Mengatur Windows Server 2008 - dewapurnama · PDF fileMelakukan Langkah Awal Konfigurasi Hal...

39 http://wss-id.org/blogs/fajar

Bab 4

Mengatur Windows Server 2008

Komputer telah menempuh perjalanan panjang hingga jadi seperti sekarang.

Disamping menjadi lebih powerfull, dia juga menjadi lebih mudah untuk dimanage.

Jadi sebelum kita pelajari fitur baru atau fitur yang telah tersedia di Microsoft

Windows Server 2008, mari kita lihat tools baru dan tambahan yang dapat anda

gunakan untuk memanage platform. Tools tersebut terdiri dari user interface (UI)

tools untuk mengkonfigur dan memanage server seperti command-line baru untuk

menginstall role dan fitur, tools untuk remote administration, Windows

Management Instrumentation (WMI) enhancements untuk meningkatkan script

management, penambahan Group Policy, dan banyak lagi.

Melakukan Langkah Awal Konfigurasi

Hal pertama yang anda akan temukan ketika meng-install Windows Server 2008

ialah layar Initial Configuration Tasks (ditunjukan pada Gambar 4.1).


Gambar 4.1 Layar Initial Configuration Tasks

Ingat bagaimana anda melakukan konfigurasi awal dari sebuah mesin yang

berjalan menggunakan Winows Server 2003 Service Pack 1 atau yang lebih baru,

dengan melakukan tiga tahapan sebagai berikut:

1. Selama setup, anda menentukan password administrator, settingan

jaringan, membership domain, dan lainnya.

2. Setelah melakukan setup, sebuah layar muncul menanyakan jika anda mau

mendownload update-an terbaru dari Windows Update dan menyalakan

Automatic Updates sebelum server bisa menerima traffic inbound.

3. Setelah traffic inbound diperbolehkan menuju server anda, anda bisa

menggunkan menu Manage Your Server untuk menginstall aplikasi pada


server anda sehingga bisa berperan sebagai print server, file server,

domain controller dan lain sebagainya.

Bagaimanapun juga, Windows Server 2008, menggabungkan beberapa task

konfigurasi server tersebut dengan menggabungkan tasks bersama dan

memperlihatkan itu semua dalam sebuah single-screen yang diberi nama Intial

Configuration Task (ICT). Dengan menggunakan ICT anda bisa melakukan:

Menentukan key information, termasuk password administrator, zona

waktu, setting jaringan, dan nama server. Anda juga bisa join server anda

pada sebuah domain. Sebagai contoh, meng-klik link Provide Computer

Name And Domain untuk membuka Sytem Properties dengan tab

Computer Named terpilih.

Mencari Windows Update untuk update-an software yang tersedia, dan

memungkinkan satu atau lebih dari hal berikut: Automatic Updates,

Windows Error Reporting (WER), dan pengikutsertaan dalam Customer

Experience Improvement Program.

Mengatur Windows Firewall pada mesin anda, dan memungkinkan

Remote Desktop sehingga server tersebut bisa di-manage secara remote

menggunakan Terminal Services.

Menambahkan peranan dan fitur-fitur pada server anda-sebagai contoh,

untuk menjadikannya sebagai DNS server atau domain controller.

Sebagai tambahan untuk menyediakan sebuah antarmuka pengguna yang bisa

melakukan beberapa task tersebut, ICT juga menampilkan status informasi untuk

setiap task. Sebagai contoh, jika sebuah task telah dijalankan, link dari task

tersebut berubah warna dari biru menjadi ungu seperti sebuah hyperlink standar.

Dan jika WER telah dinyalakan, pesan “Windows Error Reporting on” ditampilkan

disebelah item task yang bersangkutan.


Sekali anda telah melakukan initial configuration pada server anda, anda bisa me-

klik link Print, E-mail atau Save This Information pada menu bawah. Hal ini akan

membuka Internet Explorer dan menampilkan halaman result yang

memperlihatkan settingan yang telah anda ubah.

Halaman result ini bisa ditemukan pada

%systemdrive%\users\<username>\AppData\Roaming\Microsoft\Windows\Server

Manager\InitialConfigurationTasks.html, dan bisa di-save atau di-e-mail untuk

tujuan pelaporan.

Beberapa catatan tambahan mengenai Initial Configuration Task:

Melakukan beberapa task membutuhkan anda untuk log off dan me-

reboot mesin anda. Sebagai contoh, secara default ketika anda menginstall


Windows Server 2008, account built-ini Administrator diaktifkan dan tidak

mempunyai password. Jika anda menggunakan ICT untuk mengubah nama

dari account ini atau menentukan sebuah password, anda harus

melakukan log off dan kemudian log on lagi untuk melihat hasil dari

perubahan tersebut.

Jika Windows Server 2008 mendeteksi bahwa pen-deploy-an berlangsung

pada jaringan yang terbatas/dibatasi. Ketika anda pertamakali melakukan

log on, bagian Update this Server dari ICT akan menampilkan link baru

yang bernama Restore Network Access. Meng-klik pada link ini

membolehkan anda untuk meninjau batasan-batasan akses jaringan pada

saat ini dan mengembalikan (restore) akses jaringan penuh untuk server

anda. Alasan bahwa kedua item lain pada bagian ini (Enable Windows

Update And Feedback dan Download And Install Updates) tidak

ditampilkan pada situasi seperti ini ialah kareana mesin yang dianggap

berada pada keadaan karantina tidak bisa mengakses Windows Update

secara langsung dan harus menerima update-an dari sebuah remediation

server.

OEM bisa menkostumisasi layar ICT sehingga bisa menampilkan sebuah

bagian tambahan pada bagian bawah yang bisa meliputi sebuah logo,

deskripsi dan link-link task dari OEM tersebut yang bisa me-launch file-file

EXE, DLL, dan script-script yang disediakan oleh OEM tersebut. Catatan,

bahwa link-link task OEM tidak bisa menampilkan informasi status.

ICT tidak akan ditampilkan jika anda mengupgrade Windows Server 2008

dari versi sebelumnya dari Windows Server.

ICT juga tidak ditampilkan jika setting Group Policy berikut ini

dikonfigurasi: Computer Configuration\Administrative


Templates\System\Server Manger\Do Not Open Initial Configuration

Tasks Windows At Logon

Menggunakan Server Manager

Setelah melakukan tahap-tahap diatas termasuk menutup ICT, maka tool baru

akan secara otomatis muncul, yang bernama Server Manager (ditunjukan pada

Gambar 4-2).

Gambar 4-2 Halaman utama dari Server Manager

Tujuan dari Server Manager ialah untuk menyediakan cara langsung bagaimana

menginstall fitur-fitur dan peran (roles) pada server anda sehingga bisa berfungsi


dibawah lingkungan jaringan bisnis anda. Sebagai sebuah tool, Server Manager

ditargetkan untuk kalangan pemakai IT umum yang bekerja pada organisasi

dengan skala sedang (medium-size). Seorang spesialis IT yang bekerja pada

perusahaan besar mungkin bisa menggunakan tool-tool tambahan untuk

mengkonfiugrasi server yang baru terinstall Windows Server 2008. Namun sebagai

contoh, dengan melakukan beberapa initial configuration tasks pada saat

penyetingan yang tidak diawasi menggunakan Windows Deployment Service

(WDS) bersama dengan file .xml yang berjalan sendiri.

Server Manager juga memungkinkan anda untuk melakukan modifikasi setingan

apapun yang anda telah lakukan sebelumnya menggunakn layar ICT. Sebagai

contoh, pada Gambar 4-2 anda bisa melihat bahwa anda bisa mengaktifkan

Remote Dekstop dengan meng-klik link Configure Remote Desktop yang berada

pada bagian kanan judul Server Summary. Bahkan, Server Manager membolehkan

anda untuk mengkonfigurasi settingan tambahan yang lebih advance yang tentu

saja tidak diperlihatkan pada layar ICT, seperti mengaktifkan atau me-non-aktifkan

Internet Explorer Enhanced Security Configuration (IE ESC) atau menjalankan

Security Configuration Wizard (SCW) pada mesin anda.

Mengatur Server Roles

Pada Gambar 4-2 terlihat bahwa pada mesin telah terinstall dua peranan (roles)

menggunakan layar ICT. Beragam roles, roles services dan fitur-fitur yang bisa

diinstall pada windows Server 2008 akan dijelaskan lebih lanjut pada Bab 5,

“Mengatur Server Roles”. Untuk sekarang akan dijelaskan tentang dua roles yang

telah diaktifkan tersebut.

Klik pada link Go To Manage Roles untuk mengubah fokus dari root node (Server

Manager) ke Roles node dibawahnya. (Lihat Gambar 4-3.) Halaman ini menunjukan

sebuah daftar dari role-role yang telah terinstall pada server dan status dari setiap


role tersebut, termasuk role service yang telah terinstall bersama mereka. (Role

services akan dijelaskan selanjutnya pada Bagian 5.)

