Pertanyaan Apa itu Layanan Domain Direktori Aktif dan bagaimana cara kerjanya?


Ini adalah sebuah Pertanyaan Kanonis tentang Layanan Domain Direktori Aktif (AD DS).

Apa itu Direktori Aktif? Apa fungsinya dan bagaimana cara kerjanya?

Bagaimana cara Active Directory diatur: Hutan, Domain Anak, Pohon, Situs, atau OU


Saya menemukan diri saya menjelaskan sebagian dari apa yang saya anggap pengetahuan umum tentang itu hampir setiap hari. Pertanyaan ini akan, semoga, berfungsi sebagai pertanyaan dan jawaban kanonik untuk sebagian besar pertanyaan Active Directory dasar. Jika Anda merasa dapat meningkatkan jawaban atas pertanyaan ini, silakan hapus.


136
2018-06-27 03:47




Saya tidak ingin terlihat seperti saya rep-whoring, tapi saya pikir itu layak menghubungkan ke deskripsi non-teknis AD, juga, jika Anda mengalami situasi di mana Anda perlu menggambarkannya dalam detail teknis kurang: serverfault.com/q/18339/7200 - Evan Anderson
Kemungkinan tautan untuk pertanyaan ini: serverfault.com/questions/568606/… - serverfault.com/questions/472562/… - serverfault.com/questions/21780/… - serverfault.com/questions/72878/… hanya untuk beberapa nama. Mungkin kanonikal ada di @MDMarra - TheCleaner


Jawaban:


Apa itu Direktori Aktif?

Layanan Domain Direktori Aktif adalah Server Direktori Microsoft. Ini menyediakan mekanisme otentikasi dan otorisasi serta kerangka kerja di mana layanan terkait lainnya dapat digunakan (Layanan Sertifikat AD, Layanan Federasi AD, dll). Ini adalah sebuah LDAP database compliant yang berisi objek. Objek yang paling umum digunakan adalah pengguna, komputer, dan grup. Objek-objek ini dapat diatur ke dalam unit organisasi (OUs) dengan sejumlah kebutuhan logis atau bisnis. Objek Kebijakan Grup (GPO) kemudian dapat dihubungkan ke OU untuk memusatkan pengaturan untuk berbagai pengguna atau komputer di seluruh organisasi.

Ketika orang mengatakan "Active Directory" mereka biasanya mengacu pada "Layanan Domain Direktori Aktif." Penting untuk dicatat bahwa ada peran / produk Active Directory lain seperti Layanan Sertifikat, Layanan Federasi, Layanan Direktori Ringan, Layanan Manajemen Hak, dll. Jawaban ini mengacu khusus untuk Layanan Domain Direktori Aktif.

Apa itu domain dan apa itu hutan?

Hutan adalah batas keamanan. Objek di hutan yang terpisah tidak dapat berinteraksi satu sama lain, kecuali para administrator dari setiap hutan yang terpisah menciptakan a kepercayaan diantara mereka. Misalnya, akun Administrator Perusahaan untuk domain1.com, yang biasanya merupakan rekening paling istimewa dari hutan, akan memiliki, tidak ada izin sama sekali di hutan kedua bernama domain2.com, bahkan jika hutan-hutan itu ada di dalam LAN yang sama, kecuali ada kepercayaan di tempat.

Jika Anda memiliki beberapa unit bisnis terpisah atau memiliki kebutuhan untuk batas keamanan yang terpisah, Anda memerlukan banyak hutan.

Domain adalah batas manajemen. Domain adalah bagian dari hutan. Domain pertama di sebuah hutan dikenal sebagai domain root hutan. Di banyak organisasi kecil dan menengah (dan bahkan beberapa organisasi besar), Anda hanya akan menemukan satu domain di satu hutan. Domain akar hutan mendefinisikan namespace default untuk hutan. Misalnya, jika domain pertama di hutan baru diberi nama domain1.com, maka itu adalah domain root hutan. Jika Anda memiliki kebutuhan bisnis untuk domain anak, misalnya - kantor cabang di Chicago, Anda dapat menamai domain anak chi. Itu FQDN dari domain anak akan chi.domain1.com. Anda dapat melihat bahwa nama domain anak adalah nama domain akar hutan yang telah ditambahkan. Ini biasanya cara kerjanya. Anda dapat memisahkan ruang nama di hutan yang sama, tetapi itu bisa menjadi cacing terpisah untuk waktu yang berbeda.

