai berikut:
Detail setting GPO ini sebagai berikut:
Dan langkah terakhir adalah me-link-an GPO ini ke OU yang tepat.
Jangan lupa menjalankan perintah gpupdate /force di domain controller agar policy ini dapat segera berlaku di domain.
Setelah itu pastikan bahwa tiap user yang merupakan member dari group Regional Managers memiliki drive letter Z:\ Data Users secara otomatis tersedia saat mereka melakukan login ke domain dari laptop atau komputer dekstop mereka.
Sekian dulu, semoga bermanfaat.
Rekan-rekan, jika kita mengadministrasi Enterprise network, desain awal yang tepat akan mempermudah kita dalam melakukan rutinitas network resources management tentunya.
Salah satu hal yang jangan sampai terlupakan saat mendesain Global Policy Object (GPO) adalah kita mendesain juga security group-nya. Security Group dapat berupa Domail local Group, Global Group serta Universal Group yang memiliki Group Type: Security.
Penjelasan tentang Group scope Domain local, Global dan Universal tidak secara khusus saya bahas di sini, tetapi bagi yang memerlukannya dapat merujuk ke sini http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx
Kembali ke fokus bahasan, seandainya kita berada pada enterprise network, dengan ratusan kantor cabang yang tersebar di berbagai daerah dengan model network yang tetap membentuk single domain single forest, tentunya memerlukan desain yang baik, dari sekian banyak desain objek dan policy, saya cukupkan untuk satu hal, yaitu policy akses USB.
Tiap user kecuali member dari domain administrators group, Enterprise administrators group, backup operators group secara default dikenakan resktriksi tidak dapat mengakses USB. Jika ternyata dikemudian hari terdapat sejumlah user yang memerlukan akses USB dan mengurus permohonannya sesuai dengan prosedur perusahaan yang berlaku, bagaimana cara mudah bagi network administrator dalam memberikan hak akses USB secara mudah, cukup dengan menambahkan membership dari user ke Security Group yang telah kita desain sebelumnya?
Kita awali dengan membuat sebuah security group seperti pada gambar berikut ini:
Security Group yang saya beri nama Allow USB Access ini dalam tampilan di Active Directory User and Computers seperti pada gambar berikut:
Kemudian dilanjutkan dengan editing dari GPO Preferences ini…..
Dan setting konfigurasinya….
Secara default, pada bagian Security Filtering, tercantum Authenticated Users. Kita dapat saja mengganti default group ini berada di sini dan ditambahkan dengan Security Group yang kita buat sebelumnya: Allow USB Access.
Dengan detail setting dari GPO Preferences sebagai berikut:
Selesai sudah, dengan demikian kita cukup menambahkan atau mengurangi user account atau Group Account yang dimasukkan ke dalam Security Group Allow USB Access dengan mudah, dan jelas mempermudah pengelolaan domain-based network dalam skala enterprise yang mempertahankan model single forest single domain bila dibandingkan kita menerapkan GPO per-Organizational Unit basis walau bisa saja dilakukan dengan melakukan linking satu GPO untuk lebih dari satu OU tetapi terdapat potensi issue priority order jika dalam satu OU diterapkan lebih dari satu GPO.
Gambar proses penambahan user account/group account ke dalam Security Group dalam beberapa gambar berikut ini:
Semoga bermanfaat….
Pernahkah rekan-rekan mengalami kondisi dimana ketika kita memeriksa Global Address List (GAL) di Outlook, ternyata email account dari user yang baru belum terlihat? Hal ini disebabkan oleh karena Outlook yang kita gunakan menjalankan Cached Exchange Mode, dan GAL tidak langsung ter-update tetapi harus menunggu dengan masa tunggu maksimal sampai 24 jam kemudian.
Tetapi kita dapat mempercepat proses update tidak perlu menunggu 24 jam lamanya dengan cara klik Send/Receive Groups, dan klik Download Address Book…berikut contoh dalam gambar yang saya lakukan pada MS Outlook 2010.
Setelah melakukan hal di atas, kita dapat memeriksa Global Address List (GAL) untuk memastikan GAL yang kita miliki telah ter-update. Update ini hanya dapat dilakukan per-komputer, dan karena proses update GAL di atas tidak dipropagasi ke seluruh network untuk mengupdate di komputer- komputer yang berbeda.
Ok, semoga bermanfaat…..