Figure 4-3 Halaman Role-role dari Server Manager

Status dari halaman ini diupdate dalam real time pada suatu interval waktu yang

periodic, dan jika anda lihat secara seksama pada gambar tersebut anda akan

melihat sebuah link pada bagian bawah di setiap halaman yang bertuliskan

“Configure refresh.” Jika anda meng-klik pada link ini, anda bisa menentukan

seberapa sering Server Manager me-refresh halaman yang sedang ditampilkan.

Secara default, interval dari setiap refresh ialah dua menit.


Memilih node untuk File Server role dalam console tree (atau dengan meng-klik

link Go To File Server pada halaman Roles) menampilkan informasi tambahan

mengenai bagaimana role ini dikonfigurasikan pada mesin (seperti ditunjukan pada

Gambar 4-4). Menggunakan halaman ini, anda bisa mengatur beberapa aspek dari

file server anda:

Melihat event yang relevan terhadap role ini (dengan meng-klik dua kali

(double clicking) pada sebauh event untuk menampilkan detailnya).

Melihat layanan system untuk role ini, dan stop, start, pause, atau resume

service-service tersebut.

Melihat role services yang terinstall, dan menambah atau membuang role

services.

Mendapatkan bantuan bagaimana melakukan task-task yang berkaitan

dengan role tersebut.


Gambar 4-4 Halaman utama untuk File Server role

Perhatikan tanda check dalam lingkaran hijau disamping File Server Resource

Manager (FSRM) dibawah Role Services. Hal ini berarti FSRM, sebuah komponen

tambahan atau “role service” untuk File Server role, telah terinstall pada server ini.

Anda mungkin masih ingat FSRM dari Windows Server 2003 R2 yang merupakan

tool hebat untuk mengatur file servers dan bisa digunakan untuk mengkonfigure

volume dan total kuota folder, dan reporting. Tapi pada Windows Server 2003 R2,

anda harus memulai FSRM sebagai sebuah tool administrative yang terpisah,

sedangkan pada Windows Server 2008 tidak. Suatu hal yang membuat Server

Manager lebih baik ialah proses implementasi berjalan pada saat dilakukan

pengaturan.


Hal ini mempunyai arti bahwa kita bisa mengembangkan node file server kita, dan

dibaliknya anda akan menemukan dua hal yang lainnya, File Server Resource

Manager (yang kita pilih untuk diinstall sebagai tambahan role service ketika kita

menginstall File Server role pada mesin kita) dan Shared Folder (yang diinstall

secara default kapanpun anda menambahkan role file server pada sebuah mesin).

Dan dibalik node FSRM, anda akan menemukan sub-node yang sama dan

seharusnya anda sudah cukup familiar berada pada FSRM Windows Server 2003 R2

(lihat Gambar 4-5.) Dan apapun yang anda bisa lakukan pada FSRM di R2, anda bisa

lakukan juga pada Windows Server 2008. Sebagai contoh, untuk menkonfigurasi

sebuah server SMTP untuk mengirim notifikasi e-mail ketika quota telah terpenuhi,

lakukan klik kanan pada node File Server Manager dan pilih properties. (Sebagai

tambahan untuk meng-hosting FSRM snap-in menggunakan Server Manager,

menambahkan FSRm role service juga mengambahkan FSRM console ke

Administrative Tools.)


Gambar 4-5 role File Server menunjukan snap-in yang ter-hosting untuk File

Server Resource dan Shared Folder

Berikut merupakan beberapa hal penting untuk diketahui mengenai Server

Manager. Pertama, Server Manager didesain sebagai tool single, all-in-one untuk

mengatur server anda. Hal tersebut secara tidak langsung menggantikan peran

Manage Your Server (untuk tambahan role) dan juga Add/Remove Windows

Component atau Add Or Remove Programs yang ditemukan pada versi Windows

Server sebelumnya. Bahkan jika anda menuju menu Control Panel dan membuka

Programs And Features (yang menggantikan Add Or Remove Programs pada

Windows Vista), anda akan melihat sebuah link yang bernama Turn Windows

Features On And Off. Jika anda meng-klik link tersebut, Server Manager akan

terbuka dan anda bisa melihat node Roles atau Feature untuk menambahkan atau


menghapus role-role, role services, dan fitur-fitur. (Liaht Bagian 5 untuk bagaimana

hal ini dilakukan.)

Juga, ketika Server Manager digunakan untuk menginstall sebuah role seperti File

Server pada server anda, Server Manager memastikan bahwa role ini berstatus

secure by default. (Hal tersebut memastikan komponen-komponen yang akan

diisntalll dan port-port yang akan dibuka merupakan murni kebutuhan role

tersebut untuk berfungsi.) Dalam Windows Server 2003 Service Pack 1 atau yang

lebih baru, anda butuh untuk menjalankan Security Configuration Wizard (SCW)

untuk memastikan sebuah role server telah diinstall secara aman. Windows Server

2008 masih menyertakan SCW, tapi tool ini ditujukan untuk penggunaan oleh

spesialis IT yang bekerja pada perusahaan skala besar. Untuk organisasi skala

sedang, bagaimanapun juga, seorang IT generalist bisa menggunakan Server

Manager untuk menginstall role-role secara aman, dan hal ini jauh lebih gampang

dan ringkas dibandingkan menggunakan SCW. Sebagai tambahan, ketika Server

Manager bisa digunakan untuk menginstall role-role baru menggunakan smart

defaults, SCW secara umum didesain sebagai tool post-deployment untuk

menciptakan polisi-polisi keamanan yang bisa kemudian diaplikasikan ke multiple

servers untuk memperkuat dari serangan pada permukaan (surface attack.) (Anda

juga bisa membandingkan polisi-polisi yang dibuat oleh SCW dengan keadaan

sekarang dari sebuah server untuk alasan auditing untuk memastikan policy-policy

keamanan perusahaan terpenuhi.) Akhirnya, ketika Server Manage hanya bisa

digunakan untuk menambah role-role default Windows ( atau role out-of-band

yang akan tersedia nantinya, seperti yang akan disebutkan nanti), SCW bisa juga

digunakan untuk mengamankan role-role non-default seperti Exchange Server dan

SQL Server. Tapi poin utama pada bagian ini mengenai Server Manager vs. SCW

ialah bahwa ketika anda menjalankan Server Manager untuk menginstall sebuah

role baru pada server anda, anda tidak perlu menjalankan SCW setelahnya untuk


lock down role tersebut, seperti Server Manager memastikan role tersebut telah

aman secara default.

Server Manager mengandalkan pada sesuatu bernama Component Based Servicing

(CBS) untuk mengetahui role dan service apa yang terinstall pada sebuah mesin

dan untuk menginstall role-role atau service-service tambahan, atau untuk

menghapusnya. Untuk anda yang mungkin tertarik bagaimana hal ini bekerja,

terdapat sebuah sidebar pada bagian selanjutnya yang menampilkan secara lebih

detail. Server Manager juga didesain untuk dapat diperluas. Hal ini berarti ketika

fitur-fitur baru menjadi tersedia (seperti Windows Server Virtualization, yang kita

bicarakan pada Bagian 3, “Windows Server Virtualization”), anda akan bisa

menggunakan Server Manager untuk men-download role-role ini dari Microsoft

dan menginstall-nya pada server anda.

Server Manager didesain untuk pengaturan satu server saja (server local) dan tidak

bisa digunakan untuk mengatur beberapa server dalam satu waktu. Jika anda

membutuhkan sebuah tool untuk pengaturan multiple server secara simultan,

gunakanlah Microsoft System Center. Anda bisa menemukan lebih banyak

mengenai produk-produk System Center dan kemampuannya pada

http://www.microsoft.com/systemcenter/, dan hal ini akan memberikan apa yang

anda inginkan. Sebagai tambahan, status informasi yang ditampilkan oleh Server

Manager dibatasi hanya pada informasi event dan role services apa saja yang

berjalan. Jadi jika anda membutuhkan informasi yang lebih detail mengenai status

dari server anda, sekali coba menggunakan System Center yang merupakan next

generation dari platform SMS dan MOM.

Tidak seperti menggunakan Computer Management, anda tidak bisa menggunakan

Server Manager untuk melakukan remote connection ke server yang lain dan

mengaturnya. Sebagai contoh, jika anda melakukan klik kanan pada node root

dalam Server Manager, konteks menu yang ditampilkan tidak menampilkan

http://www.microsoft.com/systemcenter/��


sebuah pilihan Connect To S Different Computer. Bagaimanapun juga, hal ini bukan

merupakan sebuah limit/batasan yang signifikan dari tool tersebut karena

kebanyakan admin akan serta-merta manyalakan fitur Remote Desktop pada

server mereka dan menggunakan Terminal Services untuk secara remote mengatur

server-server tersebut. Sebagai contoh, anda bisa membuat Remote Desktop

Connection pada sebuah komputer Windows Vista, menggunakannya untuk

melakukan koneksi ke console session pada sebuah mesin Windows Server 2008,

dan kemudian menjalankan Server Manager dengan remote console session

tersebut.