Dalam kebanyakan kasus, Anda akan ingin mencoba dan melakukan segala kemungkinan untuk memiliki satu domain AD. Ini menyederhanakan manajemen, dan versi modern dari AD membuatnya sangat mudah untuk mendelegasikan kontrol berdasarkan OU, yang mengurangi kebutuhan untuk domain anak.

Saya dapat memberi nama domain saya apa pun yang saya inginkan, bukan?

Tidak juga. dcpromo.exe, alat yang menangani promosi server ke DC bukan idiot-proof. Itu membuat Anda membuat keputusan buruk dengan penamaan Anda, jadi perhatikan bagian ini jika Anda tidak yakin. (Sunting: dcpromo sudah ditinggalkan di Server 2012. Gunakan Install-ADDSForest PowerShell cmdlet atau menginstal AD DS dari Server Manager.)

Pertama-tama, jangan gunakan TLD yang sudah jadi seperti .local, .lan, .corp, atau semua omong kosong lainnya. TLD tersebut adalah tidak pendiam. ICANN menjual TLD sekarang, jadi Anda mycompany.corp yang Anda gunakan hari ini sebenarnya bisa jadi milik seseorang besok. Jika Anda sendiri mycompany.com, maka hal cerdas yang harus dilakukan adalah menggunakan sesuatu seperti internal.mycompany.com atau ad.mycompany.com untuk nama AD internal Anda. Jika Anda menggunakan mycompany.com sebagai situs web yang dapat dipecahkan secara eksternal, Anda harus menghindari menggunakan itu sebagai nama AD internal Anda juga, karena Anda akan berakhir dengan DNS otak terbelah.

Pengontrol Domain dan Katalog Global

Server yang merespons permintaan autentikasi atau otorisasi adalah Pengontrol Domain (DC). Dalam kebanyakan kasus, Pengontrol Domain akan memegang salinan Katalog Global. Katalog Global (GC) adalah sebagian objek di semua domain di hutan. Ini langsung dapat ditelusuri, yang berarti bahwa kueri lintas-domain biasanya dapat dilakukan pada GC tanpa perlu rujukan ke DC di domain target. Jika DC ditanya pada port 3268 (3269 jika menggunakan SSL), maka GC sedang ditanya. Jika port 389 (636 jika menggunakan SSL) ditanyakan, maka permintaan LDAP standar sedang digunakan dan objek yang ada di domain lain mungkin memerlukan rujukan.

Ketika seorang pengguna mencoba untuk masuk ke komputer yang terhubung ke AD menggunakan kredensial AD mereka, kombinasi nama pengguna dan kata sandi yang diasinkan dan di-hash akan dikirim ke DC untuk akun pengguna dan akun komputer yang masuk. Ya, komputer masuk juga. Ini penting, karena jika sesuatu terjadi pada akun komputer di AD, seperti seseorang menyetel ulang akun atau menghapusnya, Anda mungkin mendapatkan kesalahan yang mengatakan bahwa hubungan kepercayaan tidak ada antara komputer dan domain. Meskipun kredensial jaringan Anda baik-baik saja, komputer tidak lagi dipercaya untuk masuk ke domain.

Kekhawatiran Ketersediaan Pengontrol Domain

Saya mendengar "Saya memiliki Pengontrol Domain Utama (PDC) dan ingin memasang Pengontrol Domain Cadangan (BDC)" jauh lebih sering daripada yang saya ingin percaya. Konsep PDC dan BDC mati dengan Windows NT4. Benteng terakhir untuk PDC adalah dalam modus transisi AD 2000 era transisi ketika Anda masih memiliki NT4 DC di sekitar. Pada dasarnya, kecuali Anda mendukung berusia 15+ tahun instal yang belum pernah ditingkatkan, Anda benar-benar tidak memiliki PDC atau BDC, Anda hanya memiliki dua pengontrol domain.

Beberapa DC mampu menjawab permintaan otentikasi dari pengguna dan komputer yang berbeda secara bersamaan. Jika salah satu gagal, maka yang lain akan terus menawarkan layanan otentikasi tanpa harus membuat satu "utama" seperti yang harus Anda lakukan dalam hari-hari NT4. Ini adalah praktik terbaik untuk dimiliki setidaknya dua DC per domain. DC ini harus memiliki salinan GC dan keduanya harus merupakan server DNS yang menyimpan salinan zona DNS Terintegrasi Direktori Aktif untuk domain Anda juga.

