Post on 04-Feb-2018
39 http://wss-id.org/blogs/fajar
Bab 4
Mengatur Windows Server 2008
Komputer telah menempuh perjalanan panjang hingga jadi seperti sekarang.
Disamping menjadi lebih powerfull, dia juga menjadi lebih mudah untuk dimanage.
Jadi sebelum kita pelajari fitur baru atau fitur yang telah tersedia di Microsoft
Windows Server 2008, mari kita lihat tools baru dan tambahan yang dapat anda
gunakan untuk memanage platform. Tools tersebut terdiri dari user interface (UI)
tools untuk mengkonfigur dan memanage server seperti command-line baru untuk
menginstall role dan fitur, tools untuk remote administration, Windows
Management Instrumentation (WMI) enhancements untuk meningkatkan script
management, penambahan Group Policy, dan banyak lagi.
Melakukan Langkah Awal Konfigurasi
Hal pertama yang anda akan temukan ketika meng-install Windows Server 2008
ialah layar Initial Configuration Tasks (ditunjukan pada Gambar 4.1).
40 http://wss-id.org/blogs/fajar
Gambar 4.1 Layar Initial Configuration Tasks
Ingat bagaimana anda melakukan konfigurasi awal dari sebuah mesin yang
berjalan menggunakan Winows Server 2003 Service Pack 1 atau yang lebih baru,
dengan melakukan tiga tahapan sebagai berikut:
1. Selama setup, anda menentukan password administrator, settingan
jaringan, membership domain, dan lainnya.
2. Setelah melakukan setup, sebuah layar muncul menanyakan jika anda mau
mendownload update-an terbaru dari Windows Update dan menyalakan
Automatic Updates sebelum server bisa menerima traffic inbound.
3. Setelah traffic inbound diperbolehkan menuju server anda, anda bisa
menggunkan menu Manage Your Server untuk menginstall aplikasi pada
41 http://wss-id.org/blogs/fajar
server anda sehingga bisa berperan sebagai print server, file server,
domain controller dan lain sebagainya.
Bagaimanapun juga, Windows Server 2008, menggabungkan beberapa task
konfigurasi server tersebut dengan menggabungkan tasks bersama dan
memperlihatkan itu semua dalam sebuah single-screen yang diberi nama Intial
Configuration Task (ICT). Dengan menggunakan ICT anda bisa melakukan:
Menentukan key information, termasuk password administrator, zona
waktu, setting jaringan, dan nama server. Anda juga bisa join server anda
pada sebuah domain. Sebagai contoh, meng-klik link Provide Computer
Name And Domain untuk membuka Sytem Properties dengan tab
Computer Named terpilih.
Mencari Windows Update untuk update-an software yang tersedia, dan
memungkinkan satu atau lebih dari hal berikut: Automatic Updates,
Windows Error Reporting (WER), dan pengikutsertaan dalam Customer
Experience Improvement Program.
Mengatur Windows Firewall pada mesin anda, dan memungkinkan
Remote Desktop sehingga server tersebut bisa di-manage secara remote
menggunakan Terminal Services.
Menambahkan peranan dan fitur-fitur pada server anda-sebagai contoh,
untuk menjadikannya sebagai DNS server atau domain controller.
Sebagai tambahan untuk menyediakan sebuah antarmuka pengguna yang bisa
melakukan beberapa task tersebut, ICT juga menampilkan status informasi untuk
setiap task. Sebagai contoh, jika sebuah task telah dijalankan, link dari task
tersebut berubah warna dari biru menjadi ungu seperti sebuah hyperlink standar.
Dan jika WER telah dinyalakan, pesan “Windows Error Reporting on” ditampilkan
disebelah item task yang bersangkutan.
42 http://wss-id.org/blogs/fajar
Sekali anda telah melakukan initial configuration pada server anda, anda bisa me-
klik link Print, E-mail atau Save This Information pada menu bawah. Hal ini akan
membuka Internet Explorer dan menampilkan halaman result yang
memperlihatkan settingan yang telah anda ubah.
Halaman result ini bisa ditemukan pada
%systemdrive%\users\<username>\AppData\Roaming\Microsoft\Windows\Server
Manager\InitialConfigurationTasks.html, dan bisa di-save atau di-e-mail untuk
tujuan pelaporan.
Beberapa catatan tambahan mengenai Initial Configuration Task:
Melakukan beberapa task membutuhkan anda untuk log off dan me-
reboot mesin anda. Sebagai contoh, secara default ketika anda menginstall
43 http://wss-id.org/blogs/fajar
Windows Server 2008, account built-ini Administrator diaktifkan dan tidak
mempunyai password. Jika anda menggunakan ICT untuk mengubah nama
dari account ini atau menentukan sebuah password, anda harus
melakukan log off dan kemudian log on lagi untuk melihat hasil dari
perubahan tersebut.
Jika Windows Server 2008 mendeteksi bahwa pen-deploy-an berlangsung
pada jaringan yang terbatas/dibatasi. Ketika anda pertamakali melakukan
log on, bagian Update this Server dari ICT akan menampilkan link baru
yang bernama Restore Network Access. Meng-klik pada link ini
membolehkan anda untuk meninjau batasan-batasan akses jaringan pada
saat ini dan mengembalikan (restore) akses jaringan penuh untuk server
anda. Alasan bahwa kedua item lain pada bagian ini (Enable Windows
Update And Feedback dan Download And Install Updates) tidak
ditampilkan pada situasi seperti ini ialah kareana mesin yang dianggap
berada pada keadaan karantina tidak bisa mengakses Windows Update
secara langsung dan harus menerima update-an dari sebuah remediation
server.
OEM bisa menkostumisasi layar ICT sehingga bisa menampilkan sebuah
bagian tambahan pada bagian bawah yang bisa meliputi sebuah logo,
deskripsi dan link-link task dari OEM tersebut yang bisa me-launch file-file
EXE, DLL, dan script-script yang disediakan oleh OEM tersebut. Catatan,
bahwa link-link task OEM tidak bisa menampilkan informasi status.
ICT tidak akan ditampilkan jika anda mengupgrade Windows Server 2008
dari versi sebelumnya dari Windows Server.
ICT juga tidak ditampilkan jika setting Group Policy berikut ini
dikonfigurasi: Computer Configuration\Administrative
44 http://wss-id.org/blogs/fajar
Templates\System\Server Manger\Do Not Open Initial Configuration
Tasks Windows At Logon
Menggunakan Server Manager
Setelah melakukan tahap-tahap diatas termasuk menutup ICT, maka tool baru
akan secara otomatis muncul, yang bernama Server Manager (ditunjukan pada
Gambar 4-2).
Gambar 4-2 Halaman utama dari Server Manager
Tujuan dari Server Manager ialah untuk menyediakan cara langsung bagaimana
menginstall fitur-fitur dan peran (roles) pada server anda sehingga bisa berfungsi
45 http://wss-id.org/blogs/fajar
dibawah lingkungan jaringan bisnis anda. Sebagai sebuah tool, Server Manager
ditargetkan untuk kalangan pemakai IT umum yang bekerja pada organisasi
dengan skala sedang (medium-size). Seorang spesialis IT yang bekerja pada
perusahaan besar mungkin bisa menggunakan tool-tool tambahan untuk
mengkonfiugrasi server yang baru terinstall Windows Server 2008. Namun sebagai
contoh, dengan melakukan beberapa initial configuration tasks pada saat
penyetingan yang tidak diawasi menggunakan Windows Deployment Service
(WDS) bersama dengan file .xml yang berjalan sendiri.
Server Manager juga memungkinkan anda untuk melakukan modifikasi setingan
apapun yang anda telah lakukan sebelumnya menggunakn layar ICT. Sebagai
contoh, pada Gambar 4-2 anda bisa melihat bahwa anda bisa mengaktifkan
Remote Dekstop dengan meng-klik link Configure Remote Desktop yang berada
pada bagian kanan judul Server Summary. Bahkan, Server Manager membolehkan
anda untuk mengkonfigurasi settingan tambahan yang lebih advance yang tentu
saja tidak diperlihatkan pada layar ICT, seperti mengaktifkan atau me-non-aktifkan
Internet Explorer Enhanced Security Configuration (IE ESC) atau menjalankan
Security Configuration Wizard (SCW) pada mesin anda.
Mengatur Server Roles
Pada Gambar 4-2 terlihat bahwa pada mesin telah terinstall dua peranan (roles)
menggunakan layar ICT. Beragam roles, roles services dan fitur-fitur yang bisa
diinstall pada windows Server 2008 akan dijelaskan lebih lanjut pada Bab 5,
“Mengatur Server Roles”. Untuk sekarang akan dijelaskan tentang dua roles yang
telah diaktifkan tersebut.