Akhirnya, beberapa poin lagi yang anda harus ingat:

Server Manager tidak bisa digunakan untuk mengatur server-server yang

berjalan pada system operasi Windows Server versi sebelumnya.

Server Manager tidak bisa diinstall pada Windows Vista atau Windows

Server versi sebelumnya.

Server Manager tidak terdapat pada sebuah instalasi core Windows server

dari Windows Server 2008 karena komponen-komponen pendukung (.NET

Framework 2.0 dan MMC 3.0) tidak tersedia pada platform tersebut.

Anda bisa menkonfigurasi waktu interval refresh untuk Server Manager

dan juga jika tool tersebut secara otomatis dibuka pada saat logon dengan

menkonfigurasi pada settingan Group Policy.

Computer Configuration\Administrator Templates\System\Server

Manager\Do Not Open Server Manager otomatis pada saat Logon

Computer Configuration\Administrator Templates\System\Server

Manager\Configure The Refresh Interval For Server Manager


Berdasarkan pengalaman: Panduan konfigurasi Keamanan di

Windows Server 2008

Security Configuration Wizard (SCW) menurunkan tingkat serangan permukaan

dari Windows Server dengan menanyakan user dengan sejumlah seri pernyataan

yang didesain untuk mengidentifikasi kebutuhan-kebutuhan fungsional dari

sebuah server. Fungsionalitas yang tidak dibutuhkan oleh role server maka akan

ditiadakan. Sebagai tambahan, untuk menjadi sebuah penggunaan fundamental

keamanaan yang terbaik, SCW mengurangi sejumlah system yang butuh untuk di-

patch secara cepat ketika celah keamanan terekspos. Secara khusus, SCW

melakukan hal-hal sebagai berikut:

Mematikan servis-servis yang tidak dibutuhkan

Membuat aturan-aturan firewall yang dibutuhkan

Membuang aturan-aturan firewall yang tidak dibutuhkan

Mengijinkan pembatasan-pembatasan kemanan yang lebih lanjut untuk

aturan firewall

Mengurangi pembukaan protocol pada server message block (SMB),

LanMan, dan Lightweight Directory Access Protocol (LDAP).

SCW memberikan arahan menuju prosses creating, editing, applying, atau rolling

back sebuah kebijakan keamanan didasari pada role-role yang dipilih untuk server

tersebut. Kebijakan-kebijakan kemanan yang dibuat oleh SCW ialah file-file dalam

bentuk XML, ketika dilakukan penggunaan, konfigurasi servis, aturan Windows

Firewall, value spesifik dari registry, dan audit kebijakan. Kebijakan - kebijakan

keamanan tersebut bisa digunakan untuk sebuah mesin individual atau bisa

dijadikan sebuah objek group policy dan kemudian dihubungkan ke sebuah

Organizational Unit dalam Active Directory.


Dengan Windows Server 2008 beberapa perbaikan yang penting telah

ditambahkan pada SCW sebagai berikut:

Pada Windows Server 2003, SCW ialah sebuah komponen opsional yang

harus secara manual diinstall oleh administrator. SCW sekarang (pada

Windows Server 2008) merupakan sebuah komponen default, yang berarti

system administrator tidak perlu melakukan langkah lain untuk menginstall

atau mendeploy tool untuk menggunakan SCW.

Windows Server 2008 akan memperkenalkan fungsionalitas baru dan

menarik dalam Windows Firewall. Untuk mendukung fungsionalitas

tersebut, SCW telah dikembangkan untuk menyimpan, memproses, dan

menerapkan aturan-aturan firewall dengan presisi yang sama dengan yang

dilakukan Windows Firewall. Hal ini merupakan kebutuhan yang penting

karena pada Windows Server 2008 Windows Firewall akan dinyalakan

pada kondisi default.

SCW akan membangun sebuah database XML yang besar yang berisi setiap

servis yang digunakan, aturan firewall dan opsi administrator dari setiap

fitur atau komponen yang tersedia dalam Windows Server 2008. Database

ini telah menyeluruh di-review dan di-update untuk Windows Server 2008.

Role-role yang telah ada telah di-update, role-role baru telah ditambahkan

ke database, dan semua aturan-aturan firewall telah di-update untuk

mendukung Windows Firewall yang baru.

SCW sekarang membolehkan semua file XML dalam database

menggunakan sebuah set dari file-file XSD yang berisi skema SCW XML. Hal

ini akan membantu administrator atau developer mengembangkan

database SCW dengan membuat role-role SCW berdasarkan pada aplikasi

ataupun kebutuhan-kebutuhannya sendiri. File-file XSD tersebut tersedia

dibawah direktori SCW.


Semua report SCW telah di-update untuk mencerminkan perubahan yang

dibuat pada skema SCW mengenai dukungan untuk Windows Firewall yang

baru. Report-report tersebut termasuk report Configuration Database,

report Security Policy dan report Analysis yang akan membandingkan

konfigurasi sekarang dari Windows Server 2008 dengan kebijakan

kemanan SCW.

SCW menyediakan sebuah solusi end to end untuk mengurangi serangan

permukaan pada Windows Server 2008 dengan menyediakan sebuah konfigurasi

yang mungkin dari komponen-komponen yang default, role - role, fitur - fitur, dan

aplikasi - aplikasi third-party manapun yang membutuhkan role SCW.

SCW tidak bertanggung jawab untuk penginstallan ataupun penghapusan role -

role, fitur - fitur, atau aplikasi third-party manapun dari Windows Server 2008.

Administrator sebaiknya menggunakan Server Manager jika ingin menginstall role

dan fitur - fitur, atau menggunakan pengaturan yang disediakan pada aplikasi

third-party. Installasi role dan fitur menggunakan Server Manager dibuat

berdasarkan penggunaan keamanaan terbaik.

Selain SCW berperan sebagai komplemen dari Server Manager, nilai utamanya

berada dalam core konfigurasi system operasi dan aplikasi - aplikasi third-party

yang menyediakan role SCW. SCW sebaiknya digunakan setiap kali konfigurasi

default komponen pada Windows Server 2008 perlu untuk dimodifikasi atau ketika

sebuah aplikasi third-party ditambahkan atau dibuang. Dalam beberapa keadaan

yang spesifik, seperti remote administration, menjalankan SCW setelah

menggunakan Server Manager mungkin akan menyediakan beberapa penambahan

nilai pada beberapa role dan fitur spesifik. Menggunakan SCW setelah

memodifikasi sebuah role atau fitur melalui Server Manager bagaimanapun bukan

merupakan keharusan.


ServerManagerCmd.exe

Sebagai tambahan pada user interface dari Server Manager, terdapat juga sebuah

versi command-line dari Server Manager yang bernama ServerManagerCmd.exe

yang pertama kali diperkenalkan pada Windows Server IDS_2 build (yang

merupakan Februari CTP build). Tool command-line ini, yang ditemukan pada

folder %windir%\system32, bisa digunakan untuk melakukan beberapa tasks

berikut:

Menampilkan sebuah daftar role-role dan fitur-fitur yang telah terinstall

pada mesin.

Menampilkan sebuah daftar role services dan fitur-fiturnya yang

mungkin terinstall jika anda memilih untuk menggunakannya.

Menambahkan sebuah role atau fitur pada server anda menggunakan

settingan default dari role atau fitur tersebut.

Menambahkan beberapa roles/fitur sekaligus menyediakan sebuah file

XML yang merupakan listing dari roles/fitur yang diinstall.

Me-remote roles atau fitur dari server anda.

Berikut merupakan apa saja yang tidak bisa dilakukan ServerManagerCmd.exe:

Meninstall sebuah role atau fitur, dan mengubah settingan defaultnya.

Mekonfigurasi ulang sebuah role atau fitur yang telah terinstall pada

mesin.

Melakukan koneksi ke mesin remote, dan mengatur roles/fitur pada

mesin tersebut.


Mengatur roles/fitur pada mesin yang menggunakan sebuah instalasi

core Windows server dari Windows Server 2008.

Mengatur non-OOB roles/fitur – seperti Exchange Server atau SQL

Server.

Mari kita melihat pada perintah servermanagercmd – query, yang menampilkan

daftar dari roles dan fitur yang pada saat ini tersedia di computer, bersama dengan

nama-nama command-line-nya (nilai lebih yang harus digunakan untuk menginstall

atau menghapus role atau fitur dari command line). Ketika anda menjalankan

perintah ini, sesuatu yang bernama discovery berjalan untuk menentukan role-role

dan fitur-fitur yang berbeda yang telah terinstall.