Peran FSMO

"Jadi, jika tidak ada PDC, mengapa ada peran PDC yang hanya bisa dimiliki oleh satu DC?"

Saya mendengar ini banyak. Ada sebuah PDC Emulator peran. Ini berbeda dengan menjadi PDC. Faktanya, ada 5 Peran Operasi Master Tunggal Fleksibel (FSMO). Ini juga disebut peran Operations Master. Kedua istilah itu dapat dipertukarkan. Apa yang mereka dan apa yang mereka lakukan? Pertanyaan bagus! 5 peran dan fungsinya adalah:

Master Penamaan Domain - Hanya ada satu Guru Penamaan Domain per hutan. Master Penamaan Domain memastikan bahwa ketika domain baru ditambahkan ke hutan yang unik. Jika server yang memegang peran ini offline, Anda tidak akan dapat mengubah ruang nama AD, yang mencakup hal-hal seperti menambahkan domain turunan baru.

Skema Master - Hanya ada satu Skema Operasi Master di hutan. Ia bertanggung jawab untuk memperbarui Skema Direktori Aktif. Tugas yang memerlukan ini, seperti menyiapkan AD untuk versi baru dari Windows Server berfungsi sebagai DC atau instalasi Exchange, memerlukan modifikasi Skema. Modifikasi ini harus dilakukan dari Master Skema.

Master Infrastruktur - Ada satu Master Infrastruktur per domain. Jika Anda hanya memiliki satu domain di hutan Anda, Anda tidak perlu khawatir tentang itu. Jika Anda memiliki banyak hutan, maka Anda harus memastikan bahwa peran ini tidak dipegang oleh server yang juga pemegang GC kecuali setiap DC di hutan adalah GC. Master infrastruktur bertanggung jawab untuk memastikan referensi lintas-domain ditangani dengan benar. Jika pengguna di satu domain ditambahkan ke grup di domain lain, master infrastruktur untuk domain yang dipermasalahkan memastikan bahwa domain tersebut ditangani dengan benar. Peran ini tidak akan berfungsi dengan benar jika ada di katalog global.

RID Master - Master ID Relatif (RID Master) bertanggung jawab untuk mengeluarkan RID pools ke DC. Ada satu master RID per domain. Setiap objek dalam domain AD memiliki unik Pengenal Keamanan (SID). Ini terdiri dari kombinasi pengenal domain dan pengenal relatif. Setiap objek dalam domain tertentu memiliki pengidentifikasi domain yang sama, sehingga pengenal relatif adalah apa yang membuat objek menjadi unik. Setiap DC memiliki kumpulan ID relatif untuk digunakan, sehingga ketika DC membuat objek baru, ia menambahkan RID yang belum digunakan. Karena DC mengeluarkan kumpulan yang tidak tumpang tindih, setiap RID harus tetap unik selama masa pakai domain. Ketika DC sampai ke ~ 100 RID tersisa di kolamnya, ia meminta kolam baru dari master RID. Jika master RID sedang offline untuk waktu yang lama, pembuatan objek mungkin gagal.

PDC Emulator- Akhirnya, kita mendapatkan peran yang paling banyak disalahpahami dari mereka semua, peran Emulator PDC. Ada satu PDC Emulator per domain. Jika ada upaya otentikasi gagal, itu diteruskan ke PDC Emulator. PDC Emulator berfungsi sebagai "tie-breaker" jika kata sandi diperbarui pada satu DC dan belum direplikasi ke yang lain. PDC Emulator juga merupakan server yang mengontrol sinkronisasi waktu di seluruh domain. Semua DC lainnya menyinkronkan waktu mereka dari PDC Emulator. Semua klien menyinkronkan waktu mereka dari DC yang mereka masuki. Sangat penting bahwa semuanya tetap dalam 5 menit satu sama lain, jika tidak Kerberos pecah dan ketika itu terjadi, semua orang menangis.