Klik pada link Go To Manage Roles untuk mengubah fokus dari root node (Server
Manager) ke Roles node dibawahnya. (Lihat Gambar 4-3.) Halaman ini menunjukan
sebuah daftar dari role-role yang telah terinstall pada server dan status dari setiap
46 http://wss-id.org/blogs/fajar
role tersebut, termasuk role service yang telah terinstall bersama mereka. (Role
services akan dijelaskan selanjutnya pada Bagian 5.)
Figure 4-3 Halaman Role-role dari Server Manager
Status dari halaman ini diupdate dalam real time pada suatu interval waktu yang
periodic, dan jika anda lihat secara seksama pada gambar tersebut anda akan
melihat sebuah link pada bagian bawah di setiap halaman yang bertuliskan
“Configure refresh.” Jika anda meng-klik pada link ini, anda bisa menentukan
seberapa sering Server Manager me-refresh halaman yang sedang ditampilkan.
Secara default, interval dari setiap refresh ialah dua menit.
47 http://wss-id.org/blogs/fajar
Memilih node untuk File Server role dalam console tree (atau dengan meng-klik
link Go To File Server pada halaman Roles) menampilkan informasi tambahan
mengenai bagaimana role ini dikonfigurasikan pada mesin (seperti ditunjukan pada
Gambar 4-4). Menggunakan halaman ini, anda bisa mengatur beberapa aspek dari
file server anda:
Melihat event yang relevan terhadap role ini (dengan meng-klik dua kali
(double clicking) pada sebauh event untuk menampilkan detailnya).
Melihat layanan system untuk role ini, dan stop, start, pause, atau resume
service-service tersebut.
Melihat role services yang terinstall, dan menambah atau membuang role
services.
Mendapatkan bantuan bagaimana melakukan task-task yang berkaitan
dengan role tersebut.
48 http://wss-id.org/blogs/fajar
Gambar 4-4 Halaman utama untuk File Server role
Perhatikan tanda check dalam lingkaran hijau disamping File Server Resource
Manager (FSRM) dibawah Role Services. Hal ini berarti FSRM, sebuah komponen
tambahan atau “role service” untuk File Server role, telah terinstall pada server ini.
Anda mungkin masih ingat FSRM dari Windows Server 2003 R2 yang merupakan
tool hebat untuk mengatur file servers dan bisa digunakan untuk mengkonfigure
volume dan total kuota folder, dan reporting. Tapi pada Windows Server 2003 R2,
anda harus memulai FSRM sebagai sebuah tool administrative yang terpisah,
sedangkan pada Windows Server 2008 tidak. Suatu hal yang membuat Server
Manager lebih baik ialah proses implementasi berjalan pada saat dilakukan
pengaturan.
49 http://wss-id.org/blogs/fajar
Hal ini mempunyai arti bahwa kita bisa mengembangkan node file server kita, dan
dibaliknya anda akan menemukan dua hal yang lainnya, File Server Resource
Manager (yang kita pilih untuk diinstall sebagai tambahan role service ketika kita
menginstall File Server role pada mesin kita) dan Shared Folder (yang diinstall
secara default kapanpun anda menambahkan role file server pada sebuah mesin).
Dan dibalik node FSRM, anda akan menemukan sub-node yang sama dan
seharusnya anda sudah cukup familiar berada pada FSRM Windows Server 2003 R2
(lihat Gambar 4-5.) Dan apapun yang anda bisa lakukan pada FSRM di R2, anda bisa
lakukan juga pada Windows Server 2008. Sebagai contoh, untuk menkonfigurasi
sebuah server SMTP untuk mengirim notifikasi e-mail ketika quota telah terpenuhi,
lakukan klik kanan pada node File Server Manager dan pilih properties. (Sebagai
tambahan untuk meng-hosting FSRM snap-in menggunakan Server Manager,
menambahkan FSRm role service juga mengambahkan FSRM console ke
Administrative Tools.)
50 http://wss-id.org/blogs/fajar
Gambar 4-5 role File Server menunjukan snap-in yang ter-hosting untuk File
Server Resource dan Shared Folder
Berikut merupakan beberapa hal penting untuk diketahui mengenai Server
Manager. Pertama, Server Manager didesain sebagai tool single, all-in-one untuk
mengatur server anda. Hal tersebut secara tidak langsung menggantikan peran
Manage Your Server (untuk tambahan role) dan juga Add/Remove Windows
Component atau Add Or Remove Programs yang ditemukan pada versi Windows
Server sebelumnya. Bahkan jika anda menuju menu Control Panel dan membuka
Programs And Features (yang menggantikan Add Or Remove Programs pada
Windows Vista), anda akan melihat sebuah link yang bernama Turn Windows
Features On And Off. Jika anda meng-klik link tersebut, Server Manager akan
terbuka dan anda bisa melihat node Roles atau Feature untuk menambahkan atau
51 http://wss-id.org/blogs/fajar
menghapus role-role, role services, dan fitur-fitur. (Liaht Bagian 5 untuk bagaimana
hal ini dilakukan.)
Juga, ketika Server Manager digunakan untuk menginstall sebuah role seperti File
Server pada server anda, Server Manager memastikan bahwa role ini berstatus
secure by default. (Hal tersebut memastikan komponen-komponen yang akan
diisntalll dan port-port yang akan dibuka merupakan murni kebutuhan role
tersebut untuk berfungsi.) Dalam Windows Server 2003 Service Pack 1 atau yang
lebih baru, anda butuh untuk menjalankan Security Configuration Wizard (SCW)
untuk memastikan sebuah role server telah diinstall secara aman. Windows Server
2008 masih menyertakan SCW, tapi tool ini ditujukan untuk penggunaan oleh
spesialis IT yang bekerja pada perusahaan skala besar. Untuk organisasi skala
sedang, bagaimanapun juga, seorang IT generalist bisa menggunakan Server
Manager untuk menginstall role-role secara aman, dan hal ini jauh lebih gampang
dan ringkas dibandingkan menggunakan SCW. Sebagai tambahan, ketika Server
Manager bisa digunakan untuk menginstall role-role baru menggunakan smart
defaults, SCW secara umum didesain sebagai tool post-deployment untuk
menciptakan polisi-polisi keamanan yang bisa kemudian diaplikasikan ke multiple
servers untuk memperkuat dari serangan pada permukaan (surface attack.) (Anda
juga bisa membandingkan polisi-polisi yang dibuat oleh SCW dengan keadaan
sekarang dari sebuah server untuk alasan auditing untuk memastikan policy-policy
keamanan perusahaan terpenuhi.) Akhirnya, ketika Server Manage hanya bisa
digunakan untuk menambah role-role default Windows ( atau role out-of-band
yang akan tersedia nantinya, seperti yang akan disebutkan nanti), SCW bisa juga
digunakan untuk mengamankan role-role non-default seperti Exchange Server dan
SQL Server. Tapi poin utama pada bagian ini mengenai Server Manager vs. SCW
ialah bahwa ketika anda menjalankan Server Manager untuk menginstall sebuah
role baru pada server anda, anda tidak perlu menjalankan SCW setelahnya untuk
52 http://wss-id.org/blogs/fajar
lock down role tersebut, seperti Server Manager memastikan role tersebut telah
aman secara default.
Server Manager mengandalkan pada sesuatu bernama Component Based Servicing
(CBS) untuk mengetahui role dan service apa yang terinstall pada sebuah mesin
dan untuk menginstall role-role atau service-service tambahan, atau untuk
menghapusnya. Untuk anda yang mungkin tertarik bagaimana hal ini bekerja,
terdapat sebuah sidebar pada bagian selanjutnya yang menampilkan secara lebih
detail. Server Manager juga didesain untuk dapat diperluas. Hal ini berarti ketika
fitur-fitur baru menjadi tersedia (seperti Windows Server Virtualization, yang kita
bicarakan pada Bagian 3, “Windows Server Virtualization”), anda akan bisa
menggunakan Server Manager untuk men-download role-role ini dari Microsoft
dan menginstall-nya pada server anda.
Server Manager didesain untuk pengaturan satu server saja (server local) dan tidak
bisa digunakan untuk mengatur beberapa server dalam satu waktu. Jika anda
membutuhkan sebuah tool untuk pengaturan multiple server secara simultan,
gunakanlah Microsoft System Center. Anda bisa menemukan lebih banyak
mengenai produk-produk System Center dan kemampuannya pada
http://www.microsoft.com/systemcenter/, dan hal ini akan memberikan apa yang
anda inginkan. Sebagai tambahan, status informasi yang ditampilkan oleh Server
Manager dibatasi hanya pada informasi event dan role services apa saja yang
berjalan. Jadi jika anda membutuhkan informasi yang lebih detail mengenai status
dari server anda, sekali coba menggunakan System Center yang merupakan next
generation dari platform SMS dan MOM.
