Active Directory 2003 – layanan Directory pada infrastructure Jaringan Windows 2003
Active Directory 2003 adalah suatu Directory Services
dalam suatu jaringan computer
Windows 2003 (atau 2000) yang digunakan sebagai Authenticasi dan
Authorisasi untuk akses kedalam suatu resources jaringan baik resources
yang berada
pada local network maupun resources yang berada
melintasi jaringan WAN global
dalam suatu jaringan global corporasi. Active Directory 2003 merupakan
technology yang sangat powerful dengan kemampuan yang tak terbatas.
Apa itu authenticasi? Kalau anda terdaftar dalam suatu system
jaringan dan mempunyai account untuk masuk dalam suatu system jaringan
itu, maka dengan account anda itu system akan meng-Authenticasi bahwa
anda adalah valid user dalam system itu. Jika anda sudah masuk dalam
system jaringan tersebut dan mengakses suatu layanan resource yang ada
dalam jaringan tersebut, maka system memberikan authorisasi untuk akses
resource tersebut. Anda bisa saja ter-authenticasi masuk dalam suatu
jaringan akan tetapi belum tentu anda mendapatkan authorisasi untuk
mengakses suatu sumber jaringan tertentu.
Active Directory 2003 adalah directory services yang menyimpan semua
informasi yang diperlukan untuk dipakai dan juga mengelola object-2
system dalam lokasi terpusat untuk memudahkan dan menyederhanakan
proses pencarian dan pengelolaan sumber-2 (resources) tersebut.
Directory services dalam Active Directory 2003 memberikan suatu cara
untuk menyimpan, mencari, mengamankan, dan mengakses informasi tentang
suatu resources jaringan dalam suatu organisasi seperti:
1. Informasi user account
2. Informasi account computer (dalam suatu jaringan, komputer
mempunyai account tersendiri untuk bisa diberdayakan dalam suatu
jaringan, gak Cuma orang)
3. Groups, yang beranggotakan user account, atau bahkan group lainnya juga
4. Printer
5. Server
6. Resources
7. Suatu database yang menyimpan informasi tentang user-2nya dan dan juga konsumen lainnya (partner bisnis)
8. Centralisasi administrasi
9. Centralisasi atau decentralisasi administrasi resources,
administrasi dibagi bisa saja menurut site atau menurut kewenangannya
dalam structur organisasi
10. Menyimpan informasi dalam format yang aman
Bermacam-2 komponen dalam active directory 2003 digunakan untuk
membangun suatu struktur directory untuk memenuhi kebutuhan dalam
organisasi anda. Definisi dari Active Directory bisa dibagi dalam
komponen Logical dan Physical.
Struktur Logical dari Active Directory 2003
- Object, disimpan dalam database Schema
- OU (Organizational Unit), memungkinkan user membagi domain kedalam
unit-2 administrasi. Missal untuk user umum kita bukin OU dengan nama
“General User” yang berisi user secara umum.
- Domains, merupakan unit atom dari Active Directrory 2003
- Tree, semua domain yang terhubung dalam suatu design namespace dalam Forest yang sama
- Forest, suatu boundary dalam directory services
Striktur logical dari Active Directory 2003 dapat diilustrasikan
dalam relasi berikut dari domain active directory, OU, dan juga Forest.
Active Directory 2003 Forest
Domains
Unit inti dari struktur logical dalam Active Directory 2003 adalah
Domain, yang bisa menyimpan jutaan object. Object-2 yg disimpan dalam
domain bisa berupa user, printer, alamat e-mail, database, adalah yang
dianggap vital dalam jaringan. Directory dibuat dari satu Domain
ataupun lebih. Sementara satu domain bisa terbentang lebih dari satu
lokasi physical. Bisa saja domain Sysneta.com terbentang dalam satu
system jaringan yang ada di kantor pusat di Guinea dan didua kantor
cabangnya juga dengan domain yang sama Sysneta.Com.
Domain dalam Active Directory 2003 berbagi karakteristik berikut:
- Semua object dalam jaringan ada dalam Domain, dan setiap Domain menyimpan informasi hanya tetang object yang dikandungnya.