Yang penting untuk diingat adalah bahwa server yang menjalankan peran ini tidak diatur di batu. Ini biasanya sepele untuk memindahkan peran-peran ini, jadi sementara beberapa DC melakukan sedikit lebih banyak daripada yang lain, jika mereka turun untuk waktu yang singkat, semuanya biasanya akan berfungsi normal. Jika mereka terpuruk untuk waktu yang lama, mudah untuk mentransfer peran secara transparan. Ini jauh lebih baik daripada hari-hari NT4 PDC / BDC, jadi tolong hentikan memanggil DC Anda dengan nama-nama lama itu. :)

Jadi, um ... bagaimana DC berbagi informasi jika mereka dapat berfungsi secara independen satu sama lain?

Replikasi, tentu saja. Secara default, DC milik domain yang sama di situs yang sama akan mereplikasi data mereka satu sama lain pada interval 15 detik. Ini memastikan bahwa semuanya relatif up to date.

Ada beberapa peristiwa "mendesak" yang memicu replikasi segera. Peristiwa ini adalah: Akun terkunci untuk terlalu banyak login yang gagal, perubahan dilakukan pada kata sandi domain atau kebijakan lockout, rahasia LSA diubah, kata sandi diubah pada akun komputer DC, atau peran RID Master ditransfer ke DC baru. Salah satu dari peristiwa ini akan memicu kejadian replikasi langsung.

Perubahan kata sandi jatuh di suatu tempat antara mendesak dan tidak mendesak dan ditangani secara unik. Jika kata sandi pengguna diubah DC01 dan pengguna mencoba masuk ke komputer yang mengautentikasi DC02 sebelum replikasi terjadi, Anda berharap ini gagal, bukan? Untungnya itu tidak terjadi. Asumsikan bahwa ada juga DC ketiga yang disebut di sini DC03 yang memegang peran Emulator PDC. Kapan DC01 diperbarui dengan kata sandi baru pengguna, perubahan itu segera direplikasi DC03 juga. Ketika Anda mencoba otentikasi DC02 gagal, DC02 kemudian meneruskan upaya otentikasi itu DC03, yang memverifikasi bahwa itu memang bagus, dan logon diperbolehkan.

Mari kita bicara tentang DNS

DNS sangat penting untuk AD yang berfungsi dengan baik. Garis resmi Microsoft pihak adalah setiap server DNS dapat digunakan jika sudah diatur dengan benar. Jika Anda mencoba dan menggunakan BIND untuk meng-host zona AD Anda, Anda tinggi. Serius Tetap menggunakan zona DNS Terpadu AD dan gunakan penerus bersyarat atau global untuk zona lain jika Anda harus. Klien Anda semua harus dikonfigurasi untuk menggunakan server DNS AD Anda, jadi penting untuk memiliki redundansi di sini. Jika Anda memiliki dua DC, minta keduanya menjalankan DNS dan konfigurasikan klien Anda untuk menggunakan keduanya untuk resolusi nama.

Juga, Anda akan ingin memastikan bahwa jika Anda memiliki lebih dari satu DC, bahwa mereka tidak mendaftarkan diri terlebih dahulu untuk resolusi DNS. Ini dapat menyebabkan situasi di mana mereka berada "pulau replikasi" di mana mereka terputus dari sisa topologi replikasi AD dan tidak dapat pulih. Jika Anda memiliki dua server DC01 - 10.1.1.1 dan DC02 - 10.1.1.2, maka daftar server DNS mereka harus dikonfigurasi seperti ini:

Server: DC01 (10.1.1.1)
  DNS Primer - 10.1.1.2
  DNS Sekunder - 127.0.0.1

Server: DC02 (10.1.1.2)
  DNS Primer - 10.1.1.1
  DNS Sekunder - 127.0.0.1

OK, ini sepertinya rumit. Mengapa saya ingin menggunakan AD sama sekali?

Karena begitu Anda tahu apa yang Anda lakukan, hidup Anda menjadi jauh lebih baik. AD memungkinkan untuk sentralisasi manajemen pengguna dan komputer, serta sentralisasi akses dan penggunaan sumber daya. Bayangkan sebuah situasi di mana Anda memiliki 50 pengguna di kantor. Jika Anda ingin setiap pengguna memiliki login mereka sendiri ke setiap komputer, Anda harus mengkonfigurasi 50 akun pengguna lokal pada setiap PC. Dengan AD, Anda hanya perlu membuat akun pengguna satu kali dan dapat masuk ke PC mana pun di domain secara default. Jika Anda ingin memperkuat keamanan, Anda harus melakukannya 50 kali. Semacam mimpi buruk, kan? Juga bayangkan bahwa Anda memiliki file sharing yang hanya Anda inginkan setengah dari orang-orang itu. Jika Anda tidak menggunakan AD, Anda perlu mereplikasi nama pengguna dan kata sandi mereka dengan tangan di server untuk memberikan akses yang tidak ada, atau Anda harus membuat akun bersama dan memberikan nama pengguna dan kata sandi kepada setiap pengguna. Satu cara berarti Anda tahu (dan harus terus memperbarui) kata sandi pengguna. Cara lain berarti Anda tidak memiliki jejak audit. Tidak bagus kan?