Tidak seperti menggunakan Computer Management, anda tidak bisa menggunakan
Server Manager untuk melakukan remote connection ke server yang lain dan
mengaturnya. Sebagai contoh, jika anda melakukan klik kanan pada node root
dalam Server Manager, konteks menu yang ditampilkan tidak menampilkan
53 http://wss-id.org/blogs/fajar
sebuah pilihan Connect To S Different Computer. Bagaimanapun juga, hal ini bukan
merupakan sebuah limit/batasan yang signifikan dari tool tersebut karena
kebanyakan admin akan serta-merta manyalakan fitur Remote Desktop pada
server mereka dan menggunakan Terminal Services untuk secara remote mengatur
server-server tersebut. Sebagai contoh, anda bisa membuat Remote Desktop
Connection pada sebuah komputer Windows Vista, menggunakannya untuk
melakukan koneksi ke console session pada sebuah mesin Windows Server 2008,
dan kemudian menjalankan Server Manager dengan remote console session
tersebut.
Akhirnya, beberapa poin lagi yang anda harus ingat:
Server Manager tidak bisa digunakan untuk mengatur server-server yang
berjalan pada system operasi Windows Server versi sebelumnya.
Server Manager tidak bisa diinstall pada Windows Vista atau Windows
Server versi sebelumnya.
Server Manager tidak terdapat pada sebuah instalasi core Windows server
dari Windows Server 2008 karena komponen-komponen pendukung (.NET
Framework 2.0 dan MMC 3.0) tidak tersedia pada platform tersebut.
Anda bisa menkonfigurasi waktu interval refresh untuk Server Manager
dan juga jika tool tersebut secara otomatis dibuka pada saat logon dengan
menkonfigurasi pada settingan Group Policy.
Computer Configuration\Administrator Templates\System\Server
Manager\Do Not Open Server Manager otomatis pada saat Logon
Computer Configuration\Administrator Templates\System\Server
Manager\Configure The Refresh Interval For Server Manager
54 http://wss-id.org/blogs/fajar
Berdasarkan pengalaman: Panduan konfigurasi Keamanan di
Windows Server 2008
Security Configuration Wizard (SCW) menurunkan tingkat serangan permukaan
dari Windows Server dengan menanyakan user dengan sejumlah seri pernyataan
yang didesain untuk mengidentifikasi kebutuhan-kebutuhan fungsional dari
sebuah server. Fungsionalitas yang tidak dibutuhkan oleh role server maka akan
ditiadakan. Sebagai tambahan, untuk menjadi sebuah penggunaan fundamental
keamanaan yang terbaik, SCW mengurangi sejumlah system yang butuh untuk di-
patch secara cepat ketika celah keamanan terekspos. Secara khusus, SCW
melakukan hal-hal sebagai berikut:
Mematikan servis-servis yang tidak dibutuhkan
Membuat aturan-aturan firewall yang dibutuhkan
Membuang aturan-aturan firewall yang tidak dibutuhkan
Mengijinkan pembatasan-pembatasan kemanan yang lebih lanjut untuk
aturan firewall
Mengurangi pembukaan protocol pada server message block (SMB),
LanMan, dan Lightweight Directory Access Protocol (LDAP).
SCW memberikan arahan menuju prosses creating, editing, applying, atau rolling
back sebuah kebijakan keamanan didasari pada role-role yang dipilih untuk server
tersebut. Kebijakan-kebijakan kemanan yang dibuat oleh SCW ialah file-file dalam
bentuk XML, ketika dilakukan penggunaan, konfigurasi servis, aturan Windows
Firewall, value spesifik dari registry, dan audit kebijakan. Kebijakan - kebijakan
keamanan tersebut bisa digunakan untuk sebuah mesin individual atau bisa
dijadikan sebuah objek group policy dan kemudian dihubungkan ke sebuah
Organizational Unit dalam Active Directory.
55 http://wss-id.org/blogs/fajar
Dengan Windows Server 2008 beberapa perbaikan yang penting telah
ditambahkan pada SCW sebagai berikut:
Pada Windows Server 2003, SCW ialah sebuah komponen opsional yang
harus secara manual diinstall oleh administrator. SCW sekarang (pada
Windows Server 2008) merupakan sebuah komponen default, yang berarti
system administrator tidak perlu melakukan langkah lain untuk menginstall
atau mendeploy tool untuk menggunakan SCW.
Windows Server 2008 akan memperkenalkan fungsionalitas baru dan
menarik dalam Windows Firewall. Untuk mendukung fungsionalitas
tersebut, SCW telah dikembangkan untuk menyimpan, memproses, dan
menerapkan aturan-aturan firewall dengan presisi yang sama dengan yang
dilakukan Windows Firewall. Hal ini merupakan kebutuhan yang penting
karena pada Windows Server 2008 Windows Firewall akan dinyalakan
pada kondisi default.
SCW akan membangun sebuah database XML yang besar yang berisi setiap
servis yang digunakan, aturan firewall dan opsi administrator dari setiap
fitur atau komponen yang tersedia dalam Windows Server 2008. Database
ini telah menyeluruh di-review dan di-update untuk Windows Server 2008.
Role-role yang telah ada telah di-update, role-role baru telah ditambahkan
ke database, dan semua aturan-aturan firewall telah di-update untuk
mendukung Windows Firewall yang baru.
SCW sekarang membolehkan semua file XML dalam database
menggunakan sebuah set dari file-file XSD yang berisi skema SCW XML. Hal
ini akan membantu administrator atau developer mengembangkan
database SCW dengan membuat role-role SCW berdasarkan pada aplikasi
ataupun kebutuhan-kebutuhannya sendiri. File-file XSD tersebut tersedia
dibawah direktori SCW.
56 http://wss-id.org/blogs/fajar
Semua report SCW telah di-update untuk mencerminkan perubahan yang
dibuat pada skema SCW mengenai dukungan untuk Windows Firewall yang
baru. Report-report tersebut termasuk report Configuration Database,
report Security Policy dan report Analysis yang akan membandingkan
konfigurasi sekarang dari Windows Server 2008 dengan kebijakan
kemanan SCW.
SCW menyediakan sebuah solusi end to end untuk mengurangi serangan
permukaan pada Windows Server 2008 dengan menyediakan sebuah konfigurasi
yang mungkin dari komponen-komponen yang default, role - role, fitur - fitur, dan
aplikasi - aplikasi third-party manapun yang membutuhkan role SCW.
SCW tidak bertanggung jawab untuk penginstallan ataupun penghapusan role -
role, fitur - fitur, atau aplikasi third-party manapun dari Windows Server 2008.
Administrator sebaiknya menggunakan Server Manager jika ingin menginstall role
dan fitur - fitur, atau menggunakan pengaturan yang disediakan pada aplikasi
third-party. Installasi role dan fitur menggunakan Server Manager dibuat
berdasarkan penggunaan keamanaan terbaik.
Selain SCW berperan sebagai komplemen dari Server Manager, nilai utamanya
berada dalam core konfigurasi system operasi dan aplikasi - aplikasi third-party
yang menyediakan role SCW. SCW sebaiknya digunakan setiap kali konfigurasi
default komponen pada Windows Server 2008 perlu untuk dimodifikasi atau ketika
sebuah aplikasi third-party ditambahkan atau dibuang. Dalam beberapa keadaan
yang spesifik, seperti remote administration, menjalankan SCW setelah
menggunakan Server Manager mungkin akan menyediakan beberapa penambahan
nilai pada beberapa role dan fitur spesifik. Menggunakan SCW setelah
memodifikasi sebuah role atau fitur melalui Server Manager bagaimanapun bukan
merupakan keharusan.
57 http://wss-id.org/blogs/fajar
ServerManagerCmd.exe
Sebagai tambahan pada user interface dari Server Manager, terdapat juga sebuah
versi command-line dari Server Manager yang bernama ServerManagerCmd.exe
yang pertama kali diperkenalkan pada Windows Server IDS_2 build (yang
merupakan Februari CTP build). Tool command-line ini, yang ditemukan pada
folder %windir%\system32, bisa digunakan untuk melakukan beberapa tasks
berikut:
Menampilkan sebuah daftar role-role dan fitur-fitur yang telah terinstall
pada mesin.
Menampilkan sebuah daftar role services dan fitur-fiturnya yang
mungkin terinstall jika anda memilih untuk menggunakannya.
Menambahkan sebuah role atau fitur pada server anda menggunakan
settingan default dari role atau fitur tersebut.
Menambahkan beberapa roles/fitur sekaligus menyediakan sebuah file
XML yang merupakan listing dari roles/fitur yang diinstall.
Me-remote roles atau fitur dari server anda.
Berikut merupakan apa saja yang tidak bisa dilakukan ServerManagerCmd.exe:
Meninstall sebuah role atau fitur, dan mengubah settingan defaultnya.
Mekonfigurasi ulang sebuah role atau fitur yang telah terinstall pada
mesin.
Melakukan koneksi ke mesin remote, dan mengatur roles/fitur pada
mesin tersebut.
58 http://wss-id.org/blogs/fajar
Mengatur roles/fitur pada mesin yang menggunakan sebuah instalasi
core Windows server dari Windows Server 2008.