Setelah discovery (pencarian) selesai (yang bisa memakan sedikit waktu), perintah

tersebut menghasilkan output yang menampilkan roles/fitur yang terinstall dalam

warna hijau dan yang diberi tanda dengan “X”.


Anda juga bisa mengetik servermanagercmd.exe –query results.xml untuk

mengirim output dari perintah ini menjadi file XML. Hal ini cukup praktis dan

mudah jika anda mau menyimpan dan menguraikan secara programik output dari

perintah ini.

Berdasarkan pengalaman: Pembangunan secara otomatis

dengan ServerManagerCmd.exe

Menggunakan sebuah aplikasi ataupun service internal yang baru bersama dengan

sebuah organisasi berkali-kali berarti melakukan settingan role-role dan fitur-fitur

pada multiple servers. Beberapa dari server-server ini mungkin butuh disetting

dengan konfigurasi yang persis sama, dan yang lainnya mungkin berada pada lokasi

yang berbeda yang tidak siap diakses oleh staff IT. Untuk alasan ini, anda mungkin

menginginkan untuk menulis skrip untuk mengotomatisasi proses deployment dari

command line.

Salah satu tools yang bisa menfasilitasi server deployment dari command line ialah

ServerManagerCmd.exe. Tool ini ialah tool yang sama dengan konsole grafikal

Server Manager, yang digunakan untuk menginstall dan mengkonfigurasi role-role


dan fitur-fitur server. Versi grafikal dan command-line dari Server Manager

dibangun pada platform sinkronisasi yang sama yang menentukan role-role dan

fitur-fitur mana saja yang diinstall dan digunakan pada konfigurasi server.

ServerManagerCmd.exe menyediakan satu set command-line switches yang

membolehkan anda untuk mengotomatisasi banyak task deployment seperti

berikut:

Menampilkan daftar Role-role dan Fitur-fitur yang dapat diinstall

Anda bisa menggunakan perintah –query untuk melihat daftar roles dan fitur-fitur

yang tersedia untuk instalasi dan menemukan apa saja yang telah diisntall. Anda

bisa juga menggunakan –query untuk melihat nama-nama command-line dari role

dan fitur tersebut. Daftar tersebut akan ditampilkan dalam tanda kurung [ ] setelah

nama display.

Meng-install dan Uninstall Role-role dan Fitur-fitur

Anda bisa menggunakan perintah –install dan –remove untuk menginstall dan

menghapus role dan fitur. Satu hal yang harus diperhatikan ialah

ServerManagerCmd.exe hanya mengijinkan anda untuk menginstall dan

menghapus. Terpisah dari beberapa pengecualian untuk setting yang dibutuhkan,

anda tidak bisa menentukan settingan konfigurasi seperti yang adan bisa lakukan

pada konsol grafikal Server Manager. Anda butuh untuk menggunakan tool-tool

yang lain, seperti MMC snap-ins dan command-line utilities, untuk menentukan

settingan konfigurasi setelah menginstall roles dan fitur-fitur menggunakan

ServerManagerCmd.exe.

Berjalan pada mode “What-If”

Setelah anda membuat sebuah skrip untuk set-up server dengan

ServerManagerCmd.exe, anda mungkin ingin mengecek apakah skrip yang anda


buat berjalan dengan semestinya. Atau anda mungkin ingin melihat apa yang akan

terjadi jika anda mengetikan perintah tertentu dengan ServerManagerCmd.exe.

Untuk situasi seperti ini, anda bisa menyediakan switch –whatif. Switch ini

memberitahukan anda apa yang akan diinstall dan dihapus secara tepat dengan

sebuah perintah ataupun file jawaban, didasari pada konfigurasi server pada saat

itu, tanpa melakukan operasi sesungguhnya.

Menentukan Parameter Input melalui sebuah File Answer

ServerManagerCmd.exe bisa beroperasi dalam sebuah mode interaktif, atau bisa

diotomatisasi menggunakan sebuah file answer. File answer ditentukan

menggunakan switch –inputPath <answer.xml>, dengan <answer.xml> ialah nama

dari sebuah file XML dengan daftar parameter-parameter input. Skema untuk

membuat file-file answer bisa ditemukan dalam dokumentasi

ServerManagerCmd.exe.

Redirect Output ke sebuah File Results

Hal ini biasanya sebuah tindakan yang baik untuk menyimpan history dari

perubahan konfigurasi pada server anda jika anda butuh untuk melakukan

troubleshooting sebuah masalah, migrasi settingan dari sebuah server yang telah

ada ke server yang baru, atau recover dari sebuah bencana atau kegagalan. Untuk

membantu dengan menjaga record, anda bisa menggunakan switch resultPath

<result.xml> untuk men-save hasil dari sebuah installasi atau penghapusan ke

sebuah file, dengan <result.xml> ialah nama dari file dimana anda mau menyimpan

output.

Anda akan belajar lebih lanjut mengenai pemakaian ServerManagerCmd.exe untuk

menambah roles dan fitur pada Bagian 5, tapi untuk sekarang mari kita berlanjut

melihat tool-tool lain untuk pengaturan Windows Server 2008.


Remote Server Administration Tools

Jika anda ingin secara remote mengatur mesin yang lain yang berjalan

menggunakan Windows Server 2008, maka yang perlu anda lakukan ialah

mengaktifkan Remote Desktop pada file server, dan menggunakan Terminal

Service untuk menjalankan tool-tool pada server tersebut secara remote. Setelah

kita memnpunyai sebuah sesi Remote Desktop Connection dengan remote server,

kita bisa menjalankan tool-tool seperti Server Manager atau File Server Resource

Manager sama seperi kita menggunakan secara langsung.

Pada Windows Server 2003, anda bisa juga mengatur remote server denga cara ini.

Namun anda juga bisa mengatur dengan cara yang lain yaitu dengan menginstall

Windows Server 2003 Administrator Tools Pack (Adminpak.msi) pada sebuah

mesin Windows Server 2003 yang berbeda, atau bahkan pada sebuah admin

workstation yang berjalan dengan Windows XP Service Pack 2. Dan setelah Tools

Pack terinstall, anda bisa membuka tool-tool manapun, melakukan koneksi ke

remote server anda, dan mengatur role-role dan fitur-fitur pada server (role dan

fitur yang diperlukan telah terinstall).

Pada Windows Server 2008 terdapat sebuah tool yang berfungsi sama dengan

Adminpak yaitu Remote Server Administrator Tools (RSAT), yang bisa anda

gunakan untuk menginstall tool-tool management yang dipilih pada server anda,

meskipun ketika binaries dari role/fitur tidak terinstall pada server anda. Pada

kenyataannya, RSAT bekerja lebih baik dibanding Adminpak karena Adminpak

meninstall semua tool-tool adminstrasi, sedangakan RSAT memberikan

keleluasaan anda untuk menginstall tool mana saja yang dibutuhkan.

Pada RSAT Beta 3 anda bisa menginstall role-role dan fitur-fitur:

Roles


o Active Directory Domain Services

o Active Directory Certificate Services

o Active Directory Lightweight Directory Services

o Active Directory Rights Management Server

o DNS server

o Fax server

o File server

o Network Policy dan Access Services

o Print services

o Terminal Services

o Web server (IIS)

o Windows Deployment Services

Fitur-fitur

o Bitlocker Drive Encrption

o BITS Server Extentions

o Failover Clustering

o Network Load Balancing

o Simple SAN Management

o SMTP Server


o Windows System Resource Management (WSRM)

o WINS Server

Bagaimana anda menginstall tool-tool management individual menggunakan

RSAT? Dengan menggunakan Windows Server 2008, hal ini bisa dilakukan dengan

menjalankan Add Features Wizard, dan memlih tool-tool RSAT management yang

anda mau install, seperi tool management Terminal Services Gateway. (lihat

Gambar 4-6.) perlu dicatat bahwa menginstall beberapa tool management RSAT

mungkin membutuhkan fitur-fitur tambahan terinstall. Sebagai contoh, jika anda

memilih tool-tool management Web Server (IIS) dari RSAT, anda harus juga

menginstall komponen Configuration API daru Windows Process Activation Service

(WPAS) feature.


Gambar 4-6 Menginstall sebuah tool management menggunakan fitur RSAT

Langkah-langkah sebenarnya dalam menginstall fitur-fitur paa Windows Server

2008 akan dijelaskan lebih lanjut pada Bagian 5. Untuk sekarang, ingat saja ketika

anda menginstall sebuah RSAT sub-fitur seperti TS Gateway, yang sebenernya

dilakukan ialah menambah sebuah shortcut baru dibawah Administratiive Tools

yang bernama TS Gateway. Selanjutnya jika anda meng-klik Start, maka

Administrative Tools, kemudian TS Gateway, konsol TS Gateway terbuka. Dalam

konsol tersebut, anda bisa meng-klik kanan pada node root, memilih Connect To

TS Gateway Server, dan mangatur sebuah terminal server remote Windows Server

2008 dengan service TS Gateway yang telah terinstall tanpa harus mengaktifkan

Remote Desktop pada terminal server.