Anda juga mendapatkan kemampuan untuk menggunakan Kebijakan Grup saat menyiapkan AD. Kebijakan Grup adalah sekumpulan objek yang terhubung ke OU yang menetapkan pengaturan untuk pengguna dan / atau komputer di OU tersebut. Misalnya, jika Anda ingin membuatnya sehingga "Shutdown" tidak ada di menu mulai untuk 500 PC lab, Anda dapat melakukannya dalam satu pengaturan dalam Kebijakan Grup. Daripada menghabiskan berjam-jam atau berhari-hari mengkonfigurasi entri registri yang tepat dengan tangan, Anda membuat Objek Kebijakan Grup satu kali, tautkan ke OU atau OU yang benar, dan jangan pernah memikirkannya lagi. Ada ratusan GPO yang dapat dikonfigurasi, dan fleksibilitas Kebijakan Grup adalah salah satu alasan utama mengapa Microsoft begitu dominan di pasar perusahaan.


146
2018-06-27 03:47



Kerja bagus, Mark. QA Keren. - EEAA
@TheCleaner Setuju, tetapi bagian dari misi Stack Exchange adalah menjadi repositori sentral untuk semua informasi yang berguna tentang topik tertentu. Jadi, sementara info di Wikipedia biasanya sangat benar dan relevan, itu tidak mendorong orang di sini dan "di sini" harus menjadi one-stop-shop untuk semua administrasi sistem terkait. - MDMarra
@RyanBolger Ini semua benar, tetapi Q & A ini diarahkan untuk pemula. Dukungan adalah masalah besar, dan Microsoft akan benar-benar tidak membantu Anda menyelesaikan masalah AD yang dapat terkait dengan DNS jika Anda menjalankan BIND (atau apa pun). Ini adalah konfigurasi lanjutan yang tidak disarankan untuk seseorang yang perlu mengajukan pertanyaan "Apa AD dan bagaimana cara kerjanya." Di atas itu semua, DNS adalah peran beban rendah. Jika Anda sudah memiliki DC, sangat sulit untuk membuat kasus untuk tidak menjalankan DNS pada mereka dan memiliki forwarder global ke seluruh infrastruktur DNS Anda. - MDMarra
@RyanBolger - setuju dengan MDMarra. Jika Fred sudah memiliki infrastruktur DNS internal yang berfungsi dengan baik dan rumit, maka Fred tidak akan memposting di SF bertanya, "Jadi, saya akan menginstalasi Active Directory ini - beri tahu saya semua tentang itu?" - mfinni
Jawaban Anda hanya mengingatkan saya untuk memeriksa urutan pencarian server DNS pada pengontrol domain dari jaringan yang saya warisi ... Ya, mereka mengacu pada diri mereka sendiri! - myron-semack


catatan: Jawaban ini digabung menjadi pertanyaan ini dari pertanyaan berbeda yang menanyakan tentang perbedaan antara hutan, domain anak, pohon, situs, dan OU. Ini awalnya tidak ditulis sebagai jawaban untuk pertanyaan spesifik ini.


Hutan

Anda ingin membuat hutan baru ketika Anda membutuhkan batas keamanan. Misalnya, Anda mungkin memiliki jaringan perimeter (DMZ) yang ingin Anda kelola dengan AD, tetapi Anda tidak ingin AD internal Anda tersedia di jaringan perimeter untuk alasan keamanan. Dalam hal ini, Anda ingin membuat hutan baru untuk zona keamanan itu. Anda mungkin juga menginginkan pemisahan ini jika Anda memiliki banyak entitas yang tidak saling percaya - misalnya perusahaan shell yang mencakup bisnis individu yang beroperasi secara independen. Dalam hal ini, Anda ingin setiap entitas memiliki hutannya sendiri.