Mengatur non-OOB roles/fitur – seperti Exchange Server atau SQL
Server.
Mari kita melihat pada perintah servermanagercmd – query, yang menampilkan
daftar dari roles dan fitur yang pada saat ini tersedia di computer, bersama dengan
nama-nama command-line-nya (nilai lebih yang harus digunakan untuk menginstall
atau menghapus role atau fitur dari command line). Ketika anda menjalankan
perintah ini, sesuatu yang bernama discovery berjalan untuk menentukan role-role
dan fitur-fitur yang berbeda yang telah terinstall.
Setelah discovery (pencarian) selesai (yang bisa memakan sedikit waktu), perintah
tersebut menghasilkan output yang menampilkan roles/fitur yang terinstall dalam
warna hijau dan yang diberi tanda dengan “X”.
59 http://wss-id.org/blogs/fajar
Anda juga bisa mengetik servermanagercmd.exe –query results.xml untuk
mengirim output dari perintah ini menjadi file XML. Hal ini cukup praktis dan
mudah jika anda mau menyimpan dan menguraikan secara programik output dari
perintah ini.
Berdasarkan pengalaman: Pembangunan secara otomatis
dengan ServerManagerCmd.exe
Menggunakan sebuah aplikasi ataupun service internal yang baru bersama dengan
sebuah organisasi berkali-kali berarti melakukan settingan role-role dan fitur-fitur
pada multiple servers. Beberapa dari server-server ini mungkin butuh disetting
dengan konfigurasi yang persis sama, dan yang lainnya mungkin berada pada lokasi
yang berbeda yang tidak siap diakses oleh staff IT. Untuk alasan ini, anda mungkin
menginginkan untuk menulis skrip untuk mengotomatisasi proses deployment dari
command line.
Salah satu tools yang bisa menfasilitasi server deployment dari command line ialah
ServerManagerCmd.exe. Tool ini ialah tool yang sama dengan konsole grafikal
Server Manager, yang digunakan untuk menginstall dan mengkonfigurasi role-role
60 http://wss-id.org/blogs/fajar
dan fitur-fitur server. Versi grafikal dan command-line dari Server Manager
dibangun pada platform sinkronisasi yang sama yang menentukan role-role dan
fitur-fitur mana saja yang diinstall dan digunakan pada konfigurasi server.
ServerManagerCmd.exe menyediakan satu set command-line switches yang
membolehkan anda untuk mengotomatisasi banyak task deployment seperti
berikut:
Menampilkan daftar Role-role dan Fitur-fitur yang dapat diinstall
Anda bisa menggunakan perintah –query untuk melihat daftar roles dan fitur-fitur
yang tersedia untuk instalasi dan menemukan apa saja yang telah diisntall. Anda
bisa juga menggunakan –query untuk melihat nama-nama command-line dari role
dan fitur tersebut. Daftar tersebut akan ditampilkan dalam tanda kurung [ ] setelah
nama display.
Meng-install dan Uninstall Role-role dan Fitur-fitur
Anda bisa menggunakan perintah –install dan –remove untuk menginstall dan
menghapus role dan fitur. Satu hal yang harus diperhatikan ialah
ServerManagerCmd.exe hanya mengijinkan anda untuk menginstall dan
menghapus. Terpisah dari beberapa pengecualian untuk setting yang dibutuhkan,
anda tidak bisa menentukan settingan konfigurasi seperti yang adan bisa lakukan
pada konsol grafikal Server Manager. Anda butuh untuk menggunakan tool-tool
yang lain, seperti MMC snap-ins dan command-line utilities, untuk menentukan
settingan konfigurasi setelah menginstall roles dan fitur-fitur menggunakan
ServerManagerCmd.exe.
Berjalan pada mode “What-If”
Setelah anda membuat sebuah skrip untuk set-up server dengan
ServerManagerCmd.exe, anda mungkin ingin mengecek apakah skrip yang anda
61 http://wss-id.org/blogs/fajar
buat berjalan dengan semestinya. Atau anda mungkin ingin melihat apa yang akan
terjadi jika anda mengetikan perintah tertentu dengan ServerManagerCmd.exe.
Untuk situasi seperti ini, anda bisa menyediakan switch –whatif. Switch ini
memberitahukan anda apa yang akan diinstall dan dihapus secara tepat dengan
sebuah perintah ataupun file jawaban, didasari pada konfigurasi server pada saat
itu, tanpa melakukan operasi sesungguhnya.
Menentukan Parameter Input melalui sebuah File Answer
ServerManagerCmd.exe bisa beroperasi dalam sebuah mode interaktif, atau bisa
diotomatisasi menggunakan sebuah file answer. File answer ditentukan
menggunakan switch –inputPath <answer.xml>, dengan <answer.xml> ialah nama
dari sebuah file XML dengan daftar parameter-parameter input. Skema untuk
membuat file-file answer bisa ditemukan dalam dokumentasi
ServerManagerCmd.exe.
Redirect Output ke sebuah File Results
Hal ini biasanya sebuah tindakan yang baik untuk menyimpan history dari
perubahan konfigurasi pada server anda jika anda butuh untuk melakukan
troubleshooting sebuah masalah, migrasi settingan dari sebuah server yang telah
ada ke server yang baru, atau recover dari sebuah bencana atau kegagalan. Untuk
membantu dengan menjaga record, anda bisa menggunakan switch resultPath
<result.xml> untuk men-save hasil dari sebuah installasi atau penghapusan ke
sebuah file, dengan <result.xml> ialah nama dari file dimana anda mau menyimpan
output.
Anda akan belajar lebih lanjut mengenai pemakaian ServerManagerCmd.exe untuk
menambah roles dan fitur pada Bagian 5, tapi untuk sekarang mari kita berlanjut
melihat tool-tool lain untuk pengaturan Windows Server 2008.
62 http://wss-id.org/blogs/fajar
Remote Server Administration Tools
Jika anda ingin secara remote mengatur mesin yang lain yang berjalan
menggunakan Windows Server 2008, maka yang perlu anda lakukan ialah
mengaktifkan Remote Desktop pada file server, dan menggunakan Terminal
Service untuk menjalankan tool-tool pada server tersebut secara remote. Setelah
kita memnpunyai sebuah sesi Remote Desktop Connection dengan remote server,
kita bisa menjalankan tool-tool seperti Server Manager atau File Server Resource
Manager sama seperi kita menggunakan secara langsung.
Pada Windows Server 2003, anda bisa juga mengatur remote server denga cara ini.
Namun anda juga bisa mengatur dengan cara yang lain yaitu dengan menginstall
Windows Server 2003 Administrator Tools Pack (Adminpak.msi) pada sebuah
mesin Windows Server 2003 yang berbeda, atau bahkan pada sebuah admin
workstation yang berjalan dengan Windows XP Service Pack 2. Dan setelah Tools
Pack terinstall, anda bisa membuka tool-tool manapun, melakukan koneksi ke
remote server anda, dan mengatur role-role dan fitur-fitur pada server (role dan
fitur yang diperlukan telah terinstall).
Pada Windows Server 2008 terdapat sebuah tool yang berfungsi sama dengan
Adminpak yaitu Remote Server Administrator Tools (RSAT), yang bisa anda
gunakan untuk menginstall tool-tool management yang dipilih pada server anda,
meskipun ketika binaries dari role/fitur tidak terinstall pada server anda. Pada
kenyataannya, RSAT bekerja lebih baik dibanding Adminpak karena Adminpak
meninstall semua tool-tool adminstrasi, sedangakan RSAT memberikan
keleluasaan anda untuk menginstall tool mana saja yang dibutuhkan.
Pada RSAT Beta 3 anda bisa menginstall role-role dan fitur-fitur:
Roles
63 http://wss-id.org/blogs/fajar
o Active Directory Domain Services
o Active Directory Certificate Services
o Active Directory Lightweight Directory Services
o Active Directory Rights Management Server
o DNS server
o Fax server
o File server
o Network Policy dan Access Services
o Print services
o Terminal Services
o Web server (IIS)
o Windows Deployment Services
Fitur-fitur
o Bitlocker Drive Encrption
o BITS Server Extentions
o Failover Clustering
o Network Load Balancing
o Simple SAN Management
o SMTP Server
64 http://wss-id.org/blogs/fajar
o Windows System Resource Management (WSRM)
o WINS Server
Bagaimana anda menginstall tool-tool management individual menggunakan
RSAT? Dengan menggunakan Windows Server 2008, hal ini bisa dilakukan dengan
menjalankan Add Features Wizard, dan memlih tool-tool RSAT management yang
anda mau install, seperi tool management Terminal Services Gateway. (lihat
Gambar 4-6.) perlu dicatat bahwa menginstall beberapa tool management RSAT
mungkin membutuhkan fitur-fitur tambahan terinstall. Sebagai contoh, jika anda
memilih tool-tool management Web Server (IIS) dari RSAT, anda harus juga
menginstall komponen Configuration API daru Windows Process Activation Service
(WPAS) feature.