Akhirnya, Windows Server 2003 Adminpak bisa diinstall pada sebuah workstation

Windows XP SP2, yang membolehkan anda mengurus server-server anda dari

sebuah workstation.

Alat Pengatur Lainnya

Terdapat beberapa cara lain untuk anda mengatur Windows Server 2008

disamping tool-tool yang telah disebutkan sejauh ini. Mari kita meliaht apa saja

yang dapat dilakukan, kita akan melihat pada beberapa item sebagai berikut:

Group Policy

Windows Management Instrumentation (WMI)

Windows PowerShell

Microsoft System Center

Group Policy

Group Policy pada Windows Vista dan Windows Server 2008 telah ditingkatkan

pada beberapa bagian, termasuk:

Beberapa area baru dari management policy, termasuk mengkonfigurasi

Settingan Power Management, mem-blok penginstallasian dari device-

device, penentuan printer berdasarkan lokasi, dan banyak lainnya.

Sebuah format baru untuk file–file Administratice Templates yang

bernama ADMX yang merupakan XML-based dan mengganti file-file

propierty-syntax ADM yand digunakan pada versi Windows sebelumnya.


Network Location Awarness untuk mengaktifkan Group Policy agar waktu

respond untuk mengganti kondisi jaringan menjadi lebih cepat, dan

menghapus kebutuhan relying pada ICMP untuk memproses policy.

Kemampuan untuk menggunakan objek-objek local group policy yang

merupakan kemampuan dalam mereduksi pembengkakan SYSVOL dengan

mengganti file-file ADMX dalam sebuah central store, dan beberapa fitur

dan perbaikan yang lainnya.

Berdasarkan pengalaman: Apa yang baru di Group Policy

Windows Server 2008

Berikut merupakan penjelasan mengenai pengembangan Group Policy yang

ditemukan dalam Windows Server 2008.

Integrasi Server Manager

Hal pertama yang terlihat jelas terjadi perubahan pada Windows Server 2008 ialah

bagaimana tool-tool Group Policy disajikan. Pada system operasi sebelumnya,

selain dari Windows Vista, seorang administrator harus mengunjungi Web site

Microsoft untuk mendownload Group Policy Manamenent Console (GPMC) dan

menginstallnya pada setiap administrative workstation dimana management

Group Policy dilakukan. Dalam Windows Server 2008, langkah-langkah installasi

dibawakan oleh system operasi. Tidak ada lagi proses download, dan mencari lagi

media installasi yang lainnya –semuanya telah ada didalam.

Perbedaan dalam lingkungan yang baru ini ialah bagaimana komponen-komponen

opsional Windows diinstall. Windows Server 2008 memperkenalkan konsol

management yang baru untuk server-server yang bernama Server Manager. Ini

merupakan tool yang digunakan untuk menginstall role-role server, dan juga


komponen-komponen opsional Windows. Jika anda memilih untuk melakukan cara

lama dan menambah komponen-komponen Windows dari Add/Remove Control

Panel, maka anda akan membuka Server Manager juga.

Anda tak hanya menggunakan Server Manager untuk menginstall komponen-

komponen opsional, tapi juga GPMC-nya itu sendiri dijalankan bersamaan dengan

console Server Manager. Hal ini berarti semua tool-tool administrative anda

disimpan dalam satu tempat dan akan mudah untuk ditemukan. Tentunya anda

akan masih bisa untuk menemukan tool-tool tersebut di tempat biasa, seperti

Administrative Tools.

Pencarian/Penyaringan, komentar, dan Starter GPOs

Fitur-fitur ini meningkatkan performa penggunaan administrative dalam hal

managing dan authoring policy. Terdapat, secara teknikal, fitur-fitur multiple, tapi

yang bekerja jika diatur sebagai sebuah “feature set,” seperti semuanya diatur

untuk problem bisnis yang sama –kesulitan pada authoring policy. Seperti yang

mungkin anda ketahui, dalam Windows Vista/Windows Server 2008 akan banyak

sekali settingan baru yang perlu untuk diatur. Hal ini berarti total settingan akan

mendekati 3000. Itu merupakan settingan yang sangat banyak dan dapat diatur.

Microsoft telah menyediakan sebuah spreadsheet settingan yang berisi semua

settingan Group Policy dalam satu dokumen yang relative lebih mudah digunakan,

tapi dokumen ini tidak juga menyelesaikan masalah. Microsoft telah menerima

feedback dari banyak ahli IT yang berisi saran agar diadakan suatu metoda

bersama Group Policy yang lebih mudah untuk mencari settingan yang benar.

Sekarang dengan Search dan Filter, ketika anda memberikan wewenang suatu

kebijakan dalam editor anda mempunyai sebuah mekanisme yang hebat untuk

menemukan settingan yang anda cari. Anda akan melihat sebuah tombol Filter

baru pada toolbar, dan jika anda meng-klik kanan pada node Administrative

Templates dalam editor, anda akan melihat sebuah item menu yang bernama


Filter Options. Filter Options mengijinkan anda untuk mengatur kriteria yang anda

inginkan untuk mencari (search). Sebagai contoh, anda bisa mempersempit

pencarian hanya pada item configured, spesifik keywords, atau kebutuhan system

(sebagai contoh, settingan Internet Explorer 6.0). Filter Options menyediakan

sebuah interface yang sangant intuitif. Sekali anda men-set Filter Options dan

menyalakan Filter (settingan Global), editor hanya menyajikan settingan yang anda

mau. Tim Group Policy sangat senang untuk membawa fitur-fitur ini pada anda,

karena kami tahu hal ini akan mengurangi beberapa beban administrative dari

sebuah teknologi management yang fantastik.

Anda juga bisa mem-filter untuk settingan yang mempunyai Comments. Hal ini

merupakan fitur baru diperkenalkan dalam Windows Server 2008. Anda sekarang

bisa menempatkan sebuah comment pada settingan manapun yang anda mau. Hal

ini berarti ketika administrator authoring policy, mereka bisa mendokumentasikan

maksud mereka pada waktu author dan administrator yang lain bisa menggunakan

comment tersebut sebagai kriteria pencarian. Fitur ini sangat berguna dalam

menolong administrator Group Policy untuk berkomunikasi dengan mereka

sendiri, atau dengan administrator yang lain, kenapa suatu settingan diubah dan

apa pengaruhnya pada settingan lain (system).

Bagian terakhir dari fitur ini bernama Starter GPOs. Starter GPOs ialah sebuah

starting point untuk adminstrasi. Ketika sebuah GPO dibuat, anda masih bisa

membuat sebuah GPO blank, atau anda bisa memilih untuk membuat GPO dari

salah satu pre-existing Starter GPOs. Starter GPOs ialah sebuah koleksi dari

template settigan preconfigured Adminstrative, lengkap dengan comment-nya.

Anda bisa melihat sebuah node dalam Group Policy Management Comsole (GPMC)

bernama Starter GPOs. Hanya dengan klik kanan pada node ini dan pilih new. Anda

akan mempunyai sebuah Sterter GPO yang tersedia untuk diedit. Terdapat delegasi

yang tersedia pada container Starter GPO untuk memastikan hanya spesifik

administrator yang dapat mengubahnya.


Kumpulan fitur-fitur ini –Search/Filter, Comments, dan Starter GPOs- datang

bersama untuk memudahkan authoring dan management sekitar Group Policy. Hal

ini menyediakan authoring dan pencarian settingan yang menyenangkan, dalam

dokumentasi dari settingan Group Policy, dan konfigurasi dasar untuk memulai

proses.

ADMX/ADML

File-file ADMX/ADML telah diperkenalkan dalam Windows Vista untuk

menggantikan legacy data format dari file-file ADM yang kita biasa gunakan. File-

file ADMX ialah file XML yang berisi tipe informasi yang sama yang kita cukup kenal

untuk membangun administrative experience disekitar settingan Administrative

Template. Menggunakan XML membuat seluruh proses lebih sefisien dan

terstandarkan. File-file ADML ialah file spesifik-bahasa yang sangat penting dalam

multilingual enterprise. Pada masa lalu, semua localisasi dilakukan oleh setiap file

ADM. Hal ini mengakibatkan beberapa masalah control version yang

membingungkan ketika administrator mengatur settingan dalam sebuah GPO dari

workstation menggunakan bahasa yang berbeda. Dengan ADMX/ADML, semua

administrator bekerja dengan GPOs yang sama dan dengan mudah memanggil file

ADML yang sesuai untuk memenuhi editor.