Domain Anak

Sungguh, Anda tidak membutuhkan ini lagi. Ada beberapa contoh bagus tentang kapan Anda menginginkan domain anak. Alasan lama adalah karena persyaratan kebijakan kata sandi yang berbeda, tetapi ini tidak berlaku lagi, karena ada Kebijakan Kata Sandi Halus yang tersedia sejak Server 2008. Anda benar-benar hanya membutuhkan domain anak jika Anda memiliki area dengan konektivitas jaringan buruk yang luar biasa dan Anda ingin secara drastis mengurangi lalu lintas replikasi - sebuah kapal pesiar dengan konektivitas WAN satelit adalah contoh yang baik. Dalam hal ini, setiap kapal pesiar mungkin domain anaknya sendiri, sehingga relatif mandiri sementara masih bisa memanfaatkan manfaat berada di hutan yang sama dengan domain lain dari perusahaan yang sama.


Pohon

Ini adalah bola-aneh. Pohon-pohon baru digunakan ketika Anda ingin mempertahankan manfaat pengelolaan dari satu hutan tetapi memiliki domain di ruang nama DNS yang baru. Sebagai contoh corp.example.com mungkin akar hutan, tetapi Anda bisa ad.mdmarra.com di hutan yang sama menggunakan pohon baru. Aturan dan rekomendasi yang sama untuk domain anak berlaku di sini - gunakan dengan hemat. Mereka biasanya tidak diperlukan dalam iklan modern.


Situs

Situs harus mewakili batas fisik atau logis di jaringan Anda. Misalnya, kantor cabang. Situs digunakan untuk memilih mitra replikasi cerdas untuk pengontrol domain di area yang berbeda. Tanpa mendefinisikan situs, semua DC akan diperlakukan seolah-olah mereka berada di lokasi fisik yang sama dan bereplikasi dalam topologi mesh. Dalam praktiknya, sebagian besar organisasi dikonfigurasikan dengan hub-and-spoke secara logis, sehingga situs dan layanan harus dikonfigurasi untuk mencerminkan hal ini.

Aplikasi lain juga menggunakan Situs dan Layanan. DFS menggunakannya untuk rujukan namespace dan pemilihan mitra replikasi. Exchange dan Outlook menggunakannya untuk menemukan katalog global "terdekat" untuk query. Komputer Anda yang bergabung dengan domain menggunakannya untuk mencari "terdekat" DC (s) untuk mengotentikasi. Tanpa ini, lalu lintas replikasi dan autentikasi Anda seperti Wild West.


Unit organisasi

Ini harus dibuat dengan cara yang mencerminkan kebutuhan organisasi Anda untuk pendelegasian izin dan aplikasi kebijakan grup. Banyak organisasi memiliki satu OU per situs, karena mereka menerapkan GPO seperti itu - ini konyol, karena Anda dapat menerapkan GPO ke situs dari Situs dan Layanan juga. Organisasi lain memisahkan OU menurut departemen atau fungsi. Ini masuk akal bagi banyak orang, tetapi desain OU harus memenuhi kebutuhan Anda dan agak fleksibel. Tidak ada "satu cara" untuk melakukannya.

Perusahaan multinasional mungkin memiliki OU tingkat atas North America, Europe, Asia, South America, Africa sehingga mereka dapat mendelegasikan hak administratif berdasarkan benua. Organisasi lain mungkin memiliki OU tingkat atas dari Human Resources, Accounting, Sales, dll jika itu lebih masuk akal bagi mereka. Organisasi lain memiliki kebutuhan kebijakan minimal dan menggunakan tata letak "datar" dengan adil Employee Users dan Employee Computers. Benar-benar tidak ada jawaban yang benar di sini, apa pun yang memenuhi kebutuhan perusahaan Anda.


17
2018-01-28 17:06



Seseorang sangat mengenal AD nya secara menyeluruh .. +1 - NickW
Pertanyaan @NickW AD adalah di mana 72k dari 72.9k perwakilan saya mungkin berasal dari: D - MDMarra
Dan masih artikel Technet yang bagus untuk dibaca setelah sekian lama: technet.microsoft.com/en-us/library/bb727030.aspx - beberapa bagian telah digantikan tetapi pasti layak dibaca. - TheCleaner