- Suatu domain adalah suatu security boundary. Sementara untuk
mengakses object domain dikendalikan oleh suatu access control list
(ACL), yang mempunyai suatu permision yang berhubungan dengan object-2
tersebut. Sebagai contoh untuk Share Printer A hanya boleh diakses oleh
Group Accounting saja, jadi kalau user Joko yang tidak masuk dalam
Group A maka dia tidak bisa mengakses printer A.
OU (organizational Unit)
Active Directory 2003 -OU
Suatu OU adalah suatu kontainer yang digunakan untuk mengorganisasi
object-2 dalam suatu domain kedalam suatu kelompok administrasi
logical. OU memberikan suatu makna untuk penanganan suatu tugas-2
administrasi, seperti administrasi tentamg user dan resources, karena
OU ini merupakan scope terkecil dimana anda bisa mendelegasikan suatu
authority administrasi. Suatu OU bisa berisi object-2 seperti user
account, groups, computers, printers, applikasi, files shares, dan bisa
juga berisi OU lainnya dalam domain yang sama.
Active Directory 2003 - Domain Tree
Tree
Suatu Tree adalah suatu pengelompokan atau pengaturan secara
hirarchi dari satu atau lebih Domain Windows Server 2003 yang anda
ciptakan dengan cara menambah satu atau lebih Anak Domain (Child
Domain) kepada Domain sekarang yang sudah ada. Domain-2 yang ada pada
suatu Tree berbagi suatu namespace yang contiguous dan juga berbagi
suatu struktur penamaan hiararchi.
Forests
Suatu forest adalah suatu pengelompokan atau suatu pengaturan secara
hirarchi dari satu atau lebih domain Tree yang benar-2 independent.
Forest-2 seperti ini mempunyai karakteristik seperti berikut:
- Semua domain dalam suatu Forest berbagi suatu schema yang sama
- Semua domain dalam suatu forest berbagi suatu Global Catalog yang sama
- Semua domain dalam suatu forest terhubung dengan Trust Transitive Dua arah yg implicit
- Tree dalam suatu forest mempunyai structure penamaan yang berbeda, menurut domain mereka.
- Domain dalam suatu forest beroperasi secara independent, akan tetapi forest memungkinkan komunikasi keseluruh organisasi.
Active Directory 2003 - Forest Tree
Structure Physical dari suatu Active Directory 2003
Struktur physical dari Active Directory 2003 mengandung object-2 berikut:
- Domain controller, yaitu server yang mengoperasikan layanan inti
dan sebagai wadah database active directory 2003. Karena suatu domain
dapat berisi satu atau lebih domain controller, setiap domain
controller dalam suatu domain mempunyai replica yang lengkap dari porsi
domain suatu directory. Suatu domain controller hanya dapat melayani
satu domain saja. Suatu domain controller juga melakukan authentikasi
user yang sedang logon dan juga menjaga security policy dari suatu
domain.
- Setiap domain controller menyimpan copy lengkap dari semua
informasi active directory untuk domain tersebut, mengelola setiap
perubahan pada informasi tersebut, dan me-replikasikan setiap perubahan
kepada domain controller lainnya yang ada dalam domain tersebut.
- Semua domain controller dalam suatu domain secara automatis
me-replikasikan informasi semua object dalam domain tersebut satu sama
lain. Jadi hati-2 kalau update object, karena akan direplikasikan ke
semua domain controller dalam domain tersebut. anda bisa mengatur
interval replikasinya.
- Sites, merupakan boundary replikasi yang dikonfigure untuk
kepentingan authenticasi dan lokalisasi replikasi events. Suatu site
merupakan kombinasi dari satu IP subnet atau lebih yang terhubung
dengan link yang berkecepatan tinggi dan handal untuk melokalisasi
sebanyak-2 nya traffic. Umumnya suatu site mempunyai boundaries yang
sama seperti local area network (LAN). Perlu diketahui bahwa site
bukanlah nagian dari namespace.
Hubungan Domain dan Site
- Partisi Directory, dirujuk juga sebagai Naming Context. Directory berisi partisi berikut:
- Schema partisi, mendefinisikan object-2 yang bisa diciptakan dalam
directory sekalian juga attribute-2 nya. Data Schema partisi ini sama
untuk semua Domain dalam suatu Forest dan di replikasi kan ke semua
domain controller dalam Forest.