Value yang berkaitan lainnya dengan file-file ADML/ADMX ialah GPOs tidak lagi

berisi file-file ADM sendiri. Sebelum Windows Vista/Windows Server 2008, setiap

GPO yang dibuat akan berisi file-file ADM. Hal ini akan berukuran 4 MB secara

default. Hal ini juga merupakan salah satu penyebab pembengkakan SYSVOL.

Lihat pada http://www.microsoft.com/GroupPolicy untuk membaca lebih pada

ADMX/ADML. Anda juga bisa menemukan migrasi utility ADMX untuk

memudahkan dalam berpindah ke lingkungan yang baru pada

http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/defa

ult.mspx. Hanya ingatlah bahwa ADM dan ADMX bisa saling menggantikan

http://www.microsoft.com/GroupPolicy��

http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx��

http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/default.mspx��


Central Store

Berhubungan dengan file-file ADMX ialah Central Store. Seperti keadaan

sebelumnya, file-file ADM digunakan untuk menyimpan pada GPO itu sendiri. Hal

itu bukan lagi menjadi masalah. Sekarang GPO berisi hanya data yang dibutuhkan

client untuk memproses Group Policy. Dalam Windows Vista/Windows Server

2008, keadaan default untuk editing ialah bahwa editor mengambil file-file ADMX

dari workstation lokal. Hal ini sangat baik untuk lingkungan dengan sedikit

administrator yang memanage Group Policy, tapi dalam lingkungan yang lebih

besar, lebih kompleks atau yang lebih membutuhkan control, sebuah Central Store

telah diperkenalkan. Central Store menyediakan sebuah single SYSVOL yang

memegang semua file-file ADMX/ADML yang dibutuhkan. Sekali Central Store di

set-up, semua administrator meload file-file yang sesuai dari Central Store

dibandingkan mesin local. Cek juga salah satu dari Group Policy MVP’s Central

Store Creation Utility pada http://www.gpoguy.com/cssu.htm. Anda juga bisa

menemukan informasi lebih lanjut di http://www.microsoft.com/grouppolicy.

Kesimpulan

Windows Server 2008 dan Windows Vista telah memperkenalkan banyak

funsioanlitas baru untuk Group Policy. Admonsitrator akan menemukan fitur-fitur

baru ini untuk management, bersama dengan 700 settingan baru untuk diatur,

akan menambah penggunaan Group Policy yang menyenangkan dan menambah

jumlah area yang bisa diatur dengan policy.

Windows Management Instrumentation

WMI ialah sebuah core teknologi management Windows yang system

administrator bisa gunakan untuk menulis scipt-script untuk melaksanakan task-

http://www.gpoguy.com/cssu.htm��

http://www.microsoft.com/grouppolicy��


task administrative pada local maupun remote computer. Tidak terdapat

peningkatan yang spesifik pada WMI dalam Windows Server 2008 diluar yang telah

dimasukan dalam Windows Vista, namun hal ini penting untuk mengetaui

mengenai peningkatan pada Windows Vista karena hal tersebut berlaku juga pada

Windows Server 2008. Berikut merupakan beberapa penigkatan signifikan pada

WMI dalam Windows Vista dan Windows Server 2008:

Penyempurnaan pada tracing dan logging. Service WMI sekarang

menggunakan Event Tracing untuk Windows (ETW) daripada file-file log

legacy WMI yang digunakan pada versi windows sebelumnya, dan hal ini

membuat event-event WMI tersedia melalui Event Viewer atau

menggnakan tool command-line Wevtutil.exe.

Peningkatan kemanan WMI namespace. NamespaceSecuritySDDL

qualifier sekarang bisa digunakan untuk mengamankan namespace

manapun dengan menyetting namespace security dalam file Managed

Object Format (MOF)

Kemanan auditing WMI namespace. WMI sekarang menggunakan

namespace system access control lists (SACL) untuk mengaudit aktivitas

namespace dan report events pada Security event log.

Metoda-metoda deskriptor keamanan Get and Set untuk objek-objek

securable. Metoda scriptable baru untuk mendapatkan dan menyetting

descriptor keamanan telah ditambahkan pada Wind32_Printer,

Win32_Service, StdRegProve, Win32_DCOMApplicationSetting, dan

_SystemSecurity.

Memanipulasi descriptor keamanan menggunakan scripts.

Win32_SecurityDescriptorHelper class sekarang mempunyai metoda yang

membolehkan scripts untuk mengkonversi binary deksriptor keamanan


pada objek yang securable menjadi objek Win32_SecurityDescriptor atau

Security Descriptor Definition Language (SDDL) strings.

Kontrol akun user. User Account Control (UAC) mempengaruhi data WMI

apa yang dikembalikan, bagaimana WMI secara remote diakses, dan

bagaimana script-script harus dijalankan.

Semua yang disebutkan diatas mempunyai arti bahwa WMI lebih aman dan lebih

konsisten dalam bagaimana caranya bekerja dalam Windows Server 2008, yang

merupakan berita bagus untuk system administrator yang lebih menyukai menulis

script-script WMI untuk mengatur banyak jenis aspek dari jaringan Windows-based

mereka.

Menulis skrip WMI tidaklah gampang. Windows Vista dan Windows Server 2008

membuat sulit hal ini karena terdapat peningkatan besar-besaran pada bagian

keamanan, termasuk User Acces Control (UAC).

Berdasarkan pengalaman: WMI Remote Connection

Berbicara mengenai management tentu saja mengisyaratkan anda untuk mengatur

secara remote pada Windows system. Remote koneksi berhubungan langusng

dengan system keamanan. Management dan keamanan tidak selalu mudah

dikombinasikan. Tidaklah jarang kita melihat situasi dimana management menjadi

masalah pada pelanggaran security, atau jika situasi dibalik, tidak jarang juga

settingan keamanan mencegah proses management berlangsung dengan baik

pada system. Pada aspek ini, WMI tidak berbeda dari teknologi yang lain yang

menyediakan kemampuan remote management melibatkan beberapa

pertimbangan keamanan.

Windows Vista dan Windows Server 2008 datang dengan seri fitur-fitur keamanan.

Salah satu yang paling penting ialah User Account Control (UAC). Sepertinya setiap

administrator di dunia ini akan merasa tertantang oleh kehadiran UAC, terutama


jika anda menggunakan Bagian Local Accounts dari Administrator group untuk

melakukan remote access. Hali ini karena account manapun yang digunakan pada

konteks ini akan secara otomatis difilter dan akhirnya akan bekerja sebagai normal

user dalam remote system. Oleh karena itu, sangat bijak jika memperhitungkan

aspek-aspek keamanan yang berbeda yang sesuai untuk mengamankan

pengaturan remote system anda.

Sebelum melihat pada aspek UAC, mari melangkah kebelakang untuk melihat

kebutuhan untuk memanggil WMI secara remote. Hal ini berlaku untuk platform

Windows manapun semenjak Windows 2000.

Untuk melakukan koneksi remote, teradapat empat kondisi yang harus dipenuhi:

1. Firewall Diperkenalkan pada Windows XP, Windows Firewall harus secara

benar di-set-up untuk dapat melakukan konektivitas traffic WMI RPC.

Biasanya, anda akan mendapatkan sebuah “RPC connection failure” jika

Windows Firewall nyala dan RFC tidak diijinkan. Jika anda mendapatkan

pesan “access denied”, firewall bukanlah masalahnya. Ingatlah bahwa

firewall komponen kunci untuk dilalui sebelum yang lainnya. Sebelum

Windows Vista dan Windows Server 2008, Traffic RPC harus diijinkan untuk

mengijinkan trafffic WMI berjalan. Dengan Windows Vista dan Windows

Server 2008, sebuah aturan firewall dedicated tersedia untuk hanya

mengijinkan Traffic WMI. Catatan jika anda menggunakan WMIDiag

(tersedia pada Microsoft Download Center), akan memeberitahukan anda

NETSH.EXE yang mana untuk digunakan mengkonfigur firewall.

2. DCOM Sekali gerbang firewall dilalui, ini waktunya untuk memperhatikan

kemanan DCOM. User menginginkan remote call harus mempunyai hak

untuk “Launch dan Activate” (yang bisa dilihat dan diubah dengan

DCOMCNFG.EXE) untuk My Computer dan Windows Management and

Instrumentation objects. Secara Default, hanya user yang merupakan


bagian dari group Administrator remote machine mempunyai hak untuk

secara remote “Launch dan Activate” objek-objek DCOM tersebut.

3. WMI namespace Sekali keamanan DCOM disetujui, kemanan namespace

WMI berikutnya. Pada kasus ini user konek pada sebuah WMI namespace

secara remote harus memliki minimum Enable Remote dan membenarkan

Enable Account rights. (hal ini bisa diupdate dengan WMIMGMT.MSC).