65 http://wss-id.org/blogs/fajar
Gambar 4-6 Menginstall sebuah tool management menggunakan fitur RSAT
Langkah-langkah sebenarnya dalam menginstall fitur-fitur paa Windows Server
2008 akan dijelaskan lebih lanjut pada Bagian 5. Untuk sekarang, ingat saja ketika
anda menginstall sebuah RSAT sub-fitur seperti TS Gateway, yang sebenernya
dilakukan ialah menambah sebuah shortcut baru dibawah Administratiive Tools
yang bernama TS Gateway. Selanjutnya jika anda meng-klik Start, maka
Administrative Tools, kemudian TS Gateway, konsol TS Gateway terbuka. Dalam
konsol tersebut, anda bisa meng-klik kanan pada node root, memilih Connect To
TS Gateway Server, dan mangatur sebuah terminal server remote Windows Server
2008 dengan service TS Gateway yang telah terinstall tanpa harus mengaktifkan
Remote Desktop pada terminal server.
66 http://wss-id.org/blogs/fajar
Akhirnya, Windows Server 2003 Adminpak bisa diinstall pada sebuah workstation
Windows XP SP2, yang membolehkan anda mengurus server-server anda dari
sebuah workstation.
Alat Pengatur Lainnya
Terdapat beberapa cara lain untuk anda mengatur Windows Server 2008
disamping tool-tool yang telah disebutkan sejauh ini. Mari kita meliaht apa saja
yang dapat dilakukan, kita akan melihat pada beberapa item sebagai berikut:
Group Policy
Windows Management Instrumentation (WMI)
Windows PowerShell
Microsoft System Center
Group Policy
Group Policy pada Windows Vista dan Windows Server 2008 telah ditingkatkan
pada beberapa bagian, termasuk:
Beberapa area baru dari management policy, termasuk mengkonfigurasi
Settingan Power Management, mem-blok penginstallasian dari device-
device, penentuan printer berdasarkan lokasi, dan banyak lainnya.
Sebuah format baru untuk file–file Administratice Templates yang
bernama ADMX yang merupakan XML-based dan mengganti file-file
propierty-syntax ADM yand digunakan pada versi Windows sebelumnya.
67 http://wss-id.org/blogs/fajar
Network Location Awarness untuk mengaktifkan Group Policy agar waktu
respond untuk mengganti kondisi jaringan menjadi lebih cepat, dan
menghapus kebutuhan relying pada ICMP untuk memproses policy.
Kemampuan untuk menggunakan objek-objek local group policy yang
merupakan kemampuan dalam mereduksi pembengkakan SYSVOL dengan
mengganti file-file ADMX dalam sebuah central store, dan beberapa fitur
dan perbaikan yang lainnya.
Berdasarkan pengalaman: Apa yang baru di Group Policy
Windows Server 2008
Berikut merupakan penjelasan mengenai pengembangan Group Policy yang
ditemukan dalam Windows Server 2008.
Integrasi Server Manager
Hal pertama yang terlihat jelas terjadi perubahan pada Windows Server 2008 ialah
bagaimana tool-tool Group Policy disajikan. Pada system operasi sebelumnya,
selain dari Windows Vista, seorang administrator harus mengunjungi Web site
Microsoft untuk mendownload Group Policy Manamenent Console (GPMC) dan
menginstallnya pada setiap administrative workstation dimana management
Group Policy dilakukan. Dalam Windows Server 2008, langkah-langkah installasi
dibawakan oleh system operasi. Tidak ada lagi proses download, dan mencari lagi
media installasi yang lainnya –semuanya telah ada didalam.
Perbedaan dalam lingkungan yang baru ini ialah bagaimana komponen-komponen
opsional Windows diinstall. Windows Server 2008 memperkenalkan konsol
management yang baru untuk server-server yang bernama Server Manager. Ini
merupakan tool yang digunakan untuk menginstall role-role server, dan juga
68 http://wss-id.org/blogs/fajar
komponen-komponen opsional Windows. Jika anda memilih untuk melakukan cara
lama dan menambah komponen-komponen Windows dari Add/Remove Control
Panel, maka anda akan membuka Server Manager juga.
Anda tak hanya menggunakan Server Manager untuk menginstall komponen-
komponen opsional, tapi juga GPMC-nya itu sendiri dijalankan bersamaan dengan
console Server Manager. Hal ini berarti semua tool-tool administrative anda
disimpan dalam satu tempat dan akan mudah untuk ditemukan. Tentunya anda
akan masih bisa untuk menemukan tool-tool tersebut di tempat biasa, seperti
Administrative Tools.
Pencarian/Penyaringan, komentar, dan Starter GPOs
Fitur-fitur ini meningkatkan performa penggunaan administrative dalam hal
managing dan authoring policy. Terdapat, secara teknikal, fitur-fitur multiple, tapi
yang bekerja jika diatur sebagai sebuah “feature set,” seperti semuanya diatur
untuk problem bisnis yang sama –kesulitan pada authoring policy. Seperti yang
mungkin anda ketahui, dalam Windows Vista/Windows Server 2008 akan banyak
sekali settingan baru yang perlu untuk diatur. Hal ini berarti total settingan akan
mendekati 3000. Itu merupakan settingan yang sangat banyak dan dapat diatur.
Microsoft telah menyediakan sebuah spreadsheet settingan yang berisi semua
settingan Group Policy dalam satu dokumen yang relative lebih mudah digunakan,
tapi dokumen ini tidak juga menyelesaikan masalah. Microsoft telah menerima
feedback dari banyak ahli IT yang berisi saran agar diadakan suatu metoda
bersama Group Policy yang lebih mudah untuk mencari settingan yang benar.
Sekarang dengan Search dan Filter, ketika anda memberikan wewenang suatu
kebijakan dalam editor anda mempunyai sebuah mekanisme yang hebat untuk
menemukan settingan yang anda cari. Anda akan melihat sebuah tombol Filter
baru pada toolbar, dan jika anda meng-klik kanan pada node Administrative
Templates dalam editor, anda akan melihat sebuah item menu yang bernama
69 http://wss-id.org/blogs/fajar
Filter Options. Filter Options mengijinkan anda untuk mengatur kriteria yang anda
inginkan untuk mencari (search). Sebagai contoh, anda bisa mempersempit
pencarian hanya pada item configured, spesifik keywords, atau kebutuhan system
(sebagai contoh, settingan Internet Explorer 6.0). Filter Options menyediakan
sebuah interface yang sangant intuitif. Sekali anda men-set Filter Options dan
menyalakan Filter (settingan Global), editor hanya menyajikan settingan yang anda
mau. Tim Group Policy sangat senang untuk membawa fitur-fitur ini pada anda,
karena kami tahu hal ini akan mengurangi beberapa beban administrative dari
sebuah teknologi management yang fantastik.
Anda juga bisa mem-filter untuk settingan yang mempunyai Comments. Hal ini
merupakan fitur baru diperkenalkan dalam Windows Server 2008. Anda sekarang
bisa menempatkan sebuah comment pada settingan manapun yang anda mau. Hal
ini berarti ketika administrator authoring policy, mereka bisa mendokumentasikan
maksud mereka pada waktu author dan administrator yang lain bisa menggunakan
comment tersebut sebagai kriteria pencarian. Fitur ini sangat berguna dalam
menolong administrator Group Policy untuk berkomunikasi dengan mereka
sendiri, atau dengan administrator yang lain, kenapa suatu settingan diubah dan
apa pengaruhnya pada settingan lain (system).
Bagian terakhir dari fitur ini bernama Starter GPOs. Starter GPOs ialah sebuah
starting point untuk adminstrasi. Ketika sebuah GPO dibuat, anda masih bisa
membuat sebuah GPO blank, atau anda bisa memilih untuk membuat GPO dari
salah satu pre-existing Starter GPOs. Starter GPOs ialah sebuah koleksi dari
template settigan preconfigured Adminstrative, lengkap dengan comment-nya.
Anda bisa melihat sebuah node dalam Group Policy Management Comsole (GPMC)
bernama Starter GPOs. Hanya dengan klik kanan pada node ini dan pilih new. Anda
akan mempunyai sebuah Sterter GPO yang tersedia untuk diedit. Terdapat delegasi
yang tersedia pada container Starter GPO untuk memastikan hanya spesifik
administrator yang dapat mengubahnya.
70 http://wss-id.org/blogs/fajar
Kumpulan fitur-fitur ini –Search/Filter, Comments, dan Starter GPOs- datang
bersama untuk memudahkan authoring dan management sekitar Group Policy. Hal
ini menyediakan authoring dan pencarian settingan yang menyenangkan, dalam
dokumentasi dari settingan Group Policy, dan konfigurasi dasar untuk memulai
proses.