- Configurasi Partisi, menjelaskan penggunaan structure logical termasuk data seperti struktur domain atau topology replikasi.
- Domain partisi, menjelaskan semua object khusus dari suatu domain
dan tidak direplikasikan ke semua domain-2 lainnya. Akan tetapi, data
direplikasikan ke setiap DC dalam domain itu.
- Partisi Directory Applikasi, menyimpan data applikasi specific
yang dynamis dalam Active Directory 2003. Anda bisa mengendalikan scope
replikasi begitu juga penempatan replica nya, hal ini untuk effisiensi
bandwidth dalam replikasi.
Structure Physical dari Active Directory 2003 dapat dijelaskan dengan diagram berikut ini.
Physical Structure - Active Directory
Global Catalog dalam Active Directory 2003
Active Directory 2003 memudahkan kita sebagai user ataupun sebagai
administrator untuk mendapatkan object-2 seperti file, printer, atau
user dalam domain mereka. Akan tetapi untuk mendapatkan object diluar
domain mereka dalam enterprise memerlukan suatu mekanisme dimana semua
domain tersebut seolah berada dalam satu entitas. Suatu layanan Catalog
berisi pilihan informasi tentang setiap object dalam semua domain dalam
directory, yang sangat berguna saat melakukan pencarian dalam suatu
enterprise. Global Catalog adalah layanan catalog yang diberikan oleh
Active Directory 2003.
- Suatu index cepat pada forest keseluruhan tidak pandang domain yang mana dalam forest itu yang mengandung data.
- Secara default, forest secara keseluruhan menggunakan domain
controller yang dibuat pertama kali dalam forest tersebut sebagai
Global Catalog (GC)
- Jika hanya ada satu domain controller dalam suatu domain, domain controller tersebut berfungsi sebagai Global Catalog.
- Jika GC tidak tersedia disaat seorang user berusaha logon kedalam
jaringan, maka user tersebut akan logon secara local saja pada komputer
dimana dia logon. Akan tetapi tidak demikian kalau site tersebut
diconfigure untuk cache Universal Group Membership lookups saat user
berusaha logon. Jadi semua credential user yang pernah logon di site
tersebut akan di simpan di cache, saat GC tidak tersedia maka user yang
pernah logon di site tersebut sebelumnya, masih bisa mengakses jaringan
di site tersebut.
- Global Catalog dan Infrastructure Master tidak dapat berada dalam
satu mesin. Mereka harus berada dalam satu site di mesin yang berbeda
untuk memudahkan komunikasi yang cepat.
Replikasi Global Catalog
Process pencarian(query) dalam Global Catalog
Suatu query bisa berupa suatu permintaan informasi sesuatu kepada
Globa Catalog yg dimaksudkan untuk mengambil, memodifikasi, ataupun
menghapus object data dalam suatu AD. Berikut dijelaskan proses query
dalam Global Catalog dengan mengacu pada gambar diatas.
1. Pertama kali suatu client mencari informasi lokasi dari Global Catalog server pada
DNS server
2. DNS server melakukan pencarian lokasi dari suatu Global Catalog server dan kembali dengan informasi
IP address dari server Domain Controller yang difungsikan sebagai Global Catalog.
3. Client kemudian melakukan query IP address dari Domain Controller
yang difungsikan sebagai GC, dimana query dikirim ke port 3268 pada
domain controller (DC), standard pencarian (searches) pada Active
directory 2003 dikirim ke port 389.
4. Globa catalog server memproses query. Jika Global catalog berisi
attribute dari object yang sedang dicari ada, Global Catalog kemudian
memberikan respon pada client. Jika Global Catalog tidak berisi
attribute dari object yang sedang dicari, maka query tersebut di rujuk
ke Active directory.
Anda bisa mengkonfigure mana saja domain controller atau menambahkan
domain controller yang di khususkan sebagai Global catalog. Saat
mempertimbangkan domain controller mana yang akan di khususkan sebagai
global catalog, putuskan berdasarkan kemampuan struktur jaringan anda
untuk melakukan replikasi dan traffic query. Jangan diletakkan pada
suatu site dimana link kepada client yang melakukan search quey
kepadanya hanya selebar 64Kbps saja.