4. Manageable entity Terakhir, ketika WMI telah menerima request remote,

akan mengeksekusi berlawanan dengan manageable entity yang bisa jadi

sebuah Windows Service atau sebuah settingan konfigurasi Terminal

Server. Langkah terakhir ini harus berhasil jika ingin operasi WMI berjalan

dengan baik. WMI tidak menambah hak-hak yang user harus hadapi ketika

request WMI. Secara default WMI mengambil alih request bersama kontek

- kontek keamanam remote user). Jadi bergantung pada operasi request

WMI dan hak-hak yang diberikan pada remote user untuk menentukan

sukses atau gagalnya manageable entity. Sebagai contoh, jika anda

mencoba untuk menghentikan Windows Service secara remote, secara

default Service Control Manager membutuhkan user sebagai

administrator. Jika tidak maka request tersebut gagal.

Hal ini menjelaskan perilaku dari WMI sejak Windows 2000. Dalam Windows Vista

dan Windows Server 2008 akan berbeda karena UAC dijalankan secara default dan

semuanya bergantung anda menggunakan account local atau domain account. Jika

anda menggunakan account local dari remote machine yang merupakan anggota

dari group Local Adminstrator, keanggotaan Administrator dari user selalu

diperiksa. Pada kontek ini DCOM, WMI, dan manageable entity mengacu pada

aturan keamanan berdasarkan filter yang digunakan. Karena itu, dengan melihat

pada perilaku UAC, token yang digunakan ialah token user, bukan merupakan

token administrative.


Sekarang keadaan telah di-set, bagaimana anda mengatur sebuah mesin remote

Windows vista atau Windows Server 2008 mengacu pada kemanan Firewall, UAC,

DCOM, WMI, dan manageable entity?

Tantangan ini harus dilihat dari dua cara berbeda:

1. Mesin remote ialah bagian dari sebuah domain. Jika mesin remote

merupakan bagian dari domain, sangat disarankan anda menggunakan

bagian Domain User dari group Local Adminstrator dari remote machine.

Dengan melakukan ini anda akan menjadi administrator biasa karena UAC

tidak memfilter user diluar group Local Adminstrator ketika user

merupakan Domain User. UAC hanya memfilter Local Users diluar dari

group Local Adminstrator.

2. Mesin anda ialah sebuah mesin workgroup. Jika mesin anda berada pada

lingkungan workgroup, anda dipaksa untuk mengguanakn sebuah Local

User bagian dari group Local Adminstrator Group untuk konek secara

remote. Jelas sekali karena perilaku UAC, user tersebut akan difilter dan

bekerja hanya sebagai user biasa. Pendekatan pertama jika anda berada

pada infrastruktur enterprise yang besar, perhatikan kemungkinan untuk

membuat mesin ini bagian dari sebuah domain untuk menggunakan

sebuah Domain User. Jika hal ini tidak mungkin karena anda harus

menjaga mesin sebagai bagian dari workgroup, maka anda memliki dua

pilihan:

o Anda memutuskan untuk menjaga UAC tetap aktif. Dalam kasus ini

anda harus menyesuaikan settingan keamanan dari DCOM dan

WMI untuk memastikan bahwa Local User mempunyai hak-hak

eksplisit untuk remote access. Jangan lupa cara terbaik ialah

menggunakan Local Group dedicated dan membuat Local User ini

anggota dari group tersebut. Dalam konteks ini, request WMI


melawan manageable entity mungkin bekerja atau tidak

bergantung pada kebutuhan keamanan manageable entity. Jika

manageable entity tidak mengijinkan user biasa untuk melakukan

task yang diminta, anda mungkin dipaksa untuk mengubah

keamanan pada level manageable entity untuk memberikan ijin

pada Local User atau group-nya juga. Catatan, bahwa hal ini tidak

selalu berhasil karena ini bergantung pada kebutuhan keaamanan

manageable entity dan kemampuan management keamanan dari

manageable entity. Untuk contoh Windows Service, hal ini bisa

dilakukan dengan perintah SC.EXE melalui sebuah string SDDL,

Win32_service WMI class (dengan metoda

Get/SetSecurityDescriptor diimpelemtasikan pada Windows Vista

dan Windows Server 2008), atau Group Policies (GPEDIT.MSC).

Dengan mengupdate kemananan pada tiga level ini, anda akan

bisa untuk melewati gerbang keamanan DCOM dan WMI dan

menghentikan sebuah Windows Service sebagai user biasa.

Catatan bahwa kustomisasi mewakili langkah-langkah untuk

sebuah granular delegation dari Management. Hanya service yang

diubah bisa dihentikan dengan dedicated user (atau group). Pada

kasus ini, anda sebenarnya menentukan model keamanan granular

untuk task yang spesifik. (anda bisa melihat “Running Scripts

Securly While Handling Password and Security Contexts Properly”

webcast pada http://go.microsoft.com/fwlink/?LinkId=39643

untuk mengerti scenario ini lebih baik). Sekarang mungkin

beberapa manageable entities hanya membutuhkan user untuk

menjadi seorang admin karena tidak terdapat kemungkinan untuk

mengupdate descriptor keamanan. Terakhir, perlu diingat bahwa

langkah-langkah ini juga bisa diaplikasikan pada lingkungan

http://go.microsoft.com/fwlink/?LinkId=39643��


domain untuk menyerahkan kemampuan management ke sebuah

group domain user.

o Anda memutuskan untuk menonaktifkan UAC filtering untuk

remote access. Hal ini harus menjadi pilihan solusi terakhir. Ini

bukanlah sebuah opsi yang harus diperhitungkan jika anda

menginginkan untuk mempertahankan system workgroup anda

dengan tingkat keamanan yang tinggi. Jadi solusi ini dapat diambil

jika setelah melakukan investigasi kemungkinan untuk membuat

system anda bagian dari sebuah domain atau setelah mereview

segala yang perlu dilakukan. Jika membuat system anda bagian

dari sebuah domain tidak mungkin, anda bisa mempertimbangkan

opsi ini. Pada kasus ini, anda harus melihat key registry dalam

referensi ditujukan dibawah menjadi NOL pada remote system.

Catat bahwa anda harus menjadi seorang administrator untuk

megubah registry tersebut. Jadi anda butuh melakukan ini secara

local, sebelum remote access dibuat. Catatan bahwa settingan

konfigurasi ini mematikan filtering pada Local Account saja, tidak

mematikan UAC seluruhnya.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S

ystem]”LocalAccountTokenFilterPolicies”=dword:00000001

Setelah dilakukan, key registry dibuat dan di-set ke SATU, dan

Local User yang mengakses remote server akan menjadi

administrator. Catatan terakhir langkah ini membutuhkan reboot

mesin.


Windows PowerShell

Tool powerful lainnya untuk otomatisasi task-task administrative dalam Windows

Server 2008 ialah Windows PowerShell, sebuah shell command-line dan scripting

language. PowerShell meliputi lebih dari 130 tool-tool command-line (bernama

cmdlets), mempunyai sintaks yang konsisten dan kaidah penamaan, dan

menggunakan navigasi yang disederhanakan untuk mengatur data seperti registry

dan certificate store. PowerShell juga meliputi sebuah bahasa scripting intuitif

yang didesain untuk IT administrator.

PowerShell bisa digunakan secara efisien untuk melakukan task-task administrasi

Windows Server 2008, termasuk mengatur service, process, dan storage.

PowerShell bisa juga digunakan untuk mengatur aspek-aspek dari server roles,

seperti Internet Information Services (IIS) 7.0, Terminal Services, dan Windows

Server 2008 termasuk:

Mengatur command-line sevices, process, registry, dan data WMI

menggunakan get-service, get-process, dan get-wmiobjetcs cmdlets.

Otomatisasi konfigurasi Terminal Services, dan membandingkan

konfigurasi antar Terminal Server farm.

Penyebaran dan mengkonfigure Internet Information Services 7.0 antar

sebuah Web farm.

Membuat objek dalam Active Directory, dan mendaftar informasi

mengenai domain yang dipakai sekarang.

Berikut merupakan Pesan dari Ahli di Microsoft mengenai PowerShell:

Berdasarkan pengalaman: PowerShell Hebat!


Dari semua teknologi baru Microsoft, PowerShell telah menjadi salah satu yang

paling menarik (setelah IIS 7.0 tentunya). Anda mungkin bertanya-tanya kenapa

PowerShell yang merupakan scripting shell for Windows ini begitu menarik. Untuk

melihat betapa kerennya PowerShell ini bisa dilihat di

http://channel9.msdn.com/Showpost.aspx?postid=256994.