ADMX/ADML
File-file ADMX/ADML telah diperkenalkan dalam Windows Vista untuk
menggantikan legacy data format dari file-file ADM yang kita biasa gunakan. File-
file ADMX ialah file XML yang berisi tipe informasi yang sama yang kita cukup kenal
untuk membangun administrative experience disekitar settingan Administrative
Template. Menggunakan XML membuat seluruh proses lebih sefisien dan
terstandarkan. File-file ADML ialah file spesifik-bahasa yang sangat penting dalam
multilingual enterprise. Pada masa lalu, semua localisasi dilakukan oleh setiap file
ADM. Hal ini mengakibatkan beberapa masalah control version yang
membingungkan ketika administrator mengatur settingan dalam sebuah GPO dari
workstation menggunakan bahasa yang berbeda. Dengan ADMX/ADML, semua
administrator bekerja dengan GPOs yang sama dan dengan mudah memanggil file
ADML yang sesuai untuk memenuhi editor.
Value yang berkaitan lainnya dengan file-file ADML/ADMX ialah GPOs tidak lagi
berisi file-file ADM sendiri. Sebelum Windows Vista/Windows Server 2008, setiap
GPO yang dibuat akan berisi file-file ADM. Hal ini akan berukuran 4 MB secara
default. Hal ini juga merupakan salah satu penyebab pembengkakan SYSVOL.
Lihat pada http://www.microsoft.com/GroupPolicy untuk membaca lebih pada
ADMX/ADML. Anda juga bisa menemukan migrasi utility ADMX untuk
memudahkan dalam berpindah ke lingkungan yang baru pada
http://technet2.microsoft.com/windowsserver/en/technologies/featured/gp/defa
ult.mspx. Hanya ingatlah bahwa ADM dan ADMX bisa saling menggantikan
71 http://wss-id.org/blogs/fajar
Central Store
Berhubungan dengan file-file ADMX ialah Central Store. Seperti keadaan
sebelumnya, file-file ADM digunakan untuk menyimpan pada GPO itu sendiri. Hal
itu bukan lagi menjadi masalah. Sekarang GPO berisi hanya data yang dibutuhkan
client untuk memproses Group Policy. Dalam Windows Vista/Windows Server
2008, keadaan default untuk editing ialah bahwa editor mengambil file-file ADMX
dari workstation lokal. Hal ini sangat baik untuk lingkungan dengan sedikit
administrator yang memanage Group Policy, tapi dalam lingkungan yang lebih
besar, lebih kompleks atau yang lebih membutuhkan control, sebuah Central Store
telah diperkenalkan. Central Store menyediakan sebuah single SYSVOL yang
memegang semua file-file ADMX/ADML yang dibutuhkan. Sekali Central Store di
set-up, semua administrator meload file-file yang sesuai dari Central Store
dibandingkan mesin local. Cek juga salah satu dari Group Policy MVP’s Central
Store Creation Utility pada http://www.gpoguy.com/cssu.htm. Anda juga bisa
menemukan informasi lebih lanjut di http://www.microsoft.com/grouppolicy.
Kesimpulan
Windows Server 2008 dan Windows Vista telah memperkenalkan banyak
funsioanlitas baru untuk Group Policy. Admonsitrator akan menemukan fitur-fitur
baru ini untuk management, bersama dengan 700 settingan baru untuk diatur,
akan menambah penggunaan Group Policy yang menyenangkan dan menambah
jumlah area yang bisa diatur dengan policy.
Windows Management Instrumentation
WMI ialah sebuah core teknologi management Windows yang system
administrator bisa gunakan untuk menulis scipt-script untuk melaksanakan task-
72 http://wss-id.org/blogs/fajar
task administrative pada local maupun remote computer. Tidak terdapat
peningkatan yang spesifik pada WMI dalam Windows Server 2008 diluar yang telah
dimasukan dalam Windows Vista, namun hal ini penting untuk mengetaui
mengenai peningkatan pada Windows Vista karena hal tersebut berlaku juga pada
Windows Server 2008. Berikut merupakan beberapa penigkatan signifikan pada
WMI dalam Windows Vista dan Windows Server 2008:
Penyempurnaan pada tracing dan logging. Service WMI sekarang
menggunakan Event Tracing untuk Windows (ETW) daripada file-file log
legacy WMI yang digunakan pada versi windows sebelumnya, dan hal ini
membuat event-event WMI tersedia melalui Event Viewer atau
menggnakan tool command-line Wevtutil.exe.
Peningkatan kemanan WMI namespace. NamespaceSecuritySDDL
qualifier sekarang bisa digunakan untuk mengamankan namespace
manapun dengan menyetting namespace security dalam file Managed
Object Format (MOF)
Kemanan auditing WMI namespace. WMI sekarang menggunakan
namespace system access control lists (SACL) untuk mengaudit aktivitas
namespace dan report events pada Security event log.
Metoda-metoda deskriptor keamanan Get and Set untuk objek-objek
securable. Metoda scriptable baru untuk mendapatkan dan menyetting
descriptor keamanan telah ditambahkan pada Wind32_Printer,
Win32_Service, StdRegProve, Win32_DCOMApplicationSetting, dan
_SystemSecurity.
Memanipulasi descriptor keamanan menggunakan scripts.
Win32_SecurityDescriptorHelper class sekarang mempunyai metoda yang
membolehkan scripts untuk mengkonversi binary deksriptor keamanan
73 http://wss-id.org/blogs/fajar
pada objek yang securable menjadi objek Win32_SecurityDescriptor atau
Security Descriptor Definition Language (SDDL) strings.
Kontrol akun user. User Account Control (UAC) mempengaruhi data WMI
apa yang dikembalikan, bagaimana WMI secara remote diakses, dan
bagaimana script-script harus dijalankan.
Semua yang disebutkan diatas mempunyai arti bahwa WMI lebih aman dan lebih
konsisten dalam bagaimana caranya bekerja dalam Windows Server 2008, yang
merupakan berita bagus untuk system administrator yang lebih menyukai menulis
script-script WMI untuk mengatur banyak jenis aspek dari jaringan Windows-based
mereka.
Menulis skrip WMI tidaklah gampang. Windows Vista dan Windows Server 2008
membuat sulit hal ini karena terdapat peningkatan besar-besaran pada bagian
keamanan, termasuk User Acces Control (UAC).
Berdasarkan pengalaman: WMI Remote Connection
Berbicara mengenai management tentu saja mengisyaratkan anda untuk mengatur
secara remote pada Windows system. Remote koneksi berhubungan langusng
dengan system keamanan. Management dan keamanan tidak selalu mudah
dikombinasikan. Tidaklah jarang kita melihat situasi dimana management menjadi
masalah pada pelanggaran security, atau jika situasi dibalik, tidak jarang juga
settingan keamanan mencegah proses management berlangsung dengan baik
pada system. Pada aspek ini, WMI tidak berbeda dari teknologi yang lain yang
menyediakan kemampuan remote management melibatkan beberapa
pertimbangan keamanan.
Windows Vista dan Windows Server 2008 datang dengan seri fitur-fitur keamanan.
Salah satu yang paling penting ialah User Account Control (UAC). Sepertinya setiap
administrator di dunia ini akan merasa tertantang oleh kehadiran UAC, terutama
74 http://wss-id.org/blogs/fajar
jika anda menggunakan Bagian Local Accounts dari Administrator group untuk
melakukan remote access. Hali ini karena account manapun yang digunakan pada
konteks ini akan secara otomatis difilter dan akhirnya akan bekerja sebagai normal
user dalam remote system. Oleh karena itu, sangat bijak jika memperhitungkan
aspek-aspek keamanan yang berbeda yang sesuai untuk mengamankan
pengaturan remote system anda.
Sebelum melihat pada aspek UAC, mari melangkah kebelakang untuk melihat
kebutuhan untuk memanggil WMI secara remote. Hal ini berlaku untuk platform
Windows manapun semenjak Windows 2000.
Untuk melakukan koneksi remote, teradapat empat kondisi yang harus dipenuhi:
1. Firewall Diperkenalkan pada Windows XP, Windows Firewall harus secara
benar di-set-up untuk dapat melakukan konektivitas traffic WMI RPC.
Biasanya, anda akan mendapatkan sebuah “RPC connection failure” jika
Windows Firewall nyala dan RFC tidak diijinkan. Jika anda mendapatkan
pesan “access denied”, firewall bukanlah masalahnya. Ingatlah bahwa
firewall komponen kunci untuk dilalui sebelum yang lainnya. Sebelum
Windows Vista dan Windows Server 2008, Traffic RPC harus diijinkan untuk
mengijinkan trafffic WMI berjalan. Dengan Windows Vista dan Windows
Server 2008, sebuah aturan firewall dedicated tersedia untuk hanya
mengijinkan Traffic WMI. Catatan jika anda menggunakan WMIDiag
(tersedia pada Microsoft Download Center), akan memeberitahukan anda
NETSH.EXE yang mana untuk digunakan mengkonfigur firewall.
2. DCOM Sekali gerbang firewall dilalui, ini waktunya untuk memperhatikan
kemanan DCOM. User menginginkan remote call harus mempunyai hak
untuk “Launch dan Activate” (yang bisa dilihat dan diubah dengan
DCOMCNFG.EXE) untuk My Computer dan Windows Management and
Instrumentation objects. Secara Default, hanya user yang merupakan
75 http://wss-id.org/blogs/fajar
bagian dari group Administrator remote machine mempunyai hak untuk
secara remote “Launch dan Activate” objek-objek DCOM tersebut.
3. WMI namespace Sekali keamanan DCOM disetujui, kemanan namespace
WMI berikutnya. Pada kasus ini user konek pada sebuah WMI namespace
secara remote harus memliki minimum Enable Remote dan membenarkan
Enable Account rights. (hal ini bisa diupdate dengan WMIMGMT.MSC).
4. Manageable entity Terakhir, ketika WMI telah menerima request remote,
akan mengeksekusi berlawanan dengan manageable entity yang bisa jadi
sebuah Windows Service atau sebuah settingan konfigurasi Terminal
Server. Langkah terakhir ini harus berhasil jika ingin operasi WMI berjalan
dengan baik. WMI tidak menambah hak-hak yang user harus hadapi ketika
request WMI. Secara default WMI mengambil alih request bersama kontek
- kontek keamanam remote user). Jadi bergantung pada operasi request
WMI dan hak-hak yang diberikan pada remote user untuk menentukan
sukses atau gagalnya manageable entity. Sebagai contoh, jika anda
mencoba untuk menghentikan Windows Service secara remote, secara
default Service Control Manager membutuhkan user sebagai
administrator. Jika tidak maka request tersebut gagal.
Hal ini menjelaskan perilaku dari WMI sejak Windows 2000. Dalam Windows Vista
dan Windows Server 2008 akan berbeda karena UAC dijalankan secara default dan
semuanya bergantung anda menggunakan account local atau domain account. Jika
anda menggunakan account local dari remote machine yang merupakan anggota
dari group Local Adminstrator, keanggotaan Administrator dari user selalu
diperiksa. Pada kontek ini DCOM, WMI, dan manageable entity mengacu pada
aturan keamanan berdasarkan filter yang digunakan. Karena itu, dengan melihat
pada perilaku UAC, token yang digunakan ialah token user, bukan merupakan
token administrative.
76 http://wss-id.org/blogs/fajar
Sekarang keadaan telah di-set, bagaimana anda mengatur sebuah mesin remote
Windows vista atau Windows Server 2008 mengacu pada kemanan Firewall, UAC,
DCOM, WMI, dan manageable entity?
Tantangan ini harus dilihat dari dua cara berbeda:
1. Mesin remote ialah bagian dari sebuah domain. Jika mesin remote
merupakan bagian dari domain, sangat disarankan anda menggunakan
bagian Domain User dari group Local Adminstrator dari remote machine.
Dengan melakukan ini anda akan menjadi administrator biasa karena UAC
tidak memfilter user diluar group Local Adminstrator ketika user
merupakan Domain User. UAC hanya memfilter Local Users diluar dari
group Local Adminstrator.
2. Mesin anda ialah sebuah mesin workgroup. Jika mesin anda berada pada
lingkungan workgroup, anda dipaksa untuk mengguanakn sebuah Local
User bagian dari group Local Adminstrator Group untuk konek secara
remote. Jelas sekali karena perilaku UAC, user tersebut akan difilter dan
bekerja hanya sebagai user biasa. Pendekatan pertama jika anda berada
pada infrastruktur enterprise yang besar, perhatikan kemungkinan untuk
membuat mesin ini bagian dari sebuah domain untuk menggunakan
sebuah Domain User. Jika hal ini tidak mungkin karena anda harus
menjaga mesin sebagai bagian dari workgroup, maka anda memliki dua
pilihan:
o Anda memutuskan untuk menjaga UAC tetap aktif. Dalam kasus ini
anda harus menyesuaikan settingan keamanan dari DCOM dan
WMI untuk memastikan bahwa Local User mempunyai hak-hak
eksplisit untuk remote access. Jangan lupa cara terbaik ialah
menggunakan Local Group dedicated dan membuat Local User ini
anggota dari group tersebut. Dalam konteks ini, request WMI
77 http://wss-id.org/blogs/fajar
melawan manageable entity mungkin bekerja atau tidak
bergantung pada kebutuhan keamanan manageable entity. Jika
manageable entity tidak mengijinkan user biasa untuk melakukan
task yang diminta, anda mungkin dipaksa untuk mengubah
keamanan pada level manageable entity untuk memberikan ijin
pada Local User atau group-nya juga. Catatan, bahwa hal ini tidak
selalu berhasil karena ini bergantung pada kebutuhan keaamanan
manageable entity dan kemampuan management keamanan dari
manageable entity. Untuk contoh Windows Service, hal ini bisa
dilakukan dengan perintah SC.EXE melalui sebuah string SDDL,
Win32_service WMI class (dengan metoda
Get/SetSecurityDescriptor diimpelemtasikan pada Windows Vista
dan Windows Server 2008), atau Group Policies (GPEDIT.MSC).
Dengan mengupdate kemananan pada tiga level ini, anda akan
bisa untuk melewati gerbang keamanan DCOM dan WMI dan
menghentikan sebuah Windows Service sebagai user biasa.
Catatan bahwa kustomisasi mewakili langkah-langkah untuk
sebuah granular delegation dari Management. Hanya service yang
diubah bisa dihentikan dengan dedicated user (atau group). Pada
kasus ini, anda sebenarnya menentukan model keamanan granular
untuk task yang spesifik. (anda bisa melihat “Running Scripts
Securly While Handling Password and Security Contexts Properly”
webcast pada http://go.microsoft.com/fwlink/?LinkId=39643
untuk mengerti scenario ini lebih baik). Sekarang mungkin
beberapa manageable entities hanya membutuhkan user untuk
menjadi seorang admin karena tidak terdapat kemungkinan untuk
mengupdate descriptor keamanan. Terakhir, perlu diingat bahwa
langkah-langkah ini juga bisa diaplikasikan pada lingkungan
78 http://wss-id.org/blogs/fajar
domain untuk menyerahkan kemampuan management ke sebuah
group domain user.
o Anda memutuskan untuk menonaktifkan UAC filtering untuk
remote access. Hal ini harus menjadi pilihan solusi terakhir. Ini
bukanlah sebuah opsi yang harus diperhitungkan jika anda
menginginkan untuk mempertahankan system workgroup anda
dengan tingkat keamanan yang tinggi. Jadi solusi ini dapat diambil
jika setelah melakukan investigasi kemungkinan untuk membuat
system anda bagian dari sebuah domain atau setelah mereview
segala yang perlu dilakukan. Jika membuat system anda bagian
dari sebuah domain tidak mungkin, anda bisa mempertimbangkan
opsi ini. Pada kasus ini, anda harus melihat key registry dalam
referensi ditujukan dibawah menjadi NOL pada remote system.
Catat bahwa anda harus menjadi seorang administrator untuk
megubah registry tersebut. Jadi anda butuh melakukan ini secara
local, sebelum remote access dibuat. Catatan bahwa settingan
konfigurasi ini mematikan filtering pada Local Account saja, tidak
mematikan UAC seluruhnya.
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S
ystem]”LocalAccountTokenFilterPolicies”=dword:00000001
Setelah dilakukan, key registry dibuat dan di-set ke SATU, dan
Local User yang mengakses remote server akan menjadi
administrator. Catatan terakhir langkah ini membutuhkan reboot
mesin.
79 http://wss-id.org/blogs/fajar
Windows PowerShell
Tool powerful lainnya untuk otomatisasi task-task administrative dalam Windows
Server 2008 ialah Windows PowerShell, sebuah shell command-line dan scripting
language. PowerShell meliputi lebih dari 130 tool-tool command-line (bernama
cmdlets), mempunyai sintaks yang konsisten dan kaidah penamaan, dan
menggunakan navigasi yang disederhanakan untuk mengatur data seperti registry
dan certificate store. PowerShell juga meliputi sebuah bahasa scripting intuitif
yang didesain untuk IT administrator.
PowerShell bisa digunakan secara efisien untuk melakukan task-task administrasi
Windows Server 2008, termasuk mengatur service, process, dan storage.
PowerShell bisa juga digunakan untuk mengatur aspek-aspek dari server roles,
seperti Internet Information Services (IIS) 7.0, Terminal Services, dan Windows
Server 2008 termasuk:
Mengatur command-line sevices, process, registry, dan data WMI
menggunakan get-service, get-process, dan get-wmiobjetcs cmdlets.
Otomatisasi konfigurasi Terminal Services, dan membandingkan
konfigurasi antar Terminal Server farm.
Penyebaran dan mengkonfigure Internet Information Services 7.0 antar
sebuah Web farm.
Membuat objek dalam Active Directory, dan mendaftar informasi
mengenai domain yang dipakai sekarang.
Berikut merupakan Pesan dari Ahli di Microsoft mengenai PowerShell:
Berdasarkan pengalaman: PowerShell Hebat!
80 http://wss-id.org/blogs/fajar
Dari semua teknologi baru Microsoft, PowerShell telah menjadi salah satu yang
paling menarik (setelah IIS 7.0 tentunya). Anda mungkin bertanya-tanya kenapa
PowerShell yang merupakan scripting shell for Windows ini begitu menarik. Untuk
melihat betapa kerennya PowerShell ini bisa dilihat di
http://channel9.msdn.com/Showpost.aspx?postid=256994.
Pertama dalam PowerShell anda memasukkan perintah pada objek, non teks, dan
PowerShell mengembalikan objek dan non teks. Jadi anda bisa secara mudah
menggabungkan perintahperintah secara bersamaan dalam satu baris. Seperti
perintah yang cukup sulit berikut ini:
PS C:\Windows\System32> Get-Childitem –Path G:\ -Recurse –Include *.mp3 |
Where-Object –FilterScript {($_.LastWriteTime –gt “2006-10-01”) –and ($_.Name
–match “Pearl jam”)}| Copy –Destination C:\User\bills\Desktop\New_PJ_MP3s
Yang secara rekursif melihat langsung ke seluruh area eksternal hard drive (G:),
Mengumpulakn semua “Pearl Jam” mp3s yang baru saja ditambahkan, dan meng-
copy-nya menuju folder dalam My desktop. Kita tidak perlu lagi menggunakan
perintah copy berulang-ulang dan membuat perintah list terlebih dahulu, cukup
menggunakan pipe semua items untuk di-copy sekali waktu.
Akhirnya, yang paling saya sukai dari PowerShell ialah ini dapat diperluas. Saya
suka ini karena berarti tim saya bisa menghasilkan semua set dari IIS PowerShell
cmdlets untuk membantu anda mengatur IIS 6.0, IIS 7.0, dan versi selanjutnya dari
IIS. Anda bisa juga untuk menyampaikan IIS PowerShell Script anda ke area
komunitas ini (sebentar lagi).
Sekarang, setelah saya memberikan apa-apa saja yang saya sukai dari shell yang
baru ini, saya akan memeberikan anda beberapa cara yang bisa dilakukan
PowerShell dan akan membuat Adminstrasi IIS lebih mudah.
81 http://wss-id.org/blogs/fajar
1. IIS 7.0 mempunyai penyedia WMI baru untuk starting, stoping, creating,
removing dan configuring sites dan aplikasi yang lebih cepat. Sekarang
gunakan PowerShell untuk memberikan daftar dari aplikasi yang disortir
berdasarkan settingan konfigurasi tertentu. Kemudian memberikan pipe
apps dengan settingan tertentu kedalam task-task yang anda lakukan
sebelum dengan penyedia WMI. Kolega saya Sergei Antonov menulis dan
baru saja menerbitkan artikel yang fantastis, berjudul “Writing PowerShell
Command-lets for IIS 7.0,” yang menjelaskan bagaimana untuk menulis
PowerShell cmdlets menggunakan penyedia WMI.
2. Karena IIS 7.0 mempunyai sebuah penyimpanan konfigurasi file-based
terdistribusi, anda bisa menyimpan konfigurasi aplikasi IIS dalam sebuah
web.config dalam direktori aplikasi bersebelahan pada kode dan konten-
kontennya. Gunakan PowerShell untuk secara cepat mendeploy applikasi
ke sebuah Web Farm dalam satu langkah (Xcopy).
3. IIS 7.0 Web.Administration API baru mengijinkan admin untuk menulis
program pendek dalam .NET untuk secara programatik mengerjakan task-
task management IIS 7.0 yang cukup sering dilakukan. Kemudian, karena
PowerShell secara lengkap mendukung .Net Framework, gunakanlah
untuk pipe objek IIS dari deretan code yang berguna ini.
4. Dengan IIS 7.0, anda bisa menggunakan Runtime Status baru dan Control
API untuk memonitor performance dari aplikasi Web anda. Gunakan
PowerShell untuk memonitor informasi performance pada regular interval
setiap lima menit, dan kemudian menyajikan hasil informasi runtime ini
pada konsol atau mengirimnya ke sebuah log file apabila CPU berkerja
diatas 80%.
5. Ambilah keuntungan dari sifat fleksibel IIS 7.0 dengan menulis custom
modul process request anda dengan konfigurasinya sendiri dan IIS
82 http://wss-id.org/blogs/fajar
Manager plug-in. Kemudian tulis sebuah PowerShell cmdlet untuk
melayani sebagai sebuah infterface management untuk membuka
konfigurasi IIS anda ke command line dan untuk memberikan tenaga pada
Manager IIS plug-in anda.
Untuk informasi lebih pada managing IIS 7.0 menggunakan PowerShell, lihatlah
“An Introduction to Windows PowerShell dan IIS 7.0,” yang dapat ditemukan pada
http://www.iis.net/default.aspx?tabid=2&subtabed=25&i=1212.
Seperti WMI yang telah disebutkan sebelumnya, Windows PowerShell masih
dalam tahap pengembangan. Sebagai contoh PowerShell versi 1.0 belum
mempunyai cmdlets untuk mengatur Active Directory, melainkan dengan
menggunakan .NET Framework 2.0 bersama dengan PowerShell, anda bisa
mengatur Active Directory.
Microsoft System Center
Akhirnya, keluarga Microsoft System Center dari solusi management enterprise
akan men-support management dari Windows Server 2008. System Center ialah
sebuah koleksi dari produk-produk yang tealh berevolusi dari platform awal
Microsoft Systems Management (SMS) dan Microsoft Operation Manager (MOM).
Rencana untuk keluarga System Center pada saat ini meliputi produkproduk
berikut:
System Center Operations Manager (Generasi selanjutnya dari MOM)
System Center Configuration Manager (Generasi selnjutnya dari SMS)
System Center Data Protection Manager
System Center Essentials
83 http://wss-id.org/blogs/fajar
System Center Virtual Machine Manager
System Center Capacity Planner
Anda bisa mencari informasi lebih banyak mengenai System Center pada
http://www.microsoft.com/systemcenter.
Kesimpulan
Windows Server 2008 bisa diatur menggunakan beberapa dari tool-toll in-box dan
out-of-band. Jika anda hanya butuh untuk mengatur single server, gunakan Initial
Configuration Tasks dan Server Manager. Jika anda membutuhkan mengatur
server secara remote, aktifkan Remote Desktop pada server anda. Jika anda butuh
untuk mengatur multiple server roles pada mesin-mesin yang berbeda, install
Remote Server Administration Tools (RSAT) dan gunakan setiap tool untuk
mengatur beberapa keadaan sekaligus dari sebuah role tertentu. Dan jika anda
butuh untuk mengotomatisasi adminstrasi dari mesin Windows Server 2008,
gunakan ServerManagerCmd.exe, WMI, PowerShell, atau kombinasi dari
ketiganya.
Sumber Tambahan
Technet mempunyai sebuah webcast level 300 yang bernama “Installing,
Configuring, and Managing Server Roles in Windows Server 2008” yang bisa anda
download dari
http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=10322947
12&EventCategory=5&culture=en-US&CountryCode=US (dibutuhkan registrasi.)
84 http://wss-id.org/blogs/fajar
Jika anda mempunyai akses ke Windows Server 2008 beta pada Microsoft Connect
(https://connect.microsoft.com/), anda bisa mendownload beberapa item berikut:
Microsoft Windows Server 2008 Server Manager Lab Companion
Microsoft Windows Server 2008 Initial Configuration Tasks Step-By-Step
Guide
Live Meeting on Server Manager
Jika anda tidak mempunyai akses ke beta build dari Windows Server 2008, anda
masih bisa mencoba Server Manager online menggunakan Microsoft Windows
Server 2008 Server Manager Virtual Lab, yang tersedia pada
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=10323144
61&EventCategory=3&culture=en-IN&CountryCode=IN.
Untuk eksploring potensial dari Windows PowerShell untuk mengatur Windows
Server 2008, bisa dilihat pada
http://www.microsoft.com/windowsserver/2008/powershell.mpsx.
Informasi mengenai pengembangan Group Policy pada Windows Vista dan
Windows Server 2008 bisa ditemukan pada
http://technet2.microsoft.com/WindowsVista/en/library/a8366c42-6373-48cd-
9d11-251080e48171033.mpsx?mfr=true.
Informasi lebih lanjut mengenai pengembangan WMI pada Windows Vista dan
Windows Server 2008 bisa ditemukan pada MSDN di
http://msdn2.microsoft.com/en-gb/library/aa394053.aspx.
Dan jika anda ingin mengetahui lebih banyak menganai Microsoft System Center,
bisa dilihat di http://www.microsoft.com/systemcenter/.