Pertama dalam PowerShell anda memasukkan perintah pada objek, non teks, dan

PowerShell mengembalikan objek dan non teks. Jadi anda bisa secara mudah

menggabungkan perintahperintah secara bersamaan dalam satu baris. Seperti

perintah yang cukup sulit berikut ini:

PS C:\Windows\System32> Get-Childitem –Path G:\ -Recurse –Include *.mp3 |

Where-Object –FilterScript {($_.LastWriteTime –gt “2006-10-01”) –and ($_.Name

–match “Pearl jam”)}| Copy –Destination C:\User\bills\Desktop\New_PJ_MP3s

Yang secara rekursif melihat langsung ke seluruh area eksternal hard drive (G:),

Mengumpulakn semua “Pearl Jam” mp3s yang baru saja ditambahkan, dan meng-

copy-nya menuju folder dalam My desktop. Kita tidak perlu lagi menggunakan

perintah copy berulang-ulang dan membuat perintah list terlebih dahulu, cukup

menggunakan pipe semua items untuk di-copy sekali waktu.

Akhirnya, yang paling saya sukai dari PowerShell ialah ini dapat diperluas. Saya

suka ini karena berarti tim saya bisa menghasilkan semua set dari IIS PowerShell

cmdlets untuk membantu anda mengatur IIS 6.0, IIS 7.0, dan versi selanjutnya dari

IIS. Anda bisa juga untuk menyampaikan IIS PowerShell Script anda ke area

komunitas ini (sebentar lagi).

Sekarang, setelah saya memberikan apa-apa saja yang saya sukai dari shell yang

baru ini, saya akan memeberikan anda beberapa cara yang bisa dilakukan

PowerShell dan akan membuat Adminstrasi IIS lebih mudah.

http://channel9.msdn.com/Showpost.aspx?postid=256994��


1. IIS 7.0 mempunyai penyedia WMI baru untuk starting, stoping, creating,

removing dan configuring sites dan aplikasi yang lebih cepat. Sekarang

gunakan PowerShell untuk memberikan daftar dari aplikasi yang disortir

berdasarkan settingan konfigurasi tertentu. Kemudian memberikan pipe

apps dengan settingan tertentu kedalam task-task yang anda lakukan

sebelum dengan penyedia WMI. Kolega saya Sergei Antonov menulis dan

baru saja menerbitkan artikel yang fantastis, berjudul “Writing PowerShell

Command-lets for IIS 7.0,” yang menjelaskan bagaimana untuk menulis

PowerShell cmdlets menggunakan penyedia WMI.

2. Karena IIS 7.0 mempunyai sebuah penyimpanan konfigurasi file-based

terdistribusi, anda bisa menyimpan konfigurasi aplikasi IIS dalam sebuah

web.config dalam direktori aplikasi bersebelahan pada kode dan konten-

kontennya. Gunakan PowerShell untuk secara cepat mendeploy applikasi

ke sebuah Web Farm dalam satu langkah (Xcopy).

3. IIS 7.0 Web.Administration API baru mengijinkan admin untuk menulis

program pendek dalam .NET untuk secara programatik mengerjakan task-

task management IIS 7.0 yang cukup sering dilakukan. Kemudian, karena

PowerShell secara lengkap mendukung .Net Framework, gunakanlah

untuk pipe objek IIS dari deretan code yang berguna ini.

4. Dengan IIS 7.0, anda bisa menggunakan Runtime Status baru dan Control

API untuk memonitor performance dari aplikasi Web anda. Gunakan

PowerShell untuk memonitor informasi performance pada regular interval

setiap lima menit, dan kemudian menyajikan hasil informasi runtime ini

pada konsol atau mengirimnya ke sebuah log file apabila CPU berkerja

diatas 80%.

5. Ambilah keuntungan dari sifat fleksibel IIS 7.0 dengan menulis custom

modul process request anda dengan konfigurasinya sendiri dan IIS


Manager plug-in. Kemudian tulis sebuah PowerShell cmdlet untuk

melayani sebagai sebuah infterface management untuk membuka

konfigurasi IIS anda ke command line dan untuk memberikan tenaga pada

Manager IIS plug-in anda.

Untuk informasi lebih pada managing IIS 7.0 menggunakan PowerShell, lihatlah

“An Introduction to Windows PowerShell dan IIS 7.0,” yang dapat ditemukan pada

http://www.iis.net/default.aspx?tabid=2&subtabed=25&i=1212.

Seperti WMI yang telah disebutkan sebelumnya, Windows PowerShell masih

dalam tahap pengembangan. Sebagai contoh PowerShell versi 1.0 belum

mempunyai cmdlets untuk mengatur Active Directory, melainkan dengan

menggunakan .NET Framework 2.0 bersama dengan PowerShell, anda bisa

mengatur Active Directory.

Microsoft System Center

Akhirnya, keluarga Microsoft System Center dari solusi management enterprise

akan men-support management dari Windows Server 2008. System Center ialah

sebuah koleksi dari produk-produk yang tealh berevolusi dari platform awal

Microsoft Systems Management (SMS) dan Microsoft Operation Manager (MOM).

Rencana untuk keluarga System Center pada saat ini meliputi produkproduk

berikut:

System Center Operations Manager (Generasi selanjutnya dari MOM)

System Center Configuration Manager (Generasi selnjutnya dari SMS)

System Center Data Protection Manager

System Center Essentials

http://www.iis.net/default.aspx?tabid=2&subtabed=25&i=1212��


System Center Virtual Machine Manager

System Center Capacity Planner

Anda bisa mencari informasi lebih banyak mengenai System Center pada

http://www.microsoft.com/systemcenter.

Kesimpulan

Windows Server 2008 bisa diatur menggunakan beberapa dari tool-toll in-box dan

out-of-band. Jika anda hanya butuh untuk mengatur single server, gunakan Initial

Configuration Tasks dan Server Manager. Jika anda membutuhkan mengatur

server secara remote, aktifkan Remote Desktop pada server anda. Jika anda butuh

untuk mengatur multiple server roles pada mesin-mesin yang berbeda, install

Remote Server Administration Tools (RSAT) dan gunakan setiap tool untuk

mengatur beberapa keadaan sekaligus dari sebuah role tertentu. Dan jika anda

butuh untuk mengotomatisasi adminstrasi dari mesin Windows Server 2008,

gunakan ServerManagerCmd.exe, WMI, PowerShell, atau kombinasi dari

ketiganya.

Sumber Tambahan

Technet mempunyai sebuah webcast level 300 yang bernama “Installing,

Configuring, and Managing Server Roles in Windows Server 2008” yang bisa anda

download dari

http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=10322947

12&EventCategory=5&culture=en-US&CountryCode=US (dibutuhkan registrasi.)

http://www.microsoft.com/systemcenter��

http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032294712&EventCategory=5&culture=en-US&CountryCode=US��

http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032294712&EventCategory=5&culture=en-US&CountryCode=US��


Jika anda mempunyai akses ke Windows Server 2008 beta pada Microsoft Connect

(https://connect.microsoft.com/), anda bisa mendownload beberapa item berikut:

Microsoft Windows Server 2008 Server Manager Lab Companion

Microsoft Windows Server 2008 Initial Configuration Tasks Step-By-Step

Guide

Live Meeting on Server Manager

Jika anda tidak mempunyai akses ke beta build dari Windows Server 2008, anda

masih bisa mencoba Server Manager online menggunakan Microsoft Windows

Server 2008 Server Manager Virtual Lab, yang tersedia pada

http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=10323144

61&EventCategory=3&culture=en-IN&CountryCode=IN.

Untuk eksploring potensial dari Windows PowerShell untuk mengatur Windows

Server 2008, bisa dilihat pada

http://www.microsoft.com/windowsserver/2008/powershell.mpsx.

Informasi mengenai pengembangan Group Policy pada Windows Vista dan

Windows Server 2008 bisa ditemukan pada

http://technet2.microsoft.com/WindowsVista/en/library/a8366c42-6373-48cd-

9d11-251080e48171033.mpsx?mfr=true.

Informasi lebih lanjut mengenai pengembangan WMI pada Windows Vista dan

Windows Server 2008 bisa ditemukan pada MSDN di

http://msdn2.microsoft.com/en-gb/library/aa394053.aspx.

Dan jika anda ingin mengetahui lebih banyak menganai Microsoft System Center,

bisa dilihat di http://www.microsoft.com/systemcenter/.

https://connect.microsoft.com/��

http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032314461&EventCategory=3&culture=en-IN&CountryCode=IN��

http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032314461&EventCategory=3&culture=en-IN&CountryCode=IN��

http://www.microsoft.com/windowsserver/2008/powershell.mpsx��

http://technet2.microsoft.com/WindowsVista/en/library/a8366c42-6373-48cd-9d11-251080e48171033.mpsx?mfr=true��

http://technet2.microsoft.com/WindowsVista/en/library/a8366c42-6373-48cd-9d11-251080e48171033.mpsx?mfr=true��

http://msdn2.microsoft.com/en-gb/library/aa394053.aspx��

http://www.microsoft.com/systemcenter/��

Mengatur Windows Server 2008 - dewapurnama · PDF fileMelakukan Langkah Awal Konfigurasi Hal...

Documents

Transcript of Mengatur Windows Server 2008 - dewapurnama · PDF fileMelakukan Langkah Awal Konfigurasi